Moderne Authentifizierungssysteme im Überblick

Die Einführung eines modernen Identity- und Access-Managements (IAM) bringt schnell die entscheidende Frage für die tägliche Praxis mit: Wie stellen Unternehmen sicher, dass nur befugte Mitarbeiter, Kunden und Partner Zugriff auf bestimmten Daten und Informationen erhalten?

Es gibt vier Methoden, die sich untereinander ergänzen können:

• Verschlüsselte Datenspeicher;

• Zugriffskontrolle über RFID;

• Biometrische Erkennungsverfahren;

• Mehrfaktor-Authentifizierung.

Verschlüsselte Datenspeicher - aber bitte berechnungssicher

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sehr konkrete Anforderungen an Speichermedien definiert. Dazu gehört unter anderem die Wahrung der Vertraulichkeit von Daten bei logischen wie physischen Angriffen. Realisiert werden kann dies beispielsweise durch eine mehrstufige Nutzerauthentifizierung für den Zugriff auf den geschützten Speicherbereich im Zusammenhang mit einer (hardwarebasierten) Verschlüsselung der Daten. Für letzteres wird beispielsweise die AES-Verschlüsselung mit einer Schlüssellänge von 256-Bit im CBC-Modus empfohlen. AES steht für "Advanced Encryption Standard", ein symmetrisches Kryptosystem, welches weltweit als berechnungssicher gilt und so beispielsweise in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen ist. Die AES-Betriebsart Cypher Block Chaining (CBC) bezeichnet ein kompliziertes Verfahren, bei dem die einzelnen Klartextblöcke zunächst mit dem im jeweils letzten Schritt erzeugten Geheimtextblock verknüpft und erst anschließend mit dem AES-Schlüssel verschlüsselt werden. Darüber hinaus muss der Anwender eines als hochsicher geltenden Speichermediums in der Lage sein, den kryptografischen Schlüssel selbst zu generieren und im Notfall zu zerstören.

Verschlüsselung ist nicht alles

Anwender sitzen im Zusammenhang mit der Verschlüsselung jedoch immer wieder einem populärem Irrtum auf: Sie meinen, eine Verschlüsselung ihrer Daten würde ausreichende Sicherheit vor unbefugtem Zugriff und Datenklau bieten. Doch selbst die besten Verschlüsselungsverfahren sind für Datendiebe kein echtes Hindernis, sofern keine entsprechend effektive Zugriffskontrolle existiert. Denn die Vertraulichkeit von Daten auf mobilen Speichermedien, wie beispielsweise mobilen Sicherheitsfestplatten, kann nur durch eine Kombination von Zugriffskontrolle und Verschlüsselung garantiert werden. Während nämlich die Verschlüsselung die Vertraulichkeit der Daten speziell bei physischen Angriffen auf den Speicher sicherstellt, werden mittels einer Zugriffskontrolle nicht authentisierte Zugriffsversuche auf den Speicher auf Hardware-Ebene geblockt.

Sollte eigentlich die Schnittstelle für alle Arbeiten an den Festplatten unter Windows sein: Die Datenträgerverwaltung funktioniert aber nicht, wenn von der Kommandozeile aus gearbeitet werden muss (beispielsweise bei der Systemwiederherstellung).

Würdiger Nachfolger des „fdisk“-Programms: Aktuelle Windows-Systeme stellen dem Anwender mit dem Kommandozeilen-Programm „diskpart“ eine Lösung bereit, die sehr viel mehr Aufgaben lösen kann – hier eine Übersicht der Optionen.

Erfordert etwas Einarbeitung: Die Kommandos des „diskpart“-Programms verlangen, dass der Anwender genau spezifiziert, mit welchem Teil einer Festplatte er arbeiten möchte, bevor er die Befehle darauf absetzen kann.

Hat auch keine Probleme mit dem Beta von Windows 8: Der Anbieter der freien Software Partition Master hebt diese Kompatibilität zu Microsofts kommendem Betriebssystem besonders hervor, weshalb es sich auch auf dieser Plattform beweisen musste.

Auch die Einbindung in den neuen Startbildschirm klappt: Partition Master 9.1.1 erscheint automatisch auf der Metro-Oberfläche, wechselt aber nach dem Start auf die „normale“ Windows-Oberfläche zurück.

Die Arbeit des Partition Master auf dem Windows 8 Consumer Preview: Alle Zugriffe funktioniert auf die gleiche Art und Weise wie auf den Windows-7-Systemen.

Übersichtliche Darstellung: Mit dem auf Java basierenden Programm JDiskReport können sich Anwender sehr schön und die den verschiedenen Darstellungsarten zeigen lassen, wie sehr ihre Festplatten belegt sind.

