sec2scada

Sichere Logins mit Zwei-Faktor-Authentifizierung im Industrieumfeld

Kritische Infrastrukturen werden mit Hilfe der Zwei-Faktor-Authentifizierung, z. B. durch Passwort und Fingerabdruck, deutlich besser geschützt als bisher.© chombosan – fotolia.de

Motivation

Das Herz vieler Kritischer Infrastrukturen sind Leitwarten. Energieversorger und große Wasserwerke werden genauso wie chemische Industrieanlagen und Raffinerien zentral von ihnen überwacht und gesteuert. Diese Aufgabe erfüllen sehr spezielle Rechner- und Anwendungssysteme. Ein unautorisierter Eingriff durch das Bedienpersonal oder durch externe Angreifer kann katastrophale Folgen nach sich ziehen. Leib und Leben von Bürgerinnen und Bürgern könnten in Gefahr geraten. Entsprechend sind diese zentralen Überwachungs- und Steuerungseinrichtungen durch eine Vielzahl von Sicherheitsmaßnahmen geschützt: Zum einen gibt es eine strenge Trennung von unsicheren Netzen wie dem Internet oder dem Büro-IT-Netz und zum anderen eine physische Trennung mit überwachten Zugangstüren. Eine Schwachstelle sehr vieler Einrichtungen ist jedoch die unzureichend gesicherte Benutzerauthentifizierung an den zentralen Rechnersystemen.

Ziele und Vorgehen

Das Ziel des Vorhabens ist eine neuartige Absicherung für diese speziellen Rechnersysteme, die mittels eines zentral administrierbaren Identitäts- und Berechtigungsmanagements mit einer sogenannten Zwei-Faktor-Authentifizierung funktioniert. Darunter versteht man die Identifikation des Benutzers anhand zweier voneinander unabhängiger Komponenten – sogenannter Faktoren. Während typischerweise der erste Faktor aus einer Benutzerkennung und einem Passwort besteht, stellt der zweite Faktor ein biometrisches Merkmal wie einen Fingerabdruck oder den Besitz einer speziellen Hardwarekomponente (etwa einer Chipkarte) dar. Ist wenigstens ein Faktor falsch oder fehlt, wird der Zugriff verweigert. Im industriellen Umfeld ist schon eine einfache Authentifizierung an den zentralen Überwachungs- und Steuerungseinrichtungen wenig verbreitet. Eine Sicherung mittels mehrerer Faktoren ist nur bei besonders kritischen Fernzugriffen üblich. Im Projekt wird die Integration moderner Authentifizierungsverfahren mit dem Augenmerk auf hohe Benutzerfreundlichkeit, universeller Einsetzbarkeit und geringem administrativen Aufwand untersucht.

Innovationen und Perspektiven

Im Rahmen dieses Projektes wird eine Vielzahl von Identifikationsmerkmalen – angefangen von Chipkarten bis zur menschlichen Iris – auf Eignung für die Verwendung in Leitsystemen untersucht und in die Projektlösung mit eingearbeitet. Diese ist in den meisten der verwendeten Rechner- und Anwendungssystemen für industrielle Leitwarten einsetzbar. Die angestrebten Authentifizierungs- und Autorisierungsmechanismen übertreffen dabei geltende Sicherheitsanforderungen deutlich und stärken so die zivile Sicherheit.