Globale Vertrauensinstanz gesucht
Federated Identities für den Onlinehandel
Globales Single Sign-on im Internet benötigt eine weltweit aner-kannte Vertrauensinstanz für die Online-Identitäten. Verisign bewirbt sich um diese Position und stellt dazu eine neue technische Basis zur Verfügung.
Identity Management (IdM) war lange Zeit ein ausschließlich organisationsbezogenes Thema. Wer
sich damit befasste, dachte an den Austausch und die Verwaltung von Identitäten innerhalb eines
Unternehmens bezogen. Sicheres IdM in einem anarchischen Konstrukt wie dem Internet schien zunächst
unmöglich. Hier bleib es dabei, für jedes einzelne Internetserviceangebot ein separates Passwort zu
benutzen. Welche Erleichterung die Verwendung einer einzigen serviceübergreifenden Authentisierung
bringen würde, wurde dabei jedem Anwender früher oder später klar. Heute beschäftigt sich mit dem
Ansatz eines einheitlichen Zugangskontrollfaktors die Disziplin des "Federated Identity Management"
(FIM). Funktionierende FIM-Systeme können außerdem mehr Vertrauen in die Abwicklung von
Onlinegeschäften gewinnen helfen – insbesondere wenn es um vertrauliche Transaktionen geht.
Derzeit unterliegt die Informationstechnik einem Perspektivenwechsel. Es geht nicht mehr darum,
mit welcher Software ein Prozess verarbeitet wird oder wie die Schnittstellen der Systeme
miteinander kommunizieren – es geht vielmehr darum, Dienste zu definieren und bereitzustellen. Dies
ermöglicht neue Geschäftsmodelle, vereinfacht die bedarfsgerechte Bereitstellung und verändert auch
das Verhältnis zwischen Management und IT-Abteilung: Letztere muss sich nämlich mehr an
Geschäftsprozesse orientieren und wird dabei zum Architekten von neuen Servicelandschaften. Das
bedingt jedoch die Einigung auf Standards und die Förderung von Webservices.
Federated Identity Management steht mitten in diesem Änderungsprozess. Der Anwender profitiert
dabei von größerer Benutzerfreundlichkeit, denn das Verwalten zahlreicher Passwörter wird obsolet.
Im Umkehrschluss könnte dies bedeuten: Wenn durch den Einsatz vertrauenswürdiger Technologien und
Services, die auf offenen Standards basieren, der Anwender ein sicheres Gefühl und damit mehr
Affinität für den Onlinehandel erhält, werden Internettransaktionen rapide zunehmen.
Währenddessen konzentriert sich die Internetkriminalität zunehmend auf den Identitätsdiebstahl
(Identity Theft) und nutzt Phishing- und Pharming-Attacken. Die drastische Zunahme an
Phishing-Angriffen hemmt inzwischen zunehmend das Vertrauen der Bankkunden. Auch hier bietet FIM
die Möglichkeit, der Entwicklung gegenzusteuern.
Jose Lopez, Sicherheitsspezialist bei Frost & Sullivan, beschreibt Identity Management als
einen Prozess, der die Authentifizierung, die Zugriffsrechte und die eingeräumten Vorrechte eines
digitalen Nutzers verwaltet. Dieser Prozess erfordert drei wesentliche Schritte, nämlich
die Nutzererkennung (Authentifizierung),
die Autorisierung und
das Beschaffungsmanagement der Nutzerdaten (Provisioning).
Frost & Sullivan schätzte in einer Analyse den Europamarkt für Identity-Management-Lösungen
auf rund 250 Millionen Euro im Jahr 2002. Laut Prognose soll das Volumen im Jahr 2006 bereits mehr
als 827 Millionen Euro betragen, was einer durchschnittlichen jährlichen Wachstumsrate von 27
Prozent entspricht.
FIM-Funktionsprinzipien
Klassische Identity-Management-Systeme konzentrieren sich auf die Beherrschung der
organisationsinternen Komplexität. Eine herkömmliche Lösung ist somit auch nicht für den Einsatz
außerhalb der Unternehmensgrenzen gedacht. Daher gilt es zu überlegen, wie es gelingen kann,
organisationseigene wie organisationsfremde Informationssysteme und Nutzeridentitäten in verteilten
Netzwerken zu integrieren und zu verwalten. Genau damit beschäftigt sich Federated Identity
Management (FIM).
FIM soll beispielsweise gewährleisten, dass eine Partnerinstitution, die als Dienstanbieter
agiert, über speziell ausgelegte Protokolle Zugriff auf die zur Authentifikation und/oder
Abrechnung notwendigen Benutzerinformationen und -identitäten der eigenen Einrichtung erhält. Diese
so genannten Federated Identities sind auf wechselseitige Anerkennung ausgelegt. Dabei
authentifiziert die Heimateinrichtung (Identity Provider) ihre Benutzer (Identity Principal) und
stellt Dienstanbietern Informationen über die Anwender zur Verfügung, die es den Dienstanbietern
ermöglichen zu entscheiden, ob die Benutzer auf eine geschützte Ressource zugreifen dürfen oder
nicht. Um das hierfür notwenige Vertrauensverhältnis und einen organisatorischen Rahmen für den
Austausch der notwendigen Informationen zu schaffen, schließen sich Identity Provider und
Dienstanbieter in einer Föderation zusammen.
Dabei gilt es folgende Punkte zu beachten:
Vergabe und stringente Einhaltung von Richtlinien, um Vertrauen zu
schaffen,
Installation von Directories zur Verwaltung der Benutzeridentitäten und
sichere Kommunikation mittels Zertifikaten.
Damit ein FIM-System funktionieren kann, sind unterschiedliche Voraussetzungen zu schaffen:
Eine multiprotokollfähige und in bestehende Systeme leicht integrierbare
Referenzimplementierung, rechtliche Rahmenbedingungen für verbindliche Regelungen bei Transaktionen
sowie die Einhaltung der Datenschutzrichtlinien und
eine verteilte Netzinfrastruktur, die von den Beteiligten genutzt werden
kann.
Darüber hinaus gilt es, sich mit bestimmten Spezifikationen auseinander zu setzen. Zunächst ist
natürlich eine Identity-Management-Software notwendig, die verschiedene föderative Protokolle
unterstützt und damit bestehende Sicherheitslücken schliesst. Gängige Standards sind die Security
Assertion Markup Language (SAML), Liberty Alliance sowie Webservices Federation.
Technisch stellt eine Realisierung des Traums vom einzigen Kennwort im Internet schon lange kein
Problem mehr dar. Bei der Verwaltung von Passwörtern wird allerdings schnell deutlich, welche Rolle
der Mensch im Sicherheitskontext hat. Angesichts der vielen unterschiedlichen Passwörter könne sich
viele Nutzer oft nur noch damit helfen, Passwörter aufzuschreiben und womöglich an den Monitor zu
heften. Den Aufwand der Passwortvergabe unterminiert dieser Trick komplett.
Die Idee des zentralen Kennworts für alle Internetanwendungen wurde vor allem aufgrund solcher
Probleme zum Ausgangspunkt für die Entwickler von Federated-Identity-Standards. Allerdings zeigten
sich schnell neue Schwierigkeiten: Wenn ein Anwender sich bei Web.de mit seinem Passwort anmeldet
und dann im persönlichen Ebay-Account weitersurfen kann, mag dies der Großteil der User tatsächlich
als Lebenserleichterung sehen. Ob sich die meisten Anwender aber auch sicher fühlen, wenn sie auf
die gleiche Weise im nächsten Schritt zum Onlinebanking wechseln, darf bezweifelt werden. Es fehlt
an der Akzeptanz einer "Trusted Authority" und eines Mechanismus, der eine interne (erster Faktor)
und externe (zweiter Faktor) Validierung der Identität ermöglicht, ohne dabei
Datenschutzbestimmungen zu verletzen – eine Einrichtung, die die externe Validierung und die
dazugehörigen digitalen Identitäten global verwaltet. Die Technik stößt hier in der Psychologie an
ihre Grenzen.
Das Unternehmen Verisign stellt nun ein Konzept vor, das diesen Problemen Rechnung tragen will.
Verisign ist ein weltweit bekannter Anbieter digitaler Zertifikate und Betreiber einer globalen
Internetinfrastruktur für DNS mit mehr als 16 Milliarden Look-ups pro Tag. Die bringt der
Organisation als Trusted Authority seit Jahren eine solide Anerkennung. Mit der Lösung Verisign
Identity Protection (VIP) will der Anbieter den offenen Authentifikationsstandard (OATH) mit soft-
und hardwaregestützter Token-Technik verbinden, um insbesondere den Zugang zu den Anwendungen und
somit die Identitäten der Nutzer zu schützen. Mit einem Generator für Einmal-Passwörter (One Time
Password – OTP) kann man sich dann bei den ersten VIP-Kooperationspartnern Paypal, Ebay und Yahoo
anmelden. Die zugehörigen Tokens werden von den Partnerunternehmen an die Nutzer ausgegeben. Der
Formfaktor des Tokens spielt dabei nur noch eine untergeordnete Rolle, da sich die komplette
Palette von Softtokens (etwa auf Mobiltelefonen) bis hin zum Hybrid-Hardware-Token (OTP und
Zertifikate) einbinden lässt. Die Gültigkeit des OTPs prüft Verisign vor dem Login-Prozess – erst
dann wird eine Freigabe erteilt.
Damit eine derartige Technik Erfolg hat, muss sie strengen Datenschutzvorgaben genügen. Verisign
etwa hat keinerlei Zugriff auf die interne Infrastruktur, kann also Daten, die in den Directories
gespeichert sind, nicht abrufen. Der Service ist so angelegt, dass er für die Kunden der "
föderierenden Organisationen" nicht verpflichtend ist. Er stellt ein Zusatzangebot für Anwender
dar, die sich besonders gründlich vor Betrug und Diebstahl ihrer digitalen Identität schützen
wollen. Die beteiligten Kooperationspartner bezahlen für den Service abhängig von der Anzahl
durchgeführter Anmeldungen eine Abonnementgebühr. Die Kopplung an Fraud Detection Services bewirkt,
dass neben der Bekämpfung von Phishing-Attacken auch Reputationsverlusten vorgebeugt werden
kann.
Fazit
Das Modell partnerschaftlich geteilter Identitäten ist aus der Sicht der Benutzerfreundlichkeit
sinnvoll. Dabei stellt der Zugangsprozess auf Webressourcen die entscheidende Komponente dar.
Authentisierungslösungen müssen ein fester Bestandteil der Internetnutzung werden. Ideal wäre es,
analog zur Kreditkarte in der Offlinewelt eine einzige Lösung für die Authentisierung an
unterschiedlichste Onlinedienste zu schaffen. Federated Identity Management reduziert sich deshalb
auf einen Aspekt: Wer ist die Trusted Authority, die gleichermaßen das Vertrauen gegenüber
Serviceanbieter und den Konsumenten schaffen kann? Der VIP-Ansatz stößt in diese Richtung vor. In
Bezug auf Federated Identities müssen sich nun zunächst Föderationen bilden, die die notwendigen
Regularien absegnen. Danach muss eine vertrauenswürdige Instanz glaubwürdig machen, der Rolle einer
globalen Trusted Authority gerecht zu werden.
Lesen Sie mehr zum Thema