Wo sind die wirklich großen Dateien und wie viele sind davon abgespeichert: Dieses Balkendiagramm von JDiskReport zeigt recht übersichtlich, wo die „Speicherfresser“ sitzen.

Wie schnell ist meine Festplatte wirklich? Mit der freien Version des Programms HD Tune können Anwender auf jeden Fall die Geschwindigkeit beim lesenden Zugriff selbst mit Hilfe eines Benchmarks untersuchen.

Wie heiß ist es meiner Platte? Unterstützt die eingesetzte Festplatte die entsprechenden SMART-Features, so kann HD Tune diese Werte ebenfalls anzeigen und den Anwender warnen.

Leider notwendig und verursacht dann auch einen Reboot: Bei der Installation der Software Paragon Backup & Recovery 2012 Free wird ein spezieller Treiber auf dem Windows-System installiert.

Einfache Startseite: Die erste Seite, die ein Anwender der freien Paragon-Software zu sehen bekommt, ist bewusst einfach gehalten und führt direkt zu den entsprechenden Sicherungsaufgaben.

Die erweiterte Oberfläche und der Assistent: Der Anwender wird bei der Paragon-Lösung durch die Schritte zur Sicherung einer Partition oder ganzen Festplatte geleitet. Dadurch sind Sicherungen einfach durchzuführen.

Einfache, gut strukturierte Oberfläche: Die freie Software SymMover ist sehr funktionell aufgebaut, verlangt aber vom Anwender, dass er bereits weiß, was es mit den symbolischen Links im Dateisystem auf sich hat.

Die Dateien werden auf eine andere Festplatte verlegt, der Originaleintrag verbleibt: Das Werkzeug SymMover bietet eine interessante Möglichkeit, auf Festplatten mehr Platz zu bekommen, ohne das beispielsweise Programme neu installiert werden müssen.

Die Dateien werden verschoben: Die Software SymMover benutzt die normalen Kopierfunktionen des Betriebssystems, um die Dateien von einem Ort an einem neuen zu transportieren und legt dann einen Link vom Originalverzeichnis an.

Entweder Tür oder Schloss

So bietet selbst die empfohlene AES Full-Disk-Verschlüsselung nicht die erwartet höchste Sicherheit, solange der Daten-Zugriff nicht über einen mehrstufigen, komplexen Authentifizierungsmechanismus erfolgt und der kryptographische Schlüssel nicht extern, außerhalb der Festplatte, gespeichert ist. Ansonsten tritt der Fall ein, dass sensible Daten - bildlich gesprochen - zwar hinter einer massiven Stahltür liegen, diese Stahltür jedoch lediglich mit einem Vorhängeschloss gesichert ist, das sich im Handumdrehen entfernen lässt. "Die Sicherheitsleistung kann insbesondere durch die Ausnutzbarkeit vorhandener Schwachstellen unwirksam werden", stellt das BSI dazu ausdrücklich fest.

Radio Frequency Identification (RFID)

Welche Form der Nutzer-Authentifizierung bietet also ausreichenden Schutz für sensible Geschäftsdaten? Die Passwort- oder PIN-Eingabe über eine PC-Tastatur sind im Unternehmensumfeld zwar beliebt, aber meist nicht ausreichend sicher. Die Zugangskontrolle per Radio Frequency Identification (RFID) leistet in Kombination mit einer AES-Hardwareverschlüsselung deutlich mehr Zugriffsschutz, ist als einstufiges Verfahren für die hohen Ansprüche großer Unternehmen und Behörden aber noch immer nicht ausreichend: Sie überträgt Verschlüsselungssignale auf ein Lesegerät, das sich etwa in einer externen Festplatte befindet. Dabei bildet die Festplatte ein elektromagnetisches Feld aus, das von der Antenne eines Transponders empfangen wird. Dadurch wird dieser mit Energie versorgt und ein sich im Transponder befindender Mikrochip aktiviert. Im Anschluss kann er über die Antenne Befehle empfangen und senden. Daher kann nur der Inhaber des RFID-Transponders die Festplatte innerhalb von weniger als 100 Millisekunden sperren oder entsperren und auf die Daten zugreifen. Auch wenn RFID-Verfahren mittlerweile zentraler Bestandteil von Sicherheitskonzepten für gehobene Anforderungen sind, bleiben Risiken etwa durch die mögliche Reproduktion des RFID-Schlüssels oder das Mithören der ID bei unverschlüsselter RFID-Übertragung.

Biometrische Authentifizierung

Bei biometrischen Verfahren handelt es sich wie bei RFID, PIN oder Passwort um ein einstufiges Authentifizierungsverfahren. Hierbei werden messbare physiologische Charakteristika wie der Fingerabdruck oder Gesichtsmerkmale sowie verhaltensbedingte Merkmale wie die Stimme herangezogen, um einen Anwender zu authentifizieren. Über einen Algorithmus werden diese Merkmale in einen Datensatz umgewandelt und elektronisch gespeichert. Bei der Identitätsprüfung findet dann ein Abgleich mit den aktuellen Werten einer Person statt. Wie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit informiert, bieten biometrische Verfahren jedoch keine 100-prozentige Erkennungssicherheit: So zeigten Tests, dass bei der Fingerabdruckerkennung Überwindungsversuche sehr einfach möglich waren und auch die Gesichtserkennung erwies sich als sehr fehleranfällig. Im Hinblick auf den Schutz personenbezogener Daten werden biometrische Verfahren zudem als durchaus kritisch betrachtet: Keinesfalls sollten etwa Rohdaten wie die Audiodatei einer Stimme verwendet werden, um dadurch Überschussinformationen auszuschließen.

Fingerprint-Systeme: Bei der kapazitiven Methode dient die Oberflächenbeschaffenheit des Fingerabdrucks als Kontakt und entlädt die Kondensatorplatten unterschiedlich.

Fingerprint per Ultraschall: Schematischer Aufbau eines Gerätes zur Erfassung eines Fingerprints per Ultraschall.

Fingerprint-Analyse: Aus dem eingescannten Fingerprint extrahiert das entsprechende Verfahren besondere Fingerabdruckmerkmale.

Handgeometrie: Auf das eingescannte oder fotografierte Abbild der Handgeometrie werden zu Analysezwecken Linien und Knotenpunkte gesetzt.

2D-Gesichtserkennung: Das Verfahren platziert Knotenpunkte auf markante Stellen des Gesichts, um die Gesichtsgeometrien metrisch zu erfassen.

3D-Gesichtserfassung:: Ein System aus Infrarotlichtsender und einem entsprechenden Scanner bildet das Herzstück der 3D-Gesichtserfassung.

3D-Gesichtserfassung: Aus einem 3D-Gesichts-Scan erzeugt das System Vektorpunkte, die zur Identifikation der erfassten Person benutzt werden.

Iris-Scan: Das Iriserkennungsverfahren legt die Abmaße der Iris fest und generiert aus den Merkmalen einen digitalen Code

Retina-Scan: Retina-Scan werden die Blutgefäße des Augenhintergrunds zur biometrischen Analyse herangezogen. Erfassung

Stimmidentifikation: Das Frequenz-Spektrogramm der Sprache lässt sich gut zur Stimmerkennung für biometrische Zugangskontrollen nutzen.

Venenerkennung: Das Verfahren erkennt mittels Infrarotlicht und Bildsensor den Verlauf der Blutgefäße unter der Haut und kann es zur Authentifizierung von Personen mit einem entsprechenden Referenzmuster vergleichen.

Tastentippdynamik: Das Tippverhalten des Anwenders bei der Tastentippdynamik-Technologie wird mit einem Referenzmuster verglichen. Je nach Übereinstimmungsrate gewährt oder verweigert das System die Zugangsberechtigung.

Tastentippdynamik: Das Tippverhalten einer bestimmten Zeichenfolge wird beim Tastentippdynamik-Verfahren als sogenanntes Template gespeichert. Es dient als Referenzmuster zur Authentifizierung des Anwenders.

Herzschlag Diagramm: Jedes Herz hat ein typisches, unverwechselbares Herzschlagmuster, das mithilfe verschiedener Parameter eindeutig spezifiziert werden kann.

Herzschlag System: Ein komplexes Analyseverfahren wertet das EKG eines Herzens aus und kann diese gewonnenen Informationen zur Authentifizierung von Personen nutzen.

Unterschriftanalyse: Bei der Unterschriftenerkennung entscheidet der Grad der ermittelten Übereinstimmungen von dynamischen Parametern wie Bewegungsrichtungen, Schreibgeschwindigkeit oder Schreibdruck, ob die Unterschrift echt ist.

Biometrie In dem Diagramm sind einige biometrische Verfahren in Bezug auf die Wechselwirkung zwischen falscher Ablehnungsrate und falscher Annahmerate gegenübergestellt.

Biometrie: Die biometrische Zugangskontrolle per Fingerabdruck-Identifikation und die Gesichtserkennung beherrschen den Markt. Aber auch andere Verfahren gewinnen Marktanteile. Laut Bitkom soll der Markt für biometrische Verfahren in den nächsten Jahren rasant wachsen.

Mehrfaktorprinzip "Besitzen und Wissen"

Höchste Datensicherheit ist erst durch eine mehrstufige, komplexe Authentifizierung gewährleistet. Nach dem Prinzip "Besitzen und Wissen" ist etwa die Zwei-Stufen-Authentifizierung mittels Smartcard und PIN aufgebaut. Dabei stellt die PIN sicher, dass nur der berechtigte Anwender den kryptografischen Schlüssel von der Smartcard übertragen kann und Zugang zum Speichermedium erhält. Bei Verlust oder Diebstahl kann der Schlüssel weder aus dem Sicherheitsmedium selbst noch aus dessen Gehäuse ausgelesen werden.

Dabei ist der Krypto-Schlüssel selbst ein Sicherheitsmerkmal, das mit Blick auf höchste Datensicherheit unbedingt zu beachten ist. Wie wird der Schlüssel hergestellt? Wo wird er aufbewahrt? Sind möglicherweise Kopien vorhanden? Das sind hier die kritischen Fragen. Denn die stärkste Tür mit dem besten Schloss ist schnell geöffnet, wenn der Schlüssel frei zugänglich aufbewahrt wird oder gar Unbefugte im Besitz von Zweitschlüsseln sind. Um höchsten Sicherheitsanforderungen gerecht zu werden, darf der für die Ver- und Entschlüsselung der Daten benötigte kryptografische Schlüssel weder auf der Festplatte noch im Flash-Speicher oder im Gehäuse abgelegt werden. Wird dagegen die Smartcard zum Speicherort des Schlüssels, so kann er bei Verlust der Festplatte aus dieser unter keinen Umständen ausgelesen werden. Somit ist auch kein Entschlüsseln der Daten mehr möglich.

Ein guter Weg zum sicheren Passwort
Wer sein Passwort nach dieser Vorgehensweise anlegt, kann sicher sein, ein schwer zu knackendes und starkes Passwort zu besitzen (nach Anregungen aus dem Microsoft Safety & Security Center).

Das Safety & Security Center von Microsoft bietet auch die Möglichkeit, ein Passwort auf seine Verschlüsselungsstärke zu testen
Hier wurde ein Passwort eingegeben, dass nach der Tabelle in Bild 1 erstellt wurde.

Warum manuell ein Passwort erstellen, wenn es auch dafür Software gibt?
Mit der freien Software PWGen werden wirklich sichere und sehr komplexe Passworte erstellt.

Nach einmal die Überprüfung
Hier wurde ein Passwort eingegeben, das zuvor mittels des Programms PWGen erstellt worden ist. Allerdings ist der Hinweis wichtig, dass diese Überprüfung allein kein sicheres Passwort garantieren kann.

Die Anmeldung an die Passwort-Datenbank
Hier sind alle wichtigen Passworte versammelt und können übersichtlich verwaltet werden.

Wer mit wirklich komplexen unterschiedlichen Passworten arbeitet, kommt um den Einsatz eines Passwort-Managers nicht herum
Hier die Open-Source-Lösung KeePass, die durch ihre vielfältigen Möglichkeiten auch sehr gut in Unternehmensnetzwerken eingesetzt werden kann.

Professionelle Lösungen wie die hier gezeigte Lösung Passwort-Depot bieten natürlich noch viel mehr Möglichkeiten
Hier steht beispielsweise auch eine umfangreiche Suchmöglichkeit in der Datenbank zur Verfügung.

Vielfältige Möglichkeiten
Das Passwort-Depot ermöglicht es, die gesicherten und verschlüsselten Daten auch auf externe Medien auszulagern.

Integration ist wichtig
Sollen die Anwender leicht und schnell mit den komplexen Passworten umgehen können, so ist wie hier eine direkte Einbindung in den Browser sinnvoll: Die Nutzer geben dann die Passworte direkt aus dem „Safe“ in die Webseite ein.

Enge Integration in den jeweiligen Browser
Die Lösung Robo kann ebenfalls Passworte verwalten, ist aber primär darauf ausgerichtet, den Anwender beim sicheren Ausfüllen von Web-Formularen zu unterstützen.

Master-Passwort
Das Master-Passwort wird bei Installation von RoboForm auch daraufhin untersucht, ob es entsprechend sicher und komplex genug ist.

Nach der Installation
Roboform kommt auch ins Spiel, wenn sich der Anwender über Web auf einem anderen Windows-System anmelden will.

Direkte Erinnerung
Das Programm wird direkt in den Browser integriert – die funktioniert neben dem Internet-Explorer auch im Firefox und unter Opera.

Zusatzfunktionen
Das eigentliche RoboForm-Programm stellt dem Anwender neben der reinen Verwaltung von Passworten noch andere Funktionen zur Verfügung, so auch die Möglichkeit Notizen sicher abzuspeichern.

Eigenverwaltung gefragt

Darüber hinaus muss es Anwendern externer Speichermedien der neuesten Generation möglich sein, den Krypto-Schlüssel zweckmäßig selbst zu verwalten. Das heißt, ihn selbst zu generieren, auf Smartcards zu kopieren beziehungsweise zu ändern. Mit Blick auf den Worst Case stellt sich zudem die Frage, ob der Schlüssel schnell und unauffällig zerstört werden kann, damit Unbefugte - auch mittels Zwang - nicht an die sensiblen Daten gelangen können.

Zukunfts-Technologien

Wer den Blick in die Forschung richtet, stößt bei zukünftigen Authentifizierungstechniken auf science-fiction-ähnliche Zustände. So stellte die Arbeitsgruppe "Mensch-Computer-Interaktion" am Institut für Visualisierung und Interaktive Systeme an der Universität Stuttgart kürzlich mehrere neue Verfahren vor, die gemeinsam mit der Universität Cambridge entwickelt worden waren. Eine Methode sieht statt Passwörtern Bilder für den Anmeldevorgang beispielsweise bei einer Web-Anwendung vor. Ein Kamera-System (Webcam, Augmented-Reality-Brille etc.) zeichnet die Blickbewegungen des Anwenders auf, wenn dieser die Details eines Bildes in einer bestimmten Reihenfolge aufnimmt. Stimmt die Blickabfolge mit einer vorher einmalig vom Anwender festgelegten Reihung überein, ist der Benutzer autorisiert, auf das System zuzugreifen. Diese Technik soll nach dem Willen der Wissenschaftler in spätestens fünf Jahren marktreif sein.

Eine andere Methode betrifft die Sicherheit von Smartphones. Die Stuttgarter Forscher haben sich eines Projektes der Telekom Innovation Labs aus Berlin angenommen, in dem der Anwender seine Unterschrift mit einem Magneten in die Luft schreibt, um das Telefon zu entsperren. Selbst mit vier Kameras, die diese Bewegungen im Raum mehrdimensional aufzeichnen und anschließnd nachzuvollziehen versuchen, war es in Tests nicht möglich, das Verfahren zu kopieren. Damit gilt es derzeit als sicher.

Fazit: Budgets richtig einsetzen

Für welche Methode sich Unternehmen auch entscheiden - eines gilt immer: Auf externen Speichermedien befinden sich oft vertrauliche und wertvolle Daten. Gelangen diese in falsche Hände, entstehen für Unternehmen große finanzielle Schäden und Reputationsverluste. Sinnvoller und kostengünstiger ist es daher, solchen Fällen vorzubeugen. So können teure Sicherheitstransporte zum Datentransfer inzwischen durch den einfachen Postweg ersetzt werden, wenn ein Speichermedium ein ausreichend hohes Sicherheitsniveau gewährleistet. Und auch der Zeitfaktor spielt bei der Implementierung innovativer Sicherheitsspeichermedien in Unternehmen eine Rolle: Die Verwendung eines im Speichermedium integrierten Hardwareverschlüsselungsmoduls ist deutlich schneller als eine Softwarelösung. Kann der Anwender den Schlüssel zudem selbst verwalten, macht ein Schlüsseltausch das Speichermedium schnell und unkompliziert einsatzfähig für den nächsten Nutzer - ohne dass dabei ein Nutzer auf die Daten des anderen zugreifen kann.

Greifen die dargestellten Hauptkriterien - Datenverschlüsselung, Zugriffskontrolle, Speicherort des kryptographischen Schlüssels sowie dessen Verwaltung durch den Anwender - in der gezeigten Weise ineinander, ist die umfassende Sicherheit hochsensibler Daten gewährleistet. Das "Tür-Schloss-Schlüssel"-Bild ist geeignet, das Zusammenwirken der relevanten Elemente der Sicherheitskette deutlich zu machen. Mit diesem Wissen brauchen sich Anwender nicht länger auf die bloßen Behauptungen von Herstellern über die Sicherheitsstufe der von ihnen produzierten Speichermedien verlassen. Sie sollten vielmehr jegliche Lösungen für ihre Datensicherheit anhand dieser Hauptkriterien selbst bewerten. Denn durch einen vernünftigen Einsatz ihres Budgets im Bereich der Datensicherheit können Unternehmen und Behörden die oft gravierenden Folgen von Datenpannen oder -diebstahl wirkungsvoll verhindern. (sh)