Intranet und Extranet/Biometrische Verfahren werden erschwinglich

Sichere Benutzerauthentifikation für Intra- und Extranet-Anwendungen

16.12.1998
Von Thomas Barth* Zweifelhafte Sicherheit gilt vielerorts als wichtigster Einwand gegen Intra- und Extranets. Die sichere Authentifikation der Benutzer ist der beste Schutz vor Angriffen von Computerkriminellen. Der breite Einsatz von Kryptografie und Biometrie steht in der Wirtschaft kurz bevor.

Daß die amtliche Kriminalstatistik für 1997 weniger Fälle von Datenausspähung meldet, ist kaum als Entwarnung zu werten. Eine Studie der amerikanischen Regierung ergab, daß allenfalls vier Prozent der Opfer einen Einbruch in ihre Computersysteme gemeldet haben - weil sie das Eindringen nicht einmal bemerkt haben oder aus Imagegründen schweigen.

Jeder Internet-Anschluß ermöglicht neue Computerkriminalität. Die Gefahr nimmt zu, auch wenn sie unsichtbar bleibt. Dies gilt besonders für Unternehmen, die allesamt sensible Daten besitzen, wenn sie ein Intra- oder Extranet implementieren.

Intranets basieren auf Internet-Technologie und weisen grundsätzlich die gleichen Schwachpunkte auf. Hinzu kommt, daß interne Angreifer innerhalb des Intranet die Netzwerkstruktur meist besser kennen, zuweilen bis hin zu fremden Paßwörtern. Finden sich letztere nicht ohnehin auf einem Zettel unter der Tastatur, so lassen sie sich durch das Installieren eines "Sniffers", eines kleinen Datenabhörprogramms, schnell ermitteln.

Größere Sicherheit gegen interne Informationslecks bieten immerhin technische Lösungen, um die Chancen, daß jemand bei einer illegalen Handlung unerkannt davonkommt, zu reduzieren. Eine möglichst sichere Benutzerauthentifikation beim betrieblichen Einsatz von Intra- und Extranets ist wohl die wichtigste Voraussetzung und zugleich eine der wirksamsten Maßnahmen.

Das gilt um so mehr, als heute nicht nur Hacker aus DV-Passion die Datenleitungen unsicher machen: "Die Ausspähung durch fremde Nachrichtendienste bedeutet ein wachsendes Bedrohungspotential für Unternehmen", so warnt der Deutsche Industrie- und Handelstag (DIHT) in einer aktuellen Anleitung zur Prävention von Wirtschaftsspionage.

Nach Ende des kalten Krieges wandten viele Geheimdienste ihre Aufmerksamkeit dem gewerblichen Bereich zu. Unter Verdacht steht insbesondere der technisch bestens ausgestattete US-Geheimdienst National Security Agency (NSA). Im CW-Spezial 4/98, S. 69, wird vom Fall eines norddeutschen Windrad-Herstellers berichtet, der sich von einem US-Konkurrenten um Rechte an seiner Technologie geprellt sieht und der NSA Mittäterschaft vorwirft.

Der Datentransfer über öffentliche oder private Computernetze schafft ein Sicherheitsloch für Unternehmen: Es kann mitgehört werden. Wie jüngst auch die Zeitschrift "PC mobil" (11/98, Seite 102) berichtete, überwacht der amerikanische Geheimdienst NSA weltweit den elektronischen Nachrichtenverkehr - was auch einem nicht mehr ganz neuen Bericht des Europäischen Parlaments (http://jya.com/stoa-atpc. htm) zu entnehmen ist.

Obgleich sich über diesen Geheimdienstskandal auch renommierte Medien wie "Die Zeit" oder die "Neue Zürcher Zeitung" empörten, dringt die Bedeutung dieser Information nur langsam ins Bewußtsein deutscher Unternehmer. Man sollte wissen, mit wem man kommuniziert - und daß die Information nur in die richtigen Hände gelangt. Auch innerhalb eines Intranet. Verschlüsselung und sichere Benutzerauthentifikation sind das Gebot der Stunde.

Liberalisierung und Deregulierung beendeten Ende der 80er Jahre auch in Europa die staatliche Kontrolle im Bereich der Telekommunikation. Was sich in der Vergangenheit organisatorisch und technisch aus einer Hand als homogene "hoheitliche" Staatsaufgabe leicht kontrollieren ließ, ist heute die Sache von privaten Anbietern. An die Stelle von Vorschriften, Dienstgeheimnis und Beamtenrecht treten die Gesetze des freien Markts.

Diese Freiheit eröffnet eine Vielfalt von Innovationen und kreativen Nutzungschancen, hat aber ihren Preis: Der einzelne muß mehr Eigenverantwortung für seine informationelle Sicherheit übernehmen. Je wertvoller seine Daten sind, desto mehr muß er auch in ihren Schutz investieren. Das blinde Vertrauen in die Verschwiegenheit der Kommunikationsdienstleister entbehrt mehr denn je einer realistischen Grundlage.

Die Komplexität und Dynamik der IT überfordert nicht nur Privatanwender, sondern auch manches an Internet-Technologien sehr interessierte Unternehmen. Dies birgt Gefahren, denn eine realistische Einschätzung des Risikopotentials ist Grundlage jedes verantwortungsbewußten Umgangs mit Daten.

Das Allerheiligste per Postkarte verschicken?

So kam es vor, daß ahnungslose Kunden ihr informationelles Allerheiligste, ihre Kreditkartennummer, auf einer WWW-Seite für jedermann zugänglich wiederfanden. Und mancher Netzneuling glaubt vielleicht immer noch, daß die geheimnisvolle elektronische Post schon eine Form der Verschlüsselung sei - und nicht eine im Prinzip von allen lesbare Postkarte.

Die Gesellschaft für Datenschutz und Datensicherheit e.V. setzt in ihrem Handbuch "Sicherheit in Netzen" (www.gdd.de) auf die Werte von Vertraulichkeit, Integrität und Verbindlichkeit. Information soll vertraulich übermittelt werden, also nur von Befugten zu lesen sein, die Integrität ihrer Form und ihres Inhalts soll dabei garantiert werden. Verbindlichkeit setzt schließlich eine zuverlässig beweisbare Urheberschaft wie einen belegbaren Empfang der Nachricht voraus und ist an eine sichere Benutzerauthentifikation geknüpft.

Die mit diesen Punkten auftauchenden Probleme des Internet wirken auch in Intranets. Folglich muß man sie hier ebenfalls durch geeignete Maßnahmen kompensieren. Intranets und deren kontrollierte Ausweitung, die Extranets, erfordern zumindest im sensiblen Datentransfer stärkere Sicherungsmechanismen.

Unser heutiges Verfahren, am Bankautomaten mittels Chipkarte und Paßwort Geld abzuheben, wird künftigen Generationen vermutlich wie das Funkenschlagen per Feuerstein anmuten. Auch wenn der Beruf des Kreditkartendiebs derzeit boomt, könnten seine Tage schon gezählt sein, denn die biometrische Authentifikation durch Augenhintergrund oder Fingerabdruck rückt in den Bereich der keineswegs nur für Geheimdienste erschwinglichen Technologien.

Eine kaum noch überschaubare Zahl von Anbietern und Resellern verschiedenster Sicherheitssysteme wirbt heute um die Internet-, WAN- und LAN-Benutzer. Für die meisten ist das Ende der Steinzeit noch nicht absehbar, sie setzen allein auf Paßwort und Karte.

Auch daraus lassen sich die Funken für passable Firewalls schlagen. Marktführer Check Point etwa erwähnt in der WWW-Werbung für sein Produkt "Firewall-1" kein biometrisches Verfahren. Die Komplettlösung von Utimaco setzt vor allem auf Authentifikation durch Smartcards.

Doch vorerst wird uns wohl weiterhin ein wachsender, gutgemischter Plastikkartenstapel mit all seinen Nachteilen begleiten. Der Verdacht eines Mordes im Todesfall des Hackers "Tron", der als genialer Karten-Cracker bekannt war, lag nahe, weil der illegale Chipkartenmarkt hart umkämpft ist. Das Risiko von Diebstahl und Fälschung des Ausweises bleibt auch dann bestehen, wenn dieser aus Plastik hergestellt wird.

Paßwörter sind Schall und Rauch

Die billige Lösung des Problems, die simple Paßwortabfrage, läßt sich heute nicht mehr ernsthaft als sicher einschätzen. In einem LAN plazierte Paßwort-Sniffer ermitteln die beliebten Paßwörter (Namen, Tiere etc.) binnen Minuten. Klüger gewählte Paßworte - also die, die immer vergessen werden und so zirka 30 Prozent der Arbeitszeit von Systembetreuern verschlingen - dauern etwas länger.

"Wenn Authentifizierung ernst genommen wird, dann muß man sich von Paßwörtern verabschieden. Die Zukunft gehört biometrischen Verfahren", erklärt Martin Hell, Security-Experte und Tigerteam-Chef der Firma Crocodial Communications in einem Interview der COMPUTERWOCHE (CW-Spezial 4/98, Seite 51). Nur Science-Fiction und Agentengeschichten? Oder weisen wir uns schon bald im Alltag per Retina oder anderen biometrischen Merkmalen aus? Einiges spricht dafür.

Marktreife Biometrie findet sich heute schon im Angebot des technologischen Vorreiters Sky- tale Data Security Solutions. Dessen Sicherheitslösungen beginnen zwar auch bei Karten- und Paßworttechnik, lassen sich jedoch bei steigendem Sicherheitsbedarf modular bis hin zu einer avancierten Fingerprint-Verifikation ausbauen. Erst der Daumen auf dem Verifikator an der Tastatur ermöglicht den Zugang zu Festplatten, LAN etc.

"Trotz komplex kombinierbarer Kryptografie-Algorithmen von RSA bis IDEA, sind die Datensicherheitslösungen von Skytale so einfach zu handhaben, daß selbst Computereinsteiger sie bedienen können", meint Nicolaus Thiele-Dohrmann von RKK, einem Hamburger Skytale-Netzwerkpartner. Der einzige Nachteil sei ein Vorteil für die Anwender: "Als Distributor dieser Software kann man an Schulungen leider nicht mehr verdienen."

Das Beispiel zeigt nebenbei auch, daß IT-Sicherheit aus privater Hand preisgünstiger zu haben ist als von Vater Staat: Geben die USA für ihren Nachrichtendienst NSA jährlich zehn bis 20 Milliarden Dollar, vermutlich 300000 Dollar je Agentenarbeitsplatz, aus, so kostet die Sicherung eines Workplace durch Skytale nur 90 bis 250 Mark, allerdings ohne die biometrische Hardware.

Die kostet auch nicht mehr die Welt, nämlich zum Beispiel rund 400 Mark der Fingerprint-Sensor von Veridicom. Ein Silizium-Sensor erkennt die Benutzer an ihrem Fingerabdruck und entlastet ihr Gedächtnis von Paßwörtern und PINs. Der Hersteller, ein Lucent-Tochterunternehmen in San José, Kalifornien, beginnt gerade mit der Serienproduktion.

Angeklickt

Auf die Vertraulichkeit von Datennetzen zu setzen ist blauäugig; man könnte sensible Unternehmensinformationen auch gleich per Postkarte verschicken. Was auf Basis von Internet-Techniken gilt, trifft auch für Extranets und selbst für Intranets zu. Nicht nur Hacker, zunehmend sind auch Konkurrenten und neue Technologien ausspähende Geheimdienste interessiert. Plastikkarten und Paßwörter bieten keinen hinreichenden Schutz. Zur Zeit kommen allerdings preiswerte Produkte auf den Markt, die biometrische Verfahren verwenden.

*Thomas Barth ist auf Computer spezialisierter Diplomkriminologe und freier Autor in Hamburg. Sein aktuelles Buch: "Soziale Kontrolle in der Informationsgesellschaft".