Smartcards und andere Lösungen für starke Authentifizierung

Identity und Access Management 

Smartcards und andere Lösungen 

für starke Authentifizierung 

Raiffeisen Informatik GmbH

Inhalt 

1. Das IAM Competence Center der R-IT 

2. Überblick Starke Authentifizierung 

3. Smartcards und Card Management 

4. Raiffeisen Informatik Smartcard Plattform 

IT 360 GRAD 

Raiffeisen Informatik | 05.11.2013| 2

Das IAM Competence Center der R-IT 

Ihr Partner für Identity und Access Management 

• Competence Center – Kernteam von 10 Mitarbeitern mit 9 Jahren Erfahrung 

in der Beratung, Konzeption und Umsetzung von IAM-Lösungen 

• Beratungskompetenz aus anspruchsvollen Projekten 

in unterschiedlichen Industriezweigen 

• Fertige und erprobte Lösungskomponenten 

für schnelle Umsetzung in neuen Projekten 

• Individueller, plattformunabhängiger Lösungsansatz 

• Ca. ein Dutzend Partnerschaften im IAM-Bereich 

(Hersteller, Integratoren) 

• IAM Komponenten als „Software as a Service“ 

(Identity Management System, Card Management System, 

Strong & versatile Authentication Plattform) 

IT 360 GRAD 



Unsere Leistungen 

Projekt Management, Koordination 

• Analyse 

• Beratung 

• Pilotierung 

• PoCs 

• Implementierung 

• Betrieb 

• Support 

• Projektmanagement und Projektberatung 

• Beratung, Vorstudien, Proof of Concept 

• Analyse Ihrer IST-Prozesse und 

Systemlandschaft 

• Erarbeitung der zukünftigen SOLL-Prozesse 

(User Lifecycle Management, Card Lifecycle 

Management, etc.) 

• Konzeption/Design einer für Sie passenden IAM- 

Lösung (Use Case Design, Systemarchitektur) 

• Implementierungsleistungen 

(Entwicklung, Test, Migration, Inbetriebnahme) 

• 3rd-Level Support 

• IT-Betrieb von IAM-Lösungen 

IT 360 GRAD 



Unsere IAM-Partner 

Hersteller: 

Integratoren: 

IT 360 GRAD 



IAM Kundenreferenzen 

IT 360 GRAD 



Themenbereiche 

Administration 

Authentication 

Authorization 

Audit 

Identity 

Management 

Strong & versatile 

Authentication 

Smartcards 

Externalized 

Authorization 

Management 

Access 

Governance 

Enterprise 

Single Sign-On 

Physical Access 

Identity Federation 

Risk and context based 

Authentication & Authorization 

Privileged Account Management 

IT 360 GRAD 


Inhalt 





IT 360 GRAD 


Überblick Starke Authentifizierung 

Multi-Faktor Authentifizierung 

Von Multi-Faktor Authentifizierung spricht man, wenn zwei oder mehrere der 

Faktoren „haben“, „wissen“, „sein“ zur Authentifizierung herangezogen werden. 

Deutliche Erhöhung der Sicherheit! 


Multi-Faktor 

Authentifizierung 

Benutzer 

„Haben“ 

Digitale 

Identität 

IT Ressourcen 

Anwendungen 

Daten 

Netzwerk 

„Wissen“ 

PIN# _ _ _ _ 

„Sein“ 

IT 360 GRAD 




Unterscheidungsmerkmale und Parameter: 

• Einsatzmöglichkeiten: z.B. Systemanmeldung, VPN, Zugang 

• Devices: Token, Smartcards, Soft-Token 

• Infrastruktur, Betriebskosten: z.B. PKI, OTP, SMS 

• Sicherheitslevel, Stärke der Authentifizierung 

• Flexibilität: z.B. Mobile Anwendungsszenarien 

• Integrationsaufwand 

• Komfort für die Benutzer 

SMS-OTP 

Mobile OTP 

Token OTP 

GRID 

PKI-Token 

Smart Enterprise Guardian (SEG) 

SC mit Kartenleser 

PKI-Card mit OTP-Reader 

IT 360 GRAD 



Beispiel GridSure Token 

Grid-Token sind eine Methode um OTPs (One Time Passwort) 

flexibel zu erzeugen. 

Vorgehen: 

• User bekommt initial ein Grid generiert 

• User überlegt sich einen geheimen Pfad 

• Zahlen auf seinem Pfad entsprechen dem OTP 

Ausspähsicher, flexibel, schnell, ohne physische Hardware 

OTP: 5-5-8-2 

IT 360 GRAD 


Strong & versatile Authentication 

Safenet Authentication Services 

VPN 

Firewall 

Citrix 

USB 

Tokens 

JAVA 

Tokens 

BlackBerry 

Tokens 

VPN 

SSL 

RADIUS 

Agents / API’s 

Outlook 

Remote Web 

Workplace 

SMS 

Tokens 

Citrix CAG, WI, AAC 

Terminal 

Services 

Smartphone 

Tokens 

IIS 

NPS/IAS 

Agents 

Web Apps 

Unix Logon 

Software 

Tokens 

Key Chain 

Tokens 

Grid 

Tokens 

Credit Card 

Tokens 

Apache 

Linux/Unix 

SAML 

LDAP 

Synchronisation 

Agent 

Migration Agent 

IT 360 GRAD 


Strong & versatile Authentication 

Safenet Authentication Services 

• Unterstützt Vielzahl von Authentifizierungs-Usecases 

• Unterschiedliche Formfaktoren und Methoden (Hard-/Softtoken, Grid, SMS) 

• Unterstützung alle wichtigen Betriebssysteme (inkl. mobile OS) 

• Integration in verschiedene Plattformen möglich (SAML, Radius, IIS, Citrix) 

• Als Cloud Service konzipiert 

• Self Provisioning & Billing 

• User-Import aus LDAP via HTTPS 

• Volle Multi-Mandanten Unterstützung 

IT 360 GRAD 


Inhalt 





IT 360 GRAD 



Vorteile von Smartcards 

Smartcard 

Einsatzmöglichkeiten 

• IT Login 

• Zugangssysteme 

• Elektronische Signatur 

• E-Mail-Verschlüsselung 

• Zeiterfassung 

• Bezahlfunktionen 

• Teleworking / VPN 

• Ausweisfunktion (ID) 

• Vielfältigste Einsatzszenarien 

• Bewährte Technologie in verschiedensten 

Preisklassen (Karten, Leser, Chips) 

• Robust und massentauglich 

• Personalisierbar 

• Automatisches Sperren des Arbeitsplatzes 

beim Verlassen durch Ziehen der Karte 

• Zentrale Kontrolle und Sicherheit durch 

Abbildung von Kartenprozessen in Card 

Management System (CMS) 

(z.B. Karte gestohlen/verloren/defekt) 

• Moderne Smartcards bieten flexible 

Erweiterungsmöglichkeiten über Applets 

(z.B. Java-Cards) 

IT 360 GRAD 


Smartcards und Kartenmanagement 

CMS – Card Management System 

• Das Card Management System (CMS) steuert und unterstützt den Lebenszyklus 

der Smartcard und den Umgang mit den darauf gespeicherten Zertifikaten, z.B.: 

• Kartenausstellung 

• Kartenpersonalisierung 

• Ersatzprozesse bei Verlust/Diebstahl/Vergessen/Defekt 

• Karte einziehen / Zertifikate widerrufen 

Karten-Lebenszyklus 

& Kartenprozesse 

Karten- 

Produktion 

Karten bestellen 

Personalisieren 

/ Drucken 

CMS 

Kartendruck, 

Personalisierung 

Karte 

ausstellen 

Ausgeben und 

Aktivieren 

IT 360 GRAD 


Inhalt 





IT 360 GRAD 


Raiffeisen Informatik Smartcard Plattform 

Überblick 

Auslöser für Entwicklung eigener Smartcard Plattform: 

• Viel Erfahrung mit Smartcards aus Kundenprojekten und bei Raiffeisen 

• In der Vergangenheit Einschränkungen durch unflexible Prozesse und 

Abhängigkeiten 

• Kompetente Partner (cryptas, Intercede) 

Ziele: 

• Nutzen neuer technischer Möglichkeiten für den Einsatz von Smartcards bei der 

Raiffeisen-Gruppe 

• Offene mandantenbasierte Plattform für Kunden aus der Raiffeisen-Gruppe und 

außerhalb 

• Umsetzung moderner Lösungen für bekannte Probleme 

• Einsatz zukunftssicherer Karten 

• Flexibilität bei den Betriebsszenarien (as-a-service, on-premise, hybrid) 

• Kostengünstige Lösung, Skalierungseffekte nutzen 

IT 360 GRAD 



Komponenten und Leistungen 

• Card Management System 

• Zusätzlich entwickelte Features 

• Virtuelle Smartcards vereinfachen sichere Ersatzprozesse 

• Einsatz bei Raiffeisen-Gruppe in Österreich 

• Kombination mit Identity Management möglich 

• Flexible Einbindung in Kundeninfrastruktur (z.B. über AD) 

• Karten & Kartendruck: 

• Dual-Interface Smartcards (Java-Cards, NFC) 

• Betriebsszenarien 

• CMS as-a-service oder on-premise 

• Optional auch HSM, PKI/CA als Service verfügbar 

IT 360 GRAD 



Kartenmanagement Features 

Intercede MyID: 

Benutzerfreundliche Enterprise-Lösung für 

Kartenmanagement mit voller Auditierbarkeit 

Aufgrund unserer Erfahrungen aus vergangenen 

Projekten wurde die Standardfunktionalität des CMS 

um zusätzliche Funktionen erweitert: z.B. 

• Mehrere Zertifikate pro User auf einer Karte 

(auch von verschiedenen PKIs) 

• Verwendung von Virtuellen Smartcards unter 

Windows7 (siehe nächste Folie) 

• Erstellung von One-Time-Passwords (OTP) 

via App auf PC oder Mobilgerät (NFC) 

IT 360 GRAD 



Virtuelle Smartcards 

• Virtuelle Smartcard = effizienter Umgang mit Ersatzprozessen 

(Karte vergessen, verloren, gestohlen, defekt) für online- und offline-Szenarien 

• Features von Virtuellen Smartcards: 

• Verwaltung und Funktionalität analog zur physischen Smartcard 

• Zertifikatsgültigkeit und andere Parameter sind definierbar 

• Windows-Anmeldung immer über sicheres Zertifikat 

• Aus OS-Perspektive kein Unterschied zwischen virtueller und physischer 

Smartcard, z.B. VPN-Tunnel, Authentifizierung (Kerberos), SSO 

• Die Freischaltung der virtuellen Smartcard ist durch starke Authentifizierung 

gesichert (z.B. Challenge / Response via Helpdesk oder SMS) 

IT 360 GRAD 


Raiffeisen Informatik 

Smartcard Plattform 

Virtuelle Smartcards 

IT 360 GRAD 



Dual-Interface Smartcards 

Bisher: Hybride Smartcard 

(mehrere Chips) 

Physikalischer 

Legic-Chip 

Building Access Control 

Neu: Dual-Interface Smartcard 

(ein Chip) 

Legic-Emulation 

auf gemeinsamem Chip 

Thomas Klaghofer 

Client 


PC-Anmeldung 

IT 360 GRAD 



Dual-Interface Smartcards 

Beispiel: Java-Karte 

Neu: Dual-Interface Smartcard 

(ein Chip) 

Mifare 

Private 

Public 

OTP 

Legic 

Card-in-Card 

T=C/L 

Kontaktlos 

ISO14443 


Java VM 

T=0/1 

Kontakt 

ISO7816 

IT 360 GRAD 



Das Modell mit Zukunft 

• Voll auditierbare Enterprise-Lösung für Kartenmanagement 

Compliance 

• Zukunftssichere Features 

• Kurze Projektlaufzeiten bei der Einführung durch 

Multi-Mandantenfähigkeit 

• Kostengünstige Modelle für Betrieb 

(as-a-service, on-premise, hybrid) 

• Plattform auch für Kunden in anderen Ländern zugänglich 

• Der CMS-Betrieb as-a-service ist das Betriebsmodell der 

Raiffeisen Bankengruppe in Österreich 

• Langjährige Erfahrung von Raiffeisen Informatik mit dem 

Betrieb von zentralen Diensten im Raiffeisen Rechenzentrum 

IT 360 GRAD 


Raiffeisen Informatik – 

Ihr Partner für Identity und Access Management! 

Raiffeisen Informatik GmbH 

Lilienbrunngasse 7-9 

A-1020 Wien 

T +43 1/99 3 99 - 0 

F +43 1/99 3 99 - 1100 

E info@r-it.at 

www.raiffeiseninformatik.at 

IT 360 GRAD

Smartcards und andere Lösungen für starke Authentifizierung

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?