Du kommst hier nicht rein! Authentifizierungsdienste sind die Türsteher der Online-Welt.

Benutzername und Passwort sind nicht genug. Immer mehr Internet-Dienste setzen auf eine sicherere Multi-Faktor-Authentifizierung. Hier kann der Bereich E-Government mit seinen hohen Sicherheitsstandards als Vorbild dienen. Am Beispiel des Authentifizierungsdienstes authega stellen wir ein bewährtes zertifikatsbasiertes Verfahren vor. Darüber hinaus diskutieren wir aktuelle Trends rund um Biometrie und Einmalkennwörter.

Authentifizierungs­dienste sind die Türsteher der Online-Welt.

Authentifizierungsdienste sind die Türsteher der Online-Welt. Sie entscheiden maßgeblich, wer zugangsbeschränkte Webseiten betreten darf und wer nicht. Bisher wurden die Benutzer in den meisten Fällen eher leichtfertig durchgewunken. Es reichten eine Benutzer-ID und ein gültiges Passwort. Doch mittlerweile wird der Ruf nach sichereren, flexibleren Zugangsverfahren lauter. Denn einerseits verlagern sich immer mehr Lebensbereiche mit sensiblen Daten ins Internet. Andererseits haben prominente Hacks der vergangenen Jahre[1] – von Sonys Playstation Network über Yahoo bis hin zu Ashley Madison –, bei  denen Millionen Nutzerdaten offengelegt worden sind, für ein höheres Sicherheitsbewusstsein gesorgt.

Im Gegensatz zu den meisten Branchen, in denen die Anwendungssicherheit jahrelang auf der Strecke blieb, legt der E-Government-Sektor seit jeher Wert auf hohe Sicherheitsstandards. Ein Blick auf die dort genutzten Verfahren erweist sich deshalb auch für andere Branchen als lohnenswert. Bevor wir auf etablierte Authentifizierungsmethoden eingehen, skizzieren wir im Folgenden zunächst den grundlegenden Ablauf der Anmeldung bei einem Online-Dienst.

Bei der Authentisierung legen Benutzer einen Nachweis vor, der die Legitimität ihrer Zugangsanfrage bestätigen soll. Benutzer authentisieren sich durch etwas, das sie

  • wissen (z.B. ein Passwort),
  • haben (ein Token, z.B. einen USB-Stick, oder ein Zertifikat)
  • oder an persönlichen Merkmalen aufweisen (z.B. Fingerabdruck, Retinascan, Stimme, Schreibverhalten).

Während der Authentifizierung wird dieser Nachweis vom Dienst überprüft. Sind mehrere Nachweise im Spiel, spricht man auch von einer Multi-Faktor-Authentifizierung. Bei erfolgreicher Authentifizierung erfolgt die Autorisierung. Sie definiert, welche Rollen und Rechte Benutzer bekommen und welche Funktionen sie aufrufen dürfen. Die folgenden Ausführungen beschränken sich auf die Authentisierung und Authentifizierung.

Was ist authega?

authega – kurz für „Authentifizierung für eGovernment-Anwendungen“ – ist ein Authentifizierungsdienst, den der Freistaat Bayern gemeinsam mit mgm und der Firma secunet entwickelt hat. authega basiert auf den Sicherheitsfunktionen, die ursprünglich für die elektronische Steuererklärung ELSTER entwickelt wurden. Seit 2010 ist authega als eigenständige Authentifizierungskomponente einsetzbar. Heute kommt der Dienst bei zahlreichen Behörden zum Einsatz. Eine Besonderheit von authega ist der reine Zuschnitt auf die Authentisierung und Authentifizierung. Funktionen der Autorisierung wie die Rechte- und Rollenvergabe sind bewusst gänzlich entkoppelt. Das ermöglicht den flexiblen Einsatz der sicheren Authentifizierungskomponente und erleichtert die Umsetzung von Richtlinien rund um den Datenschutz.

Zertifikatsbasierte Authentifizierung als bewährte Lösung

Ein Verfahren, das im Bereich E-Government weite Verbreitung gefunden hat – und auch bei der ELektronischen STeuerERklärung (ELSTER) und der daraus entstandenen Authentifizierungskomponente authega zum Einsatz kommt – arbeitet mit Zertifikaten und setzt auf eine Public Key Infrastruktur (PKI). Jeder, der schon mal seine Steuererklärung elektronisch abgegeben hat, kennt den Prozess. Nach der Registrierung erhält der Nutzer ein Zertifikat, das durch eine PIN / ein Passwort gesichert ist. Die Authentisierung setzt also auf etwas, das der Nutzer hat (das Zertifikat) und etwas, das er dazu weiß (die PIN).

Das Zertifikat bietet zwar einen sicheren Zugangsweg. Es darf jedoch nicht in die falschen Hände geraten. authega enthält deshalb initial einen vorgeschalteten Registrierungsprozess, der die Identität des Nutzers überprüft, bevor das Zertifikat ausgestellt wird. Die Registrierungsdaten werden auf zwei Kanälen versandt: per E-Mail und auf dem Postweg. Damit ist gewährleistet, dass die Zugangsdaten in den richtigen Händen landen. Ein Hacker müsste sich schon Zugang zu dem Briefkasten verschaffen, an den der Registrierungscode verschickt wurde. Dienste wie ELSTER beziehen die Adressdaten direkt aus vorhandenen Quellen.

Außerdem werden Authentifizierungsmethoden mit verschiedenen Sicherheitsstufen angeboten. Am weitesten verbreitet bei ELSTER sind Softzertifikate – digitale Zertifikate mit den zugehörigen öffentlichen und privaten Schlüsseln, die als Dateien auf dem Computer oder einem externen Speichermedium abgelegt werden. Sie haben allerdings den Nachteil, dass sie in den Tiefen des Dateisystems verloren gehen oder im schlimmsten Fall kopiert und so unbemerkt in fremde Hände gelangen können. Die wenigsten Bürger speichern das Softzertifikat auf einem USB-Stick und legen diesen, für Hacker unerreichbar, zu ihren Steuerunterlagen.

Höhere Sicherheit bieten Signaturkarten, die das Zertifikat auf einem Chip enthalten und nicht kopierbar sind. Sie sehen aus wie Scheckkarten und werden von vertrauenswürdigen Zertifizierungsanbietern wie Arbeitgebern – oder im Fall von ELSTER beispielsweise der Bundesnotarkammer, der Bundesdruckerei oder der Genossenschaft DATEV  – herausgegeben. Um Signaturkarten einzusetzen, benötigen die Nutzer spezielle Lesegeräte. Der Einsatz funktioniert ähnlich wie bei einem Geldautomaten. Zuerst wird die Karte in das Lesegerät geschoben, anschließend gibt der Benutzer seine PIN ein. Anstatt Geld abzuheben, kann er mit der Signaturkarte dann einem Online-Dienst seine Identität nachweisen und Dokumente elektronisch unterschreiben. Signaturkarten gelten trotz der höheren Sicherheit aufgrund der geringen Verbreitung als Exoten unter den Authentifizierungsmethoden. Ganz ähnlich steht es bisher um die Authentifizierungsfunktionalität des neuen Personalausweises.

Mussten vorher Formulare ausgedruckt, ausgefüllt, unterschrieben und versendet werden, ist nun die elektronische Abwicklung möglich.

Neben der Authentifizierung spielen Systeme wie authega derzeit eine wichtige Rolle bei der Einrichtung elektronischer Prozesse. Das Bayerische E-Government-Gesetz (BayEGovG) fördert zum Beispiel einen weitreichenden Schriftformersatz, sofern ein ausreichend sicheres[2] Authentisierungsverfahren, z.B. authega, eingesetzt wird. Mussten vorher Formulare ausgedruckt, ausgefüllt, unterschrieben und versendet werden, ist nun die elektronische Abwicklung möglich. Das Zertifikat kommt bei der elektronischen Unterschrift zum Einsatz. Durch die Anmeldung mit dem Zertifikat wird der Websitzung ein mittleres Vertrauensniveau attestiert, und die abgegebene Willenserklärung wie das Abschicken des Formularinhalts wird als schriftformwahrend bzw. -ersetzend betrachtet. Außerdem wird das Zertifikat verwendet, um Inhalte, die den Bürgern bereitgestellt werden, zu signieren und zu verschlüsseln.

