FAQ

Alles rund um Digitale Identitäten

12.12.2014 von Detlef Flach
In Paris fand Anfang November die Cartes Secure Connexions 2014, eine internationale Leitmesse für digitale Sicherheitslösungen für Zahlungen, Identifikation und Mobilität, statt. Einer der Schwerpunkte der Messe war das Thema "Digitalen Identitäten".

Eine Digitale Identität (kurz Digitale ID) enthält die Merkmale, die eine Person in der realen Welt beschreiben. Es gibt verschiedene Möglichkeiten, eine digitale Identität zu definieren: einerseits auf dem klassischen Weg mit Benutzername und Passwort, andererseits über Verknüpfungen, die persönliche Informationen aus offiziellen Dokumenten ableiten.

Der biometrische Weg: Verifizierung der Identität per Fingerabdruck.
Foto: Cartes Secure Connexions

Eine digitale Identität kann verschiedene Formen haben, von einer einfachen Login/Passwort Kombination bis zu personenbezogenen Daten in offiziellen Dokumenten, die von Behörden ausgestellt werden. Daher können Bürger mehrere digitale Identitäten besitzen, je nachdem welchen Service oder welche Anwendung sie nutzen möchten. Manche Anwendungen benötigen eine digitale Identität, die auf offiziellen Dokumenten basiert (wie Personalausweis, Reisepass oder Führerschein). Andere Anwendungen, wie beispielsweise soziale Netzwerke, kommen auch mit weniger genauen Informationen aus.

Verifiziert werden digitale IDs auf drei verschiedenen Wegen:

Welche Einsatzfelder sind möglich?

In den meisten Fällen definieren Regierungen ein Regelwerk, das die Nutzung von Daten zur elektronischen Identifikation beschreibt. Einsatzbeispiele sind Lösungen für E-Government, E-Health oder beim Online-Handel. Die Nutzung dieser Daten zur elektronischen Identifikation durch Bürger und Verbraucher steigt kontinuierlich an.

Zwei Aspekte sind beim Einsatz der digitalen ID besonders wichtig:

Aufgrund seiner Schlüsselrolle in der Wirtschaft und bei sozialen Kontakten bietet das Management digitaler IDs erhebliches Geschäftspotenzial. Sowohl Staaten als auch Unternehmen und Organisationen benötigen Lösungen - haben sie doch eine Vielzahl an Identitäten zu verwalten: seien es Bürger, Angestellte, Beamte oder, Handelspartner.

Wie funktioniert das chip-basierte ID-Management?

Viele Länder haben Systeme eingeführt, die auf dem Chipkarten-Prinzip bestehen. Sie sind in Ausweisen, Gesundheitskarten oder im Führerschein integriert.

Die digitale ID bringt Nutzern verschiedene Vorteile, wie personalisierte Produkte und Dienste, die den eigenen Bedürfnissen besser angepasst sind. Eine aktuelle Studie der Boston Consulting Group zeigt, dass vor allem sechs Gründe für die Einführung der digitalen Identität relevant sind:

Diese Gründe können auf sehr verschiedene Einsatzgebiete übertragen werden.

Wie werden digitale Identitäten allgemein verwaltet?

Die Verwaltung von digitalen Identitäten ist ein Kernelement von Identifikationssystemen. Diese Systeme sind definiert als ein integriertes Zusammenspiel von Prinzipien, Richtlinien und Prozeduren. So ist es möglich, Identitäten zu erkennen, zu vereinfachen und zu verwalten, um einen Online-Zugang zu verschiedenen Ressourcen, Diensten und Anwendungen bereitzustellen.

Dabei spielen vor allem zwei Aspekte eine wichtige Rolle: Sicherheit und Datenschutz. Identitätsdiebstahl und -missbrauch sind im Internet allgegenwärtig, sodass Authentizitäts- und Validierungsgeräte unumgänglich sind, um Nutzern im privaten und öffentlichen Raum mehr Sicherheit zu bieten. Drei Viertel des ökonomischen Potenzials digitaler Identitäten geht verloren, wenn Anbieter den sicheren Fluss privater Daten nicht garantieren können. Im Gegenzug zu angemessener Kontrolle und einer gewissen Menge an Vorteilen, sind die meisten Nutzer bereit, persönliche Daten zu teilen.

Modernes Identitäts-Management
Beliebige Endgeräte können sich zu jeder Zeit und an jedem Ort anmelden
Unternehmen müssen eine riesige Anzahl von Geräten, Anwendungen, Benutzern und die zahlreichen Beziehungen zwischen diesen unterstützen und dabei über all ihre Berührungspunkte hinweg das gleiche Kundenerlebnis bereitstellen. Heutige Systeme für Identity Relationship Management können fast beliebige internetfähige Geräte, darunter Laptops, Touchpads und sogar Autos, sowie neue mobile und soziale Apps mit einer zentralen Sicherheitsplattform verbinden, die Identitätssynchronisierung und Einmalanmeldung (Single Sign-On, SSO) jederzeit, überall, vor Ort oder in der Cloud ermöglicht.
Bereitstellung kontextsensitiver Dienste
Ein Log-in ist heute nicht mehr eine einfache Ja-/Nein-Entscheidung. Mehrere Faktoren sollten darüber bestimmen, ob ein Benutzer Zugriff erhält - und falls ja, in welchem Umfang und worauf. Ein Unternehmen kann zum Beispiel sein IRM-System so einrichten, dass es je nach Situation eine zusätzliche Authentifizierungsangaben erfordert, wenn sich jemand von einem neuen Gerät oder einem anderen Land anmeldet.<br /><br /> Kontextsensitivität erhöht den Wert digitaler Dienste. Das In-Car-Portal von Toyota ist sich zum Beispiel immer im Klaren darüber, welcher Autobesitzer gerade auf die Plattform zugreift und wo sich Fahrer und Fahrzeug gerade befinden. Auf diese Weise kann das System Tankstellen empfehlen, einen Parkplatz finden, Echtzeit-Verkehrsinformationen bereitstellen und bei Umleitungen die Strecke neu berechnen. Andere Dienste können eine große Auswahl von Kontextdaten wie Standort, Uhrzeit, Kundendatensatz, Temperatur, Gerät und praktisch alle sonstigen Informationen nutzen, um die Interaktionen mit Benutzern individuell anzupassen.
Skalierung auf Tausende oder sogar Millionen von Identitäten
Da IRM-Systeme für den Zugriff auf Dienstleistungen für Kunden entwickelt wurden, bieten sie von Haus aus Kapazitäten für Tausende oder Millionen von Identitäten. Sie ermöglichen die schnelle Verifizierung dieser Identitäten sowie ihrer Berechtigungen. Immer mehr Benutzern, Geräten und Dingen wird netzwerkweit eine Identität zugeordnet. IRM hilft Unternehmen dabei, eine unkontrollierte Zunahme von Anmeldeinformationen zu vermeiden sowie einen nahtlosen und reaktionsschnellen Zugriff zu gewährleisten.
Offenheit und Sicherheit von Open Source
Eine gute IRM-Plattform ist als integrierte, zusammenhängende System- und Lösungsinfrastruktur konzipiert, die speziell entwickelt wurde, um komplexen Anforderungen Rechnung zu tragen. Open-Source-Lösungen sind gut geeignet, um der paradoxen Herausforderung gerecht zu werden. Sie können sowohl Offenheit als auch Sicherheit auf einer einheitlichen, hochskalierbaren Plattform bereitstellen. Und sie können mit praktisch jedem Gerät verbunden werden – auch mit verschiedenen Versionen gleichartiger Geräte. Erfahrenen Architekten zufolge sind sie zudem sicherer, weil Entwickler in der Lage sind, sicherheitsbezogene Programmfehler schneller zu identifizieren und zu beheben als bei Legacy-Closed-Source-Plattformen.
Schnellere Umsetzung neuer Geschäftsmodelle
Jedes Unternehmen will wachsen. Doch Unternehmen, die dafür Konsumente ansprechen und als neue Kunden gewinnen wollen, kommen dabei oft an Grenzen, weil es aufwändig ist, hunderttausende von Kunden adäquat in der IT abzubilden. Die früher gängigen Identitäts-Lösungen lassen sich nicht in diesem Maße skalieren. Da Verbraucher stärker personalisierte Dienstleistungen verlangen, müssen sich Unternehmen Identitäten zunutze machen, um visionäre Ideen in Anwendungen zu verwandeln. Mit einem schlüssigen, ausgereiften IRM können Unternehmen schnell Lösungen bereitstellen, die mit jedem beliebigen Gerät für Millionen von Kunden funktioniert. Ein für das Internetzeitalter designtes Identitäts-Management ist also das Fundament, auf dem Unternehmen Innovationen bauen.

Welche Rolle spielt der Datenschutz?

Je stärker die Digitalisierung die Gesellschaft durchdringt, desto wichtiger wird der Umgang mit dem Datenschutz. Jeder Mensch hinterlässt ständig digitale Spuren der eigenen Tätigkeiten und Interessen - häufig, ohne sich bewusst zu sein, dass es sich dabei um Identitätsmarker handelt.

Mittlerweile werden sich die Bürger der Risiken mehr und mehr bewusst. In letzter Zeit gab es digitale Projekte und Dienste, die stark kritisiert und von öffentlichen Protesten begleitet wurden. Beispiele sind Facebooks Privatsphären-Einstellung, die Analyse der Kommunikation durch die Marketingagentur Phorm in Großbritannien, die Umsetzung von Google Street View, allgemeine Speicherung von Personendaten und weitere Fälle.

Wenn auf diese Probleme keine befriedigenden Antworten gefunden werden, entsteht in der Öffentlichkeit mit hoher Wahrscheinlichkeit ein Klima des Argwohns oder sogar Misstrauens. Dadurch können wichtige Entwicklungen im ITK-Sektor bedroht oder aufgehalten werden.

Einige Felder, die von solchen Einschränkungen betroffen sein könnten, sind: Home Automation, der Energiesektor (intelligente Stromzähler), personalisierte Gesundheitsdaten, Online-Werbung und personalisierte Dienste (kommerzielle Internetprovider), Geolocation (zukünftig ein Pool neuer Dienste) und soziale Netzwerke.

Datenschutz: So setzen Sie die die geltenden Richtlinien um
Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren.
Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant.
Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein.
Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon.
Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.

Lösungsansätze bieten die sogenannten Privacy Enhancing Technologies (PETs) durch die zwei Prinzipien Minimierung und Souveränität.

Um Datenschutzlösungen zu erstellen, braucht man spezialisierte Kenntnisse in Feldern wie beispielsweise Sicherheit, Netzwerke, Datengewinnung, Kryptografie und Programmierung. Gute Lösungen hängen außerdem von der Verknüpfung verschiedener Technologien und Disziplinen wie Recht und den Sozialwissenschaften ab.

Die Arbeit in diesem Feld schließt auch die Entwicklung von Technologien ein, die stufenweise Daten löschen, temporär Daten im Internet erstellen (Recht auf Vergessen), Methoden zum Ausdruck von Konsens entwickeln und Gesundheitsdaten verwalten können.

Und die Biometrie?

Eine der wichtigsten Funktionen digitaler IDs ist die Möglichkeit einer starken Authentifizierung der Anwender. Biometrische Daten wurden früher nur sehr selten eingesetzt, beispielsweise um sicherheitsrelevante Websites zu schützen oder zur Personenverifizierung mittels Fingerabdruck durch die Polizei. Heute lassen sich diese Technologien auch für öffentliche Anwendungen wie Mobiltelefonie oder den Handel einsetzen.

In einer digitalen Gesellschaft wird ein Risikomanagement mit zusätzlichen Garantien benötigt, um personenbezogene Daten zu schützen. So werden beispielsweise Sensoren zur Erfassung biometrischer Informationen verstärkt in Smartphones und Tablets eingebaut.

Die einfache Nutzung ist einer der größten Vorteile von biometrischen Daten. Jedoch ist das Vertrauen in den Umgang mit diesen Daten immer noch ein heikles Thema bei den Anwendern. Sie stehen der Aufnahme und Nutzung von Fingerabdrücken, insbesondere im öffentlichen Raum und durch die Polizei, skeptisch gegenüber. Unter diesen Umständen müssen Anbieter, die biometrische Sensoren in ihre Geräte integrieren, Transparenz für ihre Nutzer garantieren, um Misstrauen, vor allem in Industrienationen, vorzubeugen.

Mindestens genauso wichtig ist es, die Zuverlässigkeit biometrischer Daten nachzuweisen. Gerade bei weitverbreiteten Geräten offenbaren Angriffe häufig Lücken. Deshalb sollten Gegenmaßnahmen von Anfang an eingeplant werden, vor allem bei Diensten, die leicht zu knacken sind, wie der Gesichtserkennung. Mögliche Angriffe verunsichern Entwickler und Nutzer, beispielsweise auch in Hinblick auf biometrische Datenbanken. Aufgrund von Sicherheitswerkzeugen wie Smart Cards wird dennoch erwartet, dass biometrische Daten bis zum Jahr 2020 im alltäglichen Leben so stark verbreitet sind, dass der Nutzer sie schon gar nicht mehr wahrnimmt.

Es ist zu erwarten, dass biometrische Faktoren eine zunehmend wichtigere Rolle spielen. Schon heute kommen sie bei Fingerabdruckscannern am Smartphone, im Auto, an der Supermarktkasse oder am Flughafen zum Einsatz. (sh)