Produkt
protect4use

Multi-Faktor-Authentifizierung für Webdienste

Webdienstbetreibende mit hohen Anforderungen an Sicherheit und Datenschutz wissen: Übliche Authentifizierungen mit Benutzername und Passwort reichen nicht mehr aus. Gründe dafür sind die Anfälligkeiten für Angriffe und neue gesetzliche Standards. secunet protect4use schützt die digitale Identität durch sichere Authentifizierung mit starker Kryptografie. Dabei bleiben alle Nutzerdaten beim Betreiber oder dessen Dienstleister.

Alle Vorteile von protect4use auf einen Blick

Einfach

secunet protect4use verhindert auf aufwändige und schwer kalkulierbaren Eigenentwicklungen. Die Pflege erfolgt durch uns

Zukunftssicher

Mit zusätzliche Token-Typen und neuen kryptografischen Verfahren oder Standards ist protect4use auch in Zukunft jederzeit integrierbar.

Flexibel

Individuelles Look & Feel: Branding und UI-Inhalte von protect4use sind konfigurierbar.

Sicher

protect4use deckt einen großen Bereich an Sicherheitsanforderungen flexibel ab.

Nutzerfreundlich

Mit Mobilgeräten als zweiter Faktor für Desktop-Computer erfolgt die Entsperrung einfach durch z.B. PIN, Passwort, Fingerabdruck oder Gesicht.

Schutz der digitalen Identität durch sichere Authentifizierung
Neben einem besonders sicheren Login ermöglicht protect4use die revisionssichere Autorisierung von Transaktionen sowie die elektronische Einreichung digital signierter Daten oder Dokumente.
  1. Sicher Registrieren: Verschiedenste Registrierungsprozesse werden unterstützt. Beispielsweise könnten sich neue Benutzerinnen und Benutzer mit Ihren Daten selbst registrieren oder Ihren Zugang mit einem Geheimnis (z.B. Registrierungscode) freischalten. Auf Anfrage ermöglichen wir auch die Identifikation mit elektronischem Personalausweis.
  2. Sicher Einloggen: Registrierte Anwenderinnen und Anwender werden beim Login sicher authentifiziert. Dabei wird die digitale Identität durch einen sicheren lokalen Token repräsentiert.
  3. Revisionssicher Autorisieren:
  • Nachweisfähige Transaktionsfreigabe (z.B. Antrag, Überweisung, Bestellung)
  • Zurechenbare elektronische Datenübermittlung (z.B. Adressänderung, Zählerstand) oder Einreichung von Dokumenten (z.B. Urkunde, Vollmacht).
  • Optional erweiterbar mit secunet evidence um schriftformwahrende Fernauslösung digitaler Signaturen und Siegel (qualifizierte elektronische Signatur).

Für eine einfache Systemintegration in die Server- oder Cloud-Infrastruktur der Dienstbetreibenden wird die Server-Applikation als WAR-File oder Docker-Image bereitgestellt. Bestehende Identity Management Systeme können als Active Directory, LDAP, Radius oder SQL-Datenbank angebunden werden. Der Authentisierungsvorgang des Webdienstes erfolgt entweder über eine REST-API mit Callback oder über das WebSocket-Protokoll. Abhängig vom Dienst wird auch ein Redirect über einen bestehenden Identity Provider bzw. Dienst mit OpenID Connect oder SAML unterstützt.

  • Alle Daten bleiben vollständig bei Dienstbetreibenden oder dessen Dienstleistenden 
  • Problemloser Parallelbetrieb zu Altsystemen während Migrationsphase

Für Windows, Android und iOS stehen universelle Clients zur Verfügung: Das Programm "Sicherer Login" für Windows kann von der secunet-Webseite heruntergeladen werden und erfordert bei der Installation keine Administrator-Rechte. Die Apps für Android und iOS sind im Play bzw. App Store verfügbar. Die Clients können problemlos sowohl aus allen relevanten Browsern, als auch aus eigenen Programmen und Apps gestartet werden. Dabei sind keine Cookies, keine Erweiterungen und kein JavaScript erforderlich. Nach jeder Benutzerinteraktion werden die Clients automatisch geschlossen, d.h. es läuft kein Hintergrunddienst. Mobile Apps werden ggf. in Standby versetzt. Die plattformspezifischen Möglichkeiten der Barrierefreiheit werden unterstützt.

