Authentifizierung und Compliance in der mobilen IT

Client-Zertifikate fürs Mobile Device Management

| Autor / Redakteur: Christof Baumgärtner, MobileIron / Stephan Augsten

Digitale Zertifikate vereinfachen die Authentisierung für mobile Mitarbeiter erheblich.
Digitale Zertifikate vereinfachen die Authentisierung für mobile Mitarbeiter erheblich. (Bild: violetkaipa - Fotolia.com)

Perimeter-Schutzmaßnahmen werden angesichts der zunehmenden Mitarbeiter-Mobilität immer unwirksamer. Die Mechanismen müssen deshalb an den Daten und Dokumenten selbst ansetzen. Eine Lösung besteht in (Client-) Zertifikaten, die eine Authentifizierung und Identifizierung sowie das Signieren ermöglichen.

Bei nicht zentral verwalteten Smartphones und Tablets ist der Gerätebesitzer von Haus aus mit vielen Rechten ausgestattet. Dies wird insbesondere dann sicherheitskritisch, wenn der Anwender mit dem mobilen Endgerät auf Unternehmensdaten zugreifen kann.

Eine effiziente und sichere Form der Authentifizierung ist bei „nomadisierenden“ Geräten wie Smartphones oder Tablets also dringlicher, als bei eher standorttreuen Geräten wie dem PC. Hier bietet sich eine Zwei-Faktor-Authentifizierung an, also die Frage nach der Identität von Nutzer und Gerät beziehungsweise nach der Berechtigung des Nutzers.

Sehr elegant und nutzertransparent lässt sich eine solche starke Authentifizierung mit Client-Zertifikaten umsetzen; vor allem weil dann das Mobilgerät auch im Unternehmensumfeld genauso gehandhabt werden kann, wie es die Nutzer aus dem privaten Umfeld gewohnt sind.

Zertifikat als Passwort-Träger

In einem Zertifikat steckt ein (geheimer) Schlüssel, der genau für den jeweiligen Benutzer und das jeweilige Gerät erzeugt wurde. Dieser geheime Schlüssel entspricht im Prinzip einem sehr sicheren Passwort, nur dass sich der Nutzer dieses Passwort nicht merken und händisch eingeben muss.

Eine so genannte Public-Key-Infrastruktur (PKI) verbindet den geheimen Schlüssel mit einem weiteren Schlüssel. Letzterer ist zusammen mit seinem Eigentümer in einem öffentlichen Verzeichnis abgelegt. Die Korrektheit wird durch den Betreiber der PKI beglaubigt.

Beide Schlüssel sind als Schlüsselpaar abwechselnd für Verschlüsselung und Entschlüsselung einsetzbar. Der Absender verschlüsselt mit dem öffentlichen Schlüssel des Empfängers, dieser wiederum kann mit seinem privaten Schlüssel die verschlüsselte Nachricht entschlüsseln. Auf die komplexen mathematischen Verfahren dieser asymmetrischen Verschlüsselung gehen wir aus Platzgründen nicht ein.

Die Vertrauenswürdigkeit eines Zertifikats beruht natürlich auf der Seriosität der Instanz, die hierfür bürgt. Da diese Instanz auch wieder zertifiziert werden kann und sollte, entstehen Zertifikatsketten, die idealerweise bei einem Trustcenter als Basiszertifizierungsstelle enden. Deren Root-Zertifikat wird durch die Institution selbst beglaubigt.

Da ein Trustcenter als Garant für das Root-Zertifikat nicht unerhebliche Kosten verursacht, setzen viele Unternehmen auf „leichtgewichtigere“ und preiswertere Zertifizierungsstellen (CAs, Certification Authorities). So enthält das Windows-Betriebssystem seit Windows Server 2003 eine eigene CA, gleiches gibt es im Mobilbereich. So ist beispielsweise das Mobile Device Management-System von MobileIron mit einer eigenen CA ausgestattet.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42275107 / Blockchain, Schlüssel und Zertifikate)