Identitätsmanagement

Als Identitätsmanagement (IdM) wird der zielgerichtete und bewusste Umgang mit Identität, Anonymität und Pseudoanonymität bezeichnet. Der Personalausweis ist ein Beispiel für eine staatlich vorgegebene Form der Identifizierung.

Kontext

Durch die Vernetzung über das Internet hat die Frage von bewusster Anonymität bzw. bewusstem Umgang mit Teilen der eigenen Identität eine neue und zuvor nie gekannte Komplexitätsstufe erreicht. Im Internet wird regelmäßig mit (Teil-)Identitäten agiert. Es gibt aber auch ernsthafte Prozesse und Fragen der Anonymität im Internet und der Identifizierbarkeit. In vielerlei Hinsicht können Identitätsmanagementsysteme problematisch sein, wenn nicht klar ist, was mit den Daten geschieht, die ggf. ungewollt zu weitergehender Identifizierung führen können.

In der realen wie in der digitalen Welt gibt es verschiedenste Formen des Identitätsmanagements. Gemäß ISO/IEC JTC 1/SC 27/WG 5 A framework for IdM[1] umfasst IdM:

  • den Identifikationsprozess einer Einheit (inkl. optionaler Authentisierung)
  • die Information, die mit der Identifikation einer Einheit innerhalb eines bestimmten Kontexts verbunden ist
  • die sichere Verwaltung von Identitäten.

Eine „Einheit“ (Entität) kann alles sein, was eindeutig als solche erkannt werden kann (Person, Tier, Gerät, Objekt, Gruppe, Organisation etc.). Einheiten können mehrere Identitäten haben, die in verschiedenen Kontexten verwendet werden können. Laut Definition der ITU-T Recommendation X.1252[2] (ITU: International Telecommunication Union, ITU-T: Telecommunication Standardization Sector der ITU) wird der Begriff IdM als Verwaltung von Attributen einer Einheit verstanden (z. B. Kunde, Gerät oder Provider). Die Verwaltung digitaler Identitäten ist hier aber nicht dazu gedacht, um Personen zu validieren (IdM-GSI).

Im Kontext des digitalen Identitätsmanagements sind folgende Themen relevant:

  • Geltungsbereich (innerhalb von Organisationen oder organisationsübergreifend/föderal)
  • Lebenszyklus der Identität von der Einrichtung, Modifikation, Suspendierung bis zur Terminierung oder Archivierung
  • Medien, welche die Daten enthalten (Token, Karten)
  • Systeme, in denen die Daten gespeichert werden (Verzeichnisse, Datenbanken etc.)
  • Verknüpfung der Rollen mit Pflichten, Verantwortungen, Privilegien und Rechten für den Zugriff auf Ressourcen
  • Verwaltung und Schutz der Informationen (Attribute) der Identität, die sich über die Zeit ändern
  • Zuweisung und Verwaltung der verschiedenen Rollen von Identitäten

Anforderungen an ein Identitätsmanagement

Identitätsmanagement befasst sich vornehmlich in der Welt der Datenverarbeitung mit der Verwaltung von Benutzerdaten, die einzelnen Personen zugeordnet sind. Eine Person kann dabei durchaus mehrere Identitäten besitzen, während eine Identität gewöhnlich nur einer Person zuzuordnen ist. Dabei ist die Identität eine Sammlung von personenbezogenen Attributen, die die Person, die sich dieser Identität bedient, individualisiert.

Beispiel: In einem Online-Rollenspiel richtet sich die Person Joe User eine Identität ein: König Niels, grausamer Herrscher des Volkes der Lemminge mit den Attributen dumm, kampfstark und geizig. Die gleiche Person Joe User hat bei einem Onlineshop eine andere Identität, deren Profil sich durch Merkmale Interessiert sich für klassische Musik, Kreditkartennummer lautet 1234 1234 1234 1234 und hat bereits 3 CDs gekauft bestimmt.

Netzwerk-Identitäten gehören Personen, sie sind deshalb in der Regel kritische Daten, da die Identität an die Person gekoppelt ist. Würde die Onlineshop-Identität durch eine andere Person (Alice Evil) verwendet werden, hätte die Person in obigem Beispiel (Joe User) das Problem, dass Bestellungen zu Lasten des Identitäts-Eigentümers in falsche Hände laufen.

Multiple Identitäten oder Accounts sind sowohl in der Netzwelt, als auch im realen Alltag notwendig und werden verbreitet verwendet. Beispiele:

  • Führerschein (mit Name des Eigentümers, Bild, Fahrzeugklasse)
  • Kunde bei der Bank (mit Kontonummer, Kontostand, Name und Bonität)
  • Kundenkarte bei der Tankstelle (mit Kundenname, Kundennummer und Punktestand)
  • Vielfliegerkonto (mit Kundenname, Nummer, Status und Punktestand)

Man kann von einer Haupt-Identität einer jeden Entität ausgehen, diese definiert sich aus der Gesamtheit aller ihr zugeordneten Attribute. Diese Attribute können der Entität bekannt (Bezeichnung), unbekannt, dauerhaft (DNS) oder veränderbar (Softwarestand, Haarfarbe) sein.

Eine missbräuchliche Verwendung von Identitäten (in der Regel zum Nachteil des eigentlichen Besitzers) wird als Identitätsdiebstahl bezeichnet.

Das Management von Identitäten geschieht vornehmlich auf EDV-Ebene, da hier ungleich mehr Accounts einer Person zuzuordnen sind, als im realen Leben. Insbesondere in Unternehmen ist es eine nicht unerhebliche Aufgabe, die verschiedenen Accounts (Mail, Betriebssystem, ERP-Zugang, Internet-Zugriff etc.) einer Person zu konsolidieren.

Warum Identitätsmanagement?

Einer der Gründe, warum man sich in Unternehmen mit Identitätsmanagement (im anglisierten Sprachgebrauch Identity-Management) beschäftigt, ist die Anforderung, personenbezogene Daten konsistent, ständig verfügbar und verlässlich bereitzuhalten. Dienste wie ein Mail-System oder eine Personalbuchhaltung sind auf diese Daten angewiesen, ohne sie wäre kein individualisierter Betrieb möglich.

Beispiel: Ein Mitarbeiter hat ein Mail-Konto, das nur ihm selbst zugeordnet ist. Hierfür benötigt er eine individuelle Mailadresse, einen sogenannten Account mit dem dazugehörigen Passwort. Diese Daten sind nur für ihn und nicht für die Allgemeinheit bestimmt.

Gegenbeispiel: Eine Firmenpräsentation ist für alle Mitarbeiter einheitlich und bedarf keiner Individualisierung.

Viele solcher individualisierter Dienste haben nun ihre eigenen Datenstammsätze der Personen: Der Mailserver hat eine Konfigurationsdatei mit allen teilnehmenden Mailanwendern, die Personalbuchhaltung ihre eigene Stammdatenbank. Diese und die Vielzahl aller anderen Services zusammen mit deren Daten untereinander abzugleichen war eine hohe administrative Herausforderung: Änderten beispielsweise Mitarbeiter aufgrund einer Heirat ihren Namen, mussten in allen beteiligten Systemen Anpassungen durchgeführt werden.

In den 1990er Jahren war der erste Schritt in Richtung Vereinheitlichung dieser Daten die Einführung eines Verzeichnisdienstes. Diese sammelten die personenbezogenen Daten und stellten sie beispielsweise über ein standardisiertes Verfahren zur Verfügung (siehe LDAP).

Nun erkannte man allerdings, dass sich zwar viele, aber längst nicht alle Dienste unter einem solchen Verzeichnis versammeln konnten. Gerade im Bereich des Personalwesens erwies es sich als ausgesprochen kritisch, Personaldaten einem solchen Verzeichnis zu überlassen. Solche Dienste behielten sich ihre eigenen Daten vor und konnten nicht gegenüber Verzeichnissen synchronisiert werden.

Mit dem Aufkommen eines Identity-Managements wurden diese Schranken zum ersten Mal durchbrochen: Die Personaldatenbanken konnte die Hoheit über ihre Daten behalten, Datenänderungen wie beispielsweise eines Namens wurden aber nun über Synchronisations-Mechanismen zum Identity-Management hin übermittelt, das seinerseits diese Datenänderung an alle anderen beteiligten Systeme mitteilte.

Identitätsmanagement von Unternehmen

Je größer ein Unternehmen ist, desto mehr müssen Identitäten und Berechtigungen verwaltet werden.[3] Dazu werden sogenannte Identity-Management-Architekturen eingesetzt. Dabei handelt es sich um eine Kombination aus manuellen, maschinellen, organisatorischen und technischen Maßnahmen, um angemessene Berechtigungen im Unternehmen zu gewährleisten und somit Interessenkonflikte zu vermeiden. Dabei kommen häufig Softwarekomponenten, welche Identitäten und deren Zugriffsrechte verwalten, zum Einsatz.

Der Begriff Identity-Management im Software-Umfeld umfasst keinen genau definierten Funktionsumfang. So fokussieren sich beispielsweise einfache Systeme ausschließlich auf die Synchronisation von personenbezogenen Daten, während umfassendere Architekturen dagegen Workflow-Prozesse einbeziehen, die ein hierarchisches Genehmigungsmodell von Vorgesetzten beinhalten, um Datenänderungen umzusetzen.

Eine Identity-Management-Architektur sollte über ein Provisionierungsmodul verfügen, das es erlaubt, den Benutzern automatisch aufgrund ihrer jeweiligen Rolle (und auch Aufgaben) in der Organisation individuelle Berechtigungen zu erteilen. Hier stellt sich aber bereits die Frage, wie weit Identity-Management über die ausschließliche Verwaltung personenbezogener Daten hinweg Applikations-Funktionalitäten integrieren soll (z. B. ist die „Quota“ auf einem Mailserver kein personenbezogenes Datum, sondern eine Applikations-Information).

Identity-Management in einem Unternehmen hat vielfach Schnittstellen zum sogenannten Access Management, das beispielsweise für Portale die Zugriffsrechte verwaltet, Single Sign-on (SSO) ermöglicht oder Security Policies verwaltet. Für die Kombination von Identity-Management und Access Management wurde in der Informationstechnik (IT) daher mittlerweile der Begriff „Identity and Access Management“ (IAM oder IdAM) geprägt.

Komponenten einer Identity-Management-Architektur können vielfältig sein. Gängige Basis ist der sogenannte Verzeichnisdienst, in dem die personenbezogenen Daten von Mitarbeitern hinterlegt sind, die am häufigsten und von den meisten Systemen abgefragt werden (Name, Mailadresse, Telefonnummer usw.), was als Metadirectory bezeichnet wird. Ist dies einfach nur ein dedizierter Verzeichnisdienst für eine solche Sicherheitsarchitektur, welche nur die IDs (Kennungen) und wenige weitere Attribute enthält und die restlichen bei Bedarf aus den angeschlossenen Systemen abfragt, so wird ein solches System als Virtual Directory bezeichnet. Hierzu werden Produkte von unterschiedlichen Anbietern genutzt: NDS, eDirectories, SAP-Systeme, Active-Directories. Ebenso werden Datenquellen aus applikations-spezifischen Datenbanken, E-Mail-Systemen und Personalabteilungssoftware erschlossen. Man unterscheidet diese Komponenten in Quell- und Zielsysteme, wobei es auch Kombinationen beider, wie die E-Mail-Systeme gibt. In all diesen Systemen werden personenbezogene Daten gespeichert, die über das Identity-Management miteinander abgeglichen werden. Die eigentliche Software eines Identity-Managements operiert als Broker zwischen all diesen Komponenten und arbeitet als Prozess meist auf einer dedizierten Hard/Software (bsp. Applikation innerhalb eines Application Servers). Diese Software bezeichnet man als Identity Management System.

Hier wird auch die Funktionsweise des Provisioning deutlich: Über das Meta-/ Virtual Directory werden die Benutzerdaten und Rechte auf alle angeschlossenen Systeme verteilt (im günstigsten Fall alle im Unternehmen eingesetzten Systeme). So kann das Identitätsmanagement zentralisiert werden.

