Wegen der zunehmenden Verbreitung von Laptops gehen immer mehr Unternehmen dazu über, ihren Außendienst-Mitarbeitern den direkten Zugriff auf zentrale DV-Systeme und deren Datenbestände zu ermöglichen. Den Vorteilen einer solchen Öffnung der zentralen DV stehen allerdings beträchtliche Gefährdungen durch Hacker, Saboteure und Industriespione gegenüber.

Es ergibt sich bei der Öffnung eines zentralen DV-Systems deshalb die Notwendigkeit, den unbefugten Zugang zum System zu unterbinden. Moderne Chip-Kartentechnik ist geeignet, das Sicherheitsrisiko zu minimieren.

Die Vorteile einer zeitlich und örtlich uneingeschränkten Verfügbarkeit zentraler DV-Ressourcen wurde in jüngerer Vergangenheit von einer wachsenden Zahl von Unternehmen erkannt. Die Gründe hierfür sind vielfältig.

Die Vertriebsbeauftragten erfahren bei ihrer Arbeit nachhaltige Unterstützung, indem sie aktuelle Vertriebskonditionen, wie Preise, Verfügbarkeit sowie Liefertermine von Gütern und Diensten jederzeit abfragen können.

Remote-Anbindung steigert Effizienz

Bestellungen und andere Dispositionen lassen sich ohne Umwege direkt der zentralen DV zuführen, Akquisitionsbemühungen durch Anwendungssoftware der zentralen DV, etwa durch Kalkulationsprogramme oder Informationssysteme, fördern.

Die Effizienz des technischen Außendienstes kann durch eine "remote"-Anbindung verbessert werden, weil sich ebenfalls die Verfügbarkeit von Material und Ersatzteilen direkt bei zentralen Systemen abfragen läßt und deren Bestellungen ohne Umweg an den Zentralrechner übermittelbar werden.

Die Erfassung von Serviceleistungen für die Rechnungsstellung erfolgt unmittelbar durch das technische Personal. Auch die Einsatzplanung und -lenkung für den technischen Außendienst realisiert man über eine "remote"-Anbindung effizient.

Für die Verwaltung des Unternehmens ergeben sich Vorteile, weil durch die direkte Interaktion der Außendienst-Mitarbeiter mit den DV-Systemen viele Verwaltungsvorgänge rationalisiert und beschleunigt werden können. Zusätzlich verringert sich die

Gefahr, daß dein Kunden durch Mitarbeiterausfall oder Nachlässigkeit keine optimale Betreuung zukommt.

Das Management ist bei seinen Entscheidungsprozessen, bei seiner Kontrollfunktion und bei seiner unternehmerischen Planung auf möglichst aktuelle Daten angewiesen. Gerade die Verantwortlichen sind aber häufig außer Haus tätig. Der "remote"-Zugriff auf das zentrale DV-System erlaubt es in solchen Situationen, die erforderlichen aktuellen Daten zu beschaffen. Die Aufbereitung und Verarbeitung dieser Daten durch die Anwendungssoftware des Rechner-Systems ist möglich.

Zusätzlicher Nutzen einer "remote"-Anbindung der außer Haus tätigen Mitarbeiter ergibt sich für jeden Unternehmensbereich aus der Verfügbarkeit von Kommunikationsdiensten wie Electronic Mail und Messaging. Dadurch werden die verschiedenen Unternehmensbereiche und die Außendienst-Mitarbeiter auf flexible und komfortable Art untereinander erreichbar.

Neben dem Abruf von Unternehmensdaten aus zentralen Datenbeständen erstellt das Management hoch sensitive Daten und Informationen. Die Speicherung solcher Informationen auf PC-Datenträgern ist mit beträchtlichen Risiken behaftet. Daher ist es wünschenswert, diese Informationen möglichst gut vor unbefugten Zugriffen zu schnitzen. Einen solchen Schutz können die zentralen Rechnersysteme mit ihren ausgeteilten Sicherheits- und Datenschutzverfahren gewährleisten.

Diesen Vorteilen stehen allerdings - wenn keine gesonderten Sicherheitsvorkehrungen getroffen werden - erhebliche Risiken gegenüber, die sich aus der Nutzung öffentlicher Fernmeldenetze und von Wählverbindungen ergeben:

- die Gefahr des Abhörens von Informationen, Benutzerkennungen und Paßwörtern sowie

- die Gefahr des unbefugten Zugangs zum zentralen DV-System und seiner Datenbestände durch Spione und Saboteure.

Der Mensch als "Risikofaktor"

Aspekte der Datensicherheit und des Datenschutzes in öffentlichen Fernmeldenetzen untersuchte in einer Studie die SCS Informationstechnik im Auftrag des Landes Nordrhein-Westfalen ausführlich.

Während der Abhörgefahr durch kryptographische Verfahren begegnet werden kann, birgt das Problem des unbefugten Zugangs zum DV-System den Risikofaktor Mensch.

Die Zugangsberechtigung zu einem DV-System wird in der Regel durch Benutzerkennungen und Paßwörter überprüft. Es ist aber eine bekannte Tatsache, daß die legitimen Inhaber ihre Paßwörter und Benutzerkennung allzuoft unzureichend schützen. Sie werden häufig nicht geheim eingegeben, man notiert sie, um der Gefahr des Vergessens vorzubeugen, oder Hacker ergaunern sie durch raffinierte Tricks. Ist die Kontrolle der Zugangsberechtigung durch Benutzerkennung und Paßwort für den inhouse-Betrieb eine je nach Betriebsgegebenheiten unter Umständen vertretbare Lösung, so ist er für die "remote"-Anbindung über Wählleitungen als völlig unzureichend zu bewerten. Kommt eine Benutzerkennung in falsche Hände, so kann dies über lange Zeit unbemerkt bleiben. Die

Folgen für ein Unternehmen können katastrophal sein.

Karte im Eurocheck-Format

Einen Ausweg aus diesem Dilemma bieten Prozessor-Chip-Karten. Dabei handelt es sich um einen Mikroprozessor, der zusammen mit einem Arbeits- und verschiedenen Datenspeichern auf einem Träger vom Format einer ISO-Karte (Eurocheque-Karte) integriert ist.

Die Chip-Karte ist zu unterscheiden von der Magnetstreifenkarte und der reinen Speicher-Chip-Karte. Im Gegensatz zu diesen verfügt die (Prozessor-)Chip-Karte über lokale Rechnerleistung. Zusätzlich greift sie auf Datenspeicher zurück, die gegen unbefugtes Lesen und Schreiben abgesichert sind. Diese Speicher können nur durch den Mikroprozessor der Karte gelesen und beschrieben werden. Das unbefugte Auslesen von Daten aus diesen Speichern ist nur möglich, wenn neben einem weitreichenden Know-how äußerst kostspielige Techniken zum Einsatz kommen. Dieser Aufwand ist - gemessen an dem Nutzen, der aus einer einzelnen "geknackten" Chip-Karte zu ziehen ist - in aller Regel nicht vertretbar.

Die CPU einer Karte ist ein 8-Bit-Mikroprozessor. Auf die Chip-Karte sind neben dem Prozessor verschiedene Speicher aufgebracht. Zum einen verfügt sie über einen Arbeitsspeicher in RAM-Technologie. Programmasken werden gewöhnlich in einem ROM-Speicher hinterlegt. Für variable Daten steht der EEPROM als beliebig oft lesbar und mindestens 10 000mal Bit-weise beschreibbarer Speichertyp zur Verfügung. Der EPROM ist ein einmal beschreibbarer Speicher, dessen Daten nur durch Licht gelöscht werden können.

Die Architektur einer Chip-Karte ist in Abbildung 1 dargestellt. Einige Kenndaten der Karte (singlechip-Karte) und ihrer Speicher können den Tabellen 1 und 2 entnommen werden.

Das Betriebssystem der Karte ist in einem nichtbeschreibbaren Speicher als Programmaske hinterlegt. Es ist logischer des sogenannten "Common Data File" (CDF), eines Speicherbereiches, auf den alle Applikationen der Chip-Karte zugreifen können. Jede einzelne Anwendung wird zusammen mit ihren Daten in einem sogenannten "Application Data File" (ADF) hinterlegt. Sie ist der betreffenden Applikation exklusiv zugeordnet. Eine Chip-Karte kann über mehrere ADFs verfügen, wodurch es möglich ist, mehr als eine Anwendung auf einer Chip-Karte zu realisieren (Multifunktionalität).

Mit Hilfe der Karte kann ein Sicherheitskonzept realisiert werden, das den herkömmlichen Zugangs-Kontrollverfahren weit überlegen ist. Dabei werden die Portables oder Laptops der Außendienst-Mitarbeiter mit Chip-Karten-Lesegeräten ausgestattet.

Als "Kommunikationskoffer" sind von verschiedenen Herstellern heute kompakte, tragbare Gehäuse verfügbar, die einen PC, ein Chip-Karten-Lesegerät, Akkumulatoren, ein Netzteil und Akustikkoppler und/oder Modems integrieren.

Dialog läßt sich nicht manipulieren

Jeder Außendienst-Mitarbeiter erhält eine persönliche Chip-Karte, auf der neben

Anwendungsprogrammen persönliche Daten des Mitarbeiters gespeichert werden. Den Vorgang der Abspeicherung der persönlichen Daten des Kartenbesitzers auf der Karte nennt man Personalisierung.

Die Chip-Karte ist in dem hier vorgestellten Sicherheitskonzept dafür zuständig, die Identität des Benutzers in einem lokalen Prozeß festzustellen und die Authentifizierung des Benutzers gegenüber dem zentrale DV-System in einem nicht-manipulierbaren Dialog durchzuführen. Die Nicht-Manipulierbarkeit dieses Vorgangs ist selbst bei Kenntnis des zugrundeliegenden Algorithmus gegeben. Die prinzipielle Vorgehensweise ist dabei wie folgt:

Startet ein Außendienst-Mitarbeiter seinen PC zu einer Sitzung mit der zentralen DV, so wird er aufgefordert, seine Chip-Karte in das Lesegerät einzulegen und seine persönliche Idetitifikationsnummer (PIN) einzugeben (1). Diese PIN ist neben weiteren persönlichen Daten bei der Personalisierung in einem nicht-auslesbaren Speicherbereich der Chip-Karte hinterlegt worden. Die Karte überprüft die Eingabe des Außendienst-Mitarbeiters durch deren Vergleich mit der PIN (2).

Stimmen beide Werte überein, so ist der Benutzer als legitimer Inhaber der Chip-Karte ausgewiesen, andernfalls wird der Wunsch zum Aufbau einer Sitzung mit dem Zentralrechner abgewiesen. Nach erfolgter PIN-Prüfung beginnt der PC ohne weitere Mitwirkung des Benutzers einen Dialog mit der zentralen DVA. Er meldet den Wunsch zum Aufbau einer Sitzung dem Zentralsystem und sendet ihm eine Benutzerkennung (K) etwa die Personalnummer, (3). Diese Benutzerkennung braucht nicht unbedingt geheim zu sein.

Ist die Benutzerkennung K bei der zentralen DV bekannt, so erhält der PC als Antwort eine Zufallsgröße (Z), die er an die Chip-Karte weiterreicht (4).

Die Sicherheit des Verfahrens wird nicht beeinträchtigt, wenn diese Zufallszahl abgehört wird. Die Karte verschlüsselt nun die Zufallszahl Z nach Maßgabe eines Algorithmus mit einem geheimen Schlüssel (S), der in der Karte hinterlegt ist (5), und sendet die verschlüsselte Zufallszahl (ZV) an die zentrale DV (6). Aus ZV kann nur auf die ursprüngliche Zufallsgröße Z geschlossen werden, nicht aber auf den geheimen Schlüssel GS. In der zentralen DV ist unter der Benutzerkennung K ebenfalls der geheime Schlüssel GS gespeichert. Hier wird nun nach dem gleichen Algorithmus aus Z und GS eine Größe ZV1 gebildet. Die DV vergleicht die beiden Werte ZV1 und ZV (7). Stimmen sie überein, so wird der Aufbau der Sitzung zwischen Außendienst-Mitarbeiter und zentraler DV eingeleitet (8). Der Außendienst-Mitarbeiter kann dann sofort zu einer Anwendung des Zentralsystems durchgeschaltet werden oder auch die normalen Log-on-Prozeduren der zentralen DV durchlaufen. Bei Ungleichheit der Werte ZV1 und ZV wird der

Benutzer abgewiesen (9) und eine geeignete Warnung auf der Konsole der zentralen DVA abgesetzt.

Das vorgestellte Verfahren ist sicher gegen Lauschangriffe. Die zwischen Außendienst-Mitarbeiter-PC und zentraler DV innerhalb des Authentifizierungsdialogs ausgetauschten Daten sind nicht geheim, weil es Sich um Zufallsgrößen handelt, deren Kenntnis keine Möglichkeit zum Eindringen in das System schafft.

Das Verfahren ist auch in hohem Maße sicher gegen einen Mißbrauch infolge von Diebstahl oder Duplizieren der Chip-Karte. Die Karte allein ist wertlos, weil sie nur bei Kenntnis der PIN aktiviert werden kann.

Auch die PIN allein ist wertlos, weil sie nur im Zusammenhang mit der Chip-Karte Bedeutung hat. Sicherheitsrisiken durch Nachlässigkeit von Personen werden durch die Kombination von Zauberwort (PIN) und Schlüssel (Chip-Karte) bei dem vorgestellten Verfahren erheblich reduziert. Während Benutzerkennungen (wie die PIN) relativ leicht unbefugt und unbemerkt dupliziert werden können, ist der Verlust der Karte durch den Besitzer vergleichsweise leicht zu bemerken. Weil aber beide, Chip-Karte sind PIN, erforderlich sind, um den Zugang zur zentralen DV zu erlangen, ist die Wahrscheinlichkeit sehr hoch, daß potentiellen Eindringlingen frühzeitig der Zugang versperrt.

Die Erfahrung aus zahlreichen Projekten zum Chip-Karteneinsatz, insbesondere auch mit Kunden aus dem hochgradig sicherheitskritischen Bankenbereich wie der Gesellschaft für Zahlungssysteme, hat das unabhängige Beratungsunternehmen SCS Informationstechnik GmbH in seiner Überzeugung bestätigt, daß für "remote"-Zugriffe auf ein zentrales DV-System ein Chip-Karten-gesichertes Authetifizierungsverfahren den herkömmlichen Zugangskontroll-Prozeduren beträchtlich überlegen ist. Bei geeigneter Spezifikation des Authentifizierungsalgorithmus und der Kommunikationsprotokolle zwischen Chip-Karte und zentraler DV sowie sorgfältiger Planung des Gesamtsystems ist die Chip-Kartentechnik geeignet, jeden Versuch des illegalen "remote"-Zugangs mit größter Sicherheit zu vereiteln.

Für die Wahl des Fernmeldedienstes (Btx, Datex-P, Modem-Strecken und Akustikkoppler, ISDN) kommen für eine Außendienst-Anbindung verschiedene Alternativen in Betracht. Dem analogen Fernsprechnetz wird hier doch für viele Jahre große Bedeutung zukommen. Allerdings müssen bei Planungen heute schon die Möglichkeiten des ISDN mitbedacht werden. Neben den technischen Merkmalen der verschiedenen Netze und Dienste stellen selbstverständlich Tarife und Gebühren für die Datenübertragung einen entscheidenden Faktor dar.

Bei der Planung eines Chip-Karteneinsatzes zur Absicherung der Außendienst-Anbindung an die zentrale DV müssen die beträchtlichen Möglichkeiten berücksichtigt werden, die die Multifunktionalität von Karten eröffnet.

Weitere Anwendungen sind auf derselben Chip-Karte ohne weiteres realisierbar und in vielen Fällen zumindest als Option mit einzuplanen. Einsatzgebiete sind unter anderem Gebäude-Zugangskontrollen, Zeiterfassung und elektronische Unterschriften.