  • Keine zeitaufwändigen und riskanten Eigenentwicklungen für verschiedene Plattformen und Browser; Pflege durch secunet
  • Sofort verfügbar, sehr einfaches Rollout
  • Einmal installiert, können beliebig viele Dienste unterstützt werden
  • Bereits vorhandene dienstspezifische Programme bzw. Apps können ggf. weiterverwendet und durch Aufruf der Protect4use-Clients deutlich sicherer werden

Bereits im Basisumfang ist das servergestützte „Soft-Token Plus“ enthalten, welches durch PIN/Passwort gesichert und nicht kopierbar ist. Es bietet Schutzfunktionen, wie z.B. die Sperrung nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche. Unter Windows werden die aktuellen ELSTER-Sicherheitssticks unterstützt. Zusätzliche kundenspezifische Hardware-Token oder der elektronischer Personalausweis können bei Bedarf integriert werden. Auf Mobilgeräten werden die jeweils sichersten verfügbaren kryptografischen Sicherheitsmechanismen genutzt. Für spezielle Kompatibilitätsanforderungen gibt es optional einen herkömmlichen, kopierbaren Soft-Token oder Benutzername/Passwort.

  • Zusätzliche Token und neue kryptografische Verfahren sind jederzeit integrierbar
  • Zugriff auf HW-Token ohne zusätzliche Middleware
  • Sichere Verwendung einer kurzen PIN anstelle eines langen Passworts möglich
  • Benutzer-Self-Service möglich: Webdienst kann Nutzerinnen und Nutzern ermöglichen, ihrem Account neue bzw. Fallback-Token selbst hinzufügen oder daraus zu entfernen.

Sichere Authentifizierung
Die wichtigsten Begriffe mit Fokus auf Webdienste mit mittleren bis höchsten Anforderungen an Sicherheit und Datenschutz.

Die Authentisierung ist der Nachweis der → Authentizität. Durch ein festgelegtes Verfahren wird dabei festgestellt, ob jemand wirklich derjenige ist, der er vorgibt zu sein oder ob vorliegende Daten tatsächlich von einem behaupteten Urheber stammen. Der Vorgang der Prüfung des Nachweises einer Authentisierung wird oft als Authentifizierung bezeichnet. Umgangssprachlich wird zwischen beide Begriffen oft nicht unterschieden.

Multi-Faktor-Authentifizierung (MFA)

Bei einer Multi-Faktor-Authentifizierung erfolgt die Authentifizierung auf Basis mehrerer unterschiedlicher und voneinander unabhängiger Faktoren aus den folgenden drei Kategorien:

  • Wissen: Geheime Informationen, wie z.B. → Passwörter oder → PINs.
  • Besitz: IT-Komponenten, z.B. Smartcards oder Mobiltelefone mit einem → Secure Element, die eindeutig erkannt und nicht nachgemacht oder kopiert werden können.
  • Sein: Individuelle → biometrische Merkmale einer Person, wie z.B. Fingerabdruck oder Gesicht

Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung ist ein Spezialfall der Multi-Faktor-Authentifizierung, bei der die Authentifizierung auf Basis von zwei unterschiedlichen Faktoren erfolgt. Sie wird in den IT-Grundschutz-Katalogen des deutschen Bundesamts für → Sicherheit in der Informationstechnik empfohlen. Für Webdienste mit hohen Anforderungen an Sicherheit und Datenschutz ist sie der einzusetzende aktuelle Stand der Technik, um der → Datenschutzgrundverordnung und spezifischen Gesetzen zu entsprechen. Insbesondere betrifft dies E-Government, Banken, Gesundheitswesen und kritische Infrastrukturen.

Zwei-Kanal-Authentifizierung

Bei einer Zwei-Kanal-Authentifizierung erfolgt die Authentifizierung über zwei verschiedene Kommunikationskanäle. Im Idealfall werden nicht nur verschiedene Kommunikationskanäle, sondern auch unterschiedliche Geräte (z.B. PC und Smartphone) verwendet. Eine Zwei-Kanal-Authentifizierung kann allein auf dem Faktor Wissen basieren, und ist daher nicht unbedingt auch eine Zwei-Faktor-Authentifizierung.

Out-of-Band-Authentisierung

Dabei werden Sicherheitsinformationen bei der Authentisierung über einen getrennten unabhängigen Kommunikationskanal übermittelt. Eine Out-of-Band-Authentisierung liegt beispielsweise vor, wenn beim Online-Banking am Desktop-Computer Einmalpasswörter (siehe → Passwörter) als SMS-TAN über das Mobilfunknetz versendet werden.


Die Authentizität bezeichnet die Echtheit einer vorgegebenen Identität oder die zweifelsfreie Urheberschaft einer Information, z.B. einer Nachricht oder eines Dokuments. Der Begriff wird nicht nur verwendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Komponenten oder Anwendungen.


Eine Autorisierung ist die Einräumung von Rechten für eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion nach erfolgreicher → Authentifizierung.


Mit Fokus auf einen möglichen Diebstahl der → digitalen Identität spielen nachfolgende Bedrohungen und Angriffsszenarien eine Rolle:

Passwort-Angriffe

Bei einem Angriff mit der Brute-Force-Methode wird ein → Passwort oder ein Schlüssel durch automatisiertes Ausprobieren aller oder eines großen Teils der möglichen Werte ermittelt. Dagegen wird bei einem Wörterbuch-Angriff eine Passwörterliste durchprobiert, wenn man davon ausgehen kann, dass das → Passwort aus einer sinnvollen oder bereits an anderer Stelle verwendeten Zeichenkombination besteht.

Man-in-the-Middle-Angriff

Bei einem Man-in-the-Middle-Angriff schaltet sich ein Angreifer zwischen die Kommunikationspartner, hat mit seinem System zumindest teilweise die Kontrolle über den Datenverkehr und kann die Informationen nach Belieben einsehen und manipulieren. Den Kommunikationspartnern täuscht er vor, der jeweils andere Partner zu sein.

Phishing

Beim sogenannten Phishing werden Anwender dazu verleitet, sich gegenüber einer vorgetäuschten Webseite zu authentisieren und dabei z.B. ihr → Passwort und Online-Banking-TANs preiszugeben.

Schadsoftware/Malware

Schadsoftware oder englisch Malware ist eine Bezeichnung für bösartige, häufig multifunktionale Programme. Ist ein System infiziert, können sie oft zusätzliche Schadprogramme aus dem Internet nachladen, die weitere Schäden anrichten. Typische Ziele sind das Ausspionieren von Daten, die Plünderung von Bankkonten, Erpressung, Anzeige von Werbung oder der Aufbau eines Botnetzes. Typische Arten von Schadsoftware sind: Viren, Würmer, Trojaner, Ransomware, Rootkits, Keylogger und Spyware/Adware.


Ein biometrisches Merkmal ist ein eindeutiges personenbezogenes Merkmal, das dazu benutzt wird, die Identität einer Person zu überprüfen. Man unterscheidet physiologische Merkmale wie z. B. Fingerabdruckmuster oder Gesichtsgeometrie und verhaltenstypische Merkmale wie z. B. Frequenzprofil der Stimme oder Erzeugungsweise der Unterschrift.

Bei Erfassung biometrischer Merkmale wird als Referenz ein sogenanntes Muster extrahiert. Dieses Muster kann dann für einen biometrischen Vergleich genutzt werden. Wird ein definiertes Maß an Übereinstimmung erreicht, gilt die Person als identifiziert bzw. verifiziert.


Verordnung zur EU-weiten Vereinheitlichung der Regeln zur Verarbeitung personenbezogener Daten, womit der Schutz personenbezogener Daten sichergestellt und der freien Datenverkehr gewährleistet werden sollen. Die Einhaltung zentraler Grundsätze, wie z.B. Zweckbindung und Datensparsamkeit, gilt auch für eine eventuelle Auftragsverabeitung bei Dienstleistern und muss von den Verantwortlichen nachgewiesen werden. Unter anderem müssen Unternehmen Ihre Daten bei der Verarbeitung nach jeweils aktuellem Stand der Technik vor fremdem Zugriff schützen.

Zu personenbezogenen Daten gehören alle Informationen, mit denen man eine natürliche Person unmittelbar oder mittelbar identifizieren kann. Das höchste Schutzniveau haben die in Artikel 9 der DSGVO genannten besonderen Kategorien personenbezogener Daten, wie z.B. Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen. Gleiches gilt für genetische und biometrische Daten, Gesundheitsdaten sowie Informationen über das Sexualleben oder die sexuelle Orientierung. Solche Daten dürfen nur in Ausnahmefällen verarbeitet werden, wobei sehr hohe technische und organisatorische Anforderungen erfüllt werden müssen, um unbefugten Zugriff zu verhindern.

Die Nichteinhaltung dieser Grundsätze und der Rechenschaftspflicht kann mit Bußgeldern in Höhe von bis zu 20 Millionen EUR oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens geahndet werden. Kommt es zu einer Verletzung des Schutzes persönlicher Daten, muss diese innerhalb von 72 Stunden der Datenschutzbehörde angezeigt werden. Bei einem hohen Risiko für persönliche Rechte und Freiheiten Betroffener, müssen auch diese unverzüglich informiert werden.


Eine digitale Identität, oft auch elektronische Identität genannt, dient zur eindeutigen Identifikation von Personen oder Objekten durch Computer. Reale Personen werden durch ihre digitale(n) Identität(en) in der virtuellen Welt repräsentiert. Als Identitätsdiebstahl wird die missbräuchliche Nutzung durch Dritte bezeichnet. Siehe auch → Bedrohungen im Internet.


Eine digitale Signatur ist eine spezielle Kontrollinformation, die an eine Nachricht oder Datei angehängt wird. Damit kann einerseits festgestellt werden, wer diese erzeugt hat. Andererseits wird die → Authentizität und Unverfälschtheit dadurch verifizierbar. Bei der dafür meist eingesetzten asymmetrischen → Verschlüsselung wird die digitale Signatur mit einem geheimen privaten Schlüssel erzeugt und kann mit dem zugehörigen öffentlichen Schlüssel von jedem geprüft werden.

Elektronische Signatur

Im Gegensatz dazu ist „elektronische Signatur“ ein rechtlicher Begriff. Die Bandbreite möglicher Ausprägungen reicht von einfachen und fortgeschrittenen elektronischer Signaturen, welche nicht zwangsläufig auf digitalen Signaturen basieren, bis hin zur qualifizierten elektronischen Signatur als sehr sichere Form der digitalen Signatur.


Der Begriff "elektronischer Identitätsnachweis" wird insbesondere im Bereich E-Government als feststehender synonymer Begriff für → digitale Identität verwendet. Eine eID ermöglicht einen sicheren digitalen Identitätsnachweis, z.B. gegenüber Diensteanbietern im Internet oder bei Grenzkontrollen. Dafür sind in Deutschland der → elektronische Personalausweis und ein zum Datenauslesen berechtigter eID-Server erforderlich.


Von Deutschland seit dem 1. November 2010 herausgegebenes Ausweisdokument. Technisch ist der elektronische Personalausweis eine kontaktlose Chipkarte mit optischen Sicherheitsmerkmalen. Auf dem Ausweis können auch zwei Fingerabdrücke als → biometrisches Merkmal fälschungssicher gespeichert werden. Neben der eigentlichen Ausweisfunktion gegenüber hoheitlichen Stellen bietet der elektronische Personalausweis die → eID-Funktion, welche in gleicher Weise sowohl vom elektronischen Aufenthaltstitel (eAT) für Nicht-EU-Ausländer, als auch von der geplanten eID-Karte für EU-Bürger anderer Länder unterstützt wird.


Die von den Unternehmen Google und PayPal gegründete Initiative FIDO (Fast IDentity Online) will die herkömmlichen Logins im Internet durch ein deutlich sicheres Verfahren ablösen, das genauso einfach ist. Es kann entweder anstelle eines → Passworts zum Einsatz kommen oder zusätzlich, als zweiter Faktor. Kern der FIDO-Identität ist ein fest mit dem Sicherheitsschlüssel verbundenes Geheimnis in Form einer Zufallszahl, die bei jedem Sicherheitsschlüssel anders ist und sich nicht auslesen oder extrahieren lässt. Der Hardware-gebundene private Schlüssel bleibt im Besitz des Benutzers und wird nicht auf öffentlichen Servern gespeichert. Jeder Zugriff, z.B. beim Login, muss autorisiert werden.

Größter Schwachpunkt sind die drohenden erheblichen Problemen bei möglichem Verlust, Diebstahl oder Defekt. Praktisch lassen sich Smartphones trotz der technischen Voraussetzungen leider nicht als FIDO-Sicherheitsschlüssel für einen Desktop-Computer nutzen. Auch ist die plattformübergreifende Nutzung von FIDO2-USB-Sticks nicht oder nur eingeschränkt möglich. Vorhandene FIDO1-Sticks sind leider nicht mehr mit dem aktuellen FIDO2 nutzbar. Insgesamt ist dadurch die Verbreitung gering.


Das Grundprinzip ist, dass man sich nur einmal und zwar bei seinem Identitäts-Provider anmelden muss und damit Zugang zu weiteren Webdiensten bekommt. Ganz ohne Ausfüllen von Adressdaten, Bestätigungs-Mails und vor allem ohne weiteres → Passwort.

Bei Webdiensten und Smartphone-Apps sieht man oft die Option „Anmelden mit“ Google/Apple/Facebook/Amazon. Deutsche Alternativen dazu sind z.B. Verimi, NetID, IDnow, WebID, ID4me, Keyp und Yes. Das ist komfortabel und dank der Technik im Hintergrund (z.B. OAuth 2.0 bei Google) auf den ersten Blick recht sicher – wenn Sie Ihr Konto beim jeweiligen Anbieter sicher halten. Natürlich bekommen die Anbieter genau mit, welche Dienste Sie wie oft nutzen und einige machen auch keinen Hehl daraus, dass die Nutzerprofile und –daten Teil ihres Geschäftsmodells sind. Das eigentlich neue ist jedoch, dass nicht mehr der Nutzer nachweist, wer er ist, sondern ein Dritter ihm das bestätigt. Somit erhält dieser die Kontrolle über seine → digitale Identität und es entsteht eine starke Abhängigkeit. Zu bedenken ist weiterhin, dass nahezu jedes Unternehmen mit solchen wertvollen Daten bereits erfolgreich von Hacker angegriffen wurde und es immer auch Begehrlichkeiten von Geheimdiensten gibt.


Identity and Access Management bezeichnet ein kombiniertes System zur Verwaltung von → digitalen Identitäten (als alleinstehendes System auch „IdM“) und Berechtigungen in Unternehmen. Folgende typische Prozesse werden abgedeckt:

  • Identifizierung: Um wen oder was handelt es sich?
  • Registrierung: Prozess, um ein Benutzerkonto zu erhalten
  • → Authentisierung: Nachweis der → Authentizität
  • → Authentifizierung: Prüfung des Nachweises
  • → Autorisierung: Einräumen von Rechten

Beispiele für weitere Funktionen solcher Systeme sind die Identitätsbereitstellung und ‑verwendung über Unternehmensgrenzen hinweg (Federated Identity Management) sowie die Möglichkeit, dass Benutzer selbst z.B. ihre Profildaten ändern, Zugangsdaten und registrierte Geräte verwalten sowie ggf. die Entsperrung des Zugangs anfordern können (User Self Services).


Im Kontext der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik bezeichnet IT-Sicherheit einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von → Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind.

In der Praxis spielen die Standards der ISO/IEC-27000-Reihe eine wichtige Rolle. Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Die Evaluierung und Zertifizierung von IT-Produkten und -systemen erfolgt häufig auf Basis der Norm ISO/IEC 15408 (Common Criteria). Speziell mit dem Thema Cybersecurity in der Industrie 4.0 befasst sich die IEC 62443.


Ein klassisches Passwort ist eine Zeichenfolge, mit der ein Benutzer nachweist, dass er eine Zugangsberechtigung zu einem geschlossenen System hat. Zur Prüfung muss in diesem System entweder das Passwort selbst oder ein daraus abgeleiteten Prüfwert hinterlegt sein. Im Rahmen einer → Multi-Faktor-Authentifizierung sind klassische Passwörter ein wissensbasierter Faktor.

