NEWSLETTER 10 | 2009

Eine im Auftrag von TC TrustCenter durchgeführte Untersuchung in deutschen Unternehmen zur Handhabung der Remote Access-Sicherheit hat gezeigt, dass PKIs bereits bei 77% der Unternehmen im Einsatz sind.

Nach wie vor stellt zwar die Kombination Benutzername/Passwort das gebräuchlichste Verfahren im Remote Access-Bereich dar (bei 99% der befragten Unternehmen im Einsatz), aber parallel dazu setzten sich Public Key Infrastrukturen im Hintergrund unaufhaltsam durch.

Die im August 2009 durchgeführte TC TrustCenter Umfrage konzentrierte sich auf die Handhabung der Remote Access-Sicherheit in deutschen Unternehmen. Befragt wurden Unternehmen aus den Bereichen IT-Dienstleistung, Consulting, Versicherungen und Versorger.

Eine „hohe Sicherheit“ zählt dabei zu den am meisten genannten Auswahlkriterien für eine Remote Access-Lösung. Zu weiteren Kriterien, die als entscheidender Vorteil der PKI angesehen werden, zählen in abnehmender Wichtigkeit auch der geringe Administrationsaufwand, die leichte Sperrbarkeit des Zugangs bei Verlust oder Ausscheiden von Mitarbeitern sowie ein nur geringer Schulungsbedarf für PKI-Nutzer und der schnelle Ersatz bei Verlust, Defekt oder Vergessen eines Zugriffstoken.

Widersprüche zum Wunsch nach hoher Sicherheit zeigen sich allerdings bei der Auswahl des Trägermediums für digitale Schlüssel und Zertifikate. Die sehr sicheren Hardware-Token und Trusted Platform Modules (TPM) werden nämlich noch relativ selten eingesetzt: Hardware-Token sind beispielsweise nur bei etwa 24% der befragten Unternehmen bereits im Einsatz oder in Planung, TPMs kommen nur bei 25% zum Einsatz. TPMs sind Crypto-Chips im Notebook, die quasi wie eine eingebaute Smart Card funktionieren. Dort kann der geheime Schlüssel sicher hinterlegt werden.

Wer Interesse hat, sich die ausführlichen Studienergebnisse durchzulesen, kann die Studie über TC TrustCenter erhalten. Bitte senden Sie dafür eine E-Mail an christiane.trost@trustcenter.de.

Mehr zur Remote Access Studie

Besuchen Sie TC TrustCenter auf der it-sa 2009 – der IT Security-Messe in Nürnberg. Vom 13.-15. Oktober finden Sie uns in der IAM-Area in Halle 5, Stand 5-121.

Unser Top Thema: PKI – Gewinner in allen Disziplinen: einfach, schnell preiswert

PKI hat sich still und heimlich zum Erfolgsmodell entwickelt. Sie punktet in allen Disziplinen des modernen Businessalltags und findet so immer mehr Fans. Digitale Zertifikate sind in vielen geschäftskritischen Anwendungen bereits selbstverständlich. Ihre Stärken beweisen sie zum Beispiel in der verlässlichen Authentifizierung von Geräten und Personen beim Zugriff auf Unternehmens-Netzwerke, vertrauliche Daten und VIP-Inhalte, im Kampf gegen Phisher in E-Mails und auf Websites, im Bereich Content Security für mobile Anwendungen oder zum Schutz vor Dokumenten-Manipulation zum Beispiel in der Dokumentenarchivierung oder bei digitalen Rechnungen.

Und unsere Managed Service Lösungen machen aus PKI den unbestreitbaren Gewinnertyp: schnell beim Ausrollen, einfach in der Handhabung und schonend fürs Budget. Ob aus einem einzelnen Anlass für nur eine Anwendung oder unternehmensweit als Security Backbone: Mit unserer PKI on Demand bestehen Sie jeden Wettkampf.

Für Unternehmen, die besonderes Augenmerk auf die Homogenität Ihrer IT-Systeme legen, dürfte die neu vorgestellte Integration der TC Enterprise ID Produktgruppe in das Identity Lifecycle Management von Microsoft von Interesse sein. Der Forefront Identity Manager 2010 (FIM) – ehemals "Microsoft Identity Lifecycle Manager 2" - unterstützt aus einem Guss den gesamten Provisioning-Prozess. Dabei können unterschiedliche Datenquellen genutzt und synchronisiert werden (z.B. die Personalstammdaten mit dem Active Directory Server). Die Ausstellung und Verwaltung von unterschiedlicher "Credentials", u.a. auch Zertifikate, ist vollständig integriert und bietet  komfortable Self-Service Tools für den Endbenutzer auf Basis von Sharepoint und Microsoft Outlook.

Mit dem neu vorgestellten ILM Feature rundet TC TrustCenter die nahtlose Integration der TC Enterprise ID Produktgruppe in Microsoft Umgebungen ab. Über die Bereitstellung sämtlicher Zertifikatstemplates der Microsoft Welt, der Unterstützung des einfachen Zertifikatsrollouts über den TC AutoEnrollment Server sowie die Schnittstelle zum Microsoft Forefront Identity Manager 2010 (FIM) bietet die TC Enterprise ID alle Vorteile einer On Demand PKI ohne Verzicht auf die gewohnten und komfortablen Microsoft Funktionalitäten.

Melden Sie sich über unsere Webseite an und wir schicken Ihnen Ihre Eintrittskarte für die it-sa zu. Wenn Sie möchten, vereinbaren Sie gleich einen Gesprächstermin bei uns auf dem Messestand.

Anmelden und Termin vereinbaren

Mehr über die it-sa 2009

Die TC TrustCenter On-Demand-Dienste werden von der Unified Test Initiative (UTI) für das Management digitaler Zertifikate eingesetzt, um Java-Entwicklern in aller Welt, die das neu aufgesetzte Java Verified-Programm nutzen, eine Mobile Code Signing-Plattform zur Verfügung zu stellen. UTI ist eine Kooperationsinitiative der Mobilfunkindustrie, die darauf zielt, Angebot und Nachfrage nach hochwertigen mobilen Java-Applikationen durch eine geringere Fragmentierung zu steigern. Das wird erreicht durch die Bereitstellung einer umfangreichen Test-Infrastruktur, bekannt als „Unified Testing Criteria“, mit der Java-Entwickler ihre Applikationen testen können.

Der UTI gehören folgende Mitglieder an: ACCESS, LG Electronics, Motorola, Nokia, Orange, Samsung, Sony Ericsson, Sun Microsystems und die Vodafone Group. Das Java Verified-Programm wird von der UTI verwaltet und ist in der Mobilfunkindustrie bereits seit mehr als fünf Jahren im Einsatz. Es bietet einen neuen, effizienten Test- und Zertifizierungsprozess, der die Sicherheitsprüfungs- und Zertifizierungs-Services von TC TrustCenter einschließt.

Die Programm-Erweiterungen stellen Entwicklern ein Instrumentarium zur Verfügung, das die Qualität während des gesamten Prüfprozesses sicherstellt sowie die Möglichkeit bietet, Applikationen an einer größeren Anzahl an Geräten zu testen, was erhebliche Kosteneinsparungen im Vergleich zu früheren Modelltests bedeutet. Applikationen, die das Java Verified-Testprogramm erfolgreich durchlaufen haben, werden digital signiert und gehen dann zurück an den Entwickler. Damit erhalten sie ein besonderes Qualitätssiegel, das ihre Markeinführung erheblich beschleunigt und es möglich macht, die Applikationen ohne größere Sicherheitsprobleme auf dem Gerät zu betreiben.

Die Java-Plattform wird bisher bereits von geschätzt sechseinhalb Millionen Software-Entwicklern genutzt und ist damit die größte und aktivste Entwickler-Community der Welt. Java wird mittlerweile in mehr als viereinhalb Milliarden Produkten eingesetzt, darunter über 800 Millionen PCs, 2,1 Milliarden Mobiltelefone und andere Handheld-Produkte, dreieinhalb Milliarden Smart Cards sowie in einer Reihe weiterer Geräte.

Weitere Informationen zum Java Verified-Programm

Weitere Informationen zur TC Publisher ID for Java Verifierd

Die sichere und vertrauenswürdige Authentisierung von Servern und die verschlüsselte Datenübertragung bei der Kommunikation zwischen Client und Server wird erst mit SSL-Zertifikaten technisch möglich. TC TrustCenter bietet seinen Kunden SSL-Zertifikate basierend auf drei unterschiedlichen Registrierungsstufen an: DV, OV und EV. Diese drei unterschiedlichen Registrierungsstufen bilden unterschiedliche Niveaus ab, hinsichtlich dessen die Identität des Zertifikatinhabers geprüft wurde.

Domain Validation: DV
DV (Domain Validation) SSL Zertifikate können innerhalb kürzester Zeit ausgestellt werden und basieren auf einem einfachen Registrierungsprozess. Über eine who-is Abfrage der fraglichen Domain wird die administrative Kontaktperson über die hinterlegte E-Mailadresse über den anstehenden Zertifizierungswunsch informiert und muss diesen ebenfalls per E-Mail bestätigen. Daraufhin wird das SSL Zertifikat ausgestellt und an die hinterlegte Email Adresse gesendet.

DV SSL Zertifikate sind beispielsweise die von TC TrustCenter angebotenen QuickSSL-Zertifikate. Wir weisen daraufhin, das DV SSL Zertifikate nicht geeignet sind, um externen Kunden die Möglichkeit von online Transaktionen zu ermöglichen. Sie sind beispielsweise geeignet für die interne Kommunikation.

Organisation Validation: OV
Für die Ausstellung von OV (Organisation Validation) SSL Zertifikaten werden die Angaben zur Organisation einer genauen Prüfung unterzogen. Anhand von Papierdokumenten und Unterschriften muss der Antragsteller die Existenz und Identität des Unternehmens nachweisen. Die Bezeichnung der Organisation wird dann auch als Teil der Antragsdaten mit in das SSL Zertifikat aufgenommen.

Die von TC TrustCenter angebotenen TrueBusinessIDs sind OV SSL-Zertifikate.

Extended Validation: EV
EV (Extended Validation) SSL Zertifikate bieten den höchsten derzeit am Markt verfügbaren Sicherheitsstandard bei der Überprüfung des Antragstellers im Rahmen von SSL Zertifikaten. Sie unterscheiden sich auch durch ein zusätzliches technisches Feature von den OV und DV SSL Zertifikaten - die Browserzeile färbt sich grün. Die Identität, Funktionsbezeichnung und das Beschäftigungsverhältnis des Antragsstellers wird mit Hilfe einer unabhängigen Quelle überprüft. Im Rahmen der Antragsbearbeitung werden alle Zertifikatsdaten auch telefonisch überprüft. Die Telefonnummer hierfür wird unabhängig von der im Antrag angegebenen Telefonnummer ermittelt.

Die TrueBusinessID with EV ist das von TC Trustcenter angebotene EV Zertifikat.