Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

25.07.2018
von: Marcel Weber - IPG AG

IAx & Blockchain

Was ist Blockchain und in welchem Zusammenhang steht Blockchain mit Identity und Access?

Was ist Blockchain?
Blockchain soll Transaktionen mit dem Potenzial verändern, wie dies beim Internet mit Informationen der Fall war. Blockchain ist eine Technologie, welche Vertrauen und Effizienz im Prozess des Austauschs zwischen verschiedenen Parteien steigert. In diesem Zusammenhang wird häufig vom Überflüssigwerden von «Mittelsmännern» gesprochen. Das kann grosse Teile der Geschäftsmodelle von Branchen wie Versicherungen und Banken betreffen, wie beispielsweise Bitcoin, aber auch viele andere Bereiche wie zum Beispiel die Abwicklung eines Hauskaufs. Alles was einen Wert aufweist, kann über eine Blockchain effizient und vertrauensvoll verfolgt und gehandelt werden. Ein wichtiges Element dabei spielt das «geteilte Hauptbuch» (Shared Ledger). Dieses transparente Hauptbuch beinhaltet alle Transaktionen (Blocks), verschlüsselt und in chronologischer Abfolge (Kette). Mittels Verweisen (Hash) auf die letzte Transaktion wird sichergestellt, dass es keine unerlaubten Veränderungen gibt. Es kann also nur lesend zugegriffen werden. Die einzige Ausnahme ist die Erstellung eines neuen Blocks. Eine neue Transaktion wird durch einen Konsensmechanismus (Consensus) im Netzwerk validiert. Weitere Elemente sind sogenannte Smart Contracts mit denen Konditionen in die Abwicklung der Transaktionen eingebunden werden, wodurch diese automatisiert ablaufen können. Über Berechtigungen (Permissions) wird festgelegt, wer auf welche Attribute welcher Transaktionen Zugriff hat.


Hauptkonzepte für Blockchain im Geschäftsumfeld; Quelle: Gupta, M. (2017), Blockchain for dummies, Seite 15

Das Blockchain-Netzwerk ist also ökonomisch sinnvoll, da es die Mehrfachaufwände eliminiert und Intermediäre reduziert. Etwas allgemeiner formuliert, können durch die Blockchain-Technologie Marktfriktionen in den Bereichen Information, Transaktion und Innovation reduziert werden, was zu effizienteren Märkten führt.

Bedeutung für IAx
Mit dem Konzept der Permissions zeigt es sich am offensichtlichsten, dass Blockchain auch das Thema «Access» beinhaltet. Ein Blockchain-Netzwerk muss sich ebenfalls mit den üblichen Themen rund um Identitäten und Zugriff befassen, denn im Teilbereich der nicht öffentlichen, sog. «permissioned», Blockchain spielen Identifizierung und Zugriffskontrolle grundsätzlich die gleiche Rolle wie bei klassischen Transaktionen.

In Bezug auf den Einsatz der Blockchain-Technologie für das Identitätsmanagement oder das Lösen globaler Herausforderungen im Bereich Identity Theft finden sich im Internet viele spekulative Ansätze, die oft zu wenig schlüssig auf die eigentliche Funktion der sicheren und transparenten Transaktion zurückgeführt werden. Am vielversprechendsten scheint der Ansatz einer dezentralen ID (vgl. IDP im nächsten Kapitel).
Ian Glazer (VP Identity Product Management, Salesforce) bringt es wohl am besten auf den Punkt, wenn er sagt, dass Blockchain im einen oder anderen Bereich eine Auswirkung auf aktuelle Herausforderungen haben wird oder gewisse Komponenten ersetzt werden. In Anlehnung an das IPG Advisory gibt es «One-Size fits all» auch hier nicht.

Einsatzgebiete, Nutzen und Grenzen
Die Blockchain-Technologie steigert auch im Themengebiet von Identity und Access das Vertrauen und die Effizienz innerhalb einer Organisation oder eines Verbundes.

Als sinnvolle Einsatzgebiete erachten wir die folgenden Bereiche:

Identity Provider (IDP)
Provider von Identitäten innerhalb von Unternehmen können durch eine dezentrale Struktur das Vertrauen in sich erhöhen und die Sicherheit vor Datendiebstahl reduzieren. Der IDP erhöht damit seinen Level of Assurance (LoA). Unter Einbezug von biometrischen Daten können auch höchste Anforderungen erfüllt werden.

Public Key Infrastrukur (PKI) und zentrale Autoritäten (CAs)
Die weitaus grössere Transformationskraft hat Blockchain im Bereich der Public Key Infrastrukturen und zentralen Autoritäten (hier in Bezug auf Identitäten und Zertifikate), indem es diese durch dezentrale Trust-Mechanismen und dezentrale (Infra-)Struktur ersetzt.

Föderation
Der Bereich Föderation ist für Blockchain prädestiniert, da «Trust» innerhalb der Föderation im Zentrum steht. Heute werden dazu verschiedene IDP eingebunden. Mit der Blockchain-Technologie können ein oder mehrere gemeinsame, aber dezentrale IDP realisiert werden. Der ganze Verbund profitiert so von höherer Sicherheit und Transparenz.

IDM: (Re-)Zertifizierung / Berechtigungsaudit / Audit-Trail
Veränderungen an Berechtigungen können auf der Blockchain aufgezeichnet werden und würden dadurch transparent werden. Die Zuordnung von Personen und Berechtigungen blieben für die meisten Teilnehmer des Netzwerks verschlossen, könnten aber selektiv, beispielsweise für Auditoren, freigegeben werden. Dies gilt für sämtliche Attribute einer Transaktion.

Einbindung von Blockchain-Lösungen in die IAx-Landschaft
Für Unternehmen kann es sehr interessant und effizient sein, existierende Blockchain-Lösungen in ihre IAx-Landschaft einzubinden oder zusammen mit einer IAM-Lösung einzuführen, um Prozesse wie beispielsweise «Know-your-Customer (KYC)» auszulagern und dadurch Kosten zu senken.

Hier einige Beispiele solcher existierenden Lösungen:

Shocard Eine blockchainbasierte Identitätskarte (https://shocard.com/)
Blockstack «Das neue Internet» für dezentralisierte Apps bietet Entwicklern die Werkzeuge um Identität, Speicher und Token umzusetzen (https://blockstack.org/)
OneName Ein Registrar (vgl. Domain-Name-Registrar) für Identitäten (https://onename.com/)
Uniquid Access Management für das Internet der Dinge – IoT (http://uniquid.com/)


Wie unterstützt IPG?
IPG begleitet ihre Kunden nicht nur in Bezug auf gestandene IAM-Lösung, sondern auch auf neue Technologien im und rund um Identity. Access. Governance. Durch unsere langjährige Erfahrung und genaue Kenntnisse regulatorischer Anforderungen begleitet IPG ihre Kunden bei der Analyse bestehender und Entwicklung neuer Lösungen. Durch die fachlichen, prozessualen, aber auch technischen Erfahrungen versteht sich IPG als Brückenbauer zwischen Business und IT.
Autor: Marcel Weber - IPG AG
IPG AG auf Security-Finder Schweiz


Security-Finder Schweiz: Newsletter