Im Business-to-Business-Bereich dient die gestohlene virtuelle Identität vor allen Dingen zur Ausspähung der Konkurrenz. Von Interesse sind dabei Informationen zu Preisen und Konditionen neuer Produkte, zu Marktstrategien, zu Zusammenschlüssen und Absprachen zwischen Konkurrenzunternehmen oder zu Managern und deren unmittelbaren Mitarbeitern. Ist die allzu große Neugier staatlich initiiert, dienen falsche Benutzernamen und Kennwörter sogar zur Wirtschaftsspionage. Korrupte Regimes versprechen sich seit je her handfeste Vorteile von fremden Know-how: Es lassen sich Entwicklungskosten sparen oder gar kostengünstigere Nachbauten auf den Markt bringen. Neben der Beschaffung geheimen Wissens können die Zugangscodes auch dazu genutzt werden, wichtige Daten zu löschen, sie zu verändern oder sie Dritten in die Hände zu spielen. Handfeste Sabotage bringt Unternehmen schnell in den wirtschaftlichen Ruin, Szenarien dafür gibt es en masse - man denke nur an die Lahmlegung eines großen Providers.
Herausforderungen im Identitäts- und Access Management (IAM)
Die Sicherung der korrekten Identitäten und die Kontrolle der Zugänge zum internen Netz werden nicht leichter. Folgende Trends "plagen" die Unternehmen:
Grenzen weichen auf
Die Mauer, die Firmen um ihre "Festung" internes Netzwerk in den letzten Jahren gezogen haben, hat mittlerweile viele Tore. Anstelle eines zentralen Gateways zum LAN gibt es heute dutzende Zugänge zum Netz. Die Ursache ist der Wandel im geschäftlichen Alltag: Mitarbeiter müssen auch von unterwegs jederzeit auf ihre Daten und die wichtigen Anwendungen zugreifen können und realisieren dies beispielsweise über WLAN. Zudem vernetzen sich Unternehmen immer mehr mit externen Organisationen wie Zulieferern oder anderen Partnern, um ihre gemeinsamen Prozesse effizienter zu gestalten. Beliebtes Werkzeug dafür sind beispielsweise eigene, gruppenspezifische Webportale mit Anschluss an das interne Netzwerk. Das Sicherheitskonzept vieler Betriebe wandelt sich folglich zunehmend in ein so genanntes "Airport-Style"-Modell, welches eine Vielzahl an Subnetzen mit unterschiedlichen Sicherheitslevels integriert.
Gesetzliche Vorschriften
Die Sicherheit in den Unternehmen unterliegt verstärkt gesetzlichen Vorschriften. Diese sind zum Teil international von Bedeutung, in den meisten Fällen aber länderspezifisch orientiert. Beispielweise ist die Verschlüsselung des Datenverkehrs in manchen Staaten ein heiß umstrittenes Thema. Prominente Richtlinien wie Sarbanes-Oxley oder Basel II bringen erhöhte Anforderungen an Monitoring, Dokumentation und Reporting mit sich. Die Vorschriften müssen sich in den firmeninternen Sicherheitsrichtlinien ("policys") und damit auch in der Konfiguration von Hard- und Software widerspiegeln. Unternehmen stehen vor der schwierigen Aufgabe, zu gewährleisten, dass alle Endgeräte, mit denen Mitarbeiter eine Verbindung zum internen Netz aufbauen, mit diesen Regelungen konform sind.
Zunehmende Komplexität
Das weite Spektrum an Attacken und Angriffsmöglichkeiten setzt die Netzwerkverantwortlichen unter massiven Druck. Die Administratoren müssen in der Lage sein, eine Vielzahl an Sicherheitstechnologien zu beherrschen, zu verwalten und regelmäßig zu pflegen. Hinzu kommt, dass sich externe Zugänge über multiple Plattformen abwickeln lassen. Diese müssen unter Umständen - gerade nach Akquisitionen - parallel betrieben werden.
Notwendiges Leistungsportfolio einer zentralen Lösung
Die Anforderungen an das Identitäts- und Access Management sind hoch. Um die Komplexität in Management und Pflege dauerhaft zu reduzieren, empfiehlt es sich, eine zentrale Lösung für das gesamte Unternehmen zu implementieren. Diese sollte folgendes leisten:
Zwei-Faktor-Authentifizierung und Verschlüsselung
Eine grundlegende Aufgabe ist es, alle User sicher zu authentifizieren. Dies gelingt am besten über zwei Faktoren (Besitz und Wissen). Realisieren lässt sich dieser Ansatz beispielsweise über Smartcards: Der User gibt in die Oberfläche einer webbasierten Zugangssoftware seine persönliche PIN ein, ein angeschlossener Kartenterminal liest die Personendaten auf der Smartcard und verifiziert sie über einen entsprechenden Server. Das Verfahren hat jedoch den großen Nachteil, dass das eingesetzte Endgerät immer mit einem Smart Card Reader verbunden sein muss. Für den mobilen Zugangsschutz eigenen sich die Cards aus diesem Grunde kaum. Die gleiche Problematik hat die Authentifizierung über so genannte Public Key Infrastrukturen (PKIs) in Verbindung mit Smart Cards. Eine PKI für sich alleine ist ein Verfahren zur Ver- und Entschlüsselung von Daten. Die Teilnehmer erhalten einen geheimen privaten Schlüssel (Private Key) und einen öffentlichen Schlüssel (Public Key). Den öffentlichen Schlüssel können sie zum Verschlüsseln und zum Überprüfen einer digitalen Signatur, den privaten zum Entschlüsseln und zum Signieren von persönlichen Daten einsetzen. Verschlüsselte Daten sind entsprechend nur mit dem dazugehörigen privaten Schlüssel lesbar. Um das PKI-Schlüsselpaar zur Authentifizierung von Usern zu nutzen, bedarf es noch des Faktors Besitz, den in der Praxis eben oft eine Smart Card abdeckt. Diese speichert beide Keys sowie zusätzliche Personaldaten. Auch hier sind jedoch die Einsatzmöglichkeiten beschränkt. Ein wesentlich flexibleres Authentifizierungswerkzeug stellen schlüsselanhängergroße Token dar. Sie generieren je Login nach Eingabe einer persönlichen PIN ein einmal nutzbares Passwort. Ein Authentifizierungsserver prüft, ob der Code korrekt ist und schaltet in diesem Fall den Zugang zum sicheren Netz frei. Token-Nutzer können sich von jedem beliebigen Standort aus in das Firmennetz einwählen. Optimal ist, wenn die gewählte IAM-Plattform verschiedene Authentifizierungstechnologien unterstützt.