Beiträge

Self-Sovereign Identities – Kontrollieren wir in Zukunft unsere Identität selbst?

In der realen Welt können wir uns einfach und sicher identifizieren, aber in der virtuellen Welt noch immer nicht. Für die digitale Identifizierung gibt es inzwischen zwar mehrere Varianten, nicht immer zufriedenstellend. Nun scheint sich die Self-Sovereign-Identity durchzusetzen. Was sie den anderen Konzepten voraus hat, erläutert unser Autor, BFH-Forscher Gerhard Hassenstein.

Dezentrale Identitäten weisen gegenüber isolierten und zentralen Identitäten, wie im bereits erschienen Beitrag erläutert, hinsichtlich Flexibilität und Schutz der Privatsphäre viele Vorteile auf. Mit einer Self-Sovereign-ID (Selbstkontrollierten Identität) erhält der Benutzer die alleinige Kontrolle über seine Daten zurück, da keine zentrale Ablage von Identitätsdaten mehr notwendig ist. Dies reduziert auf der anderen Seite aber auch Datensicherheitsprobleme von zentralen Identitätslieferanten, welche sich zunehmend Angriffen ausgesetzt sehen. Dieser Artikel stellt die Grundbausteine von Self-Sovereign Identities vor und erklärt deren Konzept und Funktionsweise.

Der Ansatz einer selbst-kontrollierten und dezentral organisierten Identität ist nicht neu. Dieses Konzept wurde bereits in verschiedenen Formen (z.B. Idemix[1] und uProve[2]) vorgeschlagen. Neu bei Self-Sovereign Identity (SSI) ist, dass mit einem dezentralen öffentlichen Register gearbeitet wird. Dies ist ein Paradigmenwechsel.

Die Hauptbestandteile von SSI

Die Technologie hinter Self-Sovereign Identity ermöglicht es Personen, Organisationen oder auch Dingen ihre digitale Identität selbst zu kontrollieren, indem sie jederzeit auch bestimmen können, welche persönlichen Attribute bei einem Authentifizierungsvorgang übermittelt werden. Die Benutzer erhalten somit mehr Rechte aber auch Verantwortlichkeit hinsichtlich ihrer persönlichen Informationen.

Akteure

·        Der Inhaber (Holder) kann eine oder mehrere Identitäten selbst erstellen, die je mit einer DID[3] (eine Art Identifikator) referenzierbar sind. Ein Inhaber behauptet zunächst etwas über sich selbst, z.B. wo er wohnt (Wohnort). Erst wenn ein Aussteller (z.B. die Post) dies beglaubigt hat, wird aus dieser Behauptung ein überprüfbarer Nachweis. Diesen Nachweis kann der Inhaber dann zusammen mit seiner Identität einem Dienstleister (Prüfer) präsentieren, welcher Informationen und Identität validieren kann.

·        Der Aussteller (Issuer) beglaubigt Eigenschaften (Attribute) eines Inhabers in Form von überprüfbaren Nachweisen (sog. Verifiable Credentials), welche ein standardisiertes Format[4] haben. Die Beglaubigung legt der Aussteller idealerweise in einem öffentlichen Register ab, damit jedermann diese prüfen kann. Den Nachweis hingegen übergibt er dem Inhaber zur weiteren Verwendung. Aussteller sind autoritative Instanzen, wie Behörden, Unternehmen oder Bildungsinstitutionen.

·        Ein Prüfer (Verifier) erhält einen Nachweis von einem Inhaber und kann diesen mit Hilfe des öffentlichen Registers überprüfen. Mit dem Nachweis kann er dann bei sich eine bestimmte Entscheidung treffen (z.B. bei der Zugriffskontrolle).

  Abb. 1: SSI Komponenten

Elektronische Brieftasche (ID-Wallet)

Der Inhaber speichert DIDs, Schlüssel und Nachweise in einer Art elektronischer Brieftasche ab, wie er in der realen Welt seine ID, Fahrausweis, Kreditkarten, usw. in seiner physischen Brieftasche ablegt. Ein solcher ID-Wallet kann auf jedem Gerät installiert werden und erlaubt, die SSI-Daten von einem Gerät zum anderen zu übertragen.

Agenten und Vermittler (Agents und Hubs)

Um den Inhaber bei den Prozessen zum Erstellen einer DID, beim Anfordern eines Nachweises, beim Aufbau einer sicheren Kommunikation mit Ausstellern und Prüfern, usw. zu unterstützen, bietet die SSI-Infrastruktur digitale Agenten, welche die ID-Wallets «umhüllen» und schützen.

Abb. 2: Agenten nehmen dem Inhaber die Arbeit ab

Dezentrale öffentliche Datenregister

Die grundlegende Änderung bei SSI ist die Abkehr von einer zentralen Instanz, welche Identitäten kontrolliert und speichert. Dies bedingt aber eine dezentrale Ablage von Identitäten. Um dennoch eine zuverlässige Datenquelle bieten zu können, muss in Form eines öffentlich überprüfbaren Datenregisters eine manipulationssichere, verteilte Datenbank verwendet werden, die nicht von einer einzelnen Partei kontrolliert werden kann. Nebst anderen Lösungsansätzen bietet sich die «Blockchain-Technologie» dazu an, welche in anderer Form auch für Kryptowährungen verwendet wird.

Funktionsweise

Einfaches Vertrauen in eine Identität

Der kritische Punkt bei einer Überprüfung eines Nachweises ist das Vertrauen, welches man darin haben kann. Mit anderen Worten: vertraut ein Prüfer der Information im Nachweis, dem Aussteller und der Identität des Überbringers?

Die Vertrauensbeziehung zwischen Aussteller, Inhaber und Prüfer ist immens wichtig. Bei einer einfachen Vertrauensbeziehung vertraut ein Prüfer der Aussage, die ein Aussteller in Form eines Nachweises über die Identität eines Inhabers gemacht hat.

Abb. 3: Einfache Vertrauensbeziehung

In herkömmlichen Systemen wird ein Dienstleister nur auf seine Identität hin geprüft (z.B. durch ein Webserver-Zertifikat). Die Überprüfung einer “Identität” ist vielfach aber nicht ausreichend. In vielen Fällen wäre es wünschenswert, wenn ein Dienstleister auch einen Berechtigungsnachweis liefern könnte. Dies ist in herkömmlichen Modellen nur schwer umsetzbar. SSI jedoch unterstützt diese Form von gegenseitigem Vertrauen mit Hilfe von überprüfbaren Nachweisen. Ein Prüfer wird zum “Geprüften”. Ein Inhaber könnte beispielsweise verlangen, dass ein Prüfer selbst einen Nachweis erbringt, welchen ihn als “Versicherung” ausweist. Solche Vertrauensbeziehungen sollten aber nicht nur auf technischer Ebene verifiziert werden können (z.B. durch Validieren von digitalen Signaturen). Es sollten zusätzlich auf rechtlicher und geschäftlicher Ebene Richtlinien geschaffen werden, welche die Vertrauenswürdigkeit in technische Nachweise erweitern.

Authentisieren (DID-Auth)

Ein Inhaber einer SSI muss gegenüber einem Aussteller oder Prüfer beweisen können, dass er diese kontrolliert bzw. in deren Besitz ist. Die Datenformate und Verfahren dazu werden unter dem Begriff DID-Auth[5] zusammengefasst. DID-Auth erlaubt eine einseitige bzw. gegenseitige Authentisierung und das Übertragen von “Verifiable Credentials” in einem sicheren Kanal.

Verlust der DID oder der “Verifiable Credentials”

Was passiert in einer dezentralen Identitätsarchitektur – wie SSI, wenn ein Inhaber die DID oder dazugehörige Nachweise auf seinem Gerät verliert oder dieses zerstört wird? Bei einer zentral administrierten und kontrollierten Identität ist dies im Normalfall kein Problem, man fragt den Verwalter der Identität, ob er diese wiederherstellen oder eine Neue ausstellen könne. Nach einem entsprechenden Überprüfungsverfahren sollte dies die zentrale Verwaltung einer Identität auch problemlos erledigen können. Nicht so bei dezentralen Identitäten, hier ist bei der Erstellung keine zentrale Instanz beteiligt. Dies verlagert die Verantwortung auf den Identitätsinhaber. Verfahren, wie “Distributed Key Management” helfen dem Inhaber seine Identitätsinformationen (Schlüsselmaterial und andere Informationen) auf vertrauenswürdige Treuhänder zu verteilen und im Notfall, seine Identität mit Hilfe dieser wiederherzustellen. Da die Treuhänder immer nur Teile der Identität besitzen, können sie diese nicht selbst nutzen oder missbrauchen.

Fazit

Auch wenn die Technologien zu den Self-Sovereign Identities noch nicht ganz ausgereift sind und noch einige Teile in Entwicklung stehen[6], so zeichnet sich ein Trend in Richtung selbst-kontrollierter Identitäten ab. Die heutige Gesellschaft ist in den Belangen “Schutz der Privatsphäre” jedes Einzelnen sensitiver geworden, und stellt diesbezüglich neue Anforderungen. Auch die Gesetzeslage (zumindest in Europa) hat sich mit der DatenSchutz-GrundVerOrdnung (DSGVO) verändert. Eine technisch sichere Lösung, welche den Schutz der Privatsphäre jedes Teilnehmers berücksichtigt und dennoch bedienerfreundlich ist, hat Zukunft.


Referenzen

[1] IBM Research: http://www.zurich.ibm.com/idemix

[2] Microsoft (vormals Credentica): http://research.microsoft.com/en-us/projects/u-prove/

[3] Decentralized IDentity

[4] Das Datenmodell für überprüfbare Berechtigungsnachweise wurde 2019 veröffentlicht: https://www.w3.org/TR/vc-data-model

[5] https://github.com/WebOfTrustInfo/rwot6-santabarbara/blob/master/final-documents/did-auth.md

[6] https://w3c-ccg.github.io/roadmap/diagram.html

PDF erstellen

Ähnliche Beiträge

Call for Paper September: Vertrauen und Vertraulichkeit

Die Ausgabe zum Themenschwerpunkt eID beschäftigt sich im September 2018 mit dem Thema „Vertrauen und Vertraulichkeit“. Wir laden Sie ein, bis 30. Juli einen Abstract einzureichen und bei angenommenem Abstract einen Beitrag für unser Onlinemagazin SocietyByte zu schreiben.

Mögliche Themenfelder für Beiträge:

  1. Vertrauen: IAM basiert auf Vertrauen in die Partner, dass diese die vereinbarten Richtlinien (IAM-Policies) einhalten. Wie kann dieses Vertrauen etabliert und überprüft werden? Mit welchen Mitteln kann es technisch unterstützt werden?
  2. Vertraulichkeit: Von Vertraulichkeit kann dann gesprochen werden, wenn Informationen nur für Befugte zugänglich sind. Vertraulichkeit kann durch gesetzliche/organisatorische Massnahmen und/oder technische Massnahmen erreicht werden. Technische Massnahmen haben den Vorteil, dass ein Missbrauch der Daten erschwert wird, für den Fall, dass die gesetzliche/organisatorische Massnahmen nicht wirksam genug sind.
  3. E-ID Gesetz: Bundesrätin Simonetta Sommaruga hat am 1. Juni das dem Parlament vorgeschlagene E-ID-Gesetz BGEID vorgestellt. Welche Massnahmen sind notwendig, um das Vertrauen in die vorgeschlagene Lösung zu etablieren? Wird die Vertraulichkeit der persönlichen Daten gewahrt. Diskutieren Sie diese und auch weitere Aspekte der neune E-ID.
  4. Erfahrungsberichte: Wir freuen uns auf fachliche Beiträge, die über die Konzeption und Umsetzung von IAM-Systemen berichten. Erfolgsstories aber auch Erfahrungsberichte aus schwierigen Projekten mit ihren gewonnenen Erkenntnissen sind willkommen.

Abstracts können bis zum 30. Juli an digitalsociety@bfh.ch gesendet werden.

 

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Die Schweiz braucht eine Debatte um die E-ID

An der Schweizer E-ID wird intensiv gearbeitet. Doch die öffentliche Debatte darüber kommt nur langsam in Schwung. Einen Anfang machte nun die Sendung Attualità culturale von Rete due, in der unser Forscher und Autor Jérôme Brugger mitdiskutierte.

Die meisten Menschen haben eine digitale Identität. Allerdings kennen die wenigsten das Konzept des elektronischen Identitätsausweises und dessen Folgen. Der Schweizer Bundesrat hat beschlossen, einen gesetzlichen Rahmen für die Schaffung von rechtsgültigen E-IDs in der Schweiz zu schaffen und wird ein entsprechendes Gesetz bis zum Sommer vorlegen. Neun grosse Unternehmen darunter die Post und die SBB haben angekündigt, einen digitalen Personalausweis, die SwissID zu entwickeln. Kundinnen und Kunden der beiden Unternehmen erhalten damit bereits im Laufe des Jahres eine vielseitig einsetzbare E-ID. Jetzt wäre der ideale Zeitpunkt für eine breite öffentliche Diskussion, bevor der Nationalrat über den Gesetzesentwurf debattieren wird.

Einen Anfang machte Rete due, das zweite Programm des Tessiner Radios. In seiner Sendung «Attualità culturale» vom Montag 12. Februar diskutierten zwei Forschende die zentralen Fragen zur digitalen Identität. Sie erläuterten die Vorzüge einer staatlichen und damit rechtsgültigen digitalen Identität für einfache und verlässliche Transaktionen mit der öffentlichen Verwaltung. Jérôme Brugger (ab Minute 8:50) gab als Mitglied des Forschungsschwerpunktes «Virtuelle Identität» am Departement Wirtschaft der Berner Fachhochschule Auskunft zu den aktuellen Entwicklungen in der Schweiz und den europäischen Perspektiven für die grenzüberschreitende Nutzung von elektronischen Identitäten.

Dieses Beispiel von Berichterstattung über E-ID ist aber eine Ausnahme. Die Debatte darum, mit welchen digitalen Identitäten wir uns künftig im elektronischen Raum bewegen, muss breiter geführt werden. Die Vor- und Nachteile von privaten und staatlichen oder staatlich kontrollierten digitalen Identitäten müssen in der Diskussion abgewogen werden. Am Ende stellt sich nicht die Frage, ob unsere elektronischen Daten gesammelt werden, sondern wie wir mit den passenden Instrumenten und Kontrollorganen Spielregeln durchsetzen können, die einem Schweizerischen und Europäischen Verständnis von Schutz der Persönlichkeit entsprechen.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Föderierte Identitäten mit Schutz der Privatsphäre: Ist das überhaupt möglich?

Kaum will man bei einem Webshop etwas kaufen, sind persönliche Daten notwendig. Dazu gehören Vorname, Nachname, Adresse, E-Mail usw. Der Einfachheit halber wird dazu ein Konto erstellt, mit dem man sich später wieder anmelden kann. So können Bestellungen im Nachhinein überprüft und z. B. dieselben Waren mit wenigen Mausklicks nochmals bestellt werden.
Dieses Konto ist schützenswert. Es geht niemanden etwas an, wer welche Waren bei wem bestellt hat und wieviel es gekostet hat. Daher wird der Zugriff auf ein Konto mit einem Passwort geschützt, welches der Benutzer frei wählen kann.

Die meisten Benutzer kaufen aber nicht nur bei einem Webshop ein, sondern erwerben diverse Waren (Bücher, Elektronikartikel, Musik usw.) von verschiedenen Anbietern.

Dieses Verfahren hat gravierende Nachteile, birgt aber auch einen Vorteil:

  • Aus Bequemlichkeit wählen die Benutzer beim Registrieren meist den gleichen Benutzernamen und dasselbe Passwort. Die Wiederverwendung gleicher Zugriffsinformationen für unterschiedliche Webshops kann aber fatale Folgen für den Benutzer haben, wenn diese Informationen auf einem dieser Webshops gestohlen werden oder in falsche Hände geraten.
  • Ein Benutzer muss sich immer wieder von neuem registrieren und wiederholt dieselben Daten eingeben (Name, Vorname, Adresse, E-Mail, usw.).
  • Der Vorteil liegt aber darin, dass diese Informationen dezentral abgelegt sind. Wenn sich ein Benutzer bei einem Webshop anmeldet, so erfolgt dies direkt zwischen Browser und Web-Applikation. Es sind keine anderen Systeme involviert.

Was ist eine föderierte Identität?

Eine föderierte Identität ist einfach gesagt ein Login, das für mehrere Webseiten, Plattformen usw. verwendet werden kann. Der Benutzer kann so seine Benutzerdaten zentral verwalten und diese besser schützen.

Der Vorteil des Benutzers liegt darin, dass er nur noch ein Konto sowie eine zentrale Stelle hat, bei der er die Daten verwalten muss. Er hat die Übersicht, welche Web-Applikation welche Daten wann bezogen hat. Um Identitätsdiebstahl vorzubeugen, bieten Anbieter von föderierten Identitäten dem Benutzer meist an, das Konto mittels starker Authentifizierungsmittel (langes starkes Passwort, zweiter Authentifizierungsfaktor, wie SMS oder Push-Nachricht auf einem Smartphone) gut zu schützen.

Bereits heute gibt es föderierte Logins. So ist es bei einigen Portalen möglich, sich mit Google- oder Facebook-Konten anzumelden. Die genannten Konten haben neben den genannten Vorteilen aber erhebliche Nachteile bezüglich der Privatsphäre. Der Benutzer zahlt indirekt mit seinen Daten, den Spuren, die er im Internet hinterlässt. Für Google und Facebook ist sichtbar, welche Webseiten ein Benutzer verwendet und welche Benutzerdaten an die Webseiten weitergegeben werden. Sie können das Verhalten und Informationen des Benutzers aufzeichnen und somit ein Profil erstellen. Mit diesen Daten ist es für Google und Facebook u.a. besser möglich, personalisierte Werbung für den Benutzer einzublenden.

Schutz der Privatsphäre mittels Broker

Abbildung 1: Parteien in einem föderierten System mit Broker

Um die Privatsphäre der Benutzer besser zu schützen, sollte der Informationsfluss zwischen dem Identitätslieferanten (z. B. Google, Facebook) und der Web-Applikation getrennt werden. Dies kann mit einem Vermittler, einem sogenannten Broker (engl. Authentication Broker) zwischen Webshop (im Bild als Relying Party, kurz RP bezeichnet) und dem Identitätslieferanten erreicht werden.

Der Broker ist jeweils Protokoll-Endpunkt einer Kommunikationsstrecke und blockiert somit den direkten Informationsfluss zwischen Informationslieferanten und Webshop. Dies wird auch als „double blinding“ bezeichnet. Damit erhalten die beiden Endsysteme keinen Blick mehr auf die ‘andere’ Seite. Der Broker kontrolliert dabei den Informationsfluss. Aber genau dies ist wiederum ein Nachteil hinsichtlich Privatsphäre, da nun der Broker alle Kommunikationsvorgänge bei einer Authentisierung mitlesen kann. Mit zusätzlichen kryptographischen Mitteln (Privacy-Enhancing Technologies) kann auch der Broker z.T. ’blind’ gemacht werden. Mit diesen Techniken und regulatorischen Massnahmen kann der Schutz der Privatsphäre eines Benutzers mit einfachen und standardisierten Mitteln grösstmöglich umgesetzt werden.

Für die Webshops (Relying Parties) ergibt sich ein weiterer Vorteil: Sie müssen nicht mehrere Identitätsanbieter unterstützen und ihnen vertrauen, sondern nur einen, nämlich den Broker. Der Broker übernimmt die Anbindung der Identitätslieferanten und transformiert bzw. übersetzt die Nachrichten, die zwischen den Parteien versendet werden.

E-ID ohne Überwachung

Auch eine staatlich anerkannte elektronische Identität (E-ID) kann mit Hilfe eines solchen Brokers in das Schweizer Identitäts-Ökosystem einbezogen werden, ohne dass der Schweizer Staat die Daten über die Internet-Benutzer sammeln und verwerten kann. Denn in einem föderierten System mit Broker wäre der Staat ein vertrauenswürdiger, aber ‘nichts sehender’ Identitätslieferant.

Die Vorteile einer nationalen Identitätslösung kämen so am besten zur Geltung. Kommerzielle Webshops und besonders Anwendungen aus dem E-Government könnten sich auf die staatlich erfassten und überprüften Benutzerinformationen voll verlassen.
Die Benutzer müssten nicht mehr ständig ihre Daten wieder und wieder eingeben und sie könnten mit derselben Benutzerfreundlichkeit, wie sie von Google- und Facebook her gewohnt sind, nun staatlich geprüfte Identitätsdaten an Webshops weitergeben, ohne die ständige Bedrohung durch Profilbildung der Identitätslieferanten zu fürchten.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Testlauf für das elektronische Patientendossier

Röntgenbilder, Blutwerte und Spitalberichte werden auf dem elektronischen Patientendossier (EPD) gespeichert. Das Zusammenspiel aller Beteiligten ist komplex. In dieser Woche haben 16 Software-Unternehmen aus vier Ländern die Programme und die verschiedenen Prozesse getestet.

Lange Tische, ein Laptop neben dem anderen, konzentriert schauen Programmierer und IT-Ingenieure auf die Bildschirme. Über allem liegt Neonlicht und gedämpftes Gemurmel. Das Untergeschoss des Campus Liebefeld des Bundesamtes für Gesundheit hat sich für eine Woche in eine Art Laboratorium verwandelt: Am Projectathon von eHealth Suisse, EDI und IHE testen 16 Software-Unternehmen, darunter auch Swisscom eHealth, ob ihre Anwendungen im Zusammenspiel funktionieren.

Für die Infrastruktur haben die Organisatoren 1,5 Kilometer Kupfer- und Glasfaserkabel verlegt, eine eigene Internet- und Stromleitung installiert sowie eine separate Lüftung eingebaut, damit der Raum mit knapp 100 IT-Spezialisten und ebenso vielen Rechnern nicht heiss läuft. Gerechnet hatten die Organisatoren um Adrian Schmid, den Leiter von eHealth Suisse, mit 50 Anmeldungen. Etwa 20 Mitarbeitende überwachen den Testlauf und fungieren quasi als Schiedsrichter.

Einer von ihnen ist Projektleiter Tony Schaller von IHE Suisse. Er schaut den Testern über die Schulter. “Das EPD ist kein Einzelprodukt sondern ein Zusammenspiel von mehreren Produkten, da ist es besonders wichtig, dass die Transaktionen zwischen den verschiedenen Anbietern”, sagt Schaller. Gemeint sind damit nicht nur die Interaktionen zwischen Spitälern, Gesundheitspersonal, Apotheken und anderen Playern sondern auch der Austausch zwischen den kantonalen Gemeinschaften. Anders als in Dänemark, wo es ein staatlich einheitliches Patientendossier gibt, bleibt die Schweiz dem Föderalismus treu. “Das mag zwar auf den ersten Blick komplex sein, aber es bringt auch den Vorteil, dass die Daten niemals nur an einem Ort gespeichert werden und so vor einem Missbrauch sicherer sind”, erläutert Schaller.

Der Projectathon biete den Unternehmen eine einmalige Umgebung mit einer sehr hohen Effizienz. “Fehler werden innerhalb von Minuten gefunden und behoben, sonst würde das vielleicht Wochen dauern.” Nicht nur die kurzen Wege sind besonders an diesem Event sondern auch, dass eigentlich Konkurrenten nebeneinander sitzen, miteinander an ihren Produkten feilen und sich gegenseitig testen. Getestet werden neben Use-Cases auch die Referenzumgebung.

Nach der Lancierung des EPD nächsten Sommer sollen jährlich ähnliche Testläufe stattfinden.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

(Wann) ist mTAN tot – und was kommt danach?

Wo wir heute stehen

Seit Anbeginn der Informatik identifizieren Anwendungen ihre Benutzer, indem sie von diesen die Preisgabe eines Geheimnisses verlangen. Ebenso lange stehen Sicherheitsbeauftragte im unermüdlichen Kampf gegen diese Passwörter. Über die Jahre haben sie damit erreicht, dass viele Anwendungen heute noch ein zweites Passwort verlangen, das jeweils nur einmal verwendet werden kann. Solche Einmalpasswörter werden entweder beim Benutzer generiert oder diesem per SMS zugestellt. Das letztere Verfahren, auch mTAN für „mobile Transaktionsnummer“ genannt, ist heute im B2C Umfeld dominant.

Das Grundproblem von Passwörtern ist, dass ein preisgegebenes Geheimnis kein Geheimnis mehr ist. Einmalpasswörter können zwar nicht ganz so einfach gestohlen werden wie statische Passwörter, raffiniertere Angriffe mittels Phishing oder trojanischen Pferden führen aber allzu oft doch zum Erfolg. Einiges spricht heute dafür, dass die Ära der Passwörter – und damit auch mTAN – zu Ende geht. Dies zeigt sich beispielsweise daran, dass sich kaum mehr eine Schweizer Bank darauf verlassen will.

Wohin die Reise geht

Sichere Alternativen zu Passwörtern basieren auf einem benutzerseitigen kryptographischen Schlüssel, der einen gesicherten Kontext niemals verlässt. Über die Jahre sind viele solche Lösungen entstanden, ausserhalb des E-Banking konnten sie sich aber nirgends etablieren. Neben den hohen Kosten und einer häufig umständlichen Bedienung liegt dies auch daran, dass eine Vielzahl und Vielfalt von Endgeräten unterstützt werden muss. Leider spricht nichts dafür, dass sich dies in absehbarer Zukunft ändert.

Es ist deshalb an der Zeit, das Thema „Benutzerauthentifizierung“ neu zu denken. Wie anderswo in der Informatik liegt die Lösung in einer Schichtenarchitektur, bei der sich spezialisierte Lösungskomponenten ergänzen:

  • Sogenannte Authenticators in Hardware oder Software sorgen seitens des Benutzers dafür, dass die persönlichen kryptographischen Schlüssel sicher aufbewahrt werden. Diese Authenticators sind typischerweise gerätespezifisch und anwendungsneutral. Sie interagieren mit dem Benutzer (für die Aktivierung des Schlüssels beispielsweise mittels Fingerabdruck oder Gesichtserkennung) und dem Identity Provider (für die Prüfung des Schlüssels).
  • Identity Provider (IdP) verifizieren über geeignete Protokolle, dass der Benutzer im Besitz des ihm zugeordneten privaten Schlüssels ist. Anschliessend geben sie die authentifizierte Identität des Benutzers über ein Federation Protokoll wie SAML oder OpenID Connect an die Anwendungen weiter.
  • Die Anwendungen validieren die vom IdP ausgestellte Authentifizierungsbestätigung (Assertion) und gewähren dem Benutzer Zugriff auf seine Ressourcen. Es werden seitens der Anwendung keine Passwörter verwaltet oder geprüft.

In diesem Schichtenmodell hat die Anwendung keine direkte Kontrolle über die Authentisierung. Damit sie dennoch eine Gewähr dafür hat, dass ihre Sicherheitsbedürfnisse erfüllt werden, vereinbart sie mit dem Identity Provider einen von diesem mindestens einzuhaltenden Qualitätsstandard (sog. Level of Assurance LoA, z.B. nach eCH-170/171).Die Lösungsansätze und Protokolle dieser Schichtenlösung sind seit einigen Jahren verfügbar, haben sich aber erst punktuell durchgesetzt. Dies wird sich in den nächsten Jahren ändern (müssen).

Was ist zu tun?

Die Anbieter von Anwendungen (die Service Provider) sollten keine Gedanken mehr daran verschwenden, mit welchen Authentisierungsmitteln sie ihre Kunden zukünftig beglücken wollen. Sie sollten sich vielmehr darauf konzentrieren, eine Strategie für die Anbindung von Identity Providern zu definieren und die Zusammenarbeit mit geeigneten Anbietern zu suchen.

Die Identity Provider (IdP) ihrerseits sollten sich darauf konzentrieren, den Benutzern ein breites Portfolio von Authentisierungsverfahren anzubieten, das alle möglichen Endgeräte und Anwendungssituationen abdeckt. Der IdP sollte hierfür ohne proprietäre Client-Komponente auskommen und auf die FIDO Standardschnittstelle bauen.

Die Benutzer ihrerseits sollten Gerätehersteller und Serviceanbieter bevorzugen, die offene Schnittstellen unterstützen und nicht versuchen, ihre Kunden über technische Restriktionen an sich zu binden.

Ein Blick in die Kristallkugel

Technologiekonzerne wie Google, Apple, Facebook oder Amazon haben sich über die letzten Jahre eine starke Stellung als Identity Provider erarbeitet und investieren weiterhin in ihre Ökosysteme. Alternative Anbieter haben hier kaum Aussicht auf Erfolg und es ist zu erwarten, dass der Social Media Login für die meisten Benutzer das Tor zur alltäglichen Interaktion mit dem Internet sein wird.

Für den Zugriff auf höherwertige Dienste wie Finanztransaktionen oder die Verarbeitung vertraulicher Daten besteht noch Raum für ein passendes Angebot. Die beste Ausgangslage bietet sich den Banken, da sie bereits über langjährige Erfahrung und Expertise mit der starken Authentisierung verfügen. Würden die grossen Schweizer Banken das bestehende e-Banking Login für andere Service Provider öffnen, dann wäre eine starke Authentisierung für den grössten Teil der IT-affinen Bevölkerung per sofort verfügbar.

Entsprechende Gespräche, auch auf nationaler Ebene, werden heute geführt. Es ist zu hoffen, dass sich daraus zielführende Projekte ergeben; das Feld der Digitalen Identitäten ist zu wichtig, als dass es kampflos den Amerikanern überlassen werden darf!

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.