:quality(80)/p7i.vogel.de/wcms/fa/fc/fafc7b1ef047632c3455f46bd10cd256/0110551755.jpeg "Digitalisierung an Schulen kann mit digitaler Inventarverwaltung unterstützt werden (Bild: Rawpixel.com / shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a6/46/a646f2662e79393429dc9c4eb272433d/0110475497.jpeg "Eine zeitgemäße digitale Bildungsinfrastruktur – mit dem Digitalpakt Schule unterstützt der Bund Länder und Gemeinden bei Realisierung (Bild: adragan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/b6/4fb68aebb416b3462f5c64b2ef5723c9/0110467219.jpeg "Bundespresseamt vs. Datenschutzbehörde oder auch Facebook vs. Mastodon – die Frage nach dem Gewinner soll nun das Verwaltungsgericht Köln beantworten (© Alltechbuzz_net – pixabay via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/1f/c9/1fc97acc1dec34c82c62d1d69da6b596/0110476065.jpeg "Der Ezhikrat fordert, die die Rolle der KI in der öffentlichen Kommunikation und Meinungsbildung kritisch zu hinterfragen (© M.Dörr & M.Frommherz – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/a4/32a4f40c1624aef807e497c4c356751f/0110582861.jpeg "Digitale Kompetenzen müssen bereits früh vermittelt werden. Sie sind für den Beruf und das alltägliche Leben unerlässlich (Bild: Robert Kneschke – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/07/c9070b17bc8daa9574dacb92624013e9/0110544782.jpeg "Durch die Pandemie bekam die Bedeutung des Homeoffice einen Schub. Vom hybriden Arbeiten soll es nun aber weiter gehen in den digitalen Arbeitsalltag (© mediaphotos – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/12/f0/12f0ca00b0a4434cb5e39828021c2a91/0110547942.jpeg "Der Dialog mit den Mitarbeitern der Verwaltungen kann sicherstellen, dass die angebotenen Dienstleistungen und Programme tatsächlich auch ihren Bedürfnissen entsprechen (Bild: fidaolga – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/be/79/be79a2bad2f034ee7901c425f24e1f30/98320958.jpeg "Die Optimierung von Verwaltungsprozessen muss auch die Wünsche der Bürger berücksichtigen (© kamonrat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/9c/bf9c757c3c870f08846d36186f821ad6/0110465225.jpeg "Atrium ist ein gemeinsames Projekt des GovTech Campus Deutschland mit dem World Economic Forum (©2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/0a/030a5d6d68a07f27d002a852bf1928c0/0110375178.jpeg "Die didacta 2023 fand vom 7.-11. März in Stuttgart statt (©Landesmesse Stuttgart GmbH)")
:quality(80)/p7i.vogel.de/wcms/27/27/2727055a1c7454157366e9970d6a820d/0110585711.jpeg "(© medisign)")
:quality(80)/p7i.vogel.de/wcms/3a/30/3a3058c92aeaf607cb352696a06b72ad/0110062909.jpeg "Die Orchestrierung standardisierter Container auf Basis von Kubernetes ist einer der Kompetenzbereiche des Cloud-native-Spezialisten SysEleven, den secunet im Jahr 2022 an Bord geholt hat (© Pawinee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/a2/b2a2ace18627cbfc2b0aa18c17e9051c/0110062950.jpeg "Capgemini Cloud Transformation Map für den öffentlichen Sektor (© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/8f/18/8f18a71e1931275c50375f34bd62e9ea/0110005602.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/40/90/4090633aae8e48fa597417d5f0ba6a3b/0105782700.jpeg "Der 15. eGovernment Summit findet in diesem Jahr im Dresdner Taschenbergpalais statt. Aber auch darüber hinaus bietet die Stadt manche Sehenswürdigkeit, wie hier den Dresdner Zwinger (© k_samurkas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/54/3e542cb112bce48401c443ee26d00900/0105460156.jpeg "In freudiger Erwartung auf den eGovernment Summit 2022: CIO und Staatssekretär Thomas Popp im Interview (© Sächsische Staatskanzlei)")
:quality(80)/p7i.vogel.de/wcms/8b/93/8b932b163c8d8348c389039cbe12d43c/0105209523.jpeg "Der Schirmherr des eGovernment Summits 2022, der Beauftragte der Bundesregierung für Informationstechnik, Staatssekretär Dr. Markus Richter, sieht in der Digitalisierung eine Daueraufgabe, die den Einsatz aller Beteiligten erfordert (© Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/8f/d08f5b8940e69bbcb1f7b0f72f9b1a68/0107306675.jpeg "(© Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/cc/d5/ccd5c6633e72665e2a9a141ecff68f6a/0105217259.jpeg "(© Sophos)")
