1 / 47

Vertrauen in Identitäten und Transaktionen

Vertrauen in Identitäten und Transaktionen. Ingo Schubert, Security Consultant ischubert@rsasecurity.com. Agenda. Vertrauen als Grundlage einer sicheren Transaktion Authentisierung Authorisierung Rechtemanagement Daten-Sicherheit. Für Ihre Geschäftsprozesse …. Geschäftsprozess. Kunden

erwin
Download Presentation

Vertrauen in Identitäten und Transaktionen

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Vertrauen in Identitäten und Transaktionen Ingo Schubert, Security Consultant ischubert@rsasecurity.com

  2. Agenda • Vertrauen als Grundlage einer sicheren Transaktion • Authentisierung • Authorisierung • Rechtemanagement • Daten-Sicherheit

  3. Für Ihre Geschäftsprozesse … Geschäftsprozess • Kunden • Online-Anwendungen für Verbraucher • Finanzielle Transaktionen im Internet • Partner • Beschaffung und Auftragsabwicklung • Vertragsverhandlung und -ausführung Menschen • Mitarbeiter • Automatisierung und Verwaltung für das Vertriebsteam • Remote-Zugriff von anderen Standorten • Netzwerkverwaltung Daten Geräte Transaktionen

  4. …schaffen wir Vertrauen im e-Business Vertrauenswürdiger e-Business-Prozess • Wer sind Ihre Benutzer? • Welche Daten können diese einsehen? • Welche Funktionen können sie ausführen? • Wann haben sie Zugriff? • Wann haben sie Transaktionen durchgeführt? • Wie werden die Benutzer verwaltet? • Ist bei der Kommunikation Datenschutz gewährleistet? • Sind die Transaktionen sicher? Menschen Daten Geräte Transaktionen

  5. Gute Gründe für vertrauens-würdiges e-Business Vertrauenswürdigere-Business-Prozess • Höhere Umsätze • e-Business-Potenziale • Umsatzsteigerung • Größere Marktabdeckung • Wettbewerbsvorteile • Weniger Risiken • Datensicherheit • Transaktionssicherheit • Niedrigere Kosten • Kosteneinsparungen • Kostenvermeidung • Effizienz • Effektivität • Stärkere Konformität • Definierter Ablauf • Partner • Kunden Menschen Daten Hoher ROI durch vertrauens-würdige e-Business-Prozesse Geräte Transaktionen

  6. Benutzer Zugriffsrechte Transaktions- Datenintegrität und Geräte personalisieren integrität gewährleisten bestimmen und verwalten sicherstellen RSA Security‘s Know How Zugriffs-verwaltung Digitale Signaturen Authentifizierung Verschlüsselung Menschen undGeräte Daten und Transaktionen

  7. Vertrauenswürdige e-Business-Prozesse implementieren Zugriffs-verwaltung Digitale Signaturen Authentifizierung Verschlüsselung • Führende Produkte • Garantierte Interoperabilität Menschen und Geräte Daten und Transaktionen

  8. Vertrauen • Jede Transaktion im „echten“ Leben basiert auf ein gewisses Vertrauen zwischen den beteiligten Parteien und der Umgebung. • Im Internet ist Vertrauen schwieriger zu erlangen • Parteien sehen sich nicht • Automatische Systeme • … • Um hochwertige Transaktionen abzusichern sind drei Schritte notwendig • Authentisierung • Authorisierung • Absicherung der Daten

  9. Authentisierung • Authentisierung ist die Grundlage für e-business • Vertrauen in die gegenseitige Identität ist die Vorraussetzung einer erfolgreichen Transaktion. • Ohne das Wissen wer am Ende der Leitung sitzt ist • eine Zuteilung von Zugriffs- und Transaktionsrechten nicht möglich • Vertrauen in eine digitale Signatur nicht möglich • In den meisten Fällen (wenn nicht immer) ist es sinnlos Daten zu verschlüsseln, falls der Empfänger nicht authentisiert ist.

  10. Passwörter…

  11. Das Problem mit Passwörtern • Zu kurz, zu einfach, zu alt, zu häufig an verschiedenen Systemen benutzt… • Passwörter an sich sind angreifbar • Durch den schlechte Qualität eines Passwortes leidet das Vertrauen in die Identität des Transaktionspartners • Systeme mit sensitiven Daten können nicht online (z.B. zu hohes Risiko) • Systeme mit sensitiven Daten dürfen nicht online (z.B. wegen bestimmter Gesetze und Verordnungen) • Passwort Resets kosten pro Anruf ca. 20 € – 40 €

  12. Die Lösung… • Anstatt nur eines statischen Passworts wird eine Zwei-Faktoren Authentisierung eingesetzt • Something you know (die PIN) • Something you have (den Token) • Nur die Kombination aus dem Token und er dazugehörigen PIN ermöglicht eine erfolgreiche Authentisierung. • Je nach Umgebung kann dem Benutzer u.a. ein automatischer PIN Reset ermöglicht werden.

  13. Tokens • Zwei Geschmacksrichtungen • Passcode Generatoren • SmartCards • RSA SecurID erzeugen alle 60 Sekunden einen neuen Tokencode. • Der Benutzer gibt diesen zusammen mit seiner PIN als Passcode zur Authorisierung weiter • SmartCards werden üblicherweise zur Speicherung von Schlüsseln und zugehörigen Zertifikaten verwendet.

  14. RSA SecurID Authentication Devices • Breites Angebot • Key fob • Card • Pin Pad • PC • Palm • Wireless phones • Zero-Footprint • Keine Software notwendig (für Hardware Token) • Leicht zu bedienen • Die am meisten eingesetzte starke Authentisierungsmethode

  15. SmartCards • SmartCards als Speicherort für Schlüssel und digitale Zertifikaten können nicht nur zur Authentisierung sondern auch als Basis für Verschlüsselung und digitale Signatur eingesetzt werden. • RSA Produkte u.a. • RSA SecurID Passage (SmartCard, Reader, Software) • RSA Keon (zur Ausstellung und Verwaltung von Zertifikaten) • RSA eSign (zur unterschreiben von Daten) • RSA SureFile (Verschlüsseln und signieren von Dateien) • RSA BSAFE (Kryptographische Toolkits)

  16. RSA Mobile Authentisierung (I)

  17. RSA Mobile Authentisierung (II)

  18. RSA Mobile Authentisierung (III)

  19. RSA Mobile Authentisierung (III)

  20. RSA Mobile Authentisierung (IV)

  21. RSA Mobile Authentisierung (V)

  22. Authorisierung • Sobald ein Benutzer authentisiert ist, stellt sich die Frage “Was darf der Benutzer?” • Jedem richtigen Benutzer seine Ressource • Vergleich von Benutzerprofilen mit definierten Rollen • Zugriff wird gestattet oder verwehren basierend auf • Statischen Kriterien (z.B. Stellenbeschreibung, Abteilung etc.) • Dynamischen Kriterien (z.B. Kontostand, Tageszeit etc.) • All diese Informationen müssen, einfach aber flexibel, zentral für die unterschiedlichsten Ressourcen verwaltet werden.

  23. Angestellte Kunden Partner Problem Wie verwaltet man die Identitäten einer wachsenden Benutzerbasis…

  24. Employees e-CRM Customers e-Commerce Partners Industry Specific HR, Financial Mgmt. Supply Chain Mgmt. Problem …und deren sicheren Zugriff auf Web Resourcen? Access Channels: Intranet, Extranet, Portal, Wireless “Silo” Access Mgmt. “Silo” Access Mgmt. “Silo” Access Mgmt. “Silo” Access Mgmt. “Silo” Access Mgmt.

  25. Employees e-CRM Customers e-Commerce Partners Industry Specific HR, Financial Mgmt. Supply Chain Mgmt. Lösung Access Channels: Intranet, Extranet, Portal, Wireless Web Access Management Solution SSO

  26. Anforderungen • Je mehr Applikationen Web-enabled werden, desto komplexer wird die Verwaltung von Benutzern und deren Rechten auf Applikationen • Nicht nur Angestellte sind Benutzer sondern auch Partner, Kunden etc. • Vereinfachung der aufwendingen und teuren Administration von Authentisierungs- und Authorisierungs-Policies über mehrere Applikationen • Zentrales Policy Management • Einfachere Benutzung durch Web-SSO beim Zugriff von Enterprise und Partner Sites für Kunden, Partner und Angestellte • Reduziert auch die Anzahl vorhandenen Passwörter • Einhaltung neuer Gesetze, Bestimmungen und Verordungen

  27. Schwach Stark AuthentisierungJe nach Ressource… + + + + Policy No Policy Passwort

  28. Web Single Sign On (Web SSO) • SSO = Einmaliger Login erlaubt Zugriff auf mehrere (oder alle) Applikationen • Höhere Sicherheit • Keine Passwörter mehr auf PostIt Notes und Keyboards • SSO macht starkes Passwort Management akzeptabler • Starke Authentisierung als “Schlüssel zum Königreich” möglich • Erlaubt einfacheres, bequemeres Arbeiten • Spart Help Desk Kosten • Viele Help Desks verbringen 50% ihrer Zeit mit Passwort Resets

  29. Web SSO Standards • Um ein Web SSO zwischen mehreren Domains, die Produkte verschiedener Hersteller einsetzen, zu ermöglichen wurde SAML (Security Assertion Markup Language) entwickelt. • SAML ermöglicht es Benutzer Credentials und Attribute von einer Domain zur nächsten zu leiten. • Die Liberty Alliance, ein Zusammenschluss von Herstellern, setzt auf SAML um Kunden die Bildung von „Circles of Trust“ zu ermöglichen • z.B. Bank als Identity Provider und Retailers als Service Providers.

  30. Intranet Extranet Delegated Administration Super User Business Unit Business Unit Partner Customer Group Administrators VBU VBU VBU VBU Users

  31. Delegated Administration • Verhindert die umständliche zentrale Administration grosser Benutzerbestände • Delegation von Benutzer und Rechteverwaltung • Eingeteilt in Virtual Business Units(VBUs) • Abgestufte Zuteilung von Rechten

  32. Absichern von Transaktionen • SSL alleine genügt oft nicht • Die Daten einer Transaktion sind nur während der Übertragung geschützt. • Auf dem Server angekommen fehlt die Möglichkeit die Transaktion später zu verifizieren. • Wird die Transaktion dagegen auf dem Client signiert, kann jederzeit überprüft werden ob z.B. die Daten verändert wurden. • eSign ermöglicht es HTML Forms auf dem Client zu signieren, verifizieren und optional zu verschlüsseln. • Der Server überprüft vor dem wieteren Verarbeiten die Signatur • S/MIME ist der Standard für sicheres eMail.

  33. RSA Keon e-Sign in Action

  34. RSA Keon e-Sign in Action

  35. RSA Keon e-Sign in Action

  36. Weitere Anwendungsfälle • Mehrstufiges Unterschreiben • Urlaubsantrag von Angestellen • Genemigung vom Vorgesetzten • Elektronische Rechungsstellung • Ab 1.1.2002 Vorsteuerabzug auch bei elektronische Rechnungstellung möglich – allerdings nur bei Rechnungen die digital unterschrieben wurden • Ab 1.1.2004 EU weit gültig

  37. RSA Secure e-Mail • Sicherheitsmängel bei der e-Mail-Kommunikation sind für viele Unternehmen äußerst problematisch. • Mit RSA Secure eMail können Benutzer ihre e-Mails signieren und verschlüsseln, so dass nur die gewünschten Empfänger die Nachricht lesen können. • Nahtlose Integration in MS Exchange und MS Outlook • Geschäftsvorteile: • e-Mail wird zum geeigneten Medium für den Austausch vertraulicher Nachrichten • Schnell implementierbare und benutzerfreundliche sichere e-Mail-Lösung für Unternehmen, die auf dem Client nur ein gängiges MS e-Mail-Programm erfordert

  38. RSA Smart Badging-Lösungen • RSA Smart Badging Lösungen verbinden den Zugangsschutz bei IT-Ressourcen mit herkömmlicher, physischer Zugangssicherheit bei Gebäuden & Anlagen. • Eine integrierte Lösung für Zugangsmanagement kombiniert SmartCard-Technologie mit den Funktionen von physischen Mitarbeiterausweisen. • Vorteile: • Integrierte Lösung für die Sicherung von PC’s, Netzwerken, Einrichtungen & Gebäuden erhöht den ROI • Vereinfachter Zugang zu wichtigen Ressourcen bei verbesserter Sicherheit • Höhere Benutzerfreundlichkeit, verringerter, adminstrativer Aufwand

  39. Ausstellung von Zertifikaten • Digitale Zertifikate sind das Äquivalent zu traditionellen Personalausweisen. • Um sinnvoll Daten digital zu unterschreiben, müssen die Benutzer Schlüssel und digitale Zertifikate besitzen • Die Ausstellung und Verwaltung der Zertifikate ist Aufgabe einer Certificate Authority

  40. RSA Keon Certificate Authority (CA) • Zentrale Zertifizierungsstelle stellt digitale Identitäten zur Verfügung: • Ausgabe, Verwaltung und Überprüfung digitaler Zertifikate • Erfolgreiche Skalierung auf 8 Millionen Zertifikate pro Server in unabhängigen Tests • Common Criteria Evaluation Assurance Level4+ • Branchenführende Komponenten: • Keon OneStep • Integriertes Echtzeit-OCSP

  41. Broadband SSL-C SSL-J Cert-C Cert-C Cert-J Cert-J Crypto-C Crypto-J Crypto-C Crypto-C Algorithms, Math Libraries Crypto-J Crypto-J Algorithms, Math Libraries Algorithms, Math Libraries Algorithms, Math Libraries Crypto-C Micro Edition Crypto-C Micro Edition Crypto-C Micro Edition IPSec-C WTLS-C Cert Micro Edition Cert Micro Edition SSL Micro Edition RSA BSAFE Entwicklertools Einfachere Bereitstellung sicherer Lösungen

  42. RSA BSAFE Anwendungsbeispiele • integriert in Internet Explorer, Siemens Handy, etc. • RSA Enterprise Produkte • RSA Sure File • Verschlüsselung • Signierung • Komprimierung (PKZIP)

  43. Absicherung von Daten • Um allgemein die Sicherheit von Daten (z.B. in Datenbanken) zu gewährleisten, ist eine Verschlüsselung und/oder digitale Signatur der Daten notwendig • Administratoren von Servern sollen nicht Zugriff auf Datenbanken bekommen • Unberechtigtes Auslesen von Daten • Unberechtigtes Abändern von Daten • EU Datenschutzrichtlinie für elektronische Kommunikation

  44. Partnerschaften mit Spitzenunternehmen

  45. Einige unserer über 8.000 Kunden Telekommunikation Banken und Finanzwesen Petrochemische Industrie Technologieinfrastruktur

  46. Einige unserer über 8.000 Kunden Behörden Transport und Verkehr Online-Business Elektrische Energieversorgung 88 % der 200 weltweit führenden Finanzunternehmen 92 % aller Pharmaunternehmen der Fortune 500 82 % der Fortune 100 88 % der Fortune e-50

More Related