In meiner neuen Kolumne für Capital wird es um das vielen noch staubtrocken erscheinende Thema Identity Management gehen. Ich bin weit davon entfernt, tiefes Fach-Know-how für dieses eigentlich dem IT-Sicherheitsmanagement zuzurechnenden Thema zu haben. Aber verschiedenste Aktivitäten insbesondere im Zusammenhang mit der Blockchain-Technologie reizen mich, das Thema auch hier näher zu ergründen. Und Blogeinträge helfen ja bekanntlich, sich Themen zu nähern. Ich fange hier ganz lose an und natürlich ohne Anspruch auf Vollständigkeit. Folgende Einteilung habe ich dazu gewählt, verteilt auf zwei Beiträge.
- David Birch – How to use Identity & the Blockchain (17.10.2016)
- Warum ist das Thema interessant? (17.10.2016)
- Warum muss man sich identifizieren? (17.10.2016)
- Wie kann die Identität grundsätzlich nachgewiesen werden (17.10.2016)
- Was ist eine digitale Identität? (19.10.2016)
- Warum ist eine digitale Identität wichtig? (19.10.2016)
- Viele digitale Teilidentitäten möglich (19.10.2016)
- Weiterer Lesestoff (19.10.2016)
1. David Birch – How to use Identity & the Blockchain
In dieser Minireihe befasse ich mich nicht mit der Verwendung der digitalen Identität im Zusammenhang mit der Blockchain-Technologie, sondern nur mit den Grundlagen der digitalen Identität. Wer sich für die Verwendung der Blockchain-Technologie im Zusammen mit der digitalen Identität interessiert, der schaut sich dieses Video von David Birch an, den manche z.B. aus den Podcast von Brett King kennen dürften:
2. Warum ist das Thema interessant?
Bryan Yurcan schrieb im März einen interessanten und unbedingt zu empfehlenden Beitrag für den American Banker. In “The Future of Digital Identity Is Up to Banks” weist er darauf hin, dass vor 20 Jahren die ersten E-Commerce-Webseiten starteten und heute immer noch die gleichen Benutzernamen-, Passwort- und Sicherheitsfragenkombinationen verwendet werden, um sich online anzumelden. Personalabteilungen sind weiter noch mit (gescannten) Papierakten, fotokopierten Ausweisen und Sozialversicherungskarten gefüllt. Und noch immer muss jemand, der in eine Bar geht, seinen Führerschein mit persönlich identifizierbaren Informationen (Name, Adresse, Geburtsdatum) zeigen, um zu beweisen, dass er alt genug ist, um zu trinken. Er findet daher die Verwaltung von Identitäten im digitalen Zeitalter veraltet. Es ist einfach ineffizient, wenn Verbraucher und Unternehmen immer wieder die gleichen Informationen eingeben, um auf eine beliebige Anzahl von Diensten zuzugreifen. Im schlimmsten Fall hält er es gefährlich, wie die vielen hochkarätigen Datenverletzungen der vergangenen Jahre zeigen.
3. Warum muss man sich identifizieren?
Gerrit Hornung schreibt dazu in der Einführung seines Buches “Die digitale Identität”
“Je mehr sich jedoch Gesellschaftssysteme entwickeln, mobilisieren, ausdifferenzieren und je abstrakter ihre Interaktionsprozesse werden, desto häufiger treten Individuen mit Personen in Kontakt, die ihnen nicht persönlich bekannt sind. Häufig ergibt sich dann die Notwendigkeit, die Identität des Gegenübers sicher festzustellen. In einer derartigen Situation ermöglichen Ausweise den Nachweis der Identität, indem eine allseitig als glaubwürdig anerkannte Autorität in einem Dokument bestätigt, dass einer bestimmten natürlichen Person Merkmale wie Name, Vorname oder Adresse zugeschrieben werden. Diese Bestätigung dient der Versicherung Dritter, wirkt aber auch für den Inhaber des Dokuments, der sich mit ihm ausweist – schon in dem Wort selbst klingt das „nach außen“ an. (S. 26)
4. Wie kann die Identität grundsätzlich nachgewiesen werden
Auch hierzu Gerrit Hornung (S. 26):
“Der Nachweis der Identität ist generell durch die Überprüfung dreier Gruppen von Merkmalen möglich, nämlich Besitz, Wissen und Sein. Besitz kann sich auf ein einfaches Symbol, einen Papierausweis oder eine Chipkarte erstrecken, Wissen auf Informationen wie Name, Adresse, Passwort oder PIN. Sein knüpft demgegenüber an das äußere Erscheinungsbild, Verhaltensmuster oder genetische Informationen an. Diese Form der Identifizierung findet bei jeder alltäglichen Wiedererkennung eines Menschen durch einen anderen Menschen, aber auch bei modernen biometrischen Verfahren statt. Die Merkmale Besitz, Wissen und Sein sind beliebig miteinander kombinierbar. Wenn beispielsweise die Freischaltung einer Chipkarte nur durch die Kombination aus der Eingabe einer PIN und der Präsentation des Fingerabdrucks möglich ist, so werden alle drei Merkmale zugleich verwendet.”
Die Arbeit von Gerrit Hornung über die Rechtsprobleme von Chipkartenausweise liegt zwar schon ein paar Jahre zurück, ist aber eine umfassende Einführung das Identitätsthema.
Thorsten Höllrigl schreibt in seiner Dissertation über “Informationskonsistenz im föderativen Identitätsmanagement” (S. 15)
“Die minimale Menge an identitätsbezogenen Informationen, welche notwendig sind, um die Eindeutigkeit einer Identität innerhalb eines bestimmten Kontextes zu erfüllen, wird als Identifikator (Id) bezeichnet. Identifikatoren können hierbei sowohl aus bereits existierenden Identitätsattributen zusammengesetzt als auch von diesen abgeleitet sein. Des Weiteren ist es oftmals üblich, dass Identifikatoren unabhängig von bestehenden Attributen generiert werden. Unabhängig davon ist der Identifikator ausreichend, um eine digitale Identität innerhalb eines bestimmten Kontextes einer Entität eindeutig zuzuweisen.
…
Die eine Entität beschreibenden Informationen lassen sich in verschiedene
Kategorien unterteilen:
1. (Beschreibende Informationen– zu den eine Entität beschreibenden Informationen zählen zum einen angeeignete oder erworbene Informationen und zum anderen einer Entität inhärente Charakteristika. Beispiele für erworbene Informationen sind die Schulbildung oder auch Vorlieben und Abneigungen. Auch Informationen, die einer Entität während verschiedener IT-Prozesse, wie dem Login-Prozess, zugeordnet werden, zählen zu der Kategorie der erworbenen Informationen. Ein Beispiel hierfür ist der Authentifikationsstatus. Als identitätsbezogene Charakteristika können bspw. die Augenfarbe, der Fingerabdruck oder die Blutgruppe einer Entität genannt werden.
2. Systemimmanente Informationen– sind alle generierten und durch ein informationstechnisches System vorgegebenen Informationen, welche bei der Bereitstellung einer digitalen Identität notwendig sind. Beispielsweise können hier eine generierte Id oder auch eine physikalische Adresse wie die Medium-Access-Control-Adresse (MAC-Adresse) genannt werden.”
[…] Teil 1 am Montag geht es heute nahtlos weiter mit dieser zweiteiligen Reihe zur digitalen […]