Home » Fachbeiträge » Security Management » Datensouveränität statt Datendiktatur

Datensouveränität statt Datendiktatur

Um sich im Internet für die Inanspruchnahme einer Serviceleistung ausweisen zu können, benötigen Anwender eine digitale Identität. Derzeit werden diese zentral, entweder bei einem Identity-Provider oder beim Anbieter der Serviceleistung selbst, gespeichert und verwaltet.

5 Min. Lesezeit
Foto: ©AdobeStock/Kiattiporn

Advertorial

In aller Regel ergeben sich daraus für die Identity-Provider, die Service-Provider und die Endnutzer selbst zahlreiche Nachteile. Vorteilhafter ist ein anderer Ansatz: die dezentrale Speicherung, Verwaltung und Nutzung der digitalen Identitäten – beim Endnutzer selbst.

Dezentrale vs. zentrale digitale Identitäten

Um sich im Internet für die Inanspruchnahme einer Serviceleistung ausweisen zu können, benötigen Anwender eine digitale Identität. Derzeit werden diese zentral, entweder bei einem Identity-Provider oder beim Anbieter der Serviceleistung selbst, gespeichert und verwaltet. In aller Regel ergeben sich daraus für die Identity-Provider, die Service-Provider und die Endnutzer selbst zahlreiche Nachteile. Vorteilhafter ist ein anderer Ansatz: die dezentrale Speicherung, Verwaltung und Nutzung der digitalen Identitäten – beim Endnutzer selbst.

Um online Serviceleistungen in Anspruch nehmen zu können – etwa die eines Shops, einer Bank oder einer Behörde – müssen Nutzer sich zuvor mit einer digitalen Identität ausweisen. Die unterschiedlichsten personenbezogenen Daten, wie Name, Anschrift, Telefonnummer, Emailadresse, Kunden-, Steuer- oder Mitarbeiternummer und vieles mehr, können Teil einer solchen digitalen Identität sein. Da Nutzer meist mehrere Online-Services nutzen, jeder Online-Service über eine eigene – mal interne, mal externe – Identitätsquelle verfügt, besitzen sie eine Vielzahl digitaler Identitäten – und haben diese nur selten wirklich unter Kontrolle.

Der traditionelle Ansatz – zentrale Identitäten

Denn in aller Regel ist ihre jeweilige digitale Identität bei den Identity- und Service-Providern abgespeichert. Zur Registrierung beim Anbieter hat der Nutzer sie dort abgelegt. Nun wird die digitale Identität von der zentralen Identitätsquelle des jeweiligen Anbieters verwaltet und genutzt. Nach der Anmeldung hat der Nutzer auf sie in aller Regel keine direkte Einwirkungsmöglichkeit mehr. Zur Aktualisierung der ID muss er mit der Identitätsquelle seines Identitäts- oder Service-Anbieters kooperieren, wenn es um Datensicherheit und Datenschutz geht, ihm sogar vollumfänglich vertrauen.

Nachteile der Datenüberlassung an den Anbieter

Dieser traditionelle Ansatz hat mehrere Nachteile – nicht nur für die Identity- und Service-Provider, sondern auch für die Nutzer der Serviceleistungen selbst.

Die Anwender…

  • … sorgen sich um ihren Datenschutz: Leicht kann es bei Identity- und Service-Providern zu Datenschutzverletzungen kommen. Eine Kontrolle darüber, was mit den Daten geschieht und wer sie einsehen kann, haben Nutzer meist nicht. Während der Interaktion mit dem Online-Service erzeugen die Nutzer zudem Daten, die der Anbieter dann ebenfalls in der digitalen Nutzeridentität hinterlegen, verwalten und nutzen kann.
  • … erleben Mängel bei der Datensicherheit: Da alle Identitätsdaten zentral bei einer Identitätsquelle gelagert werden – ein lukratives Angriffsziel – ist das Risiko, dass Kriminelle diese attackieren, um an das gesamte Datenpaket zu kommen, relativ hoch. Außerdem bestehen beim Identity- und beim Service-Provider, sowie beim Nutzer zahlreiche Ansatzmöglichkeiten, Identitätsdaten einzelner Nutzer zu übernehmen und Identitätsbetrug zu begehen.
  • … vermissen Nutzerfreundlichkeit: Die Verwaltung der verschiedenen Identitätsdaten, zum Beispiel von Login-Namen und Passwörtern, ist umständlich und komplex. Nicht zuletzt, da die meisten Internetnutzer – schon bedingt durch die Vielzahl der Identity- und Service-Provider – eine erhebliche Zahl digitaler Identitäten besitzen.

Die Anbieter…

  • … fürchten um Datenschutz und Datensicherheit: Da die Identitätsdaten beim Anbieter lagern, hat er die Verantwortung für die Einhaltung der Compliance-Vorgaben zu Datenschutz und Datensicherheit. Er trägt das Risiko – sollte den echten Daten eines Nutzers etwas zustoßen oder ein Nutzer falsche Daten eingeben, um Betrug zu begehen.
  • … vermissen Integrierbarkeit: Da die Strukturen relativ starr sind, können mit zentralen digitalen Identitäten nicht schnell und unkompliziert neue Geschäftsmöglichkeiten erschlossen werden.
  • … sehen Nachteile für das Nutzungserlebnis: Denn die strengen Authentifizierungsprozesse bremsen die User und Customer Experience aus.

Der Ausweg: Identitäten dezentralisieren

Diese Schwachstellen können mit dem Ansatz der dezentralen Identitäten, auch als Decentralized Identities (DCIs) bekannt, ausgeräumt werden. Zunächst einmal kann der Nutzer hier von Dritt-Parteien (Issuers), wie Behörden, Banken, Universitäten, verifizierte Identitätsdaten, sogenannte Verifiable Credentials, anfordern.

Der Issuer sendet diese an den Nutzer (Holder) und zusätzlich Daten – die die Echtheit der Verifiable Credentials bestätigen – in ein für Service-Anbieter (Verifiers) von außen zugängliches Register. Die Verifiable Credentials kann der Holder dann in einer verschlüsselten digitalen Wallet, auf seinem Smartphone, sammeln, speichern, verwalten und nutzen.

Will er nun auf den Service eines Verifiers zugreifen, stellt er eine Anfrage, worauf der Verifier alle zur Erbringung dieser speziellen Leistung relevanten Identitätsattribute, zum Beispiel Alter und Führerscheinnummer, abfragt. Der Holder selbst entscheidet dann, ob er diese Identitätsattribute an den Verifier als Beweis weiterleiten will. Wenn ja, werden auf Basis der vorhandenen Verifiable Credentials sogenannte dezentrale Identifikatoren (DIDs) als Beweis zusammengestellt und an den Anbieter verschickt. Der kann diese dann anhand des vom Issuer zuvor angelegten Registereintrags auf ihre Echtheit hin überprüfen.

Hat sich die Echtheit der Verifiable Credentials bestätigt, erhält der Holder vom Verifier ein neues Credential, das er in der Wallet und der Verifier in seiner Identitätsquelle speichert. Ab sofort kann sich der Holder dann auch über das Credential beim Verifier einwählen – ohne dass dieser in irgendeiner Form personenbezogene oder personenbeziehbare Daten abgespeichert haben müsste.

Decentralized Identities – Features eines demokratischen Identitätsmanagements

Die Nutzung dezentraler Identitäten bietet zahlreiche Vorteile…

… sowohl für Identity- und Service-Provider …

  • Datenschutz und Datensicherheit: Beides lässt sich effektiver und effizienter umsetzen. Da sich die Daten nicht mehr beim Anbieter befinden, sinkt sein Risiko, Opfer eines Angriffs zu werden und gegen Compliance-Vorgaben zu verstoßen. Da sich zudem auch die verifizierten Credentials mit einem Gesichtsscan oder Fingerabdruck kombinieren lassen, kann auch das Betrugsrisiko stärker eingedämmt werden.
  • Integrierbarkeit: Dezentrale Identitäten können organisch wachsen. Neue Anwendungsfälle – und damit Geschäftsmodelle – können schnell und unkompliziert erschlossen werden. Letztlich kann jeder jedem Identitätsattribute, Zugangsberechtigungen und Zertifikate ausstellen – zum Beispiel ein Nachbar einem anderen eine vorübergehende Nutzungsberechtigung seiner Garage oder seines Autos einräumen.
  • Nutzungserlebnis: Das Wegfallen von Passwörtern und strengen Authentifizierungsprozessen und das Hinzukommen von Transparenz steigert sowohl die User als auch die Customer Experience.

… als auch für die Endnutzer:

  • Datenschutz: die Nutzer sind die alleinigen Besitzer und Verwalter ihrer Identitätsdaten. Nur sie können ihre personenbezogenen und personenbeziehbaren Daten einsehen und bei Bedarf teilen – ohne, dass Dritte davon erfahren und nur insoweit, wie sie es möchten.
  • Datensicherheit: Da ein Angriff auf die Identitätsdaten einzelner Nutzer weniger lukrativ ist, sinkt das Risiko, Opfer eines Identitätsdiebstahls zu werden. Auch ist die Angriffsfläche weniger umfangreich.
  • Nutzerfreundlichkeit: Mit einer Wallet wird die Verwaltung der eigenen digitalen Identität für Nutzer deutlich vereinfacht. Informationen werden zusammengeführt und für den Besitzer transparent geführt und verwaltet.

Fazit

Dezentrale Identitäten sind zentralen Identitäten in vierfacher Hinsicht überlegen: Datensicherheit, Datenschutz, Datensouveränität und Anwenderfreundlichkeit. Ihre Einführung wird die Online-Präsenz aller Branchen nachhaltig verändern, neue Geschäftsmodelle eröffnen und den Kunden die Souveränität über ihre Daten zurückgeben.

Porträtfoto Autor Mehmet Yaliman_Ping Identity

Mehmet Yaliman, Principal Solutions Architect bei Ping Identity

Andere interessante Fachbeiträge

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.

Pentests: Fusionen, Übernahmen und Expansionen absichern

Das schnelle Wachstum von Unternehmen, sei es durch Fusionen, Übernahmen oder einfach durch Expansion, kann zu unbekannten Schwachstellen führen. Penetrationstests sind der Schlüssel zur Identifizierung dieser Sicherheitslücken.