Von traditionellen Systemen des Identitätsmanagements zu selbstbestimmten Identitäten – eine Reise durch die Evolution der digitalen Identitäten aus der Sicherheitsperspektive.
Im digitalen Zeitalter sind Identitäten weit mehr als Benutzernamen und Passwörter. Sie fungieren als zentrale Schlüssel zu einer Vielzahl von Aktivitäten: von persönlichen und beruflichen Interaktionen bis hin zu finanziellen Transaktionen und dem Zugang zu diversen Online-Services. Für Nutzer ist es entscheidend, ihre Identität vor Missbrauch zu schützen, um finanzielle Verluste oder rechtliche Konsequenzen zu vermeiden. Ebenso ist es für Dienstanbieter essenziell, nur autorisierten Personen Zugriff zu gewähren, um keine rechtlichen Risiken einzugehen und die Integrität ihrer Services zu wahren. In diesem Kontext ist die Sicherheit digitaler Identitäten nicht nur eine technische Herausforderung, sondern auch ein zentraler Bestandteil des Vertrauens und der Zuverlässigkeit in die digitale Welt.
Die Rolle der Identity Provider
In traditionellen Systemen des Identitätsmanagements spielen Identity Provider (IDPs) eine essenzielle Rolle. Diese gewährleisten Sicherheit, hauptsächlich durch Authentifizierungsmethoden wie Benutzernamen und Passwörter, ergänzt durch Mehrfaktor-Authentifizierungen, wie SMS- oder E-Mail-TANs und zeitbasierte Einmalpasswörter (TOTP). Wenn Nutzer auf Dienste zugreifen möchten, erfolgt die Authentifizierung über einen vom Dienstleister ausgewählten oder anerkannten IDP mithilfe der genannten Methoden. Um Identitätsdaten sicher über verschiedene Domänen hinweg zu übertragen, kommen Standards wie Security Assertion Markup Language (SAML), OAuth und OpenID Connect (OIDC) zum Einsatz. Diese werden mittels HTTPS-Protokollen übermittelt, um einen hohen Grad an Datensicherheit zu gewährleisten und gegen Angriffe von außen zu schützen.
Das Vertrauensverhältnis zwischen Dienstleistern und IDPs ist ebenfalls von zentraler Bedeutung im Identitätsmanagement. Dieses Vertrauen kann entweder auf einer direkten Hosting-Beziehung basieren, wie es häufig bei Dienstanbietern im Bereich des Online-Bankings der Fall ist, oder auf föderierten Systemen. Bei direkt gehosteten Systemen werden die Identitätsdaten und Authentifizierungsprozesse in der Umgebung des Dienstanbieters verwaltet, was eine hohe Sicherheit und Kontrolle ermöglicht. Im Gegensatz dazu erlauben föderierte Systeme, wie die Login-Optionen über Facebook oder Google, den Nutzern den Zugriff auf verschiedene Dienste unter Verwendung ihrer digitalen Identitäten von einem oder mehreren IDPs. Solche föderierten Lösungen bieten den Vorteil der Benutzerfreundlichkeit und Komfort. Sie ermöglichen es, mehrere Dienste mit einer einzigen, vertrauenswürdigen Identität zu nutzen, während sie gleichzeitig die Sicherheit durch standardisierte Authentifizierungsprotokolle und Policy-Regeln der Föderation gewährleisten.
Selbstbestimmte Identitäten bedeuten mehr Autonomie für Nutzer
Neue Ansätze des Identitätsmanagements, wie selbstbestimmte Identitäten, unterscheiden sich von traditionellen Ansätzen durch die Art und Weise, wie die Identitätsdaten verwaltet und genutzt werden.
Was ist eine selbstbestimmte Identität bzw. Self-Sovereign Identity (SSI)?
Bei selbstbestimmten Identitäten wird die Speicherung und Verwaltung der Identitätsdaten in die Domäne des Endnutzers verlagert, oft in einer Wallet-App auf dem Smartphone. Der Nutzer authentifiziert sich und teilt die Identitätsdaten direkt mit der prüfenden Partei (Verifier), ohne dass ein zentraler Identity Provider (IDP) die Authentifizierung steuert oder infolgedessen die Identitätsdaten ermittelt.
Eine zentrale Komponente in diesem System ist die Rolle der ausstellenden Partei (Issuer). Im Gegensatz zu traditionellen IDPs, die umfangreiche Verantwortung für die Verwaltung und Sicherheit der Identitätsdaten tragen, ist die Hauptaufgabe des Issuers in selbstbestimmten Identitätssystemen auf die Ausstellung der Daten beschränkt. Der Issuer stellt bestimmte Identitätsattribute als Verifiable Credentials (VCs) aus, ohne jedoch die vollständige Kontrolle über die Verwendung und Speicherung dieser Informationen zu haben. Dies verschiebt die Verantwortung und Kontrolle hin zu den Nutzern, die ihre digitalen Identitäten und die damit verbundenen Daten eigenständig verwalten.
Die selbst-souveräne Identität eines Anwenders setzt sich aus einer Vielzahl von einzelnen Teilidentitäten, sogenannten Verifiable Credentials (VC) zusammen. Ein VC kann den digitalen, Self-Sovereign Identity-basierten Personalausweis abbilden, während wiederum ein anderes die Zimmerkarte im Hotel oder die Kreditkarte abdeckt. Jedes der VCs enthält wiederum mehrere Attribute, die einzelne Eigenschaften beschreiben, wie Name, Geburtsdatum, Ausstellungsdatum oder die Kartennummer.
In Summe bilden Self-Sovereign Identity-Netzwerke offene Ökosysteme, die eine Basis für alle Identitäten schaffen, anstatt einzelne Insellösungen wie fragmentierte oder föderale Systeme zu bilden.
Verifiable Credentials für sichere digitale Identitäten
Aufgrund der Verwaltung und Speicherung der VCs in der Domäne des Endnutzers gibt es im Gegensatz zu traditionellen Ansätzen für den Issuer keine Möglichkeit, bereits ausgestellte VCs direkt zu editieren, um sie beispielsweise im Fall des Verlusts zu sperren. Um dem zu entgegnen, können VCs einen Verweis enthalten, der auf ein vom Issuer editierbares Widerrufsregister (Englisch: Revocation Registry) zeigt. Sollte die Notwendigkeit entstehen, ein VC zu widerrufen, kann der Aussteller dies im Register vermerken. Während des Verifizierungsprozesses kann der Verifier dieses Register überprüfen, um die aktuelle Gültigkeit unabhängig vom Ablaufdatum des VCs zu bestätigen.
Beim Ansatz von selbstbestimmten Identitäten interagieren die Nutzer direkt mit dem Verifier, der einen Dienst anbietet. Durch die direkte Speicherung und Verwaltung ihrer VCs auf dem eigenen Gerät können Nutzer entscheiden, welche Informationen sie für jeden spezifischen Kontext freigeben möchten. Diese Art des Identitätsmanagements ermöglicht somit eine personalisierte und direkte Interaktion zwischen Nutzern und Diensten.
Selbstbestimmte Identitäten verlangen weitere Sicherheitsmechanismen
Durch selbstbestimmte Identitäten ergeben sich zahlreiche sicherheitstechnische Fragen, die es zu adressieren gilt. Eine zentrale Frage ist, wie die vorgelegten VCs ihre Authentizität gegenüber dem Verifier glaubhaft darlegen können. Ebenso wichtig ist es, digitale Angriffsvektoren wirksam zu mindern. Darüber hinaus stellt sich die Frage, wie Sicherheitsfeatures und -Best-Practices physische Risiken, wie der Verlust des Smartphones, auf dem die digitalen Identitäten gespeichert sind, abmildern können.
Der zweite Teil dieses Artikels wird sich intensiv mit den Sicherheitsaspekten selbstbestimmter Identitäten auseinandersetzen und beleuchten, wie diese Herausforderungen in der Praxis bewältigt werden können. Wie müssen Technologie, Prozesse und Richtlinien zusammenspielen, um ein robustes und vertrauenswürdiges Umfeld für die Verwaltung digitaler Identitäten zu schaffen und dabei gleichzeitig die Sicherheit und Autonomie der Nutzer zu wahren?
Was ist der Unterschied zwischen digitaler Identität und SSI?
Eine digitale Identität ist eine eindeutige Kennung oder ein Profil einer Person, Organisation oder Sache in der digitalen Welt. Sie umfasst Informationen wie Benutzernamen, E-Mail-Adressen, Profilbilder oder andere digitale Merkmale, die verwendet werden, um eine Person oder Entität online zu identifizieren.
SSI (Self-Sovereign Identity) ist eine spezielle Art der digitalen Identität, bei der die Kontrolle über die Identitätsdaten bei der Person selbst liegt. So können Individuen ihre Identität sicher und privat verwalten, ohne dass eine zentrale Autorität oder eine Vermittlungsinstanz erforderlich ist.
Wie hängen digitale Identität und Blockchain zusammen?
Die digitale Identität und die Blockchain sind auf folgende Weise miteinander verbunden: Die Blockchain-Technologie kann genutzt werden, um digitale Identitäten sicher zu verwalten und zu verifizieren. Dadurch können individuelle Benutzerkonten, Informationen oder Transaktionen in der Blockchain sicher und transparent gespeichert werden. Die Blockchain ermöglicht es, dass digitale Identitäten dezentralisiert und ohne zentrale Kontrollinstanz verwaltet werden können, was die Sicherheit und Privatsphäre erhöht. Durch die Nutzung der Blockchain-Technologie können digitale Identitäten effektiv geschützt und gleichzeitig Manipulationen und Betrug reduziert werden.