Fraunhofer AISEC
16.01.2019, 12:26 Uhr
re:claimID: Digitale Identitäten sicher verwalten
Das Fraunhofer AISEC entwickelt mit der Open-Source-Software re:claimID eine Alternative zum Login via Facebook, Google und Co.
Immer mehr Webseiten und Apps bieten ihren Nutzern im Login- oder Registrierungsbereich die Option, sich ihre digitale Identität über einen privaten E-Mail-Server oder Social-Media-Account bestätigen zu lassen. Was für Kunden die Usability erhöht und dem Diensteanbieter eine eigene Datenhaltung erspart, ist jedoch mit Risiken für beide Seiten verbunden. Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC stellt nun eine dezentrale und freie Alternative zu diesen Identitätsprovidern zur Verfügung: re:claimID gibt Nutzern die Kontrolle über ihre digitale Identität und unterstützt Unternehmen bei der Einhaltung der DSGVO-Vorgaben.
Einkaufen, Musik hören, das smarte Zuhause steuern – die Zahl der digitalen Dienste wächst, und für fast alle von ihnen müssen Nutzer sich registrieren und anmelden. Immer mehr Diensteanbieter schlagen ihren Nutzern vor, die Abkürzung über Plattformen zu nehmen, bei denen sie bereits registriert sind, anstatt immer neue Accounts mit dazugehörigen Passwörtern zu erstellen. Unternehmen müssen erforderliche Kundendaten nicht selbst erheben und bekommen zudem wertvolle Zusatzinformationen aus den Nutzerprofilen. Die gängigsten Identitätsprovider sind Facebook und Google – deutsche Varianten wie Verimi oder NetID konnten sich als Alternativen bislang nicht etablieren.
Zentrale Identitätsprovider haben jedoch zwei ganz entscheidende Nachteile. Google-, Facebook- oder Twitter-Accounts sind an sich bereits beliebte Ziele für Hackerangriffe. Wenn sie das Einfallstor für zahlreiche weitere Dienste sind, entsteht ein Dominoeffekt, der den Schaden potenziert. Die Offenlegung sensibler Daten von Politikern und Prominenten durch einen 20-jährigen Schüler hat dies jüngst wieder eindrücklich illustriert. Außerdem stellen Identitätsprovider ihre Authentifizierungsservices nicht ohne Grund kostenlos zur Verfügung: Jeder Login an einem angeschlossenen Dienst generiert zusätzliche sensible Daten über den Nutzer, die präzise Rückschlüsse über persönliche Präferenzen und Aktivitäten zulassen. Auf Unternehmensseite entstehen gleichzeitig bedenkliche Abhängigkeiten: Entscheidet der zentrale Identitätsprovider einseitig, sein Angebot kostenpflichtig zu machen oder die Nutzungsbedingungen zu ändern, kann dies zu geschäftskritischen Konflikten führen.
Noch ein Aspekt darf nicht außer Acht gelassen werden: Durch die immer weiter voranschreitende Datenkonzentration bei zentralen Identitätsprovidern kommt diesen zunehmend eine Rolle zu, die den hoheitliche Aufgaben einer Meldebehörde gleichkommt. Staatliche Stellen beginnen beispielsweise damit, Facebook-Accounts bei der Entscheidung über Visa-Vergaben miteinzubeziehen. »Die Plattformen werden so zu demokratisch nicht legitimierten Identitätshütern.«, fasst Dr. Julian Schütte, Leiter der Abteilung Service & Application Security am Fraunhofer AISEC zusammen.
Ohne die Weitergabe der digitalen Identität ist eine Teilnahme an der digitalen Welt jedoch unmöglich. In Schüttes Abteilung wurde deshalb nach einem Weg geforscht, wie digitale Identitäten ohne die zentrale Verwaltung durch einen Drittanbieter für Webangebote genutzt werden können, so dass der Nutzer die volle Kontrolle, also die Souveränität, über die Verwendung seiner Identitäten behält.
Datensouveränität durch dezentrale Verwaltung
Ergebnis ist der dezentrale Dienst re:claimID, der Nutzern erlaubt, anderen Parteien einzelne Identitätsattribute sicher und selbstbestimmt zur Verfügung zu stellen. Der Dienst, der als Open-Source-Software frei verfügbar ist, basiert auf folgenden Prinzipien: Identitäten werden in dem sicheren Peer-to-Peer Namenssystem GNS (GNU Name System) dezentral verwaltet. Dabei kann der Nutzer für seine Identitäten einzelne Attribute wie zum Beispiel E-Mail-Adresse oder Name im Namenssystem ablegen. Dort liegen sie nicht im Klartext, also für jeden lesbar, vor, sondern sind mittels Attribute-Based Encryption (ABE) verschlüsselt. Auf Anfrage eines Diensteanbieters kann der Nutzer eine Teilmenge seiner Attribute selektiv zur Verfügung stellen. Er autorisiert ihn, indem er ihm dafür einen spezifischen Schlüssel ausstellt. Der Nutzer kann diesen Zugriff jederzeit widerrufen oder einschränken. "Damit steht eine Technologie auf Basis freier Software, dem GNS, zur Verfügung, die die Informationelle Selbstbestimmung der Nutzer stärkt. Aufgrund der dezentralen Architektur werden personenbezogene Daten nicht zentral gespeichert, wodurch Angriffe auf die Daten deutlich erschwert werden", erklärt Martin Schanzenbach, Leiter des Forschungsprojektes re:claimID.
Der Vorteil der Lösung für Diensteanbieter liegt darin, dass Kundendaten im Sinne der DSGVO bedarfsgerecht und mit Einwilligung erhoben und genutzt werden. re:claimID kann über den etablierten Standard OpenID Connect in Webseiten integriert werden und ist damit einfach zu nutzen. Technisch ändert sich für den Diensteanbieter kaum etwas. Als Authentifizierungsdienst für Webangebote ist re:claimID ab sofort einsetzbar. An einer möglichen Nutzung des Dienstes für IoT-Anwendungen ohne zentrale Cloud-Dienstleister soll weiter geforscht werden.