RFID, Biometrie, Verschlüsselung, Mehrfaktorauthentifizierung

Aktuelle Authentifizierungstechnologien im Überblick

Eine Identity- und Access-Management-Strategie erfordert eine gute Konzeption. Steht diese, müssen entsprechende Technologien und Produkte geprüft werden. Wir erörtern aktuelle Authentifizierungstechnologien in Hinblick auf Verschlüsselung, Zugriffskontrolle, Biometrie und Authentifizierung.

Die Einführung eines modernen Identity- und Access-Managements (IAM) lässt schnell die entscheidende Frage für die tägliche Praxis auftauen: Wie stellen Unternehmen sicher, dass nur befugte Mitarbeiter, Kunden und Partner Zugriff auf bestimmte Daten und Informationen erhalten?

Es gibt vier Methoden, die sich untereinander ergänzen können:

  • Verschlüsselte Datenspeicher;

  • Zugriffskontrolle über RFID;

  • Biometrische Erkennungsverfahren;

  • Mehrfaktor-Authentifizierung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sehr konkrete Anforderungen an Speichermedien definiert. Dazu gehört unter anderem die Wahrung der Vertraulichkeit von Daten bei logischen wie physischen Angriffen. Realisiert werden kann dies beispielsweise durch eine mehrstufige Nutzerauthentifizierung für den Zugriff auf den geschützten Speicherbereich im Zusammenhang mit einer (hardwarebasierten) Verschlüsselung der Daten.

Für Letzteres wird beispielsweise die AES-Verschlüsselung mit einer Schlüssellänge von 256-Bit im CBC-Modus empfohlen. AES steht für "Advanced Encryption Standard", ein symmetrisches Kryptosystem, das weltweit als berechnungssicher gilt und so beispielsweise in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen ist. Die AES-Betriebsart Cypher Block Chaining (CBC) bezeichnet ein kompliziertes Verfahren, bei dem die einzelnen Klartextblöcke zunächst mit dem im jeweils letzten Schritt erzeugten Geheimtextblock verknüpft und erst anschließend mit dem AES-Schlüssel verschlüsselt werden. Darüber hinaus muss der Anwender eines als hochsicher geltenden Speichermediums in der Lage sein, den kryptografischen Schlüssel selbst zu generieren und im Notfall zu zerstören.

Verschlüsselung ist nicht alles

Anwender sitzen im Zusammenhang mit der Verschlüsselung jedoch immer wieder einem populären Irrtum auf: Sie meinen, eine Verschlüsselung ihrer Daten würde ausreichende Sicherheit vor unbefugtem Zugriff und Datenklau bieten. Doch selbst die besten Verschlüsselungsverfahren sind für Datendiebe kein echtes Hindernis, sofern keine entsprechend effektive Zugriffskontrolle existiert. Denn die Vertraulichkeit von Daten auf mobilen Speichermedien, beispielsweise mobilen Sicherheitsfestplatten, kann nur durch eine Kombination von Zugriffskontrolle und Verschlüsselung garantiert werden. Während nämlich die Verschlüsselung die Vertraulichkeit der Daten speziell bei physischen Angriffen auf den Speicher sicherstellt, werden mittels einer Zugriffskontrolle nicht authentisierte Zugriffsversuche auf den Speicher auf Hardwareebene geblockt.

Entweder Tür oder Schloss

So bietet selbst die empfohlene AES-Full-Disk-Verschlüsselung nicht die erwartete höchste Sicherheit, solange der Datenzugriff nicht über einen mehrstufigen, komplexen Authentifizierungsmechanismus erfolgt und der kryptografische Schlüssel nicht extern, außerhalb der Festplatte, gespeichert ist. Ansonsten tritt der Fall ein, dass sensible Daten - bildlich gesprochen - zwar hinter einer massiven Stahltür liegen, diese Stahltür jedoch lediglich mit einem Vorhängeschloss gesichert ist, das sich im Handumdrehen entfernen lässt. "Die Sicherheitsleistung kann insbesondere durch die Ausnutzbarkeit vorhandener Schwachstellen unwirksam werden", stellt das BSI dazu ausdrücklich fest.