Hochsicher Authentisieren. Passwortlos.
Entsprechend den aktuellen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik.
secunet ist deutscher Cyber-Security-Champion und Sicherheitspartner der Bundesrepublik Deutschland.
Durch Integration in bestehende Systeme bleiben alle Nutzerdaten beim Dienstbetreiber.
Eine Million aktive ElsterSecure Nutzer*innen
Ob bei Webdiensten, Portalen, Plattformen oder Sicherheitsdomänen – überall kommen elektronische Identitäten zum Einsatz, die geschützt werden müssen. Je nach Anwendungsbereich sind dafür unterschiedliche Sicherheitsniveaus notwendig. Eine 2-Faktor-Authentisierung wird immer wichtiger, denn die übliche Anmeldung mit Benutzername und Passwort reicht aufgrund der Anfälligkeit für Angriffe nicht mehr aus. Zusätzlich stellen vielfältige gesetzliche Bestimmungen Nutzer*innen tagtäglich vor neue Herausforderungen: Unbekannte Verfahren, verwirrende Login-Passwörter, vielfältige Authentifizierungsprozesse, um dem Sicherheitsbedarf gerecht zu werden. Die Mischung aus Hardware, Software, Passwörtern, PINs und Biometrie-Verfahren, ist für Nutzer*innen aufwändig und findet daher kaum Akzeptanz.
secunet protect4use geht einen neuen Weg:
Die Lösungen bietet für Nutzer*innen eine einfache aber sichere Methode zum Authentisieren ihrer Anmeldungen, Transaktionen und Signaturen. Das Authentifizierungsverfahren ist durch starke Kryptografie implementiert und verschiedene Sicherheitsniveaus können flexibel abgedeckt werden. Daten der Nutzer*innen bleiben vollständig beim Betreiber oder dessen Dienstleister. Die Lösung bietet eine breite Unterstützung der gängigen Plattformen und Browser für Desktop- und Mobilgeräte inklusive der jeweiligen Möglichkeiten der Barrierefreiheit.
State-of-the-art Technologie
Die Authentisierung mit secunet protect4use bietet Nutzer*innen mehrere Möglichkeiten, um sich anzumelden: Entweder mobil mit einem zweiten Endgerät, wie Smartphone oder Tablet, oder via patentierter Desktop-Applikation. Wird das Smartphone als Token benutzt, so verwendet secunet protect4use den gängigen Zugriffsschutz der Nutzer*innen: Entsperrung durch Fingerabdruck, Gesichtserkennung oder PIN.
Die Lösung kann mit allen gängigen Browsern genutzt werden und ist Plattform-unabhängig. Die mobile Version läuft auf Android und iOS, die Desktop-Version ist für Windows erhältlich. Versionen für Linux oder MacOS sind auf Projektbasis möglich. Die Integration der Lösung in bestehende Systeme ist unkompliziert und während der Migrationsphase im Parallelbetrieb möglich. Die Technologie ist sofort verfügbar und der Roll-Out wird auf Wunsch durch Expert*innen von secunet begleitet.
Öffentlicher Sektor
Die Corona-Pandemie hat uns deutlich vor Augen geführt, welche Bedeutung funktionierende und sichere IT-Infrastrukturen haben. Der Bundesinnenminister forderte deshalb, dass IT-Sicherheit bei allen Digitalisierungsvorhaben von Anfang an mitgedacht werden muss. Insbesondere die Umsetzung des Online-Zugangsgesetzes stellt die öffentliche Verwaltung vor große Herausforderungen. Webangebote sollen nutzerorientiert sein, wobei gleichzeitig Sicherheit und Datenschutz höchste Priorität haben. Die gesetzlichen Auflagen dazu sind stark gestiegen: OZG, eIDAS-VO, DSGVO, ISO 27002 und IT-Grundschutz-Richtlinien des BSI fordern angemessene Schutzmaßnahmen nach aktuellem Stand der Technik.
