Keyless-Go Datenschutz

Den Beitrag «Keyless-Go Datenschutz» haben wir im ProBlog bereits im Oktober 2020 veröffentlicht. In der Zwischenzeit hat sich die Annäherungs-Authentifizierung in den Branchen Gesundheitswesen (Krankenhaus bzw. Klinik, Hausarzt) und Produktion durchsetzen können.

Die sichere Authentifizierung ist eine der Grunderfordernisse des IT-Grundschutz. «Name» und «Passwort» sind in vielen Umgebungen nicht mehr ausreichend. Die Zwei-Faktor Authentifizierung bietet hier mit einem einmalig gültigen Zusatzpasswort bzw. Passcode (OTP) eine Hürde, die gegen viele Angriffsszenarien wie Phishing, Pharming, Man-in-the-middle Angriffen etc. extrem hilfreich ist. Nicht zuletzt ist das auch die Auffassung von Microsoft (siehe dazu auch unseren Beitrag «99,9% Sicherheit durch Mehrfaktor-Authentifizierung»).

Keyless-Go – Drahtloses Login

Der Begriff Keyless-Go beschreibt im Automotive-Bereich ein Verfahren, mit dem Besitzer ohne aktive Betätigung des Schlüssels Ihr Fahrzeug öffnen können. Der Sender im Schlüssel sendet permanent Funksignale. Ist durch Annäherung an das Fahrzeug das Signal stark genug, wird dies vom Empfänger im Fahrzeug erkannt und die Türen aufgesperrt. Mithilfe einfacher Geräte kann das Schlüsselsignal, an das sich unter Umständen hunderte Meter entfernte Fahrzeug «verlängert» und es damit gestohlen werden. Sicherheit und Keyless-Go passen also zumindest beim Diebstahlschutz, des so geliebten SUVs nicht zusammen. Keyless-Go Datenschutz kann jedoch funktionieren. Diese Funktion ist dann keine reine Komfortfunktion mehr. Denn es gibt einige Situationen, in denen Anmeldungen sicher und schnell durchgeführt werden müssen.

Als Beispiel dienen hier eine Arztpraxis oder ein Krankenhaus. Der behandelnde Arzt eilt von Sprechzimmer zu Sprechzimmer und meldet sich nicht jedes Mal am jeweiligen PC mit Namen und Passwort an oder ab. In der Folge bleiben dann die Gesundheitsdaten des aktuellen Patienten so lange offen sichtbar auf dem Bildschirm, bis der Arzt dort die Befunde des nächsten Patienten einträgt. Die komplette Wartezeit, kann der wartende Patient dann damit verbringen die Gesundheitsdaten und Befunde seines Vorgängers zu lesen. Unter Umständen interessant aber genau genommen immer ein meldepflichtiger Datenschutzvorfall.

Ein anderer Anwendungsfall sind computergestützte Produktionsanlagen (CAM) in denen der «Administrator» nur kurz Konfigurationen ändern oder Zustände von Maschinen auslesen will. Oder der Maschinenführer verlässt die CAM-Anlage kurz und ein anderer kann in der Zwischenzeit die Vorgaben ändern. Nach jedem Weggang muss sichergestellt werden, dass die Administrator-Ebene wieder gesperrt ist, damit der eigentliche Maschinenführer keine Änderungen außerhalb seiner Berechtigungen mehr durchführen kann.

Keyless-Go Datenschutz durch Annäherungs-Authentifizierung

Geht es um die sichere Authentifizierung und in der Folge um Berechtigungen wäre es fatal, wenn durch das Anmeldeverfahren selbst Sicherheitslücken entstehen würden. Wie Keyless-Go Datenschutz sicher funktionieren kann, zeigt der Hersteller von Gatekeeper. Mit dem Gatekeeper Token als Keyless-Go Schlüssel reicht die Annäherung an ein System, um sich dort erfolgreich und sicher anzumelden. Umgekehrt funktioniert das natürlich genauso: Die Entfernung vom PC sperrt je nach Konfiguration den Computer oder meldet den Anwender sofort ab.

Dazu ist ein sogenannter Halberd Token, (Dt. Begriff Hellebarde) erforderlich. Dieser basiert auf Bluetooth Smart (BLE) Technologie. Dementsprechend muss am Empfänger (PC, Notebook oder CAM) eine Bluetooth-Schnittstelle installiert sein oder ein Gatekeeper Bluetooth Näherungssensor über USB angeschlossen werden. Letzterer hat den Vorteil, dass der definierte Nahbereich von einer Touch-Authentifizierung bis hin zu einem Abstand von mehreren Metern sehr granular festgelegt werden kann. Die Variante «Touch» ist empfehlenswert, wenn mehrere Systeme nah beieinanderstehen oder mehrere Token-Nutzer sehr dicht zusammenarbeiten. Im letzten Fall kann eine Zwei-Faktor Authentifizierung optional ergänzt werden. Hier ist zusätzlich zum Faktor «Haben» (Token) eine dazugehörige PIN einzugeben, womit sich der Anwender eindeutig authentifiziert. Es können also auch mehrere personenbezogene Halberd-Token für einen PC oder umgekehrt ein Halberd-Token für mehrere PCs verwendet werden.

Zentrale Verwaltung

Fazit: Keyless-Go Datenschutz kann bei Komfort und Sicherheit Mehrwerte bieten. Das passwortlose Login in Kombinationen mit dem Faktor «Haben» in Form eines Tokens, sorgt durch Annäherungs-Authentifizierung für mehr Sicherheit und Datenschutz.

Entsprechende Anwendungsfälle gibt es genug: Sind personenbezogene Daten z. B. im Krankenhaus, Kliniken oder beim Hausarzt vor Beginn der Visite oder nach der Eingabe für Dritte sichtbar, ist der Schutz dieser Informationen gemäß DSGVO unerlässlich. Wird das Logout vergessen, kann die erweiterte Berechtigung beim Computer-aided manifacturing (CAM) schnell zum Sicherheitsrisiko werden, wenn mehrere Anwender eine Maschine oder einen PC nutzen.

Wir möchten darauf hinweisen, dass wir in diesem Fall auch VAD für die Lösungen von Gatekeeper sind.