Einmalpasswort (One Time Password/OTP)

Ein Einmalpasswort kann nur für eine -> Authentifizierung benutzt werden und ist danach ungültig. So entsteht kein Schaden, wenn es ausgespäht wird. Ein Beispiel dafür sind Transaktionsnummern (TAN) beim Online-Banking.Einmalpasswörter können entweder einer zuvor erstellen statischen Liste entnommen, oder auf Basis eines geheimen Schlüssels (sogenannter Startwert oder Seed), dynamisch generiert werden. Dafür gibt es drei unterschiedliche Verfahren:

  • Zeitbasiert (TOTP)
  • Ereignisbasiert (HOTP)
  • Server-Anforderung/Challenge-Response-Algoritmus (OCRA)

Zeit- und ereignisbasierte Einmalpasswörter können mit einem speziellen Gerät („OTP-Token“) oder einer Software (z.B. Google-Authenticator) erzeugt werden.

Im Rahmen einer → Multi-Faktor-Authentifizierung sind Einmalpasswörter im Gegensatz zu klassischen Passwörtern eher dem Faktor Besitz zuzuordnen. Einmalpasswörter schützen nicht vor allen → Bedrohungen und Angriffsszenarien, z.B. nur bedingt gegen → Man-in-the-Middle-Angriffe oder Trojaner. Auf Computern und Smartphones könnte Schadsoftware auch Zugriff auf mit Software erzeugte OTP-Codes oder den Schlüssel bekommen. Auch SMS-TAN beim Online-Banking wurden bereits erfolgreich abgegriffen.

Passwortsafe/-manager

Ein Passwortsafe oder Passwortmanager ist ein Programm zur sicheren Passwortverwaltung, dessen verschlüsselte Datenbank durch ein zentrales Hauptpasswort geschützt wird. Benutzer müssen sich dadurch nur ein Passwort merken. Oft können damit auch verschieden starke Passwörter generiert werden. Da sich Benutzer nicht mehr einzelne Passwörter merken, sind sie schnell von ihrer Passwort-Datenbank abhängig. Die Nutzung als Cloud-basierter Dienst erscheint auf den ersten Blick sehr komfortabel. Allerdings sollte man dem jeweiligen Anbieter und seinen Sicherheitsvorkehrungen uneingeschränkt vertrauen können. Angriffsszenarien: Aufgrund der wertvollen Zugangsdaten gehören Passwort-Manager zu den beliebtesten Angriffszielen von Cyber-Kriminellen. Untersuchungen ergaben z.B., dass bei verbreiteten Passwortmanagern die Passwörter unnötig lange im Arbeitsspeicher verbleiben, sogar dann noch, wenn das Programm gesperrt wird. Auch in Webbrowsern unverschlüsselt gespeicherte Passwörter sind eine Sicherheitslücke und sollten unbedingt durch ein Hauptkennwort geschützt werden.


Eine persönliche Identifikationsnummer ist eine nur einer oder wenigen Personen bekannte Ziffernfolge, mit der diese sich gegenüber einer Maschine authentifizieren können. Im engeren Sinne sind PINs (meist numerische) → Passwörter.

Damit eine PIN nicht durch wiederholtes Ausprobieren zu erraten ist (Enumerations-Angriff), darf ein System nicht beliebig viele falsche Eingaben akzeptieren. Insbesondere bei Webdiensten könnte ein Angreifer sonst einfach automatisch alle möglichen PIN durchprobieren. Die meisten Systeme sperren daher nach einer bestimmten Anzahl von Falscheingaben der PIN den Zugang, der dann auf anderem Wege (meist durch eine weitere PIN oder durch den Kundendienst des Anbieters) entsperrt werden muss. Bei Geldautomaten, beim Online-Banking und bei Mobiltelefonen erfolgt die Sperre üblicherweise nach drei Falscheingaben.


Secure Element bezeichnet ein Hardware-Sicherheitsmodul, welches in modernen Smartphones und Tablets verbaut ist. Es handelt sich meist um einen Chip, der kryptografische Sicherheitseigenschaften bietet. Das Secure Element schützt → private Schlüssel und sorgt so für hohe Sicherheit bei sensiblen Prozessen, wie z.B. Bezahlvorgängen oder der Nutzung einer aus dem → elektronischen Personalausweis abgeleiteten und auf dem Smartphone gespeicherten → digitalen Identität.

