Voll von der Rolle
Systeme fürs Managen von Identitäten im Netzwerk stehen bei Unternehmen hoch im Kurs. Sie sorgen für Durchblick bei den Zugangsrechten für Mitarbeiter, verhindern sicherheitsgefährdende Karteileichen und erleichtern berechtigten Nutzern das Einloggen. Im Verbrauchermarkt kann sich das Identitätsmanagement dagegen noch nicht durchsetzen. Datenschutzfreundliche Lösungen sollen Abhilfe schaffen.
Von Stefan Krempl, erschienen in Computerworld Magazin 4/2004
Für die Credit Suisse war der Aufbau eines umfassenden Systems fürs Identitätsmanagement keine Kür, sondern Pflicht. "Rechtliche Vorgaben gemäß der Schweizer Gesetze über das Bankgeheimnis und den Datenschutz, Verordnungen der Eidgenössischen Bankenkommission zu Sorgfaltspflichten und Geldwäscherei als auch zunehmende Informationssicherheitsrisiken stellen immer umfassendere Anforderungen an das Identitätsmanagement", weiß Ralph Holbein, Chief Information Security Officer bei dem Finanzkonzern. An der Einführung automatisierter Verfahren mithilfe der Informationstechnologie ging daher kein Weg vorbei. So muss im Bankensektor – nicht zuletzt zur Terrorismusbekämpfung – die Identität von Kunden bei der Aufnahme von Geschäftsbeziehungen überprüft sowie ein differenziertes Profil des Klienten angelegt und fortlaufend aktualisiert werden. Dabei sind die Transaktions- und Bestandsdaten von den identifizierenden Angaben streng getrennt zu halten. Gleichzeitig bietet es sich an, auch die Identitäten der Bankmitarbeiter im IT-System zu erfassen. Damit können User Accounts zentral freigeschaltet und Autorisierungen für diverse Applikationen erteilt werden.
Auch wenn die gesetzlichen Vorgaben und Verwaltungsanforderungen nicht bei allen Unternehmen so hoch sind wie im Finanzbereich, entdecken immer mehr Firmen den Charme moderner ID-Management-Technologien für sich. Einer der wichtigsten Gründe: Die betriebliche IT-Landschaft ist häufig nicht aus einem Guss. Fürs Customer Relationship Management sorgt die Software eines Herstellers, bei der Lösung fürs Data Warehouse kam ein anderer Ausrüster zum Zuge. Die Finanzdaten werden wieder von einem Programm eines ganz anderen Entwicklers verwaltet. Um die Applikationen zu nutzen, müssen sich die Anwender eine Vielzahl von Logins und Passwörtern merken. Die Arbeit der Administratoren wird auch nicht leichter, da sie die Berechtigungen einzeln im Auge behalten müssen. Verlieren sie den Überblick, ist die Sicherheit des Netzwerkes rasch kompromittiert.
Kein Wunder also, dass die Nachfrage nach Systemen zum Identitätsmanagement steigt. Die Hersteller preisen die Lösungen als jüngste und unverzichtbare Sicherheitstechnologie an und werben mit möglichen Kosteneinsparungen. Ihr Argument: Neue Mitarbeiter können mit den zentralen Identitätsdiensten innerhalb von Minuten statt Tagen einen maßgeschneiderten Zugang zum Firmennetz und den ihnen offen stehenden Anwendungen erhalten. Ein Passwort genügt, um Server, Drucker oder andere angeschlossene Hardware zu benutzen. Marktauguren geben sich daher optimistisch: Laut IDC sollen die Umsätze mit ID-Systemen von 2,4 Milliarden US-Dollar in 2002 auf 4,6 Milliarden in 2007 ansteigen. Von diesem Kuchen will eine wachsende Zahl von Herstellern eine Scheibe abhaben. Zu den Spezialanbietern gehören US-Firmen wie Oblix, Netegrity, Phaos Technology und Blockade Systems. Doch auch Größen der IT-Branche wie Computer Associates, IBM, Microsoft, Novell, RSA Security und Sun haben eigene Lösungen entwickelt. Im Juni zog HP mit der Software OpenView Select Identity nach, die mit der älteren Produkt Select Access Hand in Hand spielt.
Großabnehmer finden die Anbieter momentan vor allem in der Telekommunikationsbranche. So hat die Deutsche Telekom Sun zu seinem bislang umfangreichsten Software-Auftrag verholfen. Ende August gab der Computerkonzern bekannt, 80 Millionen Lizenzen des Sun One Identity Servers an den rosa Riesen verkauft zu haben. Die Plattform regelt die Zugriffssteuerung auf Portale, das Unternehmensnetz und Webservices. Sie unterstützt Security Assertion Markup Language (SAML) 1.0 und hat Schnittstellen zu zahlreichen Authentifizierungs-Systemen. T-Com, die Festnetzsparte der Deutschen Telekom, will 2005 erste Produkte auf Basis des Identity Server auf den Markt bringen und hat dabei Anwendungen wie Bezahlvorgänge via T-Pay im Auge. Einen Monat zuvor ließ France Telecom bei IBM die Kasse klingeln. Big Blue wird für die rund 50 Millionen Mobilkunden des Konzerns ein ID-Management-System aufsetzen. Die Handy-Nutzer sollen damit mithilfe eines einzigen Passworts unterschiedliche webbasierte Dienste von France Telecom sowie ihren Partnern in Anspruch nehmen können – unabhängig davon, ob sie sich vom Mobiltelefon oder vom PC zuhause einloggen.
