ADMIN

2023

08

2023-07-28T12:00:00

Remote Work

SCHWERPUNKT

076

Sicherheit

Identitätsmanagement

Dezentrale Identitäten

Besser ausweisen

von Martin Kuppinger

Veröffentlicht in Ausgabe 08/2023 - SCHWERPUNKT

Die meisten Menschen verfügen über eine Vielzahl an Konten – angefangen bei privaten Accounts auf diversen Plattformen, im Bereich der digitalen Verwaltung und nicht zuletzt als Mitarbeiter im Unternehmen. Das ist nicht unbedingt praktikabel und der Datenschutz hat oft das Nachsehen. Dezentrale Identitäten bieten hier ein großes Potenzial für eine Prozessoptimierung in Unternehmen, beispielsweise beim Onboarding neuer Nutzer. Letztere behalten derweil ihre Identitätsdaten in der Hand.

Begriffe wie dezentrale Identitäten, Decentralized Identities, Self-Sovereign Identity (SSI) oder verifizierte Identitäten werden immer häufiger diskutiert. Der Schwerpunkt liegt dabei auf der Wiederverwendbarkeit digitaler Identitäten über verschiedene Anwendungsfälle hinweg, bei gleichzeitiger Kontrolle über die Privatheit der Daten. Während die meistdiskutierten Anwendungsbereiche im eGovernment und im eCommerce liegen und das Konzept auch von zentraler Bedeutung für das Web 3.0 ist, spielt das große Potenzial für Anwendungsfälle in Unternehmen nur eine Nebenrolle. Dabei gibt es hier bedeutende Chancen für die Optimierung von bislang aufwendigen Prozessen und damit auch für erhebliche Kosteneinsparungen.
Grundgedanke dezentraler Identitäten
Derzeit kursieren viele unterschiedliche Begrifflichkeiten rund um dezentrale Identitäten. Der sich zunehmend etablierende Oberbegriff für das gesamte Thema ist "Dezentrale Identitäten" oder auf Englisch "Decentralized Identities". Dieser löst immer mehr den Begriff Self-Sovereign Identity (SSI) ab. Beide stehen für das grundlegende Konzept eines benutzerorientierten Managements von Identitäten im Gegensatz zu zentralisiertem IAM (Identity & Access Management), bei dem Unternehmen die Identitäten "ihrer" Benutzer wie Mitarbeiter, Geschäftspartner oder Kunden erstellen und verwalten. Zu diesem Konzept gehören sogenannte Wallets (Brieftaschen oder Geldbeutel), in denen Nutzer ihre Identitäten und Identitätsinformationen speichern und die Möglichkeit erhalten, diese bei unterschiedlichen Unternehmen und Organisationen zu verwenden. Die Identitäten werden also dezentral bei den einzelnen Nutzern verwaltet, die damit die Souveränität darüber besitzen.
Das ist der entscheidende Unterschied zu klassischen Konzepten: Ein Benutzerkonto bei einem eCommerce-Anbieter wie Amazon "gehört" Amazon und wird von dort zentral verwaltet, auch wenn es dabei viele Self-Service-Funktionen gibt. Ein Benutzerkonto im unternehmensinternen Active Directory "gehört" dem Unternehmen und wird dort zentral verwaltet. Dezentrale Identitäten werden dagegen eben dezentral von den Nutzern selbst in ihren Wallets verwaltet und sind wiederverwendbar.
Begriffe wie dezentrale Identitäten, Decentralized Identities, Self-Sovereign Identity (SSI) oder verifizierte Identitäten werden immer häufiger diskutiert. Der Schwerpunkt liegt dabei auf der Wiederverwendbarkeit digitaler Identitäten über verschiedene Anwendungsfälle hinweg, bei gleichzeitiger Kontrolle über die Privatheit der Daten. Während die meistdiskutierten Anwendungsbereiche im eGovernment und im eCommerce liegen und das Konzept auch von zentraler Bedeutung für das Web 3.0 ist, spielt das große Potenzial für Anwendungsfälle in Unternehmen nur eine Nebenrolle. Dabei gibt es hier bedeutende Chancen für die Optimierung von bislang aufwendigen Prozessen und damit auch für erhebliche Kosteneinsparungen.
Grundgedanke dezentraler Identitäten
Derzeit kursieren viele unterschiedliche Begrifflichkeiten rund um dezentrale Identitäten. Der sich zunehmend etablierende Oberbegriff für das gesamte Thema ist "Dezentrale Identitäten" oder auf Englisch "Decentralized Identities". Dieser löst immer mehr den Begriff Self-Sovereign Identity (SSI) ab. Beide stehen für das grundlegende Konzept eines benutzerorientierten Managements von Identitäten im Gegensatz zu zentralisiertem IAM (Identity & Access Management), bei dem Unternehmen die Identitäten "ihrer" Benutzer wie Mitarbeiter, Geschäftspartner oder Kunden erstellen und verwalten. Zu diesem Konzept gehören sogenannte Wallets (Brieftaschen oder Geldbeutel), in denen Nutzer ihre Identitäten und Identitätsinformationen speichern und die Möglichkeit erhalten, diese bei unterschiedlichen Unternehmen und Organisationen zu verwenden. Die Identitäten werden also dezentral bei den einzelnen Nutzern verwaltet, die damit die Souveränität darüber besitzen.
Das ist der entscheidende Unterschied zu klassischen Konzepten: Ein Benutzerkonto bei einem eCommerce-Anbieter wie Amazon "gehört" Amazon und wird von dort zentral verwaltet, auch wenn es dabei viele Self-Service-Funktionen gibt. Ein Benutzerkonto im unternehmensinternen Active Directory "gehört" dem Unternehmen und wird dort zentral verwaltet. Dezentrale Identitäten werden dagegen eben dezentral von den Nutzern selbst in ihren Wallets verwaltet und sind wiederverwendbar.
Das setzt allerdings Standards voraus. Hier gibt es inzwischen eine gute Basis, wobei die Entwicklung noch läuft und es auch neue Initiativen wie die OpenWallet Foundation gibt. Letztere entwickelt eine quelloffene Brieftasche, um hier für eine Vereinheitlichung zu sorgen. Ein wichtiger Teil der Standards sind die Verifiable Credentials (VC). Diese repräsentieren Informationen, die sich ansonsten in physischen Nachweisen wie Ausweisdokumenten oder auch Nachweisen wie dem Besitz eines Bankkontos oder dem Beschäftigungsverhältnis mit einem Unternehmen wiederfinden. VCs sind sehr flexibel einsetzbar. Sie werden oft als "proofs", also als Nachweise, bezeichnet. Die Standardisierung erfolgt durch das W3C. VCs arbeiten mit einem Modell von "Issuer", "Holder" und "Verifier", also Herausgeber, Besitzer und überprüfende Stelle.
Ein weiteres wichtiges Element sind die dezentralen Identifikatoren (Decentralized Identifiers, DID). Ein DID verweist als Identifikator auf ein DID-Dokument, in dem beschrieben wird, wie mit dem Besitzer des DID interagiert werden kann. Dazu zählen kryptografische Informationen wie öffentliche Schlüssel und URIs für Service-Endpunkte. Ferner gibt es den Begriff der Verified ID. Dieser wird von Microsoft im Kontext der Entra Verified IDs verwendet. Dabei handelt es sich um die Implementierung von Konzepten für dezentrale Identitäten durch Redmond in Verbindung mit Diensten wie Entra Azure Active Directory und LinkedIn.
Neue Möglichkeiten, einfache Integration
Wichtig für das grundlegende Verständnis der Funktionsweise und der Möglichkeiten, die dezentrale Identitäten bieten, sind insbesondere das bereits erwähnte Issuer/Holder/Verifier-Konzept und die Wallets. Nutzer verwenden ein oder mehrere Wallets, in denen sie verifizierbare Nachweise (VCs, Verifiable Credentials) vorhalten. Diese können sie bei Bedarf präsentieren, um beispielsweise die Identität, den Besitz eines Führerscheins für bestimmte Führerscheinklassen, den Besitz eines Bankkontos bei einer bestimmten Bank oder ein Beschäftigungsverhältnis mit einem Unternehmen nachzuweisen. Dabei kann der Nutzer steuern, welche Informationen bei welchem "Verifier" zum Einsatz kommt. Der Verifier ist die Organisation, die für bestimmte Interaktionen Credentials anfordert, verifiziert und akzeptiert.
Das kann beispielsweise der Nachweis über den Besitz eines gültigen nationalen Ausweisdokuments sein, und dass dafür eine starke Überprüfung beispielsweise per Videoidentifikationsverfahren durchgeführt wurde, um damit auf eine eGovernment-Anwendung zuzugreifen. Dezentrale Identitäten eröffnen dadurch viele neue Möglichkeiten. Zusammen mit eIDAS 2.0 und von der EU gefördert sollen sie es ermöglichen, virtuell mit Behörden auch über die Landesgrenzen hinweg zu arbeiten, ohne die Notwendigkeit, sich immer wieder zu registrieren.
In Anwendungsbereichen des Web 3.0 wie beispielsweise neuen Gaming-Anwendungen finden dezentrale Identitäten ebenfalls große Beachtung. Sie haben aber auch ein Potenzial für den eCommerce und andere Webanwendungen, weil sich die Benutzerregistrierung damit ebenso wie die Anmeldung vereinfacht. Benutzer können Informationen aus ihrem Wallet bereitstellen, um sich zu registrieren, ohne dazu Formulare auszufüllen.
Die starke Authentifizierung für den Zugriff auf das Wallet ist gleichzeitig auch der wiederkehrende Nachweis über den Besitz von Wallet und VCs und kann damit die Authentifizierung verlagern und vereinheitlichen. Und auch in der Finanzindustrie ist das Potenzial sehr groß, weil sich beispielsweise KYC-Prozesse (Know Your Customer) so sehr viel effizienter gestalten lassen. Diese Prozesse verursachen aufgrund der umfassenden regulatorischen Vorgaben sehr hohe Kosten.
Dabei lassen sich diese Verfahren grundsätzlich auch in bestehende Lösungen gut integrieren, weil sie nur eine andere Form der Bereitstellung von Registrierungsinformationen und der Authentifizierung sind. Die Backend-Anwendungen im eCommerce können unverändert bleiben. Dezentrale Identitäten können das Zusammenspiel zwischen Bürgern, Konsumenten und Kunden auf der einen Seite und Behörden und Unternehmen auf der anderen Seite deutlich vereinfachen, ohne die Entwicklung völlig neuer Systeme zu erfordern.
Letzteres ginge zwar, wie beim Web 3.0, auch, ist aber keine Voraussetzung für die Nutzung dezentraler Identitäten. Anders formuliert: Dezentrale Identitäten haben das Potenzial zur Disruption durch neue und bessere Ansätze im eGovernment, im eCommerce und in anderen Bereichen, sind aber in ihrer Implementierung nicht disruptiv, sondern lassen sich schnell und vergleichsweise einfach integrieren, um bestehende Umgebungen zu erweitern und zu verbessern.
Bild 1: Dezentrale Identitäten werden im Zusammenspiel zwischen Herausgeber, Besitzer und überprüfender Stelle genutzt.
Vielseitige Verwendung in Unternehmen
Auch für die unternehmensinternen Anwendungsfälle gilt, dass viele mithilfe dezentraler Identitäten besser gelingen, diese aber gleichzeitig gut mit bestehenden IAM-Systemen zusammenarbeiten. Im ersten Schritt lassen sich beispielsweise die Onboarding-Prozesse für Mitarbeiter und Partner optimieren. Das ist gerade in Zeiten von "Work from Anywhere" (WfA) wichtig, wo es viel seltener einen persönlichen Kontakt mit der Möglichkeit zur Identitätsprüfung gibt. Zudem sind die etablierten Onboarding-Prozesse durch den personellen Aufwand teuer.
Mit dezentralen Identitäten kann ein Benutzer durch ein VC, basierend auf dem Personalausweis samt einmaliger, starker Verifikation, beispielsweise seine Identität beim Onboarding nachweisen und Adressinformationen für das HR-System weiterstellen. Im Gegenzug könnte er weitere VCs erhalten, die beispielsweise nachweisen, dass er nun bei dem Unternehmen angestellt ist und dort in einer bestimmten Funktion arbeitet.
Gleichzeitig lassen sich von hier aus die sogenannten "Joiner"-Prozesse im IAM-System anstoßen, mit denen Benutzerkonten in Systemen wie dem Active Directory, dem Entra Azure Active Directory oder in SAP-Systemen erstellt und Zugriffsberechtigungen zugewiesen werden. Hier arbeitet das IAM-System zunächst unverändert. Ein solcher Prozess lässt sich automatisieren, weil die Nachweise alle in elektronischer Form und mit nachgewiesener Verifizierung vorliegen. Damit reduziert sich der manuelle Aufwand für den Onboarding-Prozess signifikant, womit auch die Prozesskosten sinken.
Grundsätzlich bietet sich der Zugriff auf das Wallet mit der starken Authentifizierung sogar als Teil des Authentifizierungsprozesses beim regelmäßigen Zugriff an, weil der Benutzer damit ja nachweist, dass er die VCs weiterhin besitzt und darauf zugreifen kann. Außerdem lassen sich, wie später dargestellt, das Berechtigungsmanagement und die Autorisierung von Zugriffen deutlich effizienter gestalten als heute üblich.
Mindestens genauso interessant ist das Potenzial beim Management von Identitäten von Geschäftspartnern. Die Prozesse dafür sind heute oft komplex und unzureichend. Dafür gibt es mehrere Gründe: Zum einen gibt es sehr viele unterschiedliche Szenarien, von Leiharbeitern und Auftragnehmern, die über Monate oder Jahre in einem Unternehmen tätig sind, über Projektmitarbeiter bis hin zu Angestellten beispielsweise beim Werkschutz, die häufig wechseln und in vielen Fällen bei Subunternehmen beschäftigt sind. Es gibt also sehr kurze, aber auch sehr langfristige Relationen und solche mit hoher Stabilität ebenso wie solche mit häufigem Wechsel.
Mit den VCs zur persönlichen Identität, zum Arbeitsverhältnis mit einem Unternehmen und zur Funktion im Unternehmen (und natürlich gegebenenfalls weiteren VCs beispielsweise zur Kranken- und Sozialversicherung) lässt sich auch das Onboarding in solchen Szenarien massiv vereinfachen, weil alle Nachweise in elektronischer Form geliefert und automatisiert verarbeitet werden können. Auch hier sind nun weitere VCs erstellbar, beispielsweise über das temporäre Verhältnis zu dem Unternehmen und die Rolle in einem Projekt.
Damit lassen sich nicht nur aufwendige Prozesse optimieren, sondern auch oftmals unzureichend gelöste Herausforderungen adressieren. So ist durch die Überprüfung von VCs auch verifizierbar, ob ein Projektmitarbeiter noch im Unternehmen angestellt ist, über das er in das Projekt gekommen ist. Auch das Offboarding lässt sich damit vereinfachen. Außerdem können in Szenarien wie gerade beim Werksschutz immer individuelle Benutzerkonten und Zugriffsberechtigungen automatisiert erstellt werden, statt – wie gerade in diesem kritischen Bereich durchaus üblich – mit gemeinsam genutzten Benutzerkonten zu arbeiten.
Das Potenzial für die Optimierung von Prozesskosten durch die Nutzung dezentraler Identitäten wird schon bei diesen Beispielen deutlich. Gleichzeitig ist der Umsetzungsaufwand vergleichsweise gering, weil die nachgelagerten Prozesse im IAM dadurch nicht angepasst werden.
Bild 2: Eine vereinfachte Darstellung des Nutzungspotenzials von dezentralen Identitäten im Unternehmen.
Richtlinienbasierte Autorisierung
Ein nächster Schritt in der Entwicklung kann die Nutzung von VCs für die Autorisierung im Rahmen von PBAC (Policy Based Access Controls) sein, auch als ABAC (Attribute Based Access Controls) bezeichnet. Bei diesem Konzept findet die Überprüfung der Berechtigungen zur Laufzeit statt, um Autorisierungsentscheidungen zu treffen. Das setzt natürlich Anwendungen voraus, die solche Prüfungen anfordern. Die Entwicklung hin zur verstärkten Nutzung von PBAC-Modellen im IAM läuft, ist aber – gerade im Bereich von Legacy-Anwendungen – langwierig.
Im Rahmen von PBAC stellen VCs faktisch einfach weitere Attribute für die Entscheidung bereit. Basierend auf der Funktion im Unternehmen, dem Standort, der Projektzugehörigkeit, bestimmten besonderen Berechtigungen wie der Schwelle, bis zu der Ausgaben genehmigt werden dürfen, et cetera können VCs an die Nutzer ausgegeben und in den Wallets gespeichert werden. Diese lassen sich dann beim Zugriff präsentieren und in der Autorisierungsprüfung verwenden.
Ist ein Benutzer kein Mitglied eines bestimmten Projekts mehr, wird das VC als ungültig deklariert und bei der nächsten Überprüfung scheitert die Autorisierung für die Zugriffsanforderung auf Projektdaten. Ebenso schlägt der Zugriff auf Projektdaten bei einem Berater fehl, wenn er nicht mehr bei dem Beratungsunternehmen angestellt ist und das entsprechende VC ungültig wird.
Die Verbindung dezentraler Identitäten mit dem PBAC-Modell erlaubt es Unternehmen so, das Berechtigungsmanagement deutlich zu vereinfachen und zu automatisieren für ein effizienteres IAM.
Standards in der Mache
Die Technologie, um derartige Anwendungsszenarien umzusetzen, gibt es inzwischen. Die wesentlichen Standards sind definiert, auch wenn sie sich meist noch in der Version 1.0 befinden und in den nächsten Jahren deutlich weiterentwickeln werden. Im Rahmen der OpenWallet Foundation ist eine quelloffene Basis für digitale Brieftaschen, die standardkonform und interoperabel ausgestaltet sind, in der Mache.
Praktische Lösungsszenarien beispielsweise mit dem Zusammenspiel von LinkedIn, Microsoft Entra und eben dezentralen Identitäten sind bereits konkret nutzbar. Die EU fördert zudem Initiativen im Bereich von dezentralen Identitäten, ebenso wie es in vielen Staaten solche Projekte gibt. Gerade Letzteres ist allerdings auch ein Risikofaktor, weil die Gefahr besteht, dass hier zu sehr mit Blick auf einzelne Anwendungsfälle Einschränkungen entstehen.
Dezentrale Identitäten sind dann erfolgreich, wenn sie auf Standards basieren, interoperabel sind, sich einfach in bestehende IT-Infrastrukturen integrieren lassen, global funktionieren und für den Nutzer einfach in der Anwendung sind. Mit sogenannten Secure Elements, also über Hardware abgesicherte Bereiche etwa in Computern (TPM, Trusted Platform Module) und auf Smartphones oder auch auf separaten Hardwarekomponenten, ist die Basis für sichere Wallets vorhanden.
Die Nutzung von Smartphones für Zahlungsvorgänge oder zumindest zu deren Absicherung ist heute die Regel. Anders formuliert: Auch in sensitiven Anwendungsbereichen hat sich das Sicherheitsniveau für die allermeisten Einsatzszenarien bewährt. Es geht darum, hier nun keine künstlichen Hürden aufzubauen, sondern die Nutzung so einfach wie möglich zu gestalten. Das Fundament bildet dann die gewohnte biometrische Authentifizierung am Smartphone, sofern das Wallet dort genutzt wird.
Genauso wichtig ist die Interoperabilität. Die meisten Nutzer verwenden mehr als ein Endgerät. Wallets müssen überall funktionieren und auch der Austausch von VCs zwischen Wallets ist wichtig, um beispielsweise private und geschäftliche Wallets getrennt halten zu können, aber bestimmte VCs auch in beiden nutzen zu können. Ebenso wichtig ist es, Wallets und VCs auf andere Geräte portieren zu können, wenn beispielsweise ein Smartphone-Wechsel ansteht. Es spricht gerade auch durch die Unterstützung für dezentrale Identitäten durch sehr viele der führenden IT-Firmen vieles dafür, dass sich Wallets ohnehin schnell zu einem Bestandteil von Betriebssystemen oder Browsern entwickeln werden. Das hilft dann dabei, die kritische Masse an Nutzern und Anwendungsfällen zu erreichen, damit dezentrale Identitäten auf breiter Basis zum Einsatz kommen.
Fazit
Organisationen sind gut beraten, sich jetzt mit den Möglichkeiten dezentraler Identitäten auseinanderzusetzen. Sie bieten nicht nur Potenzial für bessere Ansätze im Umgang mit Konsumenten, Kunden oder Bürgern, sondern auch für die Prozessoptimierung in Unternehmen – gerade mit Blick auf Onboarding-Prozesse und als Ausgangspunkt für die Modernisierung und Optimierung von IAM-Infrastrukturen.
(dr)