iStock-533355326-web

In unserem Blogbeitrag 123456 oder doch lieber hallo123? haben wir uns mit dem Risiko schwacher Passwörter beschäftigt und warum Unternehmen mit ergänzenden Authentifizierungsmaßnahmen, wie physikalischen Smartcards bzw. Tokens, zögerlich sind.

Mit dem Einsatz von sogenannten virtuellen Smartcards (VSCs) erhalten Unternehmen erhöhten IT-Schutz ohne den initialen Kostenaufwand für die Einführung und den Einsatz physikalischer Smartcards.

Der große Vorteil von virtuellen Smart Cards liegt darin, dass keine Kosten für den Erwerb und die Wartung von Hardware oder die Bereitstellung der Infrastruktur anfallen. Ein weiterer wichtiger Vorteil im Vergleich zum Einsatz phyischer Smartcards: Befindet sich zum Beispiel ein Mitarbeiter auf Reisen, müsste er auf die Zusendung der physikalischen Smartcard bzw. des Tokens warten, um weiterarbeiten zu können. Mit VSCs hängt die Produktivität der Mitarbeiter nicht vom Postboten ab.

Doch wie sieht die Funktionsweise von VSCs aus?

Virtual Smartcards kombinieren Software und vorhandene Hardware zur Sicherung von Daten (z.B. Trusted Platform Modul, TPM) und können wie jedes andere Softwarepaket schnell im Unternehmensnetzwerk verteilt werden. Auch hier entfallen die Kosten und der Zeitaufwand für die Logistik von physikalischen Smartcards. VSCs funktionieren wie physikalisch vorhandene Smartcard-Leser mit einer bereits eingesteckten Karte und werden vom Windows-Betriebssystem ohne zusätzliche Einrichtung als solche erkannt. Sie sind an das jeweilige Gerät gebunden (z.B. PC oder Laptop) und werden wie eine normale Smartcard für die Authentifizierung bei verschiedensten Szenarien eingesetzt: Windows-Benutzeranmeldung, Webanwendungen, E-Mail-Signatur und Verschlüsselung, Dateiverschlüsselung, VPN-Einwahl und viele weitere zertifikatsbasierte Anwendungen.

Eine entsprechende Verwaltung ermöglicht auch mehrere virtuelle Smartcards pro Gerät, die unterschiedlich genutzt werden können. Der TMP-Chip verschlüsselt und sichert die Daten, die auf einer VSC gespeichert werden. Die Chips sind seit einigen Jahren in nahezu allen ausgelieferten Computern verbaut und werden auch für die Festplattenverschlüsselung BitLocker in vielen Unternehmen verwendet. In Zero-Trust-Architekturen lässt sich die virtuelle Smartcard auch zur eindeutigen Identifikation von Geräten verwenden, ohne dass durch einen Benutzer der Zugriff auf die Karte freigeschalten werden muss.

DriveLock Virtual Smartcard unterstützt nicht nur TPM-Chips der Version 1.2 und 2.0, sondern auch die Software Guard Extensions (Intel® SGX). Diese ist inzwischen Bestandteil neuerer Intel®-Prozessoren ab Version 7 mit Pro Chipset. Dadurch können dank VSCs Programmcodes von Anwendungen eigene, als Enklaven bezeichnete Speicherbereiche im Laptop oder PC belegen. Die Enklaven sind geschützt vor Prozessen, die auf höherer Privilegierungsstufe ausgeführt werden. Zusätzlich werden sie mit AES-128 Bit verschlüsselt, sodass ein Auslesen dieses Speichers nicht zum Ziel führt. DriveLock VSC ist für Windows Betriebssysteme ab Windows 7 verfügbar und bietet Support für die Windows Crypto API und den Standard PKCS11. Die ursprünglich von der charismathics GmbH, jetzt Bestandteil von DriveLock, entwickelte Lösung kann ebenfalls in RDP- oder VDI-Umgebungen eingesetzt werden und ist Citrix® Ready.

Lesen Sie mehr in unserem Whitepaper!