SmartCards und TokenErste Schritte zur ganzheitlichen SicherheitSobald in einem Unternehmen eine zentrale Zeiterfassung und eine Regelung des physikalischen Zutritts zu Gebäuden und Räumen etabliert werden, kommen Firmenausweise in Kartenform das erste Mal zur Anwendung. Oftmals sind einfache ältere Zeit & Zutrittsysteme noch über magnetische Streifen auf der Rückseite der Karten angebunden – modernere Systeme nutzen kontaktlose Chipkarten mit Funktechnologie (gemeinhin als RFID bezeichnet), die eine höhere Fälschungssicherheit aufweisen (Magnetstreifen lassen sich sehr einfach auslesen und kopieren!). Solche RFID Karten spielen in modernen Organisationen eine immer größere Rolle, sei es um den Zutritt zu sensitiven Bereichen besser zu kontrollieren, sei es um eine genaue Zeiterfassung für die Mitarbeiter zu implementieren. Ausgestattet mit Lichtbild und Namen des Mitarbeiters kommt den Karten eine Schlüsselrolle im Bereich der Personenidentifizierung zu – darüber hinaus sind heutige Karten wahre Multitalente, die für Identifikations- und Authentifizierungsprozesse am Unternehmenseingang, im Serverraum oder bei der Computernutzung zum Einsatz kommen können.
Kleine Computer für Ihre BrieftascheChipkarten für multifunktionale Ausweiskarten sind Mikroprozessorkarten, die alle Bestandteile eines kompletten Rechners enthalten (eine CPU mit RAM, ROM und EEPROM sowie teilweise auch Crypto-Prozessoren, die Verschlüsselungsaufgaben übernehmen). Solche Chipkarten bieten eine verhältnismäßig hohe Speicherkapazität, die entweder bei der Initialisierung oder im späteren Betrieb mit neuen Daten und Applikationen (nur Java Karten) belegt werden kann. Der zusätzliche Cryptoprozessor bietet Sicherheits- und Schutzmechanismen, die die Karte für den Einsatz mit sensiblen Daten prädestinieren. Es kann auf der Karte Schlüsselmaterial erzeugt werden, welches im Rahmen der asymmetrischen Verschlüsselung im PKI Umfeld zur Anwendung kommt und z.B. verschlüsselte Email oder Datei/Ordnerverschlüsselung ermöglicht. Die kryptographischen Algorithmen zur Verschlüsselung sichern ein Höchstmaß an Authentizität und Vertraulichkeit, da der so genannte private Schlüssel die Karte nie verlässt. Bestimmte Operationen – wie die Signatur von Dokumenten oder Emails – ist somit nur mit Besitz der Karte und Kenntnis des Passwortes oder der PIN möglich. Die Chipkarte gleicht einem Datentresor, in dem vertrauliche Informationen gegen unerwünschten Zugriff und Manipulation geschützt sind. In Kombination mit biometrischen Verfahren lässt sich das persönliche Referenzmaterial sicher auf der Karte speichern und dort vergleichen (so genanntes on-card matching). Dies hat den Vorteil, dass in einem biometrischen Verfahren keine Biometriedaten zentral gespeichert werden müssen. Aktuelle Chipkarten sind also wahre Multitalente, die zudem stetig dazu lernen und an neue Anforderungen angepasst werden können.
Hohe Anforderungen – standardisierte LösungenDie als kontaktlose, kontaktbehaftete oder kombinierte (Hybrid-)karten angebotenen Multitalente erfüllen alle die DIN ISO 7816. Als Trägerbasis kommen Kunststoffe wie Polycarbonat (PC), Polyvinylchlorid (PVC) oder Polyethylenterephthalat (PET) zur Anwendung, die jeweils unterschiedliche Anwendungsszenarien und Spezifikationen abdecken. Die üblicherweise weißen Trägerkarten können zur optischen Personalisierung direkt oder im Re-Transferverfahren (Thermodruck) mit Bildern, Logos und Texten individuell bedruckt werden, wobei letztere (teurere) Druckoption die besseren Ergebnisse und das sauberere Druckbild liefern. Eine zusätzliche Lasergravur kann gewählt werden um weitere Personalisierungsmerkmale (Kontonummer bei EC Karten) nachträglich aufzubringen.
Die eigentliche Personalisierung der Chipkarte mittels Programmierung der kontaktlosen oder kontaktbehafteten Chips schließt das Verfahren ab. Hier wird das Schlüsselmaterial erstellt oder aufgebracht und der RFID Chip (Mifare, Legic etc.) für das Zeit & Zutritt System wird initialisiert. Erst mit Zustellung der Karte an den Mitarbeiter und Freischaltung der Karte mit der primären PIN (über PIN Brief) wird der Mitarbeiter voll arbeitsfähig. Die Karte löst elegant den scheinbaren Widerspruch zwischen umfassender Information und Datenschutz, denn durch Zwei-Faktor-Authentisierung (Besitz der Karte, Kenntnis der PIN) hat der Mitarbeiter Zugriff auf sensible Dateien und Informationen – diese sind jedoch für Mitarbeiter ohne Karte bzw. für Dritte nicht zugreifbar. Erst die richtige Kombination aus PIN und Karte ermöglicht den Zugriff auf Daten und Anwendungen – ohne Herausgabe der Karte und „unfreiwillige“ Preisgabe der PIN haben Angreifer kaum noch Möglichkeit Zugriff zu erhalten. Zugangsdaten der User lassen sich nicht kopieren oder weitergeben.
EinteilungskriterienGrundsätzlich lassen sich aktuelle Chipkarten, basierend auf ihrem Betriebssystem, in zwei Hauptkategorien einteilen: so genannte Java™ Karten, die sich durch die Möglichkeit der Post-Issue Personalisierung auszeichnen, und „Multos“ basierende Kartenbetriebssysteme unterschiedlicher Hersteller. Der Vorteil der etwas teureren Java™ Karten liegt in der Flexibilität. Durch die Java™ Virtual Machine auf jeder Karte kann man kleine Java Applikationen auch auf solche Karten nachträglich aufbringen, die schon personalisiert und verteilt sind. Dies ist insbesondere für Unternehmen mit mehreren Standorten sinnvoll, an denen Mietobjekte mit bestehender Infrastruktur eingebunden werden müssen. Allgemein unterscheiden sich die Karten durch ihre verschiedene Zertifizierungen und erreichten Level nach Common Criteria, ITSEC oder FIPS, sowie durch technische Features (Speichergröße des EEPROM-Speichers zwischen 32k, 64k, 72k etc.) sowie durch mögliche Multi-Interface Technologie (etwa die JCOP Karten, die kontaktlose und kontakt behaftete Schnittstellen auf einem Chip unterstützen).
Wie kann accessec Sie unterstützen?Gerne informieren wir Sie über Funktionen der SmartCards führender Hersteller wie Aladdin, Athena SCS, Gemalto, Gieseke & Devrient, NXP/IBM oder Siemens und unterstützen Sie bei der Auswahl von Karten, die Ihrem Anforderungsprofil am besten entsprechen. Bitte stellen Sie Ihre Anfrage mit dem Stichwort "SmartCards" an info(at)accessec.com.
|