Smartcards statt Passwörter
- von Kai Bieler -
Ein Projekt an der Martin-Luther-Universität will mit einem neuen Authentifizierungssystem dazu beitragen, die Sicherheit in IT-Netzwerken von Hochschulen zu verbessern. Nicht nur in Halle.
Information, Kommunikation und Unterhaltung: Das Internet ist aus dem beruflichen und privaten Alltag nicht mehr wegzudenken. Doch die miteinander vernetzte Welt hat auch ihre Kehrseite. Jeder Computer, der an das World Wide Web angebunden ist, kann zum Ziel potenzieller Angriffe oder zu deren Ausgangspunkt werden. Dabei stehen Hochschulen beim Thema IT-Sicherheit vor besonderen Herausforderungen.
„Gut ausgebaute Breitbandverbindungen, vielfältige Dienste und Zugangsmöglichkeiten sowie der große Kreis häufig wechselnder Nutzer machen Hochschul-Netzwerke zu einem beliebten Ziel für Angreifer“, erklärt Prof. Dr. Paul Molitor, Direktor des Instituts für Informatik an der Martin-Luther-Universität Halle-Wittenberg. Dies umfasse neben dem unerlaubten Zugriff auf vertrauliche oder private Daten illegale Filesharing-Angebote und die Nutzung der Rechnerkapazitäten für den Versand von Spam-Mails.
„Die verlässliche und fälschungssichere Authentifizierung von Nutzern ist ein wesentlicher Eckpfeiler für die Sicherheit einer IT-Struktur. Das an Hochschulen meist eingesetzte Verfahren der Vergabe von ein oder mehreren Passwörtern ist dabei nicht sicher genug, zumal vielen Nutzern das Bewusstsein für den richtigen Umgang mit ihnen fehlt“, ergänzt Dr. Sandro Wefel. So sei es unter Studenten durchaus üblich, dass Passwörter für Uni-Zugänge geteilt werden. Der Wissenschaftler hat sich in seiner Dissertation mit der Verbesserung der Sicherheit in IT-Netzwerken beschäftigt.
Auf Basis dieser Studie begann 2009 am Institut für Informatik das Projekt „Smartcard-basiertes SSO“. Dahinter verbirgt sich eine Lösung, bei der sich der Nutzer mittels seiner persönlichen, auf einer Karte gespeicherten Informationen sowie einer PIN elektronisch authentifizieren kann. Dabei muss er sich nur noch einmal anmelden, um auf alle Rechner und Dienste, für die er eine Berechtigung besitzt, zugreifen zu können (Single Sign-On). „Gegenüber der Anmeldung mittels Benutzernamen und Passwort wird dadurch das Sicherheits-Level entscheidend erhöht, denn die Karte kann nicht so einfach weitergegeben und die darauf befindlichen Informationen nicht kopiert werden“, erklärt Dr. Sandro Wefel.
Die dafür eingesetzte Public-Key-Authentifizierung beruht auf dem Prinzip asymmetrischer Verschlüsselung. Auf der Smartcard befindet sich ein Schlüssel, dessen öffentlicher Teil auch auf dem Computer hinterlegt ist. So kann sich der Nutzer über ein Kartenlesegerät am System anmelden. Um die Echtheit des Nutzers zu überprüfen, schickt der Computer anschließend eine Anfrage an die Smartcard, die nur mit dem dort hinterlegten, privaten Teil des Schlüssels richtig beantwortet werden kann. Das Ganze bezeichnet man auch als zertifikatsbasierte Authentifizierung.
Für die Realisierung der sicheren Authentifizierung musste die Projektgruppe unter Leitung von Prof. Dr. Paul Molitor zahlreiche Vorarbeiten leisten. Dazu gehörte neben der Konzeption der organisatorischen Abläufe auch der Aufbau einer geeigneten Public Key Infrastruktur, um die digitalen Zertifikate auszustellen und zu verteilen. Das übernimmt mit dem Deutschen Forschungsnetzwerk (DFN) ein bundesweit aktiver Zertifikatsanbieter. „Die Dienstleistung ist für Mitglieder des DFN kostenlos, zudem ist das entsprechende Zertifikat in allen marktüblichen Softwarelösungen und Betriebssystemen hinterlegt und wird deutschlandweit als vertrauenswürdig eingestuft“, begründet Sandro Wefel die Vorteile.
Ein weiterer Meilenstein des Projektes war die Auswahl und Anschaffung geeigneter Smartcards, die einen sogenannten Krypto-Chip für die Verschlüsslung enthalten, sowie der Kartenlesegeräte. „Wir wollten auf keinen Fall, dass die Studenten zukünftig eine zweite Plastikkarte mit sich führen müssen. Das hätte die Bereitschaft zur Nutzung erheblich eingeschränkt“, so Dr. Sandro Wefel. Deshalb kam von Beginn an nur die Zusammenführung mit dem bereits in Form einer Chipkarte vorhandenen Studierendenausweis in Frage. Anschließend wurde eine Software für die Kommunikation zwischen den Smartcards und Computern entworfen und auf den Arbeitsplätzen der PC-Pools im Institut für Informatik installiert. Parallel nahmen die Wissenschaftler die notwendigen Anpassungen der vorhandenen Softwarelösungen im Uni-Netzwerk für die zertifikatsbasierte Authentifizierung vor. Die Gesamtkosten von knapp 94.000 Euro für das Vorhaben wurden durch den Europäischen Fonds für regionale Entwicklung (EFRE) übernommen.
Derzeit läuft die Testphase für das neue System. Dazu haben rund 200 Informatik-Studenten im Austausch gegen den alten Studentenausweis eine neue Smartcard bekommen. Damit können sie sich am zentralen Lehr- und Lernmanagement-System „Stud.IP“ sowie für den Onlinezugang zur Bibliothek der Martin-Luther-Universität anmelden. Darüber hinaus wurde das Zugangssystem der Computerpools im Gebäude des Instituts für Informatik für die Nutzung mit der neuen Smartcard umgerüstet. „Den Zugang zum Serverraum haben wir zusätzlich mit einem Venenscanner versehen, der die Handfläche des Nutzers scannt und das Venenmuster mit den in der Karte hinterlegten biometrischen Daten abgleicht“, erklärt Dr. Sandro Wefel. „Die Realisierung eines solch hohen Sicherheits-Niveaus könnte zukünftig auch für andere Bereiche der Universität, etwa den Zugang zu Forschungslaboren interessant sein“, so Wefel weiter.
Noch bis zum Ende dieses Sommersemesters wollen er und seine Kollegen die Erfahrungen der Teststudenten im Umgang mit der neuen Karte sammeln, um sie anschließend auszuwerten und in die Weiterentwicklung einfließen zu lassen. Sollte das Feedback positiv ausfallen, werden die Informatiker der Universitätsleitung die flächendeckende Einführung der neuen Karte empfehlen. Diese könnte dann innerhalb der nächsten Jahre durch das Immatrikulationsamt der Universität an die rund 16.000 Studenten und 3.000 Mitarbeiter ausgegeben werden.
Um bis dahin die Akzeptanz bei Studenten und Mitarbeitern für die neue Authentifizierung per Smartcard weiter zu erhöhen, sind bereits eine Reihe weiterer Anwendungsfelder in der Planung und Umsetzung. Dazu gehören die Verschlüsselung von vertraulichen Dokumenten und der E-Mail-Kommunikation sowie die Anmeldung zu Prüfungen per Elektronischer Signatur. Und auch über die Grenzen der Martin-Luther-Universität hinaus soll das neue Authentifizierungssystem in Zukunft nutzbar sein. Dazu wollen die Informatiker in einem neuen Projekt zusammen mit der Hochschule Harz den systemunabhängigen Einsatz auf verschiedenen Plattformen, wie dem elektronischen Personalausweis oder anderen Studentenkarten anderer Universitäten ermöglichen. „Dann könnten auch andere Hochschulen oder Verwaltungsbehörden in Sachsen-Anhalt unsere Lösung für mehr Sicherheit in ihren IT-Netzwerken nutzen“, so Dr. Sandro Wefel.
Der Europäische Fonds für regionale Entwicklung - der EFRE - investiert gezielt in die Zukunft der Union als Ganzes. 1,93 Milliarden Euro stehen 2007-2013 für Sachsen-Anhalt bereit.
Die Förderpolitik setzt auf die stärksten Motoren des Wirtschaftswachstums: kleine und mittlere Unternehmen. Innovation, Forschung und Infrastrukturen sind zusätzlich im Fokus der Förderung. Arbeitsplätze schaffen, Wachstum fördern: Das sind die Hauptziele der Förderpolitik.