Die „Unternehmensschätze“ stehen im Fokus von Cyberkriminellen – ob Maschinen und gesicherte Geschäftsbereiche oder digitale Informationen wie Patente und Forschungs- und Entwicklungsdaten. Entsprechend muss der Zutritt und Zugang zu diesen konsequent geschützt werden.
Herkömmliche Methoden der Authentifizierung in Form von Benutzername und Passwort reichen bei weitem nicht mehr aus. Aktuelle Entwicklungen in den Bereichen Künstliche Intelligenz und Biometrie zeigen hier neue Wege auf.
Unternehmen sind unterschiedlichsten Sicherheitsbedrohungen ausgesetzt. So sind IT- Infrastrukturen – zum Beispiel Datenbanken und Software – mit geeigneten Maßnahmen zu schützen. Schutz benötigen aber auch die physikalischen Komponenten wie Gebäude, IT-Hardware und Produktionsanlagen. Hier gilt es, ein unbefugtes Betreten oder einen unberechtigten Zugriff zu verhindern.
Digitale Identitäten sind Grundlage für IAM
Die Lösung für beide Sicherheitsaufgaben liegt in einem modernen Identity- und Access- Management (IAM). Dieses stellt sicher, dass nur befugte Mitarbeiter, Kunden und Partner bestimmte Unternehmensbereiche betreten oder auf wichtige Unternehmensdaten zugreifen dürfen. Im Zeitalter von Industrie 4.0 bezieht sich das IAM aber nicht nur auf Personen, sondern auch auf Maschinen, die mit anderen internen und externen Systemen vernetzt sind und autonom miteinander kommunizieren.
Grundlage jedes Identity- und Access-Managements sind digitale Identitäten. Der Begriff „Identität“ definiert eine Person als einmalig und unverwechselbar. In der digitalen Welt haben Menschen verschiedene Identitäten. Sie verschicken Nachrichten mit ihren E-Mail- Adressen, buchen mit ihrer Kreditkarte Geschäftsreisen oder vernetzen sich auf sozialen Business-Netzwerken.
Eine Sichere Digitale Identität bedeutet, dass diese nicht manipuliert, gefälscht oder missbraucht werden kann. Sie stellt sicher, dass jemand tatsächlich derjenige ist, für den er sich ausgibt. Aber nicht nur Personen, sondern auch Objekte, Dienste oder Prozesse können Identitäten besitzen. So können sich Produktionsanlagen beispielsweise bei der Datenübertragung in die Cloud oder bei der Fernwartung eindeutig ausweisen.
Identifizierung ist nicht gleich Authentifizierung
Um den Missbrauch der digitalen Identität zu verhindern, muss die Bindung an den jeweiligen Anwender sicher gestellt sein. Die Überprüfung findet in Form eines Anmeldeprozesses beziehungsweise Log-ins statt. Während dieses Vorgangs muss der Anwender beweisen, dass er Besitzer der angegebenen digitalen Identität ist. Das heißt, er muss sich authentifizieren. Die sichere Authentifizierung ist deshalb eine der wichtigsten Aufgaben der IAM-Maßnahmen.
Häufig wird synonym dafür auch der Begriff „Identifizierung“ verwendet. Beide Begriffe beziehen sich aber auf unterschiedliche Sachverhalte. Bei der Identifizierung sagt die Seite A der Seite B, wer sie ist. Mit der Authentifizierung beweist die Seite A der Seite B, dass es sich tatsächlich um die für diesen Vorgang berechtigte Identität handelt. Ein Internet-Anwender identifiziert sich bei einem Online-Dienst mit seinem Benutzername und authentifiziert sich danach mit dem dazugehörigen Passwort
Für den Prozess der Authentifizierung gibt es unterschiedliche Methoden, die sich grundsätzlich in die drei Kategorien „Wissen“, „Besitz“ und „Biometrie“ einordnen lassen. Jede Methode nutzt unterschiedliche Faktoren für die Authentifizierung.
Mit „Wissen“, „Besitz“ und „Biometrie“ Identitäten nachweisen
Bei der ersten Methode authentifiziert sich der Anwender mit einem Wissen, das nur ihm bekannt ist. Die bekanntesten Faktoren dieser Methode sind ein Passwort oder eine PIN. Doch Wissen kann vergessen werden, besonders wenn es aus einem schwer zu merkenden Passwort besteht. Noch schlimmer ist es, wenn Anwender sich ihre Zugangsdaten auf Klebezettel schreiben und am Bildschirm befestigen oder einfache Passwörter wählen, die leicht zu erraten sind.
Die zweite Methode umfasst den Besitz eines Gegenstands, der auf den Anwender registriert ist. Chipkarten sind dabei wohl der am meisten eingesetzte Faktor. Anwender brauchen die Karte nur an ein Lesegerät halten und sind dann authentifiziert. Doch können die Gegenstände verloren beziehungsweise gestohlen werden. In falsche Hände gelangt, entstehen dann neue Sicherheitsgefahren.
Die biometrische Authentifizierung stützt sich auf körperliche Merkmale eines Menschen, um ihn als Anwender zu erkennen. Zu den Faktoren zählen Fingerabdruck, Iris, Gesicht oder Handvenen.
Der biometrische Betriebsausweis
Ein Optimum an Sicherheit lässt sich durch die Kombination zweier Methoden erzielen, auch als Zwei-Faktor-Authentifizierung (2FA) bezeichnet. Beispiel für eine besonders sichere Authentifizierung ist der biometrische Betriebsausweis. Dabei wird eine Chipkarte mit einem Fingerabdrucksensor und digitalen Zertifikat ausgestattet.
Ein digitales Zertifikat ist ein elektronischer Datensatz, der die Identitätsinformationen des Anwenders enthält, zum Beispiel Name, Geburtsdatum und/oder E-Mail-Adresse. Alle Angaben sind durch Verschlüsselungsverfahren gegen Veränderungen geschützt.
Ausgestellt werden digitale Zertifikate von einer vertrauenswürdigen, dritten Instanz, dem Vertrauensdiensteanbieter (VDA, früher: Trustcenter). Damit beglaubigt der VDA sozusagen die Sichere Identität des Zertifikatebesitzers.
„Sicherheitsverantwortliche in Unternehmen können mit dem biometrischen Betriebsausweis individuelle, mehrstufige Authentifizierungsanforderungen definieren,“ erläutert Antonia Maas, Vorsitzende des Vorstands im Verein Sichere Identität Berlin- Brandenburg.
Beispiel: Beim Betreten des Betriebsgeländes hält der Mitarbeiter den Ausweis an ein Lesegerät, das die Zeit automatisch erfasst und das Ergebnis an ein entsprechendes Zeiterfassungssystem weiterleitet. Dasselbe geschieht, sobald der Mitarbeiter das Betriebsgelände wieder verlässt. Beim Zutritt zu sensiblen Unternehmensbereichen kann zusätzlich die Eingabe des Fingerabdrucks gefordert werden. Zudem lässt sich der biometrische Betriebsausweis für alle IT-bezogenen Anwendungen einsetzen.
„Zum Beispiel dient der Ausweis dazu, sich am Rechner anzumelden oder E-Mails zu signieren und zu verschlüsseln. Weiterhin unterstützt er das Output-Management in Unternehmen. Per Ausweis können IT-Administratoren detailliert steuern, wer ausgewählte Dokumente scannen, drucken oder weiterverarbeiten darf,“ ergänzt Antonia Maas.
Intelligente Sprachsysteme
Neue Impulse für die sichere Authentifizierung kommen von Technologien der Künstlichen Intelligenz. NLP oder ‚Natural Language Processing’ zum Beispiel erkennt und verarbeitet natürliche Sprache und gibt diese dann in Text oder Sprache aus. Mit intelligenten Sprachsystemen lassen sich dann Identitäten oder Zutrittsberechtigungen prüfen.
Frank Salewsky, Geschäftsführer der Securitas GmbH sieht im Logistik-Bereich einen großen Anwendungsbereich: „Mehrmals täglich treffen in Logistik-Zentren Lieferungen ein. Da ist es unabdingbar, genau zu schauen, ob die Waren auch tatsächlich angefordert wurden und ob der Anlieferer auch das Lager betreten darf. Intelligente Sprachsysteme können dann direkt mit den Fahrern in deren Landessprache interagieren und durch Zugriff auf die IT dort hinterlegte Zutrittsrechte aufrufen.“
Roboter-Begrüßung am Empfang
Kurz vor der Markteinführung stehen zudem sogenannte Concierge-Roboter, die Serviceaufgaben am Empfang übernehmen. Dazu gehört auch die Identitätsfeststellung.
„Entscheidend für die Akzeptanz ist ein menschenähnliches Erscheinungsbild des Roboters. Der Roboter muss für den Menschen als elektronischer Gegenpart erkennbar sein, zum Beispiel mit einem freundlichen Gesicht“, betont Matthias Krinke, Geschäftsführer der pi4_robotics GmbH und Vordenker der menschenähnlichen Roboterentwicklung.
Der Concierge-Roboter kommuniziert über die integrierte Sprachausgabe persönlich mit den Gästen und Mitarbeitern. Er verfügt über einen integrierten Scanner für Personalausweise, Visitenkarten oder andere Identifikationsnachweise. Die gescannten Daten gleicht der Roboter mit seiner Gesichtserkennung ab und schaut in Kalenderprogrammen nach, ob der Besucher auch einen Termin im Haus hat. Ist der Zutritt berechtigt, druckt er einen Hausausweis aus. Zusätzlich kann der Roboter über die geltenden Sicherheitsvorschriften informieren, die der Besucher lesen und bestätigen muss.
„Die so ermittelten persönlichen Daten lassen sich dann geschützt in der Private Cloud des Unternehmens ablegen und bei Bedarf jederzeit abrufen. Ist ein Besucher einmal authentifiziert, kann er alle Eingänge, zu denen er zutrittsberechtigt ist, nutzen und muss diesen Vorgang nicht immer von vorne beginnen. Das spart Unternehmen Zeit und Kosten, speziell solchen, die über das Gelände verstreut mehrere Toreinfahrten und sonstige Zugänge besitzen“, erläutert Matthias Krinke.
Am Gang werdet ihr sie erkennen
Biometrische Authentifizierungslösungen konzentrierten sich bisher hauptsächlich auf statische Merkmale. Anwender können aber nicht nur über körperliche Merkmale – wie Fingerabdruck oder Gesicht – erkannt werden, sondern auch darüber, wie sie sich bewegen, was sie tun oder wie sie sich verhalten.
Ein typisches dynamisches Merkmal ist der Gang des Menschen. Dieser unterscheidet sich durch Eigenschaften wie Schrittgeschwindigkeit, Schrittlänge oder Hüftschwung. Ein aktuelles Forschungsprojekt nutzt das Gangverhalten für die Authentifizierung. Zum Einsatz kommen Geräte, die der Nutzer bereits besitzt, wie Smartphones oder „Wearables“ (zum Beispiel Fitness-Tracker oder Smart Watches). Die notwendigen Parameter werden von den Bewegungssensoren der Geräte erfasst.
Authentifizierung im Hintergrund
Die Ergebnisse sind als Vertrauensniveau oder auch Trust Level dargestellt. Dieses Level gibt die Wahrscheinlichkeit an, dass der aktuelle Nutzer auch der tatsächliche Besitzer ist. Das Vertrauensniveau wird dann an das Smartphone des Nutzers gesendet.
Auf dem Smartphone laufen alle ermittelten Vertrauensniveaus zusammen und können dann an einen Identitätsprovider geschickt werden. Dieser ist befugt, das Trust Level an alle vom Nutzer verwendeten Dienste weiterzuleiten. Diese können wiederum entscheiden, welche Rechte sie dem Nutzer bei welchem Vertrauensniveau einräumen. Für ein Diskussionsforum kann das bei 75 Prozent liegen, während bei Bankgeschäften annähernd 100 Prozent notwendig sind.
Die gesamte Datenerfassung geschieht im Hintergrund. Das ist bequem für den Nutzer. Wenn er sich anmelden will, brauchen die Daten nur noch abgefragt werden. Er muss dann auf seinem Smartphone nur noch auf „OK“ drücken und schon läuft der Authentifizierungsprozess automatisch ab. Und auch für höchste Sicherheit ist gesorgt. Denn eine Änderung des Nutzerverhaltens wird schnell registriert. Unbefugten kann schnell und direkt der Zugang zum Smartphone und zu den Diensten gesperrt werden.
Fazit: Die sichere Authentifizierung von Personen, Objekten und Systemen wird auch in Zukunft eine bedeutsame Rolle spielen. Sie ist entscheidend, um die „Unternehmensschätze“ zu schützen und unberechtigte Zutritte oder Zugriffe zu verhindern. Damit wird sie zum strategischen Wettbewerbsfaktor. Neue Lösungen setzen Technologien aus der Biometrie und der Künstlichen Intelligenz ein, um eine moderne Nutzererfahrung zu bieten und den Authentifizierungsprozess noch sicherer und einfacher zu machen.
Anne-Sophie Gógl, Geschäftsführerin des Vereins ‚Sichere Identität Berlin- Brandenburg e.V.
www.sichere-identitaet-bb.de