Digitale Identitäten

Online-Dienste sind für den Alltag von entscheidender Bedeutung. Um einen einfachen und komfortablen Zugriff zu ermöglichen, wurde das föderierte Identitätsmanagement etabliert. Hier verwalten die Heimatorganisationen der Nutzenden die Identitätsinformationen. Die Dienstanbieter sind auf diese Informationen angewiesen, um den Zugang zu ihren Diensten zu ermöglichen. Hier ist es für die Sicherheit entscheidend, dass der Nutzende der ist, den er vorgibt zu sein. Die neue Richtung der selbstsouveränen Identitäten gibt den Nutzenden die Kontrolle, die Anmeldeinformationen, die von Heimatorganisationen ausgestellt wurden, in einer Wallet-App entweder auf einem Smartphone oder auf einem PC kontrollieren können. Der Nutzende kann dann entscheiden, welche Daten mit den Dienstleistern (Prüfern) geteilt werden. Ein Ziel besteht darin, die unbeabsichtigte Weitergabe personenbezogener Daten zu reduzieren. In allen Fällen ist die IT-Sicherheit von elementarer Bedeutung.

Forschungsbereich

Digitale Identitäten begleiten jeden, beispielsweise beim Einkaufen oder Bankgeschäften im Internet, bei der Nutzung von IT-Diensten in der Arbeit, in der Schule oder an der Universität, und zunehmend auch beim eGovernment, bei dem Verwaltungsdienstleistungen wie die Beantragung von Kindergeld online genutzt werden können. Klassisch muss der Benutzende bei jedem Anbieter von Online-Diensten einen eigenen Account mit Benutzername, Passwort und den persönlichen Daten einrichten. Das summiert sich zu einer Vielzahl von Benutzeraccounts, die häufig aus Bequemlichkeit dasselbe oder ein ähnliches Passwort aufweisen. Jedoch ist die Sicherheit von digitalen Identitäten elementar.

Bewährter Ansätze

Um die Daten konsistent zu halten und dem Benutzenden die Verwendung von Online-Diensten zu erleichtern, wurden föderierte Identitäten eingeführt. Dieses Prinzip wird beispielsweise im Hochschulumfeld und beim eGovernment eingeführt bzw. eingesetzt. Der Benutzende hat eine Heimatorganisation, die für die Verwaltung der Nutzerdaten zuständig ist. Mit diesen Daten kann der Benutzende Online-Dienste innerhalb der sogenannten Föderation nutzen. Grundlage hierfür ist häufig das föderierte Identitätsmanagement (FIM) Protokoll Security Assertion Markup Language (SAML). Durch den technologischen Wandel werden u.a. in anderen eGovernment-Föderationen vermehrt modernere Protokolle, wie Open Authorization (OAuth) und OpenID Connect (OIDC) eingesetzt.

Erforschung neuer Technologien

Da bei FIM die Heimatorganisationen Daten sammeln können, beispielsweise wann welcher Dienst genutzt wurde, entstand das Prinzip der selbstsouveränen Identitäten (Self-Sovereign Identity (SSI)). Hier verwaltet jede Person alle Identitätsdaten in einer Art digitalem Geldbeutel (Wallet) per Smartphone oder am PC. Die so gespeicherten digitalen Ausweise können vom Benutzenden flexibel verwendet werden, um Online-Dienste zu nutzen. Zur Betrachtung der Nutzerperspektive auf SSI wurde eine Nutzerstudie durchgeführt und Awareness-Designs in einer Laborumgebung getestet, um eine verstärkte Datenübertragung zu vermeiden. Die Zuverlässigkeit und Sicherheit der Identitätsdaten wird dadurch erreicht, dass die digitalen Ausweise ähnlich wie physische Ausweise von den jeweils zuständigen Stellen erstellt und an den Nutzer übergeben werden. Diese sogenannten Credentials sind mit entsprechenden Sicherheitsmerkmalen gegen Manipulation geschützt. Auch wenn SSI häufig mit Blockchains in Verbindung gebracht wird, kann das u.a. auch mit einer Public Key Infrastructure (PKI) umgesetzt werden.

Der im Projekt DISKURS entwickelte technische Prototyp für eine bayerische SSI-Wallet und deren Anwendung in einem Verwaltungsportal ist in der folgenden Abbildung dargestellt.

Aktuelle und zukünftige Arbeiten

Nachdem SSI noch in den Kinderschuhen steckt, lasst sich die Zukunft noch aktiv mitgestalten. Die EU geht mit der eIDAS-Neufassung einen Schritt in Richtung SSI. Hierbei sind nicht nur die technischen Gegebenheiten relevant, sondern auch die Integration in bestehende Infrastrukturen und betrieblichen Prozesse. Zudem ist es wichtig, die Nutzersicht zu betrachten und sicherzustellen, dass die Identitäten tatsächlich sicher genutzt werden können. Auch im relativ etablierten föderiertem Identitätsmanagement ist die Sicherheit der Identitäten, insbesondere bei Account-Netzwerken, verstärkt zu betrachten, da ein Problem gleich größere Auswirkungen haben kann. Ebenso sind sichere Authentifizierungsmethoden in allen Fällen wichtig. Während das Protokoll SAML seit Jahren steht, werden modernere Protokolle weiter verbessert und so neuen Anwendungsfällen angepasst, was neue Chancen für u.a. das eGovernment bietet. Zugleich müssen Sicherheitsmaßnahmen angepasst und weiter verbessert werden, um einen möglichst guten Schutz zu bieten.

Genau an diesen Themenstellungen wird aktuell in den folgenden Vorhaben gearbeitet.

Sicheres SSI für verschiedene Einsatzgebiete, wie digitale Identitäten für menschliche Endnutzer und IoT-Geräte
Identity Management Framework mit Architekturen, Sicherheitsaspekten und Identitätsmanagementprozessen für ein sicheres und interoperables Identitätsmanagement.

Um international mit anderen Wissenschaftlern und Praktikern uns auszutauschen, sind wir auch auf Konferenzen aktiv.

Call for Paper für den International Workshop on Emerging Digital Identities (EDId) auf der ARES 2024 Konferenz, Deadline 8. Mai 2024

Abgeschlossene Projekte

Das Projekt DISKURS begleitete den Aufbau und Betrieb der bundesweiten Identitätsföderation FINK wissenschaftlich und unterstützt dabei sowohl in technischen als auch organisatorischen Aspekten. Der Bedarf für eine solche Föderation ergab sich aus der Umsetzung des Online-Zugangsgesetzes (OZG). Zusätzlich wurden auch Zukunftstechnologien wie das SSI untersucht und deren Funktionsweise demonstriert.

Das Projekt DISPUT baute auf dem Projekt DISKURS auf und untersuchte die Relevanz des Themas SSI und des damit verbundenen Bring-Your-Own-Identity-Paradigmas. Parallel dazu wurde durch eine wissenschaftliche Begleitforschung u.a. das Security Management für die bundesweite Identitätsföderation FINK optimiert.