Vertrauen in Identitäten und Transaktionen

Ingo Schubert, Security Consultant

ischubert@rsasecurity.com

Agenda

• Vertrauen als Grundlage einer sicheren Transaktion• Authentisierung• Authorisierung• Rechtemanagement• Daten-Sicherheit

Für Ihre Geschäftsprozesse …

Kunden•Online-Anwendungen für Verbraucher• Finanzielle Transaktionen im Internet

Mitarbeiter•Automatisierung und Verwaltung für das Vertriebsteam

• Remote-Zugriff von anderen Standorten

• Netzwerkverwaltung

Geschäftsprozess

Daten

Transaktionen

Menschen

Geräte

Partner•Beschaffung und Auftragsabwicklung•Vertragsverhandlung und -ausführung

• Wer sind Ihre Benutzer?• Welche Daten können diese

einsehen?• Welche Funktionen können sie

ausführen?• Wann haben sie Zugriff?• Wann haben sie Transaktionen

durchgeführt?• Wie werden die Benutzer verwaltet?• Ist bei der Kommunikation

Datenschutz gewährleistet?• Sind die Transaktionen sicher?

…schaffen wir Vertrauen im e-Business

Vertrauenswürdiger e-Business-Prozess

Menschen

Geräte

Daten

Transaktionen

Gute Gründe für vertrauens-würdiges e-Business

Stärkere Konformität

• Definierter Ablauf• Partner• Kunden

Niedrigere Kosten• Kosteneinsparungen

• Kostenvermeidung• Effizienz• Effektivität

Weniger Risiken•Datensicherheit•Transaktionssicherheit

Höhere Umsätze• e-Business-Potenziale• Umsatzsteigerung• Größere Marktabdeckung

• Wettbewerbsvorteile

Vertrauenswürdigere-Business-Prozess

Hoher ROI durch vertrauens-würdige e-Business-Prozesse

Menschen

Geräte

Daten

Transaktionen

RSA Security‘s Know How

Menschen undGeräte

AuthentifizierungZugriffs-

verwaltung VerschlüsselungDigitale

Signaturen

Daten und Transaktionen

Benutzerund Geräte

bestimmen

Zugriffsrechtepersonalisieren

und verwalten

Datenintegritätgewährleisten

Transaktions-integrität

sicherstellen

Menschen und Geräte

Vertrauenswürdige e-Business-Prozesse implementieren

• Führende Produkte

• Garantierte Interoperabilität

Daten und Transaktionen

AuthentifizierungZugriffs-

verwaltung VerschlüsselungDigitale

Signaturen

Vertrauen

• Jede Transaktion im „echten“ Leben basiert auf ein gewisses Vertrauen zwischen den beteiligten Parteien und der Umgebung.

• Im Internet ist Vertrauen schwieriger zu erlangen— Parteien sehen sich nicht— Automatische Systeme— …

• Um hochwertige Transaktionen abzusichern sind drei Schritte notwendig

— Authentisierung— Authorisierung— Absicherung der Daten

Authentisierung

• Authentisierung ist die Grundlage für e-business— Vertrauen in die gegenseitige Identität ist die Vorraussetzung

einer erfolgreichen Transaktion.• Ohne das Wissen wer am Ende der Leitung sitzt ist

— eine Zuteilung von Zugriffs- und Transaktionsrechten nicht möglich

— Vertrauen in eine digitale Signatur nicht möglich• In den meisten Fällen (wenn nicht immer) ist es sinnlos Daten

zu verschlüsseln, falls der Empfänger nicht authentisiert ist.

Passwörter…

Das Problem mit Passwörtern

• Zu kurz, zu einfach, zu alt, zu häufig an verschiedenen Systemen benutzt…

— Passwörter an sich sind angreifbar• Durch den schlechte Qualität eines Passwortes leidet das

Vertrauen in die Identität des Transaktionspartners— Systeme mit sensitiven Daten können nicht online (z.B. zu hohes

Risiko)— Systeme mit sensitiven Daten dürfen nicht online (z.B. wegen

bestimmter Gesetze und Verordnungen)

• Passwort Resets kosten pro Anruf ca. 20 € – 40 €

Die Lösung…

• Anstatt nur eines statischen Passworts wird eine Zwei-Faktoren Authentisierung eingesetzt

— Something you know (die PIN)— Something you have (den Token)

• Nur die Kombination aus dem Token und er dazugehörigen PIN ermöglicht eine erfolgreiche Authentisierung.

• Je nach Umgebung kann dem Benutzer u.a. ein automatischer PIN Reset ermöglicht werden.

Tokens

• Zwei Geschmacksrichtungen— Passcode Generatoren— SmartCards

• RSA SecurID erzeugen alle 60 Sekunden einen neuen Tokencode.

— Der Benutzer gibt diesen zusammen mit seiner PIN als Passcode zur Authorisierung weiter

• SmartCards werden üblicherweise zur Speicherung von Schlüsseln und zugehörigen Zertifikaten verwendet.

RSA SecurID Authentication Devices

• Breites Angebot— Key fob— Card— Pin Pad— PC— Palm— Wireless phones

• Zero-Footprint— Keine Software notwendig (für

Hardware Token)• Leicht zu bedienen• Die am meisten eingesetzte starke

Authentisierungsmethode

SmartCards

• SmartCards als Speicherort für Schlüssel und digitale Zertifikaten können nicht nur zur Authentisierung sondern auch als Basis für Verschlüsselung und digitale Signatur eingesetzt werden.

• RSA Produkte u.a.— RSA SecurID Passage (SmartCard, Reader, Software)— RSA Keon (zur Ausstellung und Verwaltung von Zertifikaten)— RSA eSign (zur unterschreiben von Daten)— RSA SureFile (Verschlüsseln und signieren von Dateien)— RSA BSAFE (Kryptographische Toolkits)

RSA Mobile Authentisierung (I)

RSA Mobile Authentisierung (II)

RSA Mobile Authentisierung (III)

RSA Mobile Authentisierung (III)

RSA Mobile Authentisierung (IV)

RSA Mobile Authentisierung (V)

Authorisierung

• Sobald ein Benutzer authentisiert ist, stellt sich die Frage “Was darf der Benutzer?”

• Jedem richtigen Benutzer seine Ressource— Vergleich von Benutzerprofilen mit definierten Rollen— Zugriff wird gestattet oder verwehren basierend auf

• Statischen Kriterien (z.B. Stellenbeschreibung, Abteilung etc.) • Dynamischen Kriterien (z.B. Kontostand, Tageszeit etc.)

• All diese Informationen müssen, einfach aber flexibel, zentral für die unterschiedlichsten Ressourcen verwaltet werden.

ProblemWie verwaltet man die Identitäten einer wachsenden Benutzerbasis…

Partner

Kunden

Angestellte

Access Channels: Intranet, Extranet, Portal, Wireless

Problem

“Silo”AccessMgmt.

“Silo”AccessMgmt.

“Silo”AccessMgmt.

“Silo”AccessMgmt.

“Silo”AccessMgmt.

EmployeesCustomers Partners

HR, Financial Mgmt.

e-CRM Supply Chain Mgmt.

Industry Specific

e-Commerce

…und deren sicheren Zugriff auf Web Resourcen?

Access Channels: Intranet, Extranet, Portal, Wireless

Lösung

Web Access ManagementSolution

EmployeesCustomers Partners

HR, Financial Mgmt.

e-CRM Supply Chain Mgmt.

Industry Specific

e-Commerce

SSO

Anforderungen

• Je mehr Applikationen Web-enabled werden, desto komplexer wird die Verwaltung von Benutzern und deren Rechten auf Applikationen

— Nicht nur Angestellte sind Benutzer sondern auch Partner, Kunden etc.• Vereinfachung der aufwendingen und teuren Administration von

Authentisierungs- und Authorisierungs-Policies über mehrere Applikationen

— Zentrales Policy Management• Einfachere Benutzung durch Web-SSO beim Zugriff von Enterprise

und Partner Sites für Kunden, Partner und Angestellte — Reduziert auch die Anzahl vorhandenen Passwörter

• Einhaltung neuer Gesetze, Bestimmungen und Verordungen

Passwort

AuthentisierungJe nach Ressource…

Schwach Stark

No PolicyPolicy + + +

+

Web Single Sign On (Web SSO)

• SSO = Einmaliger Login erlaubt Zugriff auf mehrere (oder alle) Applikationen

• Höhere Sicherheit— Keine Passwörter mehr auf PostIt Notes und Keyboards— SSO macht starkes Passwort Management akzeptabler— Starke Authentisierung als “Schlüssel zum Königreich” möglich

• Erlaubt einfacheres, bequemeres Arbeiten • Spart Help Desk Kosten

— Viele Help Desks verbringen 50% ihrer Zeit mit Passwort Resets

Web SSO Standards

• Um ein Web SSO zwischen mehreren Domains, die Produkte verschiedener Hersteller einsetzen, zu ermöglichen wurde SAML (Security Assertion Markup Language) entwickelt.

• SAML ermöglicht es Benutzer Credentials und Attribute von einer Domain zur nächsten zu leiten.

• Die Liberty Alliance, ein Zusammenschluss von Herstellern, setzt auf SAML um Kunden die Bildung von „Circles of Trust“ zu ermöglichen

— z.B. Bank als Identity Provider und Retailers als Service Providers.

Delegated Administration

Intranet Extranet

Super User

Group Administrators

Business Unit Business Unit Customer Partner

Users

VBU VBU VBU VBU

Delegated Administration

• Verhindert die umständliche zentrale Administration grosser Benutzerbestände

• Delegation von Benutzer und Rechteverwaltung

• Eingeteilt in Virtual Business Units (VBUs)

• Abgestufte Zuteilung von Rechten

Absichern von Transaktionen

• SSL alleine genügt oft nicht— Die Daten einer Transaktion sind nur während der Übertragung

geschützt.— Auf dem Server angekommen fehlt die Möglichkeit die Transaktion

später zu verifizieren. • Wird die Transaktion dagegen auf dem Client signiert, kann

jederzeit überprüft werden ob z.B. die Daten verändert wurden.

• eSign ermöglicht es HTML Forms auf dem Client zu signieren, verifizieren und optional zu verschlüsseln.

— Der Server überprüft vor dem wieteren Verarbeiten die Signatur • S/MIME ist der Standard für sicheres eMail.

RSA Keon e-Sign in Action

RSA Keon e-Sign in Action

RSA Keon e-Sign in Action

Weitere Anwendungsfälle

• Mehrstufiges Unterschreiben— Urlaubsantrag von Angestellen— Genemigung vom Vorgesetzten

• Elektronische Rechungsstellung— Ab 1.1.2002 Vorsteuerabzug auch bei elektronische

Rechnungstellung möglich – allerdings nur bei Rechnungen die digital unterschrieben wurden

— Ab 1.1.2004 EU weit gültig

RSA Secure e-Mail

• Sicherheitsmängel bei der e-Mail-Kommunikation sind für viele Unternehmen äußerst problematisch.

• Mit RSA Secure eMail können Benutzer ihre e-Mails signieren und verschlüsseln, so dass nur die gewünschten Empfänger die Nachricht lesen können.

• Nahtlose Integration in MS Exchange und MS Outlook• Geschäftsvorteile:

— e-Mail wird zum geeigneten Medium für den Austausch vertraulicher Nachrichten

— Schnell implementierbare und benutzerfreundliche sichere e-Mail-Lösung für Unternehmen, die auf dem Client nur ein gängiges MS e-Mail-Programm erfordert

RSA Smart Badging-Lösungen

• RSA Smart Badging Lösungen verbinden den Zugangsschutz bei IT-Ressourcen mit herkömmlicher, physischer Zugangssicherheit bei Gebäuden & Anlagen.

• Eine integrierte Lösung für Zugangsmanagement kombiniert SmartCard-Technologie mit den Funktionen von physischen Mitarbeiterausweisen.

• Vorteile:—Integrierte Lösung für die Sicherung von PC’s, Netzwerken,

Einrichtungen & Gebäuden erhöht den ROI—Vereinfachter Zugang zu wichtigen Ressourcen bei verbesserter

Sicherheit—Höhere Benutzerfreundlichkeit, verringerter, adminstrativer

Aufwand

Ausstellung von Zertifikaten

• Digitale Zertifikate sind das Äquivalent zu traditionellen Personalausweisen.

• Um sinnvoll Daten digital zu unterschreiben, müssen die Benutzer Schlüssel und digitale Zertifikate besitzen

• Die Ausstellung und Verwaltung der Zertifikate ist Aufgabe einer Certificate Authority

RSA Keon Certificate Authority (CA)

• Zentrale Zertifizierungsstelle stellt digitale Identitäten zur Verfügung:

— Ausgabe, Verwaltung und Überprüfung digitaler Zertifikate• Erfolgreiche Skalierung auf 8 Millionen Zertifikate pro

Server in unabhängigen Tests• Common Criteria Evaluation Assurance Level 4+• Branchenführende Komponenten:

— Keon OneStep— Integriertes Echtzeit-OCSP

RSA BSAFE Entwicklertools Einfachere Bereitstellung sicherer Lösungen

Broadband

SSL-JSSL-C

WTLS-CIPSec-C

SSL Micro Edition

Algorithms,Math Libraries

Crypto-C Crypto-J

Crypto-C Micro Edition

Cert-C

Cert-J

Cert Micro Edition

Algorithms,Math Libraries

Crypto-C Crypto-J

Crypto-C Micro Edition

Cert-C

Cert-J

Cert Micro Edition

Algorithms,Math Libraries

Crypto-C Crypto-J

Crypto-C Micro Edition

Algorithms,Math Libraries

RSA BSAFE Anwendungsbeispiele

• integriert in Internet Explorer, Siemens Handy, etc.

• RSA Enterprise Produkte

• RSA Sure File— Verschlüsselung— Signierung— Komprimierung (PKZIP)

Absicherung von Daten

• Um allgemein die Sicherheit von Daten (z.B. in Datenbanken) zu gewährleisten, ist eine Verschlüsselung und/oder digitale Signatur der Daten notwendig

• Administratoren von Servern sollen nicht Zugriff auf Datenbanken bekommen

— Unberechtigtes Auslesen von Daten— Unberechtigtes Abändern von Daten

• EU Datenschutzrichtlinie für elektronische Kommunikation

Partnerschaften mit Spitzenunternehmen

Telekommunikation Banken und Finanzwesen

Technologieinfrastruktur Petrochemische Industrie

Einige unserer über 8.000 Kunden

Transport und Verkehr

Online-Business

Behörden

82 % der Fortune 10088 % der Fortune e-50

88 % der 200 weltweit führenden Finanzunternehmen 92 % aller Pharmaunternehmen der Fortune 500

Elektrische Energieversorgung

Einige unserer über 8.000 Kunden