Systeme und ihr Umfeld

Sicherheitsdatenträger

USB-Token: Der Zündschlüssel fürs Netz

Von Markus Kahmen, Germering

E-Business braucht für seine Transaktionen Verschlüsselung sowie Identifizierung und Authentisierung der Benutzer. Die dafür notwendige Kryptographie benötigt transportable, aber manipulationssichere Datenträger, die geheime Schlüssel und Daten kapseln. Eine relativ neue Möglichkeit hierfür bieten so genannte USB-Token, die entsprechende Speicher- oder Prozessor-Chips direkt an den Universal Serial Bus koppeln.

Die Sicherheit wichtiger Unternehmensdaten ist schnell gefährdet. Es ist nicht einmal erforderlich, ein professioneller Datenspion zu sein, um in den Besitz kritischer Daten zu gelangen, wie die Praxis beweist: Der Geschäftsführer eines Unternehmens ist Redner auf einer Konferenz. Zur Unterstützung nutzt er seinen Laptop, auf dem sich nicht nur die Notizen für seine Rede, sondern auch vertrauliche Informationen seines Unternehmens befinden. Während der Pause lässt er seinen Laptop auf dem Rednerpult stehen und unterhält sich angeregt mit einigen Teilnehmern der Konferenz. In der Zwischenzeit verschwindet der Laptop unbemerkt. Ist dieser völlig ungesichert, sind die vertraulichen Informationen ohne weiteres für Fremde zugänglich. Noch bedenklicher wird die Situation, wenn der Laptop für den Zugriff auf das Unternehmensnetz vorbereitet ist. Ein einfaches Spiel für jeden Wirtschaftsspion.

Im Kern aller Sicherheitsfragen liegt die zuverlässige und einfach handhabbare Identifizierung der Personen, die auf einen PC, Laptop oder ein Netzwerk zugreifen dürfen. Diese Aufgabe übernimmt oftmals ein einfaches Passwort, was aber lediglich in Bereichen genügt, in denen die Anforderungen an die Sicherheit nicht sonderlich hoch sind. Andere Methoden sind sehr zuverlässig, aber auch aufwändig und teuer, hierzu zählen beispielsweise biometrische Zugangskontrollen, wie Fingerabdruck- oder Irisscanner. Eine Alternative, die sicherer ist als einfache Passwörter und kostengünstiger als biometrische Kontrollen, sind Smartcards oder USB-Tokens.

Handliche Bauform

Ein USB-Token muss nicht größer sein als ein Haustürschlüssel und kann, wie beispielsweise der iKey von Rainbow Technologies, problemlos am Schlüsselbund mitgeführt werden. Das kompakte Gerät dient zur Authentisierung und Identifizierung des Anwenders. Der iKey wird einfach am USB-Port angeschlossen und identifiziert den Anwender. Danach startet entweder die gewünschte Applikation, oder es beginnt eine zweistufige Authentisierung mit der Abfrage eines Passwortes.

Eine solche Authentifizierung in zwei Stufen gilt unter Sicherheitsexperten als robust und bestens geeignet für Umgebungen, die einen mittleren Sicherheitsbedarf aufweisen, aber ihre Mitarbeiter nicht mit umfangreichen Sicherheitsverfahren belasten möchten. Smartcards und Tokens unterstützen allerdings noch weitergehende Sicherheitsmechanismen: Die so genannte Challenge-Response Methode sorgt dafür, dass das eigentliche Passwort nie an die Applikation gesendet wird, seine Sicherheitsumgebung also nie verlässt. Die Applikation sendet dazu einen numerischen Wert (Challenge) an das Token, das daraus in Zusammenhang mit dem Passwort einen anderen Wert (Response) berechnet und das Resultat an die Applikation zurücksendet. Diese wiederum schickt die gleiche Aufgabe an den Systemdienst, der das Passwort speichert. Stimmen beide Rückgabewerte überein, geht die Applikation davon aus, dass das Passwort richtig ist.

Leselogik inklusive

Während Smartcards mit einem speziell für diesen Zweck konzipierten Lesegerät arbeiten, nutzen USB-Tokens den seriellen USB-Port (Universal Serial Bus), der standardmäßig in den meisten neueren PCs und Laptops eingebaut ist. Damit erhält jeder PC quasi ein internes Lesegerät. Für die Identifizierung und Authentisierung der Anwender ist außer dem USB-Token dann keine zusätzliche Hardware notwendig. Auch ältere Geräte lassen sich durch PCI- oder PCMCIA-Karten mit USB-Ports nachrüsten.

Wenn der USB-Port noch an der Rückseite des PCs eingebaut ist, kann man ihn per USB-Hub an der Tastatur nutzen oder mit einem einfachen Verlängerungskabel dorthin "verlegen", wo der Anwender gut hinkommt.

USB bietet einige Vorteile gegenüber den herkömmlichen seriellen Verbindungen wie RS-232 oder DB-9. Er ist schneller und kann darüber hinaus bis zu 127 Geräte im Daisy-Chain-Verfahren unterstützen. Diese lassen sich aufschalten oder entfernen, ohne den Computer neu starten zu müssen. Die Hardware-Hersteller haben das Potenzial dieser Hot-Swap-Funktionalität erkannt und integrieren den Port zunehmend entweder auf der Vorderseite des PCs oder direkt in die Tastatur, damit er besser zugänglich ist. Schlecht erreichbare USB-Ports auf der Rechnerrückseite kann man mit einem Verlängerungskabel "verlegen".

