Best Practice A-09 SP: Mobile Security mit Embedded Secure Elements

Smartphones sind für viele Nutzer zu einem ständigen Begleiter und unverzichtbaren Werkzeug ihres zunehmend digitalisierten Alltags geworden. Viele Aufgaben des täglichen Lebens werden mit dem Smartphone erledigt: das Gerät wird zum Schlüssel für Auto und Wohnung, speichert Bordkarten und wird zum Zugriff auf das Bankkonto verwendet. Die meisten derartigen Dienste erfordern die sichere Speicherung von Identitätsdaten und kryptographischem Schlüsselmaterial. Für den Nutzer genießt daher sichere Übermittlung, Speicherung und Zugriffskontrolle auf seine Daten höchste Priorität.
Während das mobile Gerät durch Apps eine Vielzahl unterschiedlichster Anwendungen ermöglicht, werden die dazu benötigten sicherheitsrelevanten Daten oft noch auf unsicheren und proprietären Wegen (z.B. e-Mail, SMS) übermittelt und es bestehen Zweifel an ihrer sicheren Speicherung. Aus Sicherheitsgründen müssen daher oft zusätzlich externe Medien (Karten, QR-Codes, Ausweisdokumente) verwendet werden. In der Praxis der Nutzer stellen solche Medienbrüche ein Hindernis oder zumindest eine Unbequemlichkeit dar.

Dem IT-Administrator im geschäftlichen oder behördlichen Umfeld stellen sich die gleichen Fragen bzgl. der Sicherheit, dies jedoch in der Regel auf Basis deutlich höherer Anforderungen. Für höchste Sicherheitsanforderungen stellen daher Smartcards häufig das Mittel der Wahl zur Nutzerauthentisierung dar, etwa bei Zutrittskontrollen, digitaler Signatur oder für den VPN-Zugang ins Behördennetz. Sogenannte Embedded Secure Elements in aktuellen Smartphones bieten eine interessante Alternative zu Smartcards, und ermöglichen bei gleichem Sicherheitsniveau neue Anwendungen und größere Flexibilität durch Integration mit Apps auf dem gleichen Gerät. Der Vortrag gibt einen technischen Überblick und zeigt einige Anwendungsmöglichkeiten auf. Im Anschluß wird es Zeit für Fragen und Antworten geben.