Ein Ausweis für alles

Eine solche flexible Authentifizierungs-lösung garantiert gleichermaßen sicheren Zugang zu Gebäuden, zum Netzwerk, zu Cloud-basierten Diensten und IT-Ressourcen. Sie unterstützt portable Berechtigungen für nutzerfreundlichen und sicheren Zugriff mit Smartphones oder Tablets und bietet Multifaktor-Authentifizierung für höchste Sicherheit. Konvergente Lösungen ermöglichen eine Interoperabilität zwischen unterschiedlichen Kommunikationskanälen mittels Laptops, Tablets und Telefonen.

Es gibt eine Vielzahl von Erfolgsmethoden bei der Umsetzung dieser Anforderungen – sowohl bei der individuellen Sicherung von IT- und physischen Infrastrukturen als auch im Rahmen einer Gesamtlösung für herkömmliche Ausweise sowie mobile Geräte.

Zentrales Element ist ein mehrschichtiger Sicherheitsansatz, denn einfache Passworte reichen für eine sichere Authentifizierung nicht mehr aus. Unternehmen haben sich bisher in der Regel auf die Sicherung der Netzwerkperimeter konzentriert und sich bei der Benutzer-authentifizierung innerhalb der Firewall auf statische Passworte verlassen.

Angesichts der neuen Risiken wie Advanced Persistent Threats (APTs), Ad-hoc-Hacking und der stetig wachsenden Beliebtheit von Bring Your Own Device (BYOD) sind diese Methoden für eine wirklich sichere Zugangskontrolle nicht mehr ausreichend. Statische Passworte können katastrophale Auswirkungen haben. Deshalb sollten Unternehmen sowohl für Cloud-basierte Systeme als auch für individuelle Anwendungen und Server auf eine starke Authentifizierung setzen.

Eine mehrschichtige Sicherheitsstrategie sollte Multifaktor-Authentifizierung, Geräteidentifizierung, Browserschutz und Transaktionsauthentifizierung umfassen. Dies erfordert eine integrierte und vielseitige Authentifizierungsplattform, die eine Bedrohungserkennung in Echtzeit ermöglicht. Diese Technologie wird bereits seit einiger Zeit beim Online-Banking und E-Commerce eingesetzt. Es ist zu erwarten, dass sie zur Bedrohungserkennung in den Unternehmenssektor als zusätzliche Sicherheitsebene für Remote-Zugriff über VPNs oder virtuelle Desktops ihren Einzug halten wird.

Zwei-Faktor-Authentifizierung war in der Regel auf OTP-Token, Display Cards und andere physische Geräte beschränkt, wird heute jedoch durch „Software-Token“ ersetzt, die auf Endgeräten wie Handys, Tablets und Browser-basierten Token bereitgestellt werden. Unternehmen können einen speziellen Sicherheits-Token durch das Smartphone des Anwenders ersetzen. Der zweite Authentifizierungsfaktor ist damit sehr benutzerfreundlich und wird von den Anwendern gut angenommen.

Eine Telefon-App generiert ein OTP oder OTPs werden per SMS an das Telefon gesendet. Für erhöhte Sicherheit wird die Anmeldeinformation im Secure Element des mobilen Geräts oder dem Subscriber Identity Module (SIM)-Chip gespeichert. Mobile Token können auch mit den Single-Sign-On-Fähigkeiten einer Cloud-App kombiniert werden. Dadurch wird die klassische Zwei-Faktor-Authentifizierung mit dem Zugriff auf mehrere Cloud-Apps über ein einziges Gerät zu einer konvergenten Lösung.

Wenn das Identitätsmanagement in die Cloud verlegt wird, sind einige kritische Elemente zu berücksichtigen. Bei den Sicherheitserwägungen für dieses Modul konzentriert man sich heute stark auf die Sicherung der Plattform. Mit einer zunehmenden Verlagerung von Anwendungen in die Cloud und Nutzung von Software as a Service (SaaS)-Modellen, wird es für Unternehmen jedoch von entscheidender Bedeutung sein, die Herausforderungen beim Bereitstellen und Widerrufen von Benutzeridentitäten für mehrere Cloud-basierte Anwendungen zu lösen und dabei gleichzeitig für eine sichere und doch schnelle Anmeldung zu diesen Anwendungen zu sorgen.

Die Branche muss zudem Best Practices für die Verwaltung und Unterstützung der zahlreichen, persönlichen mobilen Geräte in einer Bring Your Own Device (BYOD)-Umgebung definieren. Die Authentifizierung über ein persönliches Gerät – für eine Anwendung auf einem Unternehmensnetzwerk oder in der Cloud – wird zunehmend an Bedeutung gewinnen. Es wird zudem eine Herausforderung sein, die Privatsphäre von BYOD-Nutzern zu gewährleisten und gleichzeitig die Integrität von Unternehmensdaten und -ressourcen zu schützen.

Kontaktlose Smartcards sind die Technologie der Wahl für physische Zutrittskontrolle. Sie arbeiten mir gegenseitiger Authentifizierung und kryptografischen Schutzmechanismen. Die eingesetzten Karten sollten auch auf offenen Standards basieren und in innerhalb der Zutrittskontrolllösung mit möglichst vielen unterschiedlichen Produkten kompatibel sein – das wird über ein sicheres Messaging-Protokoll auf einer höchstsicheren Kommunikationsplattform möglich. Ein Standard-basiertes Interface erhöht Skalierbarkeit und Interoperabilität. Solche Karten sind auch in Smartphones einsetzbar. So bleibt es dem Anwender überlassen, eine Smartcard oder ein mobiles Gerät für die Zutrittskontrolle zu nutzen.

Es gibt viele Gründe, warum diese „Zukunftssicherheit“ so wichtig ist. Möglicherweise gibt es neue Anwendungen, die ein Unternehmen zukünftig nutzen möchten, zum Beispiel biometrische Informationen. Unternehmensfusionen oder Standortwechsel erfordern vielleicht einen neuen Markenauftritt oder Änderungen in der Verwaltung und damit die Ausstellung neuer Karten. Neue Auflagen von Seiten der Versicherungen oder der Wunsch nach Haftungsreduzierung können dazu führen, dass das Risikomanagement verbessert werden muss – insbesondere, wenn es sich bei dem vorhandenen System um ein leicht zu kopierendes Niederfrequenzsystem handelt. Neue Gesetze oder aufsichtsrechtliche Bestimmungen können erhöhte Sicherheit erfordern.

Es kann auch von Vorteil sein, mehrere Anwendungen in eine Lösung zu integrieren, die eine zentrale und kosteneffizientere Verwaltung für das Unternehmen und eine einfachere Nutzung für die Mitarbeiter beinhaltet. In solchen Fällen bietet es sich an, getrennte Karten für das Zutrittskontrollsystem und den Zugriff auf Computer, für die Zeiterfassung, sicheres Drucken, die Kantine, bargeldlosen Automatenkauf und andere Anwendungen abzuschaffen. Ein integrierter, konvergenter Ausweis für all diese Anwendungen erhöht die Sicherheit deutlich, da in allen Schlüsselsystemen und Anwendungen innerhalb der gesamten Infrastruktur - also nicht nur an den äußeren Grenzen - eine leistungsfähige Authentifizierung lückenlos zur Anwendung kommt. Darüber hinaus verringern sich die Kosten: Die Zugangskontrolle für IT Resourcen kann über das Kartenbudget mit abgedeckt werden und Resourcen werden in einer vollständig interoperablen, mehrschichtigen Sicherheitslösung effizienter genutzt.

Voll im Trend ist die Kombination von Zutrittskontrolle und gesichertem Zugang zu IT-Ressourcen auf einem Smartphone oder Tablet - ein Gerät, das Nutzer nur selten verlieren oder vergessen. Dies ist eine bequeme und anwenderfreundliche Lösung für die Zutrittskontrolle, den Netzwerkzugang und ganz unterschiedliche Anwendungen mit einem mobilen Gerät und ganz ohne One-time password (OTP)-Token oder Schlüsselanhänger. Ein Cloud-basiertes Identity Management beseitigt hier das Risiko, dass Berechtigungen kopiert werden. Es vereinfacht zudem die Ausgabe zeitlich befristeter digitaler Besucherausweise, denn diese können ganz nach Bedarf programmiert und bei Verlust oder Diebstahl zentral storniert werden.

Dennoch wird die mobile Zutrittskontrolle Schlüssel und Karten in den kommenden Jahren höchstwahrscheinlich nicht ersetzen. Stattdessen werden Smartphones in Kombination mit Karten und Ausweisen eingesetzt werden. Unternehmen können somit für ihr physisches Zutrittskontrollsystem wahlweise Smartcards, mobile Geräte oder auch beides parallel verwenden. Dabei wird es wichtig sein, einen Migrationspfad zu diesem hybriden Zutrittskontrollumfeld zu schaffen – mit der Gewissheit, dass die Investitionen von heute auch zukünftig genutzt werden können. Die Migration hin zu neuen Funktionen erfordert eine erweiterbare und anpassungsfähige Plattform für Multi-Technologie Smartcards und Leser, um vorhandene und neue Kartentechnologien auf einer Karte zu kombinieren und dabei gleichzeitig Smartphone-Plattformen zu unterstützen.

In der Zwischenzeit müssen Unternehmen auch die sichere Ausgabe herkömmlicher Karten optimieren. Dazu gehört es, wichtige visuelle und logische Technologien einzubinden, die eine Validierung auf mehreren Ebenen ermöglichen sowie mehrschichtige Verwaltungsabläufe für eine verbesserte Sicherheit und mehr Effizienz bei der Kartenausgabe zu nutzen. Die meisten ID-Kartenausgabesysteme beruhen auf zweidimensionaler Identitätsprüfung. Dabei wird die Person, die einen Ausweis vorweist, mit den Identifikationsdaten auf der Karte (wie zum Beispiel einem Foto) verglichen. In Frage kommen auch anspruchsvollere Elemente wie hochauflösende Bilder oder Lasergravur, die eine Fälschung nahezu unmöglich machen. Smartcard-Chips, Magnetstreifen und andere digitale Komponenten fügen eine dritte Sicherheitsdimension hinzu. Durch erweiterte Datenspeicherung auf der Karte können biometrische Informationen hinzugefügt werden. Smartcard Online-Personalisierungsverfahren erledigen alle erforderlichen Aufgaben in nur einem Schritt. Eine weitere, empfehlenswerte Best Practice ist die Integration von Lesern/Kodierern in die Kartendrucker-Hardware.

Best Practices für das Zutrittskontrollsystem und den Zugang zu IT Resourcen – und für die Lösungen, die beide Funktionen auf einem einzigen Medium kombinieren – erfordern den Einsatz von standardbasierter Smartcard-Technologie, die multiple Anwendungen unterstützt und auf Smartphones übertragbar ist. Auf dieser Grundlage und mit einer vorausschauenden Migrationsplanung für zukünfigte Anwendungen, können Unternehmen beide Technologien in ihrem Zugangskontrollsystem nutzen. Sie können außerdem flexibel auf neue Anforderungen reagieren und haben dabei die Gewissheit, dass sich getätigte Investitionen in die bestehende Infrastruktur auch weiterhin auszahlen.