Identitäts- und Zugangsschutz: Virtuelle Masken lüften

Authentifizierung über zwei Faktoren

Eine grundlegende Aufgabe ist es, alle User sicher zu authentifizieren. Dies gelingt am besten über zwei Faktoren (Besitz und Wissen). Realisieren lässt sich dieser Ansatz beispielsweise über Smartcards: Der User gibt in die Oberfläche einer webbasierten Zugangssoftware seine persönliche PIN ein, ein angeschlossener Kartenterminal liest die Personendaten auf der Smartcard und verifiziert sie über einen entsprechenden Server. Das Verfahren hat jedoch den großen Nachteil, dass das eingesetzte Endgerät immer mit einem Smart Card Reader verbunden sein muss. Für den mobilen Zugangsschutz eigenen sich die Cards aus diesem Grunde kaum.

Die gleiche Problematik hat die Authentifizierung über so genannte Public-Key-Infrastrukturen (PKIs) in Verbindung mit Smart Cards. Eine PKI für sich alleine ist ein Verfahren zur Ver- und Entschlüsselung von Daten. Die Teilnehmer erhalten einen geheimen privaten Schlüssel (Private Key) und einen öffentlichen Schlüssel (Public Key). Den öffentlichen Schlüssel können sie zum Verschlüsseln und zum Überprüfen einer digitalen Signatur, den privaten zum Entschlüsseln und zum Signieren von persönlichen Daten einsetzen. Verschlüsselte Daten sind entsprechend nur mit dem dazugehörigen privaten Schlüssel lesbar. Um das PKI-Schlüsselpaar zur Authentifizierung von Usern zu nutzen, bedarf es noch des Faktors Besitz, den in der Praxis eben oft eine Smart Card abdeckt. Diese speichert beide Keys sowie zusätzliche Personaldaten. Auch hier sind jedoch die Einsatzmöglichkeiten beschränkt. Ein wesentlich flexibleres Authentifizierungswerkzeug stellen schlüsselanhängergroße Token dar. Sie generieren je Login nach Eingabe einer persönlichen PIN ein einmal nutzbares Passwort. Ein Authentifizierungsserver prüft, ob der Code korrekt ist und schaltet in diesem Fall den Zugang zum sicheren Netz frei. Token-Nutzer können sich von jedem beliebigen Standort aus in das Firmennetz einwählen. Optimal ist, wenn die gewählte IAM-Plattform verschiedene Authentifizierungstechnologien unterstützt.

Neben der Zwei-Faktor-Authentifizierung ist die Verschlüsselung des Datenverkehrs ein weiteres wichtiges Element von IAM. Neben dem aufwendigen PKI-Verfahren bietet sich die Verschlüsselung über kryptische Protokolle wie SSL oder IPSec an. Hierzu wird für jede Verbindung ein sogenanntes Virtual Private Network (VPN) aufgebaut, sodass die Daten zwischen zwei definierten Endpunkten verschlüsselt verkehren. Sie sind dadurch für Wegelagerer unlesbar.