Die Vision von einer sichereren und einfacheren Welt für Menschen und Organisationen ist seit 1992 ein entscheidender Antrieb für Legic. Die Firma repräsentiert ein internationales Netzwerk aus Unternehmen und Experten für berührungslose Identifikation. Sie entwickelt Hardware, Software und Dienstleistungen für ID-Anwendungen – von Zutrittssteuerung, Zeiterfassung und bargeldlosem Zahlungsverkehr bis hin zu Biometrie und eTicketing. Auf der Sicherheit 2013 in Zürich sprach Dr. Heiko Baumgartner von GIT-SICHERHEIT.de mit Oliver Burke, Vice President Corporate Projects bei Legic, über drei Buchstaben, die derzeit die Schlagzeilen beherrschen: NFC. Oliver Burke begann seine Smart-Card-Karriere 1999. Neue Strategien und Märkte sind die Leidenschaft des branchenweit anerkannten Fachmanns, der vor seiner Zeit bei Legic im Management von Bell ID tätig war.

GIT-SICHERHEIT.de: NFC – das sind nur drei Buchstaben, aber die Möglichkeiten, die hinter ihnen stecken, sind enorm. Welche Anwendungen sehen Sie im Sicherheitsbereich?

Oliver Burke: Near Field Communication ist inzwischen eine international anerkannte Technologie für den berührungslosen Austausch von Daten. Die Technologie hat 2007 schon mal auf sich aufmerksam gemacht – allerdings konnte sie sich damals noch nicht recht etablieren, weil die Mobiltelefon-Hersteller noch damit beschäftigt waren, eine Antwort auf das iPhone zu finden. Wir glaubten von Anfang an daran, dass diese Neuheit sich durchsetzen würde. Deshalb hat Legic seine Leser-Chips der 2000er und 4000er Serie bereits 2007 NFC-fähig gemacht. Diese Strategie zahlte sich aus. Heute sind praktisch alle Smartphones mit NFC ausgestattet und sogar IPhones lassen sich entsprechend ausrüsten. Die Technologie macht Smartphones zu Vielzweck-IDs für Mitarbeiter – vom Türen öffnen bis zum Bezahlen seiner Snacks. Per NFC kann man heute Zeit- und Zutrittssysteme sicher und einfach in den Arbeitsalltag integrieren.

Die Vorstellung, mit dem Handy all das zu tun, was man mit einer berührungslosen Chip-Karte tun kann, ist nicht neu. Was ist auf technologischer Seite passiert, dass NFC jetzt für Sicherheitsanwendungen in Frage kommt?

Oliver Burke: Ein wichtiger Faktor war die Implementierung mobiler Eco-Systeme durch die Betreiber mobiler Netzwerke (MNOs - Mobile Network Operators). Sie haben in den letzten Jahren fast alle sogenannte MNOs Trusted Service Management-Dienste (TSM) entwickelt, die es ermöglichen, die SIM-Karte als Sicherheitselement zu nutzen. Das ist eine wichtige technische Voraussetzung für die Codierung und das Speichern sicherheitswichtiger Applikationen wie Zahlungs- oder Identifizierungsanwendungen im Smartphone. Vodafone, Deutsche Telekom, Telefonica, AT&T, Verizon, Spring und Swisscom nutzen diese MNO-TSMs bereits oder werden in naher Zukunft solche Systeme in ihren Betrieb integrieren. Allgemein gesprochen, stellen MNOs eine Art Brieftasche bereit, mit welcher der Nutzer zwischen verschiedenen NFC-Diensten wechseln kann.

Welchen Service bieten Sie Ihren Partnern, die im Zusammenhang mit ihren Produkten und Dienstleistungen von der NFC-Technologie profitieren wollen?

Oliver Burke: Der von uns entwickelte Service Legic IDConnect ist eine cloudbasierte Trusted- Service-Plattform, die es unseren Partnern und Endnutzern ermöglicht, berührungslose Kartenanwendungen über NFC-fähige Smartphones laufen zu lassen. Wir haben eigene Testläufe gemacht, um besser einschätzen zu können, welche Erfahrungen der Kunde dabei macht. Mit IDConnect gehen wir einen Schritt weiter. Legic IDConnect automatisiert den Umgang mit NFC – er wird kinderleicht für Integratoren, Anwendungsentwickler und Endnutzer. Sie können NFC-Smartphones ohne weiteres und sicher in ihre laufenden Prozesse einbinden. Den IDConnect-Nutzern bleiben langwierige Abwicklung und Integration mit verschiedenen MNOs erspart – dadurch kann NFC umfassend genutzt werden.

Geben Sie uns ein Beispiel für ein IDConnect- Projekt?

Oliver Burke: In der Schweiz haben wir gerade eine Kooperation zwischen Swisscom und Legic gestartet. Als größter Mobile-Service-Provider arbeitet Swisscom unter dem Namen „Tapit" intensiv an der Entwicklung einer Plattform für NFC-Dienste verschiedener Kartenanbieter. Mit IDConnect können alle möglichen Zusatzanwendungen auf Tapit-Smartphones laufen. Außerdem haben wir mit Kaba den ersten Partner für Zutrittskontrolle, Hotelanwendungen und Zeiterfassung. Kaba wird seine Produkte mit IDConnect verknüpfen. Für Kaba-Kunden bedeutet das nicht mehr als ein einfaches Produkt-Update. Die Kaba-Lösungen können damit ihre Smartphones beispielsweise wie eine Karte bei der Zutrittskontrolle verwenden. Kaba war unser erster Partner, aber unsere Plattform ist offen für andere Anbieter und Partner, die wir nach und nach einbinden werden.

Eine vielleicht schwierige Frage: Wie sicher ist NFC-Technik?

Oliver Burke: NFC-Geräte können auf drei verschiedene Weisen funktionieren. Im Reader/ Writer-Modus können Smartphone-Nutzer Informationen eines berührungslosen NFC-Tags lesen bzw. auf ihn schreiben. Bei diesem Modus kommt kein Sicherheits-Element vor – hier geht es schlicht darum, Informationen zur Verfügung zu stellen, beispielsweise eine Internetadresse oder eine Visitenkarte. Der NFC Peer-to-Peer-Modus baut eine Zweiwege-Datenverbindung zwischen zwei NFC-Geräten auf. Dieser Modus wird beispielsweise als Wartungsschnittstelle gebraucht und bindet kein Sicherheits-Element ein. Die Sicherheit hängt von den verwendeten Applikationen ab. Im dritten Modus bildet das Smartphone die Funktion einer Smartcard nach, z.B. einer Kreditkarte. Dies hat den Vorteil, dass man mit der bestehenden Leser-Infrastruktur arbeiten kann. Um den Sicherheitsbedürfnissen von Anwendungen wie Zutrittskontrolle gerecht zu werden, wird hierzu ein entsprechend gesicherter Chip, wie die SIM Karte des Handys, verwendet. Seit kurzem besteht auch die Möglichkeit, ohne Einbezug eines sicheren Elementes die Kartenemulation zu verwenden. Für sensible Anwendungen ist dies aber keine Option.

Was sind die Vorteile für den Endnutzer, der die NFC-Technologie verwendet – so wie sie ihn Ihren IDConnect-Projekten umgesetzt wird?

Oliver Burke: Der Endnutzer kann sich auf die bestehende Infrastruktur verlassen – und dabei von höherer Benutzerfreundlichkeit profitieren. Beim Verlust des Telefons, kann man die Sicherheit durch einfaches Löschen wieder herstellen. Vergessene Werksausweise gehören der Vergangenheit an. Eine dynamische Echtzeit-Allokation von Segmenten und Rechten ist heute technische Realität. Das Löschen oder Verändern von Rechten über das mobile Netzwerk ist heute sicher und extrem einfach für den Verwalter – so z. B. beim Einräumen temporärer Zugangsrechte für befristet tätige oder externe Mitarbeiter. Zwei Mausklicks - und der Administrator gewährt temporären Zugang per Smartphone. Das erhöht auch die Sicherheit, denn Berechtigungen können auch ausschließlich einzelfallweise gewährt werden und auch ferngesteuert wieder entzogen werden.

Noch mal nachgefragt – wie sicher ist all das?

Oliver Burke: Wir nutzen das sicherste Element des Smartphones: die SIM. Das ist der Ort, an dem die MNOs ihre Informationen abspeichern und dem auch die Banken bei deren Transaktionen vertrauen.