Nichttechnische Themen gewinnen an Bedeutung
Identitätsmanagement im Fokus
Identitätsbetrug, die Systematisierung der IT-Sicherheit und "weiche" Themen wie Awareness prägten die RSA-Konferenz 2006 in San José stärker als ihre Vorgänger. Die Bedeutung der Konferenz nimmt weiter zu.
Zu den größten Errungenschaften der RSA-Konferenz 2006 gehörte vielleicht, dass die
Organisatoren dem international anerkannten Sicherheitsspezialisten Bruce Schneier endlich einmal
einen hinreichend großen Vortragsraum spendierten. Er revanchierte sich auf seine ganz eigene Art,
in dem er RSA selbst als Beispiel für ein Unternehmen darstellte, dass Sicherheitsrisiken auf
Endverbraucher abwälze: Das RSA-Event-Team nämlich verzichtete in diesem Jahr auf teure
Fotoausweise für die Konferenz und verlangte stattdessen von jedem, der seine Karte verlor, noch
einmal den vollen Teilnahmebeitrag. Die Karten enthielten einen RFID-Chip, der die Kontaktdaten der
Teilnehmer speicherte.
Schneiers Präsentation machte im übrigen nachdenklich, denn der demonstrierte den anwesenden
Sicherheitsspezialisten, wie wenig die Entscheidung für eine bestimmte Sicherheitsmaßnahme im
Regelfall von puren Sicherheitsüberlegungen bestimmt wird: Von sozialen Faktoren und
gesellschaftlichen Tabus über menschliche Widerstände bis hin zur Macht eingefahrener Praktiken
mache so mancher externe Faktor Einflüsse geltend. An der Forderung, zum Wohle der eigenen Projekte
auch diese Momente in die Sicherheitsplanung einzubeziehen, wird mancher Administrator
scheitern.
Identitätsmanagement und starke Authentifizierung waren neben Ellyptic-Curve-Algorithmen die
zentralen technischen Themen der Konferenz. Bill Gates leitete die Konferenz in seiner Keynote mit
der zum wiederholten Mal vorgetragenen Forderung ein, die Ära des Kennworts zu beenden, und zeigte
erste Einblicke in die "Infocard-Federated-ID"-Initiative seines Hauses zur breiten Etablierung von
Identity Management und starker Authentifizierung.
Die alten Hasen der Branche gingen mit der Passwort-Problematik durchaus anders um: Whitfield
Diffie forderte im Cryptographers? Panel dazu auf, Kennwörter aufzuschreiben und die Zettel ins
Portemonnaie zu stecken, denn dort seien sie im allgemeinen sicher, und Bruce Schneier präsentierte
seine Kennwortspeicher-Software "Lockbox" als technische Variante des gleichen Prinzips. Ein auf
den ersten Blick simpler Schritt bei Microsoft verdient übrigens durchaus Beachtung: Die nächste
Version des Internet Explorers wird mit unterschiedlich gefärbten Fensterrahmen auf mehr oder
weniger vertrauenswürdige Websites reagieren und somit zum Beispiel per Zertifikat gesicherte
Seiten leichter erkennbar machen.
Ein anderer Trend, der in San José spürbar wurde, ist der zu "Embedded Security". Scott McNealy
demonstrierte in seiner Keynote die Krypto-Module in neuen Betriebssystemen und Servern seines
Hauses und die eingebaute Krypto-Engine der aktuellen Sun-Prozessoren: Verschlüsselung soll endlich
zur Standardform der Kommunikation werden. McNealy reihte sich auch in die lange Reihe der
Referenten ein, die offene Standards für alle Sicherheitsinfrastrukturen forderten.
Einer dieser Standards ist das offene Authentifizierunsgmodell "Oath". Es dient unter anderem
dazu, Devices verschiedener Hersteller für die Anmeldung an unterschiedlichen Servern nutzbar zu
machen und die Token-Flut beim Anwender zu verringern.
Verisign präsentierte sein Produkt Verisign Identity Protection (VIP), das gleich zu Beginn zur
Online-Anmeldung bei Paypal. Ebay und Yahoo genutzt werden kann. Andere Unternehmen setzen darauf,
Alltagsgeräte zur Plattform mehrerer Authentifizierungsverfahren zu machen. USB-Sticks mit
eingebauten Smartcard-Readern etwa werden so zur Basis einer Renaissance PKI-gestützter
Authentifizierung, wie sie etwa Entrust traditionell anbietet, und RSA entwickelt an gleich
mehreren Ansätzen zur Übertragung von Token-Mechanismen und anderen Anmeldeverfahren auf Handys,
die ja schließlich fast jeder inzwischen bei sich führe. Das Interesse fürs Mobiltelefon teilten in
San José nahezu alle Authentifizierungsanbieter.
Bei RSA spielte das neu zugekaufte Unternehmen Cyota eine wichtige Rolle. Es verfügt über ein
gut ausgebautes Betrugserkennungsnetzwerk, dessen Detektoren sich zum Beispiel über renommierte
Banken erstrecken. Die meisten Identitätsdiebe gehen mehrfach auf die gleiche Weise vor, sodass man
ein einmal erkanntes Muster zur Abwehr weiterer Angriffsversuche nutzen kann.
Im Remote-Access-Bereich verliert IPSec weiter an Boden. Vorträge und Konferenzmaterialien
zeigen, dass der aus Anwendersicht und auch für Administratoren aufgrund der Notwendigkeit von
Client-Software auf den PCs schwer zu beherrschende Standard im Remote-Access-Bereich nun auch als
der unsicherere gilt. Der SSL-VPN-Anbieter Aventail nannte IPSec deshalb gleich selbstbewusst "
IPSecondbest" auf seinen Plakaten, Mitbewerber wie etwa Whale präsentierten in der ab dem zweiten
Tag stets überfüllten Halle – nach bisher nicht endgültig bestätigten Angaben besuchten über 14.000
Teilnehmer die Konferenz – stolz neue Produkte und Produkterweiterungen.
Im Bereich Netzwerksicherheit schielt offenbar die ganze Branche auf die eine oder andere Weise
auf Ciscos "Self Defending Network", für das der Hersteller auf der Konferenz neue Produkte
präsentierte. Intrusion-Detection-Systeme anderer Hersteller bilden hier Teilbereiche nach, und
3Com zeigte neben dem Konzept eines "bi-planaren Netzwerks" mit separater Kontrollschicht auf der
Basis dedizierter Knoten ein Netzwerk-Quarantäne-System von Tippingpoint, das ohne Software-Clients
auskommt.
Auffallend war, wie häufig die Referenten in ihren Vorträgen inzwischen auf nichttechnische
Themen wie "Awareness" eingingen. Die Sicherheitsbranche nimmt sich endlich auch der Anwender
selbst an, statt sie mit Technik in Schach halten zu wollen. Platz war auch für Diskussionen über
Datenschutz – so lotete eine Diskussionsrunde aus, ob die USA womöglich europäisches
Datenschutzrecht adaptieren sollten, und verneinte dies schließlich mit dem Hinweis auf zu große
kulturelle Unterschiede.
Auch RFID wurde kritisch beleuchtet. Im Cryptographer?s Panel erklärte der Krypto-Guru Adi
Shamir, seines Zeichens das "S" aus dem Namen des "RSA"-Algorithmus‘, wie man durch
Stromverbrauchsanalyse die Kennwörter und Inhalte von RFID-Chips knacken könne: "Diese Technik kann
man in jedes Handy einbauen".
Wie leicht man RFID-Chips außer Gefecht setzen kann, demonstrierte zum heimlichen Vergnügen der
Konferenzteilnehmer allerdings Microsoft: Vertreter des Herstellers hatten im Rahmen einer
Messeaktion zum Identity Management Eintrittskarten von Teilnehmern gelocht und anderen Unternehmen
so das Auslesen der darauf gespeicherten Kontaktdaten unmöglich gemacht. Ein Schelm wer Böses dabei
denkt – RSA ersetzte immerhin diese Karten kostenlos.
Dr. Johannes Wiele
Lesen Sie mehr zum Thema
