Foto: BioID AG
Obwohl Identitäts- und Access-Management (IAM) kein neues Thema ist, hat es in der jüngeren Vergangenheit als Querschnittsfunktion stark an Bedeutung gewonnen. Seine wichtigsten Treiber sind drei tief greifende Megatrends: Globalisierung, Digitales Leben und neue Konsummuster. Die Globalisierung führt zu einer deutlichen Ausweitung von unternehmens- und länderübergreifenden Geschäftsprozessen, für die eindeutige Identifikationen respektive gut abgesicherte Zugriffe auf IT-Ressourcen nötig sind. Das Digitale Leben, also die Entwicklung, die zwischenmenschliche Kommunikation zunehmend ins Internet zu verlagern, sorgt dafür, dass Menschen aus Gründen der Wiedererkennbarkeit ihre reale oder wahlweise auch pseudonymisierte Identität in die virtuelle Welt mitnehmen. Neue Konsummuster - wie das Shareconomy-Modell "Teilen statt Haben" - machen es notwendig, Besitz bedarfsgerecht zur Verfügung zu stellen. Das gelingt aber nur, wenn der Zugriff hierauf schnell und einfach bereitgestellt werden kann - und das ist ohne ein funktionierendes IAM-System kaum denkbar.
Aktuelle Entwicklungen
Neben den langfristigen Trends spielen speziell auf die IT-Nutzung bezogene Entwicklungen eine wichtige Rolle. Aktuell ist zu beobachten, dass immer mehr lokale Daten in die Cloud verlagert werden, während eine wachsende Zahl unterschiedlichster Endgeräte (PC, Notebook, Smartphone, Tablets, Fernseher etc.) auf diese zugreifen. Trends wie "Bring your own Device" zeigen schon jetzt, dass es in naher Zukunft selbstverständlich sein wird, auf alle privaten und geschäftlichen Daten von allen Endgeräten und allen Orten der Welt zuzugrei-fen. Das betrifft Programme und Anwendungen genauso wie Kontakte, E-Mails, Musikdateien, Tabellen, Fotos, Notizen, Grafiken, Urkunden und Bankdaten. Diese Entwicklung stellt immer größere Anforderungen an das Management von Identitäten und Zugriffsrechten, denen mit neuen Technologien und innovativeren Nut-zungskonzepten begegnet werden muss.
Die Authentifizierung wird vielfältiger
Identitätsnachweise in der digitalen Welt lassen sich in drei Faktoren unterteilen:
Den Nachweis von Wissen, beispielsweise durch eines beiden Seiten bekannten Geheimnisses wie in der Kombination Username/Passwort
Den Nachweis eines Besitzes, also beispielsweise einer Smartcard mit Schlüssel
den Nachweise eines bestimmten physischen, also eines biometrischen Merkmals wie eines Fingerabdrucks
Der Trend geht zur Kombination von mindestens zwei dieser Nachweisarten - der Zwei-Faktor-Authentifizierung. Diese erfolgt immer häufiger kontextsensitiv - beispielsweise nach Ort, Zeit oder Gerät. Der Authentifizierungsweg gestaltet sich zudem immer nutzerfreundlicher - beispielsweise via optimierter Smartcards, mobileTAN oder photoTAN. Bei den beiden letztgenannten Verfahren werden die Zugriffscode auf die eine oder andere Weise auf das Smartphone des Anwenders geschickt.
Mobile Endgeräte
Foto: vege; Huseyin Bas, Fotolia; HID Global; NXP; NFCWorld; Deutscher Sparkassen- und Giroverband
Das zeigt, dass mobile Endgeräte als Identitätstoken stark an Bedeutung gewinnen. Ein gutes Beispiel, diesen Trend zu belegen, ist die wachsende Zahl der Möglichkeiten, das Smartphone als persönliche Geldbörse samt aller Ausweisdokumente zu verwenden. Das geschieht einerseits mit der Hilfe softwarebasierter Token, die auf das Endgerät geladen werden, um einen eindeutigen Identitätsnachweis erbringen zu können. Andererseits wird seit einigen Jahren bereits viel Hoffnung in den Funkstandard NFC (Near Field Communication) gesteckt, der sowohl eine Zweifaktor-Authentifizierung im Bereich Identitätsnachweis (Kombination aus Smartcard und Mobiltelefon) als auch im Bereich sicherer Zahlungsprozesse ermöglichen könnte. Die Zahl "gelebter" NFC-Anwendungsfälle ist aber noch überschaubar - so wird die Technologie beispielsweise bereits in einigen Skipässen eingesetzt. Im Kreditkarten- und Nahverkehrsbereich befindet sich vieles noch in der Pilotphase.
Biometrie
Die bereits erwähnten biometrischen Faktoren als Identifikationsmerkmal gewinnen ebenfalls an Bedeutung. Eindeutige körperliche Charakteristika werden einmalig abgescannt, in ebenso eindeutige Prüfsummen umgewandelt, in Datenbanken hinterlegt und zur Wiedererkennung ihrer Besitzer verwendet. Zu den bekanntesten Verfahren für Personen zählen Fingerabdruck-, Iris- und Gesichtserkennung. Weitere Möglichkeiten sind Venenmuster-, Gang-, Tippmuster- oder Unterschriftenerkennung. Ebenso ist die biometrische Identifizierung von Objekten möglich - beispielsweise anhand ihrer Form, Farbe, Oberfläche, Material oder Gewicht.
In der Entwicklung befinden sich inzwischen auch Verfahren, die die Pseudonymisierung und Widerrufbarkeit von biometrischen Identitäten erlauben wie beispielsweise das EU-Projekt "Turbine" (Trusted Revocable Biometric Identities). Am Fraunhofer-Institut für Produktionsanlagen und Konstruktionstechnik (IPK) wird darüber hinaus im Rahmen des SMI-Projekts (Secure Mobile Identity) erforscht, wie sich verschiedene Identitätsnachweise über mobile Endgeräte miteinander kombinieren lassen.
Foto: EU-Projekt Turbine / Screenshot Simon Hülsbömer
Neue Token und Smartcards
Der Bereich der physischen Zugangstoken ist einer der IAM-Klassiker, bringt aber dennoch immer wieder Innovationssprünge hervor. War es in den letzten Jahren die Einführung kontaktloser, NFC-fähiger Token und Karten, so werden es in den kommenden Jahren insbesondere integrierte Karten und Token sein, die Eingabe- und teils auch Ausgabefelder direkt integrieren. Beispiele für Eingabefelder sind Nummernblöcke, Unterschriftsfelder oder Biometrieleser. Als Ausgabefelder lassen sich OLED-Displays und ePaper nennen. Die Fraunhofer-Institute für Zuverlässigkeit und Mikrointegration (IZM) sowie für Angewandte Polymerforschung (IAP) arbeiten im Rahmen des "Secudis"-Projekts (Secure Digital Identity Solutions) beispielsweise daran, Sensor- und Display-Technologie mit neuen Antennen und Chips zusammenzuführen. Ziel soll sein, digitale Ausweisdokumente zukunftstauglich zu machen und bereits die nächste Stufe nach nPA (neuer Personalausweis) und elektronischem Reisepass zu erforschen.
Single-Sign-On und Federation
Durch die wachsende Bedeutung von digitalen Services haben Anwender heutzutage eine zunehmende Anzahl an unterschiedlichen digitalen Identitäten und Zugangstoken, die sie verwalten müssen. Damit sie sich nicht x-fach authentifizieren müssen, wurde vor Jahren das Single-Sign-On-Konzept entwickelt. Mittels einmaliger Authentifizierung ist so der Zugriff auf alle Dienste und Systeme möglich, für das ein Anwender die Berechtigung besitzt.
- One person, many identities
Die Vielzahl an digitalen Identitäten und Passwörtern, die ein Nutzer bewältigen muss, lässt sich durch Single-Sign-On (SSO) reduzieren. Im Idealfall reicht eine Zugangskontrolle für alle genutzten Anwendungen. Dies kann zum Beispiel eine biometrische Zugangskontrolle sein wie bei BioID. - Twitter - Sign in
Social-Media-Dienste wie Twitter bieten sich als Identitätsdienst an, so dass zum Beispiel die Twitter-Zugangsdaten auch für andere Online-Dienste genutzt werden können - vorausgesetzt, diese unterstützen die Anmeldung über Twitter. - Alternative Mozilla Persona
Neben dem Identitätsdienst OpenID bietet sich auch Mozilla Persona an, um einheitliche Anmelde-Verfahren bei mehreren Webseiten zu schaffen. - One E-Mail to rule 'em all
Bei Mozilla Persona dient die E-Mail-Adresse des Nutzers als eindeutiges Kennzeichen, über das verschiedene Anmelde-Verfahren auf Webseiten vereinheitlicht werden können. - ClaimID OpenID
Einer der führenden Identitätsdienste im Internet ist OpenID. Dieser wird auch von zahlreichen Identitätsmanagement-Lösungen unterstützt, die Unternehmen für das interne Netzwerk und für Cloud-Dienste einsetzen. - CA CloudMinder
Die Lösung CA CloudMinder bietet Single-Sign-On für eine Vielzahl von Anwendungen, ob im eigenen Netzwerk oder in der Cloud. Zusätzlich werden Self-Service-Funktionen angeboten, mit denen die Nutzer zum Beispiel selbst ein Passwort zurücksetzen können. - SecureAuth IdP
Für die SSO-Lösung SecureAuth IdP gibt es spezielle mobile Apps, mit denen sich die SSO-Zugänge auch über mobile Geräte nutzen lassen. - Aveska MyAccess Mobile
Für die SSO-Plattform MyAccessLive gibt es mobile Zugriffsmöglichkeiten, mit denen Administratoren Nutzeranfragen zu neuen oder geänderten Zugängen mobil bearbeiten können.
Im Gegsnsatz dazu versteht sich der Ansatz der föderierten Identität als eine "zusammengefasste" Identität, die sich über mehrere Systeme erstreckt. Es wird eine Föderation verschiedener Dienstanbieter etabliert, um dem Nutzer einen vereinfachten Zugang zu gewährleisten. Identitätsinformationen werden in verschiedenen Systemen vorgehalten und genutzt. Dies ermöglicht eine vernetzte Nutzerverwaltung, bei der die eigentlichen Identitätsinformationen jedoch stets auf dem jeweiligen System verbleiben. Einheitliche Datenstandards stellen die bedarfsbezogene Nutzung und Austauschbarkeit sicher.
Nutzerzentrierung
Je häufiger sich Anwender Social-Engineering-Angriffen, Phishing oder Man-in-the-Middle-Attacken ausgesetzt sehen, desto vorsichtiger werden sie in der Entscheidung, wem sie noch ihre Daten anvertrauen können, um eine Identität nachzuweisen. Die Vertrauenswürdigkeit digitaler Identitäten leidet zusehendes. Wenn es darum geht, einen Authentifizierungsprozess transparent zu gestalten oder ihn gar nutzerseitig beeinflussen zu können, rückt der Einzelne immer stärker in den Hintergrund. Internetanbieter fordern Identitäten ein, weisen sich dem Nutzer gegenüber jedoch selbst äußerst selten eindeutig aus. Die Bereitschaft, neue Technologien im Web zu nutzen, sinkt.
Um dieser Entwicklung entgegenzuwirken, wurden Ansätze entwickelt, die den Nutzer wieder in den Mittelpunkt des Geschehen zurück bringen sollen: die nutzerzentrierte Identität. Nutzerzentriertes Identitätsmanagement sieht den einzelnen Anwender als wichtigste Instanz im Identifizierungsprozess und versucht insbesondere seine persönlichen Daten und Attribute und damit seine Privatsphäre zu schützen. Ein vertrauenswürdiger Identitätsprovider, der bestimmte Attribute des Nutzers kennt, erstellt einen passgenauen Nachweis, ein so genanntes Sicherheitstoken, das genau (und nur) die Daten enthält, die der Nutzer einem bestimmten Anbieter senden möchte. Ein Beispiel für einen solchen Identitätsprovider ist das Projekt "myID.privat" des Fraunhofer-Instituts für Offene Kommunikations-Systeme (FOKUS).
Foto: myID.privat - Fraunhofer FOKUS
Fazit
Identitäts- und Access-Management gewinnt mit der zunehmenden Digitalisierung stark an Bedeutung. Die Anwender stehen zahlreichen neuen Technologien und Trends gegenüber, ohne genau zu verstehen, wie diese funktionieren. Neben der technischen Sicherheit steht daher auch das Vertrauen in die jeweils angewandte Technologie im Vordergrund. Einfachheit und Verständlichkeit sollten daher oberstes Ziel jeder IAM-Anwendung sein - heute genauso wie in Zukunft. Ein komplexer Themenbereich, dem sich das Berliner Fraunhofer-Innovationscluster "Next Generation ID" widmet. (sh)