Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

07.06.2002 - 

Zusätzliche Sicherheit beim Windows-Login

USB-Token schließt den Rechner ab

MÜNCHEN (fn) - Hardwaregestützte Authentifizierungsverfahren verbessern den Zugangsschutz bei PCs. Unterstützen diese Geräte den USB-Anschluss, erspart sich der Anwender zusätzliche Peripherie und Kabelsalat. Ein solches Produkt ist "Securikey" von Wibu Systems.

Eine Reihe von Firmen denkt über Lösungen nach, um den Zugang zu Desktop-PCs sowie Notebooks nicht nur über das vom Betriebssystem vorgegebene Login abzusichern. Viele Anwender sträuben sich jedoch, Leser für Smart- oder Magnetkarten beziehungsweise biometrische Systeme zu installieren. Eine Lösung des Problems sehen Hersteller in kleinen Identifikationssystemen mit USB-Anschluss, die der PC-Benutzer nur noch an seinen Rechner anstecken muss. Zu ihnen zählt das in Karlsruhe ansässige Unternehmen Wibu Systems, das mit Securikey eine Kombination aus USB-Token und einer Sicherheitssoftware des US-Herstellers Griffin Technologies für Windows 2000 beziehungsweise XP vertreibt. Ein Komplettpaket bestehend aus fünf Benutzerlizenzen inklusive der Tokens kostet rund 870 Euro.

Passwort und Schlüssel

Das Programm klinkt sich in die Benutzeranmeldung des Windows-Betriebssystems ein. Nach dem Setup erhalten nur solche Anwender Zugriff auf den PC, die sowohl das auf ihr Benutzerprofil eingerichtete Token besitzen als auch das entsprechende Passwort kennen. Die unscheinbare Zugangs-hardware kann der PC-Nutzer am Schlüsselbund mit sich führen. Es handelt sich bei dem Gerät tatsächlich um einen Schlüssel, denn sobald der Anwender ihn von USB-Port entfernt, sperrt das Zugangsprogramm den Desktop ab. Dieses Vorgehen eignet sich natürlich nur für solche Computer, deren USB-Ports an einer gut zugänglichen Stelle liegen.

Die Installation der Software erfolgt entweder lokal, wenn nur ein einzelner Rechner abgesichert werden soll, oder von einer zentralen Arbeitsstation aus, falls der Administrator mehrere Computer im Netz mit Token-Logins versehen möchte. In diesem Fall bedient sich der Verwalter des als "Microsoft Management Console" implementierten "Security Administration Manager". Dieser erlaubt einen Import der Windows-Benutzer eines oder mehrerer Server, denn für jeden Token-Anwender muss der Systemverantwortliche ein Profil generieren - ein Vorgang, der sich leider nicht automatisieren lässt. Er weist dabei jedem Anwender einen Securikey-Token zu, wobei die Konsole an jedes an den PCs angeschlossene USB-Gerät einen eindeutigen Benutzeridentifikations-Code übermittelt.

Nach Angaben des Herstellers arbeitet das Schutzsystem auch mit Netware-Clients zusammen. In einem Test musste das Produkt unter Windows 2000 Professional sein Können unter Beweis stellen, bei dem der Anwender sich primär auf dem Microsoft-Server einloggt und im Hintergrund ein Login auf einen Netware-3.12-Server erfolgt. Erfreulicherweise ändert sich für den einzelnen Anwender recht wenig: Er kann sein bisheriges Windows-Passwort behalten, da dieses mit seinem Securikey-Profil verknüpft wird. Dennoch verbleibt das Passwort auf dem jeweiligen Rechner, und der User darf es auch weiterhin selbst ändern. Allerdings muss er sein neues Kennwort beim nächsten Login dem System bekannt machen. Dieser Schritt sollte im Sinne des Anwenders eigentlich automatisch erfolgen. Firmen müssen sich vor der Installation Gedanken über ergänzende Sicherheitsmaßnahmen machen. Hinweise dazu liefert der Hersteller: Er empfiehlt, die geschützten PCs mit dem Dateisystem NTFS sowie dem "Windows Encryption File System" zu konfigurieren, da das technisch veraltete FAT-Dateisystem ein Booten über Diskette zulässt, was den Zugangsschutz von Wibu Systems umgehen würde. Ein Sicherheitsrisiko besteht ebenfalls, wenn der PC mit unterschiedlichen Betriebssystemen gebootet werden kann, etwa neben Windows XP auch mit NT. Da Securikey nur unter 2000 und XP läuft, bestünde die Möglichkeit, über Windows NT unter Umgehung des Tokens auf die Festplatte zuzugreifen.

Ein weiteres potenzielles Sicherheitsloch stellt der "abgesicherte Modus" dar, mit dem Windows-PCs nach einem Systemabsturz oder zu Testzwecken hochgefahren werden können. In diesem Fall greift der Token-Schutz nicht, da das Betriebssystem die Software bei dieser Boot-Variante nicht startet. Aus diesem Grund liefert der Hersteller einen "Safe Mode Blocker" mit.

USB-Token als Smartcard

Einige Anbieter haben USB-Tokens entwickelt, die sich wie Smartcards verwenden lassen. "E-Token" vom Security-Spezialisten Aladdin Knowledge Systems aus Germering bei München zum Beispiel eignet sich dazu, Dokumente oder E-Mails zu signieren. Die "Pro"-Version entspricht dem deutschen Signaturgesetz und arbeitet wie eine Smartcard, benötigt allerdings nicht den sonst erforderlichen Kartenleser. Darüber hinaus lässt sich mit dem Produkt der Zugriff auf virtuelle private Netze (VPNs) absichern. Auf diese Weise können sich beispielsweise Anwender von unterwegs in das Firmennetz einwählen.

Die Firma Kobil mit Sitz in Worms wendet sich mit dem "Kaan Sim" an mobile Anwender. Das für den USB-Port ausgelegte Gerät enthält einen Leser für die in Handys gebräuchlichen SIM-Karten (SIM = Subscriber Identification Module). Dieses Produkt eignet sich zum Signieren und Verschlüsseln von Schriftstücken oder E-Mails sowie zur Authentifizierung von Benutzern.