Die SuisseID in Unternehmen
Quelle: Vogel.de

Die SuisseID in Unternehmen

Die neue SuisseID bietet Unternehmen in Kombination mit ergänzenden Sicherheitskonzepten vielfältige Nutzungsmöglichkeiten und Synergiepotentiale.

Artikel erschienen in Swiss IT Magazine 2010/07

     

Seit Mai ist die SuisseID, der erste standardisierte elektronische Identitätsnachweis der Schweiz, in Form eines USB-Sticks oder einer Chipkarte erhältlich. Der Kauf wird durch den Bund im Rahmen einer Subvention derzeit stark unterstützt, denn laut Bundespräsidentin Doris Leuthard ist die SuisseID «eine elementare Grundlage für eine effiziente Anwendung von E-Government und E-Economy».


Um diese «Grundlage» insbesondere im Unternehmenseinsatz möglichst effizient nutzen zu können, kann einerseits die Basisfunktionalität der SuisseID genutzt werden, andererseits ist es zweckmässig, sie als ein weiteres Element in einer ganzheitlichen Sicherheitsarchitektur eines Unternehmens zu integrieren. Erst auf diese Weise kann das volle Potential ausgeschöpft werden.



Bestandteile der SuisseID

? Qualifizierte elektronische Signatur: Nicht zuletzt, um die Zeitvorgabe des Bundesrates für die Umsetzung der Initiative bis Ende dieses Jahres einzuhalten, aber auch, um die bereits etablierten Sicherheitsmechanismen der akkreditierten Zertifikatsdienstanbieter nutzen zu können, beinhaltet die SuisseID ein ZertES-konformes Signaturzertifikat. Das schweizerische Signaturgesetz (ZertES) schreibt die Regularien für die technischen und organisatorischen Rahmenbedingungen vor, die bei der Nutzung der SuisseID für rechtsverbindliche elektronische Unterschriften einzuhalten sind.


? Elektronischer Identitätsnachweis: Im Gegensatz zur elektronischen Signatur existiert für den elektronischen Nachweis der Identität keine vergleichbare Gesetzgebung. Dennoch haben sich die Zertifikatsanbieter der Suisse-ID (Swisscom, Swisssign, BIT und Quovadis) im Rahmen der Spezifikation verpflichtet, für die Ausgabe und Verwaltung der Authentifizierungszertifikate die gleichen Rahmenbedingungen zu erfüllen, wie dies bei den Signaturzertifikaten der Fall ist. Hierdurch wird nicht nur eine vergleichbare Qualität des Sicherheitsniveaus dieser Zertifikate erreicht, sondern durch die standardisierte Vorgehensweise ist auch sichergestellt, dass die von einem Anbieter ausgegebenen Zertifikate auch durch die Dienste der anderen Anbieter akzeptiert und geprüft werden können.

Mit dieser – zwischen den Zertifikatsdiens-teanbietern abgestimmten – Infrastruktur besteht erstmalig auch die Chance, dass Online-Dienstanbieter im Schweizer Markt auf eine standardisierte Plattform aufsetzen können. Somit wird für Signatur- und Authentisierungsanwendungen eine organisations- und unternehmensübergreifende Nutzung auf Basis der SuisseID möglich.


? Elektronischer Funktionsnachweis: Die Spezifikation der SuisseID beschränkt die persönlichen Daten des Inhabers, die im Zertifikat auf der Karte oder dem USB-Token hinterlegt werden müssen, auf die minimal notwendigen Einträge wie Name, Vorname und SuisseID-Nummer. Da jedoch für den berechtigten Zugriff, zum Beispiel auf die im Internet angebotenen Dienste eines Unternehmens, zur Beschreibung des SuisseID-Inhabers meist noch zusätzliche Attribute wie Firma, Abteilung, Funktionsbezeichnung etc. benötigt werden, können diese Zusatzinformationen unter Kontrolle und Zustimmungspflicht des SuisseID-Inhabers von einem sogenannten Identity Provider Service (IPS) bezogen werden. Dieser Dienst wird entweder durch die oben genannten Zertifikatsanbieter selbst oder durch Dritte – sogenannte Claim Assertion Provider – erbracht.


