29. Mai 2019 Susan Morrow* und Julia Krokoszinski

Wiederverwendung von Identitäten: Das Allheilmittel für die Industrie?

Die Möglichkeit, Identitätsdaten von Einzelpersonen über verschiedene Systeme hinweg weiterzuverwenden, würde die Benutzerauthentifizierung erheblich vereinfachen. Hier erfahren Sie, was es braucht, um dies möglich zu machen. [...]

Die digitale Identitätslandschaft ist durch Zersplitterung gekennzeichnet. Wären Datensätze über die Grenzen abgeschlossener Systeme hinweg einsetzbar, würde die Authentifizierung vereinfacht werden (c) Pixabay.com

Die Anzahl der Konferenzen, die sich mit digitaler Identität befassen, hat sich seit meiner ersten Beschäftigung mit dem Thema vervielfacht. Auf einer kürzlich abgehaltenen Konferenz hörte ein Kollege jemanden sagen: „… hier sind wir, 20 Jahre später, und wir sind immer noch nicht weit genug bei der Erschaffung einer digitalen Identität, die von jedem genutzt werden kann.“

Die schwer fassbare Natur der Identität – und wie man Identität für alle zugänglich und über ein kompliziertes Ökosystem von Interessengruppen hinweg nutzbar machen kann – verfolgt die Branche weiterhin. Identitätsspezialisten auf der ganzen Welt tauschen sich auf Konferenzen, in Meetings, über Social Media aus und versuchen, ihre Lösungsansätze zusammenzubringen.

Aber das Problem geht weiter. Warum ist die digitale Identität immer noch ein Hornissennest von Interoperabilitätsproblemen und unterschiedlichen Systemen?

Was ist mit der Identitätslandschaft los?

Die aktuelle Identitätslandschaft kann als „fließend“ beschrieben werden, mit vielen Ansätzen über viele verschiedene Anwendungsfälle hinweg. In Wirklichkeit ist sie eine Mischung aus verschiedenen Lösungen. Bei einer Ausschreibung für eine Identitätslösung stellen Unternehmen am besten sicher, dass ihre Anforderungsliste genau dem entspricht, was sie wollen, denn sie erhalten einen Regenbogen von Optionen als Antwort.

Ganz allgemein kann man die Identitätslandschaft so aufschlüsseln:

  • Bürgeridentität: Viele Regierungen spielen entweder bereits im Bereich der Bürgerausweise oder bereiten sich gerade darauf vor. Im Vereinigten Königreich beispielsweise ist das Verify-System inzwischen rund sechs Jahre alt und verfügt über mehr als 4 Millionen Nutzer, die es in Verbindung mit etwa 19 Regierungsstellen verwenden. Dort bleibt es auch, denn eine gewerbliche Wiederverwendung hat es noch nicht gefunden.
  • ID mobiler Apps: Apps wie Yoti bieten eine mobile Endgerät-basierte Identität, die die Teilnehmer in ihrem Ökosystem nutzen können. Yoti hatte im Mai 2019 über 7 Millionen Nutzer und Hunderte von vertrauenswürdigen Partnern, die die Yoti ID in Anspruch nahmen. Es gibt eine Reihe weiterer ID-Anwendungen, darunter Verified.me von SecureKey, die auf dem Markt erhältlich sind.
    Eine weitere erwähnenswerte, aber noch nicht vollständig abgeschlossene Initiative ist eine Zusammenarbeit zwischen Mastercard und Samsung, um eine „… bessere Möglichkeit für die Menschen zu schaffen, ihre digitale Identität auf den mobilen Geräten bequem und sicher zu verifizieren“. Auch hier haben Apps spezifische Anwendungsfälle und bleiben in der Regel in einem geschlossenen Ökosystem, haben aber ein großes Potenzial für die Wiederverwendung.
  • Sozial- und Verbundkonten: Facebook, Google, Amazon und dergleichen werden nicht wirklich als Identitäten betrachtet, sondern enthalten oft einige oder alle Daten, die bei der Erstellung einer digitalen Identität an anderer Stelle benötigt werden. Diese Konten haben ein enormes Potenzial für die Wiederverwendung in einem breiteren Ökosystem.
  • Customer Identity and Access Management (CIAM)-Plattformen: Zu den Akteuren in diesem Bereich gehören Okta, Ping, Janrain und Forgerock. Ihre Plattformen decken einen Mix aus Kundenmarketing und Analytik sowie traditionellere IAM-Anforderungen ab. Sie basieren in der Regel auf Standardprotokollen, so dass sie auch in einem breiteren Ökosystem funktionieren können.
  • Identitätsdienste und APIs: Dies kann viel Raum einnehmen, aber einer der vielversprechendsten Einsatzfelder ist die Vernetzung aller Akteure in einer Identitätslandschaft. Unternehmen wie Avoco Secure und SecureKey bieten Technologien an, die Ökosystemkomponenten miteinander verbinden können, um die Interoperabilitätsschicht aufzubauen.
  • Selbstsouveräne Identität (SSI): Im Inneren kommt SSI zum Vorschein. Bei diesem dezentralen Identitätsansatz geht es darum, die Identität wieder in die Hände des Benutzers zu legen. Allerdings sind Fragen rund um die kommerzielle Nutzung von SSI noch offen.
Was ist opsec? Der Prozess zum Schutz kritischer Informationen

Wie können wir das Identitätsproblem lösen?

Wie Sie sehen können, ist die Identitätslandschaft komplex und besteht aus vielen beweglichen Teilen. Die Haupthindernis für die Schaffung eines Shangri-La für den Identitätsraum ist der sehr unterschiedliche, nicht miteinander verbundene, nicht interoperable Spielplatz, den wir heute sehen.

Wir haben eine Situation geschaffen, in der eine digitale Identität, die das Spiegelbild eines Individuums ist, in Tausende von Bruchstücken aufgeteilt wird, die jeweils getrennt, oft isoliert und in geschlossene Systeme eingebracht werden. Das Ergebnis sind Tausende von sich wiederholenden Datenschnipseln. Dies ist einer der Gründe, warum der Diebstahl persönlicher Daten so einfach und so weit verbreitet ist.

Dies fasste kürzlich Alastair Campbell von der HSBC Bank bei einem OIX Event in London zusammen, als er sagte:

„Gemeinsam einen lebendigen Marktplatz zu schaffen statt eines „Winner-Takes-It-All“ – das ist es, woran wir alle interessiert sein sollten.“

Wir müssen von diesem zersplitterten Ort zu einer Kultur der Wiederverwendung übergehen.

Das alte „make do and mend“ Ethos muss sein digitales Gegenstück in der Welt der digitalen Identität finden. Hier sind einige Ideen, wie man das zum Laufen bringen könnte:

  • Föderation und Wiederverwendung: Die Identitätswelt besteht aus Silos von Angeboten verschiedener Anbieter. Digitale Identität sollte nicht so funktionieren. In Wirklichkeit ist die digitale Identität ein Ökosystem. Jede Identität sollte auf jede vertrauenswürdige Instanz übertragbar sein, die sie benötigt. Die Schaffung eines „Closed-Shops“ in der digitalen Identität ist zum Scheitern verurteilt.
    Ökosysteme sollten so aufgebaut sein, dass bestehende Identitäten und Identitätsdaten jederzeit herangezogen und wiederverwendet werden können. Apps wie Yoti und digi.me, Plattformen wie Ping und Bürger-ID wie Verify und eIDAS können integriert und jedem, der die Daten benötigt, angeboten werden.
  • Aufschwung: Das Ökosystem muss neue Daten aufnehmen, die den wiederverwendeten IDs bei Bedarf Gewicht verleihen.
  • Ereignisse: Oft geht es nicht darum, wer du bist, sondern was du zu tun versuchst. Identität ermöglicht es uns, Aufträge online auszuführen, und diese können ereignisgesteuert sein.
  • Frameworks und Regeln: Die Rechtsgrundlage für die Zulassung der Wiederverwendung bestehender Identitäten muss geprüft werden. Dabei sollte der Schwerpunkt auf der Interoperabilitätsschicht liegen. Es gibt sicherlich Fälle, in denen Wettbewerber die Nutzung bestimmter Identitätsanwendungen oder -plattformen blockieren müssen. Dies widerspricht nicht der allgemeinen Verwendung wiederverwendbarer Identitäten innerhalb eines größeren Ökosystems, ermöglicht aber die Schaffung von Mikroökosystemen.

Im Identitäts-Ökosystem sollte es darum gehen, flexible IDs um erreichbare Geschäftsmodelle zu entwickeln, die für den Benutzer und den Dienst, der die ID verwendet, einen Mehrwert bieten. Immerhin ist es nicht sehr oft der Fall, dass Sie eine tatsächliche ID benötigen. In der Regel benötigen Sie nur die Antwort auf eine Frage – z.B. „Sind Sie über 18 Jahre alt, damit Sie dieses altersbeschränkte Produkt kaufen können“?

Warum ereignisgesteuerte Architekturen heute so wichtig sind

Ein Heilmittel für die Identität finden

Die Wiederverwendung bestehender Identitätskonten kann durchaus der Schlüssel zur Lösung des Problems einer heterogenen Identitätswelt sein. Wenn man alle Beteiligten mitspielen lässt, wird dies zur Öffnung dieses geschlossenen Systems beitragen. Identitätsinitiativen der Regierung werden in der Lage sein, einen kommerziellen Anwendungsfall und sogar einen ROI zu finden. Entscheidend ist die Zusammenarbeit über Branchenorganisationen wie Open Identity Exchange (OIX) und Kantara. Organisationen wie Kantara leisten hervorragende Arbeit bei der Schaffung von Standards im Identitätsraum, aber diese Arbeit muss durch eine ganzheitliche Betrachtung ergänzt werden, wie man Identität aus den Silos und in die weite Welt herausholen kann.

Ein abschließendes Wort von Analyst Martin Kuppinger auf der jüngsten European Identity & Cloud Conference 2019 fasst die Situation wie folgt zusammen:

„Ziel ist es, sich mit Identitäten zu verbinden – und nicht, sie selbst zu verwalten. Orchestrieren Sie Dienste und erfinden Sie nicht das, was bereits existiert. Trennen Sie Daten von Anwendungen, damit sie nutzbar gemacht werden können und nicht blockiert sind.“

*Susan Morrow hat die letzten 20 Jahre in den Bereichen Cybersicherheit und Online-Identität gearbeitet. Sie konzentriert sich auf das Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit und versucht zu verstehen, wie der Mensch in das Ganze passt. (CSO.com)


Mehr Artikel

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
News

Security in der NIS2-Ära

19. September 2024 Wolfgang Franz

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*