Kritische Infrastrukturen, Versorger, ITK
Durch die digitale Transformation stehen Betreiber von Onlinediensten vor großen Herausforderungen. Der Zugang zu vertraulichen Informationen muss beschränkt werden und personenbezogene Daten der Nutzer*innen sowie Zugänge zu kritischen Infrastrukturen besonders geschützt. Die gesetzlichen Auflagen dazu sind stark gestiegen: IT-SiG, DSGVO, ISO 27002 und IT-Grundschutz-Richtlinien des BSI fordern angemessene Schutzmaßnahmen nach aktuellem Stand der Technik. Angesichts des dringenden Handlungsbedarfs stellt sich die Frage, inwieweit eigene Entwicklungen wirtschaftlich und sicherheitstechnisch mit der aktuellen Bedrohungslage und den gestiegenen Erwartungen der Nutzer*innen vereinbar sind.
Wichtige Fachbegriffe einfach erklärt
Authentisierung/Authentifizierung
Die Authentisierung ist der Nachweis der → Authentizität. Durch ein festgelegtes Verfahren wird dabei festgestellt, ob jemand wirklich derjenige ist, der er vorgibt zu sein oder ob vorliegende Daten tatsächlich von einem behaupteten Urheber stammen. Der Vorgang der Prüfung des Nachweises einer Authentisierung wird oft als Authentifizierung bezeichnet. Umgangssprachlich wird zwischen beide Begriffen oft nicht unterschieden.
Multi-Faktor-Authentifizierung (MFA)
Bei einer Multi-Faktor-Authentifizierung erfolgt die Authentifizierung auf Basis mehrerer unterschiedlicher und voneinander unabhängiger Faktoren aus den folgenden drei Kategorien:
- Wissen: Geheime Informationen, wie z.B. → Passwörter oder → PINs.
- Besitz: IT-Komponenten, z.B. Smartcards oder Mobiltelefone mit einem → Secure Element, die eindeutig erkannt und nicht nachgemacht oder kopiert werden können.
- Sein: Individuelle → biometrische Merkmale einer Person, wie z.B. Fingerabdruck oder Gesicht
Zwei-Faktor-Authentifizierung (2FA)
Die Zwei-Faktor-Authentifizierung ist ein Spezialfall der Multi-Faktor-Authentifizierung, bei der die Authentifizierung auf Basis von zwei unterschiedlichen Faktoren erfolgt. Sie wird in den IT-Grundschutz-Katalogen des deutschen Bundesamts für → Sicherheit in der Informationstechnik empfohlen. Für Webdienste mit hohen Anforderungen an Sicherheit und Datenschutz ist sie der einzusetzende aktuelle Stand der Technik, um der → Datenschutzgrundverordnung und spezifischen Gesetzen zu entsprechen. Insbesondere betrifft dies E-Government, Banken, Gesundheitswesen und kritische Infrastrukturen.
Zwei-Kanal-Authentifizierung
Bei einer Zwei-Kanal-Authentifizierung erfolgt die Authentifizierung über zwei verschiedene Kommunikationskanäle. Im Idealfall werden nicht nur verschiedene Kommunikationskanäle, sondern auch unterschiedliche Geräte (z.B. PC und Smartphone) verwendet. Eine Zwei-Kanal-Authentifizierung kann allein auf dem Faktor Wissen basieren, und ist daher nicht unbedingt auch eine Zwei-Faktor-Authentifizierung.
Out-of-Band-Authentisierung
Dabei werden Sicherheitsinformationen bei der Authentisierung über einen getrennten unabhängigen Kommunikationskanal übermittelt. Eine Out-of-Band-Authentisierung liegt beispielsweise vor, wenn beim Online-Banking am Desktop-Computer Einmalpasswörter (siehe → Passwörter) als SMS-TAN über das Mobilfunknetz versendet werden.
Authentizität
Die Authentizität bezeichnet die Echtheit einer vorgegebenen Identität oder die zweifelsfreie Urheberschaft einer Information, z.B. einer Nachricht oder eines Dokuments. Der Begriff wird nicht nur verwendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Komponenten oder Anwendungen.
Autorisierung
Eine Autorisierung ist die Einräumung von Rechten für eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion nach erfolgreicher → Authentifizierung.
Bedrohungen im Internet
Mit Fokus auf einen möglichen Diebstahl der → digitalen Identität spielen nachfolgende Bedrohungen und Angriffsszenarien eine Rolle:
Passwort-Angriffe
Bei einem Angriff mit der Brute-Force-Methode wird ein → Passwort oder ein Schlüssel durch automatisiertes Ausprobieren aller oder eines großen Teils der möglichen Werte ermittelt. Dagegen wird bei einem Wörterbuch-Angriff eine Passwörterliste durchprobiert, wenn man davon ausgehen kann, dass das → Passwort aus einer sinnvollen oder bereits an anderer Stelle verwendeten Zeichenkombination besteht.
Man-in-the-Middle-Angriff
Bei einem Man-in-the-Middle-Angriff schaltet sich ein Angreifer zwischen die Kommunikationspartner, hat mit seinem System zumindest teilweise die Kontrolle über den Datenverkehr und kann die Informationen nach Belieben einsehen und manipulieren. Den Kommunikationspartnern täuscht er vor, der jeweils andere Partner zu sein.
Phishing
Beim sogenannten Phishing werden Anwender dazu verleitet, sich gegenüber einer vorgetäuschten Webseite zu authentisieren und dabei z.B. ihr → Passwort und Online-Banking-TANs preiszugeben.
Schadsoftware/Malware
Schadsoftware oder englisch Malware ist eine Bezeichnung für bösartige, häufig multifunktionale Programme. Ist ein System infiziert, können sie oft zusätzliche Schadprogramme aus dem Internet nachladen, die weitere Schäden anrichten. Typische Ziele sind das Ausspionieren von Daten, die Plünderung von Bankkonten, Erpressung, Anzeige von Werbung oder der Aufbau eines Botnetzes. Typische Arten von Schadsoftware sind: Viren, Würmer, Trojaner, Ransomware, Rootkits, Keylogger und Spyware/Adware.
Biometrisches Merkmal
Ein biometrisches Merkmal ist ein eindeutiges personenbezogenes Merkmal, das dazu benutzt wird, die Identität einer Person zu überprüfen. Man unterscheidet physiologische Merkmale wie z. B. Fingerabdruckmuster oder Gesichtsgeometrie und verhaltenstypische Merkmale wie z. B. Frequenzprofil der Stimme oder Erzeugungsweise der Unterschrift.
Bei Erfassung biometrischer Merkmale wird als Referenz ein sogenanntes Muster extrahiert. Dieses Muster kann dann für einen biometrischen Vergleich genutzt werden. Wird ein definiertes Maß an Übereinstimmung erreicht, gilt die Person als identifiziert bzw. verifiziert.
Datenschutz-Grundverordnung (DSVGO)
Verordnung zur EU-weiten Vereinheitlichung der Regeln zur Verarbeitung personenbezogener Daten, womit der Schutz personenbezogener Daten sichergestellt und der freien Datenverkehr gewährleistet werden sollen. Die Einhaltung zentraler Grundsätze, wie z.B. Zweckbindung und Datensparsamkeit, gilt auch für eine eventuelle Auftragsverabeitung bei Dienstleistern und muss von den Verantwortlichen nachgewiesen werden. Unter anderem müssen Unternehmen Ihre Daten bei der Verarbeitung nach jeweils aktuellem Stand der Technik vor fremdem Zugriff schützen.
Zu personenbezogenen Daten gehören alle Informationen, mit denen man eine natürliche Person unmittelbar oder mittelbar identifizieren kann. Das höchste Schutzniveau haben die in Artikel 9 der DSGVO genannten besonderen Kategorien personenbezogener Daten, wie z.B. Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen. Gleiches gilt für genetische und biometrische Daten, Gesundheitsdaten sowie Informationen über das Sexualleben oder die sexuelle Orientierung. Solche Daten dürfen nur in Ausnahmefällen verarbeitet werden, wobei sehr hohe technische und organisatorische Anforderungen erfüllt werden müssen, um unbefugten Zugriff zu verhindern.