Wenn ein Unternehmen mittels Smartcards identifizieren möchte, benötigt jeder PC ein entsprechendes Lesegerät; das gilt auch für die Laptops der Außendienstmitarbeiter, ganz zu schweigen von den Benutzern von Palmtops oder Handhelds. Das wird schnell teuer und ist außerdem umständlich. Zudem bedeutet ein weiteres Gerät für die mobilen Mitarbeiter eine zusätzliche Last. Manche billigen Chipkartenterminals haben hin und wieder Probleme mit der Kontaktsicherheit, die bei USB dauerhaft gewährleistet ist.

Außerdem stellt sich bei den Lesegeräten auch die Frage der Kompatibilität: Bis heute existiert kein allgemein anerkannter Standard für die Chipkarten-Terminals. Kein einzelnes Gerät kann mit allen Smartcard-Protokollen arbeiten. Mehrere Standards sind zwar im Rennen, aber bisher konnte sich keiner allgemein durchsetzen. Neben rein praktischen Problemen in der Anwendung sorgt das zudem für Unsicherheit unter den IT-Verantwortlichen: Wer sich für den falschen Standard entscheidet, steht möglicherweise zu einem späteren Zeitpunkt ohne Support und Folgeentwicklungen da und muss eventuell das gesamte System ersetzen.

Der USB ist hingegen standardisiert, demzufolge können die USB-Tokens in einem beliebigen Gerät mit USB-Port eingesetzt werden, und die IT-Verantwortlichen können sicher sein, dass sich ihre Entscheidung zu einem späteren Zeitpunkt nicht als falsch erweist, da kein alternativer Standard existiert.

Faktor Mensch

Ein drittes Problem ist ein rein menschliches. Der Anwender muss seinen "elektronischen Ausweis" stetig griffbereit haben. Die Praxis hat allerdings gezeigt, dass dies oftmals nicht der Fall ist. Zudem gehen Chipkarten häufig verloren. Das bedeutet, es müssen kontinuierlich Ersatzkarten ausgestellt werden oder der Mitarbeiter hat keinen Zugriff auf seine Daten, weil er die Karte auf dem Schreibtisch liegen gelassen hat und sich jetzt ganz woanders befindet. Das Verlegen, Verlieren oder Vergessen des USB-Tokens lässt sich jedoch durch die Kopplung an den Schlüsselbund auf ein Minimum reduzieren.

Authentisierung und Identifizierung ist heute eine der größten Herausforderungen für Unternehmen, die den Zugriff von entfernten Standorten auf das unternehmenseigene Netzwerk einrichten oder ihre Kommunikationsumgebungen anderweitig öffnen müssen. Dafür entwickeln die IT-Verantwortlichen oftmals hochintegrierte und ausgefeilte Sicherheitsumgebungen. Für Produkte, wie den i-Key, bedeutet dies, dass sie mit einer Vielzahl von Sicherheitsstandards und Lösungen arbeiten müssen, die jeweils für einen bestimmten Zweck konzipiert wurden. USB-Tokens sind oftmals mit Mikroprozessoren und Firmware ausgestattet, die ausgefeilte Verschlüsselung ermöglichen. Zudem können sie digitale Zertifikate speichern und mit kryptographischen Anwendungen kommunizieren.

Um Transaktionen über das Internet sicher abzuwickeln, setzen sich Public Key Infrastructures (PKIs) zunehmend durch. Üblicherweise speichert man die hierfür notwendigen geheimen Schlüssel auf den Festplatten der PCs oder Laptops. Das führt zu gewissen Einschränkungen: Der Empfänger kann nur dann seine Mitteilungen lesen oder Transaktionen signieren, wenn er sich an dem Platz befindet, an dem auch sein Schlüssel gespeichert ist. Eine Alternative ist es, die Keys auf einem USB-Token abzulegen. Somit kann der Anwender seinen Schlüssel praktisch überall nutzen; nicht nur dort, wo ein Kartenleser installiert wurde. Außerdem ist Missbrauch schwieriger, da es nur eine Kopie des Schlüssels gibt, die der Anwender bei sich führt.

Dabei bieten USB Tokens auch für X.509- oder andere Zertifikate ausreichend Speicherplatz. Der i-Key beispielsweise kann bis zu vier Digital Certificates speichern; jedes mit einem eigenen Passwort geschützt.

Fazit

Mit allen gebotenen Leistungsmerkmalen eignen sich USB-Tokens hervorragend für den Zugangsschutz zu PCs und Laptops und damit zu VPNs oder Intranets von Unternehmen. Sie sind hoch portierbar, vielfältig konfigurierbar und kostengünstig: In größeren Chargen ab etwa 1000 Stück muss man beispielsweise für einen iKey 1000 knapp 70 DM veranschlagen. Das klingt zunächst hoch, aber nur solange man beim Preisvergleich mit Chipkarten die Terminal-Kosten und die Arbeitszeit zur Einrichtung nicht berechnet. Die Tokens benötigen aber keine eigenen Lesegeräte, sondern nutzen den USB-Port.

Kommende Generationen werden außerdem die Fähigkeiten der Smartcards überschreiten, indem sie mehr Speicherplatz, vielfältigere Standards und komplexere Verschlüsselungsalgorithmen unterstützen. Grob gesagt passt jeder Smartcard-Chip in ein USB-Token. Die stabilere Bauform ermöglicht aber auch beispielsweise SMD-Bauteile und künftig vermutlich eine unproblematische Nutzung von Fingerprint-Modulen oder anderen Funktionseinheiten (z. B. Bluetooth), die auf Smartcards Schwierigkeiten verursachen.

Markus Kahmen ist Director Sales and Marketing bei Rainbow Technologies, Germering.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2001, Seite 82

Zurück zum Inhalt