Sicherer Zugang ins Firmennetz

Bisher wurden für solche Anwendungen oft Tokens eingesetzt. Diese Tokens, etwa in der Form von Schlüsselanhängern ausgeführt, generieren in kurzen Abständen Zahlencodes, mit denen der User seine Netzwerkanmeldung ergänzen muss. Der Nachteil: Token gehen leicht verloren oder werden vergessen - und der Algorithmus, der die Codes generiert, ist für die oft mehrjährige Lebensdauer des Tokens festgeschrieben.

„SMS Passcode geht hier einen ganz neuen Weg”, erläutert Hans Kasbauer Consultant beim unabhängigen IT-Dienstleister ITdesign. „Der Anwender meldet sich zuerst wie gewohnt mit seinem Anwendernamen und Passwort an. Nach erfolgreicher Eingabe dieser Parameter erstellt SMS Passcode einen One-Time Passcode (OTP), der nur für diese Login Session auf diesem Client gültig ist. Dieser Code wird per SMS an sein Mobiltelefon  übermittelt. Nachdem dieser spezifische OTP-Code eingegeben wurde, erhält der Anwender Zugang zum System.”

Kombination von Sicherheitsmerkmalen

Was SMS Passcode auszeichnet, sind nicht nur die Codeerstellung und der Übertragungsweg. Das Verfahren kombiniert eine Reihe von Sicherheitsmerkmalen, die zum Beispiel „Man-in-the-Middle”-Angriffe nahezu unmöglich machen.

Das beginnt bei den Mobiltelefonen, auf die User erfahrungsgemäß viel besser aufpassen. „Im Falle eines Verlustes oder Diebstahls können IT-Mitarbeiter die hinterlegten Mobiltelefonnummern mite inem Klick löschen oder ändern”, so Kasbauer. Die Codes werden zudem gemäß getroffenen Voreinstellungen als Flash-SMS verschickt. „Diese erscheinen  am Mobiltelefon des Anwenders immer im Vordergrund, egal welche App dort gerade aktiv ist, werden aber  nicht gespeichert”, erläutert Kasbauer. „Der Versand einer normalen SMS kann optional ausgewählt werden.”

Die Anmeldung und die Codeeingabe müssen vom selben Client aus erfolgen. Der Login-Prozess wird zudem über eine Status-Rückmeldung für den Anwender nachvollziehbar gemacht. Das erhöht das Vertrauen der Anwender und reduziert mögliche Supportanfragen. „SMS Passcode ist als Plug-and-Play-Anwendung ausgeführt, lässt sich rasch installieren und auf eine hochausfallsichere Lösung mit mehreren Servern und GSM Modems erweitern.”, so Kasbauer. „Auch der administrative Aufwand im laufenden Betrieb ist gering. Bei tokenbasierenden Lösungen müssen die Hardware-Tokens  regelmäßig ausgetauscht  und deren Zuweisung an die Benutzer entsprechend angepasst werden.”

Das Produkt ist als globale OTP-Verteilungsplattform ausgelegt und ermöglicht eine weltweite ustellung der Passcodes Da diese direkt vom GSM Modem an das Mobiltelefon des Anwenders übertragen werden, erfolgt dies in der Regel innerhalb von wenigen Sekunden.Die aktuelle Version beinhaltet darüberhinaus auch eine Reihe alternativer Passcode-Zustellungsmethoden u.a. auch als Fallback-Aktion z.B. bei mangelndem Mobilfunkempfang. Unterstützt werden alle führenden Log-in-Systeme. Das Starterpack kostet ab rund 1600 Euro und ist für fünf Benutzer ausgelegt. Es enthält eine Basislizenz, eine Lizenz für ein Modem und ein  GSM-Modem.  Je nach Bedarf kann diese Basislizenz kostenpflichtig um Benutzer und Modems erweitert werden.

SMS Passcode in der Praxis

ITdesign ist erster und einziger Gold Partner von SMS Passcode in Österreich und kann bereits auf erfolgreich umgesetzte Projekte verweisen. Zum Beispiel wird bei der Raiffeisen Centrobank das Produkt derzeit von rund 150 Benutzern eingesetzt, die damit Zugang zum Firmenportal erhalten. Das Unternehmen ersetzt die bisher angewandte tokenbasierende Lösung Zug um Zug durch das neue Verfahren. „Raiffeisen Centrobank ist zudem Citrix-Anwender. SMS Passcode ist  Citrix zertifiziert und arbeitet eng mit diesem Hersteller zusammen”, berichtet Kasbauer.

www.itdesign.at