SSV Software Systems

Die heikle Frage der Authentifizierung

9. Mai 2022, 14:13 Uhr | Klaus-Dieter Walter

Bei elektronischen Transaktionen werden Nutzer und Anwendungen tagtäglich anhand verschiedener Sicherheitsfaktoren automatisch identifiziert. Bei vielen IoT-Anwendungen klafft allerdings eine Lücke zwischen dem technisch Möglichen und der tatsächlichen Praxis.

Will man in der digitalen Welt einen Service nutzen, muss man sich gegenüber dem Serviceerbringer zunächst einmal mittels geeigneter Faktoren authentisieren. Das bedeutet, man muss einen möglichst eindeutigen Nachweis liefern, damit die Nutzeridentität authentifizierbar wird. Dafür gibt es verschiedene serverseitige Methoden, die von den jeweiligen Faktoren abhängen – sie lassen sich in drei Kategorien gliedern:

Wissen (Knowledge Factors): Hier geht es um den Nachweis der Kenntnis einer sehr speziellen Information, also beispielsweise das Wissen um ein Passwort, eine Personal Identification Number (PIN) oder die Antwort auf eine bestimmte Fragestellung.
Besitz (Ownership Factors): Im Besitz des Servicenutzers befindet sich ein bestimmter Gegenstand, etwa eine ID-Karte, ein Smartphone mit einem bestimmten Hardware- merkmal oder einer besonderen Software oder ein Sicherheitstoken in Form eines USB-Sticks. Auch ein RFID-basiertes Mikrochip-Implantat oder digitale Zertifikate fallen in diese Kategorie.
Körperliches Merkmal/Biometrie (Inherence Factors): Zu dieser Kategorie gehören verschiedene physische Eigenschaften beziehungsweise biometrische Merkmale, die als Identitätsnachweis ausgewertet werden. Dafür sind Mess- und Auswerteverfahren für Fingerabdruck-, Iris- und Retinastruktur- sowie Gesichtserkennungsdaten einsetzbar.

Identitätsnachweismethoden lassen sich einzeln (Ein-Faktor-Authentifizierung) oder in Kombination (Mehr-Faktor-Authentifizierung) anwenden. So lässt sich beispielsweise ein Passwort mit einer ID-Karte kombinieren. Die ersten beiden Kategorien ermöglichen allerdings bei genauer Betrachtung nur eine implizite Identitätsprüfung durch den Serviceerbringer. Das Passwort als Geheimnis, das einer bestimmten Person beim Erzeugen des Benutzerkontos zugewiesen wurde, kann schließlich versehentlich oder durch einen Cyberangriff in den Besitz Dritter gelangen; ein Smartphone mit SIM-Karte, Telefonnummer und App kann entwendet werden. Lediglich die Biometrie führt unter halbwegs normalen Umständen zu einem mehr oder weniger eindeutigen Identitätsnachweis.

Sichere Praxis: Das E-Banking

Stand der Technik in der IT-Welt sind gegenwärtig Zwei-Faktor-Authentifizierungen (2FA). Als erster Identitätsbeweisfaktor dienen dabei Benutzername/Passwort oder eine PIN, also ein klassischer Kenntnisnachweis eines geheimen Wissens. Der zweite Faktor wird vielfach durch den Besitz eines Smartphones mit oder ohne App gebildet. Im ersten Fall wird eine SMS mit einem Einmalpasswort gesendet, das bei einer Anmeldeprozedur innerhalb einer vorgegebenen Zeitspanne einzugeben ist. Alternativ ist auch die manuelle Dateneingabe eines zeitbasierten Einmalkennworts per App nutzbar oder sogar das Einscannen eines QR-Codes, der als Bildobjekt im Webbrowser eines zweiten Gerätes angezeigt und bereits nach einigen Sekunden ungültig wird.

Da innerhalb des europäischen Bankwesens 2FA bereits seit 2018 verpflichtend vorgegeben ist, nutzen zahlreiche Banken inzwischen die „Passwort plus Authenticator-App“-Variante für den Zugriff der Kunden: Der Nutzer meldet sich beispielsweise von einem PC aus per Webbrowser mit Benutzername/Passwort als ersten Faktor auf einer Webseite des Serviceerbringers an und muss dann innerhalb einer bestimmten Zeitspanne den zweiten Faktor über eine Smartphone-App liefern. Besonders wichtig: 2FA-Smartphone-Apps nutzen einen anderen Übertragungskanal, als die webbasierte Anmeldung per Passwort. Dadurch werden beide Faktoren über unterschiedliche Verbindungen zum Server übertragen. Man spricht daher bezüglich der App auch von einer Out-of-Band-Authentifizierung (OoBA). OoBA-basierte 2FA-Verfahren bieten einen zusätzlichen Schutz gegen Man-in-Middle-Angriffe.

Unsichere Innovation: E-Ladesäulen

Bis auf den SMS-Versand eines Einmalkennworts gilt die 2FA-OoBA-Kombination insgesamt als relativ sicheres Verfahren. Es sollte daher zumindest für Anwendungen, die bargeldlose Zahlungen oder andere Geldtransfers verursachen, auch genutzt werden. Insofern muss man aus Sicherheitsaspekten eigentlich davon ausgehen, dass relativ neue Technologien und Prozesse diese Funktionen auch einsetzen – besonders dann, wenn Markteinführung und -durchdringung auch noch von Regierungsbehörden koordiniert werden und die Nutzer überwiegend Privatpersonen sind.

