Virtual Smartcards eliminieren Risiko von schwachen Passwörtern

In unserem Blogbeitrag 123456 oder doch lieber hallo123? haben wir uns mit dem Risiko schwacher Passwörter beschäftigt und warum Unternehmen mit ergänzenden Authentifizierungsmaßnahmen, wie physikalischen Smartcards bzw. Tokens, zögerlich sind.

Sichere Passwörter in Verbindung mit einer Zwei- oder Mehr-Faktor-Identifizierung sind erste Schritte zur Erhöhung der Cybersicherheit.  Mit dem Einsatz von sogenannten virtuellen Smartcards (VSCs) erhalten Unternehmen erhöhten IT-Schutz ohne den initialen Kostenaufwand für die Einführung und den Einsatz physikalischer Smartcards.

A. Was ist eine Smartcard?

Im Bereich der Cybersicherheit sind Smartcards weit mehr als nur einfache Plastikkarten; sie stellen ein fundamentales Werkzeug zur Stärkung der Authentifizierung und des Datenschutzes dar. Im Kern handelt es sich bei einer Smartcard um einen manipulationssicheren Mikrocontroller, der in der Lage ist, kryptografische Operationen sicher auszuführen. Dieser Chip beherbergt private Schlüssel, digitale Zertifikate und andere sensible Informationen, die für die Identifizierung und Autorisierung von Benutzern unerlässlich sind. 

Der entscheidende Vorteil von Smartcards liegt in ihrer Fähigkeit, diese kritischen Daten vom Host-Computer zu isolieren. Das bedeutet, selbst wenn der Computer kompromittiert wird, bleiben die auf der Smartcard gespeicherten Schlüssel geschützt. Für IT-Spezialisten im Gesundheitswesen, in der Fertigung oder in kritischen Infrastrukturen bieten Smartcards eine robuste Lösung für die Zwei-Faktor-Authentifizierung (2FA), da der Besitz der Karte ("etwas, das ich habe") mit dem Wissen einer PIN ("etwas, das ich weiß") kombiniert wird. 

Dies erschwert unautorisierten Zugriff erheblich und trägt maßgeblich dazu bei, sensible Daten und Systeme vor Cyberbedrohungen zu schützen, während gleichzeitig ein hoher Grad an Benutzerfreundlichkeit gewahrt bleibt.

4 Arten von Smartcards

1. Kontaktbehaftete Smartcards: Diese Smartcards erfordern direkten physischen Kontakt mit einem Lesegerät, um Daten auszutauschen. Sie sind bekannt für ihre hohe Sicherheit und werden häufig für Anwendungen wie elektronische Gesundheitskarten oder Bankkarten verwendet.

2. Kontaktlose Smartcards: Im Gegensatz zu ihren kontaktbehafteten Pendants kommunizieren diese Smartcards über Funkwellen (z. B. NFC). Sie ermöglichen eine schnelle und bequeme Nutzung, etwa bei Zugangskontrollsystemen oder kontaktlosen Zahlungsvorgängen.

3. Hybridkarten: Wie der Name schon sagt, kombinieren diese Smartcards die Vorteile beider Welten, indem sie sowohl eine kontaktbehaftete als auch eine kontaktlose Schnittstelle integrieren. Das bietet maximale Flexibilität für verschiedene Nutzungsszenarien.

4. USB-Token: Obwohl sie nicht die klassische Form einer Karte haben, basieren diese kleinen Geräte auf der gleichen Smartcard-Technologie. Sie werden direkt in einen USB-Port gesteckt und dienen oft der sicheren Speicherung von Kryptoschlüsseln für die Authentifizierung oder Datenverschlüsselung.
   
   

B. Virtuelle Smartcards: Die Evolution der sicheren Authentifizierung

Virtuelle Smartcards bieten eine leistungsstarke und flexible Alternative zu ihren physischen Gegenstücken, indem sie die Sicherheitsfunktionen einer Smartcard direkt in Software oder vorhandene Hardware integrieren. Sie emulieren die Funktionsweise einer physischen Smartcard, indem sie kryptografische Schlüssel und Zertifikate sicher speichern und verwalten, typischerweise auf einem geschützten Bereich des Computers. Dies ermöglicht eine starke Authentifizierung, digitale Signaturen und Datenverschlüsselung, ohne dass Benutzer eine physische Karte mit sich führen oder ein Lesegerät anschließen müssen.

Die gängigsten Arten von virtuellen Smartcards

1. Trusted Platform Module (TPM)-basierte virtuelle Smartcards: Dies ist die am weitesten verbreitete Form. Hierbei werden die kryptografischen Schlüssel und die Logik der Smartcard auf einem dedizierten Hardware-Chip, dem Trusted Platform Module (TPM), gespeichert. Das TPM ist ein spezieller Sicherheitschip, der in vielen modernen Laptops und Desktop-PCs integriert ist. Er bietet ein hohes Maß an Schutz vor Manipulation und Auslesen der Schlüssel, da die Schlüssel niemals den TPM-Chip verlassen. Dies bietet die gleiche "Nicht-Exportierbarkeit" und "isolierte Kryptographie" wie eine physische Smartcard.

2. Software-basierte virtuelle Smartcards: Bei dieser Variante werden die Smartcard-Funktionen vollständig in Software implementiert. Während sie eine hohe Flexibilität und einfache Bereitstellung bieten, sind sie in der Regel weniger sicher als TPM-basierte Lösungen, da die Schlüssel in der Regel im Dateisystem des Betriebssystems gespeichert werden und somit potenziell anfälliger für Angriffe sind, wenn das System kompromittiert wird. Sie werden oft für Szenarien eingesetzt, in denen der Komfort über die höchste Sicherheitsstufe gestellt wird oder in denen kein TPM verfügbar ist.

3. Mobile virtuelle Smartcards: Diese nutzen die Secure Element (SE) oder Trusted Execution Environment (TEE) Funktionen in modernen Smartphones oder Tablets, um Smartcard-Funktionalität bereitzustellen. Dadurch kann das mobile Gerät selbst als sicheres Authentifizierungsmittel dienen, beispielsweise für den Zugriff auf Unternehmensressourcen, das Signieren von Dokumenten oder die E-Mail-Verschlüsselung. Dies bietet eine hohe Benutzerfreundlichkeit und macht separate Hardware-Token überflüssig.

4. Server-basierte virtuelle Smartcards (Cloud-basierte): In diesem Ansatz wird die Smartcard-Funktionalität nicht auf dem Endgerät, sondern auf einem zentralen Server oder in der Cloud bereitgestellt. Die Schlüssel werden sicher in Hardware Security Modules (HSMs) auf dem Server gespeichert, und die Kommunikation zwischen dem Client und dem Server erfolgt über verschlüsselte Kanäle. Dies ist besonders vorteilhaft für große Unternehmen und Organisationen, die eine zentrale Verwaltung und Skalierbarkeit benötigen, und ermöglicht den Zugriff auf Smartcard-basierte Authentifizierung auch von Geräten ohne eigenes TPM.
   
   

C. Vorteile virtueller Smartcards

Nachdem wir uns mit den verschiedenen Arten von virtuellen Smartcards vertraut gemacht haben, ist es entscheidend, die signifikanten Vorteile zu beleuchten, die sie gegenüber ihren physischen Pendants bieten. Diese Vorzüge sind nicht nur für IT-Spezialisten in Branchen wie dem Gesundheitswesen, der Fertigung oder kritischen Infrastrukturen relevant, sondern auch für jeden, der die Sicherheit und Effizienz seiner digitalen Identität verbessern möchte. Virtuelle Smartcards transformieren die Art und Weise, wie wir uns authentifizieren und auf sensible Daten zugreifen, indem sie Komfort, Kosteneffizienz und verbesserte Sicherheit vereinen.

Hier sind die wichtigsten Vorteile im Überblick:

• Deutliche Kosteneinsparungen: Einer der größten Vorteile liegt in der Eliminierung von Kosten für den Erwerb, die Wartung und den Austausch physischer Smartcards sowie die zugehörige Infrastruktur wie Lesegeräte. Dies reduziert die Gesamtbetriebskosten erheblich.

• Erhöhte Flexibilität und Mobilität: Die Produktivität von Mitarbeitern ist nicht länger an das Vorhandensein einer physischen Karte gebunden. Egal ob auf Reisen oder im Homeoffice – mit virtuellen Smartcards können sich Nutzer ortsunabhängig und sicher authentifizieren, ohne auf eine Lieferung warten zu müssen.

• Vereinfachte Bereitstellung und Verwaltung: Virtuelle Smartcards lassen sich deutlich einfacher und schneller bereitstellen und zentral verwalten. Dies ist besonders vorteilhaft in großen Organisationen, da der administrative Aufwand für die Ausgabe, den Widerruf und das Management von Identitäten drastisch sinkt.

• Verbesserte Sicherheit bei Verlust oder Diebstahl: Während der Verlust einer physischen Smartcard ein sofortiges Sicherheitsrisiko darstellt, können virtuelle Smartcards, insbesondere jene, die an ein TPM gebunden sind, nicht einfach gestohlen oder kopiert werden. Der Zugriff erfordert stets die Kenntnis einer PIN, und bei Kompromittierung eines Geräts lassen sich die virtuellen Karten oft schneller und einfacher sperren.

• Nahtlose Integration in bestehende IT-Infrastrukturen: Viele virtuelle Smartcards, insbesondere solche, die auf TPMs basieren, integrieren sich nahtlos in bestehende Windows-Infrastrukturen und Active Directory-Umgebungen, was die Implementierung und Akzeptanz erleichtert.

Die Einführung von virtuellen Smartcards ist somit ein logischer Schritt, um die digitale Sicherheit in einer zunehmend mobilen und vernetzten Arbeitswelt zu gewährleisten, ohne dabei Kompromisse bei der Benutzerfreundlichkeit eingehen zu müssen.

D. Doch wie sieht die Funktionsweise von VSCs aus?

Virtual Smartcards kombinieren Software und vorhandene Hardware zur Sicherung von Daten (z.B. Trusted Platform Modul, TPM) und können wie jedes andere Softwarepaket schnell im Unternehmensnetzwerk verteilt werden. Auch hier entfallen die Kosten und der Zeitaufwand für die Logistik von physikalischen Smartcards. VSCs funktionieren wie physikalisch vorhandene Smartcard-Leser mit einer bereits eingesteckten Karte und werden vom Windows-Betriebssystem ohne zusätzliche Einrichtung als solche erkannt. Sie sind an das jeweilige Gerät gebunden (z.B. PC oder Laptop) und werden wie eine normale Smartcard für die Authentifizierung bei verschiedensten Szenarien eingesetzt: Windows-Benutzeranmeldung, Webanwendungen, E-Mail-Signatur und Verschlüsselung, Dateiverschlüsselung, VPN-Einwahl und viele weitere zertifikatsbasierte Anwendungen.

Eine entsprechende Verwaltung ermöglicht auch mehrere virtuelle Smartcards pro Gerät, die unterschiedlich genutzt werden können. Der TMP-Chip verschlüsselt und sichert die Daten, die auf einer VSC gespeichert werden. Die Chips sind seit einigen Jahren in nahezu allen ausgelieferten Computern verbaut und werden auch für die Festplattenverschlüsselung BitLocker in vielen Unternehmen verwendet. In Zero-Trust-Architekturen lässt sich die virtuelle Smartcard auch zur eindeutigen Identifikation von Geräten verwenden, ohne dass durch einen Benutzer der Zugriff auf die Karte freigeschalten werden muss.

E. DriveLock-Lösung hilft bei der Sicherung von virtuellen Smartcards

DriveLock Virtual Smartcard unterstützt nicht nur TPM-Chips der Version 1.2 und 2.0, sondern auch die Software Guard Extensions (Intel® SGX). Diese ist inzwischen Bestandteil neuerer Intel®-Prozessoren ab Version 7 mit Pro Chipset. Dadurch können dank VSCs Programmcodes von Anwendungen eigene, als Enklaven bezeichnete Speicherbereiche im Laptop oder PC belegen. Die Enklaven sind geschützt vor Prozessen, die auf höherer Privilegierungsstufe ausgeführt werden.

Zusätzlich werden sie mit AES-128 Bit verschlüsselt, sodass ein Auslesen dieses Speichers nicht zum Ziel führt. DriveLock VSC ist für Windows Betriebssysteme ab Windows 7 verfügbar und bietet Support für die Windows Crypto API und den Standard PKCS11. Die ursprünglich von der charismathics GmbH, jetzt Bestandteil von DriveLock, entwickelte Lösung kann ebenfalls in RDP- oder VDI-Umgebungen eingesetzt werden und ist Citrix® Ready.

Lesen Sie mehr in unserem Whitepaper!