Allgemein Archive - Seite 3 von 3 - SRC Security Research & Consulting GmbH

Anwendungsbereiche von Digital Identities: Physische Identitäten digital repräsentieren – und schützen

Anwendungsbereiche von Digital Identities:

Physische Identitäten digital repräsentieren – und schützen

Mit der aktuellen Weiterentwicklung der europäischen Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) kann europaweit eine anerkannte und sichere digitale Identität kommen. Digitale Identitäten sind dabei schon lange gang und gäbe – vom E‑Mail-Account, über Social Media bis zu digitalen Behördengängen: Die Nutzung digitaler Dienste erfordert einen Identitätsnachweis. Die dafür nötige Identifikation und Authentifizierung ist abhängig vom dafür genutzten Dienst an verschiedene Schutzniveaus gekoppelt. Unternehmen, die Dienste anbieten wollen, für die digitale Identitäten notwendig sind – für Mitarbeiter, Partner und Kunden – müssen die Voraussetzungen kennen.

Eine digitale Identität stellt die digitale Repräsentation einer physischen Identität dar. Letztere kann ein Mensch sein, aber auch eine Institution, eine Maschine oder ein Server. Im Gesundheitswesen können z. B. Praxen, Krankenhäuser oder Apotheken eine digitale Identität erhalten. Sie stellt in diesem Kontext eine Sammlung von Attributen in elektronischer Form dar, die eine natürliche oder juristische Person charakterisieren – das können Name, Adresse und Geburtsdatum sein, aber auch Benutzername oder Emailadresse. Eine digitale ID muss eindeutig sein, da sie sonst nicht zuordenbar ist; der Prozess der ursprünglichen Identifizierung wird ins Digitale übertragen– für die Erst-Identifikation benötigt es eine Registrierung; die Wiedererkennung erfolgt durch die Authentifizierung. Aus gesellschaftlicher Perspektive gibt es drei Formen von Identitäten: Echte, selbstkonstruierte und anonyme, wobei Letztere zum Beispiel auf Social Media eine teilweise kontroverse Rolle spielen.

Einsatzmöglichkeiten digitaler Identitäten

Digitale Identitäten sind als Grundlage bzw. digitale Repräsentation für digitale Dienste und Prozesse notwendig. Sie kommen überall dort zum Einsatz, wo digitale Dienste angeboten werden und personalisiert sind, was die Erhebung, Speicherung und Verarbeitung von Daten erfordert. Digitale Dienste haben diverse Ausprägungen – vom Social-Media-Benutzerkonto, über Online-Accounts im E‑Commerce, bis hin zum Online-Banking oder digitalen Behördengängen über eGovernment-Angebote. Wie beim Personalausweis kann der Anwendungsbereich einer digitalen Identität über eine reine Identifikation hinausgehen und zum Beispiel eine Altersprüfung möglich sein.

Die zunehmende Digitalisierung erschließt weitere Einsatzmöglichkeiten einer digitalen Identität: Die europäische eIDAS (Verordnung über elektronische Identifizierung und Vertrauensdienste) schafft hier einheitliche Rahmenbedingungen für die Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste über Grenzen hinweg. 2020 wurde die Überarbeitung der eIDAS-Richtlinie gestartet, sie ist derzeit noch nicht abgeschlossen. Ziel ist es, europaweit ein sicheres EU-Identity-Wallet anzubieten. Die eID ist damit das virtuelle Pendant eines Ausweises. Sie soll eine Identifikation und Authentifizierung ermöglichen, eine Überprüfung der Gültigkeit durch Dritte sowie die sichere Speicherung und Darstellung der Identitäten. Außerdem soll sie es erlauben, qualifizierte elektronische Signaturen zu generieren. Dieses digitale Pendant zur Unterschrift erlaubt auf digitaler Ebene rechtsgültige Vertragsabschlüsse.

Die eIDAS gibt auch vor, dass die EU-Mitgliedstaaten den Bürgern die digitale Identität zur Verfügung stellen müssen; auch die vorgesehene Akzeptanzpflicht kann dazu beitragen, dass andere digitale Identitäten wegfallen. Einkäufe im Ausland oder die Abholung eines Mietwagens könnten damit vereinfacht werden, da die digitale Identität Prozesse effizienter macht. Denn digitale Dienste sind im Vergleich zu analogen Prozessen mit einer Kostenreduktion verbunden; der User profitiert stark von einer einfacheren und bequemeren Handhabung, etwa, wenn sich Behördengänge von zu Hause aus erledigen lassen.

Anders als bei digitalen Identitäten über Google oder Facebook kann durch die Behörden sichergestellt werden, dass der Datenschutz nach DSGVO eingehalten wird. Im Gesundheitswesen sollen digitale Identitäten auf dem Smartphone perspektivisch die elektronische Gesundheitskarte ablösen – aktuell kann dies aber noch nicht realisiert werden.

Sicherheit und Schutz des Users

Ein mögliches Angriffsszenario, das digitale Identitäten in besonderem Maße betrifft, ist der Diebstahl in Form von Impersonation bzw. Identitätsdiebstahl. Das Schadenspotenzial reicht dabei von Hasskommentaren auf Social Media bis zum Zugriff und Missbrauch von persönlichen Daten etwa bei Bankgeschäften oder vertraulichen Gesundheitsdaten. Während der analoge Personalausweis den Missbrauch durch Diebe wegen des darauf abgebildeten Fotos limitiert, sieht der Fall online anders aus. Die digitale Identität muss also besonders geschützt werden. Schutzmaßnahmen können zum Beispiel sichere Passwörter sein oder eine Zweifaktor-Authentifizierung, wie sie bereits im Online-Banking zum Beispiel mit Passwort einerseits und zusätzlicher TAN-Generierung auf einem externen Gerät andererseits stattfindet. Der Hardwaretoken in Smartcards stellt als zertifizierte Ausführung ein Höchstmaß an Sicherheit dar.

Standardisierte Vertrauensniveaus

Das Sicherheitsniveau hängt vom Einsatzzweck der digitalen Identität ab und wird in der Durchführungsverordnung (EU) 2015/1502 geregelt. So liegen zum Beispiel im Online-Banking oder im Gesundheitsbereich besonders sensible, personenbezogene Daten vor, die eines hohen Schutzniveaus bedürfen. Die Verordnung definiert drei standardisierte Vertrauensniveaus: niedrig, substantiell und hoch. Ein niedriger Schutzbedarf entspricht einer Ein-Faktor-Authentifizierung, wie sie in Social Networks oder Foren geläufig ist. Substanziell wird der Schutz durch die bereits genannte Zwei-Faktor-Authentifizierung. Ein hoher Schutz, wenn etwa Gesundheitsdaten betroffen sind, muss allerdings noch stärker abgesichert sein, zum Beispiel mit einem Pass samt Foto und biometrischen Merkmalen. So können Identifizierungen über Video-Ident- oder Post-Identverfahren erfolgen.

Je höher das Sicherheitsniveau, desto komplizierter gestaltet sich allerdings dessen technische Umsetzung. So bringen hochpreisige Smartphones zertifizierte Sicherheitskomponenten mit – während in günstigeren Endgeräten jedoch minderwertigere biometrische Sensoren verbaut werden, die leicht manipulier- oder überbrückbar sind. Sie verfügen also über keine geschützten Speicherbereiche. Smartcards in Gesundheitskarten können dagegen mit ihren Chip-Prozessoren kryptografisches Schlüsselmaterial verwenden und speichern. Damit stellen die dahinterliegenden Infrastrukturen die Echtheit sicher.

Das Zukunftspotenzial digitaler Identitäten

Die Digitalisierung nimmt zu, all ihre Dienste erfordern eine digitale Identität und diese sind bereits weit verbreitet: Im Schnitt hat jeder Bürger 90 digitale Identitäten. Dabei können digitale und analoge Welt verschmelzen, etwa, wenn Zutrittskontrollen in Unternehmen digitalisiert sind und den Nachweis einer digitalen Identität erfordern, oder wenn in Arztpraxen die Gesundheitskarte als ID eingelesen wird. Hier werden Medienbrüche als Hemmnis wahrgenommen, etwa wenn Papierdokumente als Scans bei Krankenkassen eingereicht werden sollen. Digitale Identitäten und die damit mögliche Zuordnung machen die Digitalisierung solcher Prozesse überhaupt erst möglich. Im Bereich eHealth können Ärzte so z. B. Rechnungen und Rezepte digital signieren und versenden.

Unternehmen wiederum können digitale Identitäten in der Breite für Kunden und Mitarbeiter, Endkunden oder Partner nutzen. Damit kann zum Beispiel die Urlaubsbeantragung über ein Portal erfolgen. Nicht zu vernachlässigen sind auch denkbare Anwendungsmöglichkeiten für die Kundenbindung: Denn über digitale Dienste, die Kunden nutzen, lassen sich nicht zuletzt Informationen über deren Verhalten gewinnen – um damit das eigene Angebot besser zuschneiden und optimieren zu können. Dabei müssen sich Unternehmen der verschiedenen Sicherheitsniveaus allerdings zwingend bewusst sein. Nutzerfreundlichkeit ist zwar wichtig – ebenso aber auch der digitale Schutz vor Identitäts- und Datenraub. Ist dieser nicht gewährleistet, können gravierende Auswirkungen die Folgen sein. Ein Beratungsunternehmen wie die SRC GmbH kann hier helfen, Lösungen – kostenpflichtige wie open source – zu beleuchten, Zertifizierungen zu prüfen und die Konformität und damit Rechtssicherheit sicherzustellen.

Fazit

Ohne digitale Identitäten läuft im Internet nichts – digitale Dienste erfordern initial eine Identifikation des Users und für die Weiternutzung eine Authentifizierung zum Beispiel über Passwörter mit zusätzlicher TAN-Generierung im Rahmen von Multifaktor-Verfahren. Von der Art des Dienstes und der dabei genutzten Daten hängen die Erfordernisse an die Sicherheit ab, die über drei Niveaus sichergestellt wird. Unternehmen, die digitale Dienste nutzen wollen, müssen deswegen die Voraussetzungen kennen um die Anwendungspotenziale für Kunden, Partner oder Lieferanten zu nutzen.

___________________________________________________

Autor: Nico Martens, Berater SRC Security Research & Consulting GmbH

Weitere Informationen: https://src-gmbh.de/

Pressekontakt:

Patrick Schulze

WORDFINDER GmbH & CO. KG

Lornsenstraße 128–130

22869 Schenefeld

Tel. +49 (0) 40 840 55 92–18

ps@wordfinderpr.com

www.wordfinderpr.com

SRC wird Teil des GEAR (Global Executive Assessor Roundtable)!

PCI SSC und SRC

Das Payment Card Industry Security Standards Council (PCI SSC) ist ein globales Forum, welches Informationssicherheitsstandards für sichere Zahlungen entwickelt und deren Anwendung vorantreibt. Es ist verantwortlich für 15 weltweit anerkannte und verbreitete Standards zur Absicherung von elektronischen Zahlverfahren – von der Zahlkartenproduktion und ‑herausgabe über die Zahlung am Point of Interest oder in Web & App bis hin zur Abwicklung der Zahlungen im Hintergrund. SRC prüft die Nutzung der Informationssicherheitsstandards seit Gründung des PCI SSC im Rahmen entsprechender Audits und Produktprüfungen.

Das PCI SSC legt Wert auf den Austausch zwischen verschiedenen Stakeholdern und nutzt dafür verschiedene Gremien und Aktivitäten. SRC hat sich bisher im Rahmen von Special Interest Groups und Task Forces sowie durch die Teilnahme an Community Meetings und Request for Comment-Phasen beteiligt.

Global Executive Assessor Roundtable

Das PCI SSC gibt seit 2018 im Global Executive Assessor Roundtable (GEAR) erfahrenen Audit-Unternehmen die Möglichkeit, seine obere Führungsebene zu beraten.

Wir freuen uns, dass unser Unternehmen dieses Jahr mit ausgewählt wurde, im Rahmen dieser verantwortungsvollen Mitgliedschaft eine der Schnittstellen zwischen der Führung des PCI SSC selbst und der Führung der Auditierungsgesellschaften zu bekleiden. Hierdurch können wir unsere jahrelange Erfahrung zukünftig auf direktem Wege einbringen.

Die Ernennung gilt für die kommenden zwei Jahre und gibt uns die Möglichkeit, an der Weiterentwicklung von Vorgaben für Audit-Verfahren, neue Schulungsprogramme und Qualifikationsanforderungen zukünftiger Auditierender einflussgebend mitzuwirken. Weitere Aufgabenbereiche der GEAR sind unter anderem, Möglichkeiten zu finden, das Engagement von Auditierenden in aufstrebenden und neuen Märkten zu fördern, und die Fähigkeiten und Fertigkeiten von Auditierenden im Sinne eines Mehrwerts für Zahlungsverkehrs-Unternehmen zu optimieren.

Wir sind stolz, in diesen Kreis aufgenommen worden zu sein, und sehen darin eine Anerkennung unserer bisherigen Leistung und Relevanz auf dem Markt der Zahlungsverkehrssicherheit. Zugleich sind wir uns unserer Verantwortung bewusst, die Stellvertretung für eine große Gemeinschaft an Auditierungsgesellschaften wahrzunehmen, und nehmen dies als zusätzlichen Ansporn für die Zukunft.

Link zum GEAR: https://www.pcisecuritystandards.org/about_us/global_executive_assessor_roundtable/

SRC Alsterwerkstatt Menschen mit Handicap

SRC unterstützt Menschen mit Handicap im Rahmen der Hardware-Lieferung

Seit nun mehr zwei Monaten kooperiert SRC mit der gemeinnützigen GmbH alsterarbeit in Hamburg. Dort sind Menschen mit Handicap beschäftigt und bearbeiten Aufträge zur individuellen Konfektion von Computer-Hardware. So nehmen sie am Arbeitsleben teil und erfahren persönliche berufliche Verwirklichung.

Die alsterarbeit gGmbH in Hamburg

Die alsterarbeit gGmbH hat sich im Jahr 2000 aus den Alsterdorfer Werkstätten und den Tagesförderstätten zum Beschäftigungsträger alsterarbeit zusammen geschlossen. Im Jahr 2005 erfolgte die Umwandlung in die heutige alsterarbeit gemeinnützige GmbH. Ihr Ziel: Menschen mit Handicap ihren Wünschen, Fähigkeiten und Fertigkeiten entsprechende Beschäftigungsangebote zu machen. So können diese Mitmenschen voll am Berufsleben teilhaben.

IT-Fertigung in der alsterarbeit-it

Die alsterkontec bildet dabei die Betriebsstätte für Konfektionierung, Montage und Technik der alsterarbeit in Hamburg. Neben einer breiten Spanne verschiedenster Dienstleistungen bietet die alsterkontec auch den Bereich IT-Fertigung an, die alsterarbeit-it.
Dabei handelt es sich um eine Manufaktur für qualitativ hochwertige und zuverlässige IT-Hardware. Neben der Produktion von Computern der Eigenmarke PAOLA, welche nach DIN ISO 9001:2008 zertifiziert sind, übernehmen die IT-Teams außerdem die Endfertigung und individuelle Konfiguration von Notebooks namenhafter Herstelller wie DELL und LENOVO.

SRC-Mitarbeiter empfiehlt alsterarbeit gGmbH

Die Zusammenarbeit mit der alsterarbeit gGmbH entstand durch eine private Empfehlung aus dem Mitarbeiterkreis von SRC. Als die SRC-Geschäftsführung von der tadellosen Arbeit der bei der alsterarbeit gGmbH beschäftigten Menschen erfuhr, entschied sie sich ohne Zögern dafür, die Bestellung und Lieferung von Notebooks zukünftig über die alsterarbeit-it abzuwickeln, um so die gemeinnützige Arbeit der gGmbH zu unterstützen und selbstverständlich die dort arbeitenden Menschen mit Handicap zu fördern.
Eine Qualitätsabweichung zu klassischen Lieferanten und Händlern, ob in der Hardware oder in der Lieferungsabwicklung, gibt es nicht – ganz im Gegenteil. Die an SRC durch die alsterarbeit-it gelieferte Hardware zeichnet sich durch Zuverlässigkeit und hohe Qualität aus. Dies nicht zuletzt dadurch, dass die IT-Teams der alsterarbeit-it neben hochmotivierten und ausgezeichnet betreuten Mitarbeitern auch über Spezialisten für Vertrieb und Projektabwicklung verfügen und diese mit Know-how und Flexibilität ihren Kunden bei der Planung und Realisierung ihrer Projekte zur Seite stehen. Sollte es doch einmal zu Problemen mit der Hardware kommen, schafft das alsterarbeit-it tech center in Bad Oldesloe, 30 Autominuten von Hamburg entfernt, schnell professionelle Abhilfe durch das erfahrene Service-Team.

Für mehr Informationen über die Arbeit der gemeinnützigen GmbH besuchen Sie die Webseite der alsterarbeit gGmbH und deren Bereich IT-Fertigung.

Physische Identi­täten digital reprä­sen­tieren – und schützen

Einsatz­mög­lich­keiten digitaler Identitäten

Sicherheit und Schutz des Users

Standar­di­sierte Vertrauensniveaus

Das Zukunfts­po­tenzial digitaler Identitäten