Anzeige

Immer mehr Webseiten und Apps bieten ihren Nutzern im Login- oder Registrierungsbereich die Option, sich ihre digitale Identität über einen privaten E-Mail-Server oder Social-Media-Account bestätigen zu lassen. Was für Kunden die Usability erhöht und dem Diensteanbieter eine eigene Datenhaltung erspart, ist jedoch mit Risiken für beide Seiten verbunden.

Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC stellt nun eine dezentrale und freie Alternative zu diesen Identitätsprovidern zur Verfügung: »re:claimID« gibt Nutzern die Kontrolle über ihre digitale Identität und unterstützt Unternehmen bei der Einhaltung der DSGVO-Vorgaben.

Einkaufen, Musik hören, das smarte Zuhause steuern – die Zahl der digitalen Dienste wächst, und für fast alle von ihnen müssen Nutzer sich registrieren und anmelden. Immer mehr Diensteanbieter schlagen ihren Nutzern vor, die Abkürzung über Plattformen zu nehmen, bei denen sie bereits registriert sind, anstatt immer neue Accounts mit dazugehörigen Passwörtern zu erstellen.

Unternehmen müssen erforderliche Kundendaten nicht selbst erheben und bekommen zudem wertvolle Zusatzinformationen aus den Nutzerprofilen. Die gängigsten Identitätsprovider sind Facebook und Google – deutsche Varianten wie Verimi oder NetID konnten sich als Alternativen bislang nicht etablieren.

Wachsendes Unbehagen gegenüber Identitätshütern

Zentrale Identitätsprovider haben jedoch zwei ganz entscheidende Nachteile. Google-, Facebook- oder Twitter-Accounts sind an sich bereits beliebte Ziele für Hackerangriffe. Wenn sie das Einfallstor für zahlreiche weitere Dienste sind, entsteht ein Dominoeffekt, der den Schaden potenziert. Die Offenlegung sensibler Daten von Politikern und Prominenten durch einen 20-jährigen Schüler hat dies jüngst wieder eindrücklich illustriert.

Außerdem stellen Identitätsprovider ihre Authentifizierungsservices nicht ohne Grund kostenlos zur Verfügung: Jeder Login an einem angeschlossenen Dienst generiert zusätzliche sensible Daten über den Nutzer, die präzise Rückschlüsse über persönliche Präferenzen und Aktivitäten zulassen.

Auf Unternehmensseite entstehen gleichzeitig bedenkliche Abhängigkeiten: Entscheidet der zentrale Identitätsprovider einseitig, sein Angebot kostenpflichtig zu machen oder die Nutzungsbedingungen zu ändern, kann dies zu geschäftskritischen Konflikten führen.

Noch ein Aspekt darf nicht außer Acht gelassen werden: Durch die immer weiter voranschreitende Datenkonzentration bei zentralen Identitätsprovidern kommt diesen zunehmend eine Rolle zu, die den hoheitliche Aufgaben einer Meldebehörde gleichkommt. Staatliche Stellen beginnen beispielsweise damit, Facebook-Accounts bei der Entscheidung über Visa-Vergaben miteinzubeziehen. 

Ohne die Weitergabe der digitalen Identität ist eine Teilnahme an der digitalen Welt jedoch unmöglich. Es wurde deshalb nach einem Weg geforscht, wie digitale Identitäten ohne die zentrale Verwaltung durch einen Drittanbieter für Webangebote genutzt werden können, so dass der Nutzer die volle Kontrolle, also die Souveränität, über die Verwendung seiner Identitäten behält.

Datensouveränität durch dezentrale Verwaltung

Ergebnis ist der dezentrale Dienst »re:claimID«, der Nutzern erlaubt, anderen Parteien einzelne Identitätsattribute sicher und selbstbestimmt zur Verfügung zu stellen. Der Dienst, der als Open-Source-Software frei verfügbar ist, basiert auf folgenden Prinzipien:

Identitäten werden in dem sicheren Peer-to-Peer Namenssystem GNS (GNU Name System) dezentral verwaltet. Dabei kann der Nutzer für seine Identitäten einzelne Attribute wie zum Beispiel E-Mail-Adresse oder Name im Namenssystem ablegen. Dort liegen sie nicht im Klartext, also für jeden lesbar, vor, sondern sind mittels Attribute-Based Encryption (ABE) verschlüsselt.

Auf Anfrage eines Diensteanbieters kann der Nutzer eine Teilmenge seiner Attribute selektiv zur Verfügung stellen. Er autorisiert ihn, indem er ihm dafür einen spezifischen Schlüssel ausstellt. Der Nutzer kann diesen Zugriff jederzeit widerrufen oder einschränken.

Der Vorteil der Lösung für Diensteanbieter liegt darin, dass Kundendaten im Sinne der DSGVO bedarfsgerecht und mit Einwilligung erhoben und genutzt werden. re:claimID kann über den etablierten Standard OpenID Connect in Webseiten integriert werden und ist damit einfach zu nutzen. Technisch ändert sich für den Diensteanbieter kaum etwas.

www.aisec.fraunhofer.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

2-Faktor-Authentifizierung (2FA)

Authentifizierungs-Codes sind nur so sicher, wie die verwendete Technologie

Die 2-Faktor-Authentifizierung (2FA) existiert heutzutage in zahlreichen Varianten in unserem Alltag: In Form von TAN, Token, elektronischem Personalausweis oder FIDO. Sie alle funktionieren auf ähnliche Weise: Indem das einzugebende Passwort um einen…
Schranke Tiefgarage

53 % der Unternehmen planen Zero-Trust-Funktionen einzuführen

Laut dem Bericht „2020 DACH Region Secure Access“ von IDG Connect und Pulse Secure plant mehr als die Hälfte aller Unternehmen in der DACH-Region, innerhalb der nächsten 18 Monate Zero-Trust-Funktionen zum Schutz vor den zunehmenden Cyberrisiken einzuführen,…
IAM

Okta erweitert IAM-Plattform

Okta hat seine IAM-Plattform, Okta Platform Services, Okta FastPass sowie Okta Lifecycle Management Workflows erweitert. Des Weiteren wurden strategische Partnerschaften mit VMware Carbon Black, CrowdStrike und Tanium im Bereich…
Goldfisch mit Haimaske und Hai mit Goldfischmaske

Deception-Lösung für privilegierte Accounts

Mit einer neuen Deception-Funktion, also einer Sicherheitstechnologie, die Täuschungsmanöver nutzt, unterbindet CyberArk den Diebstahl von privilegierten Zugangsdaten auf PCs, Workstations oder Servern.
Cybersecurity Schloss

Fokus auf Identität: Eine neue Front-Line für IT-Sicherheit

Ein eindeutiges Ergebnis: In der European Security Survey 2019 von IDC wurden 700 europäische CISOs befragt, wo sie von erhöhter IT-Sicherheit einen geschäftlichen Nutzen erwarten. Klarer Spitzenreiter bei 45 % der Befragten: das optimierte Risikomanagement.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!