Aus der Fraunhofer-Forschung

Neue Trends im Identitäts- und Access-Management

Jens Fromm leitet das Kompetenzzentrum "Öffentliche IT" am Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) in Berlin.
Jan Ziesing leitet das Fraunhofer-Innovationscluster "Next Generation ID" am Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) in Berlin.
Wohin geht die Reise in den Bereichen Identitätsverwaltung und Authentifizierung? Anhand aktueller Entwicklungen im IT-Markt und laufender Forschungsprojekte lassen sich einige Prognosen anstellen.
Im Rahmen der wachsenden Zahl digitaler Identitäten steigt die Bedeutung des IAM immens.
Im Rahmen der wachsenden Zahl digitaler Identitäten steigt die Bedeutung des IAM immens.
Foto: BioID AG

Obwohl Identitäts- und Access-Management (IAM) kein neues Thema ist, hat es in der jüngeren Vergangenheit als Querschnittsfunktion stark an Bedeutung gewonnen. Seine wichtigsten Treiber sind drei tief greifende Megatrends: Globalisierung, Digitales Leben und neue Konsummuster. Die Globalisierung führt zu einer deutlichen Ausweitung von unternehmens- und länderübergreifenden Geschäftsprozessen, für die eindeutige Identifikationen respektive gut abgesicherte Zugriffe auf IT-Ressourcen nötig sind. Das Digitale Leben, also die Entwicklung, die zwischenmenschliche Kommunikation zunehmend ins Internet zu verlagern, sorgt dafür, dass Menschen aus Gründen der Wiedererkennbarkeit ihre reale oder wahlweise auch pseudonymisierte Identität in die virtuelle Welt mitnehmen. Neue Konsummuster - wie das Shareconomy-Modell "Teilen statt Haben" - machen es notwendig, Besitz bedarfsgerecht zur Verfügung zu stellen. Das gelingt aber nur, wenn der Zugriff hierauf schnell und einfach bereitgestellt werden kann - und das ist ohne ein funktionierendes IAM-System kaum denkbar.

Aktuelle Entwicklungen

Neben den langfristigen Trends spielen speziell auf die IT-Nutzung bezogene Entwicklungen eine wichtige Rolle. Aktuell ist zu beobachten, dass immer mehr lokale Daten in die Cloud verlagert werden, während eine wachsende Zahl unterschiedlichster Endgeräte (PC, Notebook, Smartphone, Tablets, Fernseher etc.) auf diese zugreifen. Trends wie "Bring your own Device" zeigen schon jetzt, dass es in naher Zukunft selbstverständlich sein wird, auf alle privaten und geschäftlichen Daten von allen Endgeräten und allen Orten der Welt zuzugrei-fen. Das betrifft Programme und Anwendungen genauso wie Kontakte, E-Mails, Musikdateien, Tabellen, Fotos, Notizen, Grafiken, Urkunden und Bankdaten. Diese Entwicklung stellt immer größere Anforderungen an das Management von Identitäten und Zugriffsrechten, denen mit neuen Technologien und innovativeren Nut-zungskonzepten begegnet werden muss.

Die Authentifizierung wird vielfältiger

Identitätsnachweise in der digitalen Welt lassen sich in drei Faktoren unterteilen:

  1. Den Nachweis von Wissen, beispielsweise durch eines beiden Seiten bekannten Geheimnisses wie in der Kombination Username/Passwort

  2. Den Nachweis eines Besitzes, also beispielsweise einer Smartcard mit Schlüssel

  3. den Nachweise eines bestimmten physischen, also eines biometrischen Merkmals wie eines Fingerabdrucks

Der Trend geht zur Kombination von mindestens zwei dieser Nachweisarten - der Zwei-Faktor-Authentifizierung. Diese erfolgt immer häufiger kontextsensitiv - beispielsweise nach Ort, Zeit oder Gerät. Der Authentifizierungsweg gestaltet sich zudem immer nutzerfreundlicher - beispielsweise via optimierter Smartcards, mobileTAN oder photoTAN. Bei den beiden letztgenannten Verfahren werden die Zugriffscode auf die eine oder andere Weise auf das Smartphone des Anwenders geschickt.

Mobile Endgeräte

Hochgelobt, aber noch immer nicht auf breiter Front gelebte Praxis: der Funkstandard NFC.
Hochgelobt, aber noch immer nicht auf breiter Front gelebte Praxis: der Funkstandard NFC.
Foto: vege; Huseyin Bas, Fotolia; HID Global; NXP; NFCWorld; Deutscher Sparkassen- und Giroverband

Das zeigt, dass mobile Endgeräte als Identitätstoken stark an Bedeutung gewinnen. Ein gutes Beispiel, diesen Trend zu belegen, ist die wachsende Zahl der Möglichkeiten, das Smartphone als persönliche Geldbörse samt aller Ausweisdokumente zu verwenden. Das geschieht einerseits mit der Hilfe softwarebasierter Token, die auf das Endgerät geladen werden, um einen eindeutigen Identitätsnachweis erbringen zu können. Andererseits wird seit einigen Jahren bereits viel Hoffnung in den Funkstandard NFC (Near Field Communication) gesteckt, der sowohl eine Zweifaktor-Authentifizierung im Bereich Identitätsnachweis (Kombination aus Smartcard und Mobiltelefon) als auch im Bereich sicherer Zahlungsprozesse ermöglichen könnte. Die Zahl "gelebter" NFC-Anwendungsfälle ist aber noch überschaubar - so wird die Technologie beispielsweise bereits in einigen Skipässen eingesetzt. Im Kreditkarten- und Nahverkehrsbereich befindet sich vieles noch in der Pilotphase.

Biometrie

Die bereits erwähnten biometrischen Faktoren als Identifikationsmerkmal gewinnen ebenfalls an Bedeutung. Eindeutige körperliche Charakteristika werden einmalig abgescannt, in ebenso eindeutige Prüfsummen umgewandelt, in Datenbanken hinterlegt und zur Wiedererkennung ihrer Besitzer verwendet. Zu den bekanntesten Verfahren für Personen zählen Fingerabdruck-, Iris- und Gesichtserkennung. Weitere Möglichkeiten sind Venenmuster-, Gang-, Tippmuster- oder Unterschriftenerkennung. Ebenso ist die biometrische Identifizierung von Objekten möglich - beispielsweise anhand ihrer Form, Farbe, Oberfläche, Material oder Gewicht.

In der Entwicklung befinden sich inzwischen auch Verfahren, die die Pseudonymisierung und Widerrufbarkeit von biometrischen Identitäten erlauben wie beispielsweise das EU-Projekt "Turbine" (Trusted Revocable Biometric Identities). Am Fraunhofer-Institut für Produktionsanlagen und Konstruktionstechnik (IPK) wird darüber hinaus im Rahmen des SMI-Projekts (Secure Mobile Identity) erforscht, wie sich verschiedene Identitätsnachweise über mobile Endgeräte miteinander kombinieren lassen.

Im Rahmen des EU-Projekts "Turbine" (Trusted Revocable Biometric Identities) wurde erforscht, wie sich biometrische Identitäten pseudonymisieren und auch nachträglich widerrufen lassen.
Im Rahmen des EU-Projekts "Turbine" (Trusted Revocable Biometric Identities) wurde erforscht, wie sich biometrische Identitäten pseudonymisieren und auch nachträglich widerrufen lassen.
Foto: EU-Projekt Turbine / Screenshot Simon Hülsbömer

Neue Token und Smartcards

Neben dem elektronischen Reisepass und der Gesundheitskarte sind auch auf dem neuen Personalausweis (nPA) Identitätsdaten in digitaler Form hinterlegt.
Neben dem elektronischen Reisepass und der Gesundheitskarte sind auch auf dem neuen Personalausweis (nPA) Identitätsdaten in digitaler Form hinterlegt.
Foto: BMI

Der Bereich der physischen Zugangstoken ist einer der IAM-Klassiker, bringt aber dennoch immer wieder Innovationssprünge hervor. War es in den letzten Jahren die Einführung kontaktloser, NFC-fähiger Token und Karten, so werden es in den kommenden Jahren insbesondere integrierte Karten und Token sein, die Eingabe- und teils auch Ausgabefelder direkt integrieren. Beispiele für Eingabefelder sind Nummernblöcke, Unterschriftsfelder oder Biometrieleser. Als Ausgabefelder lassen sich OLED-Displays und ePaper nennen. Die Fraunhofer-Institute für Zuverlässigkeit und Mikrointegration (IZM) sowie für Angewandte Polymerforschung (IAP) arbeiten im Rahmen des "Secudis"-Projekts (Secure Digital Identity Solutions) beispielsweise daran, Sensor- und Display-Technologie mit neuen Antennen und Chips zusammenzuführen. Ziel soll sein, digitale Ausweisdokumente zukunftstauglich zu machen und bereits die nächste Stufe nach nPA (neuer Personalausweis) und elektronischem Reisepass zu erforschen.

