Es begann mit einer neuen Schließanlage für Windräder. Windenergieanlagen sind in Indien bevorzugte Objekte der Begierde von Einbrechern. Sie interessieren sich vor allen Dingen für Kupfer und andere Metalle. Deshalb war dem Sicherheitsspezialisten Shyam Motwani vom indischen Schließanlagenhersteller Godrej (Goddrich) sofort klar, dass die Eingangstüren zu den Betonspargeln mit den Windrädern besonders gut gesichert sein müssen. Doch die ausgeklügeltste Türkonstruktion aus dem härtesten Stahl hilft nicht, wenn Wartungstechniker ihre Schlüssel oder Zugangskarten verlieren.
Deshalb entwickelten die Sicherspezialisten bei Godrej ein Zugangssystem mit einem Einmal-Passwort als Zutrittsberechtigung. Shyam Motwani erläutert das so: "Das ist eine schlüssellose Lösung. Es gibt kein Schlüsselloch am Objekt, sondern der Schließmechanismus sitzt hinter der Tür. Wer dort hinein will, nutzt einen Schlüssel mit Tatstatur. In diese Tastatur muss ein Einmal-Passwort eingegeben werden. Das Einmal-Passwort wird via Mobilfunk auf ein Handy oder Smartphone geschickt."
Passwort per Smartphone anfordern
Der Wartungstechniker vor Ort fordert per Smartphone sein Zutrittspasswort für ein bestimmtes Windrad an, das er warten will. Der Zugangsserver schickt dem Techniker daraufhin ein Einmal-Passwort zu - verschlüsselt und über ein virtuelles privates Netzwerk. Dieses Passwort wird auch an das Zugangssystem geschickt. Shyam Motwani: "Wenn Sie autorisiert sind, den Code zu erhalten, geben Sie den Code in das Schließgerät ein, halten diesen 'Schlüssel' an die Stelle der Eingangstür, hinter der der Schließmechanismus sitzt. Stimmt das Passwort, dann sendet der Schlüssel einen anderen Code an den Schließmechanismus, und die Tür öffnet."
Das Schließgerät überprüft das Einmal-Passwort und lässt sich dieses Zugangs-Passwort vom zentralen Server bestätigen, bevor es den Zutrittscode erzeugt. Motwani: "Da handelt es sich um ein eigenes Backend-System, das das Passwort bestätigt. Nachdem Sie das Passwort erhalten haben und eingegeben haben, findet also eine Backend-Authentifizierung statt. Das ist ein zentrales System, das dies klärt."
Bei der Gelegenheit kann auch der Algorithmus, mit dem der Zugangscode für den Schließmechanismus erzeugt wird, geändert oder ausgetauscht werden. Das sorgt für zusätzliche Sicherheit. Außerdem wird mit dem Einmal-Passwort eine Zugangszeit vergeben. Außerdem erklärt Motwani: "Ein Einmal-Passwort ist wichtig, um sicherstellen zu können, dass der Zugang für einen Techniker oder anderen Nutzer nur innerhalb einer bestimmten Zeit erfolgt, die er für seine Aufgabe braucht. Etwa für einen Tanklastwagenfahrer, der Kraftstoff von seinem Tanklastzug in die unterirdischen Tanks pumpt, oder für einen Service-Techniker, der seine Wartungsarbeiten innerhalb eines bestimmten Zeitfensters erledigt und dann den Ort des Geschehens verlässt."
Kombination mit anderen Zugangssicherungen
In einigen Fällen wird mit separaten Zutritts- und Abtritts-Passwörtern gearbeitet. Also ein Passwort fürs Reingehen und ein zweites fürs Rauskommen. In Rechenzentren und anderen Hochsicherheitsbereichen, wie etwa Kraftwerken, kann das Einmal-Passwort auch mit anderen Zugangssicherungen kombiniert werden, sagt Motwani: "Das ist eine zusätzliche Lösung. Es gibt da verschiedene Lösungen, etwa Lösungen auf der Basis von Funkchips oder biometrische Anwendungen, die man so kombinieren kann, dass die Einrichtung gut geschützt ist."
Vor allem an der Kombination von Zugangssicherung mit biometrischen Daten, also zum Beispiel Iris-Scan, Venenanalyse am Handgelenk oder Fingerabdruck mit einem Einmal-Passwort, sind die Betreiber sehr sensibler Anlagen ausgesprochen interessiert. Nur das Einmal-Passwort reicht ihnen nicht, weil die Zutrittskennung trotz verschlüsseltem Versand per virtuellem privaten Netzwerk abgefangen und entschlüsselt werden könnte. Allein auf biometrische Daten wollen sie sich auch nicht verlassen, weil es auch hier schon zu Fälschungen gekommen ist.