Zutritt mit Körpereinsatz

von Jürgen Höfling

Share
26.03.2009

Zutritt mit Körpereinsatz Der Passwortdschungel war gestern. Systeme mit Universalpasswort (SSO) machen vieles ­einfacher. Und statt Pin lässt sich auch ein Körpermerkmal als Authentisierungsfaktor einsetzen.

IT-Systeme mit einem Universalpasswort (Single-Sign-On) verwenden immer öfter biometrische Merkmale wie den Fingerabdruck als zweites (oder drittes) ­Authentisierungsmerkmal.

Gut gewählte Passwörter sind aus der Warte der reinen Mathematik nicht zu knacken. Leider geht es bei Passwörtern aber nur teilweise um Mathematik und in der Hauptsache um Psychologie, will heißen: menschliche Trägheit, Schusseligkeit und Vergesslichkeit. Unter dieser psychologischen Warte werden dann auch gut gewählte Passwörter zum Sicherheitsrisiko. Dieses ist besonders groß, wenn ein Anwender zehn oder noch mehr Applikationen nutzt und für jede dieser Anwendungen ein todsicheres Passwort generieren und behalten soll. Da beginnt dann die Zettelwirtschaft oder es wird ein Universalpasswort der besonders gefährlichen Art benutzt, sprich: der Nutzer wählt für jede Anwendung das gleiche Passwort.

Biometrische Daten nur auf Chipkarte speichern

Der Ausweg aus dem Passwort-Wirrwarr in den Unternehmen ist ein automatisiertes Single-Sign-On-System, bei dem der Nutzer sich nur ein einziges Passwort quasi als Generalschlüssel merken muss. Die Genierung der einzelnen Zugangsdaten für die Applikationen übernimmt das SSO-System nach Eingabe des Generalschlüssels automatisch, wobei der Nutzer seine Zugangsdaten zu den einzelnen Anwendungen sich gar nicht mehr merken muss. Über diesen Weg können erheblich komplexere Passwörter und kürzere Wechselzyklen genutzt werden, welches merklich zur Steigerung der Unternehmenssicherheit beiträgt. Ein derartiges SSO-System kann durch die Verwendung einer Chipkarte (2-Faktor-Prinzip) noch einmal sicherer gemacht werden. Der Zugang zu dieser Karte kann über ein Passwort oder ein biologisches Merkmal des Nutzungsberechtigten (oder auch beides in Kombination) gesteuert werden. Bei einer internationalen Großbank, die wir hier leider nicht nennen dürfen, ist seit Ende 2007 ein Biometrie-SSO für 30 Applikationen mit 1500 Nutzern im Einsatz. Als biometrisches Merkmal wird der Fingerabdruck benutzt. Dieses wird aber nicht zentral gespeichert, vielmehr wird der aktuelle Abdruck des Nutzers mit seinem auf der Chipkarte gespeicherten Abdruck verglichen (sogenanntes Match on Card). Durch das SSO-Projekt sollen zum einen Helpdesk-Kosten eingespart werden (Passwort-Rücksetzung im Selbstbedienungsmodus), zum anderen dient das System aber auch einer konsequenten Umsetzung der Sicherheitsrichtlinien der Bank beim Zugang zu den IT-Systemen. »Das Speichern der biometrischen Daten nur auf der Chipkarte des Anwenders ist der beste Schutz gegen ein unkontrolliertes Verbreiten der Daten im Unternehmen«, meint Carsten Muck, SSO-Spezialist beim Düsseldorfer IT-Beratungshaus RDS. Eine Speicherung zentral auf einem Server oder einer Appliance, wie es viele Unternehmen machten, so Muck, sei ein potenzielles Sicherheitsrisiko, vor allem dann, wenn das entsprechende Gerät nicht vollständig verschlüsselt sei.

Zugangs- und Zugriffskontrolle in einem

Zusätzliche Rationalisierungspotenziale entstehen dann, wenn man ein kartenbasiertes SSO-System mit der Eintrittskontrolle in die Räumlichkeiten des Unternehmens koppelt. Eine solche Kopplung ist normalerweise ohne größere Probleme möglich, wenn die verwendete Chipkarte vom IT-Betriebssystem unterstützt wird. Meist wird dies durch eine vom Kartenhersteller bereitgestellte Middleware ermöglicht. Bei der Steiermärkischen Gebietskrankenkasse in Graz beispielsweise wird ein Fingerabdrucksystem zur Ab­sicherung von Türen und Arbeitsplatzsystemen einsetzt. Dabei wird jeder Mitarbeiter einmal erfasst und erhält dann, je nach Status, sowohl Zutritt zu Ge­bäuden und Abteilungen als auch zu seinem PC be­ziehungsweise zum gesamten Rechenzentrum. Die Personendaten für den physischen und den IT-Zutritt werden gemeinsam zentral verwaltet. Die Nutzung des Systems erfolgt in Abstimmung mit dem Betriebsrat und auf freiwilliger Basis. Zugangssysteme, die auf biometrischer Basis (meist auf der Basis Fingerabdruck) gestaltet sind, werden zunehmend eingesetzt. So ist beispielsweise das Krisenzentrum der Fiducia IT in Karlsruhe über einen biometrischen Zugang gesichert (siehe InformationWeek 12/2007, Seite 32ff) und Berater Carsten Muck berichtet von einem Unternehmen des Anlagenbaus, das auf der Basis des im IBM Thinkpad integrierten UPEK-Fingerabdruckleser einen biometrisch ausgerichtetes SSO-System eingeführt hat, das später in ein Identitätsmanagementsystem integriert werden soll.