Bei der Nutzung mobiler Geräte im Rahmen der → Multi-Faktor-Authentifizierung bei Webdiensten gibt jedoch auch Schwachpunkte: Zum einen wird ein mobiles Gerät üblicherweise nach wenigen Jahren durch ein neueres Modell ersetzt. Benutzer sollten ihrem Profil deshalb selbst neue Geräte hinzufügen und verwalten können. Zum anderen können Geräte verloren werden, defekt sein oder sogar gestohlen werden. Es muss dann immer eine Möglichkeit geben, sich auch ohne diesen Faktor beim Webdienst zu authentifizieren. Und dieser Weg muss so sicher sein, dass er nur dem tatsächlichen Benutzer offen steht und nicht von einem Cyberkriminellen genutzt werden kann.


Bei einem Security-Token (kurz nur „Token“, auch als „Sicherheitsschlüssel“ übersetzt) handelt es sich um eine kryptografische Hardware- oder Softwarekomponente zur → Authentifizierung von Benutzern. Häufig zusätzlich gesichert durch → Passwort, → PIN oder ein → biometrisches Merkmal. Beispiele für Token sind Smartcards, USB-Krypto-Token oder kontaktlose Token mit Bluetooth, NFC oder RFID-Technologie. Auch Trusted Platform Modules (TPM) in Computern oder das → Secure Element in Smartphones können als Security-Token verwendet werden.

Ohne zweites, unabhängiges Authentifizierungsmerkmal bietet ein Security-Token keinen zuverlässigen Schutz gegen Manipulation, Verlust oder Angriffe. Er kann zerstört oder verloren werde. Im Gegensatz zu Computer und Smartphone verursacht der Einsatz zusätzlicher, externer Hardware-Token Kosten für Herstellung, Registrierung und/oder Personalisierung, die Verteilung und die Bereitstellung von Infrastruktur in Form von Lesegeräten oder Software. Ein mögliches Angriffsziel ist die Kommunikation zwischen Token und Lesegerät. Insbesondere bei Funkübertragungen ist zu bedenken, dass diese ggf. noch in großer Entfernung aufgezeichnet werden können.


Ein SSO-System übernimmt nach einem initialen Login an einem Arbeitsplatz die automatische Anmeldung dieses Benutzers bei weiteren Diensten und Geräten, für die er eine → Autorisierung hat.


Verschlüsselung wird verwendet, um Daten vor unbefugtem Zugriff zu schützen oder um Nachrichten vertraulich übermitteln zu können. Bei der Verschlüsselung werden Daten so umgewandelt, dass die ursprünglichen Daten nur unter Verwendung eines geheimen Schlüssels wiedergewonnen, also entschlüsselt werden können. Für Ver- und Entschlüsselung werden bei symmetrischen Verfahren jeweils der gleiche und bei asymmetrischen Verfahren verschiedene (ein privater und ein öffentlicher) Schlüssel benutzt.

Im Webbrowser werden Datenverbindungen durch HTTPS gesichert, was für die Verwendung des Internet-Protokolls HTTP mit SSL/TLS-Verschlüsselung und Integritätsschutz steht.


Version 2.6 (ca. 67 MB)

bei Google Play

im Apple App Store

Wir sind IT-Sicherheitspartner der Bundesrepublik Deutschland.
Über 700 Expert*innen stärken die digitale Souveränität von Regierungen, Unternehmen und der Gesellschaft.
Neuigkeiten rund um protect4use
Pressemitteilungen
[Essen, 14. Juli 2020] Mit dem aktuellen Konjunkturpaket der Bundesregierung ist die Digitalisierung der öffentlichen Verwaltung stärker in den Fokus…

Kontaktanfrage
Haben Sie noch Fragen zu protect4use?
Haben Sie noch Fragen zu protect4use?

Schicken Sie uns eine Anfrage über das Kontaktformular. Wir helfen gerne weiter.

Seite 1
Kontaktdaten
Newsletter Subscription
Submit

secunet Security Networks AG
Kurfürstenstraße 58
45138 Essen

Phone: +49 (0) 201 5454-0
E-Mail: info(at)secunet.com

Twitter | LinkedIn | Xing

© 2021 secunet Security Networks AG