Vertrauen 4.0: Wie effektiv ist digitales Identitätsmanagement?

Dropbox. Sony. Yahoo. Adobe. Die Liste von Unternehmen, denen Benutzerdaten in großem Stil gestohlen wurden, lässt sich noch deutlich erweitern. Fälle wie diese schaden nicht nur den Unternehmen und den betroffenen Anwendern. Auf dem Spiel steht vielmehr das Vertrauen ins Internet selbst. Warum digitales Identitätsmanagement so wichtig ist und was dafür getan wird, um es zukünftig besser zu schützen.

In der realen Welt bestätigen wir unsere Identität mit einem Personalausweis. Online haben wir dafür Passwörter, PINs oder benutzen eine Kombination aus Adresse, Geburtsdatum und Namen. Sie alle sind Bestandteil unserer sogenannten „digitalen Identität“, die uns den Zugang zu diversen persönlichen Accounts gewährt: vom E-Mail-Konto über firmeninterne Portale bis hin zur Steuererklärung.

Doch zu oft geraten diese Identitäten in die Hände von Kriminellen. Allein 2016 registrierte das BKA 10.638 Straftaten, bei denen sich Hacker unerlaubt Zugang zu Nutzerdaten verschafft haben. Ob bei einer solchen Straftat ein einzelner Account kompromittiert wurde, oder gar Millionen betroffen sind, wird in dieser Statistik noch nicht einmal erfasst. Hinzu kommt, dass die Dunkelziffer „um ein Vielfaches höher liegen dürfte“, so das BKA. Denn viele User bekommen vom Diebstahl gar nichts mit.

Was der Verlust von Identität im Netz bedeutet

Für gewöhnlich werden die unzähligen Nutzerdaten – die meistens durch den Einsatz von gefälschten Webseiten oder betrügerischen E-Mails (Phishing) erbeutet werden – zum Verkauf angeboten. Cybercrime-as-a-Service nennt sich das Geschäftsmodell, mit dem Millionen verdient wird. Die Käufer verwenden die Identitäten, um in fremden Namen online Produkte einzukaufen, Verträge abzuschließen oder gar die Reputation des Opfers zu beschädigen.

Doch der dabei entstehende Schaden geht über das persönliche Wohl hinaus. Er berührt die Integrität des Internets. „Vertrauen im Internet entsteht dann, wenn Nutzerinnen und Nutzer sich auf sichere, eindeutig zurechenbare Identitäten von Personen verlassen können“, schreibt das Bundesministerium für Bildung und Forschung im Forschungsrahmenprogramm der Bundesregierung zur IT-Sicherheit. Die Bundesregierung befürchtet in ihrer „digitalen Agenda 2014 – 2017“ gar, dass mangelndes Vertrauen in die digitale Welt die Digitalisierung ausbremse: „Ohne Vertrauen […] wird es nicht gelingen, die wirtschaftlichen und gesellschaftlichen Potenziale des digitalen Wandels zu erschließen.“

Auf der Suche nach Sicherheit

Sowohl Wirtschaft als auch Wissenschaft sind drauf und dran, das digitale Identitätsmanagement besser zu schützen. Wie so oft in der IT-Sicherheit soll dabei der „Teufelskreis von Angriff und Reaktion“ durchbrochen werden, wie es im Forschungsprogramm des Bildungsministeriums heißt. Also agieren anstatt nur zu reagieren – und das möglichst benutzerfreundlich: „IT-Sicherheitslösungen, die zu kompliziert oder nicht transparent sind, werden oft gemieden, umgangen oder versehentlich fehlgenutzt.“

Vor diesem Hintergrund sehen Experten großes Potenzial in der Blockchain. Als manipulationssichere Transaktionsmethode könnte sie die Basis für ein einheitliches, sicheres Benutzerkonto im Web sein. Das Single-Sign-on-Prinzip ist längst von Facebook und Google bekannt: Betreiber können das Authentifizierungssystem der beliebten Plattformen in ihre eigene Website einbinden, anstatt mit eigener Login-Mechanik neue potenzielle Sicherheitslücken zu öffnen. Der Vorteil von Blockchain gegenüber diesen Lösungen: Die Authentifizierung läuft nicht über die Systeme einzelner Konzerne.

KI soll Unternehmen schützen

Ein kleiner Exkurs in die Wirtschaft: Für Unternehmen sind Identitäts-, Rollen- und Berechtigungsmanagement seit Langem ein entscheidender Sicherheitsfaktor. Schließlich sollen nur Befugte Zugang zu bestimmten IT-Systemen oder Informationen erhalten können. In diesem Bereich geht der Trend zur künstlichen Intelligenz, wie die European Identity & Cloud Conference 2017 zeigte. Je nachdem, über welche Berechtigungen ein User verfügt, ermittelt heutige Software beispielsweise einen individuellen Risikofaktor eines Anwenders – also, welchen Schaden er potenziell anrichten könnte. Ist dieser Faktor hoch, verlangt das System beispielsweise automatisch eine Zwei-Faktoren-Authentifizierung oder vergibt bestimmte Berechtigungen nur temporär. Inzwischen ist auch Machine-Learning-Software auf dem Markt, die das Zugriffsverhalten von Usern in Echtzeit analysiert und mit deren früheren Verhalten vergleicht. So lässt sich ein ungewöhnlich hohes Risiko einer Datenschutzverletzung im Voraus erkennen.

Eine Chance für Deutschland?

Das Bundesministerium für Bildung und Forschung hatte bereits 2015 ein Forschungsprogramm ins Leben gerufen, das sich mit der Erarbeitung eines zuverlässigen digitalen Identitätsmanagements beschäftigt. Einer der Schwerpunkte ist dabei die Weiterentwicklung von Individual- zu Standardlösungen, also dem oben beschriebenen Single-Sign-on. Ob die Forscher dabei eine sinnvollere Alternative zu Blockchain finden, wird sich zeigen.

Die Pläne der Bundesregierung in diesem Bereich der IT-Sicherheit sind ambitioniert. Sie sieht mit ihrer Forschung das Potenzial, Deutschland zum globalen Leitanbieter für Sicherheitslösungen zu machen:

„Deutschland ist international führend im Datenschutzrecht und kann mit seiner hervorragenden Forschungslandschaft deutliche Akzente setzen.“

Ob 180 Millionen Euro Finanzierung durch den Bund dafür ausreichen, darf jedoch bezweifelt werden.

Fotos: (c) ktsdesign/shutterstock

Alle Kommentare (0)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*