Systeme und ihr Umfeld

Sicherheitsdatenträger

Smarte Karten

Von Adrian Ach, Hamburg

Ob Handy, ec-Karte, Krankenkassen oder Mitgliedsausweis – ohne Chipkarten geht heutzutage gar nichts mehr. Schon reine Speicherkarten erlauben eine bequeme und teils auch zusätzlich gesicherte mobile Datenablage, die Einsatzmöglichkeiten von SmartCards mit integriertem Minicomputer inklusive Prozessor und Arbeitsspeicher sind nahezu unbegrenzt – zumal auch der Chipträger noch eine Menge Raum für Zusatzfunktionen lässt.

Smartcards sind heute ein gewohntes Bild in fast jedem Portmonee. Ihre Akzeptanz als Träger von (mehr oder weniger) wertvollen Informationen ist bereits nahezu perfekt – seien es nur ein paar bargeldlose Telefongroschen, der Verfügungsrahmen des Gehaltskontos oder die Krypto-Schlüssel zum Firmennetz und E-Business. Sowohl IT-Sicherheitsfachleute als auch die meisten "Normalbürger" dürften Chipkarten mittlerweile als ein selbstverständliches Alltagsobjekt empfinden und gleichzeitig als etwas einschätzen, auf das man Acht gibt.

Durch ihre flache Bauform passen Chipkarten überdies hervorragend dorthin, wo man sowieso wertvolle Dinge aufbewahrt: in die Brieftasche, die man wegen ihres Gehalts an Geld und Ausweisen üblicherweise sorgsam verwahrt. Diese Vorbedingungen kommen auch Smartcards als Sicherheitsmedium zugute. USB-Token werben mit dem Platz am Schlüsselbund. Die meisten Menschen dürften aber eher ihre Schlüssel als ihre Geldbörse herumliegen lassen... Und wieviele Büroschrankschlüssel landen nach getaner Arbeit einfach in der obersten Schublade des Schreibtisches?

Außerdem passen mehr Chipkarten in eine Brieftasche als USB-Token an einen (handlichen) Schlüsselbund. Solange man mangels Universalkarte/-token mehrere verschiedene Datenträger benötigt, kann die Karte hier einen zusätzlichen Vorteil verbuchen. Aber auch in Sachen Multi-Applikation sind die Smartcards gerüstet: So könnten Bürger- oder City-Karten im Prinzip gleichzeitig digitale Signaturen für das E-Government ermöglichen, als Geldkarte eine Bezahlfunktion wahrnehmen und als HBCI-Karte (Homebanking Computer Interface) Transaktionen steuern.

In ein Portmonee passen viele Chipkarten – ein Beispiel aus der Praxis.

Beim Telefonieren mit dem Handy sind intelligente Chipkarten als SIM-Karten (Subscriber Identity Module) zur Kapselung der GSM-Zugangs- und Kommunikationsschlüssel unverzichtbar. Der WAP-Standard (Wireless Application Protocol) ist jedoch gerade um eine weitergehende Public-Key-Komponente ergänzt worden, mit der das künftige Protokoll dann Mobile Banking und Mobile Commerce besser unterstützen wird. Die Smartcard-Lösung innerhalb des neuen drahtlosen Protokolls nennt sich "WAP Identification Module" oder kurz WIM (vgl. S. 17) und ist eine Ergänzung der normalen Handy-SIM-Card.

Ein zweiter Kartenslot ist zwar noch nicht spezifiziert, Motorola hat aber bereits mit dem Timeport P7389e ein erstes WAP-fähiges E-Commerce-Telefon entwickelt. Mit einer derartigen zusätzlichen Smartcard-Einbindung vervielfältigen sich die Anwendungsmöglichkeiten, da die zweite Karte ja unabhängig vom Mobilfunkbetreiber ist. Damit könnte ein Anwender beispielsweise verschiedene elektronische Bankkarten oder mehrere Signaturschlüssel mit unterschiedlichen Karten nutzen. In einem handlichen Mobiltelefon einen zusätzlichen USB-Port zu integrieren, dürfte deutlich aufwändiger sein.

Erste Handys wie das Motorola Timeport P7389e haben ein zusätzliches Chipkartenterminal eingebaut und sind so für zukünftigen M-Commerce gut gerüstet.

USB-Token unterliegen zudem dem Nachteil, nur eine einzige Schnittstelle zu besitzen: USB. Chipkarten können hingegen problemlos neben (notfalls zwei Paar Chips und) Goldkontakten auch eine Antenne für normierte kontaktlose Verbindungen (Transponder) und zusätzlich einen Magnetstreifen mit unabhängigen Informationen tragen. Darüber hinaus lässt sich die freie Kartenoberfläche für diverse Zwecke nutzen:

• umfangreiche gedruckte Informationen über den Kartenzweck und -inhaber (Firmenlogo, Name und Anschrift, Bedienungsanleitung, Notfallrufnummern, Werbung, ...),
• Identifikations- und Autorisierungsdaten in menschen-lesbarer Form (Foto, Farbcodes, Zugangsberechtigungen im Klartext, ...),
• Unterschriftenfeld,
• zusätzliche menschen- oder maschinenauswertbare Echtheitsmerkmale (Hologramm, Fluoreszenz, Mikrodruck, ...).

Außerdem entspricht das gewohnte Verfahren "Karte einstecken – Transaktion durchführen – Karte entnehmen" mit seiner vergleichsweise flüchtigen Kontaktierung eher einem klassischen nicht-IT-basierten Bezahl- Anmelde- oder Signiervorgang als die relativ "stabile" Verbindung eines USB-Tokens in einem USB-Port. Hierbei dürfte die Verlockung, den "Schlüssel stecken zu lassen", deutlich größer sein. Häufiges Einstecken und Entnehmen an einem USB-Port könnte zudem – besonders bei schrägem Ansetzen im Alltagstrott – eher zum Verschleiß oder Beschädigung führen als es bei Chipkartenterminals der Fall ist. Die Wartungskosten sind dementsprechend höher einzustufen.

Auch die Karten selbst sind recht stabil. Verschmutzungen lassen sich – gegebenenfalls mit etwas Reinigungsmittel – leicht entfernen. Nichts kann sich verbiegen oder in einem Stecker festsetzen. Noch unempfindlicher sind naturgemäß kontaktlose Chipkarten. Da sie nicht mechanisch in ein Lesegerät eingeführt werden, eignen sie sich zudem besonders für schnelle Transaktionen wie Elektronische Tickets im Öffentlichen Personennahverkehr oder etwa eine Autobahnmaut. Weiterhin gibt es die Dual Interface Smartcards mit zwei Schnittstellen, sowohl einer kontaktlosen als auch einer kontaktbehafteten. Beide Schnittstellen greifen auf denselben Chip in der Karte zu. Damit lassen sich Multiapplikationskarten wie Elektronisches Fahrgeldmanagement, logische und physische Zutrittskontrolle zu Gebäuden und Rechnernetzwerken sowie ein sicherer Internetzugriff auf einer Karte vereinen.

Gerade an Automaten oder Kiosk-Systemen erscheint eine USB-Schnittstelle eher als Fremdkörper. Die Verbindung mehrerer Funktionen auf demselben Sicherheitsmedium dürfte aber entscheidend zur dessen Akzeptanz beitragen. Dies kann aber auch zum Sicherheitskriterium werden: Wenn ein Mitarbeiter seine Schlüsselkarte in der Mittagspause braucht, um in der Kantine damit sein Essen zu bezahlen, dann wird er sie kaum am Schreibtisch zurücklassen. Schwer vorstellbar, dass man am Kantinentresen ein USB-Token in einen USB-Port steckt... eine Chipkarte in einen Leseschlitz einschieben oder einen Magnetstreifen durchziehen, wäre dort hingegen wohl eine gangbare Möglichkeit. Noch besser ginge es natürlich "im Handumdrehen" oder Vorbeigehen mit einer kontaktlosen Karte. Gleiches gilt für den Gebäudezugang und vermutlich für die meisten Anwendungen, die nicht unmittelbar an einem Arbeitsplatz-PC erfolgen.

Weil sie da sind...

Nicht zuletzt spricht für die Smartcards, dass sie bereits seit geraumer Zeit auf dem Markt sind: mit erprobten Betriebssystemen und Programmierschnittstellen und außerdem in großer Vielfalt. Abhängig vom Sicherheitsbedürfnis sind unterschiedliche komplexe Computerchips verfügbar. Zum einen nutzen Application-Specific-Integrated-Circuit-Karten (ASIC) spezielle ICs, die für bestimmte Aufgaben/Anwendungen optimiert sind. ASIC-Karten arbeiten mit "festverdrahteter Logik", dass heißt, der Ablauf der Anwendung ist fest und unveränderlich vorgeschrieben. Als Beispiel sei hier eine Telefonkarte genannt, die mit einem Betrag vorgeladen ist und von der dann bei jedem Telefonat ein Teilbetrag abgezogen wird.

Zum anderen können so genannte Mehrzweck-Mikro-Prozessor-Karten für unterschiedliche Applikationen programmiert werden. Solche Karten besitzen ein mehr oder weniger funktionsreiches Betriebssystem. Es gibt bereits Chipkartenbetriebssysteme, die nach Ausgabe der Karte weitere Applikationen auf die Karte laden können. Dabei erfordern solche Karten nicht einmal hochspezialisierte Entwicklungsabteilungen, sondern lassen sich beispielsweise in Java oder Basic programmieren und müssen nicht teuer sein: Günstige Basic-programmierbare Smartcards gibt es bereits in kleinen Stückzahlen für 5 Mark das Stück ( www.basiccard.com).

Adrian Ach ist Senior Sales Manager Smartcard Systems bei der Motorola GmbH, Hamburg.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2001, Seite 78

Zurück zum Inhalt