Der steinige Weg zu sicheren und Nutzer-souveränen Online-Identitäten

Die Verfügbarkeit vertrauenswürdiger und Nutzer-kontrollierter Identitätsinformationen wird immer wichtiger. Neue Anforderungen für den Datenschutz und für die Absicherung von Online-Transaktionen werden hierzu in naher Zukunft erheblich beitragen.

Beginnen wir mit einer einfachen Frage: Welche Organisation hat heute die notwendigen Informationen, um zu entscheiden, dass die Online-Identität, die sich gerade für die Nutzung eines Dienstes anmeldet, tatsächlich Sie sind? Oder genauer: Wem vertrauen Sie heute im Internet so weit, dass Sie diesem erlauben, ihre Identität gegenüber Dritten zu bestätigen?

Gehören Sie zu dem elitären, aber sehr kleinen Zirkel der Nutzer der Online-Funktionalität des neuen Personalausweises? Sehen Sie damit den Staat als vertrauenswürdigen Hüter Ihrer digitalen Identität? Doch wo können Sie diesen in Ihrer täglichen Praxis tatsächlich nutzen. Oder haben Sie eine De-Mail-Adresse, die Ihnen ein Postfach und eine sicheren E-Mail-Versanddienst gewährleistet und für die Sie Ihre Identität nachgewiesen haben? Nach einer aktuellen Studie nutzen acht Prozent aller Online-Anwender derzeit überhaupt nur De-Mail, während 35 Prozent diesen Dienst nicht einmal kennen und weitere 45 Prozent ihn für nicht relevant erachtet. In der gleichen Studie wird dokumentiert, dass derzeit nur vier Prozent aller aktiven Anwender den neuen Personalausweis (nPA) samt vollständiger Online-Ausweisfunktion – so wie es eigentlich gedacht war – nutzen.

Identity (Bild: Google)

Oder ist es doch vielmehr Ihr Account bei Google, Apple, Microsoft, Amazon, PayPal oder Facebook, der als Ihr gewohntes social login oder auch nur als notwendiges Übel zum Online-Shopping am ehesten ihre digitale Identität darstellt? Ist es auf Dauer wünschenswert, seine Identitätsdaten einem klar kommerziell orientierten Unternehmen anzuvertrauen? Oder gehören Sie eh zu der kleinen, jedoch sehr aktiven Splittergruppe, deren Mitglieder keinerlei solche Accounts benutzen und stattdessen genau dies aber sehr lautstark in den vielfältigen, endlosen Online-Foren verkünden (für die man aber üblicherweise auch einen Account benötigt)?

Doch egal zu welcher dieser oben genannten Gruppen Sie sich zurechnen, eines ist offensichtlich: Das Konzept einer sicheren Online-Identität hat sich bislang in Deutschland und auch darüber hinaus nicht nennenswert durchgesetzt.

Vertrauenswürdige Online-Identitäten

Dabei liegen die Vorzüge und in wachsendem Maße auch die Notwendigkeiten für eine solche Identität auf der Hand:  Sie bildet die Grundlage für eine vertrauenswürdige und belastbare Kommunikation zwischen Individuen und Organisationen. Um dies zu gewährleisten, sollte eine starke, sichere Online-Identität in der Kombination aus einer grundlegenden, eindeutigen Identifikation, einer robusten, sicheren Authentifizierung und einem vertrauenswürdigen Speicher für Identitäts-Daten bestehen. So kann gewährleistet werden, dass eine dauerhafte und stabile Zuordnung einer (oder mehrerer) digitaler Identitäten zu einer physikalischen Identität oder einer Organisation erzielt wird.

ANZEIGE

European Identity & Cloud Conference 2017

The European Identity & Cloud Conference 2017, taking place May 9 – 12, 2017 at the Dolce Ballhaus Forum Unterschleissheim, Munich/Germany, is Europe’s leading event for Identity and Access Management (IAM), Governance, Risk Management and Compliance (GRC), as well as Cloud Security. For the 11th time the EIC will offer best practices and discussions with more than 700 participants from worldwide companies including most of the leading vendors, end users, thought leaders, visionaries and analysts.

Der Dateneigentümer im Zentrum

Im direkten Zusammenhang zu diesem Konzept einer solchen, weitestgehend organisatorisch wie technologisch abgesicherten Identität steht das Konzept der Datensouveränität (data sovereignty): Dieses besagt in seiner grundlegenden Form, dass Individuum und Organisationen die letztendlichen Eigentümer ihrer jeweiligen Identitäts-Informationen sind und damit die vollständige Kontrolle über diese Daten und ihre Nutzung ausüben können müssen.

Die Bereitstellung dieser Informationen gegenüber einem beliebigen Dritten kann nur dann und nur auf der Basis eines eindeutigen und zweckgebundenen Einverständnisses (consent) erfolgen. Benutzer müssen steuern können, wer Zugriff auf ihre Identitätsdaten haben darf, welche persönlichen Daten Dritten genau zugänglich gemacht werden, und wann diese Privilegien zu gewähren oder zu widerrufen sind.

Vertrauen ist gut

In der Praxis wird die Rolle des souveränen Identitäts-Eigentümers (Data Owner) immer auch komplementär ergänzt um die Rolle der jeweiligen speichernden oder verarbeitenden Organisation, die als Data Processor dieser Daten diese entsprechend der souveränen Entscheidungen der Identität behandelt.

Geht es um die Gewährleistung der notwendigen Rechte in praktisch jeder Anwendungssituation, die heute online für einen Inhaber einer Identität entsteht, gibt es keine weiter reichende Grundlage für eine angemessene Behandlung dieser Informationen durch die verarbeitende Instanz, die über Vertrauen und Zusicherungen hinausgeht. Jeder Mitarbeiter, Kunde, Patient oder Nutzer eines sozialen Netzwerkes muss heute schlussendlich darauf vertrauen, dass die Verarbeitung in dem jeweiligen System seinen Anforderungen und Vorgaben bezüglich der rechtlich angemessenen und geforderten Verarbeitung seiner Identitätsdaten entsprechend erfolgen.

Kontrolle und Sanktionen

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO), oft auch im Original als EU General Data Protection Regulation (GDPR) referenziert, stellt in naher Zukunft Anforderungen an die Verarbeitung dieser Daten und damit nicht zuletzt auch an die Rolle der jeweiligen Hüter von Identitäts-Informationen, die weit über das bislang bekannte Maß hinausgehen.  Wie die Einhaltung der Vorgaben in Zukunft in der EU und in den einzelnen Mitgliedstaaten überwacht und mögliche Nicht-Konformität sanktioniert wird, ist heute noch nicht abschließend abzusehen.

In den heutigen technischen und organisatorischen Szenarien ist offensichtlich, dass der mal mehr, mal minder vertrauenswürdige Dritte, also jede speichernde Stelle vom Arbeitgeber bis hin zum sozialen Netzwerk das jeweils erreichte Niveau für die Sicherheit und Konformität selbst definiert (und dann aber auch hierfür rechenschaftspflichtig ist). Der unlängst bekannt gewordene Fall des massenhaften Identitäts-Diebstahls bei Yahoo, aber auch die regelmäßigen Sicherheitsvorfälle in Krankenhäusern zeigen exemplarisch, dass dieses Vertrauen in schöner Regelmäßigkeit auch durchaus nicht gerechtfertigt sein wird.

Vermeidung durch Technologie

Damit stellt sich die Frage, inwiefern man die Rolle des vertrauenswürdigen Dritten in ihrer Wichtigkeit verringern oder gänzlich eliminieren kann. In anderen Bereichen, insbesondere im Finanzwesen, beschäftigt man sich schon heute aktiv damit, eine beglaubigende Instanz (insbesondere Banken oder Notare als Gatekeeper) überflüssig zu machen.

Die Blockchain-Technologie, oder allgemeiner Distributed (Public) Ledger Technologien (DPL), zielen genau hierauf ab. Die Kernfunktionen von Blockchains – Dezentralisierung und Konsens auf Basis von vertrauenswürdigen Algorithmen – könnten somit die Basis einer höheren Sicherheit und Nachvollziehbarkeit darstellen. Dies können sie erreichen, indem sie unabhängig überprüfbare Nachweise für eine Handhabung auch von Identitäts-Daten entsprechend der jeweiligen Vorgaben technologisch ermöglichen. Darüber hinaus ist es möglich, zusätzlich gewünschtes Verhalten in Form von ergänzendem Code (smart contracts) hinzuzufügen.

Eine Vielzahl von Projekten, Initiativen und Produkten beschäftigt sich heute aus den oben genannten Gründen mit der Nutzung der Distributed Ledger Technologien zum Nachweis sicherer Identitäten. Eine weitreichende, nennenswerte Nutzung hat sich hierbei bislang noch nicht ergeben, wenn auch die entsprechenden technologischen Ansätze vielversprechend sind. Standardisierung, offene Protokolle und eine zügige Umsetzung in Referenzprojekten sind nun gefordert, um die technologischer Reife und die notwendige Benutzerfreundlichkeit nachweisen zu können. Die Anforderungen aus der europäischen Datenschutzgrundverordnung können und werden hierbei ein wichtiger Katalysator sein.

Der Schritt weg vom zweifelhaften Vertrauen zu einem eben doch nicht notwendigerweise vertrauenswürdigen Dritten ist hierbei nur zwangsläufig. Der Weg hin zu einer Technologie, deren Verankerung in algorithmischen Verfahren die automatisierbare Umsetzung von verteilten und maschinell nachvollziehbarem Vertrauen darstellt, vermeidet Versagen auf prozessualer Ebene und nicht zuletzt die Durchführung aufwendiger, kostspieliger und fehlerbehafteter Audits. Ein mathematischer Beweis für die Integrität und die Vertraulichkeit der sensiblen Daten einer starken Online-Identität kann hierfür eine wichtige Grundlage bieten.

Ausblick

Die Blockchain und die ihr zugrundeliegenden Technologien sind trotz des damit verbundenen Hypes beileibe kein Allheilmittel für jegliche technologische Herausforderung. Die immensen Anforderungen aber, die in sehr naher Zukunft durch aktuelle oder zukünftig anstehende Rahmenbedingungen für ein sichere Zahlungsdienste (PSD2, Payment Services Directive II der Europäischen Kommission) oder die Datenschutz-Grundverordnung an datenverarbeitende Unternehmen herangetragen werden, bedürfen einer angemessenen technologischen Lösung, die zwangsläufig weit über heute etablierte Verfahren hinausgehen müssen.

Die im Raum stehenden Sanktionen (bis zu 20 Millionen Euro oder vier Prozent des gesamten Konzernumsatzes, je nachdem, welcher Betrag größer ist), die bei einer nicht angemessenen Beachtung und Erfüllung der Anforderungen fällig werden, können sicher einen zusätzlichen Anreiz darstellen, hier sowohl organisatorisch wie technologisch aktiv zu werden. Es stellt sich hier insbesondere die Frage, wer die derzeitige technologische Herausforderung als Chance begreift, hier interoperable und vertrauenswürdige Infrastrukturen zu schaffen.

Gerade die Finanzindustrie könnte hier gestaltend aktiv werden, sind sie doch auf vielen Ebenen mit den vielbeschworenen disruptiven Herausforderungen konfrontiert. Doch nicht zuletzt werden sowohl Benutzerfreundlichkeit, Vertrauenswürdigkeit, das Maß an individueller Kontrolle und die einfache Integration in den privaten und geschäftlichen Online-Alltag für den Anwender eine entscheidende Rolle bei der Identifikation tragfähiger Lösungen spielen.

HIGHLIGHT

Zwei-Faktor-Authentifizierung: Mehr Sicherheit für Facebook, Twitter und andere Dienste

Fast täglich wird über den Verlust von Zugangsdaten berichtet. Gegen den Missbrauch dieser Daten können sich Anwender mit der Aktivierung einer Zwei-Faktor-Authentifizierung schützen. Wie das genau funktioniert, erläutert der folgende Artikel.

Themenseiten: Datenschutz, EU, KuppingerCole

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Der steinige Weg zu sicheren und Nutzer-souveränen Online-Identitäten

Kommentar hinzufügen
  • Am 21. Oktober 2016 um 15:13 von ulrich höfer

    MIt anderen Worten. Die Regierungen, Banken und Industrien suchen verzweifelt eine Lösung wie man im wilden anonymen Internet endlich ein einziges Superkonto schafft, daß 100% sicher ist und auch ganz klar, daß der Benuter der es nutzt auch dazugehört.

    Zum Glück gibt es sowas nicht, denn genau das macht das Internet aus. Man hat zig Accounts, niemand weiß, ob hans.mueller@irgendwas.de auch hans müller heißt oder ist !

    Die Firmen und Regierungen wollen das Internet damit „zivilisieren“, aber sie werden grandios scheitern, daß es nicht möglich sein wird einen Standard zu schaffen, den alle annehmen werden. Auch die Blockchain ist keine Lösung, denn….legt man einmal ein Protokoll/Stack fest, ist man festgelegt. Siehe Bitcoin. Treten dann Probleme auf, und man muß Änderungen einführen, gibt es zwei Protokolle, das neue und das alte.

    Glück für uns – das Internet bleibt frei. Freies anonymes Netz für freie Menschen !

  • Am 24. Oktober 2016 um 7:20 von ckOne

    Im Großen und ganzen haben Sie Recht, aber bei meinem Bankkonto hätte ich schon gerne, daß die Bank überprüft ob ich es wirklich bin. xD

  • Am 25. Oktober 2016 um 9:45 von Paul Erdbeck

    Im Bericht steht, dass acht Prozent aller Online-Anwender derzeit De-Mail nutzen. Ist leider nicht ganz richtig. 8% HABEN gem. der angegebenen Studie einen DE-Mail-Zugang. Ich bezweifele, dass auch nur annähernd 1% diesen schon mal genutzt haben.
    Ich selbst habe auch eine DE-Mail-Adresse, KANN sie aber gar nicht nutzen, selbst wenn ich wollte, und ich wäre gerne bereit. Ich kenne niemanden, mit dem ich das mal ausprobieren könnte, geschweige denn Versicherungen, Banken oder Behörden, bei denen ich diese Technik sinnvoll anwenden könnte.
    War wohl ein Rohrkrepierer…

  • Am 9. November 2016 um 14:45 von Raimond Herrmann

    Ich schließe mich dieser Aussage an . Habe auch ein DE-Mail-Zugang und kann sie nicht anwenden weil die gedachten Empfänger (Ämter usw.) diese nicht benutzen .

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *