Schlagwortarchiv für: Identität und Privatsphäre

Self-Sovereign Identities – Kontrollieren wir in Zukunft unsere Identität selbst?

In der realen Welt können wir uns einfach und sicher identifizieren, aber in der virtuellen Welt noch immer nicht. Für die digitale Identifizierung gibt es inzwischen zwar mehrere Varianten, nicht immer zufriedenstellend. Nun scheint sich die Self-Sovereign-Identity durchzusetzen. Was sie den anderen Konzepten voraus hat, erläutert unser Autor, BFH-Forscher Gerhard Hassenstein.

Dezentrale Identitäten weisen gegenüber isolierten und zentralen Identitäten, wie im bereits erschienen Beitrag erläutert, hinsichtlich Flexibilität und Schutz der Privatsphäre viele Vorteile auf. Mit einer Self-Sovereign-ID (Selbstkontrollierten Identität) erhält der Benutzer die alleinige Kontrolle über seine Daten zurück, da keine zentrale Ablage von Identitätsdaten mehr notwendig ist. Dies reduziert auf der anderen Seite aber auch Datensicherheitsprobleme von zentralen Identitätslieferanten, welche sich zunehmend Angriffen ausgesetzt sehen. Dieser Artikel stellt die Grundbausteine von Self-Sovereign Identities vor und erklärt deren Konzept und Funktionsweise.

Der Ansatz einer selbst-kontrollierten und dezentral organisierten Identität ist nicht neu. Dieses Konzept wurde bereits in verschiedenen Formen (z.B. Idemix[1] und uProve[2]) vorgeschlagen. Neu bei Self-Sovereign Identity (SSI) ist, dass mit einem dezentralen öffentlichen Register gearbeitet wird. Dies ist ein Paradigmenwechsel.

Die Hauptbestandteile von SSI

Die Technologie hinter Self-Sovereign Identity ermöglicht es Personen, Organisationen oder auch Dingen ihre digitale Identität selbst zu kontrollieren, indem sie jederzeit auch bestimmen können, welche persönlichen Attribute bei einem Authentifizierungsvorgang übermittelt werden. Die Benutzer erhalten somit mehr Rechte aber auch Verantwortlichkeit hinsichtlich ihrer persönlichen Informationen.

Akteure

·        Der Inhaber (Holder) kann eine oder mehrere Identitäten selbst erstellen, die je mit einer DID[3] (eine Art Identifikator) referenzierbar sind. Ein Inhaber behauptet zunächst etwas über sich selbst, z.B. wo er wohnt (Wohnort). Erst wenn ein Aussteller (z.B. die Post) dies beglaubigt hat, wird aus dieser Behauptung ein überprüfbarer Nachweis. Diesen Nachweis kann der Inhaber dann zusammen mit seiner Identität einem Dienstleister (Prüfer) präsentieren, welcher Informationen und Identität validieren kann.

·        Der Aussteller (Issuer) beglaubigt Eigenschaften (Attribute) eines Inhabers in Form von überprüfbaren Nachweisen (sog. Verifiable Credentials), welche ein standardisiertes Format[4] haben. Die Beglaubigung legt der Aussteller idealerweise in einem öffentlichen Register ab, damit jedermann diese prüfen kann. Den Nachweis hingegen übergibt er dem Inhaber zur weiteren Verwendung. Aussteller sind autoritative Instanzen, wie Behörden, Unternehmen oder Bildungsinstitutionen.

·        Ein Prüfer (Verifier) erhält einen Nachweis von einem Inhaber und kann diesen mit Hilfe des öffentlichen Registers überprüfen. Mit dem Nachweis kann er dann bei sich eine bestimmte Entscheidung treffen (z.B. bei der Zugriffskontrolle).

  Abb. 1: SSI Komponenten

Elektronische Brieftasche (ID-Wallet)

Der Inhaber speichert DIDs, Schlüssel und Nachweise in einer Art elektronischer Brieftasche ab, wie er in der realen Welt seine ID, Fahrausweis, Kreditkarten, usw. in seiner physischen Brieftasche ablegt. Ein solcher ID-Wallet kann auf jedem Gerät installiert werden und erlaubt, die SSI-Daten von einem Gerät zum anderen zu übertragen.

Agenten und Vermittler (Agents und Hubs)

Um den Inhaber bei den Prozessen zum Erstellen einer DID, beim Anfordern eines Nachweises, beim Aufbau einer sicheren Kommunikation mit Ausstellern und Prüfern, usw. zu unterstützen, bietet die SSI-Infrastruktur digitale Agenten, welche die ID-Wallets «umhüllen» und schützen.