Single-Sign-On und Federation

Durch die wachsende Bedeutung von digitalen Services haben Anwender heutzutage eine zunehmende Anzahl an unterschiedlichen digitalen Identitäten und Zugangstoken, die sie verwalten müssen. Damit sie sich nicht x-fach authentifizieren müssen, wurde vor Jahren das Single-Sign-On-Konzept entwickelt. Mittels einmaliger Authentifizierung ist so der Zugriff auf alle Dienste und Systeme möglich, für das ein Anwender die Berechtigung besitzt.

Im Gegsnsatz dazu versteht sich der Ansatz der föderierten Identität als eine "zusammengefasste" Identität, die sich über mehrere Systeme erstreckt. Es wird eine Föderation verschiedener Dienstanbieter etabliert, um dem Nutzer einen vereinfachten Zugang zu gewährleisten. Identitätsinformationen werden in verschiedenen Systemen vorgehalten und genutzt. Dies ermöglicht eine vernetzte Nutzerverwaltung, bei der die eigentlichen Identitätsinformationen jedoch stets auf dem jeweiligen System verbleiben. Einheitliche Datenstandards stellen die bedarfsbezogene Nutzung und Austauschbarkeit sicher.

Nutzerzentrierung

Je häufiger sich Anwender Social-Engineering-Angriffen, Phishing oder Man-in-the-Middle-Attacken ausgesetzt sehen, desto vorsichtiger werden sie in der Entscheidung, wem sie noch ihre Daten anvertrauen können, um eine Identität nachzuweisen. Die Vertrauenswürdigkeit digitaler Identitäten leidet zusehendes. Wenn es darum geht, einen Authentifizierungsprozess transparent zu gestalten oder ihn gar nutzerseitig beeinflussen zu können, rückt der Einzelne immer stärker in den Hintergrund. Internetanbieter fordern Identitäten ein, weisen sich dem Nutzer gegenüber jedoch selbst äußerst selten eindeutig aus. Die Bereitschaft, neue Technologien im Web zu nutzen, sinkt.

Um dieser Entwicklung entgegenzuwirken, wurden Ansätze entwickelt, die den Nutzer wieder in den Mittelpunkt des Geschehen zurück bringen sollen: die nutzerzentrierte Identität. Nutzerzentriertes Identitätsmanagement sieht den einzelnen Anwender als wichtigste Instanz im Identifizierungsprozess und versucht insbesondere seine persönlichen Daten und Attribute und damit seine Privatsphäre zu schützen. Ein vertrauenswürdiger Identitätsprovider, der bestimmte Attribute des Nutzers kennt, erstellt einen passgenauen Nachweis, ein so genanntes Sicherheitstoken, das genau (und nur) die Daten enthält, die der Nutzer einem bestimmten Anbieter senden möchte. Ein Beispiel für einen solchen Identitätsprovider ist das Projekt "myID.privat" des Fraunhofer-Instituts für Offene Kommunikations-Systeme (FOKUS).

Das Projekt "myID.privat" stellt den deutschen Bürger in den Mittelpunkt. Forscher versuchen zu ergründen, wie sich digitale Identitätsnachweise in Zukunft - getrennt nach Einsatzzweck - besser einsetzen und auch schützen lassen.
Das Projekt "myID.privat" stellt den deutschen Bürger in den Mittelpunkt. Forscher versuchen zu ergründen, wie sich digitale Identitätsnachweise in Zukunft - getrennt nach Einsatzzweck - besser einsetzen und auch schützen lassen.
Foto: myID.privat - Fraunhofer FOKUS

Fazit

Identitäts- und Access-Management gewinnt mit der zunehmenden Digitalisierung stark an Bedeutung. Die Anwender stehen zahlreichen neuen Technologien und Trends gegenüber, ohne genau zu verstehen, wie diese funktionieren. Neben der technischen Sicherheit steht daher auch das Vertrauen in die jeweils angewandte Technologie im Vordergrund. Einfachheit und Verständlichkeit sollten daher oberstes Ziel jeder IAM-Anwendung sein - heute genauso wie in Zukunft. Ein komplexer Themenbereich, dem sich das Berliner Fraunhofer-Innovationscluster "Next Generation ID" widmet. (sh)