Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

03.10.1997 - 

Trusted-Web-Konzepte sind mehr als Identitätskontrollen

Neue Zugriffsmechanismen für mehr Sicherheit im Intranet

Europäische Marktbeobachter haben das Jahr 1997 zum Intranet-Jahr erklärt. Zu überzeugend sind aus Sicht der Auguren die Vorteile der Internet-Technik für firmeneigene Kommunikationsnetze: Gegenüber Groupware-Produkten liegen die Kosten für den unternehmensweiten Informationsverbund über interne Web-Server um etwa 80 Prozent niedriger. Entscheidender ist aber die Einfachheit, mit der sich Rechner aller Art, vom Mainframe über alte Minicomputer bis hin zu neuesten PCs, in den Datentransfer über die bestehende Infrastruktur einbinden lassen.

Verlockende Möglichkeiten für Vertriebssteigerungen

Ein Netz, das auf dem Transport Control Protocol/Internet Protocol (TCP/IP) basiert, ein Web-Server unter Windows NT oder Unix, ein günstiger Browser auf jedem Desktop, der teilweise schon mit dem Betriebssystem oder als Bestandteil anderer Pakete ausgeliefert wird, genügt, um Informationen allen Mitarbeitern schnell zugänglich zu machen.

Die Einsatzmöglichkeiten gehen in der Regel über die Firmengrenzen hinaus. Banken können beispielsweise bestimmte Zielkunden über das Intranet einbinden und damit Kundenbindung und Vertriebssteigerungen erreichen. Zudem wird durch den Anschluß aller Geschäftsstellen und Mitarbeiter eine schnelle, flexible sowie flächendeckende Betreuung des Marktes möglich.

Eine Untersuchung der International Data Corporation (IDC) ergab, daß der Return on Investment von Intranet-Installationen ausgezeichnet ist. Beispiel eines erfolgreichen Projekts ist Booz Allen & Hamilton. Bei Investitionen in Höhe von 3,5 Millionen Dollar will das internationale Beratungsunternehmen mit insgesamt 6500 Mitarbeitern und 100 Niederlassungen innerhalb von drei Jahren rund 21 Millionen Dollar einsparen. Rank Xerox seinerseits gibt an, allein durch die Einführung von 270 Web-Servern im Unternehmen die Kosten um 600000 Dollar jährlich zu reduzieren.

Kein Wunder, daß angesichts solcher Effekte immer mehr Unternehmen Intranets einrichten. In den USA waren es nach der IDC-Studie 1996 bereits 50 Prozent, 1997 sollen weitere 39 Prozent hinzukommen (1995: 23 Prozent). In Großbritannien haben 36 Prozent der befragten mittelständischen und großen Firmen Intranet-Pläne bereits umgesetzt oder in konkreter Planung, in Frankreich 53 Prozent. Mit 67 Prozent liegt Deutschland europaweit sogar an der Spitze. Zu den Vorreitern zählen hierzulande auch einige große Finanzhäuser, zum Beispiel die Deutsche Bank, Dresdner Bank oder Bayerische Vereinsbank.

Nach Einschätzung von Netscape und IDC dürften bis 1999 rund 80 Prozent aller Web-Server für interne Zwecke im Einsatz sein. Heute sind es bereits 61 Prozent.

Vorwiegend sind es Sicherheitsfragen, die viele Firmen noch vor der Einführung der Intranet-Technik zurückschrecken läßt. 70 Prozent der Unternehmen, das zeigt eine internationale Umfrage, halten das firmenweite Netz für unsicher. Diesen Vorbehalt melden speziell die sicherheitssensitiven Banken an. Gerade für ihren Bedarf ist die uneingeschränkte Freiheit des Zugangs zu Informationen nach Art des Internet inakzeptabel.

Viele Unternehmen experimentieren zwar bereits mit Zugangsbeschränkungen für virtuelle Gruppen - diese Projekte hatten jedoch eher Testcharakter und stellten sich im Alltag als wenig praktikabel heraus. Paßwort-Wildwuchs mit allen hinlänglich bekannten Folgen war an der Tagesordnung.

Schon allein die Verwaltung von Paßwörtern verursacht bei einer hohen Zahl von Nutzern enorme Kosten und bereitet den Administratoren Kopfzerbrechen. Was bislang fehlte, war ein rollenbasiertes, gestuftes Autorisierungsverfahren mit einer zentralen, unternehmensweit gültigen Kontrollinstanz, um quasi ein Trusted Web aufzubauen.

Ein solches Konzept beschreibt über ein sogenanntes "Token" elektronisch die Rolle eines jeden Nutzers. Dabei werden ihm Merkmale zugeordnet, die Aufgabe, Kompetenzen und Informationsbedarf an den jeweiligen Arbeitsplätzen festlegen. Daraus leitet sich der maßgeschneiderte Zugriff auf definierte Informationsinhalte und Anwendungen via Intranet ab. Versuche, Daten außerhalb des eigenen Aufgabenbereichs unautorisiert auszulesen, scheitern allein schon daran, daß sie für den Anwender erst gar nicht sichtbar sind.

Dieser Ansatz unterscheidet sich von bisherigen Verfahren deutlich, da der Zugang aufgrund der Funktionen eines Mitarbeiters und nicht durch seine Identität ermöglicht wird. Wechselt ein Mitarbeiter seine Stellung im Unternehmen, wird ihm eine neue Rolle beziehungsweise Funktion zugewiesen, die ihm sofort die dafür erforderliche Berechtigung verleiht.

Es ist so nicht mehr nötig, Dutzende von Paßwörtern zu ändern. Der Anwender muß sich nicht alles neu einprägen, und die Modifikationen in der Systemadministration sind minimal. Auch reduzieren sich die Kosten dafür gegenüber heutigen Zugangskontrollmethoden um bis zu 80 Prozent.

Zudem ist jeder Nutzer nur einmal zentral mit seiner Berechtigung erfaßt, unabhängig von der Unternehmensgröße. Und er erhält nur ein Paßwort für den Zugriff auf sämtliche benötigten Server und Anwendungen. Wichtig ist deshalb, daß die Lösung plattformunabhängig arbeitet, denn nur so läßt sich der Zugriffsschutz auf dem gesamten System anwenden.

Trusted-Web-Lösung als Beta kostenlos

Solche Trusted-Web-Lösungen sind bislang noch selten. Ein Beispiel ist die gleichnamige Software "Trusted Web", die von Software and Systems Engineering Limited, einer Dubliner Tochter der Siemens AG und Siemens-Nixdorf Informationssysteme (SNI) AG, im Rahmen des Race-Projekts der Europäischen Union entwickelt wurde. Seit Mai 1997 ist die Beta-Version über http://www.trustedweb.com kostenlos abrufbar.

Diese Art von Zugriffsschutz kann allerdings ein Firewall-System nicht ersetzen. Es ist vielmehr als logische Ergänzung gedacht. Noch immer drohen speziell von innen die größten Gefahren des Datenmißbrauchs - wenn auch nicht die spektakulärsten. Wird die Software aus dem Web heruntergeladen, läßt sich ein sicheres Unternehmensnetz auf Basis des Netzprotokolls TCP/IP sowie der Web-Standards Hypertext Markup Language (HTML) und Hypertext Transfer Protocol (HTTP) nach vorliegenden Erfahrungen innerhalb einer Woche aufbauen - vorausgesetzt, die organisatorischen Vorarbeiten sind geleistet.

US-Krypto-Produkte sind Einladungen für "Einsteiger"

Allerdings hängt auch bei diesem Konzept die Schutzwirkung von dem verwendeten kryptografischen Verfahren ab. Lösungen aus den USA sind bekanntlich immer noch mit Beschränkungen hinsichtlich der Länge des verwendeten Schlüssels versehen. Mit Exportversionen chiffrierte Informationen sind wesentlich leichter zu decodieren, als dies bei den beispielsweise innerhalb den USA verwendeten Schlüsseln der Fall ist.

Diese Lösungen sind aber in der Regel in Europa nicht erhältlich. Bei der Auswahl eines Zugriffsschutzsystems sollte sich deshalb das Augenmerk auf europäische Produkte richten, die mit langen Schlüsseln arbeiten. So ist das Unternehmen in der Lage, den gewünschten Sicherheitsgrad - vom einfachen Paßwort bis zur Authentifizierung mit voller 128-Bit-Schlüssellänge - entsprechend seinem Sicherheitsbedarf festzulegen und auch den aktuellen Entwicklungen anzupassen.

Angeklickt

Solange sich Anwender mehrere Paßwörter für ihre Applikationen merken müssen, verkommt diese Sicherheitsmaßnahme zur Zettelwirtschaft. Ganz zu schweigen vom Aufwand und den Kosten in der Administration. Ein alternatives Konzept vergibt dagegen User-Rechte nur einmal, entsprechend festgelegter Aufgaben und Funktionen des Mitarbeiters. Dennoch ersetzt ein solches System keine Sicherungskonzepte, Firewalls, kryptografische Maßnahmen etc., sondern macht deren Notwendigkeit noch deutlicher.

*Robert Gogel ist Leiter des Geschäftsgebiets Banken und Versicherungen sowie Mitglied der Geschäftsführung der Siemens-Nixdorf Informationssysteme (SNI) AG.