Bezeichnend ist, dass das System für die Franzosen auf der Spezifikation der Liberty Alliance aufsetzen soll. Dieses Industriebündnis, dem just IBM noch gar nicht beigetreten ist, umfasst über 150 Mitglieder. Sie haben es sich zum Ziel gesetzt, einen offenen Standard für das Online-ID-Management über diverse Partnersites hinweg zu etablieren und so vor allem den E-Commerce von lästigen Registrierungspflichten bei unterschiedlichen Webhändlern zu befreien. Gegründet wurde die Allianz 2001 auf Betreiben von Sun als Antwort auf das Bestreben Microsofts, mit Passport eine proprietäre, auf .Net aufsetzende Plattform für den universellen Login zu schaffen. Der Plan der Redmonder ging allerdings nicht auf, weil sie allein über die Bestands- und Transaktionsdaten wachen wollten. Die prinzipiell an einer "Single Sign-on"-Lösung interessierten Firmen schreckten zurück, da sie mit der zentralen Lösung einen Keil zwischen sich und ihre Kunden getrieben sahen. Microsoft hat daher schon vor einiger Zeit angekündigt, den Ausweisdienst umzustrukturieren. Darüber hinaus arbeitet Microsoft mit RSA Security, IBM und vier weiteren IT-Firmen an der Spezifikation WS-Federation. Diese Technik für Webservices konkurriert direkt mit der Liberty Alliance.
Die verbündeten Microsoft-Skepitker lösen das Problem der Lagerung der Nutzerdaten mithilfe eines so genannten Circle of Trust: Ein Partner vertraut dabei dem Zugangskredit, dem ein anderer seinem Kunden gegeben hat. Eine zentrale Kontrollinstanz gibt es nicht. Die angeschlossenen Firmen fühlen sich wohler mit diesem Ansatz und wollen mit der Unterstützung der Plattform einem langen Standardisierungskrieg zuvorkommen. Doch ein ausgemachter Erfolg ist die Liberty Alliance, die inzwischen mehrere Versionen ihres "föderalistischen" Online-Ausweises veröffentlicht hat, nicht. Zum einen könnte die Spezifikation mit Softwarepatenten früherer Lösungen in Konflikt geraten. So hat beispielsweise nicht einmal Sony der Allianz ihr betroffenes geistiges Eigentum uneingeschränkt zur Verfügung gestellt – obwohl die Japaner Mitglieder sind. Zum anderen haben die Marktforscher von Gartner herausgefunden, dass Verbraucher Registrierungsdiensten häufig skeptisch gegenüber stehen und ihre Bedenken vor einem Verlust der Privatsphäre und der Sicherheit beim Online-Shopping nicht durch den Bequemlichkeitszugewinn ausgeräumt sehen. Am liebsten würden sie anonym bleiben -- wie beim Bezahlen mit Bargeld in der Offline-Welt.
Ein multidisziplinäres Konsortium, das unter der technischen Leitung von IBM Research Schweiz steht und an dem neben HP und Forschungsstätten auch Swisscom beteiligt ist, will daher ein deutlich ausgeweitetes Identitätsmanagement voranbringen. Es wird von der EU innerhalb des 6. Forschungsrahmensprogramms seit Mitte 2003 gefördert. Das Projekt hört auf den Titel PRIME, der für Privacy and Identity Management for Europe steht. Die Nutzer sollen dabei ihr Identitätsmanagement selbst in die Hand nehmen. Hauptziel ist die Vereinfachung des Online-Lebens für den Einzelnen ohne eine Verringerung der Sicherheit und des Datenschutzes. Möglich machen soll dies eine Lösung, die den User in verschiedenen Anlässen aus mannigfaltigen vorgefertigten Profilen die passende digitale Identität einnehmen lässt. So wie der Mensch im sozialen Offline-Leben situationsabhängig diverse Rollen spielt, soll ihm dieser Tausch der Fassade auch online möglich sein – je nachdem, ob er einkauft, Dienste des digitalen Rathauses abruft, online zur Wahl geht oder mit seinem Arzt in Kontakt tritt. Grundansatz ist es dabei, die Anonymität des Surfers weitestgehend zu bewahren und nur die wirklich benötigten personenbezogenen Daten gegenüber Dritten preiszugeben.
"Ohne technische Unterstützung ist es kaum noch nachvollziehbar, welche Daten durch welches Internetangebot und welche dahinter stehende Stelle gesammelt werden", erklärt Marit Hansen vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) die Notwendigkeit eines progressiven Identitätsmanagements. Ihre Behörde entwickelt das PRIME-Konzept mit und betreut die Öffentlichkeitsarbeit. Selbst wenn der Benutzer meine, mit der Weitergabe persönlicher Daten vorsichtig umzugehen, lasse sich sein Online-Verhalten durch die Verbindung verschiedener auf unterschiedlichen Websites gesammelter Daten ausspionieren. "Abhilfe kann hier ein digitales Identitätsmanagement schaffen", betont Hansen, "bei dem die Nutzer in ihrer technikgestützten Kommunikation selbst bestimmen, wann sie unter ihrem echten Namen und wann unter einem Pseudonym auftreten." Dringlichkeit sei geboten, konstatiert Johann Bizer, stellvertretender Leiter des ULD: Er hält ein datenschutzfreundliches Identitätsmanagement für "verfassungsnotwendig", weil der Mensch in der Informationsgesellschaft andererseits in der Kommunikation mit anderen seine Identität und Persönlichkeit nicht richtig ausbilden könne.
Grundlage für PRIME ist eine Studie des ULD und des Mailänder Studio Notarile Genghini zu den wichtigsten bestehenden ID-Systemen. Untersucht wurden etwa Mozilla 1.4, Microsofts Passport, Liberty Alliance, Novell Digitalme, Sun One, IBM WS-Security und CookieCooker. Bei der Unterstützung des Rechts auf informationelle Selbstbestimmung der Nutzer konnten die Produkte und Prototypen aber nicht überzeugen: "Die Studie deckte nicht nur bei der Bedienbarkeit, sondern insbesondere beim Datenschutz teilweise gravierende Missstände auf", heißt es in der Zusammenfassung des Werks. Bemängelt wurde unter anderem, dass die meisten Lösungen die Nutzeridentitäten zentral verwalten. Dies erleichtere den Anbietern zwar die Arbeit, führe aber zu einmaligen Angriffspunkten für böswillige Hacker und lasse dem User kaum eigenen Kontrollmöglichkeiten.
Obwohl der Kryptoguru David Chaum schon 1984 ein datenschutzfreundliches ID-Management mithilfe eines "Card Computers" zur Verwaltung verschiedener digitaler Pseudonyme beschriebt, steckt im PRIME-Projekt noch viel Zukunftsmusik. Experten wie Beat Rudin, Geschäftsführer der Schweizer Stiftung für Datenschutz und Informationssicherheit, schätzen, dass bis vor einer Marktreife entsprechender Systeme noch bis zu zehn Jahre ins Land gehen. Als Trägermedium halten sie das Handy oder den PDA für am aussichtsreichsten.
Infokasten 1: Bausteine des Identitätsmanagements
Systeme fürs ID-Management basieren letztlich auf der Bündelung mehreren Techniken wie Verzeichnisdiensten, Public-Key-Infrastrukturen oder Virtual Private Networks (VPNs), die schon heute in vielen Unternehmen Standard sind. Die vier wichtigsten Komponenten sind: Nutzerverzeichnisse mit den persönlichen Daten der Zugangsberechtigten; ein Managementsystem, mit dem sich Teilnehmerinformationen modifizieren, hinzufügen und löschen können; ein Sicherheitssystem, das den Zugang zum Netzwerk oder einzelnen Diensten kontrolliert sowie ein Auditsystem. Mit letzterem soll sichergestellt werden, dass gesetzliche Grundlagen wie zum Datenschutz technisch abgebildet und eingehalten werden.
Infokasten 2: Tipps für Implementieren von ID-Systemen
Die Berater der Meta Group haben ihre Erfahrungen aus der Betreuung von Firmen beim Aufsetzen von Systemen fürs ID-Management zu folgenden Ratschlägen verarbeitet:Schon bei der Planung ist zu beachten, dass die Installation eines ID-Systems für eine große Anzahl von Nutzern in mehreren Phasen abläuft und bis zu einem Jahr lang dauern kann. Ohne einen starken Befürworter im Management außerhalb der IT-Ebene läuft nichts. Eine Schlüsselanforderung ist der Entwurf einer soliden Arbeitsdefinition von Identität innerhalb der Institution, die sich auf die unterschiedlichen Prozesse, Programme und die bestehende IT-Infrastruktur einstellt.Im zweiten Schritt steht die Analyse an, welche vorhandenen Zugangstechniken in das System integriert werden können. Rahmenlösungen von großen Herstellern wie IBMs Tivoli Identity Manager, Computer Associates' eTrust oder Novells Nsure-Ressourcen stehen zur Verfügung, erfordern aber eigene Anpassungen. Je komplexer und unübersichtlicher die bisherigen Applikationen und die Unternehmens-IT sind, desto teurer kommt die Implementierung zunächst. Wichtig ist das Treffen einer Entscheidung, ob die Zugangs- und Aktivitätsdaten der Nutzer zentral oder auf unterschiedlichen Servern gelagert werden sollen.Für den Betrieb der ID-Systeme ist es hilfreich, wenn eine Institution generell den Ablauf ihrer Prozesse klar strukturiert. Ohne Organisationsveränderungen geht es in der Regel nicht ab. So erfordert die Überwachung der Systeme ausreichend geschultes Personal für IT-Security.