Alles was Sie über zentrales und dezentrales Identitätsmanagement wissen sollten

Die Pandemie hat die Art und Weise verändert, wie Unternehmen und Menschen das Eigentum von Identitätsdaten und ihrer Absicherung wahrnehmen, da immer mehr Menschen von zu Hause an privaten Geräten arbeiten, überwiegend online einkaufen und mit Familie und Freunden digital kommunizieren. Die Kontrolle und der Schutz der Online-Identität eines Benutzers und seiner Daten stehen im Mittelpunkt des zentralen wie auch das dezentralen Identitätsmanagement. Das Endziel ist das gleiche, aber die Ansätze sind unterschiedlich.

Eine von Javelin Strategy & Research 2021 durchgeführte Studie zu Identitätsbetrug hat ergeben, dass sich die Verluste durch Identitätsbetrug im Jahr 2020 auf 56 Milliarden US-Dollar beliefen. Unternehmen benötigen ein sicheres Identitätsmanagement, das böswillige Akteure daran hindert, sich als valide Benutzer auszugeben, um Daten zu stehlen und Netzwerke lahmzulegen, wie es beim jüngsten Ransomware-Angriff auf die Colonial Pipeline der Fall war. Gleichzeitig haben Datenschutzverletzungen und Identitätsdiebstahl die Nutzer dazu veranlasst, nach Möglichkeiten zu suchen, ihre Online-Identitäten selbst zu kontrollieren, anstatt dies den Unternehmen zu überlassen. 

Die digitale Identität ist eine Frage der nationalen Sicherheit. Es gibt keine „Einheitslösung“ und deshalb müssen Lösungen sowohl für das zentrale als auch für das dezentrale Identitätsmanagement bereitgestellt werden. Die beiden Ansätze können ineinandergreifen, um Identitätsdaten zu schützen.

Das zentrale Identitätsmanagement (auch als Identitäts- und Zugriffsmanagement oder IAM bekannt) wird von Unternehmen eingesetzt, um Daten zu schützen und die Authentifizierung und den Zugriff auf Anwendungen, APIs und andere Ressourcen zu kontrollieren.
 

Die jüngste IBM-Studie mit dem Titel „Cost of a Data Breach“ (zu Deutsch: „Die Kosten einer Datenschutzverletzung“) ergab, dass von den durchschnittlichen Kosten einer Datenschutzverletzung in Höhe von 3,92 Mio. US-Dollar ganze 36%, bzw. 1,42 Mio. US-Dollar nur auf entgangene Geschäfte zurückzuführen waren. Darüber hinaus waren kompromittierte Zugangsdaten (anfänglich der häufigste Angriffsvektor) für 20% der Sicherheitsverletzungen verantwortlich und erzeugten durchschnittliche Kosten von 4,37 Millionen US-Dollar.
 

Um Datenschutzverletzungen vorzubeugen, mussten Unternehmen einen Weg finden, legitime Benutzer zu verifizieren und ihnen Zugang zu den benötigten Ressourcen zu gewähren, ohne sie so sehr zu frustrieren, dass sie aufgeben. IAM-Lösungen stellen sicher, dass Benutzer verifiziert werden, in der Regel durch Einzel- oder Multi-Faktor-Authentifizierung (MFA), um zu beweisen, dass sie die sind, für die sie sich ausgeben. Laut Microsoft kann die MFA „99,9 Prozent der Angriffe auf Ihre Konten vereiteln.“
 

Wenn eine Single Sign-on (SSO)-Lösung eingerichtet ist, erhalten die Benutzer die Möglichkeit, auf die benötigten Tools zuzugreifen, ohne sich zuvor bei mehreren Konten anmelden zu müssen, weil eine Vertrauensbeziehung zwischen dem Benutzer, dem Unternehmen und den Partnerseiten besteht. Dies verringert die Frustration, Irritationen und Passwortmüdigkeit und erhöht gleichzeitig die Datensicherheit.

Die dezentrale Identität (auch als persönliche Identität, selbstverwaltete Identität und verteilte Identität bezeichnet) gibt den Benutzern mehr Kontrolle. Mit dem dezentralen Identitätsmodell können Einzelpersonen identitätsbezogene Daten in einer digitalen Wallet auf ihrem eigenen mobilen Gerät speichern. So können sie diese Informationen auf dem neuesten Stand halten und diejenigen Daten weitergeben, die sie von Unternehmen oder anderen Personen benötigen, um ein Bankkonto zu eröffnen, ein Auto zu kaufen, eine neue Stelle anzutreten und noch vieles mehr.
 

Die Nutzer erhalten Identitätsnachweise von unterschiedlichen Ausstellern (Arbeitgeber, Behörden usw.) und speichern diese in ihrer digitalen Wallet, ähnlich wie wir unseren Führerschein, Kreditkarten und Versicherungskarten in die Brieftasche stecken. Die Benutzer können eine Reihe von privaten und öffentlichen Schlüssel in ihrer Identitätsbörse erstellen und dann nur die wenigen Informationen weitergeben, die für die jeweilige Transaktion benötigt werden. Wenn ein Unternehmen einen oder mehrere Identitätsnachweise anfordert, kann die Person diese vorlegen und ihre Gültigkeit wird anhand eines Blockchain-basierten Ledgers überprüft.

So funktioniert es

1. Herausgeber können offizielle Datenquellen sein, wie z. B. Universitäten, Kreditbüros oder Apotheken, die verifizierte Daten über Personen bereitstellen. Nutzer können auf einen Link eines anderen Nutzers klicken oder einen QR-Code scannen, um verifizierte Daten in Form einer Karte zu ihrer digitalen Geldbörse hinzuzufügen.
    

2. Benutzer sind Einzelpersonen (potenzielle Mitarbeiter, Kunden usw.), die Identitätsdaten (Führerschein, Impfpass, Zeugnis usw.) in einer digitalen Brieftasche speichern, die mithilfe der Blockchain-Technologie sicherstellt, dass die Informationen niemals geändert oder gelöscht werden. Personenbezogene Informationen werden nur in der digitalen Brieftasche gespeichert und ausschließlich vom Nutzer selbst kontrolliert.
    

3. Prüfer sind Unternehmen oder Einzelpersonen, die Aussagen über andere bestätigen müssen. Durch das Scannen eines QR-Codes können Benutzer aktuelle, verifizierte Daten über sich selbst mit Prüfern austauschen.

Gartner hat 2018 erklärt, dass „das Aufkommen der Blockchain als Technologie für die Anwendung eines dezentralisierten und fälschungssicheren Shared-Ledger neue Experimente ermöglicht, wie eine gemeinsame Vertrauensdomäne am besten umgesetzt werden kann.“ Dies wird als Identity Trust Fabric (ITF) bezeichnet und verringert die Bedeutung der zentralen Identitätsanbieter beim Umgang mit Vertrauen.

Im Zuge der Weiterentwicklung der Identitätssicherheit kann sich das Gleichgewicht zwischen zentraler und dezentraler Identitätsverwaltung verlagern. Ping bietet für beide Ansätze Lösungen zum Schutz personenbezogener Daten an, daher sind uns die Gemeinsamkeiten und Unterschiede bekannt.

Zentrales Identitätsmanagement

Lösungen für das Identitäts- und Zugriffsmanagement (IAM) gibt es schon seit Jahren. Sie basieren auf etablierten Vertrauensbeziehungen zwischen Benutzern, Identitätsanbietern (IdP) und Dienstanbietern (SP). IAM-Lösungen sind auf Kunden, Mitarbeiter und Partner ausgerichtet und bieten damit eine flexible Option für Unternehmen. 

Ein IAM stützt sich auf Verzeichnisse zur Speicherung von Benutzerprofilen, wobei Daten aus zahlreichen Quellen herangezogen werden. Lösungen für das Customer Identity and Access Management (CIAM, Kundenidentitäts- und Zugriffsmanagement) ähneln dem IAM, bieten aber zusätzliche Funktionen wie Registrierung, Selfservice-Funktionen zur Kontoverwaltung, Zustimmungs- und Präferenzverwaltung sowie Datenzugriffssteuerung. Die erstellten Nutzerprofile ermöglichen es den Unternehmen und ihren Partnern, dem Kunden einen personalisierten Service bereitzustellen. 

Da Unternehmen sensible Daten speichern und möglicherweise an Dritte weitergeben, gibt es Risiken. Die Aufsichtsbehörden haben den Schutz von Verbraucherdaten verstärkt und bei Nichteinhaltung drohen Strafen. Die Datenschutz-Grundverordnung (DSGVO) und der California Consumer Privacy Act (CCPA) sind nur zwei Beispiele. 

Vorteile

• Verbesserung der Benutzerfreundlichkeit und Sicherheit durch Multifaktor-Authentifizierung (MFA)

• Steigerung der Produktivität durch Single Sign-on (SSO)

• Vertrauensbeziehungen sind bereits vorhanden

• Niedrigere IT-Kosten, insbesondere bei Abonnement-Modellen für IDaaS (Identity as a Service)

Nachteile

• Datenschutzverletzungen gefährden Nutzerdaten

• Möglicher Mehraufwand bei der Einhaltung von Vorschriften zur gemeinsamen Datennutzung

• Schlechte Planung kann zu Leistungs- und Umsetzungsproblemen führen

• Störungen, Ausfälle oder Ransomware können den Betrieb lahmlegen

Dezentrales Identitätsmanagement 

Im Jahr 2019 zeigte eine Studie des Pew Research Center, dass 79% der Erwachsenen angeben, sie seien mehr oder weniger besorgt darüber, wie die Unternehmen die über sie gesammelten Daten verwenden, und 64% geben an, sie seien ebenso besorgt über die Datenerfassung der Regierung.“ Es ist also nicht verwunderlich, dass sich die Menschen mehr Kontrolle über ihre Online-Identität und der gemeinsame Nutzung von Daten wünschen.

Digitale Brieftaschen sind eine benutzerfreundliche Methode des Speicherns und Zugriffs auf leicht zugängliche, personenbezogene Daten auf dem Smartphone. Im Gegensatz zum Single Sign-on, bei dem die Benutzer mit einem zentralen Profil gleich für mehrere Anwendungen verifiziert werden, müssen sie sich hier bei jeder Anwendung separat mit einer persönlichen Identität anmelden.
 

Vorteile

• Benutzer kontrollieren die Weitergabe von Daten

• Smartphones fungieren als Geräte für die digitale Identität

• Die Monetarisierung persönlicher Daten durch Unternehmen (einschließlich in den sozialen Medien) wird reduziert

• Es werden weniger Benutzerdaten preisgegeben, sollten Hacker in Unternehmen eindringen
   

Nachteile

• Die Protokolle sind noch in der Entwicklung und nicht allgemein anerkannt

• Benutzer haben möglicherweise Probleme, alle Identitätsnachweise zu erhalten, die sie in ihren Wallets speichern müssen

• Es fällt Nutzern möglicherweise schwer, ein seriöses Unternehmen für die Verwaltung ihrer Identität auszuwählen

• Benutzer und Unternehmen müssen einen Lernprozess durchlaufen

Ping Identity ist Anfang des Jahres der Decentralized Identity Foundation (DIF) beigetreten, um den Fortschritt offener Standards für persönliche Identitäten zu unterstützen. Die DIF möchte den Menschen und Organisationen helfen, mehr Kontrolle über ihre digitalen Identitäten zu erlangen und sie in die Lage versetzen, vertrauenswürdige Online-Transaktionen und Interaktionen sicher durchzuführen. Die Mitglieder des DIF arbeiten engagiert an Protokollen und Implementierungen, die der Erstellung, Auflösung und Erkennung von dezentralen Identifikatoren und Namen in dezentralen Systemen (auch verteilten Ledgers und Blockchains) dienen.

Das föderative Identitätsmanagement ist eine Lösung für ein zentrales Identitätsmanagement, die das Single Sign-on für Anwendungen über mehrere Domänen oder Einheiten hinweg ermöglicht. Ein Unternehmen kann so seinen Mitarbeitern mit einem Klick Zugriff auf Anwendungen von Drittanbietern wie Salesforce oder Zoom geben. Wenn sich ein Mitarbeiter morgens anmeldet, braucht er weder mehrere Konten noch Passwörter, um seine täglichen Aufgaben zu erledigen und kann so produktiver arbeiten.  

Das CIAM bietet den Kunden eine ähnliche Erfahrung. Beispielsweise kann eine Bank ihren Kunden einen nahtlosen Zugang zu Bankdienstleistungen bereitstellen, die extern verwaltet werden, wie beim Bestellen von Schecks, Versenden von Geld via Zelle oder dem Beantragen eines Kredits. Wenn der Kunde seine Adresse in einer Anwendung aktualisiert, geschieht dies auch in allen anderen Anwendungen.

Vielleicht haben Sie bereits Erfahrung mit dezentraler Identität gesammelt, ohne sich dessen bewusst zu sein. Das Projekt COVID Freedom von Ping ermöglicht es Impfstoffanbietern, Unternehmen und Einzelpersonen, ihre Impfungen und COVID-Testergebnisse anderen gegenüber sicher nachzuweisen und die Nutzer gleichzeitig mit privaten verschlüsselten Nachrichten über den aktuellen Impfstatus zu informieren. Einzelpersonen erhalten einen digitalen Nachweis über ihre Impfung in ihrem sicheren mobilen ShoCard-Wallet und können diesen dann mithilfe eines QR-Codes auf sicherem Weg an Arbeitgeber, Restaurants und andere weitergeben, die an dem Programm teilnehmen.

Mobile Brieftaschen können eine weitreichende Wirkung haben. Derzeit gibt es weltweit mehr als 6 Milliarden Smartphone-Nutzer. Mobiltelefone haben sich zu einem der leistungsfähigsten Geräte für die digitale Identität entwickelt und könnten für Millionen von Menschen in Ländern der Dritten Welt die einzige Möglichkeit für den Zugang zu Finanz- und anderen Dienstleistungen darstellen. 

PingOne for Individuals ist eine Lösung von Ping für das dezentrale Identitätsmanagement, die es Unternehmen ermöglicht, digitale Identitätskarten an ihre Nutzer auszustellen. Diese können mit verifizierten Daten verknüpft und im digitalen ShoCard-Wallet gespeichert werden. Auf diese Weise können die Benutzer ihre eigenen Daten verwalten, die sicher auf ihren mobilen Geräten gespeichert sind.

Die PingOne Cloud Platform ist Pings Lösung für ein zentrales Identitätsmanagement, mit der Unternehmen ihren Mitarbeitern und Kunden eine reibungslose und sichere Online-Erfahrung bereitstellen können. Wenn Sie mehr darüber erfahren möchten, welche Vorteile ein Kundenidentitäts- und Zugriffsmanagement (CIAM) Ihrem Unternehmen bieten kann, finden Sie weitere Informationen in unserem Ultimativen Leitfaden zum CIAM .