Die Nichteinhaltung dieser Grundsätze und der Rechenschaftspflicht kann mit Bußgeldern in Höhe von bis zu 20 Millionen EUR oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens geahndet werden. Kommt es zu einer Verletzung des Schutzes persönlicher Daten, muss diese innerhalb von 72 Stunden der Datenschutzbehörde angezeigt werden. Bei einem hohen Risiko für persönliche Rechte und Freiheiten Betroffener, müssen auch diese unverzüglich informiert werden.
Digitale Identität
Eine digitale Identität, oft auch elektronische Identität genannt, dient zur eindeutigen Identifikation von Personen oder Objekten durch Computer. Reale Personen werden durch ihre digitale(n) Identität(en) in der virtuellen Welt repräsentiert. Als Identitätsdiebstahl wird die missbräuchliche Nutzung durch Dritte bezeichnet. Siehe auch → Bedrohungen im Internet.
Digitale Signatur
Eine digitale Signatur ist eine spezielle Kontrollinformation, die an eine Nachricht oder Datei angehängt wird. Damit kann einerseits festgestellt werden, wer diese erzeugt hat. Andererseits wird die → Authentizität und Unverfälschtheit dadurch verifizierbar. Bei der dafür meist eingesetzten asymmetrischen → Verschlüsselung wird die digitale Signatur mit einem geheimen privaten Schlüssel erzeugt und kann mit dem zugehörigen öffentlichen Schlüssel von jedem geprüft werden.
Elektronische Signatur
Im Gegensatz dazu ist „elektronische Signatur“ ein rechtlicher Begriff. Die Bandbreite möglicher Ausprägungen reicht von einfachen und fortgeschrittenen elektronischer Signaturen, welche nicht zwangsläufig auf digitalen Signaturen basieren, bis hin zur qualifizierten elektronischen Signatur als sehr sichere Form der digitalen Signatur.
Elektronischer Identitätsnachweis (eID)
Der Begriff "elektronischer Identitätsnachweis" wird insbesondere im Bereich E-Government als feststehender synonymer Begriff für → digitale Identität verwendet. Eine eID ermöglicht einen sicheren digitalen Identitätsnachweis, z.B. gegenüber Diensteanbietern im Internet oder bei Grenzkontrollen. Dafür sind in Deutschland der → elektronische Personalausweis und ein zum Datenauslesen berechtigter eID-Server erforderlich.
Elektronischer Personalausweis (nPA)
Von Deutschland seit dem 1. November 2010 herausgegebenes Ausweisdokument. Technisch ist der elektronische Personalausweis eine kontaktlose Chipkarte mit optischen Sicherheitsmerkmalen. Auf dem Ausweis können auch zwei Fingerabdrücke als → biometrisches Merkmal fälschungssicher gespeichert werden. Neben der eigentlichen Ausweisfunktion gegenüber hoheitlichen Stellen bietet der elektronische Personalausweis die → eID-Funktion, welche in gleicher Weise sowohl vom elektronischen Aufenthaltstitel (eAT) für Nicht-EU-Ausländer, als auch von der geplanten eID-Karte für EU-Bürger anderer Länder unterstützt wird.
FIDO
Die von den Unternehmen Google und PayPal gegründete Initiative FIDO (Fast IDentity Online) will die herkömmlichen Logins im Internet durch ein deutlich sicheres Verfahren ablösen, das genauso einfach ist. Es kann entweder anstelle eines → Passworts zum Einsatz kommen oder zusätzlich, als zweiter Faktor. Kern der FIDO-Identität ist ein fest mit dem Sicherheitsschlüssel verbundenes Geheimnis in Form einer Zufallszahl, die bei jedem Sicherheitsschlüssel anders ist und sich nicht auslesen oder extrahieren lässt. Der Hardware-gebundene private Schlüssel bleibt im Besitz des Benutzers und wird nicht auf öffentlichen Servern gespeichert. Jeder Zugriff, z.B. beim Login, muss autorisiert werden.
Größter Schwachpunkt sind die drohenden erheblichen Problemen bei möglichem Verlust, Diebstahl oder Defekt. Praktisch lassen sich Smartphones trotz der technischen Voraussetzungen leider nicht als FIDO-Sicherheitsschlüssel für einen Desktop-Computer nutzen. Auch ist die plattformübergreifende Nutzung von FIDO2-USB-Sticks nicht oder nur eingeschränkt möglich. Vorhandene FIDO1-Sticks sind leider nicht mehr mit dem aktuellen FIDO2 nutzbar. Insgesamt ist dadurch die Verbreitung gering.
Identitätsanbieter/Identity Provider (IDP)
Das Grundprinzip ist, dass man sich nur einmal und zwar bei seinem Identitäts-Provider anmelden muss und damit Zugang zu weiteren Webdiensten bekommt. Ganz ohne Ausfüllen von Adressdaten, Bestätigungs-Mails und vor allem ohne weiteres → Passwort.
Bei Webdiensten und Smartphone-Apps sieht man oft die Option „Anmelden mit“ Google/Apple/Facebook/Amazon. Deutsche Alternativen dazu sind z.B. Verimi, NetID, IDnow, WebID, ID4me, Keyp und Yes. Das ist komfortabel und dank der Technik im Hintergrund (z.B. OAuth 2.0 bei Google) auf den ersten Blick recht sicher – wenn Sie Ihr Konto beim jeweiligen Anbieter sicher halten. Natürlich bekommen die Anbieter genau mit, welche Dienste Sie wie oft nutzen und einige machen auch keinen Hehl daraus, dass die Nutzerprofile und –daten Teil ihres Geschäftsmodells sind. Das eigentlich neue ist jedoch, dass nicht mehr der Nutzer nachweist, wer er ist, sondern ein Dritter ihm das bestätigt. Somit erhält dieser die Kontrolle über seine → digitale Identität und es entsteht eine starke Abhängigkeit. Zu bedenken ist weiterhin, dass nahezu jedes Unternehmen mit solchen wertvollen Daten bereits erfolgreich von Hacker angegriffen wurde und es immer auch Begehrlichkeiten von Geheimdiensten gibt.
Identity and Access Management (IAM oder IdAM)
Identity and Access Management bezeichnet ein kombiniertes System zur Verwaltung von → digitalen Identitäten (als alleinstehendes System auch „IdM“) und Berechtigungen in Unternehmen. Folgende typische Prozesse werden abgedeckt:
- Identifizierung: Um wen oder was handelt es sich?
- Registrierung: Prozess, um ein Benutzerkonto zu erhalten
- → Authentisierung: Nachweis der → Authentizität
- → Authentifizierung: Prüfung des Nachweises
- → Autorisierung: Einräumen von Rechten
Beispiele für weitere Funktionen solcher Systeme sind die Identitätsbereitstellung und ‑verwendung über Unternehmensgrenzen hinweg (Federated Identity Management) sowie die Möglichkeit, dass Benutzer selbst z.B. ihre Profildaten ändern, Zugangsdaten und registrierte Geräte verwalten sowie ggf. die Entsperrung des Zugangs anfordern können (User Self Services).
IT-Sicherheit
Im Kontext der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik bezeichnet IT-Sicherheit einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von → Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind.
In der Praxis spielen die Standards der ISO/IEC-27000-Reihe eine wichtige Rolle. Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Die Evaluierung und Zertifizierung von IT-Produkten und -systemen erfolgt häufig auf Basis der Norm ISO/IEC 15408 (Common Criteria). Speziell mit dem Thema Cybersecurity in der Industrie 4.0 befasst sich die IEC 62443.
Passwort
Ein klassisches Passwort ist eine Zeichenfolge, mit der ein Benutzer nachweist, dass er eine Zugangsberechtigung zu einem geschlossenen System hat. Zur Prüfung muss in diesem System entweder das Passwort selbst oder ein daraus abgeleiteten Prüfwert hinterlegt sein. Im Rahmen einer → Multi-Faktor-Authentifizierung sind klassische Passwörter ein wissensbasierter Faktor.
Einmalpasswort (One Time Password/OTP)
Ein Einmalpasswort kann nur für eine -> Authentifizierung benutzt werden und ist danach ungültig. So entsteht kein Schaden, wenn es ausgespäht wird. Ein Beispiel dafür sind Transaktionsnummern (TAN) beim Online-Banking.Einmalpasswörter können entweder einer zuvor erstellen statischen Liste entnommen, oder auf Basis eines geheimen Schlüssels (sogenannter Startwert oder Seed), dynamisch generiert werden. Dafür gibt es drei unterschiedliche Verfahren:
- Zeitbasiert (TOTP)
- Ereignisbasiert (HOTP)
- Server-Anforderung/Challenge-Response-Algoritmus (OCRA)
Zeit- und ereignisbasierte Einmalpasswörter können mit einem speziellen Gerät („OTP-Token“) oder einer Software (z.B. Google-Authenticator) erzeugt werden.
Im Rahmen einer → Multi-Faktor-Authentifizierung sind Einmalpasswörter im Gegensatz zu klassischen Passwörtern eher dem Faktor Besitz zuzuordnen. Einmalpasswörter schützen nicht vor allen → Bedrohungen und Angriffsszenarien, z.B. nur bedingt gegen → Man-in-the-Middle-Angriffe oder Trojaner. Auf Computern und Smartphones könnte Schadsoftware auch Zugriff auf mit Software erzeugte OTP-Codes oder den Schlüssel bekommen. Auch SMS-TAN beim Online-Banking wurden bereits erfolgreich abgegriffen.
Passwortsafe/-manager
Ein Passwortsafe oder Passwortmanager ist ein Programm zur sicheren Passwortverwaltung, dessen verschlüsselte Datenbank durch ein zentrales Hauptpasswort geschützt wird. Benutzer müssen sich dadurch nur ein Passwort merken. Oft können damit auch verschieden starke Passwörter generiert werden. Da sich Benutzer nicht mehr einzelne Passwörter merken, sind sie schnell von ihrer Passwort-Datenbank abhängig. Die Nutzung als Cloud-basierter Dienst erscheint auf den ersten Blick sehr komfortabel. Allerdings sollte man dem jeweiligen Anbieter und seinen Sicherheitsvorkehrungen uneingeschränkt vertrauen können. Angriffsszenarien: Aufgrund der wertvollen Zugangsdaten gehören Passwort-Manager zu den beliebtesten Angriffszielen von Cyber-Kriminellen. Untersuchungen ergaben z.B., dass bei verbreiteten Passwortmanagern die Passwörter unnötig lange im Arbeitsspeicher verbleiben, sogar dann noch, wenn das Programm gesperrt wird. Auch in Webbrowsern unverschlüsselt gespeicherte Passwörter sind eine Sicherheitslücke und sollten unbedingt durch ein Hauptkennwort geschützt werden.
Persönliche Identifikationsnummer (PIN)
Eine persönliche Identifikationsnummer ist eine nur einer oder wenigen Personen bekannte Ziffernfolge, mit der diese sich gegenüber einer Maschine authentifizieren können. Im engeren Sinne sind PINs (meist numerische) → Passwörter.
Damit eine PIN nicht durch wiederholtes Ausprobieren zu erraten ist (Enumerations-Angriff), darf ein System nicht beliebig viele falsche Eingaben akzeptieren. Insbesondere bei Webdiensten könnte ein Angreifer sonst einfach automatisch alle möglichen PIN durchprobieren. Die meisten Systeme sperren daher nach einer bestimmten Anzahl von Falscheingaben der PIN den Zugang, der dann auf anderem Wege (meist durch eine weitere PIN oder durch den Kundendienst des Anbieters) entsperrt werden muss. Bei Geldautomaten, beim Online-Banking und bei Mobiltelefonen erfolgt die Sperre üblicherweise nach drei Falscheingaben.
Secure Element
Secure Element bezeichnet ein Hardware-Sicherheitsmodul, welches in modernen Smartphones und Tablets verbaut ist. Es handelt sich meist um einen Chip, der kryptografische Sicherheitseigenschaften bietet. Das Secure Element schützt → private Schlüssel und sorgt so für hohe Sicherheit bei sensiblen Prozessen, wie z.B. Bezahlvorgängen oder der Nutzung einer aus dem → elektronischen Personalausweis abgeleiteten und auf dem Smartphone gespeicherten → digitalen Identität.
Bei der Nutzung mobiler Geräte im Rahmen der → Multi-Faktor-Authentifizierung bei Webdiensten gibt jedoch auch Schwachpunkte: Zum einen wird ein mobiles Gerät üblicherweise nach wenigen Jahren durch ein neueres Modell ersetzt. Benutzer sollten ihrem Profil deshalb selbst neue Geräte hinzufügen und verwalten können. Zum anderen können Geräte verloren werden, defekt sein oder sogar gestohlen werden. Es muss dann immer eine Möglichkeit geben, sich auch ohne diesen Faktor beim Webdienst zu authentifizieren. Und dieser Weg muss so sicher sein, dass er nur dem tatsächlichen Benutzer offen steht und nicht von einem Cyberkriminellen genutzt werden kann.
Security-Token
Bei einem Security-Token (kurz nur „Token“, auch als „Sicherheitsschlüssel“ übersetzt) handelt es sich um eine kryptografische Hardware- oder Softwarekomponente zur → Authentifizierung von Benutzern. Häufig zusätzlich gesichert durch → Passwort, → PIN oder ein → biometrisches Merkmal. Beispiele für Token sind Smartcards, USB-Krypto-Token oder kontaktlose Token mit Bluetooth, NFC oder RFID-Technologie. Auch Trusted Platform Modules (TPM) in Computern oder das → Secure Element in Smartphones können als Security-Token verwendet werden.
Ohne zweites, unabhängiges Authentifizierungsmerkmal bietet ein Security-Token keinen zuverlässigen Schutz gegen Manipulation, Verlust oder Angriffe. Er kann zerstört oder verloren werde. Im Gegensatz zu Computer und Smartphone verursacht der Einsatz zusätzlicher, externer Hardware-Token Kosten für Herstellung, Registrierung und/oder Personalisierung, die Verteilung und die Bereitstellung von Infrastruktur in Form von Lesegeräten oder Software. Ein mögliches Angriffsziel ist die Kommunikation zwischen Token und Lesegerät. Insbesondere bei Funkübertragungen ist zu bedenken, dass diese ggf. noch in großer Entfernung aufgezeichnet werden können.
Single-Sign-On (SSO)
Ein SSO-System übernimmt nach einem initialen Login an einem Arbeitsplatz die automatische Anmeldung dieses Benutzers bei weiteren Diensten und Geräten, für die er eine → Autorisierung hat.
Verschlüsselung
Verschlüsselung wird verwendet, um Daten vor unbefugtem Zugriff zu schützen oder um Nachrichten vertraulich übermitteln zu können. Bei der Verschlüsselung werden Daten so umgewandelt, dass die ursprünglichen Daten nur unter Verwendung eines geheimen Schlüssels wiedergewonnen, also entschlüsselt werden können. Für Ver- und Entschlüsselung werden bei symmetrischen Verfahren jeweils der gleiche und bei asymmetrischen Verfahren verschiedene (ein privater und ein öffentlicher) Schlüssel benutzt.
Im Webbrowser werden Datenverbindungen durch HTTPS gesichert, was für die Verwendung des Internet-Protokolls HTTP mit SSL/TLS-Verschlüsselung und Integritätsschutz steht.
Software Download
Schicken Sie uns eine Anfrage über das Kontaktformular. Wir helfen gerne weiter.