BSI

von cryptovision | Jan 19, 2019

cryptovision lieferte Chipkartenlösung für das POSeIDAS-Projekt

Die Herausforderung für das BSI

eIDAS ist die EU-Verordnung für digitale Signaturen. Im Jahr 2016 hat eIDAS nationale Gesetze wie das deutsche Signaturgesetz abgelöst. eIDAS soll die Handhabung digitaler Signaturen erleichtern und die gesamte Technologie attraktiver machen. Wie bei solchen Gesetzen üblich, setzt eIDAS nur einen allgemeinen Rahmen, während die technischen Einzelheiten weiteren Bestimmungen und Standards überlassen bleiben.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und dessen französisches Gegenstück ANSSI gehören zu den ersten, die technische Details für eIDAS erarbeitet haben. Gemeinsam haben sie eine eIDAS-konforme Smarttoken-Spezifikation entwickelt, die auf der Technik des deutschen Personalausweises (TR-03110) basiert: das eIDAS Token.

Außerdem hat das BSI ein Projekt namens POSeIDAS an cryptovision, HJP Consulting und Governikus vergeben. In diesem Projekt geht es um drei Dinge:

Implementierung eines eIDAS Tokens als Smartcard
Implementierung einer Software, die die Funktionen eines eIDAS Tokens simuliert
Implementierung eines eIDAS-Servers als Prototyp

Unsere Lösung für das BSI

cryptovision lieferte die Chipkartenlösung für das POSeIDAS-Projekt. Es handelt sich dabei um die erste Implementierung der eIDAS-Funktionen auf einem Kartenchip. Diese Lösung nutzt das cryptovision-Produkt ePasslet Suite, ein modulares Java Card-basiertes Framework für multifunktionale Identitätsdokumente. ePasslet Suite, das bereits in über 20 eID-Projekten weltweit eingesetzt wird, bietet Java Card-Applets für Reisepässe, eID-Karten, elektronische Führerscheine, Signaturkarten und andere Anwendungen. Im Rahmen des POSeIDAS-Projekts erweiterte cryptovision die ePasslet Suite um eine Reihe eIDAS-Token-spezifischer Funktionen, insbesondere pseudonyme Signaturen, Chip Authentication (CA) 3 und Enhanced Role Authentication (ERA). Da ePasslet Suite nun die gesamte Palette der eIDAS-Token-Funktionalität unterstützt, ist es die erste Lösung zum Aufbau eIDAS-Token-kompatibler Identitätsdokumente auf dem Markt.

HJP-Consulting war der Hauptauftragnehmer des Projekts und steuerte eine eIDAS-Token-Implementierung in Software basierend auf ihrem Open-Source-eID-Kartensimulator PersoSim bei. Governikus lieferte für POSeIDAS einen eID-Server (ebenfalls Open Source) und einen entsprechenden eID-Client.

ePasslet Suite

Weitere Informationen

Informationen zum eIDAS-Token und POSeIDAS gibt im Artikel Neue Signaturgesetzgebung: Sind aller guten Dinge drei? von Klaus Schmeh, erschienen in der Datenschutz und Datensicherheit 1/2017.

Weitere Referenzen aus der Branche

Keine Ergebnisse gefunden

Die angefragte Seite konnte nicht gefunden werden. Verfeinern Sie Ihre Suche oder verwenden Sie die Navigation oben, um den Beitrag zu finden.

Sichere Lösungen für digitale Identitäten

Branchen

Produkte

PKI SOLUTIONS

CREDENTIAL MANAGEMENT

SECURITY TOKEN & HARDWARE SOLUTIONS

SECURITY APPLICATIONS

E.ON

von cryptovision | Jan 19, 2019

cryptovision-Lösung verwaltet 70.000 Smarttoken bei E.ON

Die Herausforderung für E.ON

Wenn ein großes Unternehmen von Passwörtern auf Smartcards umstellt, sind auch scheinbar nebensächliche Dinge wichtig. Schon der kleinste Fehler kann unangenehme Folgen haben, wenn er bei Zehntausenden von Benutzern auftritt. Eine Smartcard-Lösung muss daher nicht nur sicher sein, sondern auch und vor allem reibungslos funktionieren.

Wie wichtig die Details einer Smartcard-Lösung sein können, zeigt ein Projekt, das cryptovision für den deutschen Energieversorger E.ON durchgeführt hat. Der Essener Energieriese wollte die praktisch überall im Unternehmen eingesetzten Passwörter durch eine sicherere Authentifizierung ersetzen. Dazu stattete E.ON 70.000 IT-Anwender mit Smarttoken aus, die wie Smartcards funktionieren, aber eine andere Form haben.

Die Smarttoken, für die sich E.ON entschieden hatte, galten als sicher. Sicherheit war jedoch bei weitem nicht die einzige Anforderung, die E.ON stellte. Besonderes Augenmerk legte das Unternehmen auf die Benutzerfreundlichkeit. Man wusste: Selbst wenn nur ein Prozent der 70.000 Smartcard-Nutzer Probleme mit ihren Karten haben würde, würde dies zu einem Chaos und einem Verlust der Benutzerakzeptanz führen. Außerdem hätte ein solcher Zwischenfall zur Folge gehabt, dass 700 Mitarbeiter nicht mehr in der Lage sind, ihre Arbeit zu erledigen, während der Helpdesk mit 700 Support-Anrufen überschwemmt wird. Zudem war die Verifikationszeit für E.ON ein wichtiger Punkt. Wenn ein Anmeldeprozess nur fünf Sekunden länger dauert als notwendig und sich jeder Mitarbeiter zweimal täglich einloggt, verschwenden 70.000 Mitarbeiter zusammen 700.000 Sekunden (oder 24 Arbeitstage) täglich. Das summiert sich zu über 5000 Arbeitstagen pro Jahr.

Um derartige Probleme von vornherein zu vermeiden, sind viele Kunden bereit, in eine hochwertige Chipkartenlösung zu investieren, auch wenn es meist billigere Alternativen gibt. Darüber hinaus sind oft Software-Anpassungen sinnvoll, die den Einsatz einer Smartcard-Lösung erleichtern. Angesichts der hohen Nutzerzahlen amortisieren sie sich in der Regel schnell.

Als E.ON nach einigen Jahren die Nutzung ihres Smarttoken-Systems analysierte, wurde deutlich, dass die Token-Middleware (d.h. die Software, die die Token mit dem Programm verbindet) eine Anzahl von Fehlern aufwies, die unnötigen Helpdesk-Verkehr verursachten. Darüber hinaus stellte man fest, dass auf dem Markt eine preisgünstigere Tokenlösung mit besserer Qualität (einschließlich kürzerer Verifikationszeit) zur Verfügung stand. Deshalb beschloss E.ON, die bestehende Chipkarten-Lösung abzuschaffen und auf eine neue zu migrieren.

Unsere Lösung für E.ON

Als neue Token-Middleware wählte E.ON sc/interface von cryptovision. sc/interface hat sich in mehr als einem Jahrzehnt bei zahlreichen Kunden als robuste und anwenderfreundliche Lösung bewährt und unterstützt über 80 Token-Typen sowie -Profile auf allen gängigen Plattformen. Alle bei E.ON eingesetzten Token werden von cryptovision (über T-Systems) geliefert.

Bereits für die alte Tokenlösung hatte E.ON mehrere Software-Komponenten entwickelt, die deren Einsatz im E.ON-Umfeld vereinfachten (aufgrund der zahlreichen Nutzer lohnte sich diese Investition). Damit auch sc/interface diese Programme unterstützt, musste cryptovision einige Anpassungen daran vornehmen.

Da E.ON seinen Mitarbeitern die Nutzung eigener Geräte („Bring your own device“) ermöglicht, müssen die verwendeten Token auf verschiedenen Plattformen verfügbar sein – vor allem auf Windows, Linux und Mac OS. Diese Anforderung war einfach zu erfüllen, da sc/interface auf all diesen Plattformen lauffähig ist. cryptovision stellte sogar eine Lösung zur Verfügung, die automatisch einen zertifizierten MiniDriver in der Windows-Umgebung eines Benutzers installiert.

Zusätzlich richtete E.ON einen Self-Service-Registrierungsprozess ein. Eine Person, die ein E.ON-Token beantragen will, erhält zuerst ein leeres Token und meldet sich dann online an. Anschließend muss ein Kollege die Identität dieser Person mit seinem eigenen Token bestätigen.

Da die ursprünglich verwendete Zertifizierungsstelle (CA) ihren Betrieb einstellte, musste E.ON eine neue finden. D-Trust, die CA der Bundesdruckerei, erwies sich als beste Wahl. Für verschiedene E.ON-spezifische Prozesse waren weitere Anpassungen erforderlich.

Nachdem die neue Lösung nun schon seit Jahren reibungslos läuft, kann man die Migration guten Gewissens als sinnvoll und gelungen bezeichnen. Neben den geringeren Kosten ist vor allem die höhere Benutzerfreundlichkeit (inklusive einer kürzeren Verifikationszeit) ein Pluspunkt. Zudem gab es bisher keine nennenswerten Sicherheitsprobleme. Dies hatte E.ON jedoch ohnehin vorausgesetzt.

cryptovision.com