Weitere mögliche Funktionen:

  • Federated Identity Management, das sich mit der Identitätsbereitstellung und -verwendung über Unternehmensgrenzen hinweg beschäftigt
  • Passwortsynchronisierung, so dass ein Benutzer nur ein einziges Passwort in allen angeschlossenen Systemen benötigt
  • In die Unternehmensstrukturen (Abteilungen, Managementhierarchien) eingebetteter Genehmigungsworkflow für Rechte und Rollen
  • Basis für eine PKI-Infrastruktur, die auf einem IAM-System mit genügend hoher Datenqualität aufbauen kann
  • Passwort Self Services, mit denen ein Benutzer ein Passwort für ein System zurückgewinnen, resetten oder ändern kann. Gängige Lösungen realisieren dies über ein Web-Front-End.
  • Verwaltung und Steuerung von privilegierten Benutzerkonten, die aufgrund von Designentscheidungen von Anwendungen entsprechende Regelungen zur Funktionstrennung verletzen. Dabei handelt es beispielsweise um Root-Konten.

Identitätsmanagement im World Wide Web

Die Entwicklung interaktiver Technologien hat ein großes Interesse an der Abbildung von sozialen Beziehungen im Internet erzeugt (siehe auch Soziale Software). In diesem Kontext gibt es eine Vielzahl von Bestrebungen, einen „Identity Layer“ als weitere Protokollschicht für das Internet zu entwickeln. Ziel dabei ist es, eine hinreichende Sicherheit über die Identität der Online-Kommunikationspartner zu bekommen, ohne gleichzeitig unnötig viel personenbezogene Daten austauschen zu müssen. Das Spektrum der Initiativen reicht vom Mikroformat vCards über Dienste wie ClaimID, die eine Sammlung von Webseiten bestimmten Personen zuordnen, bis zu Microsofts umfassender Architektur.

In diesem Kontext ist auch Kritik an der Verkürzung des Identitätsbegriffes aufgekommen, der in Psychologie und Soziologie viel mehr meint als das Verwalten von diskreten Eigenschaften technisch implementierter Konten. Bob Blakley, ehemals Chief Privacy and Security Architect von IBM Tivoli Software und heute bei der Burton Group, sieht dies als allgemeines Zeichen der Bürokratisierung der Lebenswelt an:

“The West conducted a nuanced discussion of identity for centuries, until the industrial state decided that identity was a number you were assigned by a government computer”

Ein Konzept des Identitätsmanagements in Webanwendungen wurde von Dick Hardt[4] in seiner Präsentation „Identitymanagement 2.0“[5] bildhaft dargelegt. Es soll erreicht werden, das Konzept von „die Plattform kennt die Identität“ zu „ich weise mich der Plattform gegenüber aus“ wandeln, d. h. die Autorisierung räumlich und zeitlich analog den nicht-digitalen-Ausweisdokumenten von der Identifizierung zu trennen.

Enterprise Identity und Access Management Referenzmodell

Das Referenzmodell besteht aus sieben Modulen, die für sich genommen nur eine beschreibende Rolle übernehmen und selbst keine Funktionalität bieten;

  1. Policies & Workflows (Policies (Richtlinien) und Workflows (Arbeitsabläufe) bilden die Basis für einen geregelten Arbeitsprozess, denn mit ihnen werden Voraussetzungen geschaffen, um überhaupt Prozesse zu starten bzw. weiterzuführen.)
  2. Repository Management (Das Repository Management hat die Aufgabe, die Informationen in einem EIAM zentral zu speichern und zu verwalten, die für Entitäten in einem Netzwerk von Nutzen sein können. Dadurch kann eine einzige digitale Identität pro Nutzer/Entität erreicht werden.)
  3. Life Cycle Management (Der Life Cycle zeigt die Schritte, die nötig sind, um Entitäten über digitale Identitäten bis zu deren Löschung in ein EIAM-System zu integrieren und zu verwalten)
  4. Access Management (Das Access Management beinhaltet die Entscheidung über Zugriffsberechtigungen auf der Basis von Nutzeridentitäten, -rollen und Zugriffsrechten.)
  5. Information Protection (Information Protection soll Informationen eines Unternehmens immer adäquat vor Angriffen schützen.)
  6. Federation (Federation oder Föderation ermöglicht den gesicherten Austausch von Identitäts- bzw. Authentifizierungsinformationen von digitalen Identitäten unterschiedlicher Einheiten oder Organisationen, basierend auf einem zuvor aufgebauten Vertrauensverhältnis.)
  7. Compliance & Audit (Ein Audit auf Basis von Compliance (Rechtskonformität) fördert durch Überprüfung der Einhaltung von Vorschriften die Stabilität in der Infrastruktur eines Unternehmens. Compliance dient dabei der Einhaltung, während ein Audit die Überprüfung übernimmt.)[6]

EU-Forschungsprojekte

Als Teil des 6. Forschungsrahmenprogramms (FP6)[7] von 2002 bis 2007 hat die Europäische Union 2004 mit PRIME (Privacy and Identity Management for Europe) ein Forschungsprojekt zu „Identitätsmanagement“ gestartet und mit 10 Mio. Euro gefördert, um offene Fragen zu klären und Technologien zu fördern, die auch den Datenschutzgesetzen gerecht werden. In Deutschland ist das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Ansprechpartner für das Projekt, in dem namhafte Personen aus Forschung und Industrie zusammenarbeiten. Das Internetstandardisierungskonsortium W3C ist als Unterauftragnehmer des ULD ebenfalls beteiligt.

Ein weiteres EU-FP6-Forschungsprojekt wurde ebenfalls im Jahr 2004 gestartet: FIDIS (Future of Identity in the Information Society). Bei diesem Projekt soll mit dem sog. „Network of Excellence“ ein Expertenforum aufgebaut werden, welches derzeit aus 24 in Europa operierenden Partnern[8] besteht. Die Leitung in Deutschland hat die Universität Frankfurt.

Im Vorfeld der beiden Projekte hatte die Europäische Kommission die Studie „Identity Management Systems (IMS): Identification and Comparison Study“ erstellen lassen.

Mit dem Start des 7. Forschungsrahmenprogramms[9] von 2007 bis 2013 starteten weitere Projekte zum Thema Identity-Management. PICOS untersucht und entwickelt eine zeitgemäße Plattform für Identitätsmanagement in mobilen Gemeinschaften. PrimeLife entwickelt verschiedene Technologien, die es dem Einzelnen im Hinblick auf die steigenden Risiken der Informationsgesellschaft ermöglicht, unabhängig von ihren Aktivitäten ihre Autonomie zu schützen und Kontrolle über ihre persönlichen Daten zu behalten. SWIFT verwendet Identitätstechnologien als Schlüssel für eine Integration von Dienste- und Transportinfrastrukturen und hat zum Ziel, Identitätsmanagement in die Netzinfrastruktur zu erweitern.

Siehe auch

Literatur

  • Sebastian Rieger: Einheitliche Authentifizierung in heterogenen IT-Strukturen für ein sicheres e-Science Umfeld. 1. Auflage. Cuvillier, Göttingen 2007, ISBN 978-3-86727-329-9 (Dissertation).
  • Norbert Pohlmann: Cyber-Sicherheit: Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung. Springer Vieweg, September 2019, ISBN 978-3-658-25397-4, S. 213–240.

Einzelnachweise

  1. iso.org
  2. ITU-T Recommendation: Baseline identity management terms and definitions. Abgerufen am 22. Februar 2011.
  3. Identitäts- und Zugriffsverwaltungslösung. Abgerufen am 22. Mai 2021.
  4. dickhardt.org (Memento des Originals vom 18. Januar 2014 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/dickhardt.org
  5. dailymotion.com
  6. Norbert Pohlmann: Cyber-Sicherheit: Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung. Springer Vieweg, 2019, ISBN 978-3-658-25397-4, S. 213–240.
  7. Sixth Framework Programme. Abgerufen am 22. Februar 2011.
  8. Geografische Lage des Unternehmens. Abgerufen am 22. Februar 2011.
  9. Seventh Framework Programme (FP7). Abgerufen am 22. Februar 2011.