Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Mittwoch, Juli 21, 2021 16:18 - noch keine Kommentare
Datensicherheit auf Plattformen: Mit aktuellen Standards und Trends können Inhalte sicher ausgetauscht werden
Beim Aufsetzen kommerzieller Plattformen ist hohe Datensicherheit eine grundlegende Voraussetzung | Inhalte müssen einfach geteilt werden können, ohne sensible Informationen weiterzugeben | Ein Überblick über derzeit gängige Technologien und Trends
Von unserem Gastautor Stefan Adolf, Developer Ambassador bei Turbine Kreuzberg
[datensicherheit.de, 21.07.2021] Kommerzielle Plattformen erleben gerade eine Blütezeit. Mit ihnen lassen sich immerhin eine Vielzahl an unterschiedlichen digitalen Geschäftsmodellen technologisch umsetzen, kooperativ gestalten und durch Services anreichern, wie etwa in Marktplätzen oder Dienstleistungsplattformen zu sehen. Doch auch wenn sie das Leben von Anbietern und Nutzern erleichtern, ist beim Aufbau digitaler Plattformen höchste Sorgfalt in Sachen Sicherheit geboten. Schließlich werden dabei externen Diensten und Nutzern Zugriffe auf sensible Ressourcen gewährt. Welche Technologien sich eignen, um ein föderiertes System für Anmeldedaten und Profilinformationen zu entwickeln, ohne dabei sicherheitskritische Nutzungsprofile zu akkumulieren wird im Folgenden behandelt.
OAuth – authentifizierter Zugriff mit einem Klick
Eine beliebte Lösung, um Information und Inhalte sicher auszutauschen, bietet das OAuth-Protokoll (Open Authorization). In einer Welt, in der Tausende Menschen täglich auf unzählige neue Apps und Websites zugreifen, bietet das offene, tokenbasierte Sicherheitsprotokoll Nutzer:innen eine Möglichkeit, sich mit bereits vorhandenen Accounts (z. B. von Facebook oder Google) bei weiteren Anwendungen anzumelden. Sofern externe Dienste die Option „Sign-up with…“ anbieten, genügen die zuvor bereits erstellten Login-Daten zur Identitätsprüfung. So müssen Nutzer nicht ständig neue Profile erstellen. Dafür übernimmt beispielsweise Facebook die Authentifizierung und sendet Drittdiensten einen begrenzt gültigen Access Token. Mit diesem können externe Anbieter die gewünschten Daten einfach anfordern. Explizite Anmeldeinformationen wie Passwort oder E-Mail geben sie dabei nicht preis.
Ein Beispiel zum Verständnis: Eine Userin möchte sich auf einer App neu registrieren und wählt dafür die Option „Sign up with Facebook”. Die App generiert daraufhin eine URL zum Anmeldedienst von Facebook und leitet dorthin weiter. In dieser URL benennt die App bereits sämtliche Profil-Bereiche, die sie aus dem öffentlichen Profil der Userin benötigt. Facebook weist die Userin nun darauf hin, über welche ihrer Informationen die App bei ihrer Zustimmung zugreifen kann. Erteilt die Userin ihre Erlaubnis, sendet eine Facebook-API einen einmalig gültigen Grant-Token an die App, die App wiederum mit einem zwischen ihr und Facebook ausgehandelten Geheimnis antwortet. So wird die App eindeutig identifiziert. Das wiederum erwidert Facebook mit einem Access Token, der Freigaben und Authentifizierung der Userin repräsentiert. Dieser Access Token wird bei jeder Anfrage übermittelt und von Facebook-APIs überprüft. Bei erfolgreicher Prüfung liefern sie die angeforderten Daten an die App. Die Nutzerin musste dafür zweimal klicken.
Tokenbasierte Authentifizierung
Neben OAuth haben sich in den vergangenen Jahren auch weitere Verfahren etabliert. JSON Web Tokens (JWT) sind beispielsweise besonders zur Authentifizierung in verteilten Systemlandschaften beliebt geworden, da durch sie die Notwendigkeit entfällt, Datenbanken zur Feststellung von Berechtigungen abzufragen oder Sitzungsdaten auf dem Server zu speichern – Stichwort: „Stateless Sessions“. Dieser Token ist eine einfache, binärkodierte JSON-Struktur, die alle wichtigen Informationen für einen Anwendungsfall enthält, insbesondere zum Absender und seinen Zugriffsrechte. Durch die digitale Signatur seines Ausstellers wird der Token abgesichert. Ein weiteres, verteilt arbeitendes Authentifizierungssystem für Webservices ist OpenID. Open ID nutzt URL-basierte Identitäten (Identifier), um es Nutzern zu ermöglichen, sich mit einem Login bei mehreren Diensten anzumelden – ein ähnliches SSO-Konzept wie bei OAuth.
Daneben gibt es eine Vielzahl an freien und kommerziellen Lösungen für die 2-Faktor-Authentifizierung – gerade nützlich, will man nicht auf die Systeme der großen Anbieter zurückgreifen. Plattformanbieter:innen sind mittlerweile nicht mehr zwingend auf die Dienste Externer angewiesen, um Anwendungen und Infrastrukturen abzusichern oder gar SSO-Konzepte zu implementieren. Dabei ist das Angebot sehr divers und reicht von hoch spezialisierten Lösungen bis hin zu breit gefächerten Identity- und Access-Management-Systemen, welche beispielsweise eine Authentifizierung durch soziale Medien ermöglichen.
Datenhoheit durch selbstsouveräne Identitäten
Obgleich OAuth, JWT und OpenID den derzeitigen Status quo der Plattformsicherheit darstellen, gehört die Zukunft der Self-Sovereign Identity (SSI) – einer besonderen Form von Claim-basiertem Identitätsmanagement. Der Grund: In Zeiten von strengen Datenschutzverordnungen wie der DSGVO und einer zunehmenden Sensibilität der Nutzerwird Datenhoheit immer wichtiger. Authentifizierungskonzepte, die den Nutzern selbst mehr Kontrolle geben, gewinnen dadurch an Bedeutung.
Allgemein bedeutet SSI, dass Personen nicht mehr von zentralen Identitätsdiensten abhängig sind. Stattdessen entscheidet der Nutzer selbstständig, welche Informationen aggregiert werden und wer Zugriff auf die persönlichen Daten erhält. Statt mit einer E-Mail-Adresse oder Passwort begründet sich eine Identität in einem sogenannten Decentralized Identifier (DID). Das ist eine Sammlung öffentlicher Schlüssel einer Identität, die mit Hilfe von Blockchain-Transaktionen für jeden les- und überprüfbar ist. Zum Nachweis der Kontrolle über einen DID halten Nutzer die privaten Schlüssel zum Nachweis in einer Wallet auf ihren Smartphones. Sogenannte Verifiable Credentials, also Zertifikate über Eigenschaften des Nutzers, werden von entsprechenden Stellen über den DID des Nutzers ausgestellt, und schließlich ggf. per Peer-to-Peer an ihn übermittelt und in dessen Wallet verwahrt.
Die Zukunft der Platform Security
Die Suche nach Wegen und Technologien, um sensible Informationen auf Plattformen sicher und einfach auszutauschen, ist noch längst nicht abgeschlossen. Dabei muss jede neue Lösung stets auf dem schmalen Grat zwischen DSGVO-konformer Datensicherheit, Nutzerfreundlichkeit und realistischer Umsetzbarkeit bestehen. Auch wenn in der öffentlichen Wahrnehmung meist anderes vorherrscht, geht Plattformsicherheit letztlich über den notwendigen Schutz vor Hackerangriffen oder Datenverlust hinaus. Wer als Betreiber bei der Datenhoheit seiner Nutzer anfängt, ist auf einem guten Weg.
Stefan Adolf ist Developer Ambassador bei Turbine Kreuzberg. Seine primäre Aufgabe ist die Kommunikation mit der Developer-Community. Der Fullstack-Entwickler mit Schwerpunkt auf Applikationen, IoT und Integration ist Organisator und Speaker auf Meetups und Konferenzen über entwicklernahe Themen. Zudem agiert er durch seine Expertise in dezentraler Technologie und dem Web3 als Tech Lead in Venture Projekten und als technologischer „Vordenker“ von Turbine Kreuzberg.
Weitere Informationen zum Thema:
datensicherheit.de, 14.07.2020
Office 365: Zunehmender Missbrauch von Nutzerkonten
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren