www.wikidata.de-de.nina.az

Identitätsmanagement Als IdM wird der zielgerichtete und bewusste Umgang mit Identität Anonymität und Pseudoanonymität b

Identitätsmanagement

Als Identitätsmanagement (IdM) wird der zielgerichtete und bewusste Umgang mit Identität, Anonymität und Pseudoanonymität bezeichnet. Der Personalausweis ist ein Beispiel für eine staatlich vorgegebene Form der Identifizierung.

Kontext Bearbeiten

Durch die Vernetzung über das Internet hat die Frage von bewusster Anonymität bzw. bewusstem Umgang mit Teilen der eigenen Identität eine neue und zuvor nie gekannte Komplexitätsstufe erreicht. Im Internet wird regelmäßig mit (Teil-)Identitäten agiert. Es gibt aber auch ernsthafte Prozesse und Fragen der Anonymität im Internet und der Identifizierbarkeit. In vielerlei Hinsicht können Identitätsmanagementsysteme problematisch sein, wenn nicht klar ist, was mit den Daten geschieht, die ggf. ungewollt zu weitergehender Identifizierung führen können.

In der realen wie in der digitalen Welt gibt es verschiedenste Formen des Identitätsmanagements. Gemäß ISO/IEC JTC 1/SC 27/WG 5 A framework for IdM umfasst IdM:

  • den Identifikationsprozess einer Einheit (inkl. optionaler Authentisierung)
  • die Information, die mit der Identifikation einer Einheit innerhalb eines bestimmten Kontexts verbunden ist
  • die sichere Verwaltung von Identitäten.

Eine „Einheit“ (Entität) kann alles sein, was eindeutig als solche erkannt werden kann (Person, Tier, Gerät, Objekt, Gruppe, Organisation etc.). Einheiten können mehrere Identitäten haben, die in verschiedenen Kontexten verwendet werden können. Laut Definition der ITU-T Recommendation X.1252 (ITU: International Telecommunication Union, ITU-T: Telecommunication Standardization Sector der ITU) wird der Begriff IdM als Verwaltung von Attributen einer Einheit verstanden (z. B. Kunde, Gerät oder Provider). Die Verwaltung digitaler Identitäten ist hier aber nicht dazu gedacht, um Personen zu validieren (IdM-GSI).

Im Kontext des digitalen Identitätsmanagements sind folgende Themen relevant:

  • Geltungsbereich (innerhalb von Organisationen oder organisationsübergreifend/föderal)
  • Lebenszyklus der Identität von der Einrichtung, Modifikation, Suspendierung bis zur Terminierung oder Archivierung
  • Medien, welche die Daten enthalten (Token, Karten)
  • Systeme, in denen die Daten gespeichert werden (Verzeichnisse, Datenbanken etc.)
  • Verknüpfung der Rollen mit Pflichten, Verantwortungen, Privilegien und Rechten für den Zugriff auf Ressourcen
  • Verwaltung und Schutz der Informationen (Attribute) der Identität, die sich über die Zeit ändern
  • Zuweisung und Verwaltung der verschiedenen Rollen von Identitäten

Anforderungen an ein Identitätsmanagement Bearbeiten

Identitätsmanagement befasst sich vornehmlich in der Welt der Datenverarbeitung mit der Verwaltung von Benutzerdaten, die einzelnen Personen zugeordnet sind. Eine Person kann dabei durchaus mehrere Identitäten besitzen, während eine Identität gewöhnlich nur einer Person zuzuordnen ist. Dabei ist die Identität eine Sammlung von personenbezogenen Attributen, die die Person, die sich dieser Identität bedient, individualisiert.

Beispiel: In einem Online-Rollenspiel richtet sich die Person Joe User eine Identität ein: König Niels, grausamer Herrscher des Volkes der Lemminge mit den Attributen dumm, kampfstark und geizig. Die gleiche Person Joe User hat bei einem Onlineshop eine andere Identität, deren Profil sich durch Merkmale Interessiert sich für klassische Musik, Kreditkartennummer lautet 1234 1234 1234 1234 und hat bereits 3 CDs gekauft bestimmt.

Netzwerk-Identitäten gehören Personen, sie sind deshalb in der Regel kritische Daten, da die Identität an die Person gekoppelt ist. Würde die Onlineshop-Identität durch eine andere Person (Alice Evil) verwendet werden, hätte die Person in obigem Beispiel (Joe User) das Problem, dass Bestellungen zu Lasten des Identitäts-Eigentümers in falsche Hände laufen.

Multiple Identitäten oder Accounts sind sowohl in der Netzwelt, als auch im realen Alltag notwendig und werden verbreitet verwendet. Beispiele:

  • Führerschein (mit Name des Eigentümers, Bild, Fahrzeugklasse)
  • Kunde bei der Bank (mit Kontonummer, Kontostand, Name und Bonität)
  • Kundenkarte bei der Tankstelle (mit Kundenname, Kundennummer und Punktestand)
  • Vielfliegerkonto (mit Kundenname, Nummer, Status und Punktestand)

Man kann von einer Haupt-Identität einer jeden Entität ausgehen, diese definiert sich aus der Gesamtheit aller ihr zugeordneten Attribute. Diese Attribute können der Entität bekannt (Bezeichnung), unbekannt, dauerhaft (DNS) oder veränderbar (Softwarestand, Haarfarbe) sein.

Eine missbräuchliche Verwendung von Identitäten (in der Regel zum Nachteil des eigentlichen Besitzers) wird als Identitätsdiebstahl bezeichnet.

Das Management von Identitäten geschieht vornehmlich auf EDV-Ebene, da hier ungleich mehr Accounts einer Person zuzuordnen sind, als im realen Leben. Insbesondere in Unternehmen ist es eine nicht unerhebliche Aufgabe, die verschiedenen Accounts (Mail, Betriebssystem, ERP-Zugang, Internet-Zugriff etc.) einer Person zu konsolidieren.

Warum Identitätsmanagement? Bearbeiten

Einer der Gründe, warum man sich in Unternehmen mit Identitätsmanagement (im anglisierten Sprachgebrauch Identity-Management) beschäftigt, ist die Anforderung, personenbezogene Daten konsistent, ständig verfügbar und verlässlich bereitzuhalten. Dienste wie ein Mail-System oder eine Personalbuchhaltung sind auf diese Daten angewiesen, ohne sie wäre kein individualisierter Betrieb möglich.

Beispiel: Ein Mitarbeiter hat ein Mail-Konto, das nur ihm selbst zugeordnet ist. Hierfür benötigt er eine individuelle Mailadresse, einen sogenannten Account mit dem dazugehörigen Passwort. Diese Daten sind nur für ihn und nicht für die Allgemeinheit bestimmt.

Gegenbeispiel: Eine Firmenpräsentation ist für alle Mitarbeiter einheitlich und bedarf keiner Individualisierung.

Viele solcher individualisierter Dienste haben nun ihre eigenen Datenstammsätze der Personen: Der Mailserver hat eine Konfigurationsdatei mit allen teilnehmenden Mailanwendern, die Personalbuchhaltung ihre eigene Stammdatenbank. Diese und die Vielzahl aller anderen Services zusammen mit deren Daten untereinander abzugleichen war eine hohe administrative Herausforderung: Änderten beispielsweise Mitarbeiter aufgrund einer Heirat ihren Namen, mussten in allen beteiligten Systemen Anpassungen durchgeführt werden.

In den 1990er Jahren war der erste Schritt in Richtung Vereinheitlichung dieser Daten die Einführung eines Verzeichnisdienstes. Diese sammelten die personenbezogenen Daten und stellten sie beispielsweise über ein standardisiertes Verfahren zur Verfügung (siehe LDAP).

Nun erkannte man allerdings, dass sich zwar viele, aber längst nicht alle Dienste unter einem solchen Verzeichnis versammeln konnten. Gerade im Bereich des Personalwesens erwies es sich als ausgesprochen kritisch, Personaldaten einem solchen Verzeichnis zu überlassen. Solche Dienste behielten sich ihre eigenen Daten vor und konnten nicht gegenüber Verzeichnissen synchronisiert werden.

Mit dem Aufkommen eines Identity-Managements wurden diese Schranken zum ersten Mal durchbrochen: Die Personaldatenbanken konnte die Hoheit über ihre Daten behalten, Datenänderungen wie beispielsweise eines Namens wurden aber nun über Synchronisations-Mechanismen zum Identity-Management hin übermittelt, das seinerseits diese Datenänderung an alle anderen beteiligten Systeme mitteilte.

Identitätsmanagement von Unternehmen Bearbeiten

Je größer ein Unternehmen ist, desto mehr müssen Identitäten und Berechtigungen verwaltet werden. Dazu werden sogenannte Identity-Management-Architekturen eingesetzt. Dabei handelt es sich um eine Kombination aus manuellen, maschinellen, organisatorischen und technischen Maßnahmen, um angemessene Berechtigungen im Unternehmen zu gewährleisten und somit Interessenkonflikte zu vermeiden. Dabei kommen häufig Softwarekomponenten, welche Identitäten und deren Zugriffsrechte verwalten, zum Einsatz.

Der Begriff Identity-Management im Software-Umfeld umfasst keinen genau definierten Funktionsumfang. So fokussieren sich beispielsweise einfache Systeme ausschließlich auf die Synchronisation von personenbezogenen Daten, während umfassendere Architekturen dagegen Workflow-Prozesse einbeziehen, die ein hierarchisches Genehmigungsmodell von Vorgesetzten beinhalten, um Datenänderungen umzusetzen.

Eine Identity-Management-Architektur sollte über ein Provisionierungsmodul verfügen, das es erlaubt, den Benutzern automatisch aufgrund ihrer jeweiligen Rolle (und auch Aufgaben) in der Organisation individuelle Berechtigungen zu erteilen. Hier stellt sich aber bereits die Frage, wie weit Identity-Management über die ausschließliche Verwaltung personenbezogener Daten hinweg Applikations-Funktionalitäten integrieren soll (z. B. ist die „Quota“ auf einem Mailserver kein personenbezogenes Datum, sondern eine Applikations-Information).

Identity-Management in einem Unternehmen hat vielfach Schnittstellen zum sogenannten Access Management, das beispielsweise für Portale die Zugriffsrechte verwaltet, Single Sign-on (SSO) ermöglicht oder Security Policies verwaltet. Für die Kombination von Identity-Management und Access Management wurde in der Informationstechnik (IT) daher mittlerweile der Begriff „Identity and Access Management“ (IAM oder IdAM) geprägt.

Komponenten einer Identity-Management-Architektur können vielfältig sein. Gängige Basis ist der sogenannte Verzeichnisdienst, in dem die personenbezogenen Daten von Mitarbeitern hinterlegt sind, die am häufigsten und von den meisten Systemen abgefragt werden (Name, Mailadresse, Telefonnummer usw.), was als Metadirectory bezeichnet wird. Ist dies einfach nur ein dedizierter Verzeichnisdienst für eine solche Sicherheitsarchitektur, welche nur die IDs (Kennungen) und wenige weitere Attribute enthält und die restlichen bei Bedarf aus den angeschlossenen Systemen abfragt, so wird ein solches System als Virtual Directory bezeichnet. Hierzu werden Produkte von unterschiedlichen Anbietern genutzt: NDS, eDirectories, SAP-Systeme, Active-Directories. Ebenso werden Datenquellen aus applikations-spezifischen Datenbanken, E-Mail-Systemen und Personalabteilungssoftware erschlossen. Man unterscheidet diese Komponenten in Quell- und Zielsysteme, wobei es auch Kombinationen beider, wie die E-Mail-Systeme gibt. In all diesen Systemen werden personenbezogene Daten gespeichert, die über das Identity-Management miteinander abgeglichen werden. Die eigentliche Software eines Identity-Managements operiert als Broker zwischen all diesen Komponenten und arbeitet als Prozess meist auf einer dedizierten Hard/Software (bsp. Applikation innerhalb eines Application Servers). Diese Software bezeichnet man als Identity Management System.

Hier wird auch die Funktionsweise des Provisioning deutlich: Über das Meta-/ Virtual Directory werden die Benutzerdaten und Rechte auf alle angeschlossenen Systeme verteilt (im günstigsten Fall alle im Unternehmen eingesetzten Systeme). So kann das Identitätsmanagement zentralisiert werden.

Weitere mögliche Funktionen:

  • Federated Identity Management, das sich mit der Identitätsbereitstellung und -verwendung über Unternehmensgrenzen hinweg beschäftigt
  • Passwortsynchronisierung, so dass ein Benutzer nur ein einziges Passwort in allen angeschlossenen Systemen benötigt
  • In die Unternehmensstrukturen (Abteilungen, Managementhierarchien) eingebetteter Genehmigungsworkflow für Rechte und Rollen
  • Basis für eine PKI-Infrastruktur, die auf einem IAM-System mit genügend hoher Datenqualität aufbauen kann
  • Passwort Self Services, mit denen ein Benutzer ein Passwort für ein System zurückgewinnen, resetten oder ändern kann. Gängige Lösungen realisieren dies über ein Web-Front-End.
  • Verwaltung und Steuerung von privilegierten Benutzerkonten, die aufgrund von Designentscheidungen von Anwendungen entsprechende Regelungen zur Funktionstrennung verletzen. Dabei handelt es beispielsweise um Root-Konten.

Identitätsmanagement im World Wide Web Bearbeiten

Die Entwicklung interaktiver Technologien hat ein großes Interesse an der Abbildung von sozialen Beziehungen im Internet erzeugt (siehe auch Soziale Software). In diesem Kontext gibt es eine Vielzahl von Bestrebungen, einen „Identity Layer“ als weitere Protokollschicht für das Internet zu entwickeln. Ziel dabei ist es, eine hinreichende Sicherheit über die Identität der Online-Kommunikationspartner zu bekommen, ohne gleichzeitig unnötig viel personenbezogene Daten austauschen zu müssen. Das Spektrum der Initiativen reicht vom Mikroformat vCards über Dienste wie ClaimID, die eine Sammlung von Webseiten bestimmten Personen zuordnen, bis zu Microsofts umfassender Architektur.

In diesem Kontext ist auch Kritik an der Verkürzung des Identitätsbegriffes aufgekommen, der in Psychologie und Soziologie viel mehr meint als das Verwalten von diskreten Eigenschaften technisch implementierter Konten. Bob Blakley, ehemals Chief Privacy and Security Architect von IBM Tivoli Software und heute bei der Burton Group, sieht dies als allgemeines Zeichen der Bürokratisierung der Lebenswelt an:

“The West conducted a nuanced discussion of identity for centuries, until the industrial state decided that identity was a number you were assigned by a government computer”

Ein Konzept des Identitätsmanagements in Webanwendungen wurde von Dick Hardt in seiner Präsentation „Identitymanagement 2.0“ bildhaft dargelegt. Es soll erreicht werden, das Konzept von „die Plattform kennt die Identität“ zu „ich weise mich der Plattform gegenüber aus“ wandeln, d. h. die Autorisierung räumlich und zeitlich analog den nicht-digitalen-Ausweisdokumenten von der Identifizierung zu trennen.

Das Referenzmodell besteht aus sieben Modulen, die für sich genommen nur eine beschreibende Rolle übernehmen und selbst keine Funktionalität bieten;

  1. Policies & Workflows (Policies (Richtlinien) und Workflows (Arbeitsabläufe) bilden die Basis für einen geregelten Arbeitsprozess, denn mit ihnen werden Voraussetzungen geschaffen, um überhaupt Prozesse zu starten bzw. weiterzuführen.)
  2. Repository Management (Das Repository Management hat die Aufgabe, die Informationen in einem EIAM zentral zu speichern und zu verwalten, die für Entitäten in einem Netzwerk von Nutzen sein können. Dadurch kann eine einzige digitale Identität pro Nutzer/Entität erreicht werden.)
  3. Life Cycle Management (Der Life Cycle zeigt die Schritte, die nötig sind, um Entitäten über digitale Identitäten bis zu deren Löschung in ein EIAM-System zu integrieren und zu verwalten)
  4. Access Management (Das Access Management beinhaltet die Entscheidung über Zugriffsberechtigungen auf der Basis von Nutzeridentitäten, -rollen und Zugriffsrechten.)
  5. Information Protection (Information Protection soll Informationen eines Unternehmens immer adäquat vor Angriffen schützen.)
  6. Federation (Federation oder Föderation ermöglicht den gesicherten Austausch von Identitäts- bzw. Authentifizierungsinformationen von digitalen Identitäten unterschiedlicher Einheiten oder Organisationen, basierend auf einem zuvor aufgebauten Vertrauensverhältnis.)
  7. Compliance & Audit (Ein Audit auf Basis von Compliance (Rechtskonformität) fördert durch Überprüfung der Einhaltung von Vorschriften die Stabilität in der Infrastruktur eines Unternehmens. Compliance dient dabei der Einhaltung, während ein Audit die Überprüfung übernimmt.)

EU-Forschungsprojekte Bearbeiten

Als Teil des 6. Forschungsrahmenprogramms (FP6) von 2002 bis 2007 hat die Europäische Union 2004 mit PRIME (Privacy and Identity Management for Europe) ein Forschungsprojekt zu „Identitätsmanagement“ gestartet und mit 10 Mio. Euro gefördert, um offene Fragen zu klären und Technologien zu fördern, die auch den Datenschutzgesetzen gerecht werden. In Deutschland ist das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Ansprechpartner für das Projekt, in dem namhafte Personen aus Forschung und Industrie zusammenarbeiten. Das Internetstandardisierungskonsortium W3C ist als Unterauftragnehmer des ULD ebenfalls beteiligt.

Ein weiteres EU-FP6-Forschungsprojekt wurde ebenfalls im Jahr 2004 gestartet: FIDIS (Future of Identity in the Information Society). Bei diesem Projekt soll mit dem sog. „Network of Excellence“ ein Expertenforum aufgebaut werden, welches derzeit aus 24 in Europa operierenden Partnern besteht. Die Leitung in Deutschland hat die Universität Frankfurt.

Im Vorfeld der beiden Projekte hatte die Europäische Kommission die Studie „Identity Management Systems (IMS): Identification and Comparison Study“ erstellen lassen.

Mit dem Start des 7. Forschungsrahmenprogramms von 2007 bis 2013 starteten weitere Projekte zum Thema Identity-Management. PICOS untersucht und entwickelt eine zeitgemäße Plattform für Identitätsmanagement in mobilen Gemeinschaften. PrimeLife entwickelt verschiedene Technologien, die es dem Einzelnen im Hinblick auf die steigenden Risiken der Informationsgesellschaft ermöglicht, unabhängig von ihren Aktivitäten ihre Autonomie zu schützen und Kontrolle über ihre persönlichen Daten zu behalten. SWIFT verwendet Identitätstechnologien als Schlüssel für eine Integration von Dienste- und Transportinfrastrukturen und hat zum Ziel, Identitätsmanagement in die Netzinfrastruktur zu erweitern.

Siehe auch Bearbeiten

Literatur Bearbeiten

  • Sebastian Rieger: Einheitliche Authentifizierung in heterogenen IT-Strukturen für ein sicheres e-Science Umfeld. 1. Auflage. Cuvillier, Göttingen 2007, ISBN 3-86727-329-4 (Dissertation).
  • Norbert Pohlmann: Cyber-Sicherheit: Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung. Springer Vieweg, September 2019, ISBN 978-3-658-25397-4, S. 213–240.

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. iso.org
  2. ITU-T Recommendation: Baseline identity management terms and definitions. Abgerufen am 22. Februar 2011.
  3. Identitäts- und Zugriffsverwaltungslösung. Abgerufen am 22. Mai 2021.
  4. (Memento des Originals vom 18. Januar 2014 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/dickhardt.org
  5. dailymotion.com
  6. Norbert Pohlmann: Cyber-Sicherheit: Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung. Springer Vieweg, 2019, ISBN 3-658-25397-5, S. 213–240.
  7. Sixth Framework Programme. Abgerufen am 22. Februar 2011.
  8. Geografische Lage des Unternehmens. Abgerufen am 22. Februar 2011.
  9. Seventh Framework Programme (FP7). Abgerufen am 22. Februar 2011.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Als Identitatsmanagement IdM wird der zielgerichtete und bewusste Umgang mit Identitat Anonymitat und Pseudoanonymitat bezeichnet Der Personalausweis ist ein Beispiel fur eine staatlich vorgegebene Form der Identifizierung Inhaltsverzeichnis 1 Kontext 2 Anforderungen an ein Identitatsmanagement 3 Warum Identitatsmanagement 4 Identitatsmanagement von Unternehmen 5 Identitatsmanagement im World Wide Web 6 EU Forschungsprojekte 7 Siehe auch 8 Literatur 9 Weblinks 10 EinzelnachweiseKontext BearbeitenDurch die Vernetzung uber das Internet hat die Frage von bewusster Anonymitat bzw bewusstem Umgang mit Teilen der eigenen Identitat eine neue und zuvor nie gekannte Komplexitatsstufe erreicht Im Internet wird regelmassig mit Teil Identitaten agiert Es gibt aber auch ernsthafte Prozesse und Fragen der Anonymitat im Internet und der Identifizierbarkeit In vielerlei Hinsicht konnen Identitatsmanagementsysteme problematisch sein wenn nicht klar ist was mit den Daten geschieht die ggf ungewollt zu weitergehender Identifizierung fuhren konnen In der realen wie in der digitalen Welt gibt es verschiedenste Formen des Identitatsmanagements Gemass ISO IEC JTC 1 SC 27 WG 5 A framework for IdM 1 umfasst IdM den Identifikationsprozess einer Einheit inkl optionaler Authentisierung die Information die mit der Identifikation einer Einheit innerhalb eines bestimmten Kontexts verbunden ist die sichere Verwaltung von Identitaten Eine Einheit Entitat kann alles sein was eindeutig als solche erkannt werden kann Person Tier Gerat Objekt Gruppe Organisation etc Einheiten konnen mehrere Identitaten haben die in verschiedenen Kontexten verwendet werden konnen Laut Definition der ITU T Recommendation X 1252 2 ITU International Telecommunication Union ITU T Telecommunication Standardization Sector der ITU wird der Begriff IdM als Verwaltung von Attributen einer Einheit verstanden z B Kunde Gerat oder Provider Die Verwaltung digitaler Identitaten ist hier aber nicht dazu gedacht um Personen zu validieren IdM GSI Im Kontext des digitalen Identitatsmanagements sind folgende Themen relevant Geltungsbereich innerhalb von Organisationen oder organisationsubergreifend foderal Lebenszyklus der Identitat von der Einrichtung Modifikation Suspendierung bis zur Terminierung oder Archivierung Medien welche die Daten enthalten Token Karten Systeme in denen die Daten gespeichert werden Verzeichnisse Datenbanken etc Verknupfung der Rollen mit Pflichten Verantwortungen Privilegien und Rechten fur den Zugriff auf Ressourcen Verwaltung und Schutz der Informationen Attribute der Identitat die sich uber die Zeit andern Zuweisung und Verwaltung der verschiedenen Rollen von IdentitatenAnforderungen an ein Identitatsmanagement BearbeitenIdentitatsmanagement befasst sich vornehmlich in der Welt der Datenverarbeitung mit der Verwaltung von Benutzerdaten die einzelnen Personen zugeordnet sind Eine Person kann dabei durchaus mehrere Identitaten besitzen wahrend eine Identitat gewohnlich nur einer Person zuzuordnen ist Dabei ist die Identitat eine Sammlung von personenbezogenen Attributen die die Person die sich dieser Identitat bedient individualisiert Beispiel In einem Online Rollenspiel richtet sich die Person Joe User eine Identitat ein Konig Niels grausamer Herrscher des Volkes der Lemminge mit den Attributen dumm kampfstark und geizig Die gleiche Person Joe User hat bei einem Onlineshop eine andere Identitat deren Profil sich durch Merkmale Interessiert sich fur klassische Musik Kreditkartennummer lautet 1234 1234 1234 1234 und hat bereits 3 CDs gekauft bestimmt Netzwerk Identitaten gehoren Personen sie sind deshalb in der Regel kritische Daten da die Identitat an die Person gekoppelt ist Wurde die Onlineshop Identitat durch eine andere Person Alice Evil verwendet werden hatte die Person in obigem Beispiel Joe User das Problem dass Bestellungen zu Lasten des Identitats Eigentumers in falsche Hande laufen Multiple Identitaten oder Accounts sind sowohl in der Netzwelt als auch im realen Alltag notwendig und werden verbreitet verwendet Beispiele Fuhrerschein mit Name des Eigentumers Bild Fahrzeugklasse Kunde bei der Bank mit Kontonummer Kontostand Name und Bonitat Kundenkarte bei der Tankstelle mit Kundenname Kundennummer und Punktestand Vielfliegerkonto mit Kundenname Nummer Status und Punktestand Man kann von einer Haupt Identitat einer jeden Entitat ausgehen diese definiert sich aus der Gesamtheit aller ihr zugeordneten Attribute Diese Attribute konnen der Entitat bekannt Bezeichnung unbekannt dauerhaft DNS oder veranderbar Softwarestand Haarfarbe sein Eine missbrauchliche Verwendung von Identitaten in der Regel zum Nachteil des eigentlichen Besitzers wird als Identitatsdiebstahl bezeichnet Das Management von Identitaten geschieht vornehmlich auf EDV Ebene da hier ungleich mehr Accounts einer Person zuzuordnen sind als im realen Leben Insbesondere in Unternehmen ist es eine nicht unerhebliche Aufgabe die verschiedenen Accounts Mail Betriebssystem ERP Zugang Internet Zugriff etc einer Person zu konsolidieren Warum Identitatsmanagement BearbeitenEiner der Grunde warum man sich in Unternehmen mit Identitatsmanagement im anglisierten Sprachgebrauch Identity Management beschaftigt ist die Anforderung personenbezogene Daten konsistent standig verfugbar und verlasslich bereitzuhalten Dienste wie ein Mail System oder eine Personalbuchhaltung sind auf diese Daten angewiesen ohne sie ware kein individualisierter Betrieb moglich Beispiel Ein Mitarbeiter hat ein Mail Konto das nur ihm selbst zugeordnet ist Hierfur benotigt er eine individuelle Mailadresse einen sogenannten Account mit dem dazugehorigen Passwort Diese Daten sind nur fur ihn und nicht fur die Allgemeinheit bestimmt Gegenbeispiel Eine Firmenprasentation ist fur alle Mitarbeiter einheitlich und bedarf keiner Individualisierung Viele solcher individualisierter Dienste haben nun ihre eigenen Datenstammsatze der Personen Der Mailserver hat eine Konfigurationsdatei mit allen teilnehmenden Mailanwendern die Personalbuchhaltung ihre eigene Stammdatenbank Diese und die Vielzahl aller anderen Services zusammen mit deren Daten untereinander abzugleichen war eine hohe administrative Herausforderung Anderten beispielsweise Mitarbeiter aufgrund einer Heirat ihren Namen mussten in allen beteiligten Systemen Anpassungen durchgefuhrt werden In den 1990er Jahren war der erste Schritt in Richtung Vereinheitlichung dieser Daten die Einfuhrung eines Verzeichnisdienstes Diese sammelten die personenbezogenen Daten und stellten sie beispielsweise uber ein standardisiertes Verfahren zur Verfugung siehe LDAP Nun erkannte man allerdings dass sich zwar viele aber langst nicht alle Dienste unter einem solchen Verzeichnis versammeln konnten Gerade im Bereich des Personalwesens erwies es sich als ausgesprochen kritisch Personaldaten einem solchen Verzeichnis zu uberlassen Solche Dienste behielten sich ihre eigenen Daten vor und konnten nicht gegenuber Verzeichnissen synchronisiert werden Mit dem Aufkommen eines Identity Managements wurden diese Schranken zum ersten Mal durchbrochen Die Personaldatenbanken konnte die Hoheit uber ihre Daten behalten Datenanderungen wie beispielsweise eines Namens wurden aber nun uber Synchronisations Mechanismen zum Identity Management hin ubermittelt das seinerseits diese Datenanderung an alle anderen beteiligten Systeme mitteilte Identitatsmanagement von Unternehmen BearbeitenJe grosser ein Unternehmen ist desto mehr mussen Identitaten und Berechtigungen verwaltet werden 3 Dazu werden sogenannte Identity Management Architekturen eingesetzt Dabei handelt es sich um eine Kombination aus manuellen maschinellen organisatorischen und technischen Massnahmen um angemessene Berechtigungen im Unternehmen zu gewahrleisten und somit Interessenkonflikte zu vermeiden Dabei kommen haufig Softwarekomponenten welche Identitaten und deren Zugriffsrechte verwalten zum Einsatz Der Begriff Identity Management im Software Umfeld umfasst keinen genau definierten Funktionsumfang So fokussieren sich beispielsweise einfache Systeme ausschliesslich auf die Synchronisation von personenbezogenen Daten wahrend umfassendere Architekturen dagegen Workflow Prozesse einbeziehen die ein hierarchisches Genehmigungsmodell von Vorgesetzten beinhalten um Datenanderungen umzusetzen Eine Identity Management Architektur sollte uber ein Provisionierungsmodul verfugen das es erlaubt den Benutzern automatisch aufgrund ihrer jeweiligen Rolle und auch Aufgaben in der Organisation individuelle Berechtigungen zu erteilen Hier stellt sich aber bereits die Frage wie weit Identity Management uber die ausschliessliche Verwaltung personenbezogener Daten hinweg Applikations Funktionalitaten integrieren soll z B ist die Quota auf einem Mailserver kein personenbezogenes Datum sondern eine Applikations Information Identity Management in einem Unternehmen hat vielfach Schnittstellen zum sogenannten Access Management das beispielsweise fur Portale die Zugriffsrechte verwaltet Single Sign on SSO ermoglicht oder Security Policies verwaltet Fur die Kombination von Identity Management und Access Management wurde in der Informationstechnik IT daher mittlerweile der Begriff Identity and Access Management IAM oder IdAM gepragt Komponenten einer Identity Management Architektur konnen vielfaltig sein Gangige Basis ist der sogenannte Verzeichnisdienst in dem die personenbezogenen Daten von Mitarbeitern hinterlegt sind die am haufigsten und von den meisten Systemen abgefragt werden Name Mailadresse Telefonnummer usw was als Metadirectory bezeichnet wird Ist dies einfach nur ein dedizierter Verzeichnisdienst fur eine solche Sicherheitsarchitektur welche nur die IDs Kennungen und wenige weitere Attribute enthalt und die restlichen bei Bedarf aus den angeschlossenen Systemen abfragt so wird ein solches System als Virtual Directory bezeichnet Hierzu werden Produkte von unterschiedlichen Anbietern genutzt NDS eDirectories SAP Systeme Active Directories Ebenso werden Datenquellen aus applikations spezifischen Datenbanken E Mail Systemen und Personalabteilungssoftware erschlossen Man unterscheidet diese Komponenten in Quell und Zielsysteme wobei es auch Kombinationen beider wie die E Mail Systeme gibt In all diesen Systemen werden personenbezogene Daten gespeichert die uber das Identity Management miteinander abgeglichen werden Die eigentliche Software eines Identity Managements operiert als Broker zwischen all diesen Komponenten und arbeitet als Prozess meist auf einer dedizierten Hard Software bsp Applikation innerhalb eines Application Servers Diese Software bezeichnet man als Identity Management System Hier wird auch die Funktionsweise des Provisioning deutlich Uber das Meta Virtual Directory werden die Benutzerdaten und Rechte auf alle angeschlossenen Systeme verteilt im gunstigsten Fall alle im Unternehmen eingesetzten Systeme So kann das Identitatsmanagement zentralisiert werden Weitere mogliche Funktionen Federated Identity Management das sich mit der Identitatsbereitstellung und verwendung uber Unternehmensgrenzen hinweg beschaftigt Passwortsynchronisierung so dass ein Benutzer nur ein einziges Passwort in allen angeschlossenen Systemen benotigt In die Unternehmensstrukturen Abteilungen Managementhierarchien eingebetteter Genehmigungsworkflow fur Rechte und Rollen Basis fur eine PKI Infrastruktur die auf einem IAM System mit genugend hoher Datenqualitat aufbauen kann Passwort Self Services mit denen ein Benutzer ein Passwort fur ein System zuruckgewinnen resetten oder andern kann Gangige Losungen realisieren dies uber ein Web Front End Verwaltung und Steuerung von privilegierten Benutzerkonten die aufgrund von Designentscheidungen von Anwendungen entsprechende Regelungen zur Funktionstrennung verletzen Dabei handelt es beispielsweise um Root Konten Identitatsmanagement im World Wide Web BearbeitenDie Entwicklung interaktiver Technologien hat ein grosses Interesse an der Abbildung von sozialen Beziehungen im Internet erzeugt siehe auch Soziale Software In diesem Kontext gibt es eine Vielzahl von Bestrebungen einen Identity Layer als weitere Protokollschicht fur das Internet zu entwickeln Ziel dabei ist es eine hinreichende Sicherheit uber die Identitat der Online Kommunikationspartner zu bekommen ohne gleichzeitig unnotig viel personenbezogene Daten austauschen zu mussen Das Spektrum der Initiativen reicht vom Mikroformat vCards uber Dienste wie ClaimID die eine Sammlung von Webseiten bestimmten Personen zuordnen bis zu Microsofts umfassender Architektur In diesem Kontext ist auch Kritik an der Verkurzung des Identitatsbegriffes aufgekommen der in Psychologie und Soziologie viel mehr meint als das Verwalten von diskreten Eigenschaften technisch implementierter Konten Bob Blakley ehemals Chief Privacy and Security Architect von IBM Tivoli Software und heute bei der Burton Group sieht dies als allgemeines Zeichen der Burokratisierung der Lebenswelt an The West conducted a nuanced discussion of identity for centuries until the industrial state decided that identity was a number you were assigned by a government computer Ein Konzept des Identitatsmanagements in Webanwendungen wurde von Dick Hardt 4 in seiner Prasentation Identitymanagement 2 0 5 bildhaft dargelegt Es soll erreicht werden das Konzept von die Plattform kennt die Identitat zu ich weise mich der Plattform gegenuber aus wandeln d h die Autorisierung raumlich und zeitlich analog den nicht digitalen Ausweisdokumenten von der Identifizierung zu trennen Enterprise Identity und Access Management ReferenzmodellDas Referenzmodell besteht aus sieben Modulen die fur sich genommen nur eine beschreibende Rolle ubernehmen und selbst keine Funktionalitat bieten Policies amp Workflows Policies Richtlinien und Workflows Arbeitsablaufe bilden die Basis fur einen geregelten Arbeitsprozess denn mit ihnen werden Voraussetzungen geschaffen um uberhaupt Prozesse zu starten bzw weiterzufuhren Repository Management Das Repository Management hat die Aufgabe die Informationen in einem EIAM zentral zu speichern und zu verwalten die fur Entitaten in einem Netzwerk von Nutzen sein konnen Dadurch kann eine einzige digitale Identitat pro Nutzer Entitat erreicht werden Life Cycle Management Der Life Cycle zeigt die Schritte die notig sind um Entitaten uber digitale Identitaten bis zu deren Loschung in ein EIAM System zu integrieren und zu verwalten Access Management Das Access Management beinhaltet die Entscheidung uber Zugriffsberechtigungen auf der Basis von Nutzeridentitaten rollen und Zugriffsrechten Information Protection Information Protection soll Informationen eines Unternehmens immer adaquat vor Angriffen schutzen Federation Federation oder Foderation ermoglicht den gesicherten Austausch von Identitats bzw Authentifizierungsinformationen von digitalen Identitaten unterschiedlicher Einheiten oder Organisationen basierend auf einem zuvor aufgebauten Vertrauensverhaltnis Compliance amp Audit Ein Audit auf Basis von Compliance Rechtskonformitat fordert durch Uberprufung der Einhaltung von Vorschriften die Stabilitat in der Infrastruktur eines Unternehmens Compliance dient dabei der Einhaltung wahrend ein Audit die Uberprufung ubernimmt 6 EU Forschungsprojekte BearbeitenAls Teil des 6 Forschungsrahmenprogramms FP6 7 von 2002 bis 2007 hat die Europaische Union 2004 mit PRIME Privacy and Identity Management for Europe ein Forschungsprojekt zu Identitatsmanagement gestartet und mit 10 Mio Euro gefordert um offene Fragen zu klaren und Technologien zu fordern die auch den Datenschutzgesetzen gerecht werden In Deutschland ist das Unabhangige Landeszentrum fur Datenschutz Schleswig Holstein ULD Ansprechpartner fur das Projekt in dem namhafte Personen aus Forschung und Industrie zusammenarbeiten Das Internetstandardisierungskonsortium W3C ist als Unterauftragnehmer des ULD ebenfalls beteiligt Ein weiteres EU FP6 Forschungsprojekt wurde ebenfalls im Jahr 2004 gestartet FIDIS Future of Identity in the Information Society Bei diesem Projekt soll mit dem sog Network of Excellence ein Expertenforum aufgebaut werden welches derzeit aus 24 in Europa operierenden Partnern 8 besteht Die Leitung in Deutschland hat die Universitat Frankfurt Im Vorfeld der beiden Projekte hatte die Europaische Kommission die Studie Identity Management Systems IMS Identification and Comparison Study erstellen lassen Mit dem Start des 7 Forschungsrahmenprogramms 9 von 2007 bis 2013 starteten weitere Projekte zum Thema Identity Management PICOS untersucht und entwickelt eine zeitgemasse Plattform fur Identitatsmanagement in mobilen Gemeinschaften PrimeLife entwickelt verschiedene Technologien die es dem Einzelnen im Hinblick auf die steigenden Risiken der Informationsgesellschaft ermoglicht unabhangig von ihren Aktivitaten ihre Autonomie zu schutzen und Kontrolle uber ihre personlichen Daten zu behalten SWIFT verwendet Identitatstechnologien als Schlussel fur eine Integration von Dienste und Transportinfrastrukturen und hat zum Ziel Identitatsmanagement in die Netzinfrastruktur zu erweitern Siehe auch BearbeitenAnonymitat im Internet Benutzerkonto Benutzerprofil Corporate Identity Datenschutz Ethnomanagement P3P Rollenkonzept Selbstdatenschutz AWS Identity and Access ManagementLiteratur BearbeitenSebastian Rieger Einheitliche Authentifizierung in heterogenen IT Strukturen fur ein sicheres e Science Umfeld 1 Auflage Cuvillier Gottingen 2007 ISBN 3 86727 329 4 Dissertation Norbert Pohlmann Cyber Sicherheit Das Lehrbuch fur Konzepte Prinzipien Mechanismen Architekturen und Eigenschaften von Cyber