"Werden sie richtig in eine IT-Umgebung implementiert, machen Smartcards statische Passwörter unnötig und eliminieren damit auch jenen Schwachpunkt, der viele Organisationen angreifbar für APT-Attacken macht", davon ist Julian Lovelock, Senior Director bei ActivIdentity, einem Unternehmen von HID Global und weltweit führendem Anbieter im Bereich Identitätssicherung, überzeugt.
Wer der Ansicht ist, dass eine Lösung mit OTP-Tokens die Sicherheitsanforderungen eines Unternehmens nicht ausreichend abdeckt, für den ist der nächste Schritt deren Ergänzung - oder vielleicht sogar deren Ersatz - durch eine Smartcard-Lösung. Smartcards benötigen keine Seed-Dateien, wodurch ein Angriffspunkt wegfällt. Darüber hinaus können Smartcards, vorausgesetzt detaillierte Fallbeispiele liegen vor und geeignete Workflows sind implementiert, das Leben mit IT-Systemen sogar erleichtern. Wenn dann noch Single-Sign-On-Funktionen und Selfservice-Systeme integriert werden, lassen sich Produktivität und das allgemeine Sicherheitsbewusstsein steigern, ganz zu schweigen von Kosteneinsparungen beim Helpdesk.
"Bevor Sie Ihre IT-Umgebung jedoch um all diese Sicherheitsfunktionen erweitern, sollten Sie beachten, dass für eine einwandfreie, Nutzen bringende Funktion der Sicherheitssysteme, diese in ihrer Gesamtheit berücksichtigt und, wenn möglich, integriert werden sollten. Die Verwendung unterschiedlicher Sicherheitsinformationen für jedes System, wenngleich diese sicher sind, trägt höchstens zur Verwirrung der Nutzer, jedoch kaum zu mehr Sicherheit bei", meint Julian Lovelock.
Es muss also eine strategische Entscheidung zur Auswahl von ein, vielleicht auch zwei, Sicherheitszertifikaten für alle Systeme getroffen werden. Smartcards beispielsweise lassen sich für den Zugang zu Computern, Netzwerken, Anwendungen, VPN und sogar für Türen verwenden. Wem das nicht ausreicht, der kann seine Lösung um OTP-Token erweitern, indem ein sicherer Zugang zu webbasiertem E-Mail von einem Internet-Kiosk oder einem anderen Gerät aus, bei dem der Einsatz von Smartcards eventuell nicht möglich ist, bereitgestellt wird.
"Mit einer bewährten Implementierungsmethodik und einem von erfahrenen Fachleuten umsichtig ausgewählten Integrationsansatz kann dies ohne wesentliche Einschränkungen für Anwendungen, Produktivität oder Nutzer realisiert werden", fasst Julian Lovelock zusammen.
Wer der Ansicht ist, dass eine Lösung mit OTP-Tokens die Sicherheitsanforderungen eines Unternehmens nicht ausreichend abdeckt, für den ist der nächste Schritt deren Ergänzung - oder vielleicht sogar deren Ersatz - durch eine Smartcard-Lösung. Smartcards benötigen keine Seed-Dateien, wodurch ein Angriffspunkt wegfällt. Darüber hinaus können Smartcards, vorausgesetzt detaillierte Fallbeispiele liegen vor und geeignete Workflows sind implementiert, das Leben mit IT-Systemen sogar erleichtern. Wenn dann noch Single-Sign-On-Funktionen und Selfservice-Systeme integriert werden, lassen sich Produktivität und das allgemeine Sicherheitsbewusstsein steigern, ganz zu schweigen von Kosteneinsparungen beim Helpdesk.
"Bevor Sie Ihre IT-Umgebung jedoch um all diese Sicherheitsfunktionen erweitern, sollten Sie beachten, dass für eine einwandfreie, Nutzen bringende Funktion der Sicherheitssysteme, diese in ihrer Gesamtheit berücksichtigt und, wenn möglich, integriert werden sollten. Die Verwendung unterschiedlicher Sicherheitsinformationen für jedes System, wenngleich diese sicher sind, trägt höchstens zur Verwirrung der Nutzer, jedoch kaum zu mehr Sicherheit bei", meint Julian Lovelock.
Es muss also eine strategische Entscheidung zur Auswahl von ein, vielleicht auch zwei, Sicherheitszertifikaten für alle Systeme getroffen werden. Smartcards beispielsweise lassen sich für den Zugang zu Computern, Netzwerken, Anwendungen, VPN und sogar für Türen verwenden. Wem das nicht ausreicht, der kann seine Lösung um OTP-Token erweitern, indem ein sicherer Zugang zu webbasiertem E-Mail von einem Internet-Kiosk oder einem anderen Gerät aus, bei dem der Einsatz von Smartcards eventuell nicht möglich ist, bereitgestellt wird.
"Mit einer bewährten Implementierungsmethodik und einem von erfahrenen Fachleuten umsichtig ausgewählten Integrationsansatz kann dies ohne wesentliche Einschränkungen für Anwendungen, Produktivität oder Nutzer realisiert werden", fasst Julian Lovelock zusammen.
