Starke Authentifizierung schützt wertvolles Unternehmensgut

von Ulrike Wendel (ulrike.wendel@crn.de)

Share
26.11.2009

Mit der parallelen Zunahme von mobilen Arbeitsgeräten und dem Anstieg von Wirtschaftsspionage wächst auch die Zahl der Unternehmen, die sich mit starker Zwei-Faktoren-Authentisierung vor unbefugtem Datenzugriff schützen wollen. Neben Klassikern wie Passwort und Token erfreuen sich biometrische Merkmale wie Fingerabdrücke und Tippverhalten zunehmender Beliebtheit.

Mehr Schutz soll es für Unternehmen durch die Nutzung von biometrischen Merkmalen geben

Eine stetig wachsende Zahl von Unternehmen stellt ihren Arbeitnehmern schon längst keine festen Büros oder Schreibtische mehr zur Verfügung. Stattdessen arbeiten die Mitarbeiter mit Notebooks, Blackberrys und iPhones von unterwegs, aus dem Home-Office oder an wechselnden Standorten ihres Arbeitgebers. Proportional zur steigenden Flexibilität der Arbeitnehmer wächst aber auch das Risiko des Datenverlustes durch gestohlene oder verlorene Notebooks. Sei es aus Unachtsamkeit oder durch kriminelle Angriffe von intern oder extern. Unternehmen können sich vor unbefugtem Zugriff und dem daraus resultierenden wirtschaftlichen Schaden vor allem durch eine starke Zwei-Faktoren-Authentisierung schützen. Diese besteht in der Regel aus einer Kombination von »etwas, das der Anwender weiß« (Passwort) und »etwas, das der Anwender besitzt« (Token oder Chipkarte). Ein simples Beispiel ist der Geldautomat, der Bares nur gegen die Bankkarte und die dazugehörige PINNummer herausgibt.

Die Schadensfälle bei Unternehmen steigen und damit auch der Absicherungsbedarf, der selbst knappe IT-Budgets in den Hintergrund treten lässt. Nach wie vor stehen aufgrund der angespannten Wirtschaftslage viele IT-Projekte auf dem Prüfstand, werden verschoben oder abgesagt. Vor diesem Hintergrund kommt der deutsche Sicherheits- Markt 2009 noch mit einem »blauen Auge« davon, wie eine aktuelle Analyse der Experton Group bei 150 deutschen Unternehmen untermauert. Das in den vergangenen Jahren durchgehend hohe Wachstum des Security- Marktes wird den Analysten zufolge zwar erst ab 2011 wieder im zweistelligen Prozentbereich liegen. In Deutschland sollen die Umsätze mit IT-Security- Lösungen und -Dienstleistungen bis Jahresende 2009 aber immerhin noch um rund sechs Prozent wachsen. Vom Marktvolumen in Höhe von 4,1 Milliarden Euro entfallen 1,7 Milliarden Euro auf Security-Produkte sowie 2,4 Milliarden auf Security-Dienstleistungen. Der Markt weist somit von 2009 bis 2012 ein durchschnittliches jährliches Wachstum von 9,3 Prozent auf.

Unterschiedliche Priorisierung von Security-Projekten

Die Experton-Studie zeigt allerdings auch, dass nicht alle Sicherheitsthemen mit gleicher Priorität vorangetrieben werden. »Sicherheitsmaßnahmen, die den ›Leidensdruck‹ des Unternehmens spürbar lindern, nachweislich ein gutes Kosten-Nutzen-Verhältnis mit sich bringen und mit überschaubarem Projektrisiko verbunden sind, genießen weiterhin hohe Priorität«, sagt Wolfram Funk, Senior Advisor bei der Experton Group. Bei den künftigen Planungen der Unternehmen stehen neben der revisionssicheren E-Mail-Archivierung und der Festplattenverschlüsselung vor allem Lösungen für die starke Authentisierung auf der Investitionsagenda ganz oben. Da diese Themen von den Unternehmen mit hoher Priorität vorangetrieben werden, können Anbieter und IT-Dienstleister laut Funk aber schon in diesem Jahr von einem attraktiven Wachstum bei der installierten Basis profitieren.

Analyst Funk spricht vor allem den klassischen Methoden der starken Authentisierung wie USB-Tokens, Smart Cards oder Einmalpasswörtern das größte Potenzial zu. Authentisierungs- Experten folgen dabei den veränderten Kundenbedürfnissen, die zunehmend vom privaten Konsumentenverhalten geprägt sind. So haben beispielsweise iPhones längst Einzug in die Geschäftswelt gehalten. RSA bietet seit kurzem seine Lösung für Zwei-Faktor-Authentifizierung auch für das stylishe Apple- Handy an. Mithilfe der Software können Unternehmen, die RSAs SecurIDSystem und Authentication Manager implementiert haben, auch iPhone- Geräte als Authentifikator nutzen. Dafür generiert der Software-Token alle 60 Sekunden ein einmaliges Passwort, das den sicheren Zugang zu Unternehmensanwendungen und -ressourcen gewährleisten soll. Auch Internet- und Kommunikationsspezialisten wie Verisign entdecken das Wachstumspotenzial für sich: So wendet sich der Hersteller mit dem VIP Mobile Developer Program explizit an Entwickler von J2MEund iPhone-Anwendungen. Diese erhalten ein Software-Development-Kit (SDK), mit dem sie eine Test- oder Demoversion einer sicheren mobilen Anwendung entwickeln können. Das SDK stellt dabei Funktionen zur Erzeugung eines Einmalpasswortes (OTP) in der mobilen Anwendung bereit. Damit können sich Nutzer dann durch eine Zwei- Faktor-Authentifizierung gesichert anmelden. Das Mobiltelefon wird so zum mobilen Security-Token.

Biometrische Lösungen als Königsweg

So sicher Notebooks und andere mobile Endgeräte durch zusätzliche Hardoder Software-Tokens auch sein mögen – immun gegen Langfinger oder vergessliche Mitarbeiter sind nur biometrische Methoden: Denn hier wird »etwas, das der Anwender besitzt« (Token oder Chipkarte) mit »etwas, das der Anwender ist« kombiniert, beispielsweise ein Fingerabdruck oder die Iris. Obwohl biometrische Methoden vor allem bei öffentlichen Behörden oder Sicherheitsorganen vielerorts schon zum Standard gehören, müssen Anbieter und Service Provider noch viel Aufklärungsarbeit leisten. »Die Unwissenheit um den Einsatz und die Funktionsweise neuerer biometrischer Identifikationsverfahren ist hierzulande noch recht groß«, sagt Dietrich Schmitt, Geschäftsführer des IT Solution Providers Unisys Deutschland. »Es kommt darauf an, biometrische Verfahren so zu gestalten, dass die Sicherheit der dabei verwendeten persönlichen Daten absolut gegeben ist.« Dennoch rechnet der IT-Dienstleister, der unter anderem mit den Authentisierungslösungen von Aladdin arbeitet, mit einem wachsenden Einsatz biometrischer Sicherheitstechnologien. Diese sind Schmitt zufolge mittlerweile auch technisch ausgereift und eignen sich daher auch beim Einsatz von Smart Phones, PDAs und iPhones als kostengünstiger Authentifikator.

Innovative Startups gehen noch einen Schritt weiter: So versucht der Regensburger Hersteller Psylock mit neu interpretierten Erkennungsmethoden des menschlichen Tippverhaltens den Markt zu revolutionieren. Während Passwörter und Token vergessen oder verloren gehen können, nutzt die Tippverhaltensbiometrie die höchst individuelle Feinmotorik des Anwenders als Zugangsschlüssel. Damit macht sie sogar biometrische Sensoren überflüssig, denn die Software erkennt das Tippverhalten des Anwenders auf jeder handelsüblichen Tastatur. Mit der einmaligen Hinterlegung eines Tippmodells, erstellt durch neunmaliges Eingeben eines frei wählbaren Satzes von mindestens 40 Zeichen, kann sich der Nutzer orts- und zeitunabhängig authentisieren. Da die erfassten Merkmale wie Rhythmus und Geschwindigkeit des Tippens abhängig von der Tagesform des Menschen variieren können, fließen in das Referenzmodell auch typische Fehler oder das Korrekturverhalten ein. Die Vorteile des Modells liegen auf der Hand: Die Software lässt sich laut Hersteller in weniger als zwei Stunden installieren und erspart Kosten für Verwaltung und Support. Die Tippmodelle werden verschlüsselt auf dem Server gespeichert, zudem erkennt das System Fälschungsversuche aufgrund 15 mathematisch errechneter Kriterien. Allein die bisher noch sehr geringe Referenzbasis und die momentane Risikoscheue bei Investitionen stehen einem Durchbruch des Modells entgegen, glaubt Psylock-Vertriebsleiter Michael Neumayr. Datenschützer dürfte das Startup dagegen leichter überzeugen: Anders als andere biometrische Methoden lässt das Tippverhaltensmodell keine Rückschlüsse auf Geschlecht, Alter, Hautfarbe oder ethnische Herkunft zu und ist daher aus datenschutzrechtlichen Gründen absolut unbedenklich.