Aus der Fraunhofer-Forschung
Neue Trends im Identitäts- und Access-Management
Biometrie
Die bereits erwähnten biometrischen Faktoren als Identifikationsmerkmal gewinnen ebenfalls an Bedeutung. Eindeutige körperliche Charakteristika werden einmalig abgescannt, in ebenso eindeutige Prüfsummen umgewandelt, in Datenbanken hinterlegt und zur Wiedererkennung ihrer Besitzer verwendet. Zu den bekanntesten Verfahren für Personen zählen Fingerabdruck-, Iris- und Gesichtserkennung. Weitere Möglichkeiten sind Venenmuster-, Gang-, Tippmuster- oder Unterschriftenerkennung. Ebenso ist die biometrische Identifizierung von Objekten möglich - beispielsweise anhand ihrer Form, Farbe, Oberfläche, Material oder Gewicht.
Foto: EU-Projekt Turbine / Screenshot Simon Hülsbömer
In der Entwicklung befinden sich inzwischen auch Verfahren, die die Pseudonymisierung und Widerrufbarkeit von biometrischen Identitäten erlauben wie beispielsweise das EU-Projekt "Turbine" (Trusted Revocable Biometric Identities). Am Fraunhofer-Institut für Produktionsanlagen und Konstruktionstechnik (IPK) wird darüber hinaus im Rahmen des SMI-Projekts (Secure Mobile Identity) erforscht, wie sich verschiedene Identitätsnachweise über mobile Endgeräte miteinander kombinieren lassen.
Neue Token und Smartcards
Der Bereich der physischen Zugangstoken ist einer der IAM-Klassiker, bringt aber dennoch immer wieder Innovationssprünge hervor. War es in den letzten Jahren die Einführung kontaktloser, NFC-fähiger Token und Karten, so werden es in den kommenden Jahren insbesondere integrierte Karten und Token sein, die Eingabe- und teils auch Ausgabefelder direkt integrieren. Beispiele für Eingabefelder sind Nummernblöcke, Unterschriftsfelder oder Biometrieleser.
Als Ausgabefelder lassen sich OLED-Displays und ePaper nennen. Die Fraunhofer-Institute für Zuverlässigkeit und Mikrointegration (IZM) sowie für Angewandte Polymerforschung (IAP) arbeiten im Rahmen des "Secudis"-Projekts (Secure Digital Identity Solutions) beispielsweise daran, Sensor- und Display-Technologie mit neuen Antennen und Chips zusammenzuführen. Ziel soll sein, digitale Ausweisdokumente zukunftstauglich zu machen und bereits die nächste Stufe nach nPA (neuer Personalausweis) und elektronischem Reisepass zu erforschen.
Single-Sign-On und Federation
Durch die wachsende Bedeutung von digitalen Services haben Anwender heutzutage eine zunehmende Anzahl an unterschiedlichen digitalen Identitäten und Zugangstoken, die sie verwalten müssen. Damit sie sich nicht x-fach authentifizieren müssen, wurde vor Jahren das Single-Sign-On-Konzept entwickelt. Mittels einmaliger Authentifizierung ist so der Zugriff auf alle Dienste und Systeme möglich, für das ein Anwender die Berechtigung besitzt.
- One person, many identities
Die Vielzahl an digitalen Identitäten und Passwörtern, die ein Nutzer bewältigen muss, lässt sich durch Single-Sign-On (SSO) reduzieren. Im Idealfall reicht eine Zugangskontrolle für alle genutzten Anwendungen. Dies kann zum Beispiel eine biometrische Zugangskontrolle sein wie bei BioID. - Twitter - Sign in
Social-Media-Dienste wie Twitter bieten sich als Identitätsdienst an, so dass zum Beispiel die Twitter-Zugangsdaten auch für andere Online-Dienste genutzt werden können - vorausgesetzt, diese unterstützen die Anmeldung über Twitter. - Alternative Mozilla Persona
Neben dem Identitätsdienst OpenID bietet sich auch Mozilla Persona an, um einheitliche Anmelde-Verfahren bei mehreren Webseiten zu schaffen. - One E-Mail to rule 'em all
Bei Mozilla Persona dient die E-Mail-Adresse des Nutzers als eindeutiges Kennzeichen, über das verschiedene Anmelde-Verfahren auf Webseiten vereinheitlicht werden können. - ClaimID OpenID
Einer der führenden Identitätsdienste im Internet ist OpenID. Dieser wird auch von zahlreichen Identitätsmanagement-Lösungen unterstützt, die Unternehmen für das interne Netzwerk und für Cloud-Dienste einsetzen. - CA CloudMinder
Die Lösung CA CloudMinder bietet Single-Sign-On für eine Vielzahl von Anwendungen, ob im eigenen Netzwerk oder in der Cloud. Zusätzlich werden Self-Service-Funktionen angeboten, mit denen die Nutzer zum Beispiel selbst ein Passwort zurücksetzen können. - SecureAuth IdP
Für die SSO-Lösung SecureAuth IdP gibt es spezielle mobile Apps, mit denen sich die SSO-Zugänge auch über mobile Geräte nutzen lassen. - Aveska MyAccess Mobile
Für die SSO-Plattform MyAccessLive gibt es mobile Zugriffsmöglichkeiten, mit denen Administratoren Nutzeranfragen zu neuen oder geänderten Zugängen mobil bearbeiten können.
Dieser Ansatz der föderierten Identität versteht sich als eine "zusammengefasste" Identität, die sich über mehrere Systeme erstreckt. Es wird eine Föderation verschiedener Dienstanbieter etabliert, um dem Nutzer einen vereinfachten Zugang zu gewährleisten. Identitätsinformationen werden in verschiedenen Systemen vorgehalten und genutzt. Dies ermöglicht eine vernetzte Nutzerverwaltung, bei der die eigentlichen Identitätsinformationen jedoch stets auf dem jeweiligen System verbleiben. Einheitliche Datenstandards stellen die bedarfsbezogene Nutzung und Austauschbarkeit sicher.
Nutzerzentrierung
Je häufiger sich Anwender Social-Engineering-Angriffen, PhishingPhishing oder Man-in-the-Middle-Attacken ausgesetzt sehen, desto vorsichtiger werden sie in der Entscheidung, wem sie noch ihre Daten anvertrauen können, um eine Identität nachzuweisen. Die Vertrauenswürdigkeit digitaler Identitäten leidet zusehendes. Wenn es darum geht, einen Authentifizierungsprozess transparent zu gestalten oder ihn gar nutzerseitig beeinflussen zu können, rückt der Einzelne immer stärker in den Hintergrund. Internetanbieter fordern Identitäten ein, weisen sich dem Nutzer gegenüber jedoch selbst äußerst selten eindeutig aus. Die Bereitschaft, neue Technologien im Web zu nutzen, sinkt. Alles zu Phishing auf CIO.de
Foto: myID.privat - Fraunhofer FOKUS
Um dieser Entwicklung entgegenzuwirken, wurden Ansätze entwickelt, die den Nutzer wieder in den Mittelpunkt des Geschehen zurück bringen sollen: die nutzerzentrierte Identität. Nutzerzentriertes Identitätsmanagement sieht den einzelnen Anwender als wichtigste Instanz im Identifizierungsprozess und versucht insbesondere seine persönlichen Daten und Attribute und damit seine Privatsphäre zu schützen. Ein vertrauenswürdiger Identitätsprovider, der bestimmte Attribute des Nutzers kennt, erstellt einen passgenauen Nachweis, ein so genanntes Sicherheitstoken, das genau (und nur) die Daten enthält, die der Nutzer einem bestimmten Anbieter senden möchte. Ein Beispiel für einen solchen Identitätsprovider ist das Projekt "myID.privat" des Fraunhofer-Instituts für Offene Kommunikations-Systeme (FOKUS).
Fazit
Identitäts- und Access-Management gewinnt mit der zunehmenden Digitalisierung stark an Bedeutung. Die Anwender stehen zahlreichen neuen Technologien undTrendsTrends gegenüber, ohne genau zu verstehen, wie diese funktionieren. Neben der technischen Sicherheit steht daher auch das Vertrauen in die jeweils angewandte Technologie im Vordergrund. Einfachheit und Verständlichkeit sollten daher oberstes Ziel jeder IAM-Anwendung sein - heute genauso wie in Zukunft. Alles zu IT Trends auf CIO.de