Anzeige

Anzeige

VERANSTALTUNGEN

Bitkom | Digital Health Conference
26.11.19 - 26.11.19
In dbb Forum Berlin

IT & Information Security
26.11.19 - 27.11.19
In Titanic Chaussee Hotel, Berlin

Integriertes IT Demand und Portfolio Management
02.12.19 - 04.12.19
In Sofitel Berlin Kurfürstendamm, Germany

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

Anzeige

Anzeige

SichereIdentitaten700

Immer mehr Webseiten und Apps bieten ihren Nutzern im Login- oder Registrierungsbereich die Option, sich ihre digitale Identität über einen privaten E-Mail-Server oder Social-Media-Account bestätigen zu lassen. Was für Kunden die Usability erhöht und dem Diensteanbieter eine eigene Datenhaltung erspart, ist jedoch mit Risiken für beide Seiten verbunden.

Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC stellt nun eine dezentrale und freie Alternative zu diesen Identitätsprovidern zur Verfügung: »re:claimID« gibt Nutzern die Kontrolle über ihre digitale Identität und unterstützt Unternehmen bei der Einhaltung der DSGVO-Vorgaben.

Einkaufen, Musik hören, das smarte Zuhause steuern – die Zahl der digitalen Dienste wächst, und für fast alle von ihnen müssen Nutzer sich registrieren und anmelden. Immer mehr Diensteanbieter schlagen ihren Nutzern vor, die Abkürzung über Plattformen zu nehmen, bei denen sie bereits registriert sind, anstatt immer neue Accounts mit dazugehörigen Passwörtern zu erstellen.

Unternehmen müssen erforderliche Kundendaten nicht selbst erheben und bekommen zudem wertvolle Zusatzinformationen aus den Nutzerprofilen. Die gängigsten Identitätsprovider sind Facebook und Google – deutsche Varianten wie Verimi oder NetID konnten sich als Alternativen bislang nicht etablieren.

Wachsendes Unbehagen gegenüber Identitätshütern

Zentrale Identitätsprovider haben jedoch zwei ganz entscheidende Nachteile. Google-, Facebook- oder Twitter-Accounts sind an sich bereits beliebte Ziele für Hackerangriffe. Wenn sie das Einfallstor für zahlreiche weitere Dienste sind, entsteht ein Dominoeffekt, der den Schaden potenziert. Die Offenlegung sensibler Daten von Politikern und Prominenten durch einen 20-jährigen Schüler hat dies jüngst wieder eindrücklich illustriert.

Außerdem stellen Identitätsprovider ihre Authentifizierungsservices nicht ohne Grund kostenlos zur Verfügung: Jeder Login an einem angeschlossenen Dienst generiert zusätzliche sensible Daten über den Nutzer, die präzise Rückschlüsse über persönliche Präferenzen und Aktivitäten zulassen.

Auf Unternehmensseite entstehen gleichzeitig bedenkliche Abhängigkeiten: Entscheidet der zentrale Identitätsprovider einseitig, sein Angebot kostenpflichtig zu machen oder die Nutzungsbedingungen zu ändern, kann dies zu geschäftskritischen Konflikten führen.

Noch ein Aspekt darf nicht außer Acht gelassen werden: Durch die immer weiter voranschreitende Datenkonzentration bei zentralen Identitätsprovidern kommt diesen zunehmend eine Rolle zu, die den hoheitliche Aufgaben einer Meldebehörde gleichkommt. Staatliche Stellen beginnen beispielsweise damit, Facebook-Accounts bei der Entscheidung über Visa-Vergaben miteinzubeziehen. 

Ohne die Weitergabe der digitalen Identität ist eine Teilnahme an der digitalen Welt jedoch unmöglich. Es wurde deshalb nach einem Weg geforscht, wie digitale Identitäten ohne die zentrale Verwaltung durch einen Drittanbieter für Webangebote genutzt werden können, so dass der Nutzer die volle Kontrolle, also die Souveränität, über die Verwendung seiner Identitäten behält.

Datensouveränität durch dezentrale Verwaltung

Ergebnis ist der dezentrale Dienst »re:claimID«, der Nutzern erlaubt, anderen Parteien einzelne Identitätsattribute sicher und selbstbestimmt zur Verfügung zu stellen. Der Dienst, der als Open-Source-Software frei verfügbar ist, basiert auf folgenden Prinzipien:

Identitäten werden in dem sicheren Peer-to-Peer Namenssystem GNS (GNU Name System) dezentral verwaltet. Dabei kann der Nutzer für seine Identitäten einzelne Attribute wie zum Beispiel E-Mail-Adresse oder Name im Namenssystem ablegen. Dort liegen sie nicht im Klartext, also für jeden lesbar, vor, sondern sind mittels Attribute-Based Encryption (ABE) verschlüsselt.

Auf Anfrage eines Diensteanbieters kann der Nutzer eine Teilmenge seiner Attribute selektiv zur Verfügung stellen. Er autorisiert ihn, indem er ihm dafür einen spezifischen Schlüssel ausstellt. Der Nutzer kann diesen Zugriff jederzeit widerrufen oder einschränken.

Der Vorteil der Lösung für Diensteanbieter liegt darin, dass Kundendaten im Sinne der DSGVO bedarfsgerecht und mit Einwilligung erhoben und genutzt werden. re:claimID kann über den etablierten Standard OpenID Connect in Webseiten integriert werden und ist damit einfach zu nutzen. Technisch ändert sich für den Diensteanbieter kaum etwas.

www.aisec.fraunhofer.de

GRID LIST
Aaron Cockerill

Kommt die passwortfreie Zukunft?

Aaron Cockerill, Chief Strategy Officer, Lookout, im Interview mit it security über den…
Security Schloss

Sicheres Identitätsmanagement in Unternehmen

Ein starkes Identity- und Access-Management (IAM) wird zum Standard in Unternehmen, die…
Mobile Access

In der Zutrittskontrolle beginnt das Mobile-Access-Zeitalter

HID Global sieht eine deutlich steigende Nachfrage nach Mobile-Access-Lösungen. Sie…
Biometrie

Der traditionelle Identitätsnachweis ist tot

Betrug hat viele Gesichter. Ob am Telefon, im Internet oder an der Ladentheke. Mit dem…
Authentifizierung

Die gefährlichsten Schwachstellen bei Authentifizierungsvorgängen

Jede einzelne Web- und Mobilanwendung, die von Unternehmen benutzt wird, setzt…
Personen und Passworteingabe

Einmal täglich Passwort – das reicht dann aber auch

Der häufige Benutzerwechsel sowie die wiederholte Eingabe der Passwörter für…