Authentifizieren per SMS

Andreas Roesler-Schmidt

Sans Souci ist ursprünglich Spezialist für Individualsoftware, stieß aber beim Thema Absichern von Netzwerken immer wieder auf die Herausforderung, dass die Installation und Anwendung einfacher sein müsste. So entstand smsRadius, das man intern bereits seit zweieinhalb Jahren einsetzt, seit kurzem aber auch als Produkt anbietet. Entsprechend ist man auch noch auf Partner- bzw. Händlersuche.

smsRadius benützt zur Authentifizierung zwei Faktoren - einen PIN, den der User kennt, sowie einem wechselnden Code. Anders als bei anderen Authentifizierungssystemen wird dieser jedoch nicht von einer Codekarte, USB-Stick oder ähnlichem erzeugt, sondern dem User per SMS auf sein Mobiltelefon übermittelt. "Anders als eine Karte, die man hin und wieder doch liegen lässt, hat man das Handy als täglichen Gebrauchsgegenstand immer bei sich", sieht Sans Souci IT Geschäftsführer Nikolaus Gornik sein Produkt im Vorteil. "User akzeptieren das System auch viel schneller, weil sie an ihr Handy ohnehin gewöhnt sind. Anstelle zusätzlicher Hardware nützt man das vorhandene Handy für eine weitere Anwendung. Ein Handy lässt sich, wenn es gestohlen wurde, außerdem viel schneller sperren und ersetzen als eine Codekarte".

Der Authentifizierungsvorgang sieht in der Praxis folgendermaßen aus: Wenn sich der User anmelden muss, fordert er ein Token an, indem er eine SMS an den smsRadius Server sendet. Dieser prüft, ob die SMS von einem autorisierten Mobiltelefon stammt und zu welchem Benutzer es gehört. Ist der User autorisiert, wird ein Token generiert und als SMS an das Mobiltelefon gesendet. Dieser Token ist zusammen mit dem permanenten PIN das momentan gültige Passwort des Benutzers, das er in der jeweiligen Applikation eingeben muss. Durch das Radius-Protokoll lassen sich sämtliche Client-Anwendungen integrieren. Alternativ können die Tokens auch über eine verschlüsselte Webseite angefordert werden (sofern diese Funktion vom Administrator gewünscht ist). Auch dann erhält der User den Token per SMS.

"Wir richten uns nicht nur an große Kunden", sagt Gornik. Ab rund 1600 Euro kann auch ein kleineres Unternehmen mit 5 Lizenzen einsteigen. Das Produkt war ursprünglich sogar vornehmlich für den KMU-Bereich gedacht. "Nur war dann dir Resonanz auch bei den größeren vorhanden." Gerade für KMUs ermögliche smsRadius den Einstieg in die sichere Authentifizierung: "Unsere Lösung ist wesentlich günstiger, als vergleichbare Modelle, bei denen jeder User mit Hardware ausgestattet werden muss." smsRadius kommt als Komplettpaket bestehend aus Server-Hardware, Software, GSM-Modem, Konfiguration, Installation sowie Support.

Vertrauen verpflichtet

Unter den bisherigen Kunden finden sich Versicherungen, eine Zeitung sowie eine Agentur. Stolz ist Gornik dabei besonders darauf, die Österreichische Volksbanken AG als Kunde gewonnen zu haben: "Wenn ein Finanzdienstleister unserem Produkt vertraut, zeigt das natürlich wie sicher es ist." Etwa 120 Teleworker hat die Volksbank über smsRadius eingebunden. Angenehm ist für die Volksbank dabei, dass keine Reinvestitionen notwendig sind. Die Mitarbeiter benötigen keinerlei zusätzliche Hardware. Auch die einfache Benützung und der geringe Schulungsaufwand durch die Verwendung von Mobiltelefonen hat sie überzeugt. "Wir haben schon viele Produkte gesehen, die zwar Sicherheit bieten, jedoch für die tägliche Benutzung einfach zu kompliziert sind. Wir haben das bei smsRadius vermieden und eine einfache Lösung geschaffen", weiß Gornik.

http://www.smsradius.at