Ein Praxisbeispiel für das Validieren aktueller Authentifizierungsverfahren in einer IoT-Anwendung mit großem Wachstum ist die öffentliche Ladeinfrastruktur für die Elektromobilität. Im Moment gibt es in Deutschland rund 50.000 bis 55.000 öffentliche Ladepunkte. Bis 2030 sollen es gemäß den politischen Zielen eine Million sein. An diesen Infrastrukturpunkten werden sich im Laufe der Zeit zig Millionen Menschen für die Stromentnahme sowie dem damit verbundenen Bezahlvorgang authentisieren, um nach erfolgreicher Authentifizierung ihre Fahrzeuge aufzuladen. Bei den derzeit vorhandenen E-Ladesäulen dominieren im Moment noch simple Ein-Faktor-Authentifizierungen per RFID-Kundenkarte oder Smartphone-App, also Besitzfaktoren. Das hohe Risiko dieser sehr unsicheren Verfahren haben viele Abrechnungsdienstleister über die Allgemeinen Geschäftsbedingungen einfach auf den Nutzer übertragen. Dafür ist der Ladevorgang recht bequem: Einfach die richtige RFID-Karte vor den Leser halten oder per Smartphone-App einen QR-Code am Ladepunkt einlesen und schon fließt der Ladestrom in den Fahrzeug- akku. Tage, Wochen oder sogar Monate später werden dann die Kosten vom Nutzerkonto abgebucht.

Ein weiteres Negativbeispiel liefern die E-Ladesäulen eines Telekommunikationsunternehmens in Bezug auf die Zahlung per Kreditkarte für den Ad-Hoc-Ladevorgang, also das spontane Laden ohne Registrierung für eine RFID-Karte oder App. Hier wird dem Nutzer ein QR-Code angezeigt, über den er zu einer Webseite geleitet wird, um dort in einem Formular seine vollständigen Kreditkartendaten einzugeben. Das Problem: Wegen akuter Betrugsrisiken sollte man grundsätzlich keine Zahlungen über Webseiten vornehmen, auf die man per QR-Code gelangt ist. Es könnte eine Fake-Website sein.

Die Ursachen, warum Abrechnungs- beziehungsweise E-Mobilitätsdienstleister und Ladeinfrastrukturbetreiber sich für überwiegend unsichere Authentifizierungsverfahren zur Abrechnung der Ladevorgänge entschieden haben, dürfen einerseits damit zusammenhängen, dass sich die gesamte E-Mobilität noch immer in einer Pionierphase befindet. Anderseits gibt es zahlreiche involvierte Beteiligte aus völlig unterschiedlichen Bereichen und Wirtschaftsräumen, die möglichst schnell Marktanteile erobern wollen – also nicht gerade optimale Voraussetzungen für benutzerfreundliche und sichere Lösungen mit großer internationaler Akzeptanz.
Aus der IoT-Sicht sind die Voraussetzungen für den Einsatz moderner Kommunikationsmethoden allerdings ideal. Schließlich werden für einen Ladevorgang zwei Geräte mit relativ moderner Hard- und Software per Kabel miteinander verbunden. Eines der beiden Geräte ist durch die Zulassung einer Straßenverkehrsbehörde sogar eindeutig einer natürlichen oder juristischen Person zuzuordnen und besitzt daher zumindest schon eine relativ fälschungssichere analoge Identität.

Helfen Standards?

Die Normierungsorganisationen haben diesen Sachverhalt auch schon sehr früh erkannt und vor etwas mehr als zwölf Jahren damit begonnen, die ISO 15118-Normenreihe für eine standardisierte „Kommunikationsschnittstelle zwischen Fahrzeug und Ladestation“ zu entwickeln. Sie beinhaltet eine sogenannte Plug’n-Charge-Funktion (PnC). Dabei wird der Ladevorgang durch das Anschließen beziehungsweise Trennen des Ladekabels automatisch gestartet und beendet. Die PnC-Datenkommunikation zur Abrechnung erfolgt per TCP/IP über das Ladekabel. Für die Authentifizierung wird eine Public Key Infrastruktur (PKI) mit X.509-Zertifikaten genutzt, wobei das erste Zertifikat bereits vom Hersteller im Fahrzeug installiert wird.

Hundertprozentige Authentifizierungssicherheit sollte man allerdings auch bei einem ISO 15118-basierten TLS-Handshake zwischen zwei Geräten nicht erwarten. Es gibt immer noch zahlreiche Fehler- beziehungsweise Angriffsmöglichkeiten. Neben fehlerhaften TLS-Protokollimplementierungen und Konfigurationsproblemen sind besonders verschiedene Man-in-the-Middle-Angriffsszenarien denkbar, etwa mit gefälschten Zertifikaten. Gerade bei Ladesäulen, die unbeobachtet und frei zugänglich irgendwo in der Landschaft herumstehen, sind manipulative Eingriffe denkbar, um unbemerkt Zugriffsdaten für Zahlungen einzusammeln. Insofern ist neben PKI und Zertifikat auch noch eine 2FA-Smartphone-App mit Out-of-Band-Kommunikation sinnvoll.