Keyless-Go sorgt dafür, dass Fahrzeuge ohne Betätigen des Funkschlüssels geöffnet werden können. Ein großer Nachteil dabei ist, dass dieses System leicht angreifbar ist. Umso widersinniger klingt es zunächst, Keyless-Go beim Datenschutz bzw. der Authentifizierung einzusetzen. Trotzdem gelingt einem Hersteller der Spagat mittels eines Bluetooth Smart-Tokens: Durch die sichere draht- und passwortlose Authentifizierung werden Arbeitsstationen, Notebooks oder Maschinen mit entsprechender Anwenderberechtigung ent- und gesperrt.
Den Beitrag «Keyless-Go Datenschutz» haben wir im ProBlog bereits im Oktober 2020 veröffentlicht. In der Zwischenzeit hat sich die Annäherungs-Authentifizierung in den Branchen Gesundheitswesen (Krankenhaus bzw. Klinik, Hausarzt) und Produktion durchsetzen können.
Die sichere Authentifizierung ist eine der Grunderfordernisse des IT-Grundschutz. «Name» und «Passwort» sind in vielen Umgebungen nicht mehr ausreichend. Die Zwei-Faktor Authentifizierung bietet hier mit einem einmalig gültigen Zusatzpasswort bzw. Passcode (OTP) eine Hürde, die gegen viele Angriffsszenarien wie Phishing, Pharming, Man-in-the-middle Angriffen etc. extrem hilfreich ist. Nicht zuletzt ist das auch die Auffassung von Microsoft (siehe dazu auch unseren Beitrag «99,9% Sicherheit durch Mehrfaktor-Authentifizierung»).
Keyless-Go – Drahtloses Login
Der Begriff Keyless-Go beschreibt im Automotive-Bereich ein Verfahren, mit dem Besitzer ohne aktive Betätigung des Schlüssels Ihr Fahrzeug öffnen können. Der Sender im Schlüssel sendet permanent Funksignale. Ist durch Annäherung an das Fahrzeug das Signal stark genug, wird dies vom Empfänger im Fahrzeug erkannt und die Türen aufgesperrt. Mithilfe einfacher Geräte kann das Schlüsselsignal, an das sich unter Umständen hunderte Meter entfernte Fahrzeug «verlängert» und es damit gestohlen werden. Sicherheit und Keyless-Go passen also zumindest beim Diebstahlschutz, des so geliebten SUVs nicht zusammen. Keyless-Go Datenschutz kann jedoch funktionieren. Diese Funktion ist dann keine reine Komfortfunktion mehr. Denn es gibt einige Situationen, in denen Anmeldungen sicher und schnell durchgeführt werden müssen.
Als Beispiel dienen hier eine Arztpraxis oder ein Krankenhaus. Der behandelnde Arzt eilt von Sprechzimmer zu Sprechzimmer und meldet sich nicht jedes Mal am jeweiligen PC mit Namen und Passwort an oder ab. In der Folge bleiben dann die Gesundheitsdaten des aktuellen Patienten so lange offen sichtbar auf dem Bildschirm, bis der Arzt dort die Befunde des nächsten Patienten einträgt. Die komplette Wartezeit, kann der wartende Patient dann damit verbringen die Gesundheitsdaten und Befunde seines Vorgängers zu lesen. Unter Umständen interessant aber genau genommen immer ein meldepflichtiger Datenschutzvorfall.
Ein anderer Anwendungsfall sind computergestützte Produktionsanlagen (CAM) in denen der «Administrator» nur kurz Konfigurationen ändern oder Zustände von Maschinen auslesen will. Oder der Maschinenführer verlässt die CAM-Anlage kurz und ein anderer kann in der Zwischenzeit die Vorgaben ändern. Nach jedem Weggang muss sichergestellt werden, dass die Administrator-Ebene wieder gesperrt ist, damit der eigentliche Maschinenführer keine Änderungen außerhalb seiner Berechtigungen mehr durchführen kann.
Keyless-Go Datenschutz durch Annäherungs-Authentifizierung
Geht es um die sichere Authentifizierung und in der Folge um Berechtigungen wäre es fatal, wenn durch das Anmeldeverfahren selbst Sicherheitslücken entstehen würden. Wie Keyless-Go Datenschutz sicher funktionieren kann, zeigt der Hersteller von Gatekeeper. Mit dem Gatekeeper Token als Keyless-Go Schlüssel reicht die Annäherung an ein System, um sich dort erfolgreich und sicher anzumelden. Umgekehrt funktioniert das natürlich genauso: Die Entfernung vom PC sperrt je nach Konfiguration den Computer oder meldet den Anwender sofort ab.
Dazu ist ein sogenannter Halberd Token, (Dt. Begriff Hellebarde) erforderlich. Dieser basiert auf Bluetooth Smart (BLE) Technologie. Dementsprechend muss am Empfänger (PC, Notebook oder CAM) eine Bluetooth-Schnittstelle installiert sein oder ein Gatekeeper Bluetooth Näherungssensor über USB angeschlossen werden. Letzterer hat den Vorteil, dass der definierte Nahbereich von einer Touch-Authentifizierung bis hin zu einem Abstand von mehreren Metern sehr granular festgelegt werden kann. Die Variante «Touch» ist empfehlenswert, wenn mehrere Systeme nah beieinanderstehen oder mehrere Token-Nutzer sehr dicht zusammenarbeiten. Im letzten Fall kann eine Zwei-Faktor Authentifizierung optional ergänzt werden. Hier ist zusätzlich zum Faktor «Haben» (Token) eine dazugehörige PIN einzugeben, womit sich der Anwender eindeutig authentifiziert. Es können also auch mehrere personenbezogene Halberd-Token für einen PC oder umgekehrt ein Halberd-Token für mehrere PCs verwendet werden.
Zentrale Verwaltung
Im Hintergrund steuert die Software Gatekeeper Enterprise zentral alle An- und Abmeldungen und protokolliert die entsprechenden Vorgänge. Über Richtlinien werden Zugriffslisten und Zugriffsberechtigungen zugewiesen. Ab der Version Gatekeeper Enterprise Ultimate integriert sich die Lösung auch ins jeweilige Active Directory (auch Azure Active Directory) und erlaubt deshalb die privilegierte Zugriffssteuerung auf Basis von einzelnen Benutzern und Gruppen zentral im AD über Policies. Ohne AD können Benutzer inkl. Token auch per CSV-Datei hochgeladen und verwaltet werden.
Passwortlose Authentifizierung
Anwendungsfälle sind unter anderem das Gesundheitswesen (Krankenhaus, Klinik, Hausarzt) oder CAM-Produktionsumgebungen. Aber natürlich auch alle anderen Umgebungen, bei denen eine passwortlose An- bzw. Abmeldungen zuverlässig erfolgen muss.
Passwort-Management inklusive
Das ebenfalls integrierte Passwort-Management generiert auf Wunsch komplexe Passwörter und synchronisiert diese mit den für Google Chrome, Firefox, Opera, Edge und Safari verfügbaren Browser Add-ons. Damit sind sichere Anmeldungen auch an Webseiten «passwortlos» möglich. Auch die bei der Zwei-Faktor Authentifizierung notwendigen One Time Passcodes (OTP) werden vom Passwort-Management on-demand bereitgestellt.
Alle Reports und Logs können in beliebige Log-Management und SIEM Lösungen integriert und ausgewertet werden.
Fazit: Keyless-Go Datenschutz kann bei Komfort und Sicherheit Mehrwerte bieten. Das passwortlose Login in Kombinationen mit dem Faktor «Haben» in Form eines Tokens, sorgt durch Annäherungs-Authentifizierung für mehr Sicherheit und Datenschutz.
Entsprechende Anwendungsfälle gibt es genug: Sind personenbezogene Daten z. B. im Krankenhaus, Kliniken oder beim Hausarzt vor Beginn der Visite oder nach der Eingabe für Dritte sichtbar, ist der Schutz dieser Informationen gemäß DSGVO unerlässlich. Wird das Logout vergessen, kann die erweiterte Berechtigung beim Computer-aided manifacturing (CAM) schnell zum Sicherheitsrisiko werden, wenn mehrere Anwender eine Maschine oder einen PC nutzen.
Wir möchten darauf hinweisen, dass wir in diesem Fall auch VAD für die Lösungen von Gatekeeper sind.
Chefredakteur und Geschäftsführer der ProSoft GmbH