Digitale Identitäten zählen zu den begehrtesten Objekten von Cyberattacken. Wenn sich Kriminelle für legitime Personen ausgeben können, steht ihnen das Netzwerk offen. [...]
„Wer bin ich – und wenn ja, wie viele?“ Der Buchtitel aus dem Jahr 2007 ist zu einem geflügelten Wort geworden. Die Formulierung passt auf die philosophischen Fragestellungen von Richard David Precht genauso wie auf die Geschlechtsidentität, die heute so heiß diskutiert wird.
Und auch auf die digitale Welt und die Rolle der Identitäten darin lässt sich diese Floskel sehr gut anwenden.
Wir haben uns darüber mit zwei Experten unterhalten, die sich seit Jahren mit digitalen Identitäten und Identitätsmanagement beschäftigen: Markus Ullmann ist Referatsleiter Technologische Grundlagen elektronischer Identitäten beim BSI und Professor für Informationssicherheit an der Hochschule Bonn-Rhein-Sieg, Christian Schunck ist Senior Scientist im Team Identitätsmanagement am Fraunhofer IAO.
com! professional: Auch wenn die digitale Identität kein solches Minenfeld ist wie die geschlechtliche, sollten wir zu Beginn kurz klären, was damit gemeint ist.
Markus Ullmann: Zunächst einmal ist digitale Identität für mich all das, womit ich mich elektronisch ausweise, wenn ich als Person unterwegs bin. Das kann meine E-Mail-Adresse sein oder ein beliebiger String, immer mit dem zugehörigen Nachweis, wer ich bin. Für mich können aber auch Maschinen und Fahrzeuge eine elektronische Identität haben.
Christian Schunck: Es geht letztlich um ein Erkennungsmerkmal, das man einer Person oder einer Sache zuordnen kann. Und dass diese Person oder Sache in der Lage ist, zu beweisen, dass dieses Merkmal mit ihr zusammenhängt.
com! professional: Welche Bedeutung hat die digitale Identität innerhalb der IT-Sicherheit?
Ullmann: Sie ist ein Herzstück der IT-Sicherheit. Alle Vorgänge in der IT hängen letztlich an einer Rolle und einer Autorisierung. Ein sicherer Identitätsnachweis ist sehr, sehr wichtig, weil sich damit die Türen, Dienste oder Speicherzugriffe öffnen, vielleicht auch ein Zugang ins Netzwerk über VPN. All das hängt an meiner Identität und dem Identitätsnachweis.
Schunck: Genau. Was ich ergänzen würde: Man sollte aufpassen, dass man digitale Identitäten nicht ausschließlich durch die Sicherheitsbrille sieht, denn es geht weit darüber hinaus. Da spielen auch betriebswirtschaftliche, sozioökonomische und psychologische Aspekte eine Rolle.
com! professional: Hat die Bedeutung der digitalen Identitäten in den letzten Jahren durch Entwicklungen wie Cloud, Homeoffice oder IoT zugenommen?
Ullmann: Ganz gewiss. Zum Beispiel habe ich wie viele andere Menschen auch den Laptop meiner Firma beziehungsweise Behörde bei mir zu Hause. Der ist nicht mehr geschützt durch die rund um die Uhr gesicherte Infrastruktur des BSI. Da ist es sehr wesentlich, dass die Daten darauf verschlüsselt sind und wirklich nur ich als autorisierte Person Zugang zu dem Gerät habe.
„Alle Vorgänge in der IT hängen letztendlich an einer Rolle und einer Autorisierung.“
Markus Ullmann, Referatsleiter Bewertungsverfahren für eID-Verfahren beim BSI.
com! professional: Und wie weisen Sie nach, dass Sie der legitime Benutzer Ihres Laptops sind?
Ullmann: Einmal durch den Besitz einer Smartcard und eines kryptografischen Schlüsselpärchens, das darauf hinterlegt ist, und zum Zweiten durch meine Bindung an diese Smartcard über ein Passwort. Erst damit wird mir ein gewisser Zugriff ermöglicht. Und dann gibt es noch weitere Passwörter, um Dienste freizuschalten. Das ist also quasi eine Zwei- oder vielleicht sogar eine Dreifaktor-Authentifizierung.
com! professional: Das klingt nicht sehr komfortabel.
Ullmann: Sicherheit auf der einen und Benutzerfreundlichkeit auf der anderen Seite müssen sich die Waage halten. Aber das Bundesamt für Sicherheit in der Informationstechnik steht nun mal für IT-Sicherheit und da müssen wir das dann schon ernst nehmen.
com! professional: Wie ist das bei Ihnen, Herr Schunck?
Schunck: Sehr ähnlich. Bei uns ist aber standardmäßig ein Smartcard-Reader in die Laptops integriert, das erhöht den Bedienkomfort.
com! professional: Digitale Identitäten gehören zu den begehrtesten Zielen von Cyberkriminellen. Wie gehen die Angreifer vor?
Ullmann: Die Passwörter, die ich für Internetdienste verwende, werden typischerweise in Datenbanken gespeichert. Und je nachdem, wie sicher die dort abgelegt sind, sind diese ein lohnendes Ziel. Zudem versuchen die Angreifer, Personen auf gefakte Seiten zu locken.
Schunck: Auch ich sehe Social Engineering als wesentliche Komponente, die in den meisten Angriffen irgendwie eine Rolle spielt. Das Endziel sind zum Beispiel Datenbanken, aber oft werden Mitarbeiter und Mitarbeiterinnen über Phishing-E-Mails auf Webseiten gelockt, wo sie quasi freiwillig ihre Daten eingeben sollen.
Oder man bekommt Fake-Anrufe vom angeblichen Microsoft-Support oder von Europol. Die Varianten sind sehr vielfältig. Gemeinsam ist ihnen, dass am anderen Ende nicht der dran ist, von dem man denken soll, er wäre es.
com! professional: Wo stehen wir heute beim Schutz der digitalen Identitäten?
Ullmann: Vieles in der IT-Sicherheit ist erst mal ein bisschen mühselig, sicher auch, Identitäten sauber aufzusetzen. Aber die wesentlichen Techniken sind verfügbar. Es geht nun darum, sie einfach anzuwenden.
Eine Ausnahme gibt es, wo noch einiges zu tun ist: bei den biometrischen Authentisierungssystemen, zum Beispiel Gesichtserkennungs- und Fingererkennungssystemen. Dieses Gebiet schaut sich meine Gruppe im BSI sehr intensiv an und wir stellen fest, dass viele Systeme noch nicht so richtig gut unterscheiden können, ob sie es mit Merkmalen einer echten Person oder der Nachbildung eines Menschen zu tun, haben, etwa in Form eines Fotos oder einer 3D-Maske.
Wir sprechen von Presentation Attack Detection. Da müssen die Systeme noch besser werden.
com! professional: Wie sehen Sie, Herr Schunck, den Reifegrad beim Schutz der digitalen Identitäten?
Schunck: Die Techniken sind tatsächlich schon sehr weit. Es gibt sehr viele unterschiedliche Angebote. Wo es oft hakt in den Unternehmen, ist die Auswahl dessen, was es wirklich braucht, sowie die Umsetzung und Implementierung.
Das Anforderungs- und Risikomanagement bei größeren Unternehmen mit verschiedenen Standorten und vielleicht sogar Rechtsprechungen zu handhaben und alle mitzunehmen, das sind oft größere Herausforderungen als die Technik im Hintergrund.
com! professional: Sie kümmern sich beide beruflich seit Langem um digitale Identitäten. Mit welchen Konzepten haben sich in letzter Zeit befasst?
Schunck: Die digitalen Identitäten spielen in zwei Sphären: Consumer und Unternehmen. Bei Unternehmen ist die Situation ganz gut, im Consumer-Bereich noch nicht. Da haben die Log-in-Verfahren von Unternehmen gewonnen, die aus sozioökonomischen Gründen dominieren, also etwa Facebook und Google.
Auf diesem Gebiet gibt es neue Lösungen, teilweise auch blockchainbasiert. Stichworte sind hier Self-Sovereign-Identities oder Distributed Identities. Doch da sind wir noch etwas skeptisch, ob es wirklich Geschäftsmodelle gibt, die funktionieren.
com! professional: Ist in naher oder ferner Zukunft ein Gamechanger in Sicht, der der Verteidigung ein Übergewicht über die Angreifer verschafft?
Ullmann: Meinem Gefühl nach bleibt das ein ständiges Hase-und-Igel-Spiel, weil man schlicht feststellen muss, dass der schwächste Faktor immer der Mensch ist, und der ist immer involviert. Letztlich muss man ein gewisses Risiko eingehen, damit das Ganze handhabbar bleibt.
Das wird dazu führen, dass es hier und da weiter Hacks geben wird. Dann wird man feststellen, okay, da haben wir eine Schwachstelle, da müssen wir nachbessern.
„Die wesentlichen Techniken sind verfügbar. Es geht nun darum, sie einfach anzuwenden.“
Markus Ullmann, Referatsleiter Bewertungsverfahren für eID-Verfahren beim BSI.
com! professional: Kann man nicht schon im Vorfeld beim Design von Anwendungen Schwachstellen ausschließen?
Schunck: In einigen Fällen geht das, aber oft ist die Wirklichkeit sehr komplex, vor allem wenn es nicht nur um die digitalen Identitäten von Personen geht. Im Zusammenhang mit IoT und Industrie 4.0 und weil sich die IT- und die OT-Ebene in der Produktion immer mehr vermischen, kommen ganz neue Herausforderungen auf uns zu.
Wenn man eine neue Fabrik baut, kann man vielleicht Risiken mitdenken, aber es sind eben schon sehr viele Anlagen da, die jetzt langsam, aber sicher immer mehr ans Netz kommen. Da muss man mit dem umgehen, was die Realität bietet, und Sicherheitskonzepte überstülpen.
Gerade wenn im IoT-Bereich sehr viele Sensoren kombiniert werden, lässt sich nicht alles vorhersehen. Ein Beispiel: Die Geräte sind schnell am Netz, aber erst danach merkt man, dass sie Sicherheits-Updates benötigen.
Wir sagen in fast allen Projekten mit Industriepartnern, dass es wahnsinnig wichtig ist, am Anfang ein gutes Anforderungsmanagement und ein sehr, sehr gutes Risikomanagement zu machen, aus dem man dann Maßnahmen ableitet. Man muss sich klarmachen, dass die Unternehmen heute hochkomplexe IT-Umgebungen haben und Angreifer früher oder später Schwachstellen darin finden.
Ullmann: Das ist auch meine Erfahrung. Das Thema IT-Sicherheit ist schon in den Unternehmen angekommen, auch die Erkenntnis, dass man was tun muss. Aber es ist wirklich komplex: Wenn man in die Historie schaut, sind viele Angriffe erst später durch Zufall bekannt geworden.
Es gibt immer wieder neue Angriffsmöglichkeiten, an die niemand gedacht hat. Nehmen wir ein schon etwas älteres Beispiel. Vor 25 Jahren hat keiner geglaubt, dass es möglich ist, den kryptografischen Schlüssel aus Smartcards auszulesen, wenn man beobachten kann, wie der Algorithmus abläuft, während man sich authentifiziert.
„Social Engineering spielt in den meisten Angriffen irgendwie eine Rolle.“
Christian Schunck, Senior Scientist im Team Identitätsmanagement am Fraunhofer IAO.
com! professional: Einen Gamechanger sehen Sie beide nicht am Horizont. Aber gibt es vielleicht Konzepte, die eine grundlegende Verbesserung bringen?
Schunck: Was heißt grundlegend? Meiner Ansicht nach muss sich jedes Unternehmen fragen: Was sind meine Key Capabilities? Was muss ich in meinem Unternehmen wirklich schützen? Von dort aus muss man dann schauen, wie können diese Key Capabilities durch IT-Angriffe so kompromittiert werden, dass ich schwere Probleme mit meinem Geschäft bekomme.
com! professional: Und was bringt Zero Trust?
Schunck: Das ist derzeit ein ganz heißes Thema. Es kann auch sicher sehr viel verbessern und steht daher bei vielen, vor allem großen Unternehmen, früher oder später auf der Agenda. Aber alle Probleme lösen wird Zero Trust auch nicht. Es gibt noch viele offene Fragen, etwa zur Skalierbarkeit. Jetzt gerade sind Cloud und Homeoffice ganz aktuell.
Als Nächstes rückt – auf jeden Fall in einem Land wie Deutschland – die Produktion dichter ans Netz. Ein Account- oder Identity-Lifecycle-Management vernünftig aufzusetzen, ist für Unternehmen schon schwierig, wenn es nur um die Mitarbeiter und Mitarbeiterinnen geht. Künftig muss man technische Komponenten und Zehntausende von Sensoren mitdenken.
com! professional: Wie sehen Sie das Potenzial von Zero Trust, Herr Ullmann?
Ullmann: Für mich ist das noch ein bisschen ein Buzzword, ein Thema, das momentan über die Flure getrieben wird. Was die Technologie wirklich leisten und wo man sie angemessen einsetzen kann, werden wir sehen. Wir hatten etwas Vergleichbares mit Blockchain.
Das Thema kochte vor drei, vier Jahren hoch und die ganze IT-Welt meinte, damit könnte man sozusagen alles heilen. Dann haben alle festgestellt, dass der Teufel im Detail steckt, und sehr viele Pilotprojekte sind schnell wieder eingestampft worden, weil nicht klar war, was am Ende des Tages eigentlich für ein Mehrwert damit erreicht werden kann.
Bei der Blockchain sehe eigentlich eher die Probleme, die ich mir damit einhandele. Nicht, dass ich neue Technologien nicht mag. Ganz im Gegenteil. Aber ich frage mich immer: Was kann ich letztlich damit erreichen? Erziele ich einen Mehrwert oder handle ich mir Nebeneffekte ein?
Schunck: Bei der Blockchain stimme ich vollständig zu. Ich bin da sehr skeptisch, ob das wirklich was wird. Bei Zero Trust dagegen habe ich schon das Gefühl, dass das Potenzial größer und die Technik reifer ist. Man sagt halt nun nicht mehr einfach, ich vertraue jemandem, weil er schon im Netzwerk ist, sondern macht zusätzliche Checks.
Das kann schon helfen und einige Angriffe leichter ersticken. Fehler wie Group-Accounts mit Privileged Access werden durch Zero Trust schon mal eliminiert. Und es führt dazu, dass einige Good Practices umgesetzt werden.
com! professional: Dann werfen wir noch ein anderes Buzzword in die Diskussion: Welche Rolle spielt Künstliche Intelligenz bei digitalen Identitäten?
Ullmann: Zum einen ist KI ein wunderbares Hilfsmittel für den Angreifer. So funktionieren etwa Deep Fakes nur auf Basis von tiefen neuronalen Netzwerken. Und ich kann KI in vielen Bereichen verwenden, um Sicherheitslücken zu detektieren.
Andererseits kann KI auch ein Tool sein, um Systeme abzusichern. Von daher ist auch das wieder ein Hase-und-Igel-Spiel zwischen Angreifer und Verteidiger.
„Man sollte digitale Identitäten nicht nur durch die Sicherheitsbrille sehen.“
Christian Schunck, Senior Scientist im Team Identitätsmanagement am Fraunhofer IAO.
Schunck: Wir haben eine Studie zum Einsatz von KI gegen Identitätsbetrug vor allen im Consumer-Bereich gemacht. Da haben wir mit Video-Ident-Betreibern gesprochen, mit den Security-Abteilungen großer Versandhäuser und auch mit Auskunfteien. Ergebnis: Alle setzen KI schon ein, etwa um Plausibilitäts-Checks durchzuführen.
KI ist fast schon eine Technologie, die mit dazugehört in dem Mix, eine Komponente, die helfen kann, Warnsignale zu geben. Aufpassen muss man natürlich, weil es Fehlklassifikationen geben kann. Plug and Play ist das noch keinesfalls. Da muss man sorgfältig sein und die KI gut trainieren.
com! professional: Zum Thema digitale Identität gehört auch das Passwort. Es gibt ja immer mal wieder Ankündigungen, das Ende des Passworts sei gekommen.
Schunck: Ich muss schmunzeln, wenn ich das höre. Ich beschäftige mich seit 2009 mit digitalen Identitäten und seit damals höre ich, das Ende des Passworts sei ganz nah. Ursprünglich habe ich Physik studiert, nur deswegen kenne ich diese Aussage nicht schon länger. Ich glaube nicht, dass das Ende des Passworts so bald kommt.
Ullmann: Wir haben heute natürlich neben dem Passwort andere Möglichkeiten, um Identität nachzuweisen. Dennoch sehe ich überhaupt nicht, dass das Ende des Passworts gekommen ist. Ganz im Gegenteil. Wir werden mit dem Passwort noch lange leben. Mich würde es sehr wundern, wenn wir übermorgen eine passwortlose Zeit hätten.
com! professional: Es gab kürzlich vom BSI eine Verlautbarung zum Umgang mit Passwörtern mit zwei Empfehlungen, die das Gegenteil von dem sind, was über Jahre und Jahrzehnte galt: Passwörter sollen nun nicht mehr komplex sein und man darf sie sich aufschreiben (wenn man die Liste sicher verwahrt).
Ullmann: Was meine Kollegen ausgeführt haben, wurde von anderen IT-Sicherheitsexperten schon früher gesagt. Die Anforderung, alle drei Monate das Passwort zu wechseln, ist lästig für jeden.
Da ist es sinnvoller, zu sagen: Liebe Leute, sucht euch starke Passwörter aus oder lasst euch gute Passwörter im Browser vom System erzeugen und geht sicher damit um. Der ständige Passwortwechsel führt eher dazu, dass Menschen schnell ein einfaches Passwort wählen. Da spielt die menschliche Komponente eine ganz große Rolle. Das hat man gelernt.
Schunck: Dazu kann ich eine Anekdote erzählen. Wir hatten in einem Projekt Curt Barker eingeladen, der war damals Cyber Security Advisor beim National Institute of Standards and Technology (NIST). Er hat uns erzählt, dass er 16 Government-Accounts hat. Und für alle diese Accounts hatte er verschiedene lange Passwörter mit allen möglichen Sonderzeichen.
Und die Dienstanweisung lautete: weder aufschreiben noch speichern. Plus: Sie mussten alle paar Monate geändert werden. Das kann vielleicht ein Mensch mit fotografischem Gedächtnis bewältigen, aber sonst niemand. Heißt: Man muss da irgendwie eine praktikable Lösung finden, wahrscheinlich aufschreiben auf einem Zettel, auch wenn Barker das nicht gesagt hat.
com! professional: Die Schlussfrage möchte ich mit einem Zitat einleiten. Jochen Rummel, der Sales Director von Illusive Networks, hat gesagt: „Was Anwender und Profis im IT-Umfeld immer noch verkennen: Hacker brechen meist nicht ein. Sie melden sich einfach im Netzwerk mit gestohlenen Anmeldedaten an.“ Teilen Sie diese Einschätzung? Und was würden Sie vor diesem Hintergrund einem Unternehmen raten?
Schunck: Ich würde zustimmen, vor allem vielleicht auch im Hinblick darauf, dass es jetzt schon Ransomware-Betreiber gibt, die Mitarbeitern eine Beteiligung von 20 Prozent oder so anbieten, wenn die ihnen einen Account zur Verfügung stellen.
Insofern ist die Insider-Bedrohung real und darf nicht unterschätzt werden. Ob das mit krimineller Energie erfolgt oder man durch Social Engineering verleitet wird, ist egal. Am Ende sind die Angreifer mit einem Account im Unternehmensnetzwerk.
„Unternehmen sollten sich fragen: Was sind meine Kronjuwelen, was brauche ich wirklich, damit mein Laden läuft.“
Markus Ullmann
Was man dagegen machen kann? Ich denke, es sind eine Reihe von Sachen, die man machen muss. Das eine ist, die Leute darauf vorzubereiten, dass Social-Engineering-Angriffe passieren können und wie man dann reagieren sollte.
Und dass man die Leute nicht fertigmachen darf, wenn sie mal einen Fehler machen, sondern eine Kultur schafft, die dazu führt, dass Leute, die einen Verdacht haben, dass sie vielleicht auf etwas reingefallen sind, das sofort proaktiv kommunizieren.
Mein zweiter Rat geht in die Richtung, die wir mit Zero Trust schon angesprochen haben: Ich traue jetzt nicht mehr jemandem, nur weil der mit einem Account in meinem Netzwerk ist, und denke, das wird schon der sein, der das schon immer war, sondern ich gehe davon aus, dass das heute jemand anders sein kann als sonst.
Ullmann: Ich denke, Unternehmen sollten es nicht als Selbstverständlichkeit ansehen, dass die IT funktioniert und sie nichts mit Angreifern zu tun haben werden, sondern alle sollten ernsthaft überlegen, was sind meine Kronjuwelen, was brauche ich wirklich, damit meine IT verlässlich läuft. Und das sollte man dann angemessen schützen.
Zu den Personen
Markus Ullmann ist Referatsleiter Bewertungsverfahren für eiD-Technologien beim BSI und Honorarprofessor für Informationssicherheit am Institut für Cyber Security & Privacy an der Hochschule Bonn-Rhein-Sieg. Forschungsgebiete: biometrische Identifikationsverfahren, Template-Protection-Verfahren, physical Fingerprinting drahtloser Transceiver, Sensor-Spoofing.
Christian Schunck ist Senior Scientist im Team Identitätsmanagement am Fraunhofer IAO. Der Physiker hat langjährige Forschungserfahrung in den USA (Berkeley, MIT) und Italien (Universität Rom) und beschäftigt sich unter anderem mit organisatorischer IT-Sicherheit, Governance Risk und Compliance (GRC) und Social Engineering. Auch war er Koordinator des Netzwerks SSEDIC (Scoping the Single European Digital Identity Community).
Be the first to comment