Smartphone Bürger-ID - IT-Sicherheit - Prof. Norbert Pohlmann
slider

Smartphone Bürger-ID – IT-Sicherheit als Wegbereiter für die Digitalisierung - Prof. Dr. Norbert Pohlmann

Smartphone Bürger-ID – IT-Sicherheit als Wegbereiter für die Digitalisierung

Artikel - Smartphone Bürger-ID - IT-Sicherheit als Wegbereiter für die Digitalisierung - Prof. Norbert Pohlmann

N. Pohlmann, A. Stöhr:,
„Smartphone Bürger-ID – IT-Sicherheit als Wegbereiter für die Digitalisierung“,
IT-Sicherheit – Fachmagazin für Informationssicherheit und Compliance,
DATAKONTEXT-Fachverlag,
5/2019

Um die Digitalisierung in Deutschland flächendeckend vorantreiben zu können, benötigt es mehr IT-Sicherheit und Vertrauenswürdigkeit in der digitalen Welt. Täglich finden immer mehr neue Angriffe auf IT-Systeme statt. Eine starke Verbreitung von Ransomware oder der Datenklau von Milliarden von Passwörtern sind nur zwei Beispiele von sehr vielen. Die Studie „Cybersecuryty as a Growth Advantage“ eines großen IT-Unternehmens findet 400 neue Anwendungsfälle, die nur danke adäquater IT-Sicherheit digitalisiert werden können. Damit zählen IT-Sicherheit und Vertrauenswürdigkeit als primärer Wachstumstreiber für Digitalisierung. Multifaktor-Authentifikation und digitale Signaturen sind hier gefragt, um Projekte, wie eine Art Bürger- Ausweis, auf Basis eines Smartphones realisieren zu können.

Digitalisierung bringt erstaunliche und großartige Szenarien. So hat Tesla zum Beispiel durch vernetzte smarte Autos die Möglichkeit eröffnet, binnen weniger Stunden Systemupdates auf die komplette Fahrzeugflotte auszurollen. Ohne entsprechende IT-Sicherheit wäre so etwas ein einfaches Einfallstor für Angreifer. Auch Cloud-Lösungen sind erst durch schützende IT-Sicherheit in der Masse möglich geworden. Heutzutage ist es fast undenkbar, Informationen nur auf einem Endgerät mitzuführen. Fotos, Dokumente und Notizen sind auf vielen unterschiedlichen IT-Systemen immer synchronisiert und können mit anderen schnell und sicher ausgetauscht werden.
Neue Ideen und Möglichkeiten durch Digitalisierung, etwa im Verwaltungsverwesen und in Smart-City-Anwendungen, bringen viele Vorteile für die Kommunen, Länder und Bürger. Mitarbeiter im Bürgercenter werden entlastet, und die Bürger genießen die vielen Vorteile, welche die Digitalisierung mit sich bringt.

Passwörter sind nicht die Zukunft und das ist auch gut so!

Viele digitalisierte Prozesse stoßen früher oder später auf eine Herausforderung: Identifizierung und Authentifizierung von Nutzern. Die Kombination aus Nutzernamen und Passwort bietet zwar den Vorteil, dass jeder weiß, wie es funktioniert, sind aber sehr unsicher! Einfach schnell den üblichen Nutzernamen verwendet und genauso einfach wieder das eine Passwort, das so gut im Kopf bleibt.
Doch dies birgt ein fatales Risiko: Gestohlene Passwörter gehören heutzutage zum Tagesgeschäft. Gerade das Passwort-Verfahren birgt neben dem hohen Sicherheitsrisiko zusätzlich noch ein hohes Kostenproblem. Jährlich sind die Verwaltungskosten für ein Passwort-Verfahren ungeahnt groß. Komplizierte Passwortregeln führen dazu, dass sich Nutzer aus Versehen aus dem IT-System aussperren, Systemadmins verbringen viele Stunden pro Woche mit dem Zurücksetzen von Accounts und der Identitätsdiebstahl durch schwache Passwörter, etwa für E-Mail-Konten, verursacht innerhalb von Unternehmen sehr hohe Schäden, wie z.B. gestohlene Firmeninterna, Kundendaten, Protokolle und Betriebsgeheimnisse. Dieses Einfallstor ist daher auch für gezielte Angreifer denkbar gut geeignet, denn Phishing-Angriffe, Malware, wie Keylogger (Ausspähen aller Eingaben über die Tastatur) und Social Engineering, führen schnell und einfach für Angreifer zum Ziel. Passwörter, als Sicherheitsfaktor, bieten hier wenig bis gar keinen Schutz.

Alternativen, wie Chipkarten oder SecureTokens zur Generierung von „time based onetime passwords“, sind immer an zusätzliche Hardware und Mehrkosten gebunden und nur selten bis gar nicht interoperabel nutzbar. Ebenso sind verlorene IT-Endgeräte schwierig abzumelden, sofern der Nutzer überhaupt in sein IT-System kommt, etwa durch Revoke-Prozesse. Oftmals liegt dann hier der Schwachpunkt im System, da ein Nutzer sich doch mittels Einmalpassworts wieder in sein Konto einloggen kann.

Ebenso werden Passwörter bald keinen Platz mehr in der Industrie 4.0 finden. Smart-City Anwendungsfälle, das „Internet of Things“ und neue Mobilitätslösungen benötigen eine schnelle, einfache und sichere Authentifizierung, zum Beispiel mithilfe von Multifaktor-Authentifikationsverfahren. Eine Multifaktor-Authentifizierung dient der Verifizierung der Identität eines Nutzers mittels der Kombination verschiedener unterschiedlicher und insbesondere unabhängiger Klassen von Authentifizierungsverfahren. Eine häufige Variante ist die Zwei-Faktor-Authentifizierung (2FA) mit Besitz und Wissen, zum Beispiel Hardware-Sicherheitsmodul (Smartcard, USB-Token, …) plus PIN zur Aktivierung des Hardware-Sicherheitsmoduls. Wir sprechen von einer Multifaktor-Authentifizierung (MFA), wenn noch flexibler reagiert kann.

Die Klassen der Multifaktor-Authentifizierung sind:

  • etwas, das der Nutzer besitzt, wie zum Beispiel ein Hardware-Sicherheitsmodul
  • etwas, das der Nutzer weiß, wie zum Beispiel ein Passwort oder PIN
  • etwas, das als körperliches Charakteristikum untrennbar zum Nutzer gehört (das Sein), wie zum Beispiel ein Fingerabdruck, Gesicht oder die menschliche Stimme.




Weitere Informationen zum Thema “Authentifikation”:


Artikel:
„Smartphone Bürger-ID – IT-Sicherheit als Wegbereiter für die Digitalisierung“

“Risikobasierte und adaptive Authentifizierung”

„Smart Authentication, Identification and Digital Signatures as Foundation for the Next Generation of Eco Systems”

“An Usable Application for Authentication, Communication and Access Management in the Internet Of Things”

„Die Zeit nach dem Passwort – Handhabbare Multifaktor-Authentifizierung für ein gesundes Eco-System”

„Abschied vom Passwort – Authentifikation für ein gereiftes Internet“

“Bring Your Own Device For Authentication (BYOD4A) – The Xign–System“


“Ein OpenID-Provider mit Proxy-Funktionalität für den nPA”


Vorträge:
„Smart Authentifikation, Identifikation und digitale Signaturen als Grundlage zukünftiger Ökosysteme“

„Restrisikoanalyse Online-Authentisierung“

Vorlesung: „Identifikation und Authentifikation“

Glossareintrag: „Authentifikation“

Studie für das BMI: “Restrisiken beim Einsatz der AusweisApp auf dem Bürger-PC zur Online Authentisierung mit Penetrations-Test”

Informationen über das Lehrbuch: „Cyber-Sicherheit“

kostenlos downloaden
Artikel - Smartphone Bürger-ID - IT-Sicherheit als Wegbereiter für die Digitalisierung - Prof. Norbert Pohlmann
Smartphone Bürger-ID – IT-Sicherheit als Wegbereiter für die Digitalisierung Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten