Vertrauen in Identitäten und Transaktionen Ingo Schubert, Security Consultant ischubert@rsasecurity.com

Agenda Vertrauen als Grundlage einer sicheren Transaktion Authentisierung Authorisierung Rechtemanagement Daten-Sicherheit

Für Ihre Geschäftsprozesse … Kunden Online-Anwendungen für Verbraucher Finanzielle Transaktionen im Internet Partner Beschaffung und Auftragsabwicklung Vertragsverhandlung und -ausführung Menschen Mitarbeiter Automatisierung und Verwaltung für das Vertriebsteam Remote-Zugriff von anderen Standorten Netzwerkverwaltung Daten Geräte Transaktionen

…schaffen wir Vertrauen im e-Business Vertrauenswürdiger e-Business-Prozess Wer sind Ihre Benutzer? Welche Daten können diese einsehen? Welche Funktionen können sie ausführen? Wann haben sie Zugriff? Wann haben sie Transaktionen durchgeführt? Wie werden die Benutzer verwaltet? Ist bei der Kommunikation Datenschutz gewährleistet? Sind die Transaktionen sicher? Menschen Daten Geräte Transaktionen

Gute Gründe für vertrauens- würdiges e-Business Vertrauenswürdiger e-Business-Prozess Höhere Umsätze e-Business-Potenziale Umsatzsteigerung Größere Marktabdeckung Wettbewerbsvorteile Weniger Risiken Datensicherheit Transaktionssicherheit Niedrigere Kosten Kosteneinsparungen Kostenvermeidung Effizienz Effektivität Stärkere Konformität Definierter Ablauf Partner Kunden Menschen Daten Hoher ROI durch vertrauens- würdige e-Business-Prozesse Geräte Transaktionen

RSA Security‘s Know How Benutzer und Geräte bestimmen Zugriffsrechte personalisieren und verwalten Datenintegrität gewährleisten Transaktions- integrität sicherstellen Zugriffs- verwaltung Digitale Signaturen Authentifizierung Verschlüsselung Menschen und Geräte Daten und Transaktionen

Vertrauenswürdige e-Business-Prozesse implementieren Zugriffs- verwaltung Digitale Signaturen Authentifizierung Verschlüsselung Führende Produkte Garantierte Interoperabilität Menschen und Geräte Daten und Transaktionen

Vertrauen Jede Transaktion im „echten“ Leben basiert auf ein gewisses Vertrauen zwischen den beteiligten Parteien und der Umgebung. Im Internet ist Vertrauen schwieriger zu erlangen Parteien sehen sich nicht Automatische Systeme … Um hochwertige Transaktionen abzusichern sind drei Schritte notwendig Authentisierung Authorisierung Absicherung der Daten

Authentisierung Authentisierung ist die Grundlage für e-business Vertrauen in die gegenseitige Identität ist die Vorraussetzung einer erfolgreichen Transaktion. Ohne das Wissen wer am Ende der Leitung sitzt ist eine Zuteilung von Zugriffs- und Transaktionsrechten nicht möglich Vertrauen in eine digitale Signatur nicht möglich In den meisten Fällen (wenn nicht immer) ist es sinnlos Daten zu verschlüsseln, falls der Empfänger nicht authentisiert ist.

Passwörter…

Das Problem mit Passwörtern Zu kurz, zu einfach, zu alt, zu häufig an verschiedenen Systemen benutzt… Passwörter an sich sind angreifbar Durch den schlechte Qualität eines Passwortes leidet das Vertrauen in die Identität des Transaktionspartners Systeme mit sensitiven Daten können nicht online (z.B. zu hohes Risiko) Systeme mit sensitiven Daten dürfen nicht online (z.B. wegen bestimmter Gesetze und Verordnungen) Passwort Resets kosten pro Anruf ca. 20 € – 40 €

Die Lösung… Anstatt nur eines statischen Passworts wird eine Zwei-Faktoren Authentisierung eingesetzt Something you know (die PIN) Something you have (den Token) Nur die Kombination aus dem Token und er dazugehörigen PIN ermöglicht eine erfolgreiche Authentisierung. Je nach Umgebung kann dem Benutzer u.a. ein automatischer PIN Reset ermöglicht werden.

Tokens Zwei Geschmacksrichtungen Passcode Generatoren SmartCards RSA SecurID erzeugen alle 60 Sekunden einen neuen Tokencode. Der Benutzer gibt diesen zusammen mit seiner PIN als Passcode zur Authorisierung weiter SmartCards werden üblicherweise zur Speicherung von Schlüsseln und zugehörigen Zertifikaten verwendet.

RSA SecurID Authentication Devices Breites Angebot Key fob Card Pin Pad PC Palm Wireless phones Zero-Footprint Keine Software notwendig (für Hardware Token) Leicht zu bedienen Die am meisten eingesetzte starke Authentisierungsmethode

SmartCards SmartCards als Speicherort für Schlüssel und digitale Zertifikaten können nicht nur zur Authentisierung sondern auch als Basis für Verschlüsselung und digitale Signatur eingesetzt werden. RSA Produkte u.a. RSA SecurID Passage (SmartCard, Reader, Software) RSA Keon (zur Ausstellung und Verwaltung von Zertifikaten) RSA eSign (zur unterschreiben von Daten) RSA SureFile (Verschlüsseln und signieren von Dateien) RSA BSAFE (Kryptographische Toolkits)

RSA Mobile Authentisierung (I)

RSA Mobile Authentisierung (II)

RSA Mobile Authentisierung (III) 3-5 seconds

RSA Mobile Authentisierung (III)

RSA Mobile Authentisierung (IV)

RSA Mobile Authentisierung (V)

Authorisierung Sobald ein Benutzer authentisiert ist, stellt sich die Frage “Was darf der Benutzer?” Jedem richtigen Benutzer seine Ressource Vergleich von Benutzerprofilen mit definierten Rollen Zugriff wird gestattet oder verwehren basierend auf Statischen Kriterien (z.B. Stellenbeschreibung, Abteilung etc.) Dynamischen Kriterien (z.B. Kontostand, Tageszeit etc.) All diese Informationen müssen, einfach aber flexibel, zentral für die unterschiedlichsten Ressourcen verwaltet werden.

Problem Angestellte Kunden Partner Wie verwaltet man die Identitäten einer wachsenden Benutzerbasis… Angestellte Kunden Partner Elevator pitch slide 1 of 4 Because the internet strongly promotes the concept of “self-service” and because security principles are not more about setting up an infrastructure that securely lets users into your environment in order to access proprietary resources and is no longer about just keeping bad people out, the number of users that an organization has to administer has grown exponentially. It not only includes employees, but also includes customers and partner. So how do you manage the identity f a growing number of users…

Access Channels: Intranet, Extranet, Portal, Wireless Problem …und deren sicheren Zugriff auf Web Resourcen? Customers Partners Employees Access Channels: Intranet, Extranet, Portal, Wireless “Silo” Access Mgmt. “Silo” Access Mgmt. “Silo” Access Mgmt. “Silo” Access Mgmt. “Silo” Access Mgmt. Elevator pitch slide 2 of 4 …and their secure access to enterprise Web resources in a scalable, cost-efficient manner …. This is the way you may do things today. Controlled access to disparate applications results in poor productivity and negative user experience. You’ll also experience administration and scalability issues trying to manage all these “silos”. Just think each user in each silo has its own data “file” and its own password. HR, Financial Mgmt. e-CRM e-Commerce Supply Chain Mgmt. Industry Specific

Access Channels: Intranet, Extranet, Portal, Wireless Lösung Customers Partners Employees Access Channels: Intranet, Extranet, Portal, Wireless Web Access Management Solution Elevator pitch slide 4 of 4 So what does RSA ClearTrust do? Broadly defined, RSA ClearTrust allows an organization to achieve unified identity and access management across an enterprise. Enterprise applications have all evolved over time with their own identity access management infrastructure and user data repositories. RSA ClearTrust’s identity and access management solution is a framework for application level security that not only provides a centralized layer of authentication and authorization to one’s applications but also provides integration to an organizations existing and dynamically changing infrastructure, be it web servers, application servers, portal servers, etc. RSA ClearTrust, acts as the security middleware or glue, allowing you to leverage the investment in these other technologies while at the same time reducing the cost of administering identity and web access management in each individual silo system. In addition, it provides the user single sign-on access to multiple web-based apps. This results in a positive user experience and greater productivity. SSO HR, Financial Mgmt. e-CRM e-Commerce Supply Chain Mgmt. Industry Specific

Anforderungen Je mehr Applikationen Web-enabled werden, desto komplexer wird die Verwaltung von Benutzern und deren Rechten auf Applikationen Nicht nur Angestellte sind Benutzer sondern auch Partner, Kunden etc. Vereinfachung der aufwendingen und teuren Administration von Authentisierungs- und Authorisierungs-Policies über mehrere Applikationen Zentrales Policy Management Einfachere Benutzung durch Web-SSO beim Zugriff von Enterprise und Partner Sites für Kunden, Partner und Angestellte Reduziert auch die Anzahl vorhandenen Passwörter Einhaltung neuer Gesetze, Bestimmungen und Verordungen

Authentisierung Je nach Ressource… + + + + Policy No Policy Talking points Let’s recap your choices… Authentication Choices. So now you’ve learned that the cornerstone to VPN security is authentication—the act of identifying and verifying the authenticity of users before they gain access to critical data assets and resources. You’ll want to select from varying levels of authentication strength based on the value or sensitivity of the information that you’re protecting, balanced against other considerations like usability, deployment, and budget. Consider the strength of various options. Passwords. Passwords are the weakest, although most widely used, form of authentication. They help to identify users by requiring a single factor of identification—their secret code. This method of authentication is perceived to be easy to deploy and inexpensive. However, history has proven that these codes are easily guessed, stolen or otherwise compromised and are not as easy or inexpensive to maintain as you would think. Surprisingly, passwords are one of the most ineffective forms of authentication. Digital Certificates. The use of digital certificates as a form of authentication is quickly becoming more widespread with the growth of Internet transactions. Alone or protected with a password, certificates help identify users by requiring access to digital credentials that should only be used by the rightful owner. However, the relative strength of digital certificates as an authentication solution depends on how securely they are protected. For example, digital certificates stored insecurely on a hard drive can be compared to leaving your wallet open on your desk. Digital Certificates with Password Policy. Digital certificates gain strength when they are accompanied by controlled password policy. Here, a trusted certificate authority issues certificates that verify the digital identity of users’ private keys. Adding a public key infrastructure with a centrally managed certificate policy statement that establishes password requirements (i.e. every password has to be 9 alphanumeric characters in length) can improve the strength of certificates as a form of user authentication. Two-factor Authentication. This method of authentication is much stronger than passwords or unprotected certificates because it requires users to present two forms of identification before gaining access to protected resources. Much like a bank ATM, users must both know their PIN and possess their authentication device (token or smart card). The combination proves that users are who they say they are.  Two-factor Authentication and Digital Certificates. Combining two-factor authentication and digital certificates enhances the strength of your authentication services dramatically. Often, digital certificates are stored insecurely so anyone can assume the identities of your users. By requiring two forms of identification to access credentials, you are able to bind users’ digital identities to their physical identities so you can be more confident that users are who they say they are. Smart Cards and Certificates. Introducing smart cards to protect digital certificates is one of the strongest levels of authentication service. Not only is access to the smart card protected with two-factor authentication, but key pairs can also be generated and stored on the smart. In fact, the private key never leaves the card, so it can never be accessed by unauthorized users or copied to a server. Smart Cards, Certificates and Biometrics. By introducing a third factor—such as biometrics—into your procedures, you can achieve the strongest available level of authentication. Biometrics refers to a characteristic that is unique to a user. This measurement is achieved through approaches like fingerprinting, retinal scanning and voice printing. This third authentication factor, combined with certificates stored on a smart, is impenetrable. Again, you’ve got lots to choose from when it comes to authenticating your VPN users. Passwort Schwach Stark

Web Single Sign On (Web SSO) SSO = Einmaliger Login erlaubt Zugriff auf mehrere (oder alle) Applikationen Höhere Sicherheit Keine Passwörter mehr auf PostIt Notes und Keyboards SSO macht starkes Passwort Management akzeptabler Starke Authentisierung als “Schlüssel zum Königreich” möglich Erlaubt einfacheres, bequemeres Arbeiten Spart Help Desk Kosten Viele Help Desks verbringen 50% ihrer Zeit mit Passwort Resets

Web SSO Standards Um ein Web SSO zwischen mehreren Domains, die Produkte verschiedener Hersteller einsetzen, zu ermöglichen wurde SAML (Security Assertion Markup Language) entwickelt. SAML ermöglicht es Benutzer Credentials und Attribute von einer Domain zur nächsten zu leiten. Die Liberty Alliance, ein Zusammenschluss von Herstellern, setzt auf SAML um Kunden die Bildung von „Circles of Trust“ zu ermöglichen z.B. Bank als Identity Provider und Retailers als Service Providers.

Delegated Administration Super User Intranet Extranet Business Unit Business Unit Customer Partner Group Administrators Delegated Administration capabilities allows for distributing user and policy management responsibilities out to the individuals best suited to administer their group of users. This dramatically reduces the burden on a centralized administrative group. VBU VBU VBU VBU Users

Delegated Administration Verhindert die umständliche zentrale Administration grosser Benutzerbestände Delegation von Benutzer und Rechteverwaltung Eingeteilt in Virtual Business Units (VBUs) Abgestufte Zuteilung von Rechten Business Benefit: Reduce cost burden of centralized administration Using RSA ClearTrust’s Delegated Administration capability, departments, business partners, and customers can be grouped into logical administrative units, called Virtual Business Units (VBUs), for distributing user and policy management responsibilities out to the individuals best suited to administer their group of users. This dramatically reduces the burden on a centralized administrative group. Virtual Business Units can be set up as either public or private. If private, only the administrator of that specific business unit can view the user and policy information associated with that business unit. Additionally, administrators can be granted roles that delegate to them only a subset of administrative responsibilities. For example, help desk personnel can be granted password reset capabilities only. An example might include an auto exchange portal. Because there are multiple competing organizations involved, it is imperative that each company maintain control over their own user bases. Please note that an organization can retain centralized administration of users and policies if they so choose.

Absichern von Transaktionen SSL alleine genügt oft nicht Die Daten einer Transaktion sind nur während der Übertragung geschützt. Auf dem Server angekommen fehlt die Möglichkeit die Transaktion später zu verifizieren. Wird die Transaktion dagegen auf dem Client signiert, kann jederzeit überprüft werden ob z.B. die Daten verändert wurden. eSign ermöglicht es HTML Forms auf dem Client zu signieren, verifizieren und optional zu verschlüsseln. Der Server überprüft vor dem wieteren Verarbeiten die Signatur S/MIME ist der Standard für sicheres eMail.

RSA Keon e-Sign in Action

RSA Keon e-Sign in Action

RSA Keon e-Sign in Action

Weitere Anwendungsfälle Mehrstufiges Unterschreiben Urlaubsantrag von Angestellen Genemigung vom Vorgesetzten Elektronische Rechungsstellung Ab 1.1.2002 Vorsteuerabzug auch bei elektronische Rechnungstellung möglich – allerdings nur bei Rechnungen die digital unterschrieben wurden Ab 1.1.2004 EU weit gültig

RSA Secure e-Mail Sicherheitsmängel bei der e-Mail-Kommunikation sind für viele Unternehmen äußerst problematisch. Mit RSA Secure eMail können Benutzer ihre e-Mails signieren und verschlüsseln, so dass nur die gewünschten Empfänger die Nachricht lesen können. Nahtlose Integration in MS Exchange und MS Outlook Geschäftsvorteile: e-Mail wird zum geeigneten Medium für den Austausch vertraulicher Nachrichten Schnell implementierbare und benutzerfreundliche sichere e-Mail-Lösung für Unternehmen, die auf dem Client nur ein gängiges MS e-Mail-Programm erfordert

RSA Smart Badging-Lösungen RSA Smart Badging Lösungen verbinden den Zugangsschutz bei IT-Ressourcen mit herkömmlicher, physischer Zugangssicherheit bei Gebäuden & Anlagen. Eine integrierte Lösung für Zugangsmanagement kombiniert SmartCard-Technologie mit den Funktionen von physischen Mitarbeiterausweisen. Vorteile: Integrierte Lösung für die Sicherung von PC’s, Netzwerken, Einrichtungen & Gebäuden erhöht den ROI Vereinfachter Zugang zu wichtigen Ressourcen bei verbesserter Sicherheit Höhere Benutzerfreundlichkeit, verringerter, adminstrativer Aufwand

Ausstellung von Zertifikaten Digitale Zertifikate sind das Äquivalent zu traditionellen Personalausweisen. Um sinnvoll Daten digital zu unterschreiben, müssen die Benutzer Schlüssel und digitale Zertifikate besitzen Die Ausstellung und Verwaltung der Zertifikate ist Aufgabe einer Certificate Authority

RSA Keon Certificate Authority (CA) Zentrale Zertifizierungsstelle stellt digitale Identitäten zur Verfügung: Ausgabe, Verwaltung und Überprüfung digitaler Zertifikate Erfolgreiche Skalierung auf 8 Millionen Zertifikate pro Server in unabhängigen Tests Common Criteria Evaluation Assurance Level 4+ Branchenführende Komponenten: Keon OneStep Integriertes Echtzeit-OCSP

RSA BSAFE Entwicklertools Einfachere Bereitstellung sicherer Lösungen Broadband SSL-J SSL-C WTLS-C IPSec-C SSL Micro Edition Algorithms, Math Libraries Crypto-C Crypto-J Crypto-C Micro Edition Cert-C Cert-J Cert Micro Edition

RSA BSAFE Anwendungsbeispiele integriert in Internet Explorer, Siemens Handy, etc. RSA Enterprise Produkte RSA Sure File Verschlüsselung Signierung Komprimierung (PKZIP)

Absicherung von Daten Um allgemein die Sicherheit von Daten (z.B. in Datenbanken) zu gewährleisten, ist eine Verschlüsselung und/oder digitale Signatur der Daten notwendig Administratoren von Servern sollen nicht Zugriff auf Datenbanken bekommen Unberechtigtes Auslesen von Daten Unberechtigtes Abändern von Daten EU Datenschutzrichtlinie für elektronische Kommunikation

Partnerschaften mit Spitzenunternehmen

Einige unserer über 8.000 Kunden Telekommunikation Banken und Finanzwesen Technologieinfrastruktur Petrochemische Industrie

Elektrische Energieversorgung Einige unserer über 8.000 Kunden Transport und Verkehr Behörden Online-Business Elektrische Energieversorgung 88 % der 200 weltweit führenden Finanzunternehmen 92 % aller Pharmaunternehmen der Fortune 500 82 % der Fortune 100 88 % der Fortune e-50