Die Datenschutzproblematik

Ein weiterer Themenkomplex, der im Kontext von E-Government-Anwendungen seit Jahren diskutiert wird, ist der Datenschutz. Auch hier liegen die gesetzten Standards im behördlichen Umfeld in der Regel höher als in anderen Branchen. Bei vielen Unternehmen besteht Nachholbedarf – gerade vor dem Hintergrund der Datenschutzgrundverordnung, die am 25. Mai 2018 in Anwendung tritt und unter anderem das „Recht auf Vergessen“ mit sich bringt. Als erster Kontaktpunkt zwischen Nutzern und Online-Diensten spielt hier auch die Authentifizierung eine zentrale Rolle.

In authega wurde die Datenschutzproblematik durch den reinen Zuschnitt auf die Authentifizierung adressiert. Das System besteht zum einen aus einer zentralen Komponente. Hier findet die gesamte Zertifikatsverwaltung statt, inklusive der Generierung neuer Zertifikate und der Prüfung beim Login. Zum anderen bringt das System für jeden Mandanten eine dezentrale Komponente mit. Sie sitzt vor dem jeweiligen Fachverfahren des Mandanten und bildet die Schnittstelle zum Zentralsystem.

Durch die strikte Trennung von nachgelagerten Identity-Management-Systemen ist eine Authentifizierung ohne die Haltung personenbezogener Daten möglich.

Bei der Authentisierung kommen nun pseudonyme IDs zum Einsatz, die bei jedem Mandanten unterschiedlich ausfallen. authega meldet dem Fachverfahren bei erfolgreicher Anmeldung lediglich: „Ein Benutzer mit dieser pseudonymen ID hat sich erfolgreich angemeldet“. Die Auflösung erfolgt erst im Fachverfahren. Durch diese strikte Trennung von nachgelagerten Identity-Management-Systemen ist eine Authentifizierung ohne die Haltung personenbezogener Daten möglich. So wird verhindert, dass die Daten eines Bürgers über mehrere Anwendungszusammenhänge (Mandanten) hinweg ohne die Zustimmung des Betroffenen zusammengeführt werden – obwohl ein zentrales System für die Authentifizierung bereitsteht.

Kontextabhängiges Sicherheitsniveau und Einmalkennwörter

Ein aktueller Trend im Bereich Authentifizierung besteht darin, das Sicherheitsniveau je nach Kontext entweder anzuheben oder abzusenken. Wenn ein Benutzer sich beispielsweise regelmäßig aus Berlin mit dem gleichen Browser seines Desktops einloggt, reichen Benutzername und Passwort. Wenn für diesen Benutzer nun plötzlich ein Anmeldeversuch von einem mobilen Gerät aus Dublin kommt, ist ein weiterer Authentisierungsfaktor wie ein ans Smartphone übermittelter Bestätigungscode nötig. Google setzt so eine kontextabhängige Zweifaktor-Authentifizierung bereits ein.

In den letzten Jahren haben außerdem sogenannte OTP-Verfahren weite Verbreitung gefunden. OTP steht für „one time password“ (Einmalkennwort). Der Clou: Jedes Passwort wird nur einmal verwendet. Replay-Attacken, bei denen zuvor aufgezeichnete Daten gesendet werden, sind damit ausgeschlossen. Ein klassisches Beispiel für ein OTP-Verfahren sind auch die TAN-Listen des Online Banking.

Heute kommen anstelle von TAN-Listen zunehmend OTP-Passwortgeneratoren zum Einsatz. Die Firma RSA Security bietet mit der SecurID zum Beispiel ein Hardware-Token in Form eines Schlüsselanhängers an. Jede Minute generiert das Token eine neue Zahl, die auf einem kleinen Display angezeigt wird. Mit der Verbreitung mobiler Geräte werden solche Hardware-Token immer häufiger durch Apps ersetzt. Ein weit verbreitetes Beispiel ist die Google Authenticator App, die neben dem Google-Konto auch weitere Dienste wie Facebook, Dropbox und Outlook mit generierten Einmalpasswörtern absichert. Selbst der Computerspielehersteller Blizzard bietet seinen Kunden eine App an, um ihre Accounts mit Hilfe des OTP-Verfahrens besser zu schützen.

Einmalkennwörter könnten für den Bereich E-Government ein zukunftsweisendes Verfahren sein. Das Sicherheitsniveau ist vergleichbar mit Zertifikaten, aber der Benutzerkomfort ist deutlich höher. Das Mobilgerät haben die Nutzer schließlich ständig dabei. Darüber hinaus ist das Verfahren seit einigen Jahren erprobt und abgesehen von einigen patentierten OTP-Technologien weitestgehend offengelegt – beispielsweise in RFC 1760 (S/KEY), RFC 2289 (OTP), RFC 4226 (HOTP) und RFC 6238 (TOTP).

Retina-Scan, Voiceprinting, Tippverhalten

Weiterhin steht mittlerweile eine ganze Bandbreite biometrischer Verfahren zur Verfügung. Sie bringen jedoch zum Teil erhebliche Datenschutzrisiken mit[3]. Zu den Klassikern gehören der Retina-Scan und die Prüfung des Fingerabdrucks. Neuere Möglichkeiten umfassen das sogenannte Voiceprinting – die Identifizierung einer Person anhand ihrer Stimme – sowie die Analyse des Tippverhaltens.

Trotz der ständig wachsenden Möglichkeiten im Bereich der Biometrie ist das Sicherheitsniveau durchwachsen.

Der Boom biometrischer Verfahren ist eng mit der mobilen Revolution verknüpft. Jedes Smartphone bringt schließlich Sensoren, Kameras und Mikrofone mit, manche sogar einen Fingerprint-Reader. Dadurch erschließen sich biometrische Verfahren erst einer breiteren Masse von Nutzern. Trotz der ständig wachsenden Möglichkeiten im Bereich der Biometrie ist das Sicherheitsniveau durchwachsen. Im Gegensatz zu beispielsweise einem Passwort, das eins zu eins übereinstimmen muss, arbeiten biometrische Verfahren mit Wahrscheinlichkeiten. Sie definieren Schwellenwerte, ab denen zum Beispiel eine Stimme als die Stimme der berechtigten Person akzeptiert wird. Wenn neue biometrische Verfahren vorgestellt werden, lassen die ersten Hacks in der Regel nicht lange auf sich warten[4].

Fazit

Im Bereich der Authentifizierung ist derzeit viel Bewegung. Google, Apple, Amazon, Facebook, PayPal, Instagram und viele mehr sind mittlerweile so sensibilisiert, dass sie ihren Nutzern eine Zwei-Faktor-Authentifikation anbieten. Biometrische Verfahren bleiben in der Online-Welt bislang eher ein Experimentierfeld – und was den Einsatz im Massenmarkt angeht auch eher unsicher.

Die Erfahrungen im Public Sector haben gezeigt, dass die zertifikatsbasierte Authentifizierung bei richtiger Umsetzung eine ausreichend handhabbare Möglichkeit darstellt, um Dienste mit Millionen von Nutzern für eine Vielzahl von Anwendungsfällen abzusichern. Jedoch hat die Authentifizierung mit Zertifikaten auch Schwächen. Der Prozess ist aufwändig und es kommt häufig vor, dass Benutzer die Softtokens verlegen oder verlieren und die zugehörigen Passwörter dann offline über Brute-Force-Angriffe ermittelt werden können. Auch der E-Government-Sektor beobachtet deshalb kontinuierlich alternative Methoden. Moderne OTP-Verfahren mit ad hoc generierten Einmalkennwörtern sind eine ernstzunehmende Alternative, die als Ergänzung zu den existierenden zertifikatsbasierten PKI-Verfahren bald auf breiter Front ihren Einzug feiern könnten.

[1] Eine gute Übersicht bietet die Infografik World’s Biggest Data Breaches.

[2] Siehe hierzu z.B. §2 BayBITV, Art. 9 des Bayerischen E-Government-Gesetzes (BayEGovG) vom 22. Dezember 2015

[3] Einen ersten Überblick gibt das Arbeitspapier zu Biometrie in der Online-Authentifizierung der internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation.

[4] Siehe zum Beispiel die Hacks des Chaos Computer Clubs für den Samsung S8 Iris-Scan und die Apple TouchID