Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Vertrauen in Identitäten und Transaktionen Ingo Schubert, Security Consultant

Ähnliche Präsentationen


Präsentation zum Thema: "Vertrauen in Identitäten und Transaktionen Ingo Schubert, Security Consultant"—  Präsentation transkript:

1 Vertrauen in Identitäten und Transaktionen Ingo Schubert, Security Consultant

2 Agenda Vertrauen als Grundlage einer sicheren Transaktion Authentisierung Authorisierung Rechtemanagement Daten-Sicherheit

3 Für Ihre Geschäftsprozesse … Kunden Online-Anwendungen für Verbraucher Finanzielle Transaktionen im Internet Mitarbeiter Automatisierung und Verwaltung für das Vertriebsteam Remote-Zugriff von anderen Standorten Netzwerkverwaltung Geschäftsprozess Daten Transaktionen Menschen Geräte Partner Beschaffung und Auftragsabwicklung Vertragsverhandlung und -ausführung

4 Wer sind Ihre Benutzer? Welche Daten können diese einsehen? Welche Funktionen können sie ausführen? Wann haben sie Zugriff? Wann haben sie Transaktionen durchgeführt? Wie werden die Benutzer verwaltet? Ist bei der Kommunikation Datenschutz gewährleistet? Sind die Transaktionen sicher? …schaffen wir Vertrauen im e-Business Vertrauenswürdiger e-Business-Prozess Menschen Geräte Daten Transaktionen

5 Gute Gründe für vertrauens- würdiges e-Business Stärkere Konformität Definierter Ablauf Partner Kunden Niedrigere Kosten Kosteneinsparungen Kostenvermeidung Effizienz Effektivität Weniger Risiken Datensicherheit Transaktionssicherheit Höhere Umsätze e-Business-Potenziale Umsatzsteigerung Größere Marktabdeckung Wettbewerbsvorteile Vertrauenswürdiger e-Business-Prozess Hoher ROI durch vertrauens- würdige e-Business-Prozesse Menschen Geräte Daten Transaktionen

6 RSA Securitys Know How Menschen und Geräte Authentifizierung Zugriffs- verwaltung Verschlüsselung Digitale Signaturen Daten und Transaktionen Benutzer und Geräte bestimmen Zugriffsrechte personalisieren und verwalten Datenintegrität gewährleisten Transaktions- integrität sicherstellen

7 Menschen und Geräte Vertrauenswürdige e-Business-Prozesse implementieren Führende Produkte Garantierte Interoperabilität Daten und Transaktionen Authentifizierung Zugriffs- verwaltung Verschlüsselung Digitale Signaturen

8 Vertrauen Jede Transaktion im echten Leben basiert auf ein gewisses Vertrauen zwischen den beteiligten Parteien und der Umgebung. Im Internet ist Vertrauen schwieriger zu erlangen Parteien sehen sich nicht Automatische Systeme … Um hochwertige Transaktionen abzusichern sind drei Schritte notwendig Authentisierung Authorisierung Absicherung der Daten

9 Authentisierung Authentisierung ist die Grundlage für e-business Vertrauen in die gegenseitige Identität ist die Vorraussetzung einer erfolgreichen Transaktion. Ohne das Wissen wer am Ende der Leitung sitzt ist eine Zuteilung von Zugriffs- und Transaktionsrechten nicht möglich Vertrauen in eine digitale Signatur nicht möglich In den meisten Fällen (wenn nicht immer) ist es sinnlos Daten zu verschlüsseln, falls der Empfänger nicht authentisiert ist.

10 Passwörter…

11 Das Problem mit Passwörtern Zu kurz, zu einfach, zu alt, zu häufig an verschiedenen Systemen benutzt… Passwörter an sich sind angreifbar Durch den schlechte Qualität eines Passwortes leidet das Vertrauen in die Identität des Transaktionspartners Systeme mit sensitiven Daten können nicht online (z.B. zu hohes Risiko) Systeme mit sensitiven Daten dürfen nicht online (z.B. wegen bestimmter Gesetze und Verordnungen) Passwort Resets kosten pro Anruf ca. 20 – 40

12 Die Lösung… Anstatt nur eines statischen Passworts wird eine Zwei-Faktoren Authentisierung eingesetzt Something you know (die PIN) Something you have (den Token) Nur die Kombination aus dem Token und er dazugehörigen PIN ermöglicht eine erfolgreiche Authentisierung. Je nach Umgebung kann dem Benutzer u.a. ein automatischer PIN Reset ermöglicht werden.

13 Tokens Zwei Geschmacksrichtungen Passcode Generatoren SmartCards RSA SecurID erzeugen alle 60 Sekunden einen neuen Tokencode. Der Benutzer gibt diesen zusammen mit seiner PIN als Passcode zur Authorisierung weiter SmartCards werden üblicherweise zur Speicherung von Schlüsseln und zugehörigen Zertifikaten verwendet.

14 RSA SecurID Authentication Devices Breites Angebot Key fob Card Pin Pad PC Palm Wireless phones Zero-Footprint Keine Software notwendig (für Hardware Token) Leicht zu bedienen Die am meisten eingesetzte starke Authentisierungsmethode

15 SmartCards SmartCards als Speicherort für Schlüssel und digitale Zertifikaten können nicht nur zur Authentisierung sondern auch als Basis für Verschlüsselung und digitale Signatur eingesetzt werden. RSA Produkte u.a. RSA SecurID Passage (SmartCard, Reader, Software) RSA Keon (zur Ausstellung und Verwaltung von Zertifikaten) RSA eSign (zur unterschreiben von Daten) RSA SureFile (Verschlüsseln und signieren von Dateien) RSA BSAFE (Kryptographische Toolkits)

16 RSA Mobile Authentisierung (I)

17 RSA Mobile Authentisierung (II)

18 RSA Mobile Authentisierung (III)

19

20 RSA Mobile Authentisierung (IV)

21 RSA Mobile Authentisierung (V)

22 Authorisierung Sobald ein Benutzer authentisiert ist, stellt sich die Frage Was darf der Benutzer? Jedem richtigen Benutzer seine Ressource Vergleich von Benutzerprofilen mit definierten Rollen Zugriff wird gestattet oder verwehren basierend auf Statischen Kriterien (z.B. Stellenbeschreibung, Abteilung etc.) Dynamischen Kriterien (z.B. Kontostand, Tageszeit etc.) All diese Informationen müssen, einfach aber flexibel, zentral für die unterschiedlichsten Ressourcen verwaltet werden.

23 Problem Wie verwaltet man die Identitäten einer wachsenden Benutzerbasis… Partner Kunden Angestellte

24 Access Channels: Intranet, Extranet, Portal, Wireless Problem Silo Access Mgmt. Silo Access Mgmt. Silo Access Mgmt. Silo Access Mgmt. Silo Access Mgmt. EmployeesCustomersPartners HR, Financial Mgmt. e-CRM Supply Chain Mgmt. Industry Specific e-Commerce …und deren sicheren Zugriff auf Web Resourcen?

25 Access Channels: Intranet, Extranet, Portal, Wireless Lösung Web Access Management Solution EmployeesCustomersPartners HR, Financial Mgmt. e-CRM Supply Chain Mgmt. Industry Specific e-Commerce SSO

26 Anforderungen Je mehr Applikationen Web-enabled werden, desto komplexer wird die Verwaltung von Benutzern und deren Rechten auf Applikationen Nicht nur Angestellte sind Benutzer sondern auch Partner, Kunden etc. Vereinfachung der aufwendingen und teuren Administration von Authentisierungs- und Authorisierungs-Policies über mehrere Applikationen Zentrales Policy Management Einfachere Benutzung durch Web-SSO beim Zugriff von Enterprise und Partner Sites für Kunden, Partner und Angestellte Reduziert auch die Anzahl vorhandenen Passwörter Einhaltung neuer Gesetze, Bestimmungen und Verordungen

27 Passwort Authentisierung Je nach Ressource… Schwach Stark No Policy Policy

28 Web Single Sign On (Web SSO) SSO = Einmaliger Login erlaubt Zugriff auf mehrere (oder alle) Applikationen Höhere Sicherheit Keine Passwörter mehr auf PostIt Notes und Keyboards SSO macht starkes Passwort Management akzeptabler Starke Authentisierung als Schlüssel zum Königreich möglich Erlaubt einfacheres, bequemeres Arbeiten Spart Help Desk Kosten Viele Help Desks verbringen 50% ihrer Zeit mit Passwort Resets

29 Web SSO Standards Um ein Web SSO zwischen mehreren Domains, die Produkte verschiedener Hersteller einsetzen, zu ermöglichen wurde SAML (Security Assertion Markup Language) entwickelt. SAML ermöglicht es Benutzer Credentials und Attribute von einer Domain zur nächsten zu leiten. Die Liberty Alliance, ein Zusammenschluss von Herstellern, setzt auf SAML um Kunden die Bildung von Circles of Trust zu ermöglichen z.B. Bank als Identity Provider und Retailers als Service Providers.

30 Delegated Administration IntranetExtranet Super User Group Administrators Business Unit Customer Partner Users VBU

31 Delegated Administration Verhindert die umständliche zentrale Administration grosser Benutzerbestände Delegation von Benutzer und Rechteverwaltung Eingeteilt in Virtual Business Units (VBUs) Abgestufte Zuteilung von Rechten

32 Absichern von Transaktionen SSL alleine genügt oft nicht Die Daten einer Transaktion sind nur während der Übertragung geschützt. Auf dem Server angekommen fehlt die Möglichkeit die Transaktion später zu verifizieren. Wird die Transaktion dagegen auf dem Client signiert, kann jederzeit überprüft werden ob z.B. die Daten verändert wurden. eSign ermöglicht es HTML Forms auf dem Client zu signieren, verifizieren und optional zu verschlüsseln. Der Server überprüft vor dem wieteren Verarbeiten die Signatur S/MIME ist der Standard für sicheres .

33 RSA Keon e-Sign in Action

34

35

36 Weitere Anwendungsfälle Mehrstufiges Unterschreiben Urlaubsantrag von Angestellen Genemigung vom Vorgesetzten Elektronische Rechungsstellung Ab Vorsteuerabzug auch bei elektronische Rechnungstellung möglich – allerdings nur bei Rechnungen die digital unterschrieben wurden Ab EU weit gültig

37 RSA Secure Sicherheitsmängel bei der -Kommunikation sind für viele Unternehmen äußerst problematisch. Mit RSA Secure können Benutzer ihre s signieren und verschlüsseln, so dass nur die gewünschten Empfänger die Nachricht lesen können. Nahtlose Integration in MS Exchange und MS Outlook Geschäftsvorteile: wird zum geeigneten Medium für den Austausch vertraulicher Nachrichten Schnell implementierbare und benutzerfreundliche sichere -Lösung für Unternehmen, die auf dem Client nur ein gängiges MS - Programm erfordert

38 RSA Smart Badging-Lösungen RSA Smart Badging Lösungen verbinden den Zugangsschutz bei IT-Ressourcen mit herkömmlicher, physischer Zugangssicherheit bei Gebäuden & Anlagen. Eine integrierte Lösung für Zugangsmanagement kombiniert SmartCard-Technologie mit den Funktionen von physischen Mitarbeiterausweisen. Vorteile: Integrierte Lösung für die Sicherung von PCs, Netzwerken, Einrichtungen & Gebäuden erhöht den ROI Vereinfachter Zugang zu wichtigen Ressourcen bei verbesserter Sicherheit Höhere Benutzerfreundlichkeit, verringerter, adminstrativer Aufwand

39 Ausstellung von Zertifikaten Digitale Zertifikate sind das Äquivalent zu traditionellen Personalausweisen. Um sinnvoll Daten digital zu unterschreiben, müssen die Benutzer Schlüssel und digitale Zertifikate besitzen Die Ausstellung und Verwaltung der Zertifikate ist Aufgabe einer Certificate Authority

40 RSA Keon Certificate Authority (CA) Zentrale Zertifizierungsstelle stellt digitale Identitäten zur Verfügung: Ausgabe, Verwaltung und Überprüfung digitaler Zertifikate Erfolgreiche Skalierung auf 8 Millionen Zertifikate pro Server in unabhängigen Tests Common Criteria Evaluation Assurance Level 4+ Branchenführende Komponenten: Keon OneStep Integriertes Echtzeit-OCSP

41 RSA BSAFE Entwicklertools Einfachere Bereitstellung sicherer Lösungen Broadband SSL-JSSL- C WTLS-CIPSec-C SSL Micro Edition Algorithms, Math Libraries Crypto-CCrypto-J Crypto-C Micro Edition Cert- C Cert-J Cert Micro Edition Algorithms, Math Libraries Crypto-CCrypto-J Crypto-C Micro Edition Cert- C Cert-J Cert Micro Edition Algorithms, Math Libraries Crypto-CCrypto-J Crypto-C Micro Edition Algorithms, Math Libraries

42 RSA BSAFE Anwendungsbeispiele integriert in Internet Explorer, Siemens Handy, etc. RSA Enterprise Produkte RSA Sure File Verschlüsselung Signierung Komprimierung (PKZIP)

43 Absicherung von Daten Um allgemein die Sicherheit von Daten (z.B. in Datenbanken) zu gewährleisten, ist eine Verschlüsselung und/oder digitale Signatur der Daten notwendig Administratoren von Servern sollen nicht Zugriff auf Datenbanken bekommen Unberechtigtes Auslesen von Daten Unberechtigtes Abändern von Daten EU Datenschutzrichtlinie für elektronische Kommunikation

44 Partnerschaften mit Spitzenunternehmen

45 TelekommunikationBanken und Finanzwesen Technologieinfrastruktur Petrochemische Industrie Einige unserer über Kunden

46 Transport und Verkehr Online-Business Behörden 82 % der Fortune % der Fortune e % der 200 weltweit führenden Finanzunternehmen 92 % aller Pharmaunternehmen der Fortune 500 Elektrische Energieversorgung Einige unserer über Kunden

47


Herunterladen ppt "Vertrauen in Identitäten und Transaktionen Ingo Schubert, Security Consultant"

Ähnliche Präsentationen


Google-Anzeigen