Suchen

Datenschutz bei Zulieferern Einführung einer Zwei-Faktor-Authentifizierung

Autor / Redakteur: Ga-Lam Chang* / Stephan Augsten

Wer als Zulieferer nachweisen kann, dass er seine IT-Systeme vor unautorisiertem Zugriff schützt, hat einen Wettbewerbsvorteil. Eine Zwei-Faktor-Authentifizierung verspricht das und ist verhältnismäßig schnell umgesetzt.

Firma zum Thema

Mit einer Zwei-Faktor-Authentifizierung lässt sich nicht nur die IT schützen, auch der Zugangsschutz profitiert.
Mit einer Zwei-Faktor-Authentifizierung lässt sich nicht nur die IT schützen, auch der Zugangsschutz profitiert.
(Bild: Archiv)

Der Schutz geistigen Eigentums sollte in jedem Technologieunternehmen oberste Priorität haben. Wer als Zulieferer oder Entwicklungsdienstleister mit vertraulichen Daten seines Kunden umgeht, ist zu besonderer Sorgfalt angehalten. In Hightech-Branchen wie der Automobilindustrie oder der Luft- und Raumfahrt vergeben OEMs viele Aufgaben an Partner.

Häufig fordern die Auftraggeber bereits eine starke Authentisierung von ihren Zulieferern. Mit dem richtigen Vorgehen ist die Einführung eines solchen Systems ein überschaubares Projekt. Zwölf Manntage sind der Durchschnittswert. Bei einem Automobilentwicklungsdienstleisters konnte die auf Identity- und Accessmanagement (IAM) spezialisierte, herstellerunabhängige Peak Solution GmbH das Projekt in zehn Tagen abschließen.

Der weitgehend standardisierte Implementierungsprozess ließ sich in diesem Fall beschleunigen, weil das Nürnberger IT-Haus mit dem Schließsystemlieferanten des Automobilzulieferers bereits zusammengearbeitet hatte. Die schnelle Einführung der Zwei-Faktor-Authentisierung setzt nämlich an der Erweiterung bestehender Zutrittskontrollsysteme an.

In vielen Konzernen und bei großen Mittelständlern sind Multifunktionsmitarbeiterausweise Standard. Diese Ausweise dienen der Authentisierung gegenüber Schließanlagen und vereinen meist noch weitere Funktion wie Zeiterfassung oder Bezahlung in der Kantine. Es bietet sich also an, die Funktion dieser Medien zu erweitern und für die Authentisierung gegenüber IT-Systemen zu ergänzen.

Doch das ist nicht der einzige Grund. Ein Identifikationsmedium für alle relevanten Funktionen erhöht die Sicherheit, macht Passwörter überflüssig und reduziert, bei richtiger Implementierung, den Verwaltungsaufwand.

Zwei-Faktor-Authentisierung

Die Anmeldung an IT-Systemen mit Benutzername und Passwort gilt schon lange als nicht ausreichend sicher – schon gar nicht für den Schutz sensibler Daten und Anwendungen. IT-Security-Experten empfehlen hierfür die Zwei-Faktor-Authentisierung.

Was steckt dahinter? Damit ein IT-System die digitale Identität eines Benutzers verifizieren kann, gibt es drei Wege: wissensbasiert über Passwörter oder PINs, besitzbasiert über Token oder Chipkarten und merkmalbasiert anhand biometrischer Daten wie Fingerabdruck oder Stimme.

Zwei-Faktor-Authentisierung heißt nun, dass zwei dieser Verfahren kombiniert werden müssen. Beliebt ist die Verbindung zwischen Passwort und einem Gerät, das Einmalpasswörter erzeugt; oder die Kombination von Passwort und Fingerabdruckscanner an der Tastatur. Smartcard-Ausweissysteme haben aber zwei wesentliche Vorteile:

Erstens dienen sie als Sichtausweis zugleich der Authentifikation durch menschliche Sicherheitskontrollen wie Pförtner oder Werkschutz. Der zweite Vorteil liegt in der physischen Verknüpfung zweier Funktionen. Denn soll eine Workstation nicht ungesichert bleiben, wenn sich der autorisierte Mitarbeiter entfernt, ist die Multifunktionskarte ideal. Vergisst der Mitarbeiter die Karte im Leseschlitz, fällt ihm dies spätestens an der nächsten Tür auf, zu deren Öffnung er die Karte braucht.

Aufnahme Ist-Zustand

Beim Projektstart zur Einführung der Zwei-Faktor-Authentisierung klärt der IAM-Dienstleister einige grundlegende Fragen:

  • Ist heute schon eine elektronische Schließanlage oder Zeiterfassung im Einsatz?
  • Welcher RFID-Standard (meist Mifare oder Legic) wird dafür genutzt?
  • Welche weiteren Funktionen wie etwa Kantinenbezahlung sind mit den Ausweisen verbunden?
  • Wie sieht die IT-Infrastruktur aus?

Je nachdem, ob es sich um eine Microsoft- oder eine Linux-Infrastruktur handelt, dient ein Active Directory oder ein LDAP zur Benutzerverwaltung. Auf diese greift dann das Ausweisverwaltungssystem zu. Dies ist die wesentliche neu zu implementierende Komponente. Es wird zudem abgefragt, ob bereits eine Public Key Infrastructure (PKI) vorhanden ist oder ob diese gegebenenfalls im Zuge des Projektes eingerichtet werden soll.

Obwohl für die Einführung der Zwei-Faktor-Authentisierung nicht zwingend erforderlich, hat es sich als sinnvoll erwiesen, die Speicherung von privaten Schlüsseln einer PKI auf den Karten vorzusehen. Damit kann das Unternehmen jederzeit in eine komfortable E-Mail- und Datenverschlüsselung einsteigen und sein IT-Sicherheitsniveau weiter erhöhen.

Insourcing der Kartenverwaltung

Je mehr Funktionen auf einem Multifunktionsausweis vereint sind, desto wichtiger ist es für das Unternehmen, diese selbst bedrucken und enkodieren zu können (RFID-Token und Kryptochip). Der Grund: Weil ein Mitarbeiter ohne Ausweis weder aufs Gelände noch an seinen Rechner kann, braucht es im Falle eines vergessenen Ausweises schnellen temporären Ersatz.

Die IAM-Experten von Peak Solution legen daher Wert darauf, eine schlüsselfertige Lösung inklusive der Druckvorlagen und Kodierbeschreibungen für die Ausweise zu übergeben. Wurden die Ausweise vorher vom Schließanlagenanbieter vorkodiert geliefert, muss von diesem meist ein Master Token für die Anlage erfragt werden. Ausweisdruck und Kodierung können dann kostengünstig im eigenen Haus mit handelsüblichen Blankoausweiskarten erfolgen.

Beispiel

Der oben bereits genannte Zulieferer arbeitet an der prototypischen und serienbegleitenden Systementwicklung und Absicherung von Infotainment-, Energie- und Fahrerassistenzsystemen für einen führenden Automobilhersteller. Bei dem 700 Mitarbeiter starken Unternehmen waren Legic-Ausweise im Einsatz, die neben der Funktion als RFID-Token für die Schließanlage auch der Zeiterfassung dienten.

Die elektronische Schließanlage bestand aus zwei Teilen. Einem Online- und einem Offline-System. Für die Zeiterfassung wurden an den Hauptein- und -ausgängen entsprechende Zeiterfassungsterminals installiert. Die bestehenden Identifikationsmedien wurden durch Hybrid-Ausweise mit RFID- und Kryptochip ersetzt.

Die Nutzung des Ausweises in der physischen Welt hat sich somit nicht verändert. Wohl aber die erweiterten Nutzungsmöglichkeiten in der IT. Mit dem neuen Ausweis, welcher auf dem Kryptochip ein Benutzerzertifikat beherbergt – ausgegeben über die eigenbetriebene PKI - ist die Anmeldung im Microsoft-Netzwerk nun sicher möglich.

Hauptaugenmerk wurde darauf gelegt, dass die Authentisierungsverfahren möglichst standardkonform zur eingesetzten Microsoft-Infrastruktur sind. Als Quelle für die Daten der Nutzer und ihren Berechtigungen konnte das bestehende Active Directory verwendet werden. Für die durchgängige Verwaltung der Mitarbeiterkarten wurde das Ausweismanagementsystem neXus SmartACT gewählt, das kombinierte Smartcard-/RFID-Ausweise verwalten kann.

Schnittstellen zu externen Systemen wie Zutrittskontrolle und Zeiterfassung sind vorhanden und mussten lediglich konfiguriert werden. Neben der Einführung der PC-Logon-Funktion wurde die bestehende Microsoft PKI überarbeitet und für die Anforderungen fit gemacht.

Einfache Workflows

Der verfolgte „Best-Practice“-Ansatz – standardisierte Implementierung der Zwei-Faktor-Authentifizierung mit selbst verwalteten Multifunktionsausweisen – erlaubt eine schnelle Erhöhung der Informationssicherheit. Wird eine PKI mit eingeführt, können weitere Sicherheitsmaßnahmen leicht realisiert werden: von Self-signed PKI bis hin zur qualifizierten elektronischen Signatur.

Die Workflows zur Erstellung und Sperrung von Ausweisen sind in den verwendeten Ausweismanagementsystemen komfortabel und umfassen auch Self-Service-Funktionen für die Mitarbeiter. Peak Solution bietet als weiterführende Beratung Workshops an, um die Prozesse im Sinne eines ausgereiften Berechtigungsmanagements zu verfeinern.

Die Ausweisverwaltung wird meist der HR-Abteilung, der IT-Abteilung oder, falls vorhanden, einem Werkschutz zugeordnet. In einer IAM-Lösung sollten Provisioning (Bereitstellung) und Entitlement (Erlaubnis) getrennt werden. Eigene Prozesse legen fest, wie und bei wem Ausweise beantragt und wie sie ausgegeben werden.

Bei komplexeren Berechtigungsstrukturen, etwa mit verschiedenen Geheimhaltungsstufen oder externen und befristeten Mitarbeitern, muss die technische Lösung zur Zugriffssteuerung durch entsprechend differenzierte organisatorische Regelungen unterstützt werden. Am Ende eines IAM-Projekts kann ein extern auditierbares Sicherheitskonzept stehen, das einen Zulieferer als Premiumpartner für wettbewerbsrelevante, streng vertrauliche Entwicklungsaufgaben eines OEM qualifiziert.

* Herr Ga-Lam Chang ist Geschäftsführer und Leiter Identity and Security Management Solutions bei der Peak Solution GmbH.

(ID:43890664)