"Identiversum"

Identitäts-Management im Internet der Dinge

Michael Neumayr ist Regional Sales Manager Central Europe bei Ping Identity.
Je mehr Geräte im "Internet of Things" miteinander vernetzt sind und dafür eine eigene Identität bekommen, desto wichtiger ist es, dass dieses "Identiversum" angemessen verwaltet wird.

Gartner bezeichnet das "Internet of Everything" als eine der wichtigsten strategischen Unternehmenstechnologien für 2014 und sagt für 2020 bereits 25 Milliarden Geräte voraus, die mit dem Internet verbunden sein werden. Um eines mit dem anderen verbinden zu könne, braucht alles im Identiversum eine Identität - vergleichbar mit dem elektronischen Identitätsnachweis des Personalausweises. Ganz gleich, ob Smartphone, klassischer PC, Kabelanschluss, Wi-Fi-Drucker, Auto - nicht zuletzt ein jeder von uns. Deshalb machen sämtliche Spekulationen und Diskussionen über das sogenannte Internet of Things (IoT) keinen Sinn, bevor sich nicht alle Beteiligten darüber einig sind, dass jeder Endpunkt im Netzwerk eine Identität braucht. Bis dahin ist es aber vermutlich noch ein weiter Weg, da dieser Schritt - für die Bereitung einer gemeinsamen Grundlage - von den meisten ignoriert, das IoT dafür schon umso heißer diskutiert wird.

Das Internet der Dinge ist mit Hinblick auf Netzwerke das Äquivalent zum Urknall. Das Geschäftsleben in der digitalen Wirtschaft ist von Natur aus domänenübergreifend, die IT-Sicherheit ist es noch nicht. Das Ergebnis? Ein Universum von Menschen, Anwendungen und Geräten, die chaotisch und unsicher nebeneinander stehen und darüber hinaus Billionen von Passwörtern, die das Ganze zusätzlich verkomplizieren und unsicher machen. Die Identität ist hier der Schlüssel zu einer einfachen und sichereren Handhabe mit einem offenen, auf Standards basierenden Identitäts-Framework.

Es geht schon lange nicht mehr darum, die IT-Sicherheit im Unternehmen nach außen hin abzuriegeln. Es geht vielmehr um die Schaffung neuer Möglichkeiten und gleichzeitig das große Potenzial des eigenen Identiversums im Unternehmen zu nutzen. Das Identiversum ist im Idealfall eine perfekte digitale Welt der Menschen, Anwendungen und Geräte, die sich alle gegenseitig erkennen und im Stande sind, miteinander zu interagieren. Wenn ein Bewusstsein darüber herrscht, dass alle Lösungen und Geräte eine Identität besitzen und der Zugriff allgegenwärtig möglich ist, dann bietet das Identiversum höchste Sicherheit und Freiheit, um das volle Potenzial einer digitalen Wirtschaft zu realisieren.

Folgende Voraussetzungen müssen erfüllt sein:

1. Alles hat eine Identität (Anwendungen, Geräte, Personen)

Um eine Verbindung zu einem "Ding" innerhalb des Netzwerks des Internets der Dinge herzustellen, sollte jedem "Ding" eine Identität zugewiesen werden. Ist diese Verbindung einmal hergestellt, lässt sich der Ursprung einer jeden Nachricht oder Aktion transparent nachvollziehen, so dass bekannt ist, dass das "Ding Z" mit der Identität X im Namen von Nutzer(n) Y handelt. Theoretisch könnten Hersteller oder Händler diese Anbindung durch eine Art Identitätsnachweis bereits vor dem eigentlichen Kauf vorbereiten. Praktisch passiert das aber meistens erst, wenn die Anwendung oder das Gerät nach Hause gebracht wurde. Der Identitätsnachweis kann verschiedene Formen annehmen und ist abhängig davon, ob das "Ding" über eine Benutzerschnittstelle verfügt oder ob es direkt mit einer Cloud-Anwendung zusammenarbeitet - im Unterschied zu der Verbindung über ein Smartphone oder einen Computer.

Schon heute ist jeder von uns selbst mit dutzenden digitalen Identitäten unterwegs. Es wird nicht mehr lange dauern, bis auch alle "leblosen" Alltagsgeräte eine eigene "Identität" haben.
Schon heute ist jeder von uns selbst mit dutzenden digitalen Identitäten unterwegs. Es wird nicht mehr lange dauern, bis auch alle "leblosen" Alltagsgeräte eine eigene "Identität" haben.
Foto: BioID AG

2. Multifaktor-Authentifizierung als Schlüssel zum Erfolg

Die sichere und beständige Identifizierung eines Nutzers ist essenziell für die korrekte Zuweisung von Nutzungsrechten und somit unersetzlich für die effektive Kontrolle von Zugriffen auf Applikationen oder Web-basierte Dienste. Die Kompatibilität von Authentifizierungsmechanismen zu vorhandenen Anwendungen und IAM-Infrastrukturen in Unternehmen kann eine Herausforderung sein. Insbesondere wenn eine Firma bereits Multifaktor-Authentifizierung einsetzt, die sich von denen des Cloud-Providers unterscheidet. An dieser Stelle kommen Identity-as-a-Service-Provider zum Zug, da diese eine Kombinationen aus Authentifizierung und Autorisierung anbieten.

3. APIs sind allgegenwärtig

Wie diese Verbindung zwischen den einzelnen Bestandteilen innerhalb des Internet der Dinge zustande kommt, kann unterschiedlich sein. Das Passwort eines Benutzers an das "Ding" zu übergeben - oder dies über einen Proxy Gateway zu gestalten - ist sicherlich nicht die optimalste Vorgehensweise. Das Passwort wird dann für die API-Aufrufe verwendet, womit alle Probleme im Zusammenhang mit der Verwendung von Passwörtern einhergehen.

4. Standards sind überall

Besser ist da der Rückgriff auf ein Modell, das auf dem OAuth-Standard basiert. Die Reihenfolge könnte wie folgt aussehen: Ein "Ding" innerhalb des Internet der Dinge erfragt beim Cloud-Server einen Access-Token und teilt gleichzeitig seine eigene Kennung mit. Der Cloud-Server wiederum protokolliert den Nutzer, weist dem "Ding" einen Token zu und speichert diese Verbindung von "Ding" mit einem Nutzer. Daraufhin nutzt das "Ding" den Token für API-Anfragen an die Cloud. Mit einer solchen Vorgehensweise gehen zwei Vorteile einher: Zum einen kann der Nutzer über den Zugriff entscheiden - etwa welchen Anwendungen oder Geräten innerhalb des Internet der Dinge Zugriff gestattet wird. Zum anderen kann der Nutzer bei Bedarf eine Entscheidung widerrufen, beispielsweise wenn er eines der Dinge verliert, verkauft oder es gestohlen wird.

5. Der Zugriff sollte Federated, also von verschiedenen Geräten und Standorten aus, gestaltet werden

Anwender nutzen in der heutigen Arbeitswelt zunehmend mobile und Web-Applikationen. Weil sie dabei immer mehr Informationen zu ihrer Identität an die Zielapplikationen weitergeben, müssen Entwickler immer umfangreichere Programme schreiben. In der Folge steigt die Komplexität der Anwendungen; Kosten und Aufwand für die Entwicklung nehmen zu, gleichzeitig leidet die Skalierbarkeit. Lösungen die das OpenID-Connect-Framework verwenden, sorgen für Kompatibilität zu den verschiedenen APIs. Entwicklern können so Informationen aus bereits bestehenden Identitätsmanagement-Lösungen durchgängig sicher nutzen - auch für Cloud- und mobile Apps. Denn um im heutigen Markt bestehen zu können, sollten Unternehmen ihre Kunden, Lieferanten und Partner in ihre geschäftlichen Prozesse einbinden können. Gleichzeitig wollen SaaS-Anbieter ihre Anwendungen nahtlos in die vorhandene Security- und Identitätsmanagement-Infrastruktur ihrer Geschäftskunden integrieren. Die Herausforderung besteht gleichermaßen darin, die benötigten Cross-Domain-Verbindungen aufzubauen und gleichzeitig allen Anforderungen in punkto Sicherheit und Zweckmäßigkeit gerecht zu werden.

6. Datenschutz ist möglich

Indem jedem "Ding" eine Identität zugewiesen wird, können alle Zugriffe transparent nachvollzogen werden. Früher rief allein die Namensänderung eines Mitarbeiters einen großen administrativen Aufwand hervor - längst nicht alle Systeme konnten einheitlich abgeglichen werden. Heute ist es dagegen möglich, derartige Änderungen über Synchronisationsmechanismen zu einem Identity Management hin zu übermitteln, die die notwendige Datenänderung an alle beteiligten Systeme weiterleitet. Die Komplexität dieses Prozesses nimmt mit der Unternehmensgröße stark zu. Je mehr Identitäten und Berechtigungen es zu verwalten gilt, desto wichtiger ist das IAM. Sogenannte Identity-Management-Architekturen kommen hier zum Einsatz. Diese Softwarekomponenten verwalten die Identitäten und deren Zugriffsrechte. Die reine Synchronisation von personenbezogenen Daten können einfache Systeme erfüllen. Umfassendere Architekturen binden darin sogar Workflow-Prozesse ein - so kann ein hierarchisches Genehmigungs-Modell von Vorgesetzten zum Einsatz kommen, um Datenänderungen umsetzen zu können.

Offene Schnittstellen

Die Neuerungen, die das Internet der Dinge hervorbringt, werden momentan noch eher als Hindernis denn als Chance verstanden. Um diese Hürden zu überwinden, ist ein neues Framework in Form von Protokollen oder Standards notwendig, das Problemkonstellationen mit der domänenübergreifenden Interaktion angeht und so den Blick auf die Vorteile richtet. Denn wir sind heute mit einer Reihe von großen neuen Aspekten konfrontiert - nimmt man beispielsweise das Zusammenspiel vom Internet der Dinge auf der einen und der Notwendigkeit von Identitäten auf der anderen Seite. Dieses Aufeinandertreffen benötigt der genauen Definition. Die bisherigen Standards OAuth und OpenID Connect können die Grundlage für den Konsens bilden, von dem aus weiter voran geschritten werden muss. OAuth ist heute ein Weg zur Steuerung von Anwendungen, die in Namen von anderen Personen handeln. Das Internet der Dinge braucht ein ähnlich logisches Konzept, das standardisiert ist, um trotzdem das große Ganze im Blick behalten zu können.

Besorgnis erregend ist momentan aber die sogenannte Gut gegen Böse-Debatte, die mit der Diskussion um das Internet der Dinge mitschwingt. Aber nicht jede Lösung die etwas Neues ermöglicht, bietet zwangsläufig Übeltätern die Chance daraus Profit zu schlagen - beziehungsweise ist aus diesem Grund nicht von vorherein abzulehnen.

Firmen benötigen für die IT-Sicherheit einen ganzheitlichen Ansatz. Der einzelne Nutzer steht dabei immer im Mittelpunkt der meisten Geschäftsprozesse und häufig ist es von Bedeutung, ob er derjenige ist, für den er sich ausgibt oder ob er die entsprechenden Zugriffsrechte hat. Zentral ist: Seine Identität, nicht seine Geräte oder Anwendungen, sollten im Mittelpunkt des Sicherheitskonzeptes stehen. Moderne IAM- und Single-Sign-On-Lösungen gehen auf viele dieser Bedarfe ein. Durch die Verwendung von SSO-Lösungen als On-Demand-Service können Unternehmen jeder Größe von diesen Vorteilen profitieren. (sh)