Digitale Identitäten spielen im Kommunikations- und Geschäftsverkehr im Internet eine zentrale Rolle. Doch in der Praxis ist es gar nicht so leicht, auf digitalem Weg sicherzustellen, dass ein User wirklich die Person ist, die sie oder er behauptet, zu sein. IT-Sicherheitsexperte Stefan Achleitner und Digital-Identity-Experte Dr. André Kudra von der Firma esatus AG geben uns einen Überblick über aktuelle Lösungen und Konzepte für digitale Identitäten. Beziehungsweise ganz praktisch: sichere Authentifizierung.

Autoren: Stefan Achleitner und Dr. André Kudra;
Aufmacherbild: Pixabay/ar130405

Jeder kennt den Vorgang vom Check-In am Flughafen, man zeigt seinen Pass, es folgt ein Vergleich, ob Passfoto und Gesicht übereinstimmen, und schon ist die Identität festgestellt. So eine Überprüfung einer behaupteten Identität heißt in der Fachsprache auch „Authentifizierung“. In der digitalen Welt ist sie jedoch nicht ganz so einfach. Wir beleuchten, warum die sichere und zuverlässige Feststellung von digitaler Identität ein wichtiger Grundpfeiler für das Funktionieren einer virtuellen Welt ist.

Was ist eine digitale Identität?

In der realen Welt lässt sich die Identität einer Person durch eine Anzahl von Merkmalen feststellen. Dies sind meist körperliche Merkmale – wie das Bild eines Gesichts oder ein Fingerabdruck –, sowie personenbezogene Daten wie Name und Geburtsdatum. In der zwischenmenschlichen Interaktion passiert diese Identifikation bei Familie und Freunden in Sekundenbruchteilen. In der digitalen Welt bestimmen Attribute wie die Kombination von Benutzername und Passwort – etwas, das man weiß – oder die Verwendung eines Tokens – etwas, das man besitzt – eine Identität. Tatsächlich ist dies immer nur eine Näherung an eine sichere Authentifizierung. Denn sein Passwort kann man absichtlich oder unabsichtlich preisgeben oder einen Gegenstand weitergeben. Im Vergleich zur realen Welt ist es virtuell zudem vergleichsweise einfach – und oftmals auch notwendig–, sich mehrere digitale Identitäten zuzulegen.

Jedes Benutzerkonto, das wir online verwenden, zum Beispiel ein Facebook- oder Microsoft-Account, ist eine digitale Identität, die mit einer realen Person verknüpft ist. Bei der großen Anzahl an Portalen und Online-Applikationen verliert man schnell die Übersicht.  Dazu kommt noch, dass von Sicherheitsexperten geraten wird, kein Passwort zweimal zu verwenden. So sind wir sozusagen gezwungen, uns eine Vielzahl von digitalen Identitäten anzulegen und uns diese zu merken. Dass diese aktuelle Situation keine optimale Lösung darstellt, ist offensichtlich

Staatliche Angebote mit Anlaufschwierigkeiten

Ansätze, um diesen Dschungel von digitalen Identitäten zu verbessern, gibt es durchaus. So soll zum Beispiel in der Schweiz ab 2021 eine staatlich geprüfte und anerkannte digitale Identität, “E-ID” genannt, eingeführt werden. Mit ihr sollen Behördengänge abgewickelt und öffentliche Dienstleistungen genutzt werden können. Zwar fiel das E-ID-Gesetz bei der Abstimmung am 7. März 2021 beim Schweizer Stimmvolk durch. Doch nun sollen der Schweizer Bundesrat und das Schweizer Parlament den Gesetzesvorschlag überarbeiten. Im Wesentlichen soll die E-ID von staatlichen Stellen statt privaten Anbietern bereitgestellt werden.

Im EU-Raum gibt es seit Inkrafttreten im Jahr 2014 und mit Gültigkeit ab 2016 die eIDAS-Verordnung (electronic identification, authentication and trust services). Sie regelt die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen. Die tatsächliche Anwendung dieser aus technischer Warte sehr sicheren digitalen Identitäten nach eIDAS hat im praktischen Alltag für jedermann jedoch noch keine hohe Durchdringung erreicht.  

Juristische und andere Probleme

Da es sehr einfach ist, eine digitale Identität zu erstellen, ist es leider auch sehr einfach, Missbrauch zu betreiben. Zum Beispiel lässt sich innerhalb weniger Minuten ein E-Mail-Account anmelden, welcher sich wiederum zur Erstellung von Benutzerkonten bei Portalen wie Facebook nutzen lässt. In so einem Fall ist die Verbindung von virtueller Identität zu einer realen Identität kaum zu überprüfen.

Rechtlich gesehen ist eine Aktion, die mit einer digitalen Identität vorgenommen wurde, zum Beispiel ein Verkauf auf eBay, nur dann gültig, wenn diese auch vom realen Kontoinhaber durchgeführt wurde. Dies wird auch durch eine Entscheidung des Bundesgerichtshofs deutlich:

„Denn auch, wenn den Zugangsdaten für die Internetplattform eBay eine Identifikationsfunktion zukommt, weil das Mitgliedskonto nicht übertragbar und das ihm zugeordnete Passwort geheim zu halten ist, kann hieraus angesichts der im Jahr 2008 gegebenen und auch derzeit vorhandenen Sicherheitsstandards im Internet auch bei einem eBay-Account nicht zuverlässig geschlossen werden, dass unter einem registrierten Mitgliedsnamen ausschließlich dessen tatsächlicher Inhaber auftritt.“
Aus der Entscheidung des Bundesgerichtshofs

Das Problem hierbei ist jedoch, im Zweifel den Beweis zu erbringen, dass eine digitale Identität missbräuchlich verwendet wurde.

Einen aktuellen Fall gibt es dazu in Wien: Sigrid Maurer, Abgeordnete des österreichischen Nationalrats, erhielt obszöne Nachrichten von einem Facebook-Account eines Lokalbetreibers. Nachdem Maurer die Nachrichten sowie den Namen des Absenders veröffentlichte, folgte ein Gerichtsprozess, in dem Sigrid Maurer wegen Kränkung des Lokalbetreibers schuldig gesprochen wurde. Grund war die Aussage des Lokalbetreibers, dass nicht er, sondern ein Gast des Lokals die Nachricht von dem öffentlich zugänglichen Computer abgeschickt habe. Das Urteil wurde im März 2019 aufgehoben und wird derzeit neu verhandelt.

Dieser Fall zeigt die Schwächen digitaler Identität in ihrer aktuellen Form sehr deutlich.

Mechanismen zur Authentifizierung

Fälle wie der oben beschriebene zeigen deutlich, wie wichtig das Thema Identität für eine funktionierende und verlässliche Infrastruktur ist. Um festzustellen, dass jemand wirklich der ist, der sie oder er vorgibt zu sein, gibt es den Prozess der Authentifizierung. Dabei wird die Echtheit einer angegebenen Identität geprüft.

Ist eine Identität erfolgreich überprüft, wird der Benutzer autorisiert, das betreffende System zu verwenden. Hierbei wird dem Nutzer eine bestimmte „Rolle“ zugeordnet, die mit einer Reihe von Rechten ausgestattet ist. Diese Rechte erlauben dem Benutzer, bestimmte Aktivitäten in dem System durchzuführen. „Höherwertige“ Rechte erfordern oft eine zusätzliche Autorisierung.  Dabei sollten stets zwei Prinzipien gelten:

• „Least Privilege” – nur die Rechte, die für die Arbeit nötig sind, wurden zugeteilt.
• „Segregation of Duties” – Erfassung und Freigabe einer Transaktion werden von verschiedenen Personen ausgeführt

Erlang ein User unerlaubterweise Rechte, zu denen sie oder er eigentlich keinen Zugriff haben sollte, spricht man in der IT-Sicherheit beziehungsweise im Hacker-Kontext von „Privilege Escalation”. Häufig erlangen Angreifer zunächst Zugriff auf „einfache” Nutzerkonten und versuchen dann, ihre Berechtigungen auf die Admin-Ebene auszuweiten. Dies kann durch eine Schwachstelle im System möglich werden, aber auch durch die unrechtmäßige Übernahme einer virtuellen Identität eines legitimen Nutzers.

Mehr Sicherheit durch Multi-Faktor-Authentifizierung

Im virtuellen Raum gibt es zur Authentifizierung mehrere Varianten. Die geläufigste ist die Verwendung eines Passworts oder einer PIN (Personal Identification Number) in Kombination mit einem Benutzernamen. Dass die Verwendung von Passwörtern aber nicht sehr praktikabel ist, zeigen Untersuchungen: Bis zu 80% der Anwender verwenden das gleiche Passwort für mehrere Accounts. Dies stellt ein erhöhtes Sicherheitsrisiko dar, da bei einem Diebstahl von Nutzerdaten Cyberkriminelle Zugang zu gleich mehreren Konten erhalten.

Ein Passwort oder eine PIN ist eine ohnehin recht schwache Möglichkeit, wie sich ein Benutzer authentifizieren und die Echtheit seiner angegebenen Identität beweisen kann. Vor allem bei der Verwendung von Passwörtern existieren eindeutige Schwächen. Wird zusätzlich zu einem Passwort oder einer PIN eine weitere Komponente zur Authentisierung verwendet, spricht man von Multi-Faktor-Authentifizierung (MFA). Kommen genau zwei Faktoren zum Einsatz, ist von Zwei-Faktor-Authentifizierung (2FA) die Rede. Diese beiden Faktoren können zum Beispiel ein Passwort („ich weiß”) und eine App am Smartphone („ich besitze“) sein. Auf der App muss man den Login-Versuch dann zusätzlich bestätigen, um Zugriff auf das Benutzerkonto zu bekommen. In diesem Beispiel würde nur eine Komponente (Passwort oder Zugriff auf die Smartphone-App) nicht ausreichen, um eine erfolgreiche Authentisierung durchzuführen. Dies erhöht den Schutz gegen Missbrauch bereits signifikant. Daher stellen mehr und mehr gängige Online-Dienste inzwischen auf verpflichtende 2FA um.

Biometrische Identifikation

Eine weitere Komponente, die zur Authentifizierung verwendet werden kann, sind biometrische Merkmale wie zum Beispiel ein Fingerabdruck oder Gesichtserkennung. Um biometrische Daten zur Identitätsfeststellung an einem Gerät verwenden zu können, muss dieses Geräte jedoch spezielle Hardware wie etwa einen eingebauten Fingerabdruckscanner erfüllen. Da biometrische Daten in der Regel eindeutlich und relativ fälschungssicher sind, bietet Biometrie – je nach Anwendungsbereich – oft auch schon als alleiniger Faktor ausreichende Sicherheit. Üblich ist inzwischen auf entsprechend ausgestatteten Smartphones, dass „wichtige” Apps wie Online-Banking oder eine Authentifizierungs-App durch biometrische Bestätigung geöffnet werden können.

Selbstsouveräne Identität (Self-Sovereign Identity – SSI)

Selbstsouveräne Identität, oder auf englisch „Self-Sovereign Identity“ kurz SSI, ist ein Konzept, um Individuen und Organisationen vollständige Kontrolle und Eigentümerschaft über analoge sowie virtuelle Identitäten zu geben. Das folgende Video stellt das Konzept in rund vier Minuten vor:

Die Grundidee: Ein Nutzer erhält Informationen über sich – seine Adresse, einen Ausbildungsnachweis, die Mitgliedschaft in einem Verein, einen Mitarbeiterausweis – als ein von Organisationen bestätigtes, digitales und kryptografisch gesichertes „Verifiable Credential”. Dies speichert sie oder er in einer „Digital Wallet”, einer elektronischen Brieftasche, auf seinem Smartphone ab.

Ein Grundbaustein beispielsweise im Berechtigungsmanagement ist dann, dass bei einem Authentifizierungs- oder Autorisierungsprozess nur die unbedingt notwendigen Daten und Attribute aus verlässlichen Quellen bereitgestellt werden. Im Unternehmenskontext kann es für den Zugriff auf das interne Wissensmanagement-System ausreichen, sich als Mitarbeiter des Unternehmens auszuweisen. Ein Zugriff auf die Kundendatenbank erfordert aber, dass man sich als Mitglied des Vertriebsteams ausweist. Im Bewerbungsprozess können über ein Credential Informationen zum Universitätsabschluss einer Person verfügbar gemacht werden, um die Qualifikation für eine bestimmte Rolle nachzuweisen. Die Kontrolle über die gesamte Identität bleibt aber immer beim Eigentümer – das ist ein Grundprinzip von SSI.

Fälschungssicher und nachvollziehbar dank Blockchain

Als Basistechnologie der Self-Sovereign Identity wird die Blockchain  genutzt. Durch ihre dezentrale Organisation, sowie die Fälschungssicherheit und Nachvollziehbarkeit ist die Blockchain eine ideale Plattform, um Self-Sovereign Identity zu implementieren und in der Praxis einzusetzen. Besonders wichtig ist dabei die Tatsache, dass das „Recht auf Vergessenwerden” unbeeinträchtigt ist, da KEINE personenbezogenen Daten auf der Blockchain gespeichert werden.

Eine korrekt implementierte Self-Sovereign Identity ist somit absolute konform zu den einschlägigen Datenschutzbestimmungen einschließlich der EU-DSGVO. Nur digitale Identifikatoren – sogenannte DIDs – für Organisationen, Schemata und Definitionen für Credentials und Löschkennzeichen für ausgestellte Credentials werden auf der Blockchain gespeichert. Letztere entsprechen in einer Public-Key-Infrastructure (PKI) den dort üblichen Zertifikatssperrlisten.

Daher gibt es beim Modell der selbstsouveränen Identität auch keine externe zentrale Autorität, welche die Identitäten verwaltet. Die Echtheit einer Identität beziehungsweise eines Attributes einer Identität, wird dadurch gewährleistet, dass sie durch eine vertrauenswürdige Autorität ausgestellt wurde – zum Beispiel eine Universität oder Behörde.

Überprüfen lässt sich eine Identität beziehungsweise ein Attribut aus einem Verifiable Credential mithilfe der Blockchain. Dazu muss der Aussteller des Anspruchs einer Identität nicht online sein. Diesem Vorgang geht aber stets eine Anfrage an den Identitätseigentümer voraus, ob er die Information bereitstellen möchte. Diesen sogenannten „Proof Request” beantwortet der Inhaber über seine Wallet App auf dem Smartphone.

Self-Sovereign Identity im Detail

Wie im folgenden Bild dargestellt, wird der Anspruch einer Identität oder eines Attributs von einem Aussteller (engl. Issuer) an den Inhaber erteilt. Dieser erstellte und verifizierbare  Anspruch wird in der Blockchain aufgezeichnet.

Ein Inhaber kann wiederum Ansprüche, die in einer Wallet verwaltet werden, gegenüber beliebigen interessierten Stellen (einem Prüfer, engl. „Verifier”) darlegen. Dieser Vorgang nennt sich „Credential Proof“. Ein Prüfer kann die gewünschten Attribute wieder mithilfe der Blockchain überprüfen – also den Aussteller identifizieren und somit Echtheit und Relevanz verifizieren sowie die aktuelle Gültigkeit validieren: das Credential wurde nicht widerrufen.

Diese Architektur der Self-Sovereign Identity hat den Vorteil, dass ein Inhaber vollständige Kontrolle über seine Identität hat und bestimmt welche Attribute dieser Identität mit Dritten geteilt wird, ohne von einer zentralen Autorität abhängig zu sein.

Eine öffentliche Plattform zur Nutzung von Self-Sovereign Identity ist das Sovrin Network. Dabei handelt es sich um ein Open-Source- Projekt, das ein globales Netzwerk bereitstellt, über das jede Person oder Organisation die eigenen digitalen Identitäten verwalten und kontrollieren kann. Details zu Sovrin finden sich hier.

SeLF – Sichere Authentifizierung made in Germany

In Deutschland gibt es eine florierende Community von innovativen Unternehmen, die sich Blockchain- und Distributed-Ledger-Technologien widmen. Einige fokussieren sich stark auf SSI, das in Deutschland aktuell besonders hohe Aufmerksamkeit genießt. Die esatus AG aus Langen bei Frankfurt am Main hat aufgrund ihrer Historie im Bereich Identity & Access Management (kurz IAM) das Thema SSI bereits 2015 als Zukunftsthema für sich entdeckt. Nach zahlreichen Publikationen und Konferenzpräsentationen startete sie in 2019 die technische Entwicklung eines SSI-basierten IAM-Systems für Organisationen jeder Branche und Größe. Ihr Produkt „SeLF“ (https://self-ssi.com) ist kommerziell verfügbar und bereits bei verschiedenen Kunden im produktiven Einsatz.

Durch credential-basierte Zugriffsmechanismen (Credential-based Access Control, CrBAC) transformiert SeLF Fakten aus Credentials in Entscheidungen, ob Zugriff erlaubt ist oder nicht. Mit SeLF besteht bei der Integration von SSI-Technologie kein Anlass mehr, sich Gedanken über den Umbau bereits bestehender Lösungen oder deren Ersetzung zu machen. SeLF ermöglicht, SSI-Technologie in gewachsene IT-Infrastruktur zu integrieren, ohne dass bestehende IT-Anwendungen, Verzeichnisdienste oder Managementsysteme angepasst werden müssen.

Für die Anbindung von Anwendungen stellt SeLF über verbreitete IAM-Protokolle Authentifizierungs- und Autorisierungsobjekte bereit – zum Beispiel über SAML, OpenID Connect oder LDAP. Credentials werden auf dem Mobilgerät des Mitarbeiters in einer Wallet App gespeichert (erhältlich für Android und iOS). Mit diesen Apps kann sich ein User über SeLF authentifizieren, wodurch die Gültigkeit der Credentials mit einem beliebigen „Hyperledger Indy-Netzwerk“ (https://www.hyperledger.org/use/hyperledger-indy) wie Sovrin oder IDunion abgeglichen wird. Im Sovrin-Netzwerk ist eine sichere und verlässliche Authentifizierung durch mehr als 50 international verteilte Knotenpunkte gewährleistet.