Artikelserie Self-Sovereign Identity Teil II: Das Sovrin Netzwerk und aktuelles Identitätsmanagement
Im ersten Artikel wurde die Self-Sovereign Identity (SSI) als innovative Lösung präsentiert, welche als Kernbestandteil der Digitalisierung fungieren kann. Im Folgenden wird das Sovrin Netzwerk als praktische SSI-Implementierung vorgestellt und die Herausforderungen und Limitationen im klassischen IAM werden einführend erläutert.
Das Sovrin Netzwerk
Sovrin ist eine konkrete, praktische und aktuell bereits öffentlich verfügbare Implementierung von Hyperledger Indy. Die Sovrin Foundation (https://sovrin.org), eine Non-Profit-Organisation, hat gemäß ihrem Leitmotiv „Identity for All“ als ihre Aufgabe definiert, das Modell der Self-Sovereign Identity und die digitale Abbildung von Vertrauen für jedermann frei zugänglich und verfügbar zu machen. Anwender erhalten freien Zugang zu einer digitalen Identität im Sinne eines öffentlichen Versorgungsguts. Die Betreiber eines schreibenden Nodes – sog. Stewards – werden durch das entsprechende Governance Board der Sovrin Foundation genehmigt. Der transparente Prozess beinhaltet eine Verpflichtung auf das gemeinsame Governance Framework und stellt eine globale Diversität der beteiligten Organisationen sicher. Die Sovrin-Plattform setzt auf einen Public Permissioned Ledger. Zum Einsatz kommt ein schneller und energiesparender Konsensmechanismus namens Plenum, der vom „Redundant Byzantine Fault Tolerance“ (RBFT) Algorithmus abgeleitet ist. Als globales Identitätsnetzwerk nutzt Sovrin DIDs, die eine Interoperabilität mit anderen Identitätssystemen gewährleisten. (Beispiel siehe Abbildung 2: Sovrin Architektur und Ökosystem.)
Die Vorteile von SSI für Privatanwender lassen sich direkt erkennen: Die Daten werden von uns selbst kontrolliert. Wie können jedoch auch Unternehmen von der Technologie profitieren? Dazu ist zunächst eine Betrachtung der Limitationen klassischen Identitätsmanagements nötig.
Grenzen des Identitätsmanagements in Unternehmen
Der Identitätsbegriff im digitalen Bereich wird, ähnlich wie in der physischen Welt, als Summe von Merkmalen und Eigenschaften, die ein Individuum auszuweisen vermag, verstanden. Genügen gewöhnlich ein Personalausweis, ein Führerschein oder – je nach Kontext – sogar weniger, entsteht in der vernetzten Welt schnell Unübersichtlichkeit. Die Nutzung von Online-Diensten und betrieblichen Applikationen setzt aktuell im Regelfall eine Registrierung mit Benutzernamen und Passwort voraus. Das Problem potenziert sich für ein Individuum bei der holistischen Betrachtung aller Lebensbereiche: Privat, im Beruf oder bei Behördengängen (zur Illustration siehe Abbildung 3: Status-quo digitale Identität). Der Umgang mit heterogenen Systemlandschaften, die in komplexen Organisationen mit verschachtelten legalen Einheiten und Abteilungen sowie hunderter produktiv eingesetzter Applikationen häufig vorzufinden sind, wird das Verwalten aller Accounts schnell zur unkomfortablen, fehleranfälligen und zeitraubenden Aufgabe. Eine Vereinfachung ermöglichen Passwortmanager, zentrale Authentifizierungsdienste oder Social Logins im privaten Bereich.
Im betrieblichen Kontext, insbesondere bei Großkonzernen, wird meist ein integrierter Identity- und Access-Management-Ansatz verfolgt, der die Abbildung der klassischen IAM-Anwendungsfälle zum Ziel hat:
- Onboarding: Erfassung im Personalbestand
- Access Request: Beantragung von Zugriffsberechtigungen
- Approval Workflows: Genehmigungsabläufe
- Fulfillment: Umsetzung von Anträgen
- Provisioning: Automatisierte Umsetzung von Anträgen
- Segregation of Duties: Funktionstrennungsüberwachung
- Recertification: Periodische Prüfung/Rezertifizierung von Zugriffsberechtigungen
- Revocation: Löschung von Zugriffsberechtigungen
Durch die Implementierung von marktgängigen IAM-Produktlösungen wird der Versuch unternommen, die Anwendungsfälle standardisiert abzubilden. Tatsächlich weicht das Idealbild der IAM-Umsetzungen in vielen Organisationen stark von der praktizierten Realität ab (Abbildung 4: IAM-Idealbild und Realität):
Folglich ist festzuhalten, dass aktuelle IAM-Lösungen den Ansprüchen an diese nicht gerecht werden. Statt einer Evolution benötigen Unternehmen eine Revolution ihres IAMs. Darauf, wie dies mit SSI ausgestaltet werden kann, wird im dritten und abschließenden Artikel eingegangen.
Vertiefen Sie Ihr Wissen zum Thema SSI in Teil III der Artikelserie.
Der Beitrag zeigt die Vorteile auf und rundet die Artikelserie durch einen praktischen Anwendungsfall ab.
Die Artikelserie
Unser Autor
Dr. André Kudra verfügt über mehr als 13 Jahre Beratungserfahrung im Bereich Informationssicherheit. In seiner Karriere hatte er verschiedene Schlüsselpositionen in großen Informationssicherheitsprojekten globaler Unternehmensorganisationen inne. Er studierte Betriebswirtschaft an der European Business School (EBS) in Oestrich-Winkel und Informatik an der James Madison University (JMU) in Harrisonburg, Virginia, USA. Seine wissenschaftliche Laufbahn schloss er mit einer Promotion an der EBS ab, bei der er in einem Forschungsprojekt die Resistenz gegen IT-basierte Veränderungen im öffentlichen Sektor im Bundesland Hessen (Deutschland) untersuchte. Seit 2013 ist Dr. Kudra CIO der esatus AG, einem auf Informationssicherheit spezialisierten Beratungsunternehmen mit Sitz in der Nähe von Frankfurt im Rhein-Main-Gebiet und Niederlassungen in Hamburg und München. Die esatus AG ist als Betreiber eines sogenannten „Nodes“ einer der Founding Stewards des Sovrin Netzwerkes und Mitglied bei MyData. Dr. Kudra ist ein starker Verfechter der Self-Sovereign Identity und Mitglied des Sovrin Technical Governance Boards. Er betreibt technologische Innovationen durch praktische und forschungsorientierte Projekte, die er auf Konferenzen und durch Publikationen präsentiert. Darüber hinaus leitet er die Arbeitsgruppe „Blockchain“ des TeleTrusT – Bundesverband IT-Sicherheit e.V. Parallel dazu beteiligt er sich über das DIN – Deutsches Institut für Normung e. V. aktiv an der Blockchain Identity-Standardisierung der ISO – International Organization for Standardization.
CC BY-ND 4.0 DE
Sie dürfen:
- Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
- Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
- Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
- Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
- Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.
- Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.