In den Webshop oder in das Firmennetzwerk wollen Unternehmen nicht jeden herein lassen. Daher müssen Identifizierung und Authentifizierung klar geregelt sein.

Die Abwicklung von komplexen, IT-gestützten Geschäftsprozessen wie etwa in der Beschaffung oder im Vertrieb ist heute in vielen Unternehmen nicht mehr wegzudenken. Doch steigende Sicherheitsanforderungen verlangen nach Lösungen, mit denen genau geregelt werden kann, welche Aktionen ein bestimmter Anwender in einem Prozess ausführen darf – und welche nicht.

Hier kommt das sogenannte Identity- und Access Management (IAM) ins Spiel, das für mehr Sicherheit beim Zutritt in IT-Netze sorgt. Der Anwender - ganz gleich, ob Mitarbeiter, Kunde, Lieferant oder Partner - muss eindeutig gegenüber den von ihm genutzten IT-Systemen, Geschäftsapplikationen, Portalen, Webshops und Services identifiziert und authentifiziert werden können.

In vielen Fällen geschieht dies durch die Eingabe von Benutzername und Passwort. Das ist technisch zwar einfach umzusetzen, allerdings besitzt dieses Verfahren eine Reihe von Schwachstellen: Benutzernamen und Passwörter können gestohlen, versehentlich verraten oder vergessen werden. Aus diesem Grund ist bei sicherheitskritischen Anwendungen der Einsatz einer „starken“ Authentifizierung sinnvoll.

Starke Authentifizierung

Häufig kommen bei dieser starken Authentifizierung sogenannte Smart-Cards zum Einsatz. Sie stellen einen sicheren Container für Berechtigungsnachweise („credentials“) wie etwa digitale Zertifikate dar. Die verwendeten Karten sind zudem durch einen PIN geschützt.

Auf diese Weise ermöglichen sie dem Anwender eine sichere Zwei-Faktoren-Authentifizierung: Der erste Faktor ist die Kenntnis der PIN, der zweite der Besitz der SmartCard. Die Karten können zudem gleichzeitig für die elektronische Signatur von Dokumenten, beispielsweise bei Bestellungen oder Rechnungen, eingesetzt werden.

Einmal-Passwörter

Ein anderes Verfahren zur sicheren Authentifizierung von Anwendern sind Einmal-Passwörter. Eine Authentifizierungskomponente generiert hier in kurzen Abständen einen neuen, nur einmal gültigen Code. An diesen Code gelangt der Anwender zum Beispiel mithilfe eines „Hardware-Tokens“. Hierbei handelt es sich um ein kleines Gerät mit Display, das sich am Schlüsselbund befestigen lässt und synchron zur Authentifizierungsstelle arbeitet. Ebenso gut kann aber auch das Mobiltelefon des Anwenders für die Anzeige des Codes genutzt werden.

Wichtig ist bei dem Identity- und Access Management, dass der Einsatz von Sicherheitsmaßnahmen von den Anwendern nicht als lästig empfunden wird. Und die Administration muss effiziente Verfahren für die Verwaltung und Pflege der vielfältigen Identitäts- und Berechtigungsdaten haben.

Letztlich kommt es aber vor allem darauf an, dass unterschiedliche technische Komponenten zuverlässig zusammen arbeiten und die vorhanden Geschäftsabläufe gezielt unterstützen. Deshalb sollten Unternehmen bei der Planung und Einführung von IAM-Lösungen den Rat eines Spezialisten einholen.

Der Autor: Dr. Hans-Jörg Kremer, Geschäftsführer, Peak Solution

Dieser Artikel erschien in der Ausgabe 2/09 des Sonderheftes für E-Commerce Online-Handel des Wirtschaftsmagazins Der Handel.