Dr. Peter Koch

Smartcard-Authentifizierung bei der Nordrheinischen Ärzteversorgung

Open-Source für ein sicheres Anmeldeverfahren

Die Nordrheinische Ärzteversorgung verwaltet die Rentenbeiträge von rund 43.000 Mitgliedern mit einem jährlichen Beitragsaufkommen von über 400 Millionen Euro. Die Einrichtung suchte nach einer sicheren Alternative zur Passwortanmeldung und fand diese in einer Kombination aus Open-Source-Komponenten.

Seit vier Jahren melden sich die Mitarbeiter der Nordrheinischen Ärzteversorgung an allen Systemen ausschließlich mit ihrem als Smartcard implementierten Mitarbeiterausweis an. Alle Anwendungen greifen bei der Anmeldung auf den in der Tastatur eingebauten Kartenleser und die dort befindliche Smartcard zu. Die Smartcard selbst muss der Benutzer zuvor durch die Eingabe einer 6-stelligen PIN freischalteten.

Dieses Verfahren hat die Datensicherheit bei der Nordrheinischen Ärzteversorgung im Vergleich zur herkömmlichen Anmeldung mit Kennwort deutlich erhöht. Für die Mitarbeiter ist die Smartcard zudem bequemer als das Jonglieren mit vielen unterschiedlichen Passwörtern.

Da bei der Suche nach einer sicheren Alternative zur traditionellen Anmeldung per Passwort keine kommerzielle Lösung den Anforderungen der Nordrheinischen Ärzteversorgung genügte, griff das IT-Team in die Werkzeugkiste und erstellte ein eigenes System, das auf der freien Software OpenSSL und OpenSC aufsetzt. Das Vorgehen hat gegenüber einer kommerziellen Lösung deutlich Kosten gespart und eine maßgeschneiderte Lösung möglich gemacht, die höchsten Ansprüchen gerecht wird.

Die Zielsetzung des Projektes "Authentifizierung mittels Mitarbeiterausweis" bestand darin, alle Passwort-Anmeldungen durch ein einheitliches, sicheres, aber dennoch einfach handhabbares Authentifizierungsverfahren zu ersetzen. Man hätte im Prinzip auch schwierig zu erratende Kennwörter erzwingen und die Anwender nötigen können, ihre Passwörter periodisch zu ändern. Das eigentliche Problem jedoch – das Ausspähen oder Weitergeben von Kennwörtern – lässt sich auf diese Art allerdings nicht lösen.

Daher war ein Zwei-Faktor-Verfahren – der Besitz eines einmaligen Gegenstandes plus die Kenntnis einer PIN – das Mittel der Wahl. Die wesentlichen Anforderungen an das neue System waren:

• Eingaben, die zu Authentifizierungzwecken durchgeführt werden, durften nicht ausgespäht werden können – selbst dann nicht, wenn ein Angreifer einen Hardware- oder Software-basierten Keylogger installiert.

• Die Anmeldung sollte mit einem einmaligen Gegenstand erfolgen. Wer dieses Zugangs-Token weitergibt, sollte selbst nicht mehr in der Lage sein, sich anzumelden. Der Verlust des Zugangs-Tokens sollte zudem sofort auffallen.

• Ein Zugangs-Token sollte durch niemanden, auch nicht durch die Administratoren, dupliziert werden können.

• Der Besitz des Zugangs-Tokens sollte bei jedem Anmeldevorgang an den unterschiedlichen Anwendungen und Systemen nachgewiesen werden. Eine Single-Sign-On Lösung, bei der nur einmalig überprüft wird, ob der Mitarbeiter im Besitz seines Zugangs-Tokens ist, empfand die Nordrheinische Ärtzeversorgung als zu unsicher.

• Durch die Verwendung des Zugangs-Tokens auch für die Zutrittskontrolle zum Gebäude inklusive aller Zwischentüren und für die Bezahlfunktion in der Kantine sollte die Wahrscheinlichkeit des "versehentlichen Vergessens" des Gegenstandes weiter reduziert werden.

• Wenn ein Mitarbeiter sein Token verliert oder zu Hause liegen lässt, sollte es eine praktikable Lösung geben.

• Das Anmeldesystem durfte nicht durch die Administratoren der betroffenen Anwendungen und auch nicht durch die Administratoren des Anmeldesystems umgangen werden können.

• Die Lösung sollte ausnahmeslos alle Passwörter ersetzen, nicht nur die von besonders sensiblen Anwendungen, da nur so ein neues Anmeldeverfahren akzeptiert wird.

• Die Lösung musste sich in die vorhandene Infrastruktur einpassen, also mit Unix-Servern (Sun Solaris und Linux) funktionieren. Die Anschaffung und Einrichtung von Microsofts Active Directory oder die komplette Umstellung der Benutzerverwaltung waren keine Optionen, die zur Debatte standen.