Home » Fachbeiträge » Security Management » Dezentrale vs. zentrale digitale Identitäten

Dezentrale vs. zentrale digitale Identitäten

Datensouveränität statt Datendiktatur - Um sich im Internet für die Inanspruchnahme einer Serviceleistung ausweisen zu können, benötigen Anwender eine digitale Identität. Derzeit werden diese zentral, entweder bei einem Identity-Provider oder beim Anbieter der Serviceleistung, gespeichert und verwaltet.

5 Min. Lesezeit
Bild Silhouetten von Menschen - Digitale Transformation
Foto: ©AdobeStock/metamorworks

In aller Regel ergeben sich daraus für die Identity-Provider, die Service-Provider und für die Benutzer zahlreiche Nachteile. Vorteilhafter ist ein anderer Ansatz: die dezentrale Speicherung, Verwaltung und Nutzung der digitalen Identitäten – beim Endnutzer selbst. Um online Serviceleistungen in Anspruch nehmen zu können – etwa die eines Shops, einer Bank oder einer Behörde – müssen Nutzer sich zuvor mit einer digitalen Identität ausweisen. Die unterschiedlichsten personenbezogenen Daten, wie Name, Anschrift, Telefonnummer, E-Mail-Adresse, Kunden-, Steuer- oder Mitarbeiternummer und vieles mehr, können Teil einer solchen digitalen Identität sein. Da die meisten Menschen mehrere Online-Services nutzen und jeder Service über eine eigene – mal interne, mal externe – Identitätsquelle verfügt, besitzen sie eine Vielzahl digitaler Identitäten und haben diese nur selten wirklich unter Kontrolle.

Der traditionelle Ansatz – zentrale Identitäten

Denn in aller Regel ist ihre jeweilige digitale Identität bei den Identity- und Service-Providern abgespeichert. Nach der Anmeldung hat der Benutzer auf sie meistens keine direkte Einwirkungsmöglichkeit mehr. Zur Aktualisierung der eigenen Daten muss er mit der Identitätsquelle seines Anbieters kooperieren, wenn es um Datensicherheit und Datenschutz geht, ihm sogar vollumfänglich vertrauen.

Dieser traditionelle Ansatz hat mehrere Nachteile – nicht nur für die Identity- und Service-Provider, sondern auch für die Nutzer der Serviceleistungen selbst.

Die Anwender …

  • … sorgen sich um ihren Datenschutz: Leicht kann es bei Identity- und Service-Providern zu Datenschutzverletzungen kommen. Eine Kontrolle darüber, was mit den Daten geschieht und wer sie einsehen kann, haben Nutzer meist nicht. Während der Interaktion mit dem Online-Service erzeugen die Nutzer zudem Daten, die der Anbieter dann ebenfalls in der digitalen Nutzeridentität hinterlegen, verwalten und nutzen kann.
  • … erleben Mängel bei der Datensicherheit: Da alle Identitätsdaten zentral bei einer Identitätsquelle gelagert werden – ein lukratives Angriffsziel – ist das Risiko, dass Kriminelle diese attackieren, um an das gesamte Datenpaket zu kommen, relativ hoch. Außerdem bestehen beim Identity- und beim Service-Provider sowie beim Nutzer zahlreiche Ansatzmöglichkeiten, Identitätsdaten einzelner Nutzer zu übernehmen und Identitätsbetrug zu begehen.
  • … vermissen Nutzerfreundlichkeit: Die Verwaltung der verschiedenen Identitätsdaten, zum Beispiel von Login-Namen und Passwörtern, ist umständlich und komplex. Nicht zuletzt, da die meisten Internetnutzer – schon bedingt durch die Vielzahl der Identity- und Service-Provider – eine erhebliche Zahl digitaler Identitäten besitzen

Die Anbieter …

  • … fürchten um Datenschutz und Datensicherheit: Da die Identitätsdaten beim Anbieter lagern, hat er die Verantwortung für die Einhaltung der Compliance-Vorgaben zu Datenschutz und Datensicherheit. Er trägt das Risiko, wenn den echten Daten eines Nutzers etwas zustoßen sollte oder ein Benutzer falsche Daten eingibt, um Betrug zu begehen.
  • … vermissen Integrierbarkeit: Da die Strukturen relativ starr sind, können mit zentralen digitalen Identitäten nicht schnell und unkompliziert neue Geschäftsmöglichkeiten erschlossen werden.
  • … sehen Nachteile für das Nutzungserlebnis: Denn die strengen Authentifizierungsprozesse bremsen die User und Customer Experience aus.

Der Ausweg: Identitäten dezentralisieren

Diese Schwachstellen lassen sich mit dem Ansatz der dezentralen Identitäten, auch als „Decentralized Identities (DCIs)“ bekannt, ausräumen. Zunächst einmal kann der Nutzer hier von Dritt-Parteien (Issuers), wie Behörden, Banken, Universitäten, verifizierte Identitätsdaten anfordern, sogenannte „Verifiable Credentials“. Der Issuer sendet diese gemeinsam mit zusätzlichen Daten, welche die Echtheit der Credentials bestätigen, an den Nutzer (Holder) in ein für Service-Anbieter (Verifiers) von außen zugängliches Register. Die verifizierten Daten kann der Benutzer dann in einem verschlüsselten digitalen Wallet auf seinem Smartphone sammeln, speichern, verwalten und bei Bedarf verwenden.

Will er nun auf einen Service zugreifen, stellt er eine Anfrage, worauf der Service-Anbieter alle zur Erbringung dieser speziellen Leistung relevanten Identitätsattribute abfragt, zum Beispiel Alter und Führerscheinnummer. Der Nutzer selbst entscheidet dann, ob er diese Identitätsattribute als Beweis weiterleiten will. Wenn ja, werden auf Basis der vorhandenen Verifiable Credentials sogenannte dezentrale Identifikatoren (DIDs) als Beweis zusammengestellt und an den Anbieter verschickt. Der kann diese dann anhand des zuvor angelegten Registereintrags auf ihre Echtheit hin überprüfen. Wenn die Daten echt sind, erhält der Nutzer vom Service-Anbieter ein neues Credential, das er in seiner Wallet und der Service-Anbieter in seiner Identitätsquelle speichert. Ab sofort kann sich der Benutzer dann auch über das Credential beim Service-Anbieter einwählen, ohne dass dieser in irgendeiner Form personenbezogene oder personenbeziehbare Daten abgespeichert hat.

Demokratisches Identitätsmanagement

Die Nutzung dezentraler Identitäten bietet für Identity- und Service-Provider zahlreiche Vorteile:

  • Datenschutz und Datensicherheit: Beides lässt sich effektiver und effizienter umsetzen. Da sich die Daten nicht mehr beim Anbieter befinden, sinkt sein Risiko, Opfer eines Angriffs zu werden und gegen Compliance-Vorgaben zu verstoßen. Da sich zudem die verifizierten Credentials mit einem Gesichtsscan oder Fingerabdruck kombinieren lassen, kann auch das Betrugsrisiko stärker eingedämmt werden.
  • Integrierbarkeit: Dezentrale Identitäten können organisch wachsen. Neue Anwendungsfälle – und damit Geschäftsmodelle – können schnell und unkompliziert erschlossen werden. Letztlich kann jeder jedem Identitätsattribute, Zugangsberechtigungen und Zertifikate ausstellen, zum Beispiel ein Nachbar einem anderen eine vorübergehende Nutzungsberechtigung seiner Garage oder seines Autos einräumen.
  • Nutzungserlebnis: Das Wegfallen von Passwörtern und strengen Authentifizierungsprozessen und das Hinzukommen von Transparenz steigert sowohl die User als auch die Customer Experience.

Aber auch Endnutzer profitieren:

  • Datenschutz: Die Nutzer sind die alleinigen Besitzer und Verwalter ihrer Identitätsdaten. Nur sie können ihre personenbezogenen und personenbeziehbaren Daten einsehen und bei Bedarf teilen, ohne dass Dritte davon erfahren und nur insoweit, wie sie es möchten.
  • Datensicherheit: Da ein Angriff auf die Identitätsdaten einzelner Nutzer weniger lukrativ ist, sinkt das Risiko, Opfer eines Identitätsdiebstahls zu werden. Auch ist die Angriffsfläche weniger umfangreich.
  • Nutzerfreundlichkeit: Mit einer Wallet wird die Verwaltung der eigenen digitalen Identität für Nutzer deutlich vereinfacht. Informationen werden zusammengeführt und für den Besitzer transparent geführt und verwaltet.

FAZIT

Dezentrale Identitäten sind zentralen Identitäten in vierfacher Hinsicht überlegen: Datensicherheit, Datenschutz, Datensouveränität und Anwenderfreundlichkeit. Ihre Einführung wird die Online-Präsenz aller Branchen nachhaltig verändern, neue Geschäftsmodelle eröffnen und den Kunden die Souveränität über ihre Daten zurückgeben.

Porträtfoto Autor Mehmet Yaliman_Ping Identity

Mehmet Yaliman ist Principal Solutions Architect bei Ping Identity.

Andere interessante Fachbeiträge

Herausforderungen bei der Strukturierung sicherheitsrelevanter Logs im SIEM

Bei dem Versuch, die Infrastruktur so sicher wie möglich zu gestalten und vor Angreifern zu schützen, stehen die IT-Sicherheitsteams vor zahlreichen Herausforderungen. Tägliche Änderungen an den IT-Systemen und ständig neue Sicherheitslücken erschweren diese Aufgabe zusätzlich.

Email-Sicherheit

Archivierung und Verschlüsselung von Business-E-Mails für Unternehmen

Ohne E-Mail läuft in Unternehmen nichts: Laut IT-Branchenverband BITKOM gehen in deutschen Unternehmen täglich durchschnittlich 40 E-Mails pro Postfach ein. Dabei tauschen Mitarbeiter häufig sensible Informationen aus, etwa Verträge, Kundeninformationen oder strategische Pläne.

Wie Low-Code nicht zu Low-Security wird

Low-Code soll die Produkteinführungszeit in der Softwareentwicklung verkürzen sowie Business und IT näher zusammenbringen. Doch wie lassen sich gleichzeitig die entsprechenden Sicherheitsstandards einhalten?