Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

28.02.2020
von: G. Hassenstein, M. Kunz - BFH

Es braucht sichere Identitäten für das Vertrauen der Kunden

Isoliert, zentral oder dezentral – welche Vor- und Nachteile die unterschiedlichen Lösungen für die Identifizierung haben, vergleichen hier zwei Forscher von der BFH Technik und Informatik. 

Mit Identity Management bezeichnet man Prozesse und Dienste, die sich mit der Erfassung, Verwaltung und Verwendung von elektronischen Identitäten befassen. Ein elektronisches Identity Management System muss das richtige Gleichgewicht zwischen Benutzerfreundlich-keit, Sicherheit und Datenschutz finden. Klassische Modelle verfolgen die Ansätze isolierter oder zentraler Identitäten, welche diese Ziele nur teilweise erfüllen können. In den letzten Jahren werden dezentrale Ansätze stark diskutiert und haben mit Self-Sovereign Identity (SSI) international bereits grosse Beachtung erlangt. Diese Modelle und die dahinter-liegenden Architekturen und Konzepte sollen in diesem Artikel gegenübergestellt werden, um Vor- und Nachteile der einzelnen Lösungen aufzuzeigen.

In einer vernetzten Welt haben Maschinen eine Identität, Benutzer aber nicht
Das Internet wurde grundsätzlich ohne elektronische Identitäten aufgebaut. Ein Endgerät konnte nicht wissen, mit wem (Person, Organisation, Dienst oder Ding) es sich verbindet ausser auf technischer Ebene. Maschinen kommunizieren über IP-Adressen miteinander. Sie können ebenfalls, bis zu einem gewissen Grad, die Echtheit eines Partners überprüfen, da sie bei einem Verbindungsaufbau die Verknüpfung zwischen einem Namen und der dazugehörigen IP-Adresse in einem dezentralen Namensregister (Domain, Name, System) auflösen können.

Um echtes Vertrauen in Namen aufbauen zu können, muss für ein bestimmtes Endgerät ein Zertifikat erstellt werden. Für Benutzer ist der Geltungsbereich solcher Zertifikate meist nur auf Unternehmen limitiert. In globalen Netzen werden deshalb Zertifikate fast nur für Web-Server von dafür spezialisierten Diensten ausgestellt. Diese Zertifikatsanbieter sind meist zentrale Instanzen, welchen man vollständig vertrauen muss, obschon sie vielfach unbekannt sind (z.B. DigiCert).

Das Problem elektronischer Identitäten im Internet (insbesondere für Benutzeridentitäten) ist also auch heute (noch) nicht gelöst, obschon sich Diebstahl und Täuschung von Identitäten schnell verbreiten. Diese Entwicklung untergräbt das Vertrauen der Öffentlichkeit in das Internet.

Isolierte Identitäten
Dies ist die am häufigsten anzutreffende Lösung. Viele Webseiten oder Portale in unserem täglichen Umfeld verwenden solch isolierte Identitäten. Hier muss ein Benutzer bei jedem Portal erst einmal seine Identität verifizieren lassen, bevor eine elektronische Identität für ihn ausgestellt wird. Der Benutzer vereinbart – je nach Anforderungen des Dienstleisters – ein oder mehrere Authentisierungsmittel (Passwort, mobile TAN usw….), um künftig auf sein Konto zugreifen zu können. Dies ist aber eine isolierte Identität, da sie meist nur für diesen Zweck (Dienstleister) genutzt werden kann. Wie im Bild unten dargestellt, ist der Dienstleister hier Verwalter und Herausgeber von elektronischen Identitäten, also ein sogenannter Identity Provider (IdP).



Dieses Modell hat zwar den Charakter einer dezentralen Lösung, da eine Identität nur für eine Applikation verwendet werden kann, bringt aber einige entscheidende Nachteile mit sich:

  1. Aus Sicht des Benutzers:

    • Pro Dienstleister erhält der Benutzer jeweils eine andere elektronische Identität und vielfach ein anderes Authentisierungsmittel. Dies ist für den Benutzer schlecht überschaubar, da er mehrere elektronische Identitäten und dazugehörige Authentisierungsmittel bei sich lokal pflegen muss. Lösungen zur Vereinfachung können Passwort-Manager oder Cloud-Dienste zur Ablage der Identitäten bieten.
    • Der Benutzer muss dem Dienstleister und dessen Handhabung seiner Identitätsinformationen voll vertrauen. Dies ist für den Benutzer wenig transparent, auch wenn neuste Datenschutzgesetze dies verlangen.

  2. Aus Sicht des Dienstleisters:

    • Damit dieser die Identität des Benutzers prüfen kann, muss er einen Identitätsnachweis des Benutzers bei sich ablegen (meist zusammen mit anderen Informationen).
    • Er ist für die Sicherheit der von ihm erhobenen Identitätsinformationen verantwortlich. Weshalb er sich zunehmend gegen drohenden Missbrauch technisch absichern muss, da sonst seine Reputation darunter leiden könnte.
    • Um eine zeitgemässe und sicherere Authentisierungsmöglichkeit anbieten zu können, muss der Dienstleister kostenintensive 2-Faktor-Verfahren (z.B. zusätzlich eine SMS an die mobile Nummer des Benutzers senden) selbst implementieren.

Zentrale Identitäten
Heutige Dienstleister haben diese Probleme natürlich längst erkannt und dadurch gelöst, dass sie einen Schritt in Richtung zentralisierte Identität gemacht haben. Sie gingen dazu über, die Kontoverwaltung an bestimmte Unternehmen zu delegieren. Sie erlaubten den Benutzern, sich mit einer elektronischen Identität anzumelden, die von einem anderen Unternehmen ausgestellt und gewartet wird.

Gerade im Bereich ‘Social Login’ wird es damit für den Benutzer einfacher, da er sich mit einem Login auf mehreren Apps und Webseiten anmelden kann. Aber auch für den Dienstleister ist die Welt einfacher geworden, da er im Idealfall keine eigenen Identitäten mehr aufbauen muss. In einem betrieblichen Kontext wird für die Entlastung der Applikationen vielfach dafür ein zentraler Authentisierungsdienst eingesetzt.

Bei zentralen Identitäten wird die Login- und/oder die Validierungsfunktion vom Dienstleister an einen spezialisierten Betreiber (Identity Provider) ausgelagert (1). Der Dienstleister vertraut den Prozessen des Identitätslieferanten und damit seinen Bestätigungen.



Um auf einen Dienstleister zugreifen zu können, muss sich der Benutzer nun erst beim Identity Provider authentisieren. Dieser sendet dem Dienstleister nach erfolgter Authentisierung das Resultat in Form einer Bestätigung zu. Damit wird es möglich, dass ein Benutzer für verschiedene Dienstleister eine einzelne Identität verwenden kann.

In diesem Modell sind zwei Ausprägungen möglich:

  • Isolierte Identity Provider: Jeder IdP verfügt – unabhängig von anderen IdPs – über eigene Identitätsdaten des Benutzers, welche in seinem Kontext Gültigkeit haben. (z.B. „Social-Login“-Lösungen, wie Facebook, Google, Twitter, Amazon, Instagram, LinkedIn, Microsoft)

  • Vernetzte Identity Provider: Mehrere IdPs vertrauen sich gegenseitig und verfügen je nach Vertrauensstufe über ein gemeinsames Set an Identitätsdaten (Attribute wie z.B. Name, Vorname, E-Mail, usw.) eines Benutzers. Dieser kann sich ohne weiteres bei verschiedenen IdPs registrieren, da sich diese einen gemeinsamen Identifikator teilen. Dieser gemeinsame Identifikator wird meist von einer staatlichen Instanz vergeben, welche die IdPs zertifiziert und mit Standard-Identitätsdaten eines Benutzers versorgt. Jedem, in diesem Modell zertifizierten IdP steht es frei, weitere Attribute aus seinem Kontext einer Identität beizufügen. (z.B. E-ID der CH)

„Zentrale Identitäten“ haben gegenüber „isolierten Identitäten“ zwar klare Vorteile, aber sie weisen immer noch bestimmte Nachteile auf:

  1. Aus Sicht des Benutzers: 

    • Für den Benutzer wird die Verwaltung seiner elektronischen Identität einfacher, denn er hat nur noch eine bzw. wenige Identitäten, die er pflegen muss. Er sollte diese gegenüber möglichst vielen Dienstleistern einsetzen können.
      Umgekehrt wird aber die Privatsphäre des Benutzers empfindlich eingeschränkt, da der Identitätslieferant in jeden Authentisierungsvorgang einbezogen wird (Loginfunktion) und deshalb in der Lage ist, sich zu merken, wann und wie häufig ein Benutzer einen Dienstleister besucht hat. Diese Information kann für die Profilbildung und gezielte Werbung genutzt werden. Diese Form der unbemerkten Überwachung kann nur dann verhindert werden, wenn der IdP bei der Authentisierung des Benutzers nicht mehr beteiligt ist.

    • Der Benutzer muss nun dem Identitätslieferanten und dessen Handhabung seiner Identitätsinformationen voll vertrauen. Im Endeffekt ist dies für den Benutzer nicht viel transparenter, auch wenn gegenüber spezialisierten oder sogar vom Staat zertifizierten IdP’s mehr Vertrauen entgegengebracht werden kann.

    • Der Benutzer – welcher eigentlich Inhaber der Identität ist – wird von diesem Dienst abhängig. Wenn dieser Dienst seine Funktion nicht mehr erfüllen kann, so ist auch die elektronische Identität des Benutzers nicht mehr zugänglich.

  2. Aus Sicht des Dienstleisters:

    • Dienstleister delegieren die Authentisierung einem spezialisierten System von Identitätslieferanten, welchem sie vollständig vertrauen.

    • Damit sind sie von einer Last befreit:

      • sie müssen keinen Identitätsnachweis eines Benutzers mehr bei sich ablegen.
      • sie können beglaubigte und damit vertrauenswürdige Attribute von einem dafür spezialisierten IdP beziehen.

  3. Aus Sicht des Identitätslieferanten:

    • Da aus verschiedenen Bereichen (Dienstleistern) Daten von Benutzern anfallen, lohnt es sich eine komplexe Datenerhebung durchzuführen, die Nutzerdaten zu sammeln und, wenn die Gesetzgebung dies erlaubt, auch zu Geld damit zu machen. Es besteht die Versuchung mehrdimensionale Profile zu erstellen, welche mit leistungsstarken Targeting- und Profiling-Tools eine sehr effiziente Form der Überwachung ermöglichen. Die reichhaltigen Informationen aus dem Verhalten des Benutzers, können für öffentliche Werbung eingesetzt werden, zunehmend aber auch für Propaganda und zur Wahlpolitik.

    • Aggregierte Datenbestände werden zunehmend zu lohnenden Angriffszielen von Hackern. Immer mehr werden verfügbare Ressourcen für einen Missbrauch freigesetzt. Gravierende Sicherheitsprobleme können auftreten und sind fast nicht mehr zu handhaben. Ein solcher IdP muss die Identitätsinformationen besonders gut schützen.

Quelle und gesamter Artikel: societybyte.swiss


mySecurityService

  • Consulting, Project, Education
  • Integration, Security
  • SOC-Services
  • Certifications/Standards

Security-Kompetenzen

Security-Finder Schweiz: Newsletter