RSA-Konferenz 2005 in San Francisco
Netze aus vertrauten Knoten
Starke Authentifizierung war eines der zentralen Themen der diesjährigen RSA-Security-Konferenz in den USA. Mit neuen Standards und Produkten wollen die Anbieter endgültig die Vorherrschaft der Kennwörter beenden.
Spyware and Phishing haben das Vertrauen der Anwender in Netzwerkanwendungen und E-Business
erschüttert. Einer Studie von RSA zufolge reduziert ein Viertel der Konsumenten bereits die
Onlinegeschäfte, und ein Fünftel verzichtet aufs Online-Banking.
IT-Anbieter fürchten deshalb um Wachstumschancen und wollen mit Sicherheitsmaßnahmen die
Bedenken der Heimanwender und der professionellen Nutzer zerstreuen. Gut zu beobachten war dieser
Effekt gleich zu Beginn der RSA-Konferenz in San Francisco, die mit geschätzten 12.000 Besuchern
gegenüber den vergangenen Jahren weiter gewachsen ist. Bill Gates kündigte in seiner einleitenden
Keynote an, in diesem Jahr eine neue Version 7.0 des Internet Explorers herauszubringen. Die
Fähigkeiten des Browsers, verdächtige Inhalte zu blockieren, sollen verbessert werden. "Der Schutz
der Anwenders vor internetgestütztem Social Engineering liegt uns am Herzen", beschrieb Gates das
Ziel der Aktion.
Marktbeobachter gehen davon aus, dass Microsoft vom Erfolg des derzeit Malware-resistenteren
Open-Source-Browsers "Firefox" aufgeschreckt wurde. Der Windows-Hersteller entwickelt außerdem sein
Antispyware-Programm weiter, das er an Endkonsumenten kostenlos abgeben will.
Gegen Viren will Microsoft in seine Messaging- und Collaboration-Software die
Multi-Engine-Lösung des Herstellers Sybari integrieren, dessen Akquise bereits eingeleitet ist.
Eine eigene Virenschutz-Engine soll das Angebot ergänzen. Langfristige Ziele sind Gates zufolge
erweitertes Identity Management, optimierte Updates und Ansätze zur Isolation von Servern und
Netzwerksektoren, wobei Verschlüsselung mit IPSec und Autorisierung die Hauptrolle spielen. Darüber
hinaus wird Microsoft sein "Security Development Lifecycle Program" zur Programmierung sicheren
Anwendungscodes fremden Anbietern als Ausbildungshilfe zugänglich machen.
Offene Standards und preiswerte Tokens
Weil die vernetzte Welt nur sicherer wird, wenn auch weniger zahlungskräftige Anwender von
Kennwörtern auf Zwei-Faktor-Authentifizierung umsteigen, wächst die Zahl der Angebote für
Konsumenten sowie kleine und mittlere Unternehmen.
RSA bietet neben kleineren Token-Modellen mit und ohne USB-Anschluss eine
Authentifizierungs-Appliance für kleine und mittlere Unternehmen mit etwa 250 Anwendern an, die den
Installationsaufwand auf etwa 15 Minuten reduzieren soll. Hinzu kommen
Authentifizierungs-Dienstleistungen, die auf die Bedürfnisse von Konsumenten ausgerichtet sind und
es erlauben, sich mit einem einzigen elektronischen Ausweis an mehreren Websites anzumelden, ohne
jedem einzelnen Onlinedienstbetreiber mehr als die nötigsten Daten preiszugeben. Wie ernst es RSA
mit dem Consumer-Sektor ist, lässt sich an einer Personalie ablesen: Christopher Young, 2004 noch
auf der Seite von AOL für die Einführung von RSA-Tokens für die Anwender des Online-Dienstes
zuständig, arbeitet jetzt für den Secur-ID-Hersteller.
RSA hat fünf Spezifikationen für die One-Time-Password-Technik offengelegt und bei der IETF
(Internet Engineering Taskforce) eingereicht, um es anderen Unternehmen zu erleichtern, Anwendungen
direkt für die RSA-Authentifizierungssysteme zu entwickeln.
Analysten betrachten die Initiativen des Herstellers auch als Reaktion auf die wachsende
Konkurrenz, beispielsweise durch Verisign. Ob hingegen Entrust mit seinen preiswerten Grid-Karten
RSA Marktanteile bei Anwendern mit geringeren Sicherheitsanforderungen abnehmen kann, scheint
unklar – Experten verwiesen auf die geringe Wertigkeit der Karten und mögliche
Ableseschwierigkeiten beim Einsatz etwa in dunklen Terminalumgebungen. Entrust fand allerdings mit
seiner E-Mail-Compliance-Lösung das Interesse vieler Besucher. Das System spürt anhand
grammatischer und formaler Analyse von Dokumenten Verstöße gegen Sicherheitsrichtlinien auf.
Trusted Computing als Basis
Eine wichtige Rolle im Umfeld stärkerer Authentifizierung soll die Trusted-Computing-Plattform
spielen. In Keynotes und Fachvorträgen wiesen Referenten darauf hin, dass ohne Schutz der Computer
vor Unterwanderung durch Hacker und Spionage-Programme eine gefährliche Sicherheitslücke bestehen
bliebe. Lark Allen von der Trusted Computing Group brachte in diesem Zusammenhang Trusted Computing
sogar als Werkzeug des persönlichen Datenschutzes ins Spiel – eine Sichtweise, zu der sich noch vor
einem Jahr wohl kaum jemand durchgerungen hätte. "Die Kontrolle der PCs bleibt trotzdem eine Münze
mit zwei Seiten", schwächte C. Victor Chang, Vice President Engineering Corporate Development,
derartigen Enthusiasmus im Gespräch mit LANline wieder ab, "man sollte wohl nur PCs damit
ausrüsten, die diese Technik wirklich brauchen". Eine weitere Triebkraft hinter Trusted Computing
ist nach Ansicht der Experten, dass die Netzwerkstruktur der Zukunft verlange, dass sich auch die
Devices voreinander authentifizieren müssen.
Hindernisse für RFID und Biometrie
Die Entwicklung bei den RFID-Chips betrachten manche Spezialisten mit Sorge. Burt Kaliski,
Chef-Wissenschaftler bei RSA, wiederholte seine Kritik an den professionellen Anwendern, die allein
den Preis der Chips im Blick haben und für Sicherheit und Datenschutz kein Geld ausgeben wollen.
RSA-CEO und President Art Coviello wies in seiner Keynote und im Gespräch darauf hin, dass diese
Haltung den Erfolg von RFID und anderen Innovationen gefährde, da man keine derart wirkungsreiche
Technik einführen könne, ohne sich um gesellschaftliche Folgen und möglichen Widerstand zu kümmern.
"Ich bin im Bezug auf eine datenschutzgerechte RFID-Einführung inzwischen pessimistischer als Ende
letzten Jahres", meinte Coviello im Interview mit LANline. "Auf keinen Fall darf man auch noch die
Chance verpassen, wenigstens die nötigen Voraussetzungen für eine spätere Verbesserung der
RFID-Sicherheit zu schaffen."
Auch die Entwicklung der Biometrie, die nach den Anschlägen in den USA 2001 Aufwind bekommen
hatte, verliert wieder an Fahrt. "Wir können sie jederzeit integrieren, aber noch verlangt der
Markt nicht danach", erklärte Coviello. Die neuesten RSA-Tokens etwa sind bereits vom Design her
auf den Einbau von Fingerabdruck-Lesern vorbereitet. Bill McQuaide, Senior Vice President
Enterprise Solutions Group, verwies in einem weiteren Interview auf weiter bestehende Vorbehalte
der Anwender: "Auch in den USA hat das Erfassen von Fingerabdrücken den Ruch der
erkennungsdienstlichen Behandlung von Kriminellen", betonte er, und bestätigte außerdem, dass
bisher kaum ein Unternehmen die Technik wirklich einsetze. "Will man außerdem die
False-Positive-Rate im Alltagseinsatz auf ein verbrauchergerechtes Maß senken, muss man die Leser
so unscharf einstellen, dass sie nicht sicherer sind als eine vierstellige PIN", gaben Coviello und
McQuaide zu bedenken.
Neue Ansichten gab es auch zum Thema Regulierung, das seit vergangenem Jahr auf fast jeder
internationalen Security-Konferenz diskutiert wird (siehe etwa LANline 11/2004, S. 18 und 22 sowie
12/2004, S. 8). "Wenn keine Rahmenbedingungen vorgegeben sind, riskiert ein CSO immer noch seinen
Job, sobald er auch in einer schlechten wirtschaftlichen Situation Geld für Sicherheit ausgibt",
meinte Bruce Schneier in einer Podiumsdiskussion, und selbst Ex-US-Sicherheitsberater Richard
Clarke sieht neuerdings Regulierungsbestrebungen – etwa für Mindest-Sicherheitsstandards wie
Firewalls auf PCs mit Breitbandzugriff – nicht mehr ausschließlich negativ: "Die Industrie sollte
sich nicht gegen alles sperren, denn wenn es erst zu einer größeren Katastrophe kommt, werden die
danach beschlossenen Regeln bestimmt unangenehmer", warnte er.
Ein weiteres Thema der Konferenz war das von Cisco propagierte "Self Defending Network". Cisco
stützt das Modell, dessen Idee von immer mehr IT-Anbietern mitgetragen wird, mit neuen
Produktankündigungen, aber Tipping-Point-CTO Marc Willebeek-LeMair stichelte mit Blick auf die real
verfügbaren Systeme: "Wenn in fünf Jahren von Ihrem Netz nur noch ein paar ungenutzte
Ethernet-Kabel übrig sind, liegt das vielleicht auch daran, dass Sie in Sachen Sicherheit auf Cisco
gewartet haben". Tipping Point plädiert für "Embedded Security" in allen Devices, wobei
Spezialchips Routineaufgaben wie Firewall- und IDS-Dienste übernehmen sollen.
Mit Sorgen betrachten die Verschlüsselungsspezialisten die jüngst bekannt gewordenen Angriffe
auf den Algorithmus SHA-1, die die langfristige Sicherheit digital signierter Dokumente
gefährden.
Lesen Sie mehr zum Thema
