Interview mit Sebastian Rohr: IT-Sicherheit – keine Stolperfalle, sondern Sprungbrett

Durch Industrie 4.0, IoT, digitale Transformation und umfassende Vernetzung bekommt ein gesicherter Zugang zu IT-Systemen allerhöchste Bedeutung. Die bisherige Abschottung vieler Unternehmen nach außen ist nun allerdings obsolet. Wie eine sichere Authentisierung aussehen kann, zeigt Sebastian Rohr, CTO der APIIDA AG aus Groß-Bieberau.

Herr Rohr, der Name Ihres Unternehmens – APIIDA – verlangt nach Aufklärung. Was steckt dahinter?

Er beschreibt präzise den Kern unserer Tätigkeit. Wir betreiben digitale Transformation (DT) und Digitalisierung über die Nutzung von Application Programming Interfaces, und da hätten wir die drei ersten Buchstaben API. Ferner gibt es einen starken Bezug zur Sicherheit sowie zum Zugriffs- und Datenschutz über das Identity Management – eben ID. Und das A am Schluss steht für Architektur. Das heißt, wir sind die API- und Identity-Architects, die ihre Architekturkomponenten rund um APIs und ID-Management sinnvoll in die Geschäfts- und Wertschöpfungsprozesse ihrer Kunden einbinden können. Dabei grenzen wir uns von der klassischen IT-Sicherheit ab, die oft als Kostenfaktor und Steigerer der Komplexität angesehen wird. Wir wollen die IT-Sicherheit, die Sicherheit der Identitäten und Zugriffsrechte so betrachten und in die Unternehmensstrategie einbinden, dass es keine Stolperfallen sind, sondern eher Sprungbretter. 

Wenn ich richtig informiert bin, bieten Sie ein fast konkurrenzloses Produkt an?

Das ehrt uns, zeigt aber auch Ihren Einblick in den Markt. Ja, wir sehen uns nahezu konkurrenzlos. Ähnliche Lösungen gibt es, wir sind aber stolz darauf, dass wir unter anderem mit unserem Flaggschiffprodukt Apiida Mobile Authentication (AMA) eine Lösung entwickelt haben, die gezielt in eine Nische vorgedrungen ist, und zwar mit einer einzigartigen Kombination aus Anwenderfreundlichkeit, auf neudeutsch Usability, User Experience und mit sehr geringen Kosten (Total Cost of Ownership, TCO). Dazu kommt eine auf sehr hohe Sicherheit getrimmte Architektur und etwas, das in Zeiten von Cloud und Online merkwürdig klingt: Die Lösung ist komplett offline-fähig. Das ist tatsächlich ein ganz großes Alleinstellungsmerkmal. 

Das müssen Sie jetzt näher erläutern.

Heute besteht ein Großteil der Unternehmens-IT nicht unbedingt aus PCs und Laptops, sondern die Design-Vorgaben, die Apple in den Markt getragen hat, schlank – leicht – edel, haben dazu geführt, dass auch Ultra-Books im Business massiv genutzt werden und die Anbieter kaum noch Smart-Card-Leser in ihre Geräte einbauen. Wenn man also heute auf die Smart Card (SC) als starkem Mittel zur Authentisierung setzt, muss man umständlich externe Leser mit sich herum schleppen. Und wer möchte schon an sein schickes Device so ein hässliches Plastikding andocken. Zudem finden die Digital Natives eine SC extrem unsexy und unbequem, und für die Administratoren ist der Umgang mit ihr oft zeitraubend, kompliziert und kostspielig.

Was haben Sie nun besser gemacht?

Wir wollten das Niveau einer SC erreichen, aber das Mobiltelefon benutzen. Das ist fast so etwas wie die Quadratur des Kreises, denn unser Produktteam musste die gleichberechtigten Anforderungen an ein sehr hohes Sicherheitsniveau, eine exzellente User Experience und niedrige TCO unter einen Hut bringen. Heraus gekommen ist Apiida Mobile Authentication.

Wir ermöglichen die Nutzung ganz normaler iOS- oder Android-basierter Smartphones. Und spannenderweise wollen die Gerätehersteller und Mobilfunkbetreiber auch von der SIM-Karte weg zur Embedded SIM (eSIM), weil sie genau die gleichen Distributions- und Logistikkosten haben, wie die Unternehmen mit Smart Cards. Die eSIM kommt jetzt langsam zum Einsatz und bietet uns einen sicheren Speicher, der auf die Platinen der Smartphones aufgebracht ist. Die sonst vom Netzbetreiber über die SIM-Karte bereitgestellte Information bekommt man nun over the air auf die eSIM übertragen. Dieses patentiert sichere Verfahren verwenden wir, um unsere Credentials zum Anmelden am Unternehmens-PC auf die Smartphones zu bringen und dort sicher abzulegen. Sie sind auch dann nicht zu extrahieren, wenn Sie das Smartphone rooten oder hacken. Wir haben also nicht die SC ins Telefon gepackt, sondern vorhandene Hardwaremodule genutzt, um das Sicherheitsniveau der SC auf dem Mobiltelefon zu erreichen. Klare Vorteile: keine Zusatzkosten für Hardware und nahezu vollständige Verfügbarkeit auf allen Smartphones der Business-Klasse.

Und wie sieht es mit Usability aus?

Usability war ein klares Designziel. Der Anwender kann sich extrem einfach selbst an seinem Arbeitsplatz registrieren und ist nach weniger als 2 Minuten voll einsatzfähig. Auch der sogenannte »Enrollment Prozess« ist extrem einfach gestrickt: Der neue Anwender lädt die App auf sein Smartphone, öffnet auf seinem PC per Browser eine einfache Website und erhält dort nach einmaliger Anmeldung einen QR-Code, den er mit seiner App scannt. Es wird im sicheren Speicher des Telefons auf Basis der QR-Code-Daten ein Schlüsselpaar erzeugt und die App stellt für den Benutzer einen Zertifikats-Antrag. Die PKI überträgt dann das neue Zertifikat sicher auf das Telefon des Nutzers. Von diesem Moment an kann er sich mit seinem Telefon am Client anmelden. Die Benutzerführung am PC und in der App ist so einfach gehalten, um auch unerfahrenen Anwendern eine schnelle Registrierung zu ermöglichen.

Gibt es ein Alleinstellungsmerkmal oder besonderes Highlight im Vergleich zum Wettbewerb?

Unser Produkt ist zu 100 Prozent »Security Made in Germany«, also in Deutschland entwickelt und programmiert. Eine komplett deutsche Lösung – obwohl unter unseren gut 50 Mitarbeitern 15 Nationalitäten mit ihren Sprachen und Kulturen vertreten sind. Das ist etwas, was uns von den anderen Anbietern stark abgrenzt. Und es ist nicht irgendeine Funktion, die unsere Lösung so toll macht, es ist die Kombination. Es ist eine Smartphone-Lösung, aber sie ist offline-fähig. Wir brauchen nur ein einziges Mal 90 Sekunden Verbindung ins Mobilfunknetz, danach funktioniert alles auch offline – also im Atomschutzbunker, über den Wolken, im Himalaya oder auf einer einsamen Insel. Das sehe ich schon als Alleinstellungsmerkmal.  

Wie schätzen Sie das Sicherheitsniveau Ihrer Authentisierungslösung ein?

Das Sicherheitsniveau mit Passwörtern ist eher weit unten anzusiedeln. Da ist die SC mit Zertifikat und PIN schon wesentlich sicherer. Als Steigerung kann man auf der SC biometrische Daten speichern. Diesen Aufwand betreibt man aber meist nur im Staatsschutzbereich, das ist schon so ein bisschen James-Bond-Niveau. AMA bewegt sich – je nachdem, wie sie vom Anwender konfiguriert wird – auf dem Niveau einer SC, hat aber eine um mehrere Größenordnungen bessere User Experience und User Acceptance, weil sie eben nur ein Mobiltelefon brauchen. Und nie vergessen: AMA funktioniert auch offline.

 

 

Wo sehen Sie den Bedarf, die Abnehmer für Ihre Sicherheitslösung? 

In den letzten drei, vier Jahren gab es zum Beispiel durch die Automotive-OEMs des Öfteren Beanstandungen, dass Zulieferer keine sichere 2-Faktor-Authentisierung für den Zugriff auf die Systeme des OEMs bereitstellen. Das hat dazu geführt, dass viele Unternehmen auf die Schnelle eine eher mäßig aufgesetzte und konfigurierte PKI und die dazugehörigen SCs implementiert haben. Und vor allem hat man dabei eine 10 bis 20 Jahre alte Technologie gepusht. Wir bieten nun die Möglichkeit, sehr schnell, sehr flexibel und kostengünstig auf diese Anforderungen zu reagieren. Denn klar ist, dass es sich lohnt, antike Technologien – auch wenn sie funktionieren – durch innovative abzulösen: Etwa durch starke Authentisierung am Client, auch wenn man für Dritte oder in Systemen Dritter arbeitet. Da ist der Zugriff auf die primäre Anmeldung Zwei-Faktor-sicher und damit auch der Zugriff auf alle nachgelagerten Systeme. 

Einfach gesagt: Ich melde mich mit AMA an und kann dann selbst definieren, für welche nachgeordneten Systeme – Opel, BMW, Mercedes – das ebenfalls gilt?

In der Tat, das lässt sich programmieren. Wir liefern keine Plug-and-play-Lösung. Wir streben danach, aber wir bieten nun einmal eine hochsichere Zwei-Faktor-Authentisierung, die einer gewissenhaften Planung und Vorbereitung bedarf. Man weiß ja nicht von vornherein, wie bei Schaeffler, Conti oder Bosch die Applikationen genutzt werden – denn Bosch macht vielleicht eher ABS-Steuergeräte-Entwicklung und Schaeffler eher Getriebesensoren oder -aktoren. Dann gibt es auch zwei Arten von Dienstleistern: einmal die, die in ihren eigenen Systemen exklusiv für Mercedes oder VW arbeiten, oder andere, die über die Just-in-time- oder Just-in-sequence-Verknüpfungen in den Systemen von VW oder Audi arbeiten und sich entsprechend authentisieren müssen. 

Spielen die Themen Internet of Things und digitale Transformation auch bei Ihnen eine Rolle?

Bei der DT geht es ja insbesondere um zwei Aspekte: Einmal um die Integration von Systemen, das ist das API-Management. Der zweite Aspekt betrifft die Einbeziehung externer Zulieferer, Partner und Kunden, also die Verlängerung der Wertschöpfungsketten. Und je mehr man dort investiert und sich dieser externen Welt öffnet, desto mehr spielt auch das Thema Sicherheit und Authentisierung der Teilnehmer an diesen Prozessen eine Rolle. 

IoT und DT betrachten wir aus einer sehr technischen Sicht, nicht so sehr aus Organisations- oder Business-Sicht. Für uns bedeutet die DT vor allem den sicheren und barrierefreien Austausch von Informationen über APIs. Wer versucht, sie etwa per EDI oder Edifact zu betreiben, endet auf dem Abstellgleis. Die technologische Basis der DT in den kommenden zwei bis fünf Jahren bilden aus meiner Visionärs-Sicht JSON/REST-basierte APIs. Für mich war die Einführung des i-Phones der Wendepunkt. Von diesem Moment an gab es eine App als Front-End und ein API als Back-End. Jetzt – elf Jahre später – müssen wir dem eher konservativen deutschen Mittelstand klarmachen, wer da nicht mitmacht, bekommt Probleme. 

Da bietet sich für uns die Möglichkeit, aus einer operativ taktischen Lösung eine strategische Lösung zu entwickeln, ganz so, wie wir es in den zwei vergangenen Jahren gemacht haben. Für APIIDA sehe ich die Rolle, dass wir die DT nicht nur mit einigen kleinen Lösungen unterstützen, sondern wir wollen, dass der Mittelstand und die kleineren Konzerne verstehen, dass ihre neue Business-Ausrichtung eine Neuausrichtung ihrer IT-Strategie, ihrer Infrastruktur und vor allem ihres Datenaustausches erfordert. Darum sage ich als CTO ganz klar, wir investieren in eine intensive Forschung. Und wir machen dieses Technologie-Scouting, damit wir sagen können, zwar ist JSON/REST-basiertes API-Management State of the Art, aber wie man es zielgerichtet einsetzt, das erfahren Sie von uns. 

Herr Rohr, vielen Dank für das Gespräch.


Das Gespräch führte Volker Vorburg.
Bild: © APIIDA AG

 

Identity Management für Telemedizin: Elektronische Sicherheit zwingend notwendig

Bequemer Reisen mit Biometrie

10 Schritte für Unternehmen: Wie in die Blockchain einsteigen?

Unternehmen, die Customer Identity Management zum Datenschutz ihrer Kunden einsetzen, haben einen Wettbewerbsvorteil

Die Bedeutung von Cloud-basiertem Privileged Identity Management

Identity and Access Management – 5 Tipps für die richtige Lösung