:quality(80)/p7i.vogel.de/wcms/81/19/81199d2c339f7f1d4e6d8e2f78907297/0105195141.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/21/50/215096bd7fd1d34cfa407e78fcc655db/0110111007.jpeg "KI-Systeme sind in allen Bereichen auf dem Vormarsch und werden unser Leben einschneidend verändern (©aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/f7/9af7c9557f1083b9fccd633071a1409a/0110116034.jpeg "(© aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/af/0faf6811142391ce336005dc0c8af6b7/0110111565.jpeg "Cross-Site-Scripting: Kriminelle nutzen Sicherheitslücken (© aga7ta – stock.adobe.com)")
Biometrie und PKI Mit dem Fingerabdruck zum Schlüssel
Wer eine Smartcard zum Verschlüsseln oder Signieren verwendet, muss vor der Nutzung meist eine Geheimnummer (PIN) eingeben. Dabei ist es technisch auch möglich, statt der PIN einen Fingerabdruck zu verwenden. Doch was in der Theorie seit Jahren gut klingt, hat in der Praxis noch seine Tücken. Der Autor dieses Artikels berichtet über den derzeitigen Stand der Technik und über Erfahrungen, die er in einem Projekt gesammelt hat.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/63400/63401/65.jpg "cit-Logo.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135000/135096/65.jpg "logo_nospamproxy300x300.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/106800/106874/65.png "pp_h_rgb.png ()")
Noch ein Passwort? Muss das sein? – Diese Klage bekommt nahezu jeder zu hören, der im Unternehmen Verschlüsselung oder elektronische Signaturen einführen will. Doch kryptografische Schlüssel müssen nun einmal geschützt werden, und da sind Passwörter meist erste Wahl. Dies gilt auch dann, wenn ein Schlüssel auf einer Smartcard abgespeichert wird (was aus Sicherheitsgründen zu empfehlen ist). Das Passwort ist in diesem Fall meist eine PIN, die der Anwender zur Freischaltung der Karte eintippen muss.
Smartcard-Sharing unterbunden
Unvermeidlich sind Passwörter allerdings nicht, denn eine attraktive Alternative ist seit Jahren bekannt: die Biometrie. Anwendungen gibt es zwar in vielen Varianten, doch im Zusammenhang mit Smartcards ist fast nur die Fingerabdruckerkennung von Interesse: Die Karte fragt über einen Sensor im Kartenleser den Fingerabdruck des Anwenders ab und vergleicht diesen mit einem Referenzwert. Fällt der Vergleich positiv aus, wird die Karte aktiv.
Natürlich hat die Fingerabdruckerkennung als PIN-Ersatz nicht nur für vergessliche Anwender Vorteile. Auch Unsitten wie das Aufschreiben einer PIN oder leicht zu erratende Kombinationen wie 123456 werden verhindert.
Das meist verbotene, aber dennoch häufig praktizierte, „Smartcard-Sharing“ lässt sich so ebenfalls unterbinden. Letztere Eigenschaft ist vor allem im Zusammenhang mit elektronischen Signaturen von Vorteil, denn sie soll ja wie eine Unterschrift an eine Person gebunden sein.
Die Auswahl der Technik
Die Vorteile der Fingerabdruckerkennung überzeugten Mitte 2005 auch eine Schweizer Bank, die den Aufbau einer PKI plante (der Autor dieses Artikels war an diesem Projekt beteiligt). Diese Bank wollte den Betriebssystemzugang unternehmensweit mit digitalen Zertifikaten absichern, wobei Smartcards zum Einsatz kommen sollten. Als weitere PKI-Anwendungen standen eMailverschlüsselung und die Anmeldung am Internetproxy auf der Wunschliste. Da die IT-Abteilung den Anwendern keine weiteren Passwörter zumuten wollte, war die Fingerabdruckerkennung von Anfang an vorgesehen.
Ebenfalls eine Anforderung der Bank war es, das Referenzmuster des Fingerabdrucks auf der Karte selbst zu speichern („Template on card“). Die vergleichsweise geringe Speicherkapazität, die ein Smartcardchip bietet, erwies sich als lösbares Problem, da ein brauchbares Referenzmuster heute nur etwa 256 Byte benötigt. Da gängige Smartcards 32 kBit Arbeitsspeicher bereitstellen, ist es sogar möglich, mehrere Finger und mehrere Muster pro Finger auf einmal zu registrieren. Eine Template-on-Card-Lösung bietet beispielsweise die Firma Reiner SCT in Form des Lesergerätes cyberJack biometric mit integriertem Fingerabdrucksensor.
Keine Ideallösung
Allerdings fiel cyberJack biometric wieder aus der Wahl, da die Bank auch den Vergleich zwischen Muster und aktuellem Wert auf der Karte vornehmen lassen wollte („Match on card“). Die Reiner-Lösung unterstützte ein Match-on-Card nicht ohne eine entsprechende Anpassung. Genau genommen ist das Verfahren allerdings auch keine Ideallösung, denn eine Karte kann hierbei nicht unterscheiden, ob ein eingehender Wert tatsächlich gemessen wurde oder ob ein beliebiger Wert neu eingespielt wird. Als ideal gilt daher ein „System on card“, also eine Smartcard mit integriertem Fingerabdrucksensor. Bisher sind solche Lösungen jedoch nicht über den Prototypstatus hinausgekommen.
Eine weitere Anforderung ergab sich aus der Tatsache, dass die Bank Betriebssystemanmeldungen über ein Novell eDirectory und die zugehörige Authentifizierungs-Lösung NMAS durchführte. Da das Betriebssystem-Login mithilfe der PKI abgesichert werden sollte, musste die Smartcard-Biometrie-Lösung unbedingt NMAS unterstützen. Dies war bei der Match-on-Card-Lösung von Datakey nicht der Fall. Da sich auch sonst kein geeignetes Produkt fand, wurde eine Anpassung notwendig. Das Projektteam entschied sich dafür, die NMAS-kompatible Smartcard-Middleware cv act sc / interface von cryptovision als Basis zu nehmen. Diese Middleware unterstützt das Smartcardbetriebssystem CardOS von Siemens, das wiederum von der Biometrie-Lösung BioMatch von Precise Biometrics unterstützt wird. BioMatch zählt nicht nur zu den führenden Produkten dieser Art am Markt, sondern unterstützt auch Match-on-Card.
Die Aufgabe bestand also darin, cv act sc / interface BioMatch-kompatibel zu machen, was innerhalb eines entsprechenden Software-Entwicklungsprojekts geschah. Die verwendete PKI-Software cv act PKIntegrated benötigte dagegen keine Anpassung, da sie in das Novell eDirectory integriert und mit cv act sc / interface interoperabel ist.
Umsetzung in die Praxis
Natürlich ist die Nutzung von Fingerabdrücken in einer PKI mit einem Mehraufwand verbunden. So müssen alle Arbeitsplätze mit Smartcard-Fingerabdrucklesern ausgestattet werden. Die im vorliegenden Projekt verwendeten Biometrie-Leser kosten um 100 Euro. Zudem muss auf jedem PC die Smartcard-Middleware installiert werden.
Die Nutzung von Fingerabdrücken macht es fast zwangsläufig notwendig, dass die Kartenausgabe zusammen mit dem Einlesen des Referenzmusters an einer Registrierungsstelle erfolgt. Im vorliegenden Fall wurden drei Fingerabdrücke pro Person gespeichert. Dadurch ist sichergestellt, dass eine Fingerverletzung oder ein sonstiges Problem bei der Erkennung keine Probleme macht.
Damit eine Smartcard-Anmeldung praktikabel einsetzbar ist, muss beachtet werden, dass Biometrie nicht in allen Fällen funktioniert. Es gibt Menschen, deren Fingerabdruck für eine Erkennung nicht geeignet ist (Sheep-Goat-Problem). Für solche Anwender wurden Karten ins Konzept aufgenommen, die auf herkömmliche Weise mit einer PIN freizuschalten sind.
Nach einem dreimonatigen Pilotbetrieb innerhalb der IT-Abteilung ging die PKI Mitte des Jahres in die produktive Phase. Inzwischen sind alle 800 Mitarbeiter mit Fingerabdrucklesern versorgt. Wie erwartet, mussten einige der 800 Anwender (bisher etwa 30) mit einer Ersatzlösung in Form einer PIN ausgestattet werden.
Artikelfiles und Artikellinks
(ID:2001300)
:quality(80)/images.vogel.de/vogelonline/bdb/1931500/1931562/original.jpg "(stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1946500/1946555/original.jpg "Die Telematikinfrastruktur soll die Datenautobahn des Gesundheitswesens sein, doch ein Projekt nach dem nächsten steht im Stau (FedotovAnatoly – stock.adobe.com)")