Integrale Sicherheit ist kein Thema von morgen
Bereits heute müssen Unternehmen für die Integrität ihrer prozessrelevanten IT-Systeme sorgen. Doch welche Anforderungen sollten an komplexe Sicherheitssysteme gestellt werden? Wie viel Sicherheit kann durch Technologie erreicht werden? Diese und andere Fragen diskutierten die Teilnehmer des Workshops „Sichere Identität“ am 6. Mai auf der EURO ID 2009 in Köln.
Das Fraunhofer-Innovationscluster Sichere Identität, RF-iT Solutions GmbH, SesamBB e.V., secunet Security Networks AG, Siemens AG, Technische Hochschule (FH) Wildau und TelematicsPRO e.V. präsentierten sich erstmals auf der Fachmesse als „Netzwerk Sichere Identität“, ein Verbund aus Unternehmen und Organisationen der IT-Metropolregion Berlin/Brandenburg. Im Mittelpunkt standen ganzheitliche, vernetzte Konzepte für die Sicherheit von Personen, Objekten und digitalen Geschäftsprozessen, angefangen von Telematikanwendungen, über Authentifizierungsverfahren, bis hin zu IT-Sicherheitslösungen. Koordiniert wurde die Veranstaltung von „RFID im Blick“.
Eine ganzheitliche Betrachtung ist erforderlich
Teilnehmer des Workshops „Sichere Identität“ am 6. Mai auf der Euro ID in Köln diskutierten Sicherheitsfragen
Sicherheit ist ein hohes, aber sensibles Gut, darüber waren sich alle Teilnehmer des Workshops einig. Doch welche Anforderungen bestehen an sichere Geschäftsprozesse und den Schutz der persönlichen Identität? Und in welchem Maße beeinflussen Sicherheitskonzepte auch Kosten-Nutzen-Faktoren? Angeregt, und teilweise kontrovers, erörterten Vertreter des Netzwerkes „Sichere Identität“ diese und weitere Aspekte mit rund 30 Teilnehmern am 6. Mai auf der Euro ID. Angefangen vom Elektronischen Personalausweis über sichere Geschäftsprozesse im Internet bis hin zum Einsatz von AutoID-Technologien zum Objektschutz wurde deutlich: Mit dem Internet der Dinge stehen wir vor einem Paradigmenwechsel von geschlossenen zu offenen Systemen. Und die Lernkurve ist noch längst nicht durchschritten.
Nicht alle Daten auf eine Karte
Die Sicherheit von Zivilapplikationen, wie dem neuen Elektronischen Personalausweis, den Hans Kauper, SesamBB, eingangs in seinem Vortrag vorgestellt hatte, war zentrales Thema der Diskussion. Besonders der Einsatz der Komfortsignatur für elektronische Geschäftsprozesse stieß auf die Frage beim Publikum, wie die Sicherheit der Signaturkarte, die gleichzeitig Personalausweis ist, bei einer Gültigkeit von zehn Jahren gewährleistet sei. Dazu Dr. Michael Braun, Siemens: „Die Signaturfunktion kann nachgeladen, aber auch überschrieben werden. Zweitens ist die Signatur nicht serienmäßig, sondern optional und muss zugekauft werden.“ Thomas Koelzer, Secunet, gab dennoch zu bedenken, den elektronischen Personalausweis als Single-Sign-On für das Homebanking, als Log-in am Firmenrechner oder für die E-Mail-Kommunikation einzusetzen und plädierte dafür, das Sicherheitsrisiko ernst zu nehmen: „Homebanking ist für mich das beste Beispiel, dass die Lernkurve, die wir durchschritten haben, nicht nach zwei Jahren vorbei war, sondern die Fishing-Diskussion ebbt erst jetzt allmählich ab. Unsere Botschaft ist, dass wir in der AutoID/RFIDWelt nicht durch die gleiche Lernkurve gehen müssen. Statements wie ‚Die Daten sind nicht so gefährlich’ oder ‚Bei Sicherheit kann man Fehler machen’ schockieren mich zutiefst.“
Komfort contra Sicherheit – ein Widerspruch?
Der Wert der Sicherheit besteht im Zusammenhang mit dem Elektronischen Personalausweis vor allem in der Erhöhung des Komforts – das war das Resümee der Teilnehmer. Kauper konnte mit dem Missverständnis aufräumen, der Personalausweis sei ein Ausweis, auf dem alles drauf ist. „Das wird es nicht geben“, so Kauper. Auch sei dieser nicht als ständiger Tages- oder Firmenausweis vorgesehen, sondern nur für den erstmaligen Zugang zu einem sicheren Prozess. Aus dem Publikum kam dazu die Forderung nach einem ganzheitlichen Identitätsmanagement: Es reiche nicht mehrere Identitäten zu besitzen, vielmehr müsse eine „Identitätsmanagementhülle“ darüber gelegt werden, um Sicherheitsfragen darunter zur Zufriedenheit zu lösen. Man benötige Prozesse, die nichts an der Qualität ändern, aber den Komfort darstellen. Weiter sagte Kauper: „Ich gehe davon aus, dass der Elektronische Personalausweis in Zukunft zunehmend für eine einmalige Personalisierung eingesetzt werden wird und in breiten Applikationen an Bedeutung gewinnt. Denkbar wäre beispielsweise auch, diesen für die Zugangsberechtigung zu nutzen.“ Michael Sandrock, TelematicsPro, befürwortete dieses Vorgehen, kritisierte aus Verbandssicht zugleich, dass die Industrie versuche Applikationen krampfhaft durchzudrücken, statt sich auf Anwendungen zu konzentrieren, die wirklich Erleichterung für Menschen im Alltag bringen. Als positives Beispiel führte er Musterwohnungnen in Potsdam an, die Chipkarten als Zugangsberechtigung für Hilfskräfte zu bestimmten Uhrzeiten nutzen. Gerade im Hinblick auf die älter werdende Gesellschaft sei der Einsatz der Technik im Bereich Home-Automation eine wichtige und richtige Strategie. Eine Umfrage unter 12 000 Personen habe bereits die Akzeptanz dieser Anwendung bestätigt.
Identifizierung als Zwangsmaßnahme?
Bedeutet Identifikation zugleich Kontrolle? Und wie viel Zwang ist erforderlich? An diesen Fragen entbrannte eine grundlegende Diskussion über die Freiwilligkeit von Identitätsnachweisen und deren Akzeptanz. Einigkeit herrschte über die Notwendigkeit von Kontrolle, die als Nachweis der Identität inzwischen selbstverständlicher Bestandteil des täglichen Lebens sei, sei es beim Check-in an Flughäfen, sei es bei der Ausleihe in Videotheken. Wie Anja Van Bocxlaer betonte, zeige besonders das Beispiel Videotheken, wie dramatisch wichtig Ausweissysteme für den Jugendschutz seien, um eine Hürde für den missbräuchlichen Zugang zu Videos, aber auch Zigaretten oder Alkohol zu schaffen. „Ich halte es für sehr wichtig, dass wir dies ernst nehmen und darüber nachdenken sollten, wie wir diese Systeme weiterentwickeln können“.
Akzeptanz als Basis
Thorsten Sy, Fraunhofer Innovationscluster Sichere Identität, unterstrich die Akzeptanz von Sicherheitslösungen als wesentliche Voraussetzung: „Dies ist ein klassisches Beispiel, warum wir sozialwissenschaftliche Begleitforschung betreiben. Technologen wollen Innovationen auf den Markt bringen, weil sie vielleicht Komfort versprechen. Der Nutzer akzeptiert diese möglicherweise aber nicht, weil der Nutzen schlecht kommuniziert wurde oder der User die Technologie nicht versteht.“ Beste Beispiele seien der RFID-Einsatz im Handel oder Nacktscanner an Flughäfen. Michael Sandrock ergänzte: „Wir als Verband kommen nicht darum herum, die Lernkurve zu akzeptieren. Vieles funktioniert nicht im Hauruck-Verfahren. Wir brauchen die Einschaltung vieler Institutionen. Denn wenn wir die Technologie nicht in die Breite tragen, wird es einen Flop geben.
Interessenkonflikt zwischen einzelnen Parteien
Welchen Wert hat Sicherheit für ein Unternehmen? Mit dieser Frage spannte Moderator Professor Dr. Frank Gillert den Bogen zur sicheren Authentifizierung in Geschäftsprozessen. Ein Teilnehmer des Plenums führte dazu aus, dass es sich im RFID-Umfeld vorrangig um sicherheitsrelevante Lösungen in geschlossenen Kreisläufen handele. Weil der Kunde eine höhere Sicherheit im Prozess wünsche, den er aber selbst zu hundert Prozent unter Kontrolle hat. Schwieriger sei es, Sicherheitslösungen parteiübergreifend zu integrieren. Entweder müsse man viele Stellen überzeugen oder diese zwingen es zu tun. Der Staat könne Maßnahmen erzwingen, ein Unternehmen alleine nicht. Standards für Geschäftstransaktionen schaffen Im Geschäftsumfeld rückten die Teilnehmer besonders die Notwendigkeit
einheitlicher Standards als Basis sicherer Geschäftstransaktionen in den Blickpunkt. „Wir erleben gerade einen Paradigmenwechsel von einer geschlossenen zu einer offenen Anwendung“, so Koelzer. „In der E-Business-Welt haben wir zwei Dinge gelernt. Erstens: Es gibt für vieles keine Standards, aber man glaubt, es gibt Standards. Beispiel ist die elektronische Rechnungsstellung, die nicht funktioniert, ohne dass weitere Absprachen getroffen werden. Ich glaube nicht, dass dies im RFID-Umfeld anders ist. Zweitens: Sobald die Daten parteiübergreifend verarbeitet werden, also Transaktionen zwischen Entitäten stattfinden, sind sie Gefährdungen durch Manipulation ausgesetzt.“ Das Plenum stellte dem entgegen, dass im Bereich RFID ein Grundstandard geschaffen worden sei, auf dessen Basis branchenbezogene Lösungen von den Nutzern definiert und als allgemeingültig erklärt werden, sei es in der Luftfahrt über IATA oder in der Automobilindustrie über den VDA. Nur aus wirtschaftlicher Notwendigkeit und mit Zwang der gesamten Branche sei dies erreicht worden. Die Standardisierung im Bereich Barcode habe bereits gezeigt, dass dies der richtige Weg sei.
Praxisbeispiel Biolitec
RFID für den Produktschutz von Glasfasersonden Welchen Beitrag RFID für die Sicherheit von Objekten leisten kann, wurde am Fallbeispiel der Biolitec AG verdeutlicht. In seinem Vortrag erläuterte Dr. Tilmann Trebst, wie das Unternehmen die Technologie zur Identifizierung von Glasfasersonden für minimal-invasive Operationen einsetzt. Der Hersteller schützt diese damit vor Verwendung ungeeigneter Sonden seitens Dritter, vor zu häufiger Nutzung und vor Produktkopien. Zudem konnte das Unternehmen laut Dr. Trebst verbrauchsorientierte Finanzierungsmodelle für die Lasergeräte umsetzen und eine bessere Rückverfolgbarkeit erzielen.
Fälschunsschutz ist elementar
Günther Kahr, RF-iT Solutions: „Ich bin überzeugt, dass es weitere positive Beispiele gibt, für die RFID Sinn macht. Die Technologie eröffnet gerade in der Pharmabranche neue Möglichkeiten, viele Prozesse und Produkte noch sicherer zu machen. Wir wissen, dass es im Pharmamarkt 15 Prozent Fälschungen gibt. Dennoch ist die Industrie nicht bereit, RFID einzuführen, weil die Branche sich noch nicht auf Standards geeinigt hat oder es am Preis scheitert, weil das Ausrüsten jeder Medikamentenverpackung den finanziellen Rahmen sprengt.“ Weitere Ansätze zum Produkt- und Markenschutz zeigte Dr. Michael Braun mit dem von Siemens entwickelten Crypto-Chip auf. Datenverschlüsselung sei elemetarer Bestandteil der Sicherheit. Wie Mifare-Hacks gezeigt hätten, müsse an der Fälschungssicherheit der Unique Identifiers (UIDs) gearbeitet werden: „Wir müssen die Klonbarkeit besser in den Griff bekommen.“ Das Fazit aus dem Plenum: Wesentlich ist die differenzierte Betrachtung von Sicherheitsaspekten. Denn jede Applikation braucht ein eigenes Level an Sicherheit. Eine Geschäftstransaktion erfordere ein höheres Niveau als ein Echtheitsnachweis für einen Turnschuh oder die Zugehörigkeit eines Labels zu einem Objekt.
Programm
