Was sind dezentrale Identitäten?

Was ist eine dezentrale Identität?

Zentralisierte Identitätsverwaltungslösungen ermöglichen Authentifizierungsfunktionen wie Single Sign-On (SSO) und können Unternehmen dabei helfen, ihre Praktiken zur Identitäts- und Zugriffsverwaltung (IAM) zu skalieren. Die zentrale Identitätsverwaltung birgt jedoch Risiken und erfordert Kompromisse. So nehmen Bedrohungsakteure häufig zentralisierte Autorisierungsstellen ins Visier und versuchen, an sensible Daten zu gelangen. Zudem stellen zentralisierte Autorisierungsstellen einen Single Point of Failure dar und schränken die Kontrolle der Benutzer über ihre personenbezogenen Daten ein. 

Dezentrale Identität (Decentralized Identity, DCI) nutzt häufig Distributed-Ledger-Technologien (DLT) wie Blockchain zur Authentifizierung und kann dazu beitragen, Herausforderungen im Zusammenhang mit zentralisierter Identitätsverwaltung zu bewältigen. DCI unterstützt eine Authentifizierung, die von zentralen Autorisierungsstellen entkoppelt ist, welche personenbezogene Daten in einer zentralen Datenbank speichern. 

Allerdings hat DCI auch Nachteile. Dezentrale Identitäten können Skalierungs- und Komplexitätsprobleme mit sich bringen. Ob DCI für Ihr Anwendungsszenario geeignet ist, hängt vom Kontext ab. Es gibt keine allgemeingültige Antwort. Vor diesem Hintergrund bietet dieser Artikel einen Überblick über DCI und untersucht häufige Anwendungsszenarien, Vorteile und Herausforderungen bei der Implementierung.

Dezentrale Identitätslösungen zielen darauf ab, die Sicherheit zu verbessern, indem sie die Abhängigkeit von zentralen Stellen verringern, doch sie verhindern identitätsbasierte Angriffe nicht vollständig. Bedrohungsakteure nutzen Identitätssysteme nach wie vor durch Social Engineering, gestohlene Anmeldedaten und Session-Hijacking aus. Unternehmen benötigen einen mehrschichtigen Ansatz für die Identitätssicherheit – eine Kombination aus dezentraler Identität und Identitätsschutz in Echtzeit.

Kernkonzepte dezentraler Identität

DCI umgeht die Notwendigkeit einer zentralen Autorisierungsstelle und nutzt stattdessen standardisierte plattformübergreifende Frameworks, um eindeutige Benutzeridentitäten und Anmeldedaten zu generieren, ohne auf personenbezogene Daten der Benutzer angewiesen zu sein. Diese Identitäten werden häufig vom Benutzer auf einer Blockchain gespeichert, einem kryptografisch gesicherten „verteilten Hauptbuch“ (Distributed Ledger), wodurch sichergestellt wird, dass keine einzelne Autorisierungsstelle das gesamte System kompromittieren kann. 

Lassen Sie uns die Kernkomponenten von DCI betrachten, die Dezentralisierung und Datenschutz unterstützen.

Dezentrale Identifikatoren

Wie jede Identitätslösung benötigt auch DCI eindeutige Benutzeridentifikatoren. Ein dezentraler Identifikator (DID) ist eine eindeutige alphanumerische Zeichenkette, die einer Identität in einer DCI-Implementierung zugeordnet ist. DIDs sind benutzergesteuert und ohne zentrale Instanz überprüfbar. DIDs enthalten standardmäßig keine persönlichen Daten wie Telefonnummern, E-Mail-Adressen oder Namen. 

Self-Sovereign Identity (selbstbestimmte Identität)

Self-Sovereign Identity (SSI) ist eine spezifische Implementierung einer dezentralen Identität, die es Benutzern ermöglicht, die volle Kontrolle über ihre digitale Identität und ihre Daten zu behalten. Da der Benutzer selbst bestimmt, auf welche Informationen er zu jedem Zeitpunkt zugreifen kann, stärkt dies das Vertrauen und mindert Bedenken hinsichtlich des Datenschutzes, da die Notwendigkeit der Datenspeicherung durch Dritte entfällt. SSI ist Teil von DCI, stellt jedoch nicht die einzige Möglichkeit dar, DCI zu implementieren.

Blockchain-Technologie

Die Blockchain ist ein verteiltes, unveränderliches und öffentliches „verteiltes Hauptbuch“ (Distributed Ledger), das die sichere, manipulationssichere Speicherung und Überprüfung der Benutzeridentität ermöglicht. Der öffentliche DID des Benutzers wird auf der Blockchain gespeichert, die als einzige verlässliche Quelle für die Identität des Benutzers dient. Die meisten DCI-Lösungen speichern die Anmeldeinformationen extern in der Wallet des Benutzers, einige Implementierungen experimentieren jedoch mit On-Chain-Verifizierungsmethoden. Wenn der Benutzer seine Identität nachweisen muss, kann er einen aus seinen Anmeldeinformationen abgeleiteten kryptografischen Nachweis über die Blockchain teilen. Da das Hauptbuch unveränderlich und verteilt ist, kann jeder die Authentizität und Integrität der Anmeldeinformationen überprüfen, ohne auf die eigentlichen Anmeldeinformationen zugreifen zu müssen.

Identitäts-Wallets

Eine Identitäts-Wallet ist ein sicheres digitales Repository, das Benutzerdaten sicher speichert und die Weitergabe von Daten ermöglicht, ohne sensible Informationen preiszugeben. Sie ermöglicht es Benutzern, ihre Identität auf datenschutzkonforme Weise nachzuweisen, ohne dass eine zentrale Identität diese Anmeldeinformationen speichern muss. 

Kryptografisch verifizierbare Anmeldeinformationen

Eine Identität ist nur dann nützlich, wenn sie überprüfbar ist. Bei DCI-Implementierungen ermöglichen kryptografisch signierte Anmeldeinformationen den Nachweis der Identität oder anderer Attribute (wie z. B. Beschäftigungsstatus oder Alter). Eine Person kann beispielsweise einen von der Regierung ausgestellten Ausweis oder Reisepass verwenden, der dem Datenmodell des World Wide Web Consortium (W3C) entspricht, um auf Anfrage Nachweise zu erbringen und gleichzeitig die Speicherung sensibler personenbezogener Daten auf einer Blockchain zu vermeiden.

Reale Anwendungsszenarien für dezentrale Identitäten

Grundsätzlich ermöglichen DCI-Implementierungen es den Benutzern, ihre Daten zu kontrollieren und personenbezogene Daten zu schützen. Zu den häufigsten Anwendungsszenarien von DCI in der Praxis gehören: 

• digitales Onboarding: Anwendungen und Dienste können ihre Onboarding-Prozesse vereinfachen, indem sie auf überprüfbare Anmeldeinformationen zurückgreifen, um Benutzerattribute wie Alter oder Staatsbürgerschaft zu bestätigen. Zusätzlich zum Schutz der Privatsphäre der Benutzer verringert dies den Aufwand für Unternehmen, eine sichere Verarbeitungs- und Speichermethode für sensible Benutzerdokumente zu verwalten. 
• Zugriffskontrolle: Kryptografisch signierte Anmeldeinformationen gewährleisten die Authentizität der Anmeldeinformationen und verringern so das Risiko von Kontoübernahmen aufgrund von Kennwortlecks. Folglich kann der Ersatz traditioneller Authentifizierungsmethoden durch kryptografische Identitätsnachweise digitalen Anwendungen helfen, ihre Sicherheitslage zu verbessern, Umsatzeinbußen zu minimieren und das Vertrauen der Benutzer zu erhöhen. 
• grenzüberschreitende Verifizierung: Physische Dokumente enthalten sensible personenbezogene Daten und sind daher Diebstahl- und Manipulationsrisiken ausgesetzt. Alternativ können private Organisationen und Behörden DCI nutzen, um Personen für internationale Reisen, die Ausstellung von Visa und die Arbeit im Homeoffice zu identifizieren, wodurch die Abhängigkeit von physischen Dokumenten verringert wird.

Hauptvorteile dezentraler Identität

DCI gibt den Benutzern mehr Kontrolle über ihre Identität und mindert gleichzeitig Datenschutzbedenken sowie das Risiko von Datenkompromittierungen. Betrachten wir vier wesentliche Vorteile von DCI in der Praxis. 

Nr. 1: verbesserter Datenschutz und mehr Kontrolle für den Benutzer

DCI ermöglicht es Benutzern, die volle Kontrolle über ihre Daten zu erlangen, indem die Abhängigkeit von einer zentralen Instanz für die Speicherung von Anmeldeinformationen entfällt. Auf diese Weise kann der Benutzer beruhigt sein, was den Datenschutz und die Datensicherheit angeht, da die Anmeldeinformationen stattdessen in einem kryptografisch verschlüsselten, verteilten und manipulationssicheren System gespeichert werden. 

Nr. 2: reduziertes Risiko von Datenkompromittierungen 

Angesichts der von CrowdStrike gemeldeten Zunahme von Datenkompromittierungen in den letzten Jahren fällt es Unternehmen zunehmend schwerer, ihre Datenspeichersysteme vor den sich ständig weiterentwickelnden Datenbedrohungen zu schützen. Eine Datenkompromittierung der zentralen Autorisierungsstelle betrifft Unternehmen, die diese für die Authentifizierung nutzen, was möglicherweise zu Einnahmeverlusten und einem Vertrauensverlust bei den Benutzern führen kann. Durch den Wechsel zu DCI wird dieses Risiko verringert, da das System nicht mehr von der Sicherheit eines einzelnen Datenspeicheranbieters abhängig ist. 

Nr. 3: Interoperabilität

Die Kernkomponenten von DCI – wie DIDs und verifizierbare Anmeldeinformationen – basieren auf den weitverbreiteten W3C-Standards. Dieser auf Standards basierende Ansatz ermöglicht nahtlose plattformübergreifende Integrationen und Interoperabilität. 

Nr. 4: Ausrichtung an den Zero-Trust-Prinzipien 

In herkömmlichen Systemen zur Speicherung von Anmeldeinformationen müssen Benutzer der zentralen Stelle vertrauen, was das Risiko einer Datenkompromittierung erhöht, wenn die zentrale Stelle kompromittiert wird. DCI folgt den Zero-Trust-Prinzipien, wonach standardmäßig keine Entität als vertrauenswürdig angesehen wird. 

Herausforderungen und Grenzen dezentraler Identität

DCI ist eine aufstrebende Technologie, die sich noch nicht weit verbreitet hat und Herausforderungen hinsichtlich Skalierbarkeit und Compliance mit sich bringt. In diesem Abschnitt erläutern wir die häufigsten Herausforderungen und Einschränkungen, mit denen DCI-Implementierungen heute konfrontiert sind. 

Hindernisse bei der Einführung 

Trotz seiner Vorteile ist die Akzeptanz von DCI gering, da die bestehenden zentralisierten Identitätsanbieter nur ungern Änderungen vornehmen. Unternehmen können zudem mit erheblichen logistischen oder regulatorischen Hürden konfrontiert sein, wenn sie ihre bestehenden Systeme auf eine neue Lösung zur Identitätsspeicherung umstellen. 

Skalierbarkeitsprobleme

Mit steigender Anzahl der Benutzer können bei verteilten Hauptbüchern aufgrund von Netzwerküberlastung und langsamer Identitätsauflösung Latenzprobleme auftreten. Zudem sind kryptografische Operationen rechenintensiv und können Schwierigkeiten haben, die hohen Durchsatzanforderungen großer Unternehmen mit Millionen von Benutzern zu erfüllen. 

Regulierungs- und Compliance-Fragen 

Da sich die Anforderungen an die Einhaltung gesetzlicher Bestimmungen und Datenschutzgesetze wie DSGVO und CCPA ständig weiterentwickeln, kann es eine Herausforderung sein, die Konformität von DCI-Systemen sicherzustellen. Während zentrale Identitätsanbieter über eigene Expertenteams verfügen, die sich mit diesen regulatorischen Änderungen befassen, erfordern DCI-Lösungen eine koordinierte und gemeinsame Anstrengung mehrerer Organisationen, um das System aufrechtzuerhalten. 

Benutzererlebnis

DCI kann für Benutzer, die mit neuen Technologien oder Prozessen wie Identitäts-Wallets und kryptografischen Schlüsseln nicht vertraut sind, eine steile Lernkurve bedeuten. Darüber hinaus kann es für einige Benutzer schwierig sein, ihre Wiederherstellungsschlüssel und Wallets sicher zu verwalten, da Benutzerkonten unwiederbringlich verloren gehen, sobald diese Zugangsdaten verloren gehen.

So sorgt CrowdStrike für umfassende Identitätssicherheit

Herkömmliche zentralisierte Lösungen für die Identitätsverwaltung machen Benutzer anfällig für Kompromittierungen und Identitätsdiebstahl, da sie ihre personenbezogenen Daten einer zentralen Stelle anvertrauen müssen. Dezentrale Identitätslösungen verringern dieses Risiko, indem sie den Benutzern die Kontrolle über ihre Identitätsdaten zurückgeben, bringen jedoch Kompromisse hinsichtlich Komplexität und Verwaltung mit sich. Moderne Unternehmen benötigen eine umfassende Identitätslösung, die skalierbar ist und gleichzeitig Datenrisiken minimiert. 

CrowdStrike Falcon® Next-Gen Identity Security bietet umfassende Lösungen für die Identitäts- und Endgerätesicherheit, die es Unternehmen ermöglichen, Benutzeridentitäten in modernen Umgebungen zu schützen, indem sie: 

• Echtzeitschutz vor Identitätsangriffen ermöglichen;
• sich nahtlos in Zero-Trust-Systeme integrieren, um laterale Bewegungen zu verhindern;
• eine erweiterte Überwachung von Authentifizierungs-, Autorisierungs- und Zugriffsereignissen bieten, um anomales Benutzerverhalten automatisch zu erkennen;
• die Bemühungen im Bereich DCI ergänzen, indem sowohl traditionelle als auch moderne Identitätssysteme gesichert werden.