Anzeige
SECURITY29. Oktober 2021

IT-Sicherheit: Drei Herausforderungen für digitale Identitäten

Experte für digitale Identität: Malte Pollmann
Malte Pollmann, Chief Strategy Officer bei UtimacoUtimaco

Es will nicht so rund laufen mit der digitalen Identität, wie erst jüngst das Chaos um den digitalen Führerschein zeigte. Doch woran hapert es genau? Liegt es an den Grundlagen oder an der Umsetzung? Malte Pollmann, Chief Strategy Officer bei Utimaco, hat drei Herausforderungen identifiziert, die mindestens zu lösen sind, um eine digitale Identität flächendeckend einzuführen.

von Malte Pollmann, Chief Strategy Officer bei Utimaco

1. Fälschungssicherheit

Ganz ähnlich wie beim analogen Pendant muss ein digitaler Identitätsnachweis bestimmte Sicherheitsmerkmale aufweisen, um eine möglichst hohe Fälschungssicherheit zu gewährleisten. Bei herkömmlichen Dokumenten setzt man dabei auf Wasserzeichen, Reflexionseffekte, spezielle Linienführungen und andere grafische Merkmale, die nur äußerst schwer nachzuahmen sind. Im digitalen Bereich ist das in dieser Form nicht möglich. Dort setzt man stattdessen auf kryptografische Verfahren.

Asymmetrische Kryptografie wird angewendet, um einfach zu prüfende, aber praktisch nicht zu fälschende Nachweise zu erzeugen. Dieses Verfahren basiert auf einem privaten und einem öffentlichen Schlüssel. Deren Zusammenhang wird über schwer umkehrbare mathematische Operationen hergestellt, wie die Multiplikation großer Primzahlen.

Den öffentlichen aus dem privaten Schlüssel zu erzeugen, ist somit sehr einfach möglich. Aus dem öffentlichen Schlüssel den privaten Schlüssel zu errechnen, ist dagegen nicht mit sinnvollem Aufwand möglich.”

Der öffentliche Schlüssel kann für jeden verfügbar bereitgestellt werden. Passt dieser zu einem Zertifikat oder digitalem Dokument, das mit dem entsprechenden privaten Schlüssel erstellt wurde, gilt das Zertifikat als echt. Ein aktuelles Beispiel für dieses Verfahren stellt das digitale Covid-Zertifikat der EU dar: Jeder kann sich im App Store die App zur Überprüfung der QR-Codes herunterladen. Die Erstellung der echten Codes ist nur mit dem geheimen privaten Schlüssel möglich. Somit ist dieses Verfahren in der digitalen Sphäre fälschungssicher.

2. Die Schnittstelle zwischen analog und digital

Über Utimaco
Utimaco (Webseite) ist ein An­bie­ter von Si­cher­heits­tech­no­lo­gi­en für Cy­ber­se­cu­ri­ty- und Com­p­li­an­ce-Lö­sun­gen. Das Un­ter­neh­men hat sei­nen Haupt­sitz in Aa­chen und Camp­bell (CA), USA und be­schäf­tigt rund 470 Mit­ar­bei­ter. Uti­ma­co ent­wi­ckelt und pro­du­ziert Hard­ware-Si­cher­heits­mo­du­le und Key-Ma­nage­ment-Lö­sun­gen für den Ein­satz im Re­chen­zen­trum und in der Cloud so­wie Com­p­li­an­ce-Lö­sun­gen für Te­le­kom­mu­ni­ka­ti­ons­an­bie­ter im Be­reich der Regulierung.

Die Verfahren der asymmetrischen Kryptografie gelten heute prinzipiell als fälschungssicher und werden stets an den Stand der Technik angepasst. Auf steigende Rechenleistung wird beispielsweise mit längeren Schlüsseln reagiert. Auf die Herausforderungen des Quantencomputers gibt es mit speziellen Algorithmen bereits eine Antwort. Was passiert aber, wenn Kriminelle nicht das System an sich angreifen, sondern sich durch Hintertüren Zugang verschaffen? Ein Safe kann, platt gesprochen, noch so sicher und stabil sein, es bringt nichts, wenn man den Schlüssel dafür offen herumliegen lässt.

Es muss unbedingt sichergestellt werden, dass der Zugang zu Systemen, mit denen digitale Identitäten erzeugt und verwaltet werden sollen, bestmöglich abgesichert wird.”

Dies scheint nämlich ein viel wahrscheinlicherer Angriffsvektor zu sein als ein Angriff auf die Verschlüsselung selbst. Sicherheitslücken, die der Chaos Computer Club im Zuge der Einführung des digitalen Führerscheins entdeckte, bestätigen diese Vermutung.

3. Wer definiert und garantiert Identität?

Geburtsurkunde, Personalausweis, Reisepass oder Steuernummer – die Identität einer Person wird von einer staatlichen Institution garantiert. Nun hat sich die Online-Welt lange Zeit aber eigenständig entwickelt. Über Definition und Regulierung von Identitäten brauchte man sich lange Zeit keine Gedanken zu machen. Eine E-Mail-Adresse und ein Passwort reichten aus, um eine neue digitale Identität zu kreieren. Für den Austausch in Newsgroups und Chatrooms oder anderen Anwendungen des frühen Internets reichte das ebenfalls – Anonymität war gewünscht. Das Internet von heute ist aber eine andere Welt: Hier befinden sich Finanz- und Gesundheitsdaten und andere sensible Informationen. Vor diesem Hintergrund wird die eindeutige Verknüpfung mit einer realen Identität sehr wichtig.

Das heißt, es muss eine vertrauenswürdige Instanz geben, die diese Verknüpfung bestätigt, also dass Max Mustermann im Internet auch Max Mustermann in der echten Welt ist.”

Das Internet ist allerdings schneller gewachsen als betreffende Regulierungen. Tatsächlich sind dahingehende Überlegungen vergleichsweise jung. Daher gibt es – anders als in der analogen Welt – private Konkurrenz für Identitätsanbieter. Hier gilt es, für die Zukunft klar zu regeln, wer Identitäten garantieren darf und wie sich Anbieter dafür qualifizieren können. In Europa gibt es bereits die eIDAS-Verordnung, in der die Zulassung privater Vertrauensdienste geregelt ist, doch diese gilt nur in Europa. Wünschenswert wäre eine weltweit gültige und akzeptierte digitale Identität.Malte Pollmann, Utimaco

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert