Motor für einen sorgenfreien Onlinehandel

Tom Koehler ist Country Manager bei Verisign Deutschland.

Es ist noch gar nicht so lange her, da waren Rohstoffe, Geld oder Anlagen das wertvollste Gut in unserer Gesellschaft. Der technische Fortschritt und die dynamische Entwicklung neuer Kommunikationsplattformen lässt uns mittlerweile in einer Welt leben, die wir nicht mehr missen wollen. In einer Welt in der Informationen und Daten kontinuierlich zu den wichtigsten Produktionsfaktoren werden. Ein Leben ohne Informationsstrukturen, die auf elektronischen Prozessen basieren ist undenkbar. Und in einer solchen Welt werden aus Menschen mit Gesichtern schnell elektronische Profile und digitale Identitäten.

Um keinen Wettbewerbsnachteil zu erleiden, müssen Unternehmen Informationen, Daten und digitale Identitäten effizient verwalten. Effizient und ganz im Sinne des Betriebswirtschaftlers - möglichst kosteneffizient. Mit diesen Aspekten beschäftigt sich seit einigen Jahren die Disziplin des Identity Managements. Zunächst war dieses Thema ausschliesslich Organisations-bezogen ? sprich es ging um den Austausch und die Verwaltung von Identitäten innerhalb eines Unternehmens. Ein sicheres Identity Management in einem anarchischen Konstrukt wie dem Internet schien zunächst unmöglich. Doch wer als Anwender weiss, was es heisst für jedes einzelne Internet-Serviceangebot ein separates Pass-wort einzurichten und sich noch in einigen Wochen daran zu erinnern welches nun zu welcher Webseite gehört, weiss auch, welche Erleichterung die Verwendung einer einzigen Service-übergreifenden Authentisierung bringen würde. Mit dem Ansatz eines einheitlichen Zugangskontrollfaktors beschäftigt sich Federated Identity Management (FIM). Ein funktionierendes System könnte dadurch mehr Vertrauen in die Abwicklung von Onlinegeschäften nach sich ziehen ? insbesondere wenn es um vertrauliche Transaktionen geht.

Derzeit verändern sich nicht nur die Märkte, sondern speziell die Technologien passen sich den neuen Gegebenheiten an. Wo bislang in Systemen gedacht wurde, ermöglichen serviceorientierte Architekturen und Webservices eine neue Sichtweise und Flexibilität. Es geht nicht mehr nur darum, mit welcher Software ein Prozess verarbeitet wird oder wie die Schnittstellen der Systeme miteinander kommunizieren ? es geht vielmehr darum, Services zu definieren und bereitzustellen. Das Denken in Services und Prozessen ermöglicht neue Geschäftsmodelle, vereinfacht die bedarfsgerechte Bereitstellung und wird auch das Verhältnis zwischen Management und IT-Abteilung ändern: Letztere muss sich nämlich immer mehr an Geschäftsprozessen orientieren und wird somit zum Architekten von neuen Servicelandschaften. Das bedingt jedoch die Einigung auf Standards und die Förderung von Webservices. Ein gutes Beispiel hierfür ist der Ansatz des Federated Identity Management. Der praktische Nutzen liegt dabei auf der Hand. Der Anwender hat eine verbesserte Benutzerfreundlichkeit, denn das Verwalten zahlreicher Passwörter wird obsolet. Im Umkehrschluss könnte dies bedeuten: Wenn durch den Einsatz vertrauenswürdiger Technologien und Services, die auf offenen Standards basieren, der Anwender ein sicheres Gefühl und damit mehr Affinität für den Onlinehandel erhält, werden Internettransaktionen rapide zunehmen. Somit gilt: «Ohne kontinuierliche vertrauensbildende Massnahmen in E-Commerce gibt es keine Prosperität.» Die Internetkriminalität konzentriert sich zunehmend auf den so genannten Identitätsklau (Identity Theft). Phishing und Pharming lassen grüssen... Insbesondere Banken haben enorm mit diesem Thema zu kämpfen. Der Komfort des Online Bankings aus Kundensicht spricht für seine Verwendung. Die drastische Zunahme an Phishing-Attacken hemmt jedoch zunehmend das Vertrauen der Bankkunden.

Um den Ansatz des Federated Identity Managements zu verstehen muss zunächst die zugrunde liegende Basistechnologie erklärt werden.

Identity Management ist das aktuelle Modewort in der IT-Sicherheitsbranche. Jose Lopez, Sicherheitsspezialist bei Frost & Sullivan, beschreibt Identity Management als einen Prozess, der die Authentifizierung, die Zugriffsrechte und die eingeräumten Vorrechte eines digitalen Nutzers verwaltet. Dieser Prozess erfordert drei wesentliche Schritte: die Nutzererkennung (Authentication), die Autorisierung (Authorisation) und das Beschaffungsmanagement der Nutzerdaten (Provisioning).

Identity Management Systeme konzentrieren sich auf die Beherrschung der organisationsinternen Komplexität. Eine herkömmliche Lösung ist somit auch nicht für den Einsatz ausserhalb der Unternehmensgrenzen gedacht. Daher gilt es zu überlegen,
wie es gelingen kann, organisationseigene wie -fremde Informationssysteme und -Nutzeridentitäten in verteilten Netz-werken zu integrieren und zu verwalten. Genau damit beschäftigt sich Federated Identity Management (FIM).

FIM soll gewährleisten, dass eine Partnerinstitution, die als Dienstanbieter agiert, über speziell ausgelegte Protokolle Zugriff auf die zur Authentifikation und Abrechnung notwendigen Benutzerinformationen und
-identitäten der eigenen Einrichtung erhält. Diese sogenannten Federated Identities sind auf wechselseitiger Anerkennung ausgelegt. Dabei authentifiziert die Heimateinrichtung (Identity Provider) ihre Benutzer (Identity Principal) und stellt Dienstanbietern Informationen über die Anwender zur Verfügung, die es den Dienstanbietern ermöglichen zu entscheiden, ob die Benutzer auf eine geschützte Ressource zugreifen dürfen oder nicht. Um das hierfür notwendige Vertrauensverhältnis und einen organisatorischen Rahmen für den Austausch der notwendigen Informationen zu schaffen, schliessen sich Identity Provider und Dienstanbieter in einer Föderation zusammen.

Dabei gilt es folgende Punkte zu beachten:

- Vergabe und stringente Einhaltung von Richtlinien für das Schaffen von Vertrauen

- Installation von Directories zur Verwaltung der Benutzeridentitäten

- Sichere Kommunikation mittels Zertifikaten

Damit ein FIM-System funktionieren kann, sind unterschiedliche Voraussetzungen zu schaffen:

- eine multiprotokollfähige und in bestehende Systeme leicht integrierbare Referenzimplementierung

- rechtliche Rahmenbedingungen für verbindliche Regelungen bei Transaktionen sowie die Einhaltung der Datenschutzrichtlinien

- eine verteilte Netzinfrastruktur, die von den Beteiligten genutzt werden kann

Darüber hinaus gilt es, sich mit bestimmten Spezifikationen auseinander zu setzen. Zunächst ist natürlich eine Identity Management Software, die verschiedene föderative Protokolle unterstützt und damit bestehende Sicherheitslücken schliesst, not-wendig. Gängige Föderationsstandards sind die Security Assertion Markup Language (Saml), Liberty Alliance sowie Webservices Federation.

Traums schon lange kein Problem mehr dar. Aber gerade bei der Verwaltung von Passwörtern wird deutlich, welche Rolle der Mensch im Sicherheitskontext hat. Vor lauter unterschiedlichen Passwörtern kommen viele Nutzer oft auf die glorreiche Idee, Passwörter aufzuschreiben und sie womöglich noch an den Monitor zu heften. Mal ehrlich - da kann man sich den ganzen Aufwand der Passwortvergabe doch von Anfang an sparen. Also wäre das schon eine tolle Sache - ein Passwort, das man sich noch gut merken kann und damit Zugang zu unterschiedlichsten Internetplattformen erhalten kann. Das war der eigentliche Ansatz für die Entwickler von Federated Identity Standards. Nur kommt jetzt ein neues, nicht zu unterschätzendes Problem auf: Wenn ein Anwender sich bei Web.ch mit seinem Passwort anmeldet und dann in den persönlichen Ebay-Account weitersurfen kann, mag das noch unkritisch sein. Aber ob ein Anwender sich sicher fühlt, danach auch noch Online Banking zu machen, bleibt fragwürdig. Es fehlt an der Akzeptanz einer «Trusted Authority» und eines Mechanismus, der eine interne und externe Validierung der Identität ermöglicht ohne dabei Datenschutzbestimmungen zu verletzen. Einer Einrichtung, welche die externe Validierung und die dazugehörigen digitalen Identitäten global verwaltet. Hier reduziert sich die ganze Technologie auf klassische psychologische Aspekte.