Federated Identities
- Written by Redaktion_Report
- font size decrease font size increase font size
Um keinen Wettbewerbsnachteil zu erleiden, müssen Unternehmen Informationen, Daten und digitale Identitäten effizient verwalten. Effizient und ganz im Sinne des Betriebswirtschaftlers - möglichst kosteneffizient. Mit diesen Aspekten beschäftigt sich seit einigen Jahren die Disziplin des Identity Managements. Zunächst war dieses Thema ausschließlich organisationsbezogen - sprich es ging um den Austausch und die Verwaltung von Identitäten innerhalb eines Unternehmens. Ein sicheres Identity Management in einem anarchischen Konstrukt wie dem Internet schien zunächst unmöglich. Doch wer als Anwender weiß, was es heißt für jedes einzelne Internet-Serviceangebot ein separates Passwort einzurichten und sich noch in einigen Wochen daran zu erinnern welches nun zu welcher Webseite gehört. Welche Erleichterung würde die Verwendung einer einzigen service-übergreifenden Authentisierung bringen. Mit dem Ansatz eines einheitlichen Zugangskontrollfaktors beschäftigt sich Federated Identity Management. Ein funktionierendes System könnte dadurch mehr Vertrauen in die Abwicklung von Online-Geschäften nach sich ziehen - insbesondere wenn es um vertrauliche Transaktionen geht.
Identity Management als Enabler. Derzeit verändern sich nicht nur die Märkte sondern speziell die Technologien passen sich den neuen Gegebenheiten an. Wo bislang in Systemen gedacht wurde, ermöglichen serviceorientierte Architekturen und Web Services eine neue Sichtweise und Flexibilität. Es geht nicht mehr nur darum, mit welcher Software ein Prozess verarbeitet wird oder wie die Schnittstellen der Systeme miteinander kommunizieren - es geht vielmehr darum Services zu definieren und bereitzustellen. Das Denken in Services und Prozessen ermöglicht neue Geschäftsmodelle, vereinfacht die bedarfsgerechte Bereitstellung und wird auch das Verhältnis zwischen Management und IT-Abteilung ändern: letztere muss sich nämlich immer mehr an Geschäftsprozesse orientieren und wird somit zum Architekten von neuen Servicelandschaften. Das bedingt jedoch die Einigung auf Standards und die Förderung von Web Services. Ein gutes Beispiel hierfür ist der Ansatz des Federated Identity Management. Der praktische Nutzen liegt dabei auf der Hand. Der Anwender hat eine verbesserte Benutzerfreundlichkeit, denn das Verwalten zahlreicher Passwörter wird obsolet. Im Umkehrschluss könnte dies bedeuten: Wenn durch den Einsatz vertrauenswürdiger Technologien und Services, die auf offenen Standards basieren, der Anwender ein sicheres Gefühl und damit mehr Affinität für den Online-Handel erhält, werden Internettransaktionen rapide zunehmen. Somit gilt: “Ohne kontinuierliche vertrauensbildene Maßnahmen in E-Commerce gibt es keine Prosperität.“ Die Internetkriminalität konzentriert sich zunehmend auf den sogenannten Identitätsklau (Identity Theft). Phishing und Pharming lassen grüßen. Insbesonders Banken haben enorm mit diesem Thema zu kämpfen. Der Komfort des Online-Bankings aus Kundensicht spricht für seine Verwendung. Die drastische Zunahme an Phishing-Attacken hemmt jedoch zunehmend das Vertrauen der Bankkunden.
| Was ist eigentlich Identity Management? Identity Management ist das aktuelle Modewort in der IT-Sicherheitsbranche. Jose Lopez, Sicherheitsspezialist bei Frost \" Sullivan, beschreibt Identity Management als einen Prozess, der die Authentifizierung, die Zugriffsrechte und die eingeräumten Vorrechte eines digitalen Nutzers verwaltet. Dieser Prozess erfordert drei wesentliche Schritte, nämlich die Nutzererkennung (Authentication), die Autorisierung (Authorisation) und das Beschaffungsmanagement der Nutzerdaten (Provisioning). Identity Management Systeme konzentrieren sich auf die Beherrschung der organisationsinternen Komplexität. Eine herkömmliche Lösung ist somit auch nicht für den Einsatz außerhalb der Unternehmensgrenzen gedacht. Daher gilt es zu überlegen, wie es gelingen kann, organisationseigene wie -fremde Informationssysteme und Nutzeridentitäten in verteilten Netzwerken zu integrieren und zu verwalten. Genau damit beschäftigt sich Federated Identity Management (FIM). |
Federated Identity Management soll gewährleisten, dass eine Partnerinstitution, die als Dienstanbieter agiert, über speziell ausgelegte Protokolle Zugriff auf die zur Authentifikation und/oder Abrechnung notwendigen Benutzerinformationen, bzw. -identitäten der eigenen Einrichtung erhält. Diese sogenannten Federated Identities sind auf wechselseitiger Anerkennung ausgelegt. Dabei authentifiziert die Heimateinrichtung (Identity Provider) ihre Benutzer (Identity Principal) und stellt Dienstanbietern Informationen über die Anwedner zur Verfügung, die es den Dienstanbietern ermöglichen zu entscheiden, ob die Benutzer auf eine geschützte Ressource zugreifen dürfen oder nicht. Um das hierfür notwenige Vertrauensverhältnis und einen organisatorischen Rahmen für den Austausch der notwendigen Informationen zu schaffen, schließen sich Identity Provider und Dienstanbieter in einer Föderation zusammen.
Damit ein FIM-System funktionieren kann sind unterschiedliche Voraussetzungen zu schaffen: eine multiprotokollfähige und in bestehende Systeme leicht integrierbare Referenzimplementierung rechtliche Rahmenbedingungen für verbindliche Regelungen bei Transaktionen sowie die Einhaltung der Datenschutzrichtlinien eine verteilte Netzinfrastruktur, die von den Beteiligten genutzt werden kann
Vertrauen in den Handel. Eine Welt, in der ein Anwender nur noch ein Passwort benötigt wäre doch eigentlich wunderbar. Technisch stellt eine Realisierung dieses Traums schon lange kein Problem mehr dar. Aber gerade bei der Verwaltung von Passwörtern wird deutlich, welche Rolle der Mensch im Sicherheitskontext hat. Vor lauter unterschiedlichen Passwörtern kommen viele Nutzer oft auf die glorreiche Idee, Passwörter aufzuschreiben und sie womöglich noch an den Monitor zu heften. Mal ehrlich - da kann man sich den ganzen Aufwand der Passwortvergabe doch von Anfang an sparen. Also wäre das schon eine tolle Sache - ein Passwort, das man sich noch gut merken kann und damit Zugang zu unterschiedlichsten Internetplattformen erhalten kann. Das war der eigentliche Ansatz für die Entwickler von Federated Identity Standards. Nur kommt jetzt ein neues, nicht zu unterschätzendes Problem auf: Wenn ein Anwender sich bei web.de mit seinem Passwort anmeldet und dann in den persönlichen ebay Account weitersurfen kann, mag das noch unkritisch sein. Aber ob ein Anwender sich sicher fühlt danach auch noch Online-Banking zu machen bleibt fragwürdig. Es fehlt an der Akzeptanz einer \"Trusted Authority“ und eines Mechanismus, der eine interne (1. Faktor) und externe (2. Faktor) Validierung der Identität ermöglicht ohne dabei Datenschutzbestimmungen zu verletzen.. Einer Einrichtung, welche die externe Validierung und die dazugehörigen digitalen Identitäten global verwaltet. Hier reduziert sich die ganze Technologie auf klassische psychologische Aspekte.
Das Unternehmen VeriSign hat unlängst ein Konzept entwickelt, das genau diesen Problemen Rechnung trägt. Die Lösung VeriSign Identity Protection (VIP) vereint den offenen Authentifikationsstandard (OATH) mit einer Soft- und Hardware-Token-Technologie um insbesondere den Zugang zu den Anwendungen und somit die Identitäten der Nutzer zu schützen. Mit einem Generator für Einmal-Passwörter (One Time Password - OTP) kann man sich dann bei den VIP-Kooperationspartnern PayPal, eBay oder Yahoo! anmelden. Die zugehörigen Token werden von den Partnerunternehmen an die Nutzer ausgegeben. Anwender können ihre Benutzerkonten so vor dem Zugriff Dritter schützen, da das Passwort nach jedem Zugriff ersetzt wird.