Digitale Identitäten und Identity Access Management

Digitale Identitäten und Identity Access Management stehen im Zentrum wenn es um die Sicherheit und Vertrauen im Fokus eines digitalen Identitaetsmanagements geht.

In einer Zeit, in der unsere Interaktionen und Transaktionen zunehmend ins Digitale verlagert werden, ist das Verständnis dieser unsichtbaren Architekturen, die unsere Online-Welt stützen, wichtiger denn je.

Digitale Identitäten und die Art und Weise, wie sie verwaltet werden, bilden das Rückgrat unserer vernetzten Gesellschaft und ermöglichen es uns, sicher und effizient im digitalen Raum zu navigieren.

Was genau ist eine digitale Identität und warum spielt sie eine so entscheidende Rolle in unserem Online-Leben?

Was bedeutet Identity and Access Management und wie trägt es zur Sicherheit und zum reibungslosen Funktionieren digitaler Dienste bei?

Wir werden auch die Unterschiede zwischen Authentifizierung und Autorisierung erkunden und warum diese Konzepte für den Schutz unserer digitalen Identitäten wesentlich sind.

Begleite uns auf dieser Reise, um zu verstehen, wie digitale Identitäten unser Online-Leben beeinflussen und wie IAM-Systeme dabei helfen, unsere digitale Existenz zu sichern und zu gestalten.

In unserer Podcast Folge Digitale Identitäten und Identity Access Management beginnen wir mit den Grundlagen.

Dies ist nur der Anfang – in den kommenden Folgen werden wir tiefer in die faszinierende Welt der föderierten Identitätsmodelle und modernen Vertrauensstrukturen eintauchen.

Bevor wir in das Kernthema dieser Folge eintauchen, lass uns gemeinsam einen Moment darüber nachdenken, wie oft wir im Laufe eines Tages digitale Dienste nutzen. Von der Anmeldung bei unseren E-Mail Services bis hin zum Teilen eines Posts in sozialen Medien.
Hinter jeder dieser Handlungen steckt eine unsichtbare, aber wesentliche Komponente – unsere digitale Identität.

Heute werden wir diese verborgene Facette unseres digitalen Lebens enthüllen und verstehen, warum sie so entscheidend für unsere Online-Interaktionen ist.

Was ist eine digitale Identität?

Eine digitale Identität bezieht sich auf die virtuelle Darstellung einer Person, einer Organisation oder eines Objekts in digitalen Systemen und Netzwerken. Sie besteht aus einer Reihe von Informationen und Merkmalen, die dazu dienen, die Identität einer Entität online zu erkennen und zu überprüfen. Digitale Identitäten ermöglichen es Benutzern, sich in verschiedenen Online-Diensten anzumelden, Transaktionen durchzuführen, Informationen auszutauschen und generell an digitalen Interaktionen teilzunehmen.

Eine digitale Identität umfasst dabei verschiedene Elemente wie typischerweise die folgenden:

• Benutzername und Passwort: Traditionelle Methoden zur Authentifizierung, die oft für den Zugriff auf Online-Dienste verwendet werden.
• Biometrische Daten: Wie Fingerabdrücke, Gesichtserkennung oder Iris-Scan, die einzigartigen physische Merkmale einer Person. Dies wird oft als Komfortfunktionen in Identverfahren beschrieben, weil sie uns eben die händsiche Eingabe von Secrets wie Benutzername und Passwort ersparen.
• Zwei-Faktor-Authentifizierung (2FA) und Mehr-Faktor-Authentifizierung (MFA): Zusätzliche Sicherheitsschichten, die neben dem Passwort verwendet werden, wie beispielsweise Einmalpasswörter per SMS oder noch besser per Authentifizierungs-Apps.
• Digitale Zertifikate: Kryptografische Schlüssel und Zertifikate, die die Identität eines Benutzers oder einer Entität in verschlüsselten Kommunikationen bestätigen.
• Soziale Profile: Informationen, die von sozialen Netzwerken und Online-Plattformen gesammelt werden, um die Online-Präsenz einer Person oder Organisation darzustellen. Es ist jedoch wichtig, sich der Herausforderungen in Bezug auf die Datensouveränität bewusst zu sein. In einer Welt, in der unsere digitalen Fußabdrücke weitreichende und langfristige Auswirkungen haben können, ist das Recht auf Vergessenwerden – also die Möglichkeit, unsere Online-Historie zu kontrollieren und zu löschen – ein entscheidender Aspekt, der den Schutz unserer digitalen Identitäten und die Wahrung unserer Privatsphäre sicherstellt.

Datensouveränität und wichtige Aspekte im Umgang mit sozialen Profilen

Während das Recht „auf Vergessen werden“ und die Datensouveränität zentrale Aspekte im Umgang mit sozialen Profilen darstellen, gibt es auch in anderen Bereichen der digitalen Identitätsverwaltung wichtige Überlegungen, die wir berücksichtigen müssen.

Warum Blockchain Technologien ungeeignet erscheinen

Ein solcher Bereich ist die Blockchain-Technologie.

Während einige Experten Blockchain als eine zukunftsträchtige Lösung für die Verwaltung digitaler Identitäten ansehen, aufgrund ihrer dezentralen und sicheren Natur, stehen wir auch hier vor bestimmten Herausforderungen. Kritikpunkte wie der unverhältnismäßige Ressourcenverbrauch und potenzielle Sicherheitsrisiken sind nicht zu übersehen. Daher werden wir in unserer Diskussion den Fokus auf etablierte und weniger umstrittene Methoden der Identitätsverwaltung legen.Die Verwaltung und Sicherung digitaler Identitäten sind von entscheidender Bedeutung, um Identitätsdiebstahl, Betrug und Missbrauch zu verhindern. Gleichzeitig ermöglichen digitale Identitäten mittels Biometrie auch bequeme und effiziente Online-Erfahrungen um  auf verschiedene Dienste zugreifen. Aber auch biometrische Verfahren gelten nicht als uneingeschränkt sicher.

Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Deshalb richten wir unseren Blick jetzt auf die Rolle des Bundesamts für Sicherheit in der Informationstechnik, kurz BSI, und wie es die Sicherheit unserer digitalen Welt unterstützt.

Das BSI überwacht nicht nur den Stand der Technik, sondern kontrolliert auch die kontinuierliche Anpassung von Algorithmen und Verschlüsselungstechnologien.

Das ist entscheidend, um unsere digitalen Identitäten und Daten vor potenziellen Bedrohungen zu schützen.

Ein wichtiger Aspekt der digitalen Identitätsverwaltung ist die Zugangsabsicherung.

Hierbei unterscheidet das BSI zwischen verschiedenen Sicherheitsniveaus, die in verschiedenen Kontexten relevant sind.

Das BSI bietet mit seinen technische Richtlinien ein Rahmenwerk zur Bewertung und Vergleichbarkeit von Verfahren zur Identitätsprüfung hinsichtlich ihres Vertrauensniveaus.

Solche Regularien sind sind nicht nur wichtig für Bereiche wie Grenzkontrollen, sondern eben auch für alle digitalen Prozesse wie Vertragsabschlüsse und digitale Identverfahren.

Die TR-03147 etwa beschreibt als Technische Richtlinie  Bedrohungen und konkrete technische Anforderungen zum Identitätsnachweis und zur Identitätsprüfung und verwendet die Kategorien „normal“, „substanziell“ und „hoch“ zur Bewertung der Vertrauensniveaus. Diese Kategorien entsprechen den eIDAS-Sicherheitsniveaus „niedrig“, „substanziell“ und „hoch“.

Was bedeutet das konkret? Praktisch angewandt müssen wir Daten und Prozesse zur digitalen Datenverarbeitung klassifizieren und die rechtlich normierten Vertrauensniveaus darauf anwenden.

Lass uns das an leicht verständlichen Beispiel verdeutlichen:

Stellen wir uns vor, du meldest dich bei einem Online-Dienst an.

Macht es einen entscheidenden Unterchied ob Du dein privates E-Mail-Konto oder einen digitalen Service eines E-Government-Portals nutzt?

In beiden Anwendungsfällen interagierst du mit einer digitalen Plattform, die persönliche Daten verarbeitet.

Jetzt kommt die Klassifizierung ins Spiel.

Je nach Art der Daten und der Sensibilität der Transaktion, die du durchführst, können diese Daten unterschiedlich klassifiziert werden.

Dein Benutzername und Passwort, die du für den Zugang zu deinem E-Mail-Konto verwendest, könnten als „Normal“ oder „Niedrig“ nach eIDAS Kriterien klassifiziert werden, da sie in der Regel einen grundlegenden Schutz bieten, der hier ausreichend sein mag.

Aber was ist, wenn du dich für ein E-Government-Portal anmeldest, um vertrauliche Dokumente, etwa zu deiner Rentenversicherung abzurufen?

Auch jegliche medizinische Daten, also deine persönlichen Gesundheitsdaten sind hochgradig sensible Informationen.

Klassifikation von Vertrauensniveaus für angemessene IT Sicherheit

In diesem Fall müssen die Vertrauensniveaus folglich höher sein.

Je nach Kontext könnte hier eine „Substanzielle“ oder „Hohe“ Klassifizierung erforderlich sein. Außerdem ist sicherzustellen, dass deine Identität wirklich verifiziert wird, bevor überhaupt eine Autorisierung erfolgt die überhaupt erst den Zugriff auf diese sensiblen Informationen gewährt.

In solchen Fällen sind die Vertrauensniveaus von entscheidender Bedeutung.

Eine „Substanzielle“ oder „Hohe“ Klassifizierung wird hier oft als Mindestanforderung festgelegt, um sicherzustellen, dass die Identität des Nutzers in höchstem Maße verifiziert wird, bevor überhaupt eine Autorisierung erfolgt, die den Zugriff auf diese äußerst sensiblen Informationen gewährt.

Das BSI spielt hier eine zentrale Rolle in der Gewährleistung der Sicherheit digitaler Identitätsverfahren. Es ist verantwortlich für die Festlegung von Standards und Empfehlungen im Bereich der Informationssicherheit. Das BSI sorgt beratend dafür, dass digitale Identitätsverfahren, insbesondere in sensiblen Bereichen, den höchsten Sicherheitsstandards entsprechen. Dies beinhaltet die Normierung von technischen Standards und die Empfehlung bewährter Verfahren. Es stellt über die Empfehlungen in seinen technischen Richtlinien und in beratender Funktion sicher, dass die verwendeten Technologien und Algorithmen zur Identitätsverifikation und zum Datenschutz auf dem neuesten Stand der Technik sind.

Funktion des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)

Darüber hinaus spielt auch die bzw. aktuell der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine entscheidende Rolle. Dieses Amt hat die Aufgabe, die Einhaltung der Datenschutzbestimmungen und des Datenschutzes im Allgemeinen zu überwachen. Im Kontext digitaler Identitäten stellt der BfDI sicher, dass persönliche Informationen geschützt und die Rechte der Bürger in Bezug auf ihre Daten gewahrt werden.

Der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat also die Aufgabe, die Einhaltung der Datenschutzbestimmungen und des Datenschutzes im Allgemeinen zu überwachen.

Es wird folglich die Umsetzung der Datenschutzgesetze  überwacht und sicher gestellt, dass Organisationen und Institutionen, die mit personenbezogenen Daten arbeiten, die erforderlichen Datenschutzstandards einhalten. So ist gewährleist, dass persönliche Informationen geschützt  bleiben und unserere Bürgerrechte in Bezug auf unsere Daten respektiert und gewahrt werden.

Diese klare Abgrenzung der Rollen und Funktionen ist entscheidend, um die Sicherheit und den Datenschutz digitaler Identitäten effektiv zu schützen und gleichzeitig die Rechte aller Bundesbürger in Bezug auf ihre Daten zu garantieren.

Anonymität und Datenschutz im Kontext digitaler Identitäten

Und dann gibt es noch die Anonymität. Stell dir vor, du möchtest online anonym an einer Abstimmung teilnehmen oder du suchst online nach Beratung zu einem sehr persönlichen Thema.

Hier wird der Status „Anonym“ von entscheidender Bedeutung, um deine Identität zu schützen und gleichzeitig sicherzustellen, dass deine Privatsphäre gewahrt bleibt.

Doch wie müsste eine anonyme Identität aussehen, um sowohl deine Identität zu schützen als auch deine Privatsphäre zu wahren?

Eine technische und durch Gesetze flankierenden Lösung für anonymen Datenverkehr ist hier unerlässlich.

Eine Möglichkeit zur Anonymisierung des Datenverkehrs könnte beispielsweise in der Verwendung von TOR -Servern bestehen.

Die TOR-Server sind Teil eines komplexen Netzwerks, das darauf abzielt, die Online-Anonymität der Benutzer zu schützen, indem der Datenverkehr durch mehrere Server geschleust wird, um die Herkunft der Daten zu verschleiern.

TOR oder auch The Onion Router lässt sich eben auch durch das Zwiebelschalenprinzip perfekt veranschaulichen. Mit dem Zwiebel Logo vor Augen kannst Du Dir gut vorstellen, warum Logo und Name hier Programm sind.

Einen anderen Ansatz verfolgen Zero-Knowledge-Beweise.

Das ist eine kryptografische Technik, um zu beweisen, dass eine bestimmte Information bekannt ist, ohne die Information selbst preiszugeben.

Dieses Konzept kann also im Kontext der Identitätsverifikation oder der Authentifizierung genutzt werden, um zu beweisen, dass eine Person berechtigt ist, ohne ihre persönlichen Daten offenzulegen.

Es ist ein protokollbasierter Mechanismus zwischen zwei Parteien, dem Prover und dem Verifier. Der Beweiser will den Verifizierer davon überzeugen, dass er den Beweis einer bestimmten Behauptung „kennt“, ohne zusätzliche Informationen preiszugeben.

Zero-Knowledge-Beweise als interaktive Ident-Prozesse

Zero-Knowledge-Beweise können als interaktive Ident-Prozesse ausgestaltet werden und ermöglichen eine sichere und private Authentifizierung, indem sie den Nachweis der Authentizität erbringen, ohne tatsächliche private Daten oder die zugrundeliegenden Inhalte des Beweises preiszugeben.

Es handelt sich also um eine kryptografische Technik, bei der eine Partei – der Beweisende (Prover) einer anderen Partei (der Verifizierer) beweist, dass sie über bestimmte Informationen verfügt, ohne diese Informationen tatsächlich preiszugeben.

Der Verifizierer stellt dem Beweiser eine Reihe von Herausforderungen, auf die der Beweiser antwortet, ohne dabei konkrete Informationen über den Beweis selbst preiszugeben. Diese Herausforderungen und Antworten sind so konzipiert, dass sie dem Verifizierer genügend Vertrauen geben, um die Behauptung als wahr anzuerkennen, ohne dabei Details über den Beweis zu erfahren.

Ein idealer Zero-Knowledge-Beweis hat drei Hauptmerkmale:

1. Erstens Vollständigkeit. Wenn die Behauptung wahr ist, wird der ehrliche Verifizierer davon überzeugt.
2. Zweitens: Korrektheit: Ein betrügerischer Beweiser kann den Verifizierer nicht täuschen, wenn die Behauptung falsch ist.
3. Drittens: Zero-Knowledge – der Verifizierer erhält keine Informationen außer der Tatsache, dass die Behauptung wahr ist.

Zero-Knowledge-Beweis für Passwort-Authentifizierung im Detail

Machen wir einen solchen Zero-Knowledge-Beweis Schritt für Schritt verständlich.

Schritt 1: Vorbereitung:

Als Nutzer erstelle ich im Voraus einen öffentlichen Schlüssel und einen privaten Schlüssel, basierend auf meinem Passwort. Den öffentlichenSchlüssel gebe ich dem System des Verifizierer bekannt, während mein privater Schlüssel geheim bleibt.

Schritt 2: Herausforderung vom System:

Wenn ich mich als Nutzer später beim System anmelden möchte, sendet das System eine zufällig generierte Herausforderung an mich als Nutzer. Diese Herausforderung ist eine Nachricht oder eine Zahl, die von mir als Nutzer verarbeitet werden soll.

Schritt 3: Antwort des Nutzers:

Als Nutzer verwende ich meinen privaten Schlüssel, um die Herausforderung zu „signieren“ oder auf eine Weise zu verarbeiten, die ohne Kenntnis des privaten Schlüssels nicht möglich wäre. Dabei sende ich als Nutzer diese bearbeitete Herausforderung zurück an das System, aber ohne den privaten Schlüssel selbst preiszugeben.

Schritt 4: Überprüfung durch das System:

Das System verwendet nun den öffentlichen Schlüssel von mir als Nutzers, um zu überprüfen, ob die Antwort korrekt bearbeitet wurde. Da der öffentliche Schlüssel mit dem privaten Schlüssel korrespondiert, kann das System feststellen, ob die Antwort gültig ist, ohne jemals das Passwort oder den privaten Schlüssel zu sehen.

Schritt 5: Ergebnis: Wenn meine Antwort als Nutzers die Überprüfung besteht, weiß das System, dass ich als Nutzer im Besitz des korrekten privaten Schlüssels (und damit des Passworts) bin. Damit habe ich als Nutzer erfolgreich meine Identität bewiesen, ohne jemand mein Passwort zu übermitteln.

Diese Methode bietet uns drei wesentliche Eigenschaften :

• Keine Offenlegung des Passworts: Zu keinem Zeitpunkt muss der Nutzer sein Passwort oder seinen privaten Schlüssel an das System übermitteln.
• Nutzung von Kryptographie: Die Verwendung von öffentlichen und privaten Schlüsseln ermöglicht es, einen Beweis zu erbringen, ohne sensible Informationen preiszugeben.
• Sicherheit der Methode: Da die Herausforderung zufällig und einzigartig ist, kann sie nicht vorhergesehen oder wiederverwendet werden, was die Sicherheit dieses Verfahrens erhöht.

Unser Beispiel illustriert das Grundkonzept eines Zero-Knowledge-Beweises, wobei die spezifischen Algorithmen und Protokolle je nach Anwendung variieren können.

Die Analogie des Zero-Knowledge-Beweises zum Dreisatz in der Mathematik, hilft das Konzept weiter zu verdeutlichen. Stell Dir vor, der Dreisatz ist ein Prozess, bei dem aus einer bekannten Beziehung zwischen zwei Größen auf eine dritte Größe geschlossen wird.

Übertragen auf Zero-Knowledge-Beweise bedeutet das:

Gegebene Beziehung: In der Mathematik könnte eine bekannte Beziehung beispielsweise lauten: „Wenn 2 Äpfel 4 Euro kosten, wie viel kosten dann 3 Äpfel?“ Die Antwort lässt sich durch den Dreisatz leicht ermitteln.

Zero-Knowledge-Beweis: In unserem kryptografischen Szenario entspricht die bekannte Beziehung dem privaten Schlüssel, der in Beziehung zum öffentlichen Schlüssel steht. Der Nutzer kennt diesen privaten Schlüssel – analog zu den Preisen und Mengen in unserem Apfelbeispiel – aber er möchte diese Information nicht direkt offenlegen.

Lösung der Herausforderung: Im mathematischen Beispiel würden wir die Lösung – also den Preis für 3 Äpfel finden, ohne die ursprüngliche Preis-Mengen-Beziehung zu ändern.

Antwort auf die Herausforderung (Zero-Knowledge):

Im Zero-Knowledge-Kontext verarbeitet der Nutzer die Herausforderung mit seinem privaten Schlüssel. Dies ist vergleichbar damit, den Dreisatz anzuwenden, um die Antwort zu finden, aber ohne die zugrundeliegenden Preise und Mengen, also den privaten Schlüssel, preiszugeben.

Überprüfung (Dreisatz und Zero-Knowledge): Sowohl im Dreisatz als auch im Zero-Knowledge-Szenario kann die Korrektheit der Lösung oder Antwort überprüft werden, ohne die zugrundeliegenden Daten zu kennen. Im Dreisatz überprüfen wir, ob die Lösung mathematisch sinnvoll ist, und im Zero-Knowledge-Kontext überprüft der Verifizierer, ob die Antwort mit dem öffentlichen Schlüssel übereinstimmt.

In beiden Fällen – im mathematischen Dreisatz und im Zero-Knowledge-Beweis – wird eine Lösung oder Antwort bereitgestellt, die auf einer bekannten Beziehung basiert, ohne jedoch alle zugrundeliegenden Informationen offenzulegen.

Der Hauptunterschied besteht darin, dass der Zero-Knowledge-Beweis in der Kryptographie verwendet wird, um die Authentizität oder Wahrheit einer Behauptung zu verifizieren.

Vertrauensvolle Clearing Stelle für anonyme Identitäten

Ein alternatives Verfahren um anonyme Identitäten zu realisieren wäre die Nutzung einer vertrauensvollen Clearing Stelle, die Identitätsattribute verifiziert und einer dritten Partei bestätigt.

Welche technische Lösung letztlich also für eine anonyme Identität auch immer vorgesehen würde, entscheidend ist, dass eine solche Lösung  regelmäßig auditiert wird und dann nach definierten Kriterien zertifiziert und zugelassen wird.

Alles vollständig transparent und zwar sowohl in Bezug auf den Auditierungs- und Zertifizierungsprozess wie auch auf den kompletten Source Code.

Auch hier greift natürlich wieder die Kerkhoffsche Maxime.

Setzen wir unsere Reise durch die Welt der digitalen Identitäten und des Identity and Access Managements (IAM) fort.

Authentifizierung vs. Autorisierung

An dieser Stelle müssen wir Authentifizierung von Autorisierung klar abgrenzen.

Was sind die Unterschiede zwischen Authentifizierung und Autorisierung?

In der Welt der digitalen Identitäten sind dies grundlegende Konzepte. Authentifizierung dreht sich um die Frage „Wer bin ich?“ und Autorisierung geht darum, „Was darf ich tun?“. Welche Berechtigungen erhalte ich als Nutzer von einem System? Es ist wesentlich diese beiden Konzepte klar voneinander zu trennen um zu verstehen, wie sie unsere Online-Sicherheit beeinflussen.

Standards und Protokolle

Kommen wir zu Standards und Protokollen im Kontext von digitalen Identitäten.

Welche Standards und Protokolle bilden eigentlich das Rückgrat einer Lösung für digitale Identitäten und haben eine wichtige Funktion beim Zugriffsmanagement, also für Autorisierungen?

Dabei richten wir unser Augenmerk auf den Kontext moderner Cloud IAM-Systeme. Solche Systeme decken ein breites Spektrum zur  Authentifizierung, Autorisierungs und beim Management also dem Handling digitaler Identitäten ab. Schauen wir uns diese Standards und Protokolle im einzelnen an und beachten warum sie besonders relevant sind:

Kerberos – Protokoll für Netzwerkauthentifizierung

Da wäre zunächst Kerberos, das als ein älteres, aber bewährtes Protokoll für Netzwerkauthentifizierung gilt. Auch Kerberos hat einen spezifischen Bezug zu modernen Cloud IAM-Systemen, insbesondere in der Weise, wie es in geschlossenen Unternehmensnetzwerken mit Cloud-Anbindung eingesetzt wird:

Kerberos ist regelmäßig eine Brückentechnologie zwischen On-Premise Welten und der Cloud:

In vielen Unternehmen, die sowohl On-Premise-Systeme, also Software, die auf eigenen physischen Servern und Rechenzentren betrieben wird, als auch Cloud-Dienste nutzen, besteht eine hybride IT-Infrastruktur. Dies bedeutet, dass ein Teil der IT-Ressourcen und Anwendungen lokal in ihren eigenen Rechenzentren, also On-Premise, betrieben wird, während gleichzeitig Cloud-Ressourcen von externen Anbietern genutzt werden.

Eine solche hybride Umgebung bietet eine gewisse Flexibilität und Skalierbarkeit, da sie je nach Bedarf zwischen On-Premise- und Cloud-Ressourcen wechseln können. Darüber hinaus bedarf es in beiden Umgebungen entsprechender Sorgfaltspflichten in Bezug auf Datenschutz, Integrität und IT-Security.

In solchen Umgebungen, die also OnPremise Software als auch Cloud-Dienste nutzen, fungiert Kerberos als eine Brücke für die Authentifizierung. Es ermöglicht eine sichere Single Sign-On (SSO)-Erfahrung, indem es Benutzeridentitäten nahtlos zwischen lokalen Netzwerken und Cloud-basierten Anwendungen verifiziert.

Cloud-Dienste bieten oft native Unterstützung oder kompatible Schnittstellen für Kerberos. Dadurch können Unternehmen, die bereits eine Kerberos-basierte Authentifizierungsinfrastruktur etabliert haben, diese nahtlos in ihre Cloud-Dienste integrieren.

Auch für Föderierte Identitäten ist Kerberos relevant: In Föderationsszenarien, wo Identitätsinformationen über verschiedene Domänen und Plattformen hinweg gemeinsam genutzt werden, kann Kerberos verwendet werden, um Identitäten in einem geschlossenen Netzwerk zu authentifizieren, die dann für den Zugriff auf Cloud-Ressourcen genutzt werden.

Obwohl Kerberos primär für geschlossene Netzwerke entwickelt wurde, wurde es erweitert, um moderne Sicherheitsanforderungen zu erfüllen. Dazu gehören Verbesserungen in Bezug auf Verschlüsselungstechnologien und die Kompatibilität mit neueren Protokollen und Standards.

Kerberos spielt also zweifellos eine wichtige Rolle bei der Authentifizierung in Unternehmensnetzwerken und wird erwartungsgemäß auch weiterhin eine Rolle als Brücke zur Cloud spielen.

Wir Kerberos absehbar verzichtbar?

Dennoch gibt es Faktoren, die darauf hindeuten, dass Kerberos in einigen Umgebungen absehbar verzichtbar sein könnte:

1. Cloud-native Authentifizierung: Cloud-Plattformen und -Dienste entwickeln sich ständig weiter und bieten oft eigene, cloud-native Authentifizierungsmethoden. In neuen Cloud-First- oder Cloud-Only-Umgebungen könnten Organisationen diese integrierten Lösungen bevorzugen, anstatt Kerberos als Vermittler zu verwenden.

2. Passwörterlose Authentifizierung: Ein zunehmender Trend in der IT-Sicherheit ist die passwortlose Authentifizierung, bei der biometrische Daten, Token oder andere Faktoren anstelle von Passwörtern verwendet werden. Kerberos basiert immer noch auf Passwortauthentifizierung, was in Zeiten zunehmender Sicherheitsbedenken – vor allem durch leicht kompromitierbare Passwörter – eine Einschränkung sein könnte.

3. Erweiterung und Skalierung: Obwohl Kerberos in hybriden Umgebungen eine Brückenrolle spielt, kann es in extrem großen und komplexen Cloud-Infrastrukturen an Skalierbarkeitsgrenzen stoßen. In diesen Umgebungen sind oft modernere Authentifizierungs- und Identitätsverwaltungssysteme gefordert.

4. Neue Standards und Protokolle: Im Zuge des Cloud-Trends haben sich neue Standards und Protokolle formiert, die für die Authentifizierung und Identitätsverwaltung geeigneter erscheinen.

Obwohl Kerberos für einige Organisationen sehr wahrscheinlich auch weiterhin eine wichtige Rolle in bestimmten Unternehmensumgebungen spielen mag, ist es nicht unbedingt die zukunftssicherste Lösung in allen Szenarien.

IAM-Standard ist X.509 für öffentliche Schlüsselzertifikate und Zertifikatsspeicher

Ein weiterer relevanter IAM-Standard ist X.509, das ist ein Standard für öffentliche Schlüsselzertifikate und Zertifikatsspeicher.

X.509: Grundlegend für die Authentifizierung und Verschlüsselung im Internet, besonders im SSL/TLS-Kontext

X.509 ist ein internationaler Standard für die Spezifikation von öffentlichen Schlüsselzertifikaten und die Infrastruktur zur Authentifizierung und Verschlüsselung in digitalen Kommunikationssystemen. Dieser Standard spielt eine entscheidende Rolle im Internet, insbesondere im Kontext von SSL dem Secure Sockets Layer und TLS also dem Transport Layer Security.

SSL und TLS sind die aktuell zentralen Protokolle, die die Sicherheit von Webkommunikation gewährleisten. Hierbei ist es wichtig abzugrenzen, dass SSL und TLS nur den Transportweg zwischen Client und Server gewährleisten und keine Ende zu Ende Verschlüsselung zwischen zwei Kommunikationspartnern bieten.

Jeder von uns kennt SSL und TLS und wir nutzen es tagtäglich, wenn wir mit dem Internetbrowser im Web unterwegs sind. Ist es aktiv, signalisiert und der Browser, etwa durch ein kleines Schloss dass wir eine geschütze Webverbindung nutzen.

Wie funktionieren zertifikatsbasierte Infrastrukturen?

Sie beginnt bei der Public Key Infrastructure – kurz PKI. Hier bildet X.509 die Grundlage für eine Public Key Infrastructure. Und eine solche PKI ist letztlich nichts anderes als ein Rahmenwerk zur sicheren Verwaltung von Schlüsseln und Zertifikaten.

Dabei definiert X.509 das Format für digitale Zertifikate. Diese Zertifikate enthalten öffentliche Schlüssel und Identitätsinformationen und dienen dazu, die Identität von Entitäten – also zwischen Websites und Benutzer zu überprüfen. Bei einer sicheren Verbindung zu einer Website beispielsweise verwendet der Webbrowser das X.509-Zertifikat der Website, um deren Authentizität zu bestätigen.

3. Verschlüsselung:
X.509 spielt eine Schlüsselrolle bei der Verschlüsselung von Datenübertragungen über das Internet. Wenn Sie beispielsweise eine sichere HTTPS-Verbindung zu einer Website herstellen, erfolgt die Verschlüsselung und Authentifizierung mithilfe von Zertifikaten, die auf dem X.509-Standard basieren.

SSL/TLS: SSL und sein Nachfolger TLS verwenden X.509-Zertifikate für die Authentifizierung von Servern und in einigen Fällen auch von Clients. Diese Protokolle stellen sicher, dass die Daten zwischen dem Benutzer und der Website verschlüsselt sind und dass die Website tatsächlich diejenige ist, für die sie sich ausgibt.

Vertrauen und Zertifizierungsstellen:

X.509-Zertifikate werden von Zertifizierungsstellen, den sogenannten Certificate Authorities – kurz CAs –  ausgestellt und signiert. Diese CAs sind vertrauenswürdige Entitäten, die die Echtheit der in den Zertifikaten enthaltenen Informationen bestätigen. Webbrowser und andere Anwendungen vertrauen den Wurzelzertifikaten dieser CAs, um die Gültigkeit von Zertifikaten zu überprüfen.

Schutz vor Man-in-the-Middle-Angriffen: X.509 hilft einen Teil von Man-in-the-Middle-Angriffe zu verhindern, nämliche jene bei denen ein Angreifer den Datenverkehr zwischen zwei Parteien abfängt und möglicherweise manipuliert. Durch die Überprüfung von Zertifikaten können Benutzer sicherstellen, dass sie mit der beabsichtigten Website oder dem beabsichtigten Server kommunizieren.

X.509 ist also ebenfalls ein grundlegender Standard für unsere Sicherheit im Internet. Er ermöglicht die Authentifizierung von Entitäten und die Verschlüsselung von Datenübertragungen, was für den Schutz der Privatsphäre und die Sicherheit von Online-Kommunikation von entscheidender Bedeutung ist. X.509-Zertifikate sind heute allgegenwärtig und spielen eine Schlüsselrolle in der Gewährleistung der Integrität und Vertraulichkeit von Daten im digitalen Zeitalter.

eIDAS-Verordnung der Europäischen Union mit dem Fokus digitaler Identitäten

Die eIDAS-Verordnung der Europäischen Union hat das Ziel, elektronische Identifizierungs- und Vertrauensdienste innerhalb der EU zu harmonisieren und zu fördern. Ein wichtiger Bestandteil dieser Verordnung  ist die Verwendung von elektronischen Signaturen und Zertifikaten zur Authentifizierung und Sicherung von Online-Transaktionen.

Eine der Maßnahmen im Rahmen von eIDAS war die Einführung von Vertrauensdiensteanbietern, den Trust Service Providers, kurz TSPs, die digitale Zertifikate ausstellen und verwalten. Deren Zertifikate sollen dazu dienen die Identität von Benutzern und Diensten im Internet zu überprüfen und den sicheren Austausch von Informationen zu ermöglichen.

Eine Kritik, die an der eIDAS Normierung geäußert wird, betrifft die Implementierung von Zertifikatslisten in den Root-Zertifikatspeichern der Browserhersteller. Diese Listen enthalten Informationen über vertrauenswürdige Zertifizierungsstellen (Certificate Authorities, CAs), die digitale Zertifikate ausstellen. Browser verwenden diese Listen, um die Gültigkeit von Zertifikaten zu überprüfen und sicherzustellen, dass die Kommunikation mit einer Website oder einem Dienst sicher ist.

Die Kritik bezieht sich darauf, dass die EU-Verordnung Browserhersteller dazu verpflichtet hat, die von TSPs ausgestellten Zertifikate in ihre Root-CA-Listen aufzunehmen. Dies kann dazu führen, dass Zertifikate von TSPs, die möglicherweise nicht den strengsten Sicherheitsstandards entsprechen, dennoch von den Browsern als vertrauenswürdig angesehen werden.

Damit entstünden potenzielle Sicherheitsrisiken wenn Zertifikate von wenig vertrauenswürdigen TSPs missbräuchlich genutzt werden.

Es ist wichtig zu betonen, dass die eIDAS-Verordnung darauf abzielt, die Interoperabilität und den sicheren elektronischen Austausch von Informationen innerhalb der EU zu fördern. Die Einbindung von TSP-Zertifikaten in Root-CA-Listen kann dazu beitragen, die Verwendung elektronischer Identitäten in der EU zu erleichtern. Allerdings müssen Browserhersteller und Aufsichtsbehörden sicherstellen, dass strenge Sicherheitsstandards eingehalten werden und dass TSPs angemessene Sicherheitsvorkehrungen treffen, um die Integrität und Vertraulichkeit von Zertifikaten und Identitätsinformationen zu gewährleisten.

Eine weitere berechtigte Kritik ist, dass die Regulierung, insbesondere im technologischen Bereich, oft hinter den aktuellen Entwicklungen zurückbleibt. Dies gilt auch für eIDAS. Die initiale Verordnung wurde 2014 verabschiedet und trat 2016 in Kraft. In einer digitalen Welt ändern sich die Technologien jedoch rasch, und Regulierung und komplexe Rechtsvorschriften verursachen regelmäßig Schwierigkeiten bei der technischen Umsetzung und halten nicht mit diesem Tempo Schritt.

Es ist sehr herausfordernd neue Entwicklungen, insbesondere im Bereich der digitalen Identitäten und der Sicherheitstechnologien in ausreichendem Maß praxisnah in eine EU-Verordnung zu integrieren.

Der Kritikpunkt in Bezug auf die Implementierung von Zertifikatslisten in Browsern ist ein Schwachpunkt, wenn es hierbei zu Verzögerungen bei der Aktualisierung von Zertifikatslisten und potenziellen Sicherheitsproblemen kommen sollte. Die Browserhersteller werden erfahrungsgemäß schnell reagieren können, aber auf Seiten der Nutzer*innen und auch in jeder Organisaiton ist ein Umdenken in Richtung Awareness von Cyberrisiken dringend erforderlich.

Halten wir fest:  Insgesamt ist die eIDAS-Verordnung ein bereits eingeschlagener Weg und somit ein wichtiger Schritt zur Förderung der digitalen Identität und Sicherheit in der EU, aber es bleibt wichtig, die potenziellen Herausforderungen und Sicherheitsaspekte im Auge zu behalten und angemessen zu adressieren.

Certificate Revocation – der Widerruf eines erteilten, gültigen Zertifikats

Hier wird die Certificate Revocation, also der konkrete Widerruf eines erteilten, gültigen Zertifikats und dessen reibungsloser relevant. In der Praxis gibt es hier regelmäßig Schwierigkeiten aufgrund von kaskadierenden Supportprozessen und diversen Akteuren. Der Prozess den ein einzelner Admin in der Rolle eines Websitebetreibers auf Basis der weit verbreiteten kostenfreien let’s encrypt Zertifikate mühelos beherrscht, wird in einer ausufernden Supportkette leicht zum Horrorspiel.   

Das hängt oft mit den unterschiedlichen Arten von Zertifikatswiderrufsmechanismen und den spezifischen Anforderungen der jeweiligen Zertifizierungsstellen zusammen.

Ein einzelner Administrator, der eine Website betreibt und Let’s Encrypt verwendet, kann Zertifikate in der Regel sehr einfach verwalten. Aber in größeren Organisationen oder komplexen Infrastrukturen, in denen mehrere Parteien und Teams involviert sind, kann die Koordination und der reibungslose Widerruf von Zertifikaten zu einer echten Herausforderung werden. Dies unterstreicht die Bedeutung einer klaren und effektiven Richtlinie für das Zertifikatsmanagement in Unternehmen und Organisationen.

Wenn mit eIDAS eine solche Zertifikatsinfrastruktur etabliert wird ist es also enorm wichtig, dass Organisationen reibungslose Prozesse und Verfahren implementieren, um sicherzustellen, dass Zertifikate ordnungsgemäß widerrufen werden können, wenn dies erforderlich ist, um Sicherheitsrisiken zu minimieren.

Die perfekte Zusammenarbeit zwischen verschiedenen Teams, eine klare und transparente Dokumentation von Verantwortlichkeiten und Abläufe gehört zwingend dazu, um sicherzustellen, dass der Zertifikatswiderruf reibungslos erfolgt.

ISO/IEC 27001 Standard und zentrale Leitlinie für das Management von Informationssicherheit

Hier bietet die ISO/IEC 27001 Norm als  international anerkannter Standard eine umfassende Leitlinie für das Management von Informationssicherheit in Organisationen.

Dieser Standard legt die Anforderungen für die Einführung, Umsetzung, Überwachung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems fest.

Im Kontext digitaler Identitäten und Sicherheit spielt die ISO/IEC 27001 eine wichtige Rolle.

• Für das  Risikomanagement wird mit dieser Norm die Notwendigkeit eines systematischen Ansatzes zur Identifizierung, Bewertung und Behandlung von Informationssicherheitsrisiken definiert. Dies schließt auch Risiken im Zusammenhang mit digitalen Identitäten ein, wie beispielsweise Risiken im Zusammenhang mit der Authentifizierung und Autorisierung von Benutzern.
• Compliance: Der Standard fordert die Einhaltung von gesetzlichen und regulatorischen Anforderungen im Bereich der Informationssicherheit. Dies ist besonders wichtig, da viele Vorschriften und Gesetze auch Anforderungen im Zusammenhang mit digitalen Identitäten und Datenschutz enthalten.
• Die Zertifizierung ist eine sichtbarer Nachweis für Organisationen nach aussen und dient dem Training und der laufenden Validierung der Umsetzung von IT Security.  Das schafft Vertrauen bei Kunden und Partnern und soll versichern, dass angemessene Sicherheitsvorkehrungen im Zusammenhang mit digitalen Identitäten getroffen werden.Da Papier geduldig ist, zählt was in der Praxis im Rahmen dem effektiven Schutz gegen Cyberangriffe umgesetzt wird. Hier bewährt sich der proaktive Schutz in der Erkennung möglicher Angriffsvektoren und jegliche Härtung gegen Cyberbedrohnungen.
• Neben einem effektiven Patch-Management gilt es Sicherheitslücken zu identifizieren und zu schließen, um jegliche digitale Informationen und die digitale Identität der Benutzer zu schützen.

Zusammengefasst bedeutet dies, dass es nicht eine einzige digitale Identität gibt, sondern vielmehr ein Sammelsurium unterschiedlichster Standards, Vorschriften und Rahmenbedingungen und die digitalen Identitäten sehen demzufolge von Plattform zu Plattform unterschiedlich aus.

Es gibt also tatsächlich kein universelles Konzept einer einzigen digitalen Identität. Stattdessen gibt es eine Vielzahl von Standards, Protokollen, Vorschriften und Technologien, die in verschiedenen Kontexten und Plattformen verwendet werden, um digitale Identitäten zu verwalten und zu authentifizieren.

Je nach Anwendungsfall, Branche und technologischer Infrastruktur können sich die Formen und Mechanismen digitaler Identitäten stark unterscheiden.

Diese Vielfalt an Ansätzen kann sowohl Vorteile als auch Herausforderungen mit sich bringen. Einerseits ermöglichen unterschiedliche Standards und Technologien eine Anpassung an spezifische Anforderungen und Sicherheitsbedürfnisse. Andererseits können sie auch zu Komplexität und Interoperabilitätsproblemen führen, insbesondere wenn es darum geht, digitale Identitäten nahtlos über verschiedene Plattformen hinweg zu verwalten und zu nutzen.

Die Entwicklung hin zu einer einheitlichen und interoperablen digitalen Identitätslandschaft ist ein laufender Prozess, und verschiedene Initiativen arbeiten daran, diese Herausforderungen anzugehen und bessere Lösungen für die Verwaltung und Nutzung digitaler Identitäten zu schaffen.

Ich hoffe, dass Dir unsere heutige Podcast-Folge informative Einblicke in die Digitale Identitäten ermöglicht hat.

Bleib dran, denn in kommenden Podcast Episoden geht es direkt weiter.

Im zweiten Teil unserers dreiteiligen Rock the Prototype Podcast Special rund um digitale Identitäten setzen wir das Thema fort und werfen mit OpenID Connect einen Blick auf ein besonders wichtiges Konzept.

Du wirst die OpenID Federation und ihre Motivation zur Konzeption

des OIDC Authentifizierungsprotokolls kennenlernen.

Es baut auf dem OAuth Framework auf und erweitert es, um die Authentifizierung und Identitätsverifikation von Benutzern in Webanwendungen, APIs und Apps zu ermöglichen.

Wenn du Fragen hast oder weitere Informationen benötigst, zögere nicht, dich bei mir zu melden. abonniere jetzt unseren Podcast. Bitte unterstütze uns auch mit Deiner Bewertung unseres Podcasts und hinterlass uns deinen persönlichen Kommentar!

Vielen Dank fürs Zuhören und bis zur nächsten Folge des Rock the Prototype Podcast!

Euer Sascha Block