Projekt - Handys lösen Token ab

Einmal-Passwort kommt jetzt per SMS

Johannes Klostermeier ist ein freier Journalist aus Berlin. Zu seinen Spezialgebieten zählen unter anderem die Bereiche Public IT, Telekommunikation und Social Media. Auf cio.de schreibt er über CIO Auf- und Aussteiger.
Die Berliner Stadtreinigung hat ihr Identitätsmanagement auf ein Handy-System umgestellt. Damit wurden die bisherigen Token überflüssig.
Foto: Fotolia / Daniel Krylov

Die Berliner Stadtreinigung, mit 485 Millionen Euro Umsatz einer der größten kommunalen Entsorger Europas, hat die Authentisierung seiner IT-Remote-Zugänge auf das System SMS Passcode umgestellt. Damit wurden die bislang im Einsatz befindlichen Token überflüssig, teilte das Unternehmen mit.

Martin Urban, CIO der Berliner Stadtreinigung, setzt auf Innovation auch im Kleinen.
Martin Urban, CIO der Berliner Stadtreinigung, setzt auf Innovation auch im Kleinen.
Foto: Berliner Stadtreinigung

Durch die Einführung eines neuen zentralen Identitäts-Managements konnten die Administratoren der BSR die Verwaltung der Zugriffsrechte nach eigenen Angaben entscheidend vereinfachen. "Hier gab es allerdings ein Kompatibilitätsproblem", erklärt Frank Basler, Leiter Kommunikationsnetze bei der Berliner Stadtreinigung, "unsere bisherige Token-Authentisierung ließ sich nicht nahtlos mit dem Identitäts-Management kombinieren".

Daher entschieden sich die Berliner für eine Authentisierung der etwa 230 Remote-User per SMS. BSR-Mitarbeiter und die Dienstleister melden sich hier zunächst mit ihrem Benutzernamen und ihrem statischem Passwort an. Nach der Verifikation dieser Daten generiert das System ein nur für kurze Zeit gültiges Einmal-Passwort.

Dieses wird dann als normale Handy-Kurznachricht übertragen. Die bei jedem Login neu generierten Einmal-Passwörter sind für Hacker nutzlos. Auf dem Server existieren auch keine vorberechneten Secrets, die ausspioniert werden könnten.

Inhalt dieses Artikels