Kerberos/SAML oder E-SSO

Unabhängig, ob biometrische Merkmale für die Authentisierung eingesetzt werden, gibt es von der technischen Seite zwei Vorgehensweisen, um ein einziges Passwort als Generalschlüssel für alle Anwendungen einsetzen zu können. Die eine Alternative kann unter den Begriffen Kerberos und SAML rubriziert werden, die andere unter dem Schlagwort »Enterprise SSO«. Bei ersterem muss jede der Anwendungen, die mit dem Universalpasswort erreicht werden soll, die Vermittlungssprache (also Kerberos oder SAML) verstehen, bei letzterem ist das nicht nötig, dafür muss aber auf jedem Desktop ein Stückchen Software installiert werden, das dann die Berechtigung des Anwenders für ein Anwendungsprogramm durchreicht. Wenn eine Applikation nicht Kerberos- oder SAML-fähig ist, lässt sie sich mit vertretbarem Aufwand nur über Enterprise-SSO einbinden.

80/20-Regel anwenden

Der Aufwand für die Einführung eines biometrischen SSO-Systems ist relativ gering, wenn schon ein 2-Faktor-SSO auf Smartcard-Basis besteht. Es entsteht in erster Linie einmaliger Anfangsaufwand durch die Registrierung des körperlichen Merkmals (Fingerabdruck, Venenmuster, Irisscan), die natürlich bestimmte Sicherheitsvorkehrungen bedingt. So muss die Erfassung unter verlässlicher Aufsicht erfolgen. Für eine Übergangszeit ist es nach den Erfahrungen von Carsten Muck möglich, beide Authentifizierungsverfahren parallel zu betreiben. Nach einem bestimmten Zeitpunkt wird dann die Authentifizierung mit Pin abgeschaltet. Interessant ist die Frage, ob buchstäblich alle im Unternehmen vorhandenen Anwendungen in das (Biometrie-)SSO integriert werden sollen. Diese Frage berührt den hauptsächlichen Einsatzzweck des Systems. Wenn es in erster Linie zur Entlastung des Helpdesks und zur Kostenreduzierung eingeführt werden soll, ist es relativ unwichtig, ob nun auch tatsächlich alle im Unternehmen vorhandenen Applikationen angebunden werden. Wenn die zehn wichtigsten integriert sind, ist die Zielsetzung erreicht. Die Anwendung der 80/20-Regel genügt hier. Wenn freilich SSO in erster Linie oder zumindest auch zur Einhaltung der Sicherheitsrichtlinien dienen soll, dann kommt man schon aus systematischen Gründen kaum umhin, tatsächlich alle Systeme zu integrieren. Das kann unter Umständen sehr teuer werden, weil es vermutlich immer Applikationen im Unternehmen gibt, die hinsichtlich ihres Verhaltens aus dem Rahmen fallen, und sei es nur durch ihr Antwortzeitverhalten.

Fingerabdruck potenziell unsicher

Inwieweit man innerhalb einer Zweifaktor-Authentisierung als zweiten Faktor statt eines Codes ein Körpermerkmal nimmt, ist fast schon Geschmacksache. Bei der Erstauthentisierung ist vermutlich ein biometrisches Merkmal neben einer Smartcard als zweiter Faktor kostenmäßig günstiger, da es im Gegensatz zur Pin vom Benutzer nicht vergessen werden kann. Freilich ist ein Fingerabdruck potenziell unsicher in der Anwendung, wie der Chaos Computer Club unlängst mit der Veröffentlichung des Abdruckes von Bundesinnenminister Schäuble demonstriert hat. Alternative, vermutlich sicherere Körpermerkmale haben andere Probleme. So ist der Irisscan teuer und wird wegen des Einsatzes von Lasertechnik von vielen Nutzern nicht akzeptiert. Vielleicht ist die Venenmustererkennung hier die Technik der Zukunft.