Identity and Access Management

28.09.2017

IAM - Traditionelle Dienstleister brauchen sichere Online-Authentifizierung: Die Digitalisierung schreitet voran: Dienstleistungen, die heute noch einen direkten Kundenkontakt benötigen, werden in Zukunft virtuell möglich sein. Dabei wird die Authentifizierung immer wichtiger: Der Autor, Informatik-Ingenieur bei der Swisscom, beleuchtet die Rolle des Identity and Access Management (IAM).

Immer wieder werden grosse Mengen an Passwörtern gestohlen. Ihre sichere Handhabung ist für Benutzer wie auch für Online-Dienstleister mit Aufwand verbunden [1]. Abhilfe leisten digitale Identitäten von Identitätsprovidern wie Facebook oder Google. Diese übernehmen die Registration der Benutzer und wickeln dann die Authentisierung für alle angeschlossenen Dienstleister ab. Doch bei dieser Art der Registrierung erfolgt keine Überprüfung der Angaben des Benutzers. Dienstleister können sich daher nicht auf die Echtheit der Daten verlassen. 

Für Online-Shops ist das weniger wichtig: Entscheidend ist die vorgängige Bezahlung der Ware. Nach der erstmaligen Lieferung weiss der Dienstleister zudem, ob die angegebene Adresse korrekt ist. Traditionelle Dienstleister wie Banken, Versicherungen oder Ärzte sind hingegen darauf angewiesen, dass die Identität ihrer Kunden auch online überprüft werden kann. 

Abb 1: Online-Kundenbeziehungen

Für sie sind folgende Aspekte wichtig: 

Verifizierte digitale Identitäten

Wenn jemand online ein Konto eröffnen will, verlangt die Bank bei der Anmeldung das Vorlegen eines elektronischen Identitätsnachweises. Dieser elektronische Identitätsnachweis muss für die Bank dieselbe Beweiskraft haben wie eine herkömmliche Identitätskarte oder ein Pass. Dem Benutzer steht es dann frei, ob er seine Identitätsdaten zeigen will (Consent). Tut er es nicht, hat dies dieselben Konsequenzen wie bei der Offline-Variante des Prozesses: Das Konto wird nicht eröffnet. Mit der SwissId [2] steht ab Herbst 2017 ein Angebot zur Verfügung, das genau diese Lücke schliessen kann.

Vertrauen

Ob Identitätsprovider oder Dienstleister: Der Benutzer muss seinem Gegenüber vertrauen können. Denn dieser erwartet, dass seine Daten auch online sorgfältig behandelt werden. Dieses Vertrauen muss zuerst aufgebaut werden. Identitätsprovider oder Dienstleister sammeln Daten des Benutzers und kennen also dessen digitale Identität. Dadurch können sie erkennen, bei welchen Dienstleistern man sich wie häufig und von wo aus angemeldet hat und wem welche Daten weitergegeben wurden. Damit können grobe Bewegungsprofile erstellt werden. Diese Daten sollten für die Benutzer einsehbar sein: Transparenz fördert das Vertrauen. Die wichtigsten Punkte zum Vertrauen hat Kim Cameron in seinen «The Laws of Identity» beschrieben [3]. 

Autorisierung

Will eine Person einer anderen Zugriff auf die gemeinsamen Urlaubsfotos gewähren, ist dies eher unkritisch. Aber wie sieht es zum Beispiel beim kommenden elektronischen Patientendossier (EPD) aus? Dort will der Patient sicher sein, dass es tatsächlich die Ärztin ist, die sein Dossier einsieht. Er erteilt also die Autorisierung an die Ärztin oder eine andere Fachperson erst, wenn diese beweist, dass die digitale Identität auch wirklich ihr gehört. Der Patient muss zudem jederzeit überprüfen können, wer welche Teile des Dossiers sehen kann, und er muss diese Autorisierungen auch wieder anpassen können.

Elektronisches Patientendossier (EPD) [4]

Auch im Zusammenhang mit dem Internet of Things wird die Autorisierung immer wichtiger. Sobald Dinge – ebenfalls digitale Identitäten – im Auftrag (on behalf) einer Person handeln, benötigen sie dazu die Autorisierung dieser Person.

Begriffserklärungen

  • Authentisierung

    Bei der Authentisierung legt eine Person den Nachweis vor, dass sie tatsächlich diejenige Person ist, die sie vorgibt zu sein. Sie belegt ihre Identität.
  • Authentifizierung

    Die Authentifizierung ist eine Prüfung der Authentisierung. Die Angaben einer Person zu ihrer Identität werden auf ihre Echtheit überprüft.
  • Autorisierung

    Die Autorisierung ist die Einräumung von bestimmten Rechten. Ist die Identifizierung einer Person erfolgreich, entscheidet die Autorisierung, welche Dienste oder Leistungen sie nutzen darf.

Dominik Kuhn ist Informatik-Ingenieur bei der Swisscom und BFH-Dozent für Identity and Access Management im CAS IT Security Management