Der Staat schaut Unternehmen heute stärker als früher auf die Finger. Und das aus guten Gründen. In den Zeiten des Internet-Hypes ist es in fast allen Ländern zu Bilanztricksereien gekommen. Um die zu verhindern wurden Gesetze erlassen, SOX beispielsweise, der Sarbanes-Oxley-Act in den USA, der vorschreibt, wie Buchführung und Bilanzen in- und extern geprüft werden müssen.
"SOX ist das prominenteste Beispiel, was jetzt in Europa über EuroSOX noch ein bisschen härter formuliert und umgesetzt wird, Basel2 für die Finanzdienstleister, Bundesdatenschutzgesetz - das ist ein deutsches Gesetz, was da eine Rolle spielt..."
So Martina Walser von Novell. Gesetze sind dazu da, um eingehalten zu werden. Und soweit davon die Daten eines Unternehmens betroffen sind, spricht man von Compliance. Das ist der derzeit wohl am häufigsten gebrauchte Begriff in den IT-Abteilungen. David Ting, der Cheftechniker der Firma Imprivata:
"Ein wesentlicher Teil der Compliance-Anforderungen läuft darauf hinaus, dass Unternehmen nachweisen müssen, dass nur ganz bestimmte Leute auf diese Daten Zugriff haben, in anderen Worten: dass die richtigen Angestellten auf die richtigen Informationen zugreifen."
Und das sicher zu stellen, ist ein schwieriges Geschäft. Ein Angestellter arbeitet in der Regel mit mehreren Anwendungen und Datenbanken, und für jede hat er eine ID, eine digitale Identität, und ein Passwort. Wechselt er die Position, bekommt er neue Zugangsberechtigungen und alte müssen – aus Compliance-Gründen – gelöscht werden. Die allermeisten Unternehmen litten deswegen an Identitätsproblemen, hieß es auf der European Identity Conference. Kaum ein Administrator könne mit Sicherheit sagen, welche Angestellten auf welche Daten Zugriff hätten. Und wenn jemand neu eingestellt wird, dauert es in der Regel Wochen, bevor er über alle Zugangsberechtigungen verfügt, um richtig arbeiten zu können. Software kann das Identitätsmanagement automatisieren. Solche Systeme arbeiten mit typischen Mustern für die Zugangsberechtigung, führen Plausibilitäts-Checks durch und erstellen Sicherheitsberichte. Der Markt dafür wächst mit jährlichen zweistelligen Zuwachsraten. Auch wer nur privat im Netz surft, bekommt leicht Identitätsprobleme. Jede Menge IDs und Passwörter sammeln sich da an. Microsoft wollte deshalb vor einigen Jahren mit seinem Passport-Projekt zentral eine Einheits-ID für das Web vergeben. Aber viele Surfer fanden wohl, der Konzern sei für eine solche Vertrauensposition denkbar ungeeignet. Deshalb gibt es mittlerweile dezentrale Ansätze, Open-ID beispielsweise. Mike Davies von Verisign erklärt, wie's funktioniert:
"Zuerst muss man sich eine Open-ID einrichten. Die kann man von vielen Anbietern bekommen, meist kostenlos. Die erste passwortgeschützte Web-Site, die man ansurft, fragt dann bei diesem Anbieter nach, ob User-Name und Passwort übereinstimmen, und eine Bestätigung wird anschließend während der gesamten Surftour von Site zu Site weitergereicht."
Allerdings ist Open-ID ein relativ schwacher Zugangsschutz. Vor allem, wenn's um Geld geht, werden deshalb oft zusätzliche Sicherheitsvorkehrungen getroffen. Matthias Setzer von Paypal, dem Bezahlsystem von eBay, etwa baut als Ergänzung zu Open-ID auf die Tokens, die Sicherheitsschlüssel, von Verisign. Bei jedem Zugriff auf ein Paypal-Konto muss dessen Inhaber dabei eine andere sechsstellige Zahl eingeben.
"In der Tat ist es so, dass dieser Sicherheitsschlüssel eine kleine Uhr enthält, die synchron läuft mit den den Servern von Verisign. Dann wird über einen geheimen Algorithmus eine sechsstellige Zahl errechnet, der Server errechnet sich die gleiche Zahl. In dem Moment, wo sich der Benutzerin sein Konto einlogt, fragt Paypal bei Verisign ab, ob diese Zahl gerade gültig ist. Verisign antwortet dann an Paypal und sagt ja oder nein. Entsprechend lässt Paypal dann den Zugriff auf das Konto zu oder nicht."
Nun trägt man aber ungern mehrere Tokens mit sich herum, sondern hat am liebsten nur einen Anbieter. Und darin liegt das Problem. Sicherheit im Internet ist dezentral kaum zu haben.
"SOX ist das prominenteste Beispiel, was jetzt in Europa über EuroSOX noch ein bisschen härter formuliert und umgesetzt wird, Basel2 für die Finanzdienstleister, Bundesdatenschutzgesetz - das ist ein deutsches Gesetz, was da eine Rolle spielt..."
So Martina Walser von Novell. Gesetze sind dazu da, um eingehalten zu werden. Und soweit davon die Daten eines Unternehmens betroffen sind, spricht man von Compliance. Das ist der derzeit wohl am häufigsten gebrauchte Begriff in den IT-Abteilungen. David Ting, der Cheftechniker der Firma Imprivata:
"Ein wesentlicher Teil der Compliance-Anforderungen läuft darauf hinaus, dass Unternehmen nachweisen müssen, dass nur ganz bestimmte Leute auf diese Daten Zugriff haben, in anderen Worten: dass die richtigen Angestellten auf die richtigen Informationen zugreifen."
Und das sicher zu stellen, ist ein schwieriges Geschäft. Ein Angestellter arbeitet in der Regel mit mehreren Anwendungen und Datenbanken, und für jede hat er eine ID, eine digitale Identität, und ein Passwort. Wechselt er die Position, bekommt er neue Zugangsberechtigungen und alte müssen – aus Compliance-Gründen – gelöscht werden. Die allermeisten Unternehmen litten deswegen an Identitätsproblemen, hieß es auf der European Identity Conference. Kaum ein Administrator könne mit Sicherheit sagen, welche Angestellten auf welche Daten Zugriff hätten. Und wenn jemand neu eingestellt wird, dauert es in der Regel Wochen, bevor er über alle Zugangsberechtigungen verfügt, um richtig arbeiten zu können. Software kann das Identitätsmanagement automatisieren. Solche Systeme arbeiten mit typischen Mustern für die Zugangsberechtigung, führen Plausibilitäts-Checks durch und erstellen Sicherheitsberichte. Der Markt dafür wächst mit jährlichen zweistelligen Zuwachsraten. Auch wer nur privat im Netz surft, bekommt leicht Identitätsprobleme. Jede Menge IDs und Passwörter sammeln sich da an. Microsoft wollte deshalb vor einigen Jahren mit seinem Passport-Projekt zentral eine Einheits-ID für das Web vergeben. Aber viele Surfer fanden wohl, der Konzern sei für eine solche Vertrauensposition denkbar ungeeignet. Deshalb gibt es mittlerweile dezentrale Ansätze, Open-ID beispielsweise. Mike Davies von Verisign erklärt, wie's funktioniert:
"Zuerst muss man sich eine Open-ID einrichten. Die kann man von vielen Anbietern bekommen, meist kostenlos. Die erste passwortgeschützte Web-Site, die man ansurft, fragt dann bei diesem Anbieter nach, ob User-Name und Passwort übereinstimmen, und eine Bestätigung wird anschließend während der gesamten Surftour von Site zu Site weitergereicht."
Allerdings ist Open-ID ein relativ schwacher Zugangsschutz. Vor allem, wenn's um Geld geht, werden deshalb oft zusätzliche Sicherheitsvorkehrungen getroffen. Matthias Setzer von Paypal, dem Bezahlsystem von eBay, etwa baut als Ergänzung zu Open-ID auf die Tokens, die Sicherheitsschlüssel, von Verisign. Bei jedem Zugriff auf ein Paypal-Konto muss dessen Inhaber dabei eine andere sechsstellige Zahl eingeben.
"In der Tat ist es so, dass dieser Sicherheitsschlüssel eine kleine Uhr enthält, die synchron läuft mit den den Servern von Verisign. Dann wird über einen geheimen Algorithmus eine sechsstellige Zahl errechnet, der Server errechnet sich die gleiche Zahl. In dem Moment, wo sich der Benutzerin sein Konto einlogt, fragt Paypal bei Verisign ab, ob diese Zahl gerade gültig ist. Verisign antwortet dann an Paypal und sagt ja oder nein. Entsprechend lässt Paypal dann den Zugriff auf das Konto zu oder nicht."
Nun trägt man aber ungern mehrere Tokens mit sich herum, sondern hat am liebsten nur einen Anbieter. Und darin liegt das Problem. Sicherheit im Internet ist dezentral kaum zu haben.