Es braucht sichere Identitäten für das Vertrauen der Kunden

Isoliert, zentral oder dezentral – welche Vor- und Nachteile die unterschiedlichen Lösungen für die Identifizierung haben, vergleichen hier zwei Forscher von der BFH Technik und Informatik. 

Mit Identity Management bezeichnet man Prozesse und Dienste, die sich mit der Erfassung, Verwaltung und Verwendung von elektronischen Identitäten befassen. Ein elektronisches Identity Management System muss das richtige Gleichgewicht zwischen Benutzerfreundlich-keit, Sicherheit und Datenschutz finden. Klassische Modelle verfolgen die Ansätze isolierter oder zentraler Identitäten, welche diese Ziele nur teilweise erfüllen können. In den letzten Jahren werden dezentrale Ansätze stark diskutiert und haben mit Self-Sovereign Identity (SSI) international bereits grosse Beachtung erlangt. Diese Modelle und die dahinter-liegenden Architekturen und Konzepte sollen in diesem Artikel gegenübergestellt werden, um Vor- und Nachteile der einzelnen Lösungen aufzuzeigen.

In einer vernetzten Welt haben Maschinen eine Identität, Benutzer aber nicht

Das Internet wurde grundsätzlich ohne elektronische Identitäten aufgebaut. Ein Endgerät konnte nicht wissen, mit wem (Person, Organisation, Dienst oder Ding) es sich verbindet ausser auf technischer Ebene. Maschinen kommunizieren über IP-Adressen miteinander. Sie können ebenfalls, bis zu einem gewissen Grad, die Echtheit eines Partners überprüfen, da sie bei einem Verbindungsaufbau die Verknüpfung zwischen einem Namen und der dazugehörigen IP-Adresse in einem dezentralen Namensregister (Domain, Name, System) auflösen können.

Um echtes Vertrauen in Namen aufbauen zu können, muss für ein bestimmtes Endgerät ein Zertifikat erstellt werden. Für Benutzer ist der Geltungsbereich solcher Zertifikate meist nur auf Unternehmen limitiert. In globalen Netzen werden deshalb Zertifikate fast nur für Web-Server von dafür spezialisierten Diensten ausgestellt. Diese Zertifikatsanbieter sind meist zentrale Instanzen, welchen man vollständig vertrauen muss, obschon sie vielfach unbekannt sind (z.B. DigiCert).

Das Problem elektronischer Identitäten im Internet (insbesondere für Benutzeridentitäten) ist also auch heute (noch) nicht gelöst, obschon sich Diebstahl und Täuschung von Identitäten schnell verbreiten. Diese Entwicklung untergräbt das Vertrauen der Öffentlichkeit in das Internet.

Isolierte Identitäten

Dies ist die am häufigsten anzutreffende Lösung. Viele Webseiten oder Portale in unserem täglichen Umfeld verwenden solch isolierte Identitäten. Hier muss ein Benutzer bei jedem Portal erst einmal seine Identität verifizieren lassen, bevor eine elektronische Identität für ihn ausgestellt wird. Der Benutzer vereinbart – je nach Anforderungen des Dienstleisters – ein oder mehrere Authentisierungsmittel (Passwort, mobile TAN usw….), um künftig auf sein Konto zugreifen zu können. Dies ist aber eine isolierte Identität, da sie meist nur für diesen Zweck (Dienstleister) genutzt werden kann. Wie im Bild unten dargestellt, ist der Dienstleister hier Verwalter und Herausgeber von elektronischen Identitäten, also ein sogenannter Identity Provider (IdP).

Abbildung 1: Isoliertes Identitätsmanagement

Dieses Modell hat zwar den Charakter einer dezentralen Lösung, da eine Identität nur für eine Applikation verwendet werden kann, bringt aber einige entscheidende Nachteile mit sich:

  1. Aus Sicht des Benutzers:
    – Pro Dienstleister erhält der Benutzer jeweils eine andere elektronische Identität und vielfach ein anderes Authentisierungsmittel. Dies ist für den Benutzer schlecht überschaubar, da er mehrere elektronische Identitäten und dazugehörige Authentisierungsmittel bei sich lokal pflegen muss. Lösungen zur Vereinfachung können Passwort-Manager oder Cloud-Dienste zur Ablage der Identitäten bieten.                                                                                                                               – Der Benutzer muss dem Dienstleister und dessen Handhabung seiner Identitätsinformationen voll vertrauen. Dies ist für den Benutzer wenig transparent, auch wenn neuste Datenschutzgesetze dies verlangen.
  2. Aus Sicht des Dienstleisters:
    – Damit dieser die Identität des Benutzers prüfen kann, muss er einen Identitätsnachweis des Benutzers bei sich ablegen (meist zusammen mit anderen Informationen).
    – Er ist für die Sicherheit der von ihm erhobenen Identitätsinformationen verantwortlich. Weshalb er sich zunehmend gegen drohenden Missbrauch technisch absichern muss, da sonst seine Reputation darunter leiden könnte.
    – Um eine zeitgemässe und sicherere Authentisierungsmöglichkeit anbieten zu können, muss der Dienstleister kostenintensive 2-Faktor-Verfahren (z.B. zusätzlich eine SMS an die mobile Nummer des Benutzers senden) selbst implementieren.

Zentrale Identitäten

Heutige Dienstleister haben diese Probleme natürlich längst erkannt und dadurch gelöst, dass sie einen Schritt in Richtung zentralisierte Identität gemacht haben. Sie gingen dazu über, die Kontoverwaltung an bestimmte Unternehmen zu delegieren. Sie erlaubten den Benutzern, sich mit einer elektronischen Identität anzumelden, die von einem anderen Unternehmen ausgestellt und gewartet wird.
Gerade im Bereich ‘Social Login’ wird es damit für den Benutzer einfacher, da er sich mit einem Login auf mehreren Apps und Webseiten anmelden kann. Aber auch für den Dienstleister ist die Welt einfacher geworden, da er im Idealfall keine eigenen Identitäten mehr aufbauen muss. In einem betrieblichen Kontext wird für die Entlastung der Applikationen vielfach dafür ein zentraler Authentisierungsdienst eingesetzt.

Bei zentralen Identitäten wird die Login- und/oder die Validierungsfunktion vom Dienstleister an einen spezialisierten Betreiber (Identity Provider) ausgelagert (1). Der Dienstleister vertraut den Prozessen des Identitätslieferanten und damit seinen Bestätigungen.

Abbildung 2: Zentralisiertes Identitätsmanagement

Um auf einen Dienstleister zugreifen zu können, muss sich der Benutzer nun erst beim Identity Provider authentisieren. Dieser sendet dem Dienstleister nach erfolgter Authentisierung das Resultat in Form einer Bestätigung zu. Damit wird es möglich, dass ein Benutzer für verschiedene Dienstleister eine einzelne Identität verwenden kann.

In diesem Modell sind zwei Ausprägungen möglich:

  • Isolierte Identity Provider: Jeder IdP verfügt – unabhängig von anderen IdPs – über eigene Identitätsdaten des Benutzers, welche in seinem Kontext Gültigkeit haben. (z.B. «Social-Login»-Lösungen, wie Facebook, Google, Twitter, Amazon, Instagram, LinkedIn, Microsoft)
  • Vernetzte Identity Provider: Mehrere IdPs vertrauen sich gegenseitig und verfügen je nach Vertrauensstufe über ein gemeinsames Set an Identitätsdaten (Attribute wie z.B. Name, Vorname, E-Mail, usw.) eines Benutzers. Dieser kann sich ohne weiteres bei verschiedenen IdPs registrieren, da sich diese einen gemeinsamen Identifikator teilen. Dieser gemeinsame Identifikator wird meist von einer staatlichen Instanz vergeben, welche die IdPs zertifiziert und mit Standard-Identitätsdaten eines Benutzers versorgt. Jedem, in diesem Modell zertifizierten IdP steht es frei, weitere Attribute aus seinem Kontext einer Identität beizufügen. (z.B. E-ID der CH)

«Zentrale Identitäten» haben gegenüber «isolierten Identitäten» zwar klare Vorteile, aber sie weisen immer noch bestimmte Nachteile auf:

  1. Aus Sicht des Benutzers:
    – Für den Benutzer wird die Verwaltung seiner elektronischen Identität einfacher, denn er hat nur noch eine bzw. wenige Identitäten, die er pflegen muss. Er sollte diese gegenüber möglichst vielen Dienstleistern einsetzen können.
    Umgekehrt wird aber die Privatsphäre des Benutzers empfindlich eingeschränkt, da der Identitätslieferant in jeden Authentisierungsvorgang einbezogen wird (Loginfunktion) und deshalb in der Lage ist, sich zu merken, wann und wie häufig ein Benutzer einen Dienstleister besucht hat. Diese Information kann für die Profilbildung und gezielte Werbung genutzt werden. Diese Form der unbemerkten Überwachung kann nur dann verhindert werden, wenn der IdP bei der Authentisierung des Benutzers nicht mehr beteiligt ist.
    – Der Benutzer muss nun dem Identitätslieferanten und dessen Handhabung seiner Identitätsinformationen voll vertrauen. Im Endeffekt ist dies für den Benutzer nicht viel transparenter, auch wenn gegenüber spezialisierten oder sogar vom Staat zertifizierten IdP’s mehr Vertrauen entgegengebracht werden kann.
    – Der Benutzer – welcher eigentlich Inhaber der Identität ist – wird von diesem Dienst abhängig. Wenn dieser Dienst seine Funktion nicht mehr erfüllen kann, so ist auch die elektronische Identität des Benutzers nicht mehr zugänglich.
  2. Aus Sicht des Dienstleisters:
    – Dienstleister delegieren die Authentisierung einem spezialisierten System von Identitätslieferanten, welchem sie vollständig vertrauen.
    – Damit sind sie von einer Last befreit:
    o sie müssen keinen Identitätsnachweis eines Benutzers mehr bei sich ablegen.
    o sie können beglaubigte und damit vertrauenswürdige Attribute von einem dafür spezialisierten IdP beziehen.
    Aus Sicht des Identitätslieferanten:
    – Da aus verschiedenen Bereichen (Dienstleistern) Daten von Benutzern anfallen, lohnt es sich eine komplexe Datenerhebung durchzuführen, die Nutzerdaten zu sammeln und, wenn die Gesetzgebung dies erlaubt, auch zu Geld damit zu machen. Es besteht die Versuchung mehrdimensionale Profile zu erstellen, welche mit leistungsstarken Targeting- und Profiling-Tools eine sehr effiziente Form der Überwachung ermöglichen. Die reichhaltigen Informationen aus dem Verhalten des Benutzers, können für öffentliche Werbung eingesetzt werden, zunehmend aber auch für Propaganda und zur Wahlpolitik.
    – Aggregierte Datenbestände werden zunehmend zu lohnenden Angriffszielen von Hackern. Immer mehr werden verfügbare Ressourcen für einen Missbrauch freigesetzt. Gravierende Sicherheitsprobleme können auftreten und sind fast nicht mehr zu handhaben. Ein solcher IdP muss die Identitätsinformationen besonders gut schützen.

Dezentrale Identitäten

Die verbleibenden Nachteile versucht man mit Self-Sovereign Identities (SSI) (2) in den Griff zu kriegen. Auf zentrale Instanzen kann in diesem Modell verzichtet werden, da die Identitätsinformationen unabhängig von einer zentralisierten Registrierungs-, Zertifizierungsstelle oder eines IdPs sind. Hierbei steht der Benutzer als Eigentümer einer elektronischen Identität im Mittelpunkt, denn nur er ist im Besitz seiner persönlichen Daten (und niemals ein zentraler Dienst oder ein staatlicher Herausgeber). Diese Identität kann er bei Bedarf in einem beliebigen Umfeld einsetzen, sei es privat oder geschäftlich (z.B. beim Online-Shopping oder in einem behördlichen Kontext).

Abbildung 3: Self-Sovereign Identity

Wie in Abbildung 3 dargestellt, ist der Benutzer sein eigener Identity Provider. Er erstellt sein Schlüsselmaterial, seine Identität und seine Daten von Beginn weg selbst aus. Alle Daten eines Nutzers sind zuerst «nicht-bestätigt». Erst wenn eine autoritative Instanz die Attribute (behauptete Eigenschaften) eines Nutzers beglaubigt hat, erhalten diese einen bestimmten Wert für Konsumenten (Dienstleister).
Dieser Ansatz wirft aber eine Reihe anderer Fragen auf:

  • Wie kann ein Dienstleister den Angaben eines Benutzers vertrauen? Ein Missbrauch wäre einfach zu realisieren. Ein Benutzer könnte sich als jemand anderes ausgeben, oder falsche Eigenschaften präsentieren, ohne dass der Dienstleister in der Lage ist die Korrektheit zu prüfen.
  • Was ist, wenn ein Benutzer keinen Zugriff auf seine dezentral geführten Informationen (Schlüsselmaterial, Identitätsinformationen, …) mehr hat? Niemand kann ihm da helfen, da es keine zentrale Autorität gibt, die das Schlüsselmaterial wiederherstellen, bzw. bestätigte Identitätsdaten wiederausstellen könnte.

Für diese und weitere Fragen wurden in der Vergangenheit bereits einige Lösungen erarbeitet.

  • Die Nachweisbarkeit einer Aussage übermittelt der Benutzer in Form von überprüfbaren Nachweisen («verifiable credentials») gegenüber einem Dienstleister. Um das Vertrauen (Prüfbarkeit) in Identitätsdaten bilden zu können, wird ein öffentlich, überprüfbares, verteiltes Datenregister im Netzwerk verwendet. Mit diesem können Nachweisbarkeit und Unveränderlichkeit von Transaktionen umgesetzt werden, indem Benutzer und Aussteller Informationen darin ablegen, die es einem Dienstleister erlauben einen Nachweis für die Echtheit der erhaltenen Informationen zu bilden. Anstelle eines klassisch, zentral geführten Systems, mit welchem elektronische Identitäten ausstellt, verteilt und geprüft werden können, tritt ein dezentral organisiertes System, welches der Veröffentlichung und dem sicheren Abruf von Metainformationen zu einer Identität dient.
  • Es wurden auch Lösungen erarbeitet, wie die Hinterlegung und Wiederherstellung von verlorenem Schlüsselmaterial – ohne zentrale Instanz – umgesetzt werden kann. Vorschläge dazu werden unter dem Begriff «Distributed Key Management System» (DKMS) diskutiert.

Fazit

Isolierte und zentral verwaltete Identitäten zeigen gerade hinsichtlich Flexibilität und Schutz der Privatsphäre grosse Lücken. Neue Datenschutzgesetze in der EU und hoffentlich auch bald in der Schweiz, fordern die Sicherstellung der Privatsphäre und ein Recht auf Selbstbestimmung. Die Zurückgewinnung über die Hoheit der Daten wird in naher Zukunft ein zentrales Anliegen werden. Deshalb erstaunt es auch nicht, dass sich «Self-Sovereign Identity» (SSI) als künftige Identity Management Lösung zu etablieren scheint. Mit «Self-Sovereign Identities» tritt an Stelle herkömmlicher Identitätslösungen ein flexibles und dynamisches Ökosystem, das verschiedenste Anwendungsgebiete abdeckt. Die Kommunikation im globalen Netzwerk wird mit SSI erstmals standardmässig mit einer Identität versehen. Ohne Angabe einer Identität kommt eine Kommunikation zwischen zwei Partnern gar nicht zustande.
Dieser noch sehr junge Ansatz hat international bereits eine recht hohe Aufmerksamkeit erlangt (3) und man erkennt laufend weitere Vorteile, welche eine dezentrale, nutzerzentrierte Lösung bieten könnte. Gerade im Umfeld heterogener Systemlandschaften, die in unserem Alltag und in komplexen Organisationen vielfach vorzufinden sind, bietet ein solcher Ansatz eine ungeahnte Vereinfachung.

Diese Form der elektronischen Identität ist analog zu bisherigen uns wohl bekannten Verfahren. Eine Legitimierung verhält sich genau gleich, wie wir uns täglich gegenseitig unsere Identität in der realen Welt beweisen. Wir holen die geforderten Beweismittel aus unserer Brieftasche und zeigen sie einer prüfenden Stelle. Diese entscheidet anhand des Aussehens und des Inhalts über die Echtheit des Beweismittels, welches wir von anderen vertrauenswürdigen Parteien im Vorfeld erhalten haben (z.B. Identitätskarte oder Fahrausweis).
Wann und wo wir dieses Beweismittel einsetzen, ist dem Aussteller völlig unbekannt, aber es ist in diesem Szenario möglich, dass jeder (ob Person, Organisation oder Ding) Aussteller und Prüfer sein kann.


Referenzen

  1. Es fallen darunter auch Lösungen, bei welchen die Identitätsdaten in Form einer Smartcard dem Benutzer übergeben werden.
  2. Auch unter dem Begriff «Bring Your Own Identity» (BYOI) bekannt.
  3. Weiterführende Informationen zu Self-Sovereign Identity: https://ssimeetup.org
  4. Roadmap zu Self-Sovereign Identity: https://w3c-ccg.github.io/roadmap/diagram.html
Creative Commons Licence

AUTHOR: Gerhard Hassenstein

Gerhard Hassenstein ist Dozent an der BFH Technik und Informatik.

AUTHOR: Marc Kunz

Marc Kunz ist wissenschaftlicher Mitarbeiter am Institut ICTM an der BFH Technik & Informatik. Er forscht vor allem über digitale Identitäten, insbesondere wie diese etabliert, geschützt und benutzerfreundlich verwendet werden können.

Create PDF

Ähnliche Beiträge

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert