Smartphone Bürger-ID – IT-Sicherheit als Wegbereiter für die Digitalisierung - Prof. Dr. Norbert Pohlmann
Smartphone Bürger-ID – IT-Sicherheit als Wegbereiter für die Digitalisierung | |
N. Pohlmann, A. Stöhr:, Um die Digitalisierung in Deutschland flächendeckend vorantreiben zu können, benötigt es mehr IT-Sicherheit und Vertrauenswürdigkeit in der digitalen Welt. Täglich finden immer mehr neue Angriffe auf IT-Systeme statt. Eine starke Verbreitung von Ransomware oder der Datenklau von Milliarden von Passwörtern sind nur zwei Beispiele von sehr vielen. Die Studie „Cybersecurity as a Growth Advantage“ eines großen IT-Unternehmens findet 400 neue Anwendungsfälle, die nur danke adäquater IT-Sicherheit digitalisiert werden können. Damit zählen Cyber-Sicherheit und Vertrauenswürdigkeit als primärer Wachstumstreiber für Digitalisierung. Multifaktor-Authentifikation und digitale Signaturen sind hier gefragt, um Projekte, wie eine Art Bürger- Ausweis, auf Basis eines Smartphones realisieren zu können. Digitalisierung bringt erstaunliche und großartige Szenarien. So hat Tesla zum Beispiel durch vernetzte smarte Autos die Möglichkeit eröffnet, binnen weniger Stunden Systemupdates auf die komplette Fahrzeugflotte auszurollen. Ohne entsprechende IT-Sicherheit wäre so etwas ein einfaches Einfallstor für Angreifer. Auch Cloud-Lösungen sind erst durch schützende IT-Sicherheit in der Masse möglich geworden. Heutzutage ist es fast undenkbar, Informationen nur auf einem Endgerät mitzuführen. Fotos, Dokumente und Notizen sind auf vielen unterschiedlichen IT-Systemen immer synchronisiert und können mit anderen schnell und sicher ausgetauscht werden. Viele digitalisierte Prozesse stoßen früher oder später auf eine Herausforderung: Identifizierung und Authentifizierung von Nutzern. Die Kombination aus Nutzernamen und Passwort bietet zwar den Vorteil, dass jeder weiß, wie es funktioniert, sind aber sehr unsicher! Einfach schnell den üblichen Nutzernamen verwendet und genauso einfach wieder das eine Passwort, das so gut im Kopf bleibt. Alternativen, wie Chipkarten oder SecureTokens zur Generierung von „time based onetime passwords“, sind immer an zusätzliche Hardware und Mehrkosten gebunden und nur selten bis gar nicht interoperabel nutzbar. Ebenso sind verlorene IT-Endgeräte schwierig abzumelden, sofern der Nutzer überhaupt in sein IT-System kommt, etwa durch Revoke-Prozesse. Oftmals liegt dann hier der Schwachpunkt im System, da ein Nutzer sich doch mittels Einmalpassworts wieder in sein Konto einloggen kann. Ebenso werden Passwörter bald keinen Platz mehr in der Industrie 4.0 finden. Smart-City Anwendungsfälle, das „Internet of Things“ und neue Mobilitätslösungen benötigen eine schnelle, einfache und sichere Authentifizierung , zum Beispiel mithilfe von Multifaktor-Authentifikationsverfahren. Eine Multifaktor-Authentifizierung dient der Verifizierung der Identität eines Nutzers mittels der Kombination verschiedener unterschiedlicher und insbesondere unabhängiger Klassen von Authentifizierungsverfahren. Eine häufige Variante ist die Zwei-Faktor-Authentifizierung (2FA) mit Besitz und Wissen, zum Beispiel Hardware-Sicherheitsmodul (Smartcard, USB-Token, …) plus PIN zur Aktivierung des Hardware-Sicherheitsmoduls. Wir sprechen von einer Multifaktor-Authentifizierung (MFA), wenn noch flexibler reagiert kann. Die Klassen der Multifaktor-Authentifizierung sind:
| |