Starke Authentifizierung für den sicheren Zugriff auf IT-Ressourcen in Föderationen

Transkript

1 Starke Authentifizierung für den sicheren Zugriff auf IT-Ressourcen in Föderationen forflex-tagung Dipl.-Wirtsch.Inf. Christian Senk

2 Dipl.-Wirtsch.Inf. Christian Senk Agenda 1. Problemstellung 2. Lösung 3. Prototypische Implementierung 4. Fazit 2

3 Dipl.-Wirtsch.Inf. Christian Senk Agenda 1. Problemstellung 2. Lösung 3. Prototypische Implementierung 4. Fazit 3

4 Dipl.-Wirtsch.Inf. Vorname Name Ausgangslage Hochflexible Geschäftsprozesse in föderierten Unternehmensstrukturen Der Zugriff auf IT-Ressourcen in organisationsübergreifenden Wertschöpfungsnetzen erfordert ein Föderiertes Identitätsmanagement Föderation Zugriffsversuch Zugriff AuthN Login- Portal Bürgschaft IDM- System Unternehmen A Geschützte Ressource IDM- System Unternehmen B Authentifizierungsbestätigung Authentifizierungsanfrage 4

5 Dipl.-Wirtsch.Inf. Vorname Name Problem Inflexibilität des Vertrauensmodells Starrheit des Vertrauensmodell des Föderierten Identitätsmanagement behindert die Bildung von ad-hoc-wertschöpfungsnetzen Informationen durchlaufen im hochflexiblen Geschäftsprozess (hgp) unterschiedliche Sicherheitsdomänen Informationssicherheit des hgp wird durch Vertrauenskette induziert Vertrauen basiert i.d.r. auf statischen Vereinbarungen (Service Level Agreements) zwischen den Föderationsteilnehmern Strukturelle Dynamik von hgp behindert den Aufbau des erforderlichen inter-organisatorischen Vertrauens 5

6 Dipl.-Wirtsch.Inf. Vorname Name Bedarf Überbetrieblich beweisbare 2-Faktorauthentifizierung Technischer Nachweis einer starken Benutzerauthentifizierung erhöht Kontrollierbarkeit und reduziert Vertrauensbedarfe auf organisatorischer Ebene Authentifizierung per Passwort und Benutzername ist inhärent unsicher Fehlende Personenbindung Mangelnde menschliche Fähigkeit für den Umgang mit komplexen Passwörtern Ergänzung solcher Verfahren um eine besitzbasierte oder biometrische Benutzererkennung wird als Zweifaktorauthentifizierung (2FA) bezeichnet Wissen Besitz Biometrie Biometrie eignet sich aufgrund der inhärenten Personenbindung besonders für die Umsetzung einer vertrauenswürdigen Authentifizierung Aufwand zur Implementierung einer In-House-Lösung als mögliche Barriere Verfügbarkeit entsprechender Systeme kann im Kontext hgp nicht unterstellt werden 6

7 Dipl.-Wirtsch.Inf. Christian Senk Agenda 1. Problemstellung 2. Lösung 3. Prototypische Implementierung 4. Fazit 7

8 Dipl.-Wirtsch.Inf. Vorname Name Idee Ergänzende biometrische Authentifizierung as-a-service Cloud Computing Bedarfsorientierter Bezug vollständig virtualisierter IT-Ressourcen durch unabhängige Leistungserbringer über standardisierte Schnittstellen Vorteile aus Dienstnehmersicht Organisatorische Flexibilität durch das One-to-Many-Modell Keine dedizierten Systeminstanz für Dienstnehmer Lose organisatorische Kopplung zwischen Dienstnehmer und -anbieter Deployment-Flexibilität Keine dedizierte Hard-/ Software beim Dienstnehmer Nutzung standardisierter Internetschnittstellen Kosten- und Nutzungsflexibilität Bedarfsorientierte Skalierung der Nutzung und Pay-per-Use-Modell Übertragung des Konzepts auf Authentifizierungssysteme 8

9 Dipl.-Wirtsch.Inf. Vorname Name Idee Generische Dienst-Architektur Mandanten Authentication Service Provider Ergänzendes Authentifizierungssystem (End-) Benutzerkonten Admin( ) Register( ) AuthN( ) IDM-System IDM-System One-to-Many Virtualisierung Unternehmen 1 Unternehmen n Dosierbarkeit 9

10 *Annahme: Festtext-Verfahren Dipl.-Wirtsch.Inf. Vorname Name Enabler Tippverhaltensbiometrie Erkennung eines Benutzers anhand seines individuellen Tippverhaltens Messung von Tastaturereignissen, Ableiten komplexer Charakteristika Besitz Finger Stimme* Tippen* Übertragbarkeit des Merkmals (-) Umgehbarkeit des Verfahrens (-) o o o Benutzerfreundlichkeit Nutzerseitige Risikowahrnehmung (-) o o o + - o + + Skalierbarkeit des Verfahrens - o o + Relative Hardwareunabhängigkeit - - kontextabhängig kontextabhängig Aufgrund der Verbreitung und qualitativen Vergleichbarkeit von PC-Tastaturen keine dedizierte Hardware zur Digitalisierung des biometrischen Merkmals notwendig Tippverhaltensbiometrie prädestiniert zur Umsetzung einer as-a-service -Architektur

11 Dipl.-Wirtsch.Inf. Christian Senk Agenda 1. Problemstellung 2. Lösung 3. Prototypische Implementierung 4. Fazit 11

12 Dipl.-Wirtsch.Inf. Vorname Name Prototypische Implementierung Föderation Authentication Authentication Service Service Provider Provider Trusted 3 rd Party e-car Net Partner Identity Provider e-car Net Partner Identity Provider e-car Net Service Provider e-car Net Partner Identity Provider e-car Net Partner Identity Provider 12

13 Authentication Service Provider Mandantendaten Nutzerdaten Cloud- Schnittstellen Signatur-Dienst Authentifizierungsdienst Admin( ) Enroll( ) AuthN( ) 1. Faktor 2. Faktor Web Service SAML (2. Faktor) 2. Faktor Trusted 3 rd Party Prüfdienst Signaturprüfung Zugriffsversuch Zugriff Endnutzer 2FA Login- Portal IDM-System Partnerunternehmen 1. Faktor e-car Net Partner Portal IDM-System e-car AG SAML AuthN Request (2FA) SAML AuthN Response (2FA, 2. Faktor signiert) Föderation

14 Dipl.-Wirtsch.Inf. Vorname Name Prototypische Implementierung Bewertung Merkmale des Prototyps Flexible Einbindung einer softwarebasierten Tippverhaltensaufzeichnungskomponente in ein bestehendes Login-Formular per Webservice Standardisierte Kommunikation zwischen Dienstnehmer und -anbieter auf der Basis der SAML-Technologie Sicherstellung der Ende-zu-Ende-Integrität der Bestätigung der Zweit -Faktorauthentifizierung Einhaltung von Cloud-Prinzipien garantiert geringe organisatorische Abhängigkeit zwischen Dienstanbieter und -abnehmer sowie sehr hohe Kosten- und Nutzungsflexibilität Weiteres Vorgehen Erweiterung der Administrationsschnittstellen Validierung mit Praxispartnern 14

15 Dipl.-Wirtsch.Inf. Christian Senk Agenda 1. Problemstellung 2. Lösung 3. Prototypische Implementierung 4. Fazit 15

16 Dipl.-Wirtsch.Inf. Vorname Name Fazit Zusammenfassung Schutzbedarf von IT-Ressourcen im Kontext unternehmensübergreifender hgp impliziert die Notwendigkeit einer cloudbasierten Authentifizierungslösung Aufgrund inhärenter Vorteile eignet sich die Tippverhaltensbiometrie in besonderem Maße für die Umsetzung einer solchen Lösung Ein Cloud-Dienst für den Bezug des zweiten Faktors auf der Basis der Tippverhaltensbiometrie wurde prototypisch implementiert Durch die technische Nachweisbarkeit der Durchführung der Zweit -Faktorauthentifizierung werden Vertrauensbeziehungen in flexiblen Wertschöpfungsnetzen gestärkt und deren ad-hoc-bildung ermöglicht 16

17 Dipl.-Wirtsch.Inf. Christian Senk Vielen Dank für die Aufmerksamkeit! 17