STRATEGIE26. Oktober 2020

Authentifizierung mit FIDO – auf dem Weg zum Weltstandard

stockwerk fotodesign/bigstock.com

Rudolf Linsenbarth hatte seine erste Begegnung mit FIDO auf der Omnisecure im Januar 2014. Dort wurde diese 2FA-Methode von Google im Rahmen der Keynote vorgestellt. In einem weiteren Workshop erläuterte Dr. Rolf Lindemann von den Nok Nok Labs Details zur Historie. Gründungsmitglieder von FIDO waren neben besagten Nok Nok Labs auch PayPal, Lenovo, Infineon, Validity und Agnitio. Ziel ist eine sichere Authentifizierung, die nicht nur am Faktor Wissen, dem Passwort hängt. Ein Thema, das den IT-Finanzmagazin-Lesern nicht völlig unbekannt sein dürfte (PSD2 lässt grüßen).

Autor Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
von Rudolf Linsenbarth

Zur Strategie von FIDO gehört, dass nicht jeder Anbieter seine eigene 2-Faktor-Lösung frickeln muss. Hier soll ein globales Ökosystem entstehen mit einem weltweit einheitlichen Standard-Protokoll für die Authentifizierung im Backend sowie einer Hardware-Unterstützung in allen Smartphones und Notebooks. Die Idee, in den Endgeräten werden Sensoren verbaut, die in einem besonders gesicherten Chip, ähnlich wie bei den Smartcards, Public/Private Key-Paare erzeugen. Für jede Webseite gibt es dann ein neues Schlüsselpaar, so dass niemand im Backend einen Rückschluss auf die Nutzer ziehen kann.

Vor über 6 Jahren hatte natürlich noch kein Smartphone einen eingebauten FIDO Support. Für diese Fälle gibt es sogenannte Security Token. Diese verfügen über Standard-Schnittstellen wie z.B. Bluetooth, USB oder NFC und kommunizieren darüber mit den Endgeräten.

FIDO in der Financial Industrie
FIDO in der Financial IndustrieFIDO

NFC und Kryptografie?

Damals wie heute genau mein Ding! Sofort nach der Konferenz bestellte ich mir den YubiKey, einen Token der Firma yubico. Leider musste ich feststellen, dass FIDO zum damaligen Zeitpunkt nur von wenigen Diensten unterstützt wurde. Zudem funktionierte NFC am Smartphone überhaupt nicht! Trotzdem wurde der YubiKey an den Schlüsselbund gehängt.

Das BSI ist FIDO Government-Level-Members
Das BSI ist FIDO Government-Level-MembersBSI

Mit jedem neuen Android-Smartphone habe ich geprüft, ob die NFC-Unterstützung nun schon verfügbar wäre. Irgendwann musste ich feststellen, dass die NFC-Antenne dem rauhen Alltag am Schlüsselbund zum Opfer gefallen war. Das FIDO verschwand fürs erste aus meinem Fokus.

In meiner Identity-Reihe von 2018 habe ich das Thema zwar wieder aufgegriffen hier und hier. Aber irgendwie fehlte der ganzen Sache ein wenig der Schwung. Der kam in zwei Schritten. Im Februar 2019 erhielt Android die Zertifizierung für FIDO2. Diese Protokollerweiterung bringt gegenüber dem „Altsystem“ U2F die Möglichkeit einer integrierten Mehrfaktorauthentifizierung. FIDO kann somit jetzt nicht nur die Passwort-basierten Anmeldungen sicherer machen, sondern die Passwörter gleich komplett ersetzen.

FIDO und die GAFA
GAFAFIDO

Das zweite Ereignis war 2020, als Apple verkündete, der FIDO Alliance beizutreten. Die Cupertino Company war das letzte namhafte Unternehmen, das in diesem illustren Kreis noch fehlte. Im Herbst, mit Erscheinen von iOS 14 ließ man auch gleich Taten folgen. Alle Apple-Geräte haben jetzt die direkte FIDO-Unterstützung an Bord. Derzeit leider noch auf den Safari-Browser beschränkt. Dafür hat man in Sachen UX der Android-Welt sofort gezeigt, wer hier Chef im Ring ist. Mehr dazu in einem weiteren Artikel.

FIDO e-Commerce
e-CommerceFIDO

Zusammenfassend lässt sich festhalten. FIDO verfügt nun über eine unglaubliche Schwungmasse an Unterstützern. Hier machen alle mit von Big-Tech, Finanzunternehmen, Technologie- und Hardwarehersteller, selbst das BSI ist dabei (hier zur Übersicht). Wirklich alle? Na ja, wenn ich so auf die Liste schaue, vermisse ich noch die europäischen Telkos.

Technologie-Unternehmen in der FIDO

Ich verstehe ja, dass man aus Sicht eines Mobilfunkunternehmens kein gesteigertes Interesse an einem konkurrierenden 2FA-Verfahren zum SMS OTP (One Time Password oder auch TAN) hat. Allerdings ist es wahrscheinlich, dass sich hier Geschichte wiederholt! FIDO wird der Cash Cow SMS den endgültigen Todesstoß versetzen. Bei WhatsApp hatte man damals ebenfalls nur untätig am Spielfeldrand gestanden und ist erst aktiv geworden, als es schon längst zu spät war. Ich gespannt, ob die Mobilfunker diese Lektion gelernt haben.

Aber egal ob mit oder ohne Telko-Beteiligung, FIDO kommt und wird die Authentifizierungslandschaft grundsätzlich verändern!Rudolf Linsenbarth

Digitale Identität in Deutschland Status 2020 - die Übersicht
Interviews
Frank S. Jorga (Geschäftsführer der WebID)
„Ich würde jede Wette darauf eingehen, dass VideoIdent noch in 10 Jahren am Markt ist.“
Marco Schmid & Andreas Vollmert (Swisscom Trust Services)
Trust Services: „Deutschland hat eine sehr stark auf Smartcards ausgerichtete Sichtweise“
Roland Adrian (Verimi CEO)
Bequemlichkeit siegt, auch bei der digitalen Identität
Dr. Michael Roland (Post-Doc am Institut für Netzwerke und Sicherheit, Johannes Kepler Universität Linz)
„Das Öffnen der NFC-Schnittstelle würde die Bedienung von Apple Pay verschlechtern!“
Dr. Matthias Schwan (Bundesdruckerei)
Der mobile Personalausweis kommt! Das Identity-Interview
Hans-Peter Kraus und Dr. Matthias Schwan (Bank Verlag)
Bank-Verlag im Interview: eID wird zukünftig eine größere Rolle spielen
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben. Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.
NameEndkunden GwG KYCVideoIDeIDSSIBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxxx (high)Website
eemaID StandardardisierungWebsite
europeantrustassociationID StandardardisierungWebsite
giropayAltersverifikationWebsite
ID4meID StandardardisierungWebsite
Identifyxxx (substantial)Website
identity Trust Managementxxx (high)Website
IDENTO.ONExWebsite
IDENTTxxx (substantial)Video- und Selfservice-IdentifizierungWebsite
IDnowxxx (substantial)Website
IDUnion LissixID Union ist die Blockchain LISSI ist eine WalletWebsite
iSignthisID Check/FraudWebsite
JolocomxWebsite
majorel (ehem. Arvato)xxx (substantial)Website
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
NectVerifikation von AusweisenWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL VisionVerifikation von AusweisenWebsite
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
verifeyeVerifikation von Ausweisen und Video IdentWebsite
Verify-Uxxx (substantial)Website
Verimixx (substantial)Website
WebIDxxx (substantial)Website
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern. Ich habe dabei die folgenden Kohorten identifiziert. Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt. Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas. Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben. Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot. Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“. Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus, dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt. Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.
NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DashlanexWebsite
easy LoginxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanx + HWxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.
NameQESeSignatur
Anbieter
TrustcenterLink
AdobexWebsite
BankverlagxWebsite
Ca-CertxWebsite
DocuSignxxWebsite
D-TrustxxWebsite
EasySendxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamiralxWebsite
ScrivexWebsite
SignaturitxxWebsite
S-TrustxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst. Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich. Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet. Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.
NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxIdentity ConsultingWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.
NameLink
aidientWebsite
authenteqWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
VERIFAIWebsite
veriffWebsite
yptokeyWebsite
 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/113335 
 
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (7 Stimmen, Durchschnitt: 3,86 von maximal 5)
Loading...

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Digitale Identität in Deutschland Status 2020

Die zweite Reihe rund um 'Identity' ist so umfangreich, dass wir Ihnen nun mit einer gemeinsamen Klammer die vollständige Übersicht zur "Digitalen Identität in Deutschland...

Schließen