Anzeige

Anzeige

VERANSTALTUNGEN

DWX-Developer Week
24.06.19 - 27.06.19
In Nürnberg

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Anzeige

Anzeige

SichereIdentitaten700

Immer mehr Webseiten und Apps bieten ihren Nutzern im Login- oder Registrierungsbereich die Option, sich ihre digitale Identität über einen privaten E-Mail-Server oder Social-Media-Account bestätigen zu lassen. Was für Kunden die Usability erhöht und dem Diensteanbieter eine eigene Datenhaltung erspart, ist jedoch mit Risiken für beide Seiten verbunden.

Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC stellt nun eine dezentrale und freie Alternative zu diesen Identitätsprovidern zur Verfügung: »re:claimID« gibt Nutzern die Kontrolle über ihre digitale Identität und unterstützt Unternehmen bei der Einhaltung der DSGVO-Vorgaben.

Einkaufen, Musik hören, das smarte Zuhause steuern – die Zahl der digitalen Dienste wächst, und für fast alle von ihnen müssen Nutzer sich registrieren und anmelden. Immer mehr Diensteanbieter schlagen ihren Nutzern vor, die Abkürzung über Plattformen zu nehmen, bei denen sie bereits registriert sind, anstatt immer neue Accounts mit dazugehörigen Passwörtern zu erstellen.

Unternehmen müssen erforderliche Kundendaten nicht selbst erheben und bekommen zudem wertvolle Zusatzinformationen aus den Nutzerprofilen. Die gängigsten Identitätsprovider sind Facebook und Google – deutsche Varianten wie Verimi oder NetID konnten sich als Alternativen bislang nicht etablieren.

Wachsendes Unbehagen gegenüber Identitätshütern

Zentrale Identitätsprovider haben jedoch zwei ganz entscheidende Nachteile. Google-, Facebook- oder Twitter-Accounts sind an sich bereits beliebte Ziele für Hackerangriffe. Wenn sie das Einfallstor für zahlreiche weitere Dienste sind, entsteht ein Dominoeffekt, der den Schaden potenziert. Die Offenlegung sensibler Daten von Politikern und Prominenten durch einen 20-jährigen Schüler hat dies jüngst wieder eindrücklich illustriert.

Außerdem stellen Identitätsprovider ihre Authentifizierungsservices nicht ohne Grund kostenlos zur Verfügung: Jeder Login an einem angeschlossenen Dienst generiert zusätzliche sensible Daten über den Nutzer, die präzise Rückschlüsse über persönliche Präferenzen und Aktivitäten zulassen.

Auf Unternehmensseite entstehen gleichzeitig bedenkliche Abhängigkeiten: Entscheidet der zentrale Identitätsprovider einseitig, sein Angebot kostenpflichtig zu machen oder die Nutzungsbedingungen zu ändern, kann dies zu geschäftskritischen Konflikten führen.

Noch ein Aspekt darf nicht außer Acht gelassen werden: Durch die immer weiter voranschreitende Datenkonzentration bei zentralen Identitätsprovidern kommt diesen zunehmend eine Rolle zu, die den hoheitliche Aufgaben einer Meldebehörde gleichkommt. Staatliche Stellen beginnen beispielsweise damit, Facebook-Accounts bei der Entscheidung über Visa-Vergaben miteinzubeziehen. 

Ohne die Weitergabe der digitalen Identität ist eine Teilnahme an der digitalen Welt jedoch unmöglich. Es wurde deshalb nach einem Weg geforscht, wie digitale Identitäten ohne die zentrale Verwaltung durch einen Drittanbieter für Webangebote genutzt werden können, so dass der Nutzer die volle Kontrolle, also die Souveränität, über die Verwendung seiner Identitäten behält.

Datensouveränität durch dezentrale Verwaltung

Ergebnis ist der dezentrale Dienst »re:claimID«, der Nutzern erlaubt, anderen Parteien einzelne Identitätsattribute sicher und selbstbestimmt zur Verfügung zu stellen. Der Dienst, der als Open-Source-Software frei verfügbar ist, basiert auf folgenden Prinzipien:

Identitäten werden in dem sicheren Peer-to-Peer Namenssystem GNS (GNU Name System) dezentral verwaltet. Dabei kann der Nutzer für seine Identitäten einzelne Attribute wie zum Beispiel E-Mail-Adresse oder Name im Namenssystem ablegen. Dort liegen sie nicht im Klartext, also für jeden lesbar, vor, sondern sind mittels Attribute-Based Encryption (ABE) verschlüsselt.

Auf Anfrage eines Diensteanbieters kann der Nutzer eine Teilmenge seiner Attribute selektiv zur Verfügung stellen. Er autorisiert ihn, indem er ihm dafür einen spezifischen Schlüssel ausstellt. Der Nutzer kann diesen Zugriff jederzeit widerrufen oder einschränken.

Der Vorteil der Lösung für Diensteanbieter liegt darin, dass Kundendaten im Sinne der DSGVO bedarfsgerecht und mit Einwilligung erhoben und genutzt werden. re:claimID kann über den etablierten Standard OpenID Connect in Webseiten integriert werden und ist damit einfach zu nutzen. Technisch ändert sich für den Diensteanbieter kaum etwas.

www.aisec.fraunhofer.de

GRID LIST
Logo IAM CONNECT 2019

Anwender im Mittelpunkt des IAM

Zum vierten Mal fand im März die IAM CONNECT in Berlin statt: Diese größte…
Face ID mit dem Smartphone

Schnellere Einführung von MFA- und SSO für Cloud-Dienste

Das neue Produktpaket von Ping Identity kombiniert eine Cloud-basierte…
Mann mit Notebook wartet im Flughafen

Umfassende Kontrolle über privilegierte Fernzugriffe

BeyondTrusts Enterprise-Lösung für privilegierte Fernzugriffe schützt, überwacht und…
Online-Banking

Online-Zahlungsdienste: Wann ist "sicher" sicher genug?

Banken und Finanzdienstleister müssen ihre Transaktionsdienste ab September 2019 durch…
IAM Concept

Ein IAM in 20 Tagen

Eine Krankenkasse mit etwa 9.000 Usern hat sich entschlossen, ein IAM in Nutzung zu…
IAM Concept

Partnerlösungen für komplexe IAM-Probleme

Ping Identity kündigt neue Programme und Vorteile für die Technology Alliance- und…