Von unserem Gastautor Michael Doujak, Product Manager bei Airlock

[datensicherheit.de, 29.11.2024] Digitale Identitäten werden im Zuge der Digitalisierung immer einflussreicher. Traditionell wurde die Identität über zentralisierte Systeme verwaltet, z. B. über staatlich ausgestellte Ausweise oder Unternehmensdatenbanken sowie über Identitätssysteme großer Tech Firmen wie Google, Microsoft und vieler anderer. Mit selbstverwalteten Identitäten, den Self Sovereign Identities (SSI) wird diese Abhängigkeit reduziert.

Am 29. Februar 2024 hatte das Europäische Parlament in einer finalen Abstimmung die novellierte eIDAS-Verodnung angenommen. Den EU-Mitgliedsstaaten bleiben nun 24 Monate Zeit, um das Konzept der digitalen Identität auf nationaler Ebene rechtskonform umzusetzen. Die EU hat bereits 2023 vier grosse Pilotprojekte (Large Scale Pilots – LSP) auf den Weg gebracht, bei denen private Unternehmen und Behörden aus den EU-Mitgliedsstaaten sowie weiteren Länder Europas in Zusammenarbeit derzeit spezifische Anwendungsfälle entwickeln und pilotieren. Beteiligt sind rund 360 Einrichtungen. Technologische Grundlage ist der von der eIDAS Expert Group vorgelegte Werkzeugkasten, der u.a. die am 7. März 2024 von der Europäischen Kommission vorgestellte, jüngste Version des „Architecture and Reference Framework“ (ARF) umfasst.

Michael Doujak, Product Manager bei Airlock, Quelle: Airlock

Self Sovereign Identities

Self Sovereign Identities (SSI) sind ein innovativer Ansatz wie Einzelpersonen ihre digitalen Identitäten selbst kontrollieren und verwalten. Im Kern geben SSI dem Einzelnen die volle Verfügungsgewalt über seine persönlichen Daten und ermöglicht es ihm, diese selektiv und ohne Einschalten von dritten Vermittlern an vertrauenswürdige Stellen weiterzugeben. Das Konzept sorgt nicht nur für mehr Privatsphäre und Sicherheit, sondern schafft auch die Voraussetzungen für eine integrativere und dezentralere digitale Landschaft.

Im Gegensatz zu herkömmlichen Systemen, die in der Regel auf nationale Grenzen beschränkt sind und der staatlichen Aufsicht unterliegen, funktionieren die SSI auf globaler Ebene. Das bedeutet, dass Einzelpersonen ihre Identität geltend machen und nahtlos über Grenzen hinweg auf Dienste zugreifen können, unabhängig von geopolitischen Grenzen oder rechtlichen Beschränkungen. Der technologische Ansatz verspricht das Vertrauen und die Transparenz bei digitalen Interaktionen zu fördern. Wenn jeder Einzelne die Kontrolle über seine eigene Identität hat, verringert sich die Abhängigkeit von zentralisierten Stellen und minimiert das Risiko von Datenschutzverletzungen und Identitätsdiebstahl. Dieser Wandel hin zu einem nutzerzentrierten Identitätsmanagement stärkt die Privatsphäre der Nutzer.

Quelle: Airlock, Ergon Informatik 2024

Abbildung 1: Eigenschaften und Nutzen von SSI im Überblick

Digitalisierung und Vertrauen

Das Streben nach Digitalisierung stellt sowohl Behörden als auch Firmen vor gewaltige Herausforderungen. Budgets und Fachpersonal werden in umfangreiche Projekte gesteckt, um Anwendungsfälle zu lösen. Bei vielen dieser Projekte ist es jedoch schwierig, einen ausreichenden Nutzen nachzuweisen, um den Aufwand zu rechtfertigen. Ein Beispiel ist die Digitalisierung der Steuerformularerfassung. Hierbei handelt es sich um einen Prozess, der eine genaue Identifizierung der Bürger für eine Dienstleistung erfordert, die nur einmal im Jahr in Anspruch genommen wird. Noch verwirrender ist der Fall der elektronischen Gesundheitsakte. Während ein kleiner Teil der Bevölkerung häufig mit dem Gesundheitssystem interagiert und von den Vorteilen elektronischer Aufzeichnungen profitiert, hat die Mehrheit der Bürger über Jahre hinweg nur minimale oder gar keinen Kontakt.

Die Bedeutung der SSI gehen jedoch über die Identitätsüberprüfung hinaus – sie umfasst die nahtlose digitale Nutzung von Berechtigungsnachweisen ohne zwischengeschaltete Unterbrechungen. Jede Dateneinheit eines Ausweises wird von seinem Aussteller authentifiziert, was ihm ein ähnliches Maß an Glaubwürdigkeit verleiht ähnlich traditionellen Papierdokumenten wie Reisepässen. Folglich müssen die Empfänger nicht die Informationen selbst überprüfen, sondern lediglich die Authentizität der ausstellenden Stelle. Dieser doppelte Vorteil erhöht die Datenqualität im Vergleich zu vom Benutzer ausgefüllten Formularen und macht eine manuelle, ausgelagerte oder automatisierte Überprüfung überflüssig, was die Prozesse vereinfacht und die Kosten senkt.

Die sich entwickelnde Landschaft der überprüfbaren Bescheinigungen wirft interessante Fragen zur rechtlichen Haftung auf. Da die Emittenten die Integrität ihrer Nachweise sicherstellen müssen, werden Sorgfaltsprüfungen unumgänglich. Dieser Wandel wird das Entstehen von Ökosystemen fördern, die eigene Standards für Datenqualität und Vertrauenswürdigkeit haben. Diese Standards werden als Maßstäbe für die Bewertung des Vertrauens durch Dritte dienen und den Grad der Zuverlässigkeit eines Ausweises signalisieren.

Entscheidend ist, dass SSI keine inhärenten Beschränkungen aufweisen, die den Nachweis auf nationale Gerichtsbarkeiten oder bestimmte Ökosysteme beschränken. Diese inhärente Flexibilität ist eine der Stärken der SSI, da sie aufgrund ihres Interoperabilitätsprinzips weltweit einsetzbar ist. SSI sollen geografische Beschränkungen überwinden und nahtlose Interaktionen und Transaktionen auf globaler Ebene ermöglichen. In dem Maße, in dem Akteure aus allen Sektoren diese transformative Technologie annehmen, hat die SSI das Potenzial, die digitale Interaktion zu revolutionieren und eine besser vernetzte und effizientere globale Landschaft zu fördern.

Absicherung digitaler Identitäten durch SSI

Digitale Signaturen, wie sie auf Dokumenten oder in X.509-Zertifikaten verwendet werden, können genutzt werden, um die Aktivitäten der unterzeichnenden Parteien nachzuverfolgen. Um zu verhindern, dass Empfänger verifizierter Berechtigungsnachweise digitale Signaturen verwenden, um die Eigentümer verifizierter Berechtigungsnachweise über verschiedene Anwendungsfälle hinweg zu verfolgen, unterstützt SSI kryptografische Algorithmen, die diese Schwachstelle beseitigen und die Unverknüpfbarkeit der Daten garantieren. Es ist jedoch immer noch möglich, Einzelpersonen auf der Grundlage von Informationen, die sie mit Empfängern teilen, zu verfolgen. In bestimmten Anwendungsfällen lässt sich dies allerdings auch schlichtweg nicht vermeiden.

Verifizierbare Berechtigungsnachweise sind kryptografisch signiert. Dadurch wird sichergestellt, dass jeder Versuch, die in einem verifizierbaren Berechtigungsnachweis enthaltenen Daten zu verändern, sofort erkannt wird («manipulationssicher»). Kryptografische Signaturen bieten auch die Möglichkeit, die Aussteller von verifizierbaren Berechtigungsnachweisen eindeutig zu identifizieren und somit die Vertrauenswürdigkeit der Daten zu bewerten.

Die sogenannte selektive Offenlegung erfolgt mithilfe fortschrittlicher Kryptografie. So können Eigentümer bei jeder Transaktion entscheiden, welche der auf den verifizierbaren Berechtigungsnachweisen gespeicherten Daten freigegeben und welche nicht freigegeben werden sollen. Bestimmte Implementierungen unterstützen auch den Null-Wissen-Beweis. Auf der Grundlage von Informationen, die in den verifizierbaren Berechtigungsnachweisen enthalten sind (z. B. das Geburtsdatum), ist es möglich, abgeleitete Informationen offenzulegen (z. B. dass Volljährigkeit gegeben ist), ohne jedoch die zugrundeliegenden Daten offenzulegen.

Fazit

SSI bieten eine vielversprechende Lösung, die traditionelle Grenzen überschreitet, indem sie dem Einzelnen die Kontrolle über seine digitalen Identitäten gibt und die Interoperabilität über Grenzen hinweg fördert. Die Technologie verspricht nicht nur die Beziehungen zwischen Behörden und Bürgern, sondern auch die Interaktionen innerhalb von Firmen zu revolutionieren.

Sie bergen großes Potenzial für die Rationalisierung von Prozessen, die Verbesserung der Sicherheit und die Förderung des Vertrauens in digitale Transaktionen. Von der Eingabe von Steuerformularen bis hin zu elektronischen Gesundheitsakten bieten sie eine solide Grundlage für komplexe Anwendungsfälle und minimieren gleichzeitig die mit zentralisierten Systemen verbundenen Datenschutzbedenken.

Weitere Informationen zum Thema:

[datensicherheit.de, 05.09.2022] Laut einer aktuellen Stellungnahme vom eco – Verband der Internetwirtschaft e.V. fordert eco-Vorstand Prof. Norbert Pohlmann: „Nationale Alleingänge vermeiden. Nutzerfreundlichkeit und offene Standards sollten im Mittelpunkt stehen, um Akzeptanz digitaler Identitäten und offenen Wettbewerb zu fördern.“ Eine aktuelle eco-Studie zeigt demnach, dass vielen Menschen verfügbaren digitalen Behördendienste zu kompliziert und zu unsicher sind – Bürger wünschten sich von Behörden mehr Online-Services (60%), besseres Nutzungserlebnis (76%) und Gewährleistungen für die Sicherheit (77%).

Foto: eco e.V.

Prof. Norbert Pohlmann: Nutzerfreundlichkeit und offene Standards sollten im Mittelpunkt stehen, um Akzeptanz digitaler Identitäten und offenen Wettbewerb zu fördern!

eco sieht als wichtigen Grund für die Zurückhaltung das ausbaufähige Nutzungserlebnis

Ob zur digitalen Abgabe der Steuererklärung oder zur Online-Anmeldung eines Fahrzeugs: „Wer digitale Behördendienste nutzen möchte, muss sich online einloggen und identifizieren – beispielsweise auf Basis des eID-Verfahrens mit dem neuen elektronischen Personalausweis.“ Doch nur ein Drittel der Menschen in Deutschland nutze überhaupt solche digitalen Behördendienste, so ein Ergebnis der Studie „Security & digitale Identitäten in einer digitalisierten Welt“, von eco 2022 in Zusammenarbeit mit dem Analystenhaus techconsult erstellt.

Ein wichtiger Grund für die Zurückhaltung sei das ausbaufähige Nutzungserlebnis (User Experience), das viele Menschen (76%) mit behördlichen Online-Diensten verbinden würden. Insbesondere die mangelhafte Struktur und Auffindbarkeit der Online-Angebote halte viele zurück. „Mit einem ,funktioniert’ ist es nicht getan“, stellt Professor Pohlmann fest: „Die Menschen erwarten einen vergleichbaren Komfort und die einfache Bedienbarkeit, die sie aus ihren täglich genutzten kommerziellen Anwendungen gewöhnt sind – am Rechner genauso wie auf dem Smartphone.“

Vor allem für ältere Menschen stelle die Bedienbarkeit eine wichtige Anforderung dar. Während beispielsweise in der Altersklasse bis 49 Jahre etwas mehr als zwei Drittel die Bedienbarkeit als wichtigen Faktor erachteten, seien es bei Älteren um die 90 Prozent.

eco warnt: Viele Menschen bezweifeln Sicherheit der eigenen Daten

Ungeklärte Fragen hinsichtlich des Datenschutzes und der Datensicherheit spielten außerdem für 47 Prozent eine große Rolle, die gegen den Einsatz von sogenanntem E-Government-Diensten sprächen. Hierbei seien vor allem ältere Menschen tendenziell deutlich besorgter, als dies bei jüngeren der Fall sei. Für Unsicherheit sorge dabei der aktuelle Wildwuchs digitaler Identitäten: Ein Drittel der Bürger verwalte aktuell mehr als zehn verschiedene Benutzerkonten, um Internetdienste zu nutzen. Jeder Zehnte verfüge sogar über mehr als 20 Benutzerkonten.

Diese durch eine universelle Identität abzulösen, komme für die allermeisten (77%) erst bei Gewährleistung der Sicherheit dieser Identität infrage. „Hochsensible persönliche Daten preiszugeben, ist eine große Hürde für jeden Menschen“, unterstreicht Professor Pohlmann und führt aus: „Wenn diese beispielsweise durch Sicherheitslücken in die falschen Hände oder unberechtigt an die Öffentlichkeit gelangen, führt dies zu massiven Schäden und Vertrauensverlusten.“

Es sei grundsätzlich gut, dass die Bundesregierung das Thema digitale Identitäten in ihrer Digitalstrategie aufgreife und als Priorität benenne. Entsprechende Projekte müssten aber im Zusammenhang mit der geplanten EUid und der Evaluation der eIDAS-Verordnung in Brüssel gedacht werden, um nationale Alleingänge zu vermeiden. „Nutzerfreundlichkeit und offene Standards sollten dabei im Mittelpunkt stehen, um die Akzeptanz digitaler Identitäten und einen offenen Wettbewerb zu fördern“, betont Professor Pohlmann.

Abbildung: eco / techconsult

eco-Studie: Hürden für die Nutzung digitaler Identitäten

Laut eco grundsätzlich hohe Akzeptanz für digitale Behördendienste

Viele digitale Behördendienste würden die Menschen demnach gerne nutzen, wenn sie denn zur Verfügung stünden. Knapp 60 Prozent der Bürger seien mit der Anzahl der verfügbaren Dienste unzufrieden. Ganz oben auf der Wunschliste der Bürger seien die Ausstellung von Ausweisen und Pässen (53%), die An- oder Ummeldung des Wohnsitzes (53%) sowie Dienste zum Ausstellen von allgemeinen Dokumenten wie der Geburtsurkunde (50%) und die Kfz-Zulassung (50%). Aber auch nahezu alle anderen möglichen Dienste würden grundsätzlich hohe Akzeptanz genießen. Beispielsweise seien heute knapp ein Viertel der Bürger Briefwähler und forderten die Wahlunterlagen digital über das Portal ihrer Gemeinde an.

Die Öffentlichen Verwaltungen selbst böten primär Dienste zur Beantragung von staatlichen Leistungen gegenüber Unternehmen und Bürgern an (33%). Dahinter folgten Dienste für die Steuererklärung (25%) sowie die elektronische Ausstellung des Führerscheins (23%), die An- oder Ummeldung des Wohnsitzes (23%) die Anforderung von Wahlunterlagen (23%) und die Ausstellung allgemeiner Dokumente (23%).

Die Verfügbarkeit von Diensten solle in Zukunft noch stark ansteigen. So planten beispielsweise 27 Prozent der Kommunen, welche bisher noch keine digitalen Dienste für Bürger anböten, in Zukunft erste Angebote einzuführen. Hier eigneten sich insbesondere bereits in anderen Kommunen etablierte Dienste wie die Ausstellung von Ausweisen und Pässen oder die digitale An- oder Ummeldung des Wohnsitzes. Diese eco-Studie stehe vollständig zum Download zur Verfügung. Das Analystenhaus techconsult habe im Frühjahr 2022 zur Erstellung rund 300 Bürger, 170 Unternehmen und 40 Öffentliche Verwaltungen befragt.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Security & digitale Identitäten in einer digitalisierten Welt / Potenziale und Hürden bei der Nutzung digitaler Identitäten

[datensicherheit.de, 14.08.2018] Auf 3,33 Millionen Euro belaufen sich laut der Studie „Cost of a Data Breach 2018“ des Ponemon-Instituts die durchschnittlichen Kosten einer Datenpanne – Tendenz weiter steigend. Verlorene Geschäftschancen, Wiederherstellung aufgewendeter Arbeitsstunden und negative Auswirkungen auf die Reputation zählen zu den Kostentreibern. Verstöße gegen die Datensicherheit finden täglich statt, lassen sich zunehmend schlechter erkennen und somit schwerer verhindern. Mit jedem erbeuteten Datensatz verdienen Hacker bares Geld, zerstören unternehmerische Existenzen und bescheren der Weltwirtschaft empfindliche Einbußen: Bitkom beziffert allein die jährlichen Schäden der deutschen Wirtschaft auf 55 Milliarden Euro. IT-Sicherheitslücken und Datenschutzverletzungen betreffen alle Branchen, am stärksten jedoch die Energiewirtschaft, das Gesundheits- und Bankwesen sowie den öffentlichen Sektor. 81 % aller Verstöße haben laut dem 2017 Data Breach Investigation Report von Verizon ihre Ursache in laxem Umgang mit Passwörtern. Um sich vor Angriffen zu schützen und finanzielle Risiken zu senken, empfehlen die IT-Sicherheitsexperten von KeyIdentity die Multifaktor-Authentifizierung, kurz MFA.

Passwort keine Hürde

Im Zuge der Digitalisierung nimmt sowohl im privaten als auch im beruflichen Umfeld die Anzahl digitaler Identitäten massiv zu. Die Vielzahl dieser Accounts trägt dazu bei, dass Internetnutzer identische Passwörter mehrfach verwenden. Dies erhöht die Wahrscheinlichkeit, dass Hacker beispielsweise über ein Spielerforum Zugriff auf Logins am Arbeitsplatz erbeuten. Hinzu kommt die Forderung nach immer komplexeren Kennungen, ohne sie notieren zu dürfen. Später fällt das Erinnern oft schwer. 26 Passwörter brauchte ein Anwender schon im Jahr 2012 im Schnitt für seine Zwecke. Logisch, dass das gleiche Passwort oder der Einsatz mit kleinen Änderungen mehrfach Anwendung findet. Cyberkriminelle kennen die Muster und die Schwachstellen von Passwörtern. Sie sind leicht zu hacken, werden sogar im Team geteilt, lassen sich schwer merken, kommen bei mehreren Konten zum Einsatz, weisen eine geringe Entropie auf, sind somit vorhersagbar und halten Wörterbuchangriffen nicht stand.

Multiple Faktoren schützen Identitäten

Weil ein Login mit Nutzernamen und Passwort angesichts der informationstechnischen Expertise der Datendiebe schon lange keine Sicherheit mehr bietet, empfiehlt unter anderem das National Institute of Standards and Technology (NIST) Regierungsorganisationen und Bundesbehörden die viel sicherere Multifaktor-Authentifizierung. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht sich für das Verfahren aus. MFA nutzt mindestens zwei voneinander unabhängige Komponenten, sogenannte Token, im Anmeldeverfahren. Ob Hardware-Token, beispielsweise persönlicher USB-Stick oder Fingerabdruck-Scanner, oder Push-Token, die zeitlich beschränkte Einmal-Codes via Mobiltelefon generieren – sie ergänzen die bisherigen Login-Daten und erschweren durch die kombinierte Nutzung den Identitätsdiebstahl erheblich. KeyIdentity geht mit seiner MFA-Lösung noch einen Schritt weiter, denn der Open-Source-Ansatz schließt Backdoors weitestgehend und reduziert Sicherheitslücken im Quelltext. Damit ermöglicht die Lösung eine einfache Auditierung und entspricht den Anforderungen von Institutionen mit höchsten Sicherheitsanforderungen. Die modulare Architektur und das skalierbare Design helfen IT-Security-Abteilungen, ihre MFA flexibel zu gestalten und zukunftssicher aufzustellen. Gerade Unternehmen, die auf mehrere Use-Cases wie die Absicherung von Mitarbeitern und Kunden angewiesen sind, setzen auf die Sicherheitslösung „Made in Germany“. Bestehende Authentifizierungsdienste integrieren die IT-Spezialisten aus Weiterstadt innerhalb kürzester Zeit, sodass sie für eine Implementierungsdauer von zwei Tagen bürgen. Dank einfacher Bedienbarkeit und überlegter Wahl der Token erreicht die KeyIdentity-Software schnell die Akzeptanz der Anwender.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2018
Digitale Wirtschaft: Identitätsbetrug vermeiden

datensicherheit.de, 25.04.2018
Identitätsdiebstahl: Die unterschätzte Gefahr mit weitreichenden Folgen

datensicherheit.de, 08.03.2017
Mensch und IT: Vom Risiko- zum Sicherheitsfaktor

datensicherheit.de, 07.02.2017
Digitale Identitäten müssen bewusst geschützt werden

datensicherheit.de, 07.04.2014
Erneuter großangelegter Identitätdiebstahl: BSI informiert Betroffene

Von unserer Gastautorin Christine Schönig

[datensicherheit.de, 23.01.2014] Seit Dienstag, 21.01.2014,  warnt das BSI davor, dass Hacker sich Zugriff zu 16 Millionen digitalen Identitäten verschafft haben und rät Nutzern dazu ihre E-Mail-Adressen zu überprüfen. Wir sehen nicht nur die Gefahr, dass E-Mail-Accounts gehackt wurden und über diese Konten Spam-E-Mails verschickt wurden. In unseren 3D Security Reports decken wir immer wieder Botnetze auch in Unternehmen auf, die bislang nicht entdeckt wurden. Bis zu 63% der von uns im Rahmen des letzten Reports überprüften Organisationen weltweit hatten mehrere mit einem Bot infizierte Rechner. Aus diesem Grund raten wir dazu, nicht nur den Rechner von Malware zu bereinigen, die E-Mail-Adresse zu überprüfen und das Passwort zu ändern. Vielmehr sehen wir die Gefahr, dass Hacker sich Zugriff auf diese Datensätze mit Trojanern verschafft haben und das durch Drive-by-Download, Zero-Day-Attacks, Phishing und anderer Tools auch in Zukunft weiter tun werden.

Unternehmen mit sensiblen Daten sollten daher einen Multi-Layer-Security Ansatz fahren, um einen Multi-Layer-Angriff zu adressieren. Hierbei sollten die unterschiedlichen Software Blades miteinander kombiniert werden: ThreatEmulation, um Zero-Day-Attacken vorzubeugen, URL Filtering & Application Control ergänzen den Schutz gegen eine Drive-by-Download-Gefahr,  funktional ergänzend durch DLP und AntiBot, um den  Datenverlust und die unerlaubte Kommunikation aus dem Firmennetz einzuschränken. Generell sollten Unternehmen zusätzlich Data Loss Prevention-Lösungen zum Schutz von sensiblen Daten einsetzen und ihre Daten zuvor klassifizieren. Dieser kombinierte Sicherheits-Ansatz wird verhindern, dass sich in Zukunft unter den betroffenen E-Mail-Adressen auch die von Unternehmen befinden.

© Check Point

Christine Schönig

Die Autorin:

Christine Schönig ist seit 2009 Technical Managerin bei Check Point Software Technologies GmbH.

Weitere Informationen zum Thema:

datensicherheit.de, 21.01.2014
Identitätsdiebstahl: BSI bietet Sicherheitstest für E-Mail-Adressen

datensicherheit.de, 10.12.2013
IT-Sicherheit für alle Unternehmensgrößen relevant