Impulsgeber der digitalen Welt: Lösungsansätze für die schnelle Einführung Sicherer digitaler Identitäten (SDI)

Ein Gastbeitrag von Prof. Marian Margraf, Abteilungsleiter „Secure Systems Engineering“, Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC.

Handy, Brille, Kopfhörer und Pflanze auf einem Tisch

© Dan Nelson / Unsplash

Sichere digitale Identitäten (SDI) sind wesentliche Impulsgeber für die erfolgreiche Verlagerung von Geschäftsprozessen in die digitale Welt. Dies betrifft sowohl Wirtschaft als auch Verwaltung. So müssen in der Verwaltung nach dem Onlinezugangsgesetz bis 2022 Verwaltungsleistungen von Bund und Ländern auch online angeboten werden. Grundlage hierfür bilden auch digitale Identitäten, damit sich Bürger*innen sicher gegenüber Behörden bzw. Service Providern authentisieren können. Weitere Stakeholder eines SDI-Ökosystems sind neben den Nutzer*innen Identity Provider, die SDI ausgeben und verwalten und Service Provider, die ihre Nutzer*innen mittels der SDI authentifizieren.

Noch existieren Hürden bei Nutzer*innen und Providern

Aktuell existieren jedoch noch viele Herausforderungen, die dafür sorgen, dass SDI kaum genutzt werden. Aus Sicht der Nutzer*innen sind dies, neben fehlenden Anwendungen, vor allem der in der Regel nicht medienbruchfreie Registrierungsprozess. Dann gibt es das Problem, dass  sichere digitaler Identitäten häufig sehr gering benutzt werden aufgrund derBedenken hinsichtlich Datenschutz, die sich z. B. ergeben können, wenn zentrale Identity Provider Nutzungsverhalten auswerten. Allerdings zeigen Untersuchungen, dass diese Probleme kaum mehr eine Rolle spielen, sobald Anwendungen existieren, die einen echten Mehrwert für die Nutzer*innen bieten.

Auf Seiten der Identity Provider gehören zu den  Hürden ebenfalls fehlende Anwendungen – dies ist insbesondere ein ökonomischer Aspekt – und die Unsicherheit, wie konkret SDI sicherheitstechnisch umgesetzt werden können. Letzteres trifft gerade in Hinblick auf den Einsatz von SDI im E-Government zu. Hier definiert die Durchführungsverordnung 2015/1502 zwar abstrakt Mindestanforderungen an die Sicherheit solcher SDI. Jedoch fehlen konkrete Umsetzungsempfehlungen.

Auch Service Provider, die ihre Nutzer*innen sicher authentifizieren müssen, stehen vor Herausforderungen. Ähnlich wie auf Seiten der Nutzer*innen bestehen Bedenken hinsichtlich der Auswertung des Nutzungsverhaltens beim Service Provider durch einen zentralen Identity Provider, da dies auch Rückschlüsse auf den Erfolg des Services (z.B. Akzeptanz, Nutzungshäufigkeit) ermöglicht. Ein weiteres Problem ist, dass es aktuell keine etablierten Identity Provider gibt bzw. unklar ist, ob sich die Bestehenden auf dem Markt durchsetzen können. Aus diesem Grund setzen Service Provider häufig ihr Identitätsmanagement eigenständig um., Das ist üblicherweise mit hohen Kosten, aber auch mit zum Teil unsicheren Lösungen verbunden, da nicht alle Service Provider Expertise auf diesem Gebiet haben.

Lösungsansätze aus der angewandten Cybersicherheits-Forschung

Mit dem Innovationswettbewerb „Schaufenster sichere digitale Identitäten“ fördert das Bundesministerium für Wirtschaft und Energie (BMWi) Projekte, die die oben genannten Herausforderungen angehen sollen. Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC ist aktuell an drei dieser Projekte beteiligt und verantwortet hier die folgenden Aufgaben.

  1. Medienbruchfreier Registrierungsprozess: Registrierungsprozesse zum Erhalt von SDI sind meist mit viel Aufwand auf Seiten der Nutzer*innen verbunden (z. B. persönliches Erscheinen und Identifizierung über hoheitliche Dokumente). Ziel muss es daher sein, Lösungen zu erarbeiten, die einen sicheren medienbruchfreien Registrierungsprozess ermöglichen, damit Nutzer*innen ihre SDI unmittelbar verwenden können. Hier bietet es sich an, elektronische Identitäten wie z. B. Bank-Accounts oder Accounts bei Mobilfunkprovidern zu nutzen oder geeignet zu kombinieren, die bereits bei den Nutzer*innen vorhanden sind. Auch staatlich herausgegebene Lösungen, wie Online-Ausweisfunktion und DE-Mail, können genutzt werden, um ein hohes Sicherheitsniveau für die Erstregistrierung umsetzen zu können.
  • Benutzbarkeit: Eines der wesentlichen Probleme bei der Entwicklung von IT-Systemen ist, dass die Bedürfnisse, Kenntnisse und Fähigkeiten der angedachten Nutzer*innen nicht schon zu Beginn, sondern im besten Fall erst am Ende der Konzeptionsphase berücksichtigt werden – oft jedoch überhaupt nicht. Heute ist es im Softwareentwicklungsprozess in der Regel üblich, zunächst die Sicherheitsziele („Was muss geschützt werden?“) und daraus abgeleitet das Sicherheitsmodell („Wie soll geschützt werden?“) festzulegen. Da das gewählte Sicherheitsmodell aber bereits wesentliche Teile des Funktionsumfangs und der möglichen Interaktionsabläufe beeinflusst, führt dies in der Regel zu deutlichen Schwächen hinsichtlich der Benutzbarkeit. Eine Möglichkeit, Nutzer*innen schon zu Beginn der Konzeption einzubeziehen, ist, Methoden aus dem Design Thinking zu verwenden. Beim Design Thinking erarbeitet ein in der Regel interdisziplinäres Team neue innovative Lösungen für Problemstellungen, wobei die Nutzer*innen in allen Schritten einbezogen werden.
  • E-Government 2.0: Aus Sicht der Nutzer*innen ist es nicht ausreichend, zukünftig mittels einer SDI rechtsverbindlich Anträge einzureichen. Vielmehr muss es auch möglich sein, den Bearbeitungsstatus regelmäßig einsehen zu können und einzelne Dokumente nachzureichen. Hierzu müssen aber die Verwaltungsvorgänge innerhalb der Behörden digitalisiert und die IT-Systeme entsprechend angepasst werden.
  • Erarbeitung konkreter Umsetzungsempfehlungen: Sowohl für die SDI als auch für Lösungen der Service Provider müssen konkrete technische Umsetzungsempfehlungen für verschiedene Sicherheitsniveaus erarbeitet, umgesetzt und hinsichtlich Sicherheit und Datenschutz evaluiert werden. Dabei soll, soweit möglich, auf Sicherheitsfunktionen zurückgegriffen werden, die heutige Endgeräte, wie z. B. Computer, Tablets und Smartphones, bereits zur Verfügung stellen. Dies ermöglichteine einfache Umsetzung und vor allem die Nutzung von SDI ohne zusätzliche technische Komponenten.
  • Sicherheit und Datenschutz: SDI und auch das zu entwickelnde Ökosystem müssen sicher sein und die Privatsphäre der Nutzer*innen respektieren. Neben den hierfür klassischen Lösungen müssen auch zukunftsfähige Ansätze entwickelt werden, die insbesondere resistent gegen Quantencomputer sind. Sicherheitsfunktionen müssen so umgesetzt werden, dass sie zukünftig, wenn nötig, einfach und schnell gegen Quantencomputer-resistente ausgetauscht werden können (Kryptoagilität). Hinsichtlich des Datenschutzes sollen Lösungen erarbeitet werden, die es ermöglichen, das Verhalten der Nutzer*innen datenschutzfreundlich auszuwerten und so Mehrwerte für alle Zielgruppen (Nutzer*innen, Identity Provider und Service Provider) zu erzielen. Eine Möglichkeit, dies wie beschrieben umzusetzen, sind Methoden des Differential Privacy, die es z. B. ermöglichen, statistische Informationen allgemein zugänglich zu machen und dabei gleichzeitig die Privatsphäre einzelner Datensätze zu wahren.

Über den Autor:

© Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC

Marian Margraf ist Professor für Informationssicherheit an der Freien Universität Berlin und Abteilungsleiter am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC. Er verfügt über mehr als 15 Jahre Erfahrung auf dem Gebiet der Informationssicherheit. Zunächst in den Jahren 2003 bis 2008 als Kryptologe im Bundesamt für Sicherheit in der Informationstechnik. Im Jahr 2008 wechselte er in das Bundesministerium des Innern und hat als Regierungsdirektor wichtige Strategien der Bundesregierung zum Thema Informationssicherheit mitentwickelt. Seit 2013 ist er Professor. Seine Forschungsschwerpunkte sind Kryptographie, mobile Sicherheit und Informationssicherheitsmanagement. Marian Margrafs Abteilung am Fraunhofer AISEC befasst sich außerdem mit elektronischen Identitäten, quantencomputerresistenten Kryptoverfahren, der Entwicklung sicherer IT-Systeme und dem immer wichtiger werdenden Thema „Usable Privacy and Security“. Er wird regelmäßig als Experte in den Deutschen Bundestag eingeladen, um die Abgeordneten über verschiedene Fragen der Informationssicherheit zu informieren.

Über das Fraunhofer AISEC

Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC ist eine der international führenden Einrichtungen für angewandte Forschung im Bereich Cybersicherheit. Mehr als 100 hochqualifizierte Mitarbeiterinnen und Mitarbeiter arbeiten an maßgeschneiderten Sicherheitskonzepten und Lösungen für Wirtschaftsunternehmen und den öffentlichen Sektor, mit dem Ziel, die Wettbewerbsfähigkeit von Kunden und Partnern zu verbessern. Dazu zählen Lösungen für eine höhere Datensicherheit sowie für einen wirksamen Schutz vor Cyberkriminalität wie Wirtschaftsspionage und Sabotageangriffe. Das Kompetenzspektrum erstreckt sich von Embedded und Hardware Security, über Automotive und Mobile Security bis hin zu Sicherheitslösungen für Industrie und Automation. Zudem bietet das Fraunhofer AISEC in seinen modernen Testlaboren die Möglichkeit zur Evaluation der Sicherheit von vernetzten und eingebetteten Systemen, von Hard- und Software-Produkten sowie von Web-basierten Diensten und Cloud-Angeboten. https://www.aisec.fraunhofer.de/

Ähnliche Beiträge