Abb. 2: Agenten nehmen dem Inhaber die Arbeit ab

Dezentrale öffentliche Datenregister

Die grundlegende Änderung bei SSI ist die Abkehr von einer zentralen Instanz, welche Identitäten kontrolliert und speichert. Dies bedingt aber eine dezentrale Ablage von Identitäten. Um dennoch eine zuverlässige Datenquelle bieten zu können, muss in Form eines öffentlich überprüfbaren Datenregisters eine manipulationssichere, verteilte Datenbank verwendet werden, die nicht von einer einzelnen Partei kontrolliert werden kann. Nebst anderen Lösungsansätzen bietet sich die «Blockchain-Technologie» dazu an, welche in anderer Form auch für Kryptowährungen verwendet wird.

Funktionsweise

Einfaches Vertrauen in eine Identität

Der kritische Punkt bei einer Überprüfung eines Nachweises ist das Vertrauen, welches man darin haben kann. Mit anderen Worten: vertraut ein Prüfer der Information im Nachweis, dem Aussteller und der Identität des Überbringers?

Die Vertrauensbeziehung zwischen Aussteller, Inhaber und Prüfer ist immens wichtig. Bei einer einfachen Vertrauensbeziehung vertraut ein Prüfer der Aussage, die ein Aussteller in Form eines Nachweises über die Identität eines Inhabers gemacht hat.

Abb. 3: Einfache Vertrauensbeziehung

In herkömmlichen Systemen wird ein Dienstleister nur auf seine Identität hin geprüft (z.B. durch ein Webserver-Zertifikat). Die Überprüfung einer «Identität» ist vielfach aber nicht ausreichend. In vielen Fällen wäre es wünschenswert, wenn ein Dienstleister auch einen Berechtigungsnachweis liefern könnte. Dies ist in herkömmlichen Modellen nur schwer umsetzbar. SSI jedoch unterstützt diese Form von gegenseitigem Vertrauen mit Hilfe von überprüfbaren Nachweisen. Ein Prüfer wird zum «Geprüften». Ein Inhaber könnte beispielsweise verlangen, dass ein Prüfer selbst einen Nachweis erbringt, welchen ihn als «Versicherung» ausweist. Solche Vertrauensbeziehungen sollten aber nicht nur auf technischer Ebene verifiziert werden können (z.B. durch Validieren von digitalen Signaturen). Es sollten zusätzlich auf rechtlicher und geschäftlicher Ebene Richtlinien geschaffen werden, welche die Vertrauenswürdigkeit in technische Nachweise erweitern.

Authentisieren (DID-Auth)

Ein Inhaber einer SSI muss gegenüber einem Aussteller oder Prüfer beweisen können, dass er diese kontrolliert bzw. in deren Besitz ist. Die Datenformate und Verfahren dazu werden unter dem Begriff DID-Auth[5] zusammengefasst. DID-Auth erlaubt eine einseitige bzw. gegenseitige Authentisierung und das Übertragen von «Verifiable Credentials» in einem sicheren Kanal.

Verlust der DID oder der «Verifiable Credentials»

Was passiert in einer dezentralen Identitätsarchitektur – wie SSI, wenn ein Inhaber die DID oder dazugehörige Nachweise auf seinem Gerät verliert oder dieses zerstört wird? Bei einer zentral administrierten und kontrollierten Identität ist dies im Normalfall kein Problem, man fragt den Verwalter der Identität, ob er diese wiederherstellen oder eine Neue ausstellen könne. Nach einem entsprechenden Überprüfungsverfahren sollte dies die zentrale Verwaltung einer Identität auch problemlos erledigen können. Nicht so bei dezentralen Identitäten, hier ist bei der Erstellung keine zentrale Instanz beteiligt. Dies verlagert die Verantwortung auf den Identitätsinhaber. Verfahren, wie «Distributed Key Management» helfen dem Inhaber seine Identitätsinformationen (Schlüsselmaterial und andere Informationen) auf vertrauenswürdige Treuhänder zu verteilen und im Notfall, seine Identität mit Hilfe dieser wiederherzustellen. Da die Treuhänder immer nur Teile der Identität besitzen, können sie diese nicht selbst nutzen oder missbrauchen.

Fazit

Auch wenn die Technologien zu den Self-Sovereign Identities noch nicht ganz ausgereift sind und noch einige Teile in Entwicklung stehen[6], so zeichnet sich ein Trend in Richtung selbst-kontrollierter Identitäten ab. Die heutige Gesellschaft ist in den Belangen «Schutz der Privatsphäre» jedes Einzelnen sensitiver geworden, und stellt diesbezüglich neue Anforderungen. Auch die Gesetzeslage (zumindest in Europa) hat sich mit der DatenSchutz-GrundVerOrdnung (DSGVO) verändert. Eine technisch sichere Lösung, welche den Schutz der Privatsphäre jedes Teilnehmers berücksichtigt und dennoch bedienerfreundlich ist, hat Zukunft.


Referenzen

[1] IBM Research: http://www.zurich.ibm.com/idemix

[2] Microsoft (vormals Credentica): http://research.microsoft.com/en-us/projects/u-prove/

[3] Decentralized IDentity

[4] Das Datenmodell für überprüfbare Berechtigungsnachweise wurde 2019 veröffentlicht: https://www.w3.org/TR/vc-data-model

[5] https://github.com/WebOfTrustInfo/rwot6-santabarbara/blob/master/final-documents/did-auth.md

[6] https://w3c-ccg.github.io/roadmap/diagram.html

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Die Schweiz braucht eine Debatte um die E-ID

An der Schweizer E-ID wird intensiv gearbeitet. Doch die öffentliche Debatte darüber kommt nur langsam in Schwung. Einen Anfang machte nun die Sendung Attualità culturale von Rete due, in der unser Forscher und Autor Jérôme Brugger mitdiskutierte.

Die meisten Menschen haben eine digitale Identität. Allerdings kennen die wenigsten das Konzept des elektronischen Identitätsausweises und dessen Folgen. Der Schweizer Bundesrat hat beschlossen, einen gesetzlichen Rahmen für die Schaffung von rechtsgültigen E-IDs in der Schweiz zu schaffen und wird ein entsprechendes Gesetz bis zum Sommer vorlegen. Neun grosse Unternehmen darunter die Post und die SBB haben angekündigt, einen digitalen Personalausweis, die SwissID zu entwickeln. Kundinnen und Kunden der beiden Unternehmen erhalten damit bereits im Laufe des Jahres eine vielseitig einsetzbare E-ID. Jetzt wäre der ideale Zeitpunkt für eine breite öffentliche Diskussion, bevor der Nationalrat über den Gesetzesentwurf debattieren wird.

Einen Anfang machte Rete due, das zweite Programm des Tessiner Radios. In seiner Sendung «Attualità culturale» vom Montag 12. Februar diskutierten zwei Forschende die zentralen Fragen zur digitalen Identität. Sie erläuterten die Vorzüge einer staatlichen und damit rechtsgültigen digitalen Identität für einfache und verlässliche Transaktionen mit der öffentlichen Verwaltung. Jérôme Brugger (ab Minute 8:50) gab als Mitglied des Forschungsschwerpunktes «Virtuelle Identität» am Departement Wirtschaft der Berner Fachhochschule Auskunft zu den aktuellen Entwicklungen in der Schweiz und den europäischen Perspektiven für die grenzüberschreitende Nutzung von elektronischen Identitäten.

Dieses Beispiel von Berichterstattung über E-ID ist aber eine Ausnahme. Die Debatte darum, mit welchen digitalen Identitäten wir uns künftig im elektronischen Raum bewegen, muss breiter geführt werden. Die Vor- und Nachteile von privaten und staatlichen oder staatlich kontrollierten digitalen Identitäten müssen in der Diskussion abgewogen werden. Am Ende stellt sich nicht die Frage, ob unsere elektronischen Daten gesammelt werden, sondern wie wir mit den passenden Instrumenten und Kontrollorganen Spielregeln durchsetzen können, die einem Schweizerischen und Europäischen Verständnis von Schutz der Persönlichkeit entsprechen.

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Föderierte Identitäten mit Schutz der Privatsphäre: Ist das überhaupt möglich?

Kaum will man bei einem Webshop etwas kaufen, sind persönliche Daten notwendig. Dazu gehören Vorname, Nachname, Adresse, E-Mail usw. Der Einfachheit halber wird dazu ein Konto erstellt, mit dem man sich später wieder anmelden kann. So können Bestellungen im Nachhinein überprüft und z. B. dieselben Waren mit wenigen Mausklicks nochmals bestellt werden.
Dieses Konto ist schützenswert. Es geht niemanden etwas an, wer welche Waren bei wem bestellt hat und wieviel es gekostet hat. Daher wird der Zugriff auf ein Konto mit einem Passwort geschützt, welches der Benutzer frei wählen kann.

Die meisten Benutzer kaufen aber nicht nur bei einem Webshop ein, sondern erwerben diverse Waren (Bücher, Elektronikartikel, Musik usw.) von verschiedenen Anbietern.

Dieses Verfahren hat gravierende Nachteile, birgt aber auch einen Vorteil:

  • Aus Bequemlichkeit wählen die Benutzer beim Registrieren meist den gleichen Benutzernamen und dasselbe Passwort. Die Wiederverwendung gleicher Zugriffsinformationen für unterschiedliche Webshops kann aber fatale Folgen für den Benutzer haben, wenn diese Informationen auf einem dieser Webshops gestohlen werden oder in falsche Hände geraten.
  • Ein Benutzer muss sich immer wieder von neuem registrieren und wiederholt dieselben Daten eingeben (Name, Vorname, Adresse, E-Mail, usw.).
  • Der Vorteil liegt aber darin, dass diese Informationen dezentral abgelegt sind. Wenn sich ein Benutzer bei einem Webshop anmeldet, so erfolgt dies direkt zwischen Browser und Web-Applikation. Es sind keine anderen Systeme involviert.

Was ist eine föderierte Identität?

Eine föderierte Identität ist einfach gesagt ein Login, das für mehrere Webseiten, Plattformen usw. verwendet werden kann. Der Benutzer kann so seine Benutzerdaten zentral verwalten und diese besser schützen.

Der Vorteil des Benutzers liegt darin, dass er nur noch ein Konto sowie eine zentrale Stelle hat, bei der er die Daten verwalten muss. Er hat die Übersicht, welche Web-Applikation welche Daten wann bezogen hat. Um Identitätsdiebstahl vorzubeugen, bieten Anbieter von föderierten Identitäten dem Benutzer meist an, das Konto mittels starker Authentifizierungsmittel (langes starkes Passwort, zweiter Authentifizierungsfaktor, wie SMS oder Push-Nachricht auf einem Smartphone) gut zu schützen.

Bereits heute gibt es föderierte Logins. So ist es bei einigen Portalen möglich, sich mit Google- oder Facebook-Konten anzumelden. Die genannten Konten haben neben den genannten Vorteilen aber erhebliche Nachteile bezüglich der Privatsphäre. Der Benutzer zahlt indirekt mit seinen Daten, den Spuren, die er im Internet hinterlässt. Für Google und Facebook ist sichtbar, welche Webseiten ein Benutzer verwendet und welche Benutzerdaten an die Webseiten weitergegeben werden. Sie können das Verhalten und Informationen des Benutzers aufzeichnen und somit ein Profil erstellen. Mit diesen Daten ist es für Google und Facebook u.a. besser möglich, personalisierte Werbung für den Benutzer einzublenden.

Schutz der Privatsphäre mittels Broker

Abbildung 1: Parteien in einem föderierten System mit Broker

Um die Privatsphäre der Benutzer besser zu schützen, sollte der Informationsfluss zwischen dem Identitätslieferanten (z. B. Google, Facebook) und der Web-Applikation getrennt werden. Dies kann mit einem Vermittler, einem sogenannten Broker (engl. Authentication Broker) zwischen Webshop (im Bild als Relying Party, kurz RP bezeichnet) und dem Identitätslieferanten erreicht werden.

Der Broker ist jeweils Protokoll-Endpunkt einer Kommunikationsstrecke und blockiert somit den direkten Informationsfluss zwischen Informationslieferanten und Webshop. Dies wird auch als „double blinding“ bezeichnet. Damit erhalten die beiden Endsysteme keinen Blick mehr auf die ‘andere’ Seite. Der Broker kontrolliert dabei den Informationsfluss. Aber genau dies ist wiederum ein Nachteil hinsichtlich Privatsphäre, da nun der Broker alle Kommunikationsvorgänge bei einer Authentisierung mitlesen kann. Mit zusätzlichen kryptographischen Mitteln (Privacy-Enhancing Technologies) kann auch der Broker z.T. ’blind’ gemacht werden. Mit diesen Techniken und regulatorischen Massnahmen kann der Schutz der Privatsphäre eines Benutzers mit einfachen und standardisierten Mitteln grösstmöglich umgesetzt werden.

Für die Webshops (Relying Parties) ergibt sich ein weiterer Vorteil: Sie müssen nicht mehrere Identitätsanbieter unterstützen und ihnen vertrauen, sondern nur einen, nämlich den Broker. Der Broker übernimmt die Anbindung der Identitätslieferanten und transformiert bzw. übersetzt die Nachrichten, die zwischen den Parteien versendet werden.

E-ID ohne Überwachung

Auch eine staatlich anerkannte elektronische Identität (E-ID) kann mit Hilfe eines solchen Brokers in das Schweizer Identitäts-Ökosystem einbezogen werden, ohne dass der Schweizer Staat die Daten über die Internet-Benutzer sammeln und verwerten kann. Denn in einem föderierten System mit Broker wäre der Staat ein vertrauenswürdiger, aber ‘nichts sehender’ Identitätslieferant.

Die Vorteile einer nationalen Identitätslösung kämen so am besten zur Geltung. Kommerzielle Webshops und besonders Anwendungen aus dem E-Government könnten sich auf die staatlich erfassten und überprüften Benutzerinformationen voll verlassen.
Die Benutzer müssten nicht mehr ständig ihre Daten wieder und wieder eingeben und sie könnten mit derselben Benutzerfreundlichkeit, wie sie von Google- und Facebook her gewohnt sind, nun staatlich geprüfte Identitätsdaten an Webshops weitergeben, ohne die ständige Bedrohung durch Profilbildung der Identitätslieferanten zu fürchten.

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Testlauf für das elektronische Patientendossier

Röntgenbilder, Blutwerte und Spitalberichte werden auf dem elektronischen Patientendossier (EPD) gespeichert. Das Zusammenspiel aller Beteiligten ist komplex. In dieser Woche haben 16 Software-Unternehmen aus vier Ländern die Programme und die verschiedenen Prozesse getestet.

Lange Tische, ein Laptop neben dem anderen, konzentriert schauen Programmierer und IT-Ingenieure auf die Bildschirme. Über allem liegt Neonlicht und gedämpftes Gemurmel. Das Untergeschoss des Campus Liebefeld des Bundesamtes für Gesundheit hat sich für eine Woche in eine Art Laboratorium verwandelt: Am Projectathon von eHealth Suisse, EDI und IHE testen 16 Software-Unternehmen, darunter auch Swisscom eHealth, ob ihre Anwendungen im Zusammenspiel funktionieren.

Für die Infrastruktur haben die Organisatoren 1,5 Kilometer Kupfer- und Glasfaserkabel verlegt, eine eigene Internet- und Stromleitung installiert sowie eine separate Lüftung eingebaut, damit der Raum mit knapp 100 IT-Spezialisten und ebenso vielen Rechnern nicht heiss läuft. Gerechnet hatten die Organisatoren um Adrian Schmid, den Leiter von eHealth Suisse, mit 50 Anmeldungen. Etwa 20 Mitarbeitende überwachen den Testlauf und fungieren quasi als Schiedsrichter.

Einer von ihnen ist Projektleiter Tony Schaller von IHE Suisse. Er schaut den Testern über die Schulter. «Das EPD ist kein Einzelprodukt sondern ein Zusammenspiel von mehreren Produkten, da ist es besonders wichtig, dass die Transaktionen zwischen den verschiedenen Anbietern», sagt Schaller. Gemeint sind damit nicht nur die Interaktionen zwischen Spitälern, Gesundheitspersonal, Apotheken und anderen Playern sondern auch der Austausch zwischen den kantonalen Gemeinschaften. Anders als in Dänemark, wo es ein staatlich einheitliches Patientendossier gibt, bleibt die Schweiz dem Föderalismus treu. «Das mag zwar auf den ersten Blick komplex sein, aber es bringt auch den Vorteil, dass die Daten niemals nur an einem Ort gespeichert werden und so vor einem Missbrauch sicherer sind», erläutert Schaller.

Der Projectathon biete den Unternehmen eine einmalige Umgebung mit einer sehr hohen Effizienz. «Fehler werden innerhalb von Minuten gefunden und behoben, sonst würde das vielleicht Wochen dauern.» Nicht nur die kurzen Wege sind besonders an diesem Event sondern auch, dass eigentlich Konkurrenten nebeneinander sitzen, miteinander an ihren Produkten feilen und sich gegenseitig testen. Getestet werden neben Use-Cases auch die Referenzumgebung.

Nach der Lancierung des EPD nächsten Sommer sollen jährlich ähnliche Testläufe stattfinden.

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

(Wann) ist mTAN tot – und was kommt danach?

Wo wir heute stehen

Seit Anbeginn der Informatik identifizieren Anwendungen ihre Benutzer, indem sie von diesen die Preisgabe eines Geheimnisses verlangen. Ebenso lange stehen Sicherheitsbeauftragte im unermüdlichen Kampf gegen diese Passwörter. Über die Jahre haben sie damit erreicht, dass viele Anwendungen heute noch ein zweites Passwort verlangen, das jeweils nur einmal verwendet werden kann. Solche Einmalpasswörter werden entweder beim Benutzer generiert oder diesem per SMS zugestellt. Das letztere Verfahren, auch mTAN für „mobile Transaktionsnummer“ genannt, ist heute im B2C Umfeld dominant.

Das Grundproblem von Passwörtern ist, dass ein preisgegebenes Geheimnis kein Geheimnis mehr ist. Einmalpasswörter können zwar nicht ganz so einfach gestohlen werden wie statische Passwörter, raffiniertere Angriffe mittels Phishing oder trojanischen Pferden führen aber allzu oft doch zum Erfolg. Einiges spricht heute dafür, dass die Ära der Passwörter – und damit auch mTAN – zu Ende geht. Dies zeigt sich beispielsweise daran, dass sich kaum mehr eine Schweizer Bank darauf verlassen will.

Wohin die Reise geht

Sichere Alternativen zu Passwörtern basieren auf einem benutzerseitigen kryptographischen Schlüssel, der einen gesicherten Kontext niemals verlässt. Über die Jahre sind viele solche Lösungen entstanden, ausserhalb des E-Banking konnten sie sich aber nirgends etablieren. Neben den hohen Kosten und einer häufig umständlichen Bedienung liegt dies auch daran, dass eine Vielzahl und Vielfalt von Endgeräten unterstützt werden muss. Leider spricht nichts dafür, dass sich dies in absehbarer Zukunft ändert.

Es ist deshalb an der Zeit, das Thema „Benutzerauthentifizierung“ neu zu denken. Wie anderswo in der Informatik liegt die Lösung in einer Schichtenarchitektur, bei der sich spezialisierte Lösungskomponenten ergänzen:

  • Sogenannte Authenticators in Hardware oder Software sorgen seitens des Benutzers dafür, dass die persönlichen kryptographischen Schlüssel sicher aufbewahrt werden. Diese Authenticators sind typischerweise gerätespezifisch und anwendungsneutral. Sie interagieren mit dem Benutzer (für die Aktivierung des Schlüssels beispielsweise mittels Fingerabdruck oder Gesichtserkennung) und dem Identity Provider (für die Prüfung des Schlüssels).
  • Identity Provider (IdP) verifizieren über geeignete Protokolle, dass der Benutzer im Besitz des ihm zugeordneten privaten Schlüssels ist. Anschliessend geben sie die authentifizierte Identität des Benutzers über ein Federation Protokoll wie SAML oder OpenID Connect an die Anwendungen weiter.
  • Die Anwendungen validieren die vom IdP ausgestellte Authentifizierungsbestätigung (Assertion) und gewähren dem Benutzer Zugriff auf seine Ressourcen. Es werden seitens der Anwendung keine Passwörter verwaltet oder geprüft.

In diesem Schichtenmodell hat die Anwendung keine direkte Kontrolle über die Authentisierung. Damit sie dennoch eine Gewähr dafür hat, dass ihre Sicherheitsbedürfnisse erfüllt werden, vereinbart sie mit dem Identity Provider einen von diesem mindestens einzuhaltenden Qualitätsstandard (sog. Level of Assurance LoA, z.B. nach eCH-170/171).Die Lösungsansätze und Protokolle dieser Schichtenlösung sind seit einigen Jahren verfügbar, haben sich aber erst punktuell durchgesetzt. Dies wird sich in den nächsten Jahren ändern (müssen).

Was ist zu tun?

Die Anbieter von Anwendungen (die Service Provider) sollten keine Gedanken mehr daran verschwenden, mit welchen Authentisierungsmitteln sie ihre Kunden zukünftig beglücken wollen. Sie sollten sich vielmehr darauf konzentrieren, eine Strategie für die Anbindung von Identity Providern zu definieren und die Zusammenarbeit mit geeigneten Anbietern zu suchen.

Die Identity Provider (IdP) ihrerseits sollten sich darauf konzentrieren, den Benutzern ein breites Portfolio von Authentisierungsverfahren anzubieten, das alle möglichen Endgeräte und Anwendungssituationen abdeckt. Der IdP sollte hierfür ohne proprietäre Client-Komponente auskommen und auf die FIDO Standardschnittstelle bauen.

Die Benutzer ihrerseits sollten Gerätehersteller und Serviceanbieter bevorzugen, die offene Schnittstellen unterstützen und nicht versuchen, ihre Kunden über technische Restriktionen an sich zu binden.

Ein Blick in die Kristallkugel

Technologiekonzerne wie Google, Apple, Facebook oder Amazon haben sich über die letzten Jahre eine starke Stellung als Identity Provider erarbeitet und investieren weiterhin in ihre Ökosysteme. Alternative Anbieter haben hier kaum Aussicht auf Erfolg und es ist zu erwarten, dass der Social Media Login für die meisten Benutzer das Tor zur alltäglichen Interaktion mit dem Internet sein wird.

Für den Zugriff auf höherwertige Dienste wie Finanztransaktionen oder die Verarbeitung vertraulicher Daten besteht noch Raum für ein passendes Angebot. Die beste Ausgangslage bietet sich den Banken, da sie bereits über langjährige Erfahrung und Expertise mit der starken Authentisierung verfügen. Würden die grossen Schweizer Banken das bestehende e-Banking Login für andere Service Provider öffnen, dann wäre eine starke Authentisierung für den grössten Teil der IT-affinen Bevölkerung per sofort verfügbar.

Entsprechende Gespräche, auch auf nationaler Ebene, werden heute geführt. Es ist zu hoffen, dass sich daraus zielführende Projekte ergeben; das Feld der Digitalen Identitäten ist zu wichtig, als dass es kampflos den Amerikanern überlassen werden darf!

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Unsicheres Smartphone und warum wir es trotzdem fürs Bezahlen verwenden…

Irgendwie wissen wir es, aber durch die vollmundigen Anpreisungen und einer Unmenge von ’sicheren› Apps, mit welchen viele Unternehmen uns umgarnen, schlagen wir unsere Bedenken bezüglich der verlangten Sicherheit an das Smartphone in den Wind. So bleibt uns nur der subjektive Eindruck: «Das muss ja sicher sein…“

Aber wie steht es wirklich um die Sicherheit von mobilen Anwendungen, die von Unternehmen, wie  Banken, Versicherungen, Telekommunikationsanbieter, Transportwesen angeboten werden? Der nachfolgende Text soll Denkanstösse über die objektive Sicherheit von Smartphone-Apps geben.

Was ist eigentlich „Sicherheit“?

Die etwas sperrige aber übliche Definition von ‹Sicherheit› besagt, «dass das grundsätzliche Ziel einer sicheren Lösung in der Informatik die korrekte Verwaltung eines virtualisierten Gutes (engl. «Asset») nach Willen des Eigners ist. Kein Dritter soll sich an den Gütern in irgendeiner Form bereichern können, ohne dass dies der Wille des Eigners ist». Diese Beschreibung erscheint wie selbstverständlich in einer perfekten Welt, in der es keine «Böses-im-Sinn-habenden Personengruppen» (= Angreifer) gibt. In der realen Welt aber erzeugt der Besitz von Gütern ein Begehren durch Dritte. Je grösser der Wert der verwalteten Güter, desto stärker wird dieses Begehren, welches so lange auf die Schwächen der angebotenen Lösung einwirkt, bis über den schwächsten Punkt ein Angriff erfolgt. Zwei scheinbar unabhängige Beispiele untermauern das:

  • Die sichere Lösung beim E-Banking garantiert die korrekte und fehlerfreie Verwaltung des monetären Vermögens des Kunden. Das Ziel des Angreifers ist demnach, sich am Vermögen der Kunden unberechtigt zu bereichern.
  • Eine sichere Lösung im E-Health (Verwaltung von Patientendaten) garantiert die korrekte und fehlerfreie Verwahrung der Vitaldaten, sowie die gezielte Bekanntgabe von privaten Daten an Dritte (sofern vom Patienten erwünscht). Das Ziel des Angreifers ist das Erlangen des Wissens bzgl. der Vitaldaten oder sogar deren fatale Manipulation im eigenen Interesse.

Unsichere Kommunikationskanäle

Durch die vollmundigen Versprechen der einzelnen Unternehmen ist man geneigt zu akzeptieren, dass eine gut geschriebene und fehlerlose App dem Druck eines Angreifers standhalten kann und man so sicherheitskritische Aktionen auf dem Smartphone durchführen darf. Doch genau das ist nicht der Fall. Betrachten wir dazu den unwahrscheinlichen Fall, dass ein Unternehmen eine 100% fehlerfreie Lösung bereitstellt, welche sie als App ihren Kunden zur Verfügung stellt und lassen diese auf einem beliebigen Smartphone laufen. Auch in diesem Falle muss die App für die Kommunikation mit dem Menschen zwei Kanäle anbieten:

  • Der Ausgabekanal zum Benutzer, damit dieser die Verwaltung der Daten (z.B. Geld oder Vitaldaten) einsehen kann und zudem erkennen kann, welche Aktionen die Sicherheitslösung damit ermöglicht. Dafür wird typischerweise das Display des Smartphones genutzt.
  • Der Eingabekanal zur Sicherheitslösung, damit diese die Anweisungen des Benutzers verstehen und ausführen kann. Eingaben werden zumeist über den Touchscreen realisiert.

Es sind aber genau diese beiden Kanäle, welche durch das Smartphone in keiner Weise abgesichert werden können. Dieser «Showstopper» gilt nicht nur für Smartphones im Speziellen, sondern auch für PC, Notebooks etc. Der Benutzer kann sich nie sicher sein, ob er der Ausgabe des Displays vertrauen kann, da eine böswillige App des Angreifers (= Malware) die Ausgabe der App auf dem Display überlagern kann (= Overlay-Attack). Aus der Ausgabe für ein ‹Nein› wird so plötzlich ein ‹Ja›, ein falscher Empfänger für eine Transaktion wird durch den vermeintlich richtigen Empfänger ersetzt. Ähnliches gilt für die Eingaben, welche der Benutzer tätigt. Obwohl der Benutzer beispielsweise die Passworteingabe nur der richtigen App überlassen will, wird diese notgedrungen auch gleich der Tastatur-App mitgeteilt, welche möglicherweise vom Angreifer kontrolliert wird. Auch hier ist wieder ein Angriffspotenzial vorhanden, welches weder vom System noch vom Benutzer erkannt werden kann.

Offen für Malware 

Doch wie kommt die App des Angreifers auf ein Smartphone? Ein Smartphone ist wie jeder Computer per Definition offen für neue Software (engl. software open). Das ist genau die Eigenschaft, welche dem Smartphone zum Durchbruch gereicht hat. Es ist aber auch genau diese ‹Offenheit›, welche es verunmöglicht zu wissen, ob eine böswillige Software (=Malware) installiert ist oder nicht. Diese grundlegende Erkenntnis wurde bereits in den 1940er Jahren durch Alain Turing bewiesen. Ein Angreifer kann seine Malware in fast beliebig kleinen Teilen über mehrere Apps (und deren Berechtigungen) verteilt auf ein Smartphone bringen, sodass weder vermeintliche Malware-Filter noch der Benutzer selber diese je erkennen können.

Kalkuliertes Risiko für die Unternehmen

Wenn dem so ist, warum gibt es denn aber die vielen „sicheren“ Apps, insbesondere im Finanzbereich (E-Banking / Twint / etc.)? Der grösste Schaden für ein Unternehmen ist eine Dezimierung des Kundenstamms. Dies bringt die Unternehmen dazu, dem Kunden die Interaktion mit dem angepriesenen Produkt so einfach und angenehm wie möglich zu machen, am besten mit einer sexy Smartphone-App. Der mögliche Schaden, der dem Kunden durch einen Angriff über das Smartphone entstehen kann, ist kalkuliert und wird weitestgehend auf den Kunden abgewälzt. Um das Risiko möglichst tief zu halten, wird dem Kunden die Sorgfaltspflicht überlassen, ihm also die bewiesenermassen unmögliche Aufgabe auferlegt, das Smartphone Malware-frei zu halten. Passiert dennoch ein Schaden, welcher erwiesenermassen auf einen Angriff zurückzuführen ist, verhält sich die Bank dann kulant?

Weil wir es so wollen

Sämtliche Dienstleister, die Apps für ihre Produkte über das Smartphone anbieten, machen dies (laut deren Aussage), weil wir als Kunden das so verlangen. Für mögliche Schäden kommt in erster Linie der Kunde auf. Im Gegensatz zu monetären Verlusten, die evtl. noch rückführbar sind, ist beim Bruch der Privatsphäre der Schaden maximal und kann auch nicht rückgängig gemacht werden. So liegt es am Benutzer, das beschriebene Risiko abzuwägen. Dafür wird von jedem einzelnen von uns eine a priori Mündigkeit in diesen Belangen erwartet, womit sich die ganze Angelegenheit als gesellschaftliches Problem manifestiert, welches es zu lösen gilt.

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.