SuisseID als Authentisierungslösung

Widmen wir uns nun den möglichen Einsatzszenarien der SuisseID in Unternehmen. Bisher sind die Mehrzahl der IT-Services und Applikationen durch eine schwache Authentisierung mit Benutzername und Passwort geschützt. Die mit der Anzahl der Dienste parallel ansteigende Anzahl der Passwörter, die eine Person benötigt, führt dazu, dass sowohl der Umgang damit (Post-it, unternehmensinterne Weitergabe) als auch deren Auswahl (übereinstimmende Passwörter, seltener Wechsel) ein adäquates Sicherheitsniveau beim Zugriff nicht sicherstellen kann. Die Verwaltung und der Zugriff zu einer zentralisierten PKI-Infrastruktur waren andererseits bisher nur sehr aufwendig zu realisieren.



Die SuisseID-Chipkarte könnte in Unternehmen deshalb zukünftig zur Anmeldung an den unternehmenseigenen IT-Systemen genutzt werden. Die hierzu eventuell notwendigen Anpassungen für eine individualisierte Ausgabeversion (z.B. mit Firmenlogo) können mit den Zertifikatsanbietern koordiniert werden. Eine weitere Voraussetzung bildet die Befähigung der jeweiligen Applikationen, eine Authentisierung mittels SuisseID auch zu verarbeiten. Die hierzu notwendige Integration kann mit Toolkits (.Net oder Java) für die einzelnen Programme sichergestellt werden.


Authorisierung und SSO

Lösungsanbieter wie Siemens gehen noch einen Schritt weiter: Sie bieten die Möglichkeit, die Authentisierung der SuisseID beispielsweise direkt an einer Portaloberfläche zu verifizieren und anschliessend über ein zentrales Identity- und Access-Management (IAM) den Zugriff auf alle mit diesem IAM verbundenen Applikationen sicherzustellen.


Der Vorteil dieser Vorgehensweise liegt darin, dass die SuisseID-Integration mit dem IAM-Produkt durch den jeweiligen Lösungsanbieter sichergestellt wird. Über diesen zentralen Zugriffspunkt kann sowohl ein Single-Sign-on (SSO) sowie eine zentrale Autorisierung für alle Applikationen als auch ein zentrales Monitoring, Reporting und Audit der Zugriffe auf diese Applikationen in Verbindung mit der SuisseID realisiert werden.



Wichtige Informationen ergänzen

Der Inhalt der Attribute, die durch den Suisse-ID IPS geliefert werden, ist standardisiert und beschreibt in der Regel ausschliesslich spezifische Merkmale des SuisseID-Eigentümers, wie Geburtsdatum, Geburtsort, Schweizer Bürger/in oder Ähnliches. Diese Informationen sind für die Verwendung im Autorisierungswesen eines Unternehmens oft nur bedingt nutzbar und müssen in den meisten Fällen mit firmenspezifischen Daten ergänzt werden. Wenn zum Beispiel für den Zugang zu einem Web-Service des eigenen Unternehmens die Ausprägung des Zugriffsrechtes von der Abteilungszugehörigkeit des zugreifenden SuisseID-Inhabers abhängt, so kann dieses Zusatzattribut als Eingangsgrösse für die Autorisierungssteuerung des jeweiligen Dienstes definiert werden.

Die Übertragung der personenspezifischen Zusatzattribute, die nicht im Zertifikat der SuisseID enthalten sind, wird vom Zertifikatsinhaber selbst gesteuert. Auch für diesen Einsatzzweck existieren heute von Standard-Software-Anbietern bereits entsprechende Lösungsmodule, die es ermöglichen, Attribute wie Kostenstelle oder Abteilung als ergänzende Information hinzuzufügen.


Diese Zusatzdaten werden in der Regel im eigenen Unternehmen an zentraler Stelle administriert und mutiert. Eine Auslagerung an einen externen Identity-Provider als Dienstleister kann zwar erfolgen, wird jedoch aus Geheimhaltungs- und Geschwindigkeitsgründen meist nicht in Erwägung gezogen.


Zentrale Berechtigungsverwaltung

Durch die SuisseID wird im ersten Schritt die Identität des Inhabers zweifelsfrei feststellbar. Um Anforderungen von Compliance und Datenschutz zu erfüllen, muss darüber hinaus aber auch die Nachvollziehbarkeit gewährleis-tet sein: Welcher SuisseID-Nutzer hat wann auf welche Daten und mit welchen Berechtigungen zugegriffen? Der elektronischen Identität des bereits erfolgreich authentifizierten SuisseID-Nutzers sollte daher im Unternehmen über ein zentrales Berechtigungssystem eine Rolle zugewiesen werden. Erfolgt ein Wechsel des Funktionsbereiches, beispielsweise zu einer anderen Abteilung, so werden die damit verbundenen Rechte gemäss der neuen Rolle für die angeschlossenen Systeme und Anwendungen in einem einzigen Schritt geändert oder beim Ausscheiden eines Mitarbeiters ebenso schnell entzogen.


SuisseID als Mitarbeiterausweis

Falls ein Unternehmen die Chance nutzen möchte, die SuisseID-Chipkarte gleichzeitig als Mitarbeiterausweis zu nutzen, ist eine frühzeitige Kommunikation dieser Prämisse mit dem SuisseID-Anbieter und einem geeigneten Integrator zweckmässig. Häufig möchte man einen Mitarbeiterausweis nämlich neben den Funktionen Authentisierung und Signatur auch für die Zutrittskontrolle, die Zeiterfassung oder bargeldlose Zahlungsvorgänge an Selbstbedienungsautomaten verwenden.


Damit solche Funktionen ebenfalls mit der SuisseID-Chipkarte abgedeckt werden können, muss bereits beim Kartendesign eine vom Lieferstandard abweichende Spezifikation erstellt werden. Beispielsweise könnte das Einbetten einer kontaktlosen Chiptechnologie auf der gleichen Chipkarte notwendig werden. Auch auf dem Kryptochip der Smartcard können neben dem Schlüsselmaterial der Zertifikate noch weitere Applikationsdaten benötigt werden. Ein intelligentes Passwortmanagement (SSO) für alle nicht Suisse-ID-fähigen Applikationen wäre eine weitere mögliche Ergänzungsoption.


Diese beiden Beispiele zeigen, dass die Notwendigkeit der Analyse der potentiellen Anwendungsfälle bereits in der Beschaffungsphase der Karten oder Tokens unbedingt zu berücksichtigen ist.



Fazit und Ausblick

Bezugnehmend auf die zu Beginn zitierte Aussage von Bundespräsidentin Leuthard, fokussiert dieser Artikel bisher nur auf den Bereich der E-Economy. Aber auch im E-Government werden derzeit und bis voraussichtlich 1. Januar 2012 wesentliche rechtliche Voraussetzungen für eine konsequente Nutzung der SuisseID geschaffen, im Rahmen von laufenden Totalrevisionen der Grundbuchverordnung und der Regelungen für elektronische, öffentliche Beurkundungen gemäss Art 55a des schweizerischen Zivilgesetzbuches (ZGB).


Für beide Bereiche, E-Economy und E-Government, gilt jedoch gleichermassen: Ohne eine für den Anwender möglichst einfach nutzbare Integration in bestehende IT-Prozesse wird die Akzeptanz für die SuisseID und damit auch deren Nutzen und Verbreitung in der Schweiz nur sehr langsam zunehmen. Eine Integration der SuisseID-Dienste in bestehende IT-Verfahren, oder die Adaption dieser Verfahren an die neu verfügbaren Nutzungsmöglichkeiten der SuisseID sind somit zwingende Voraussetzung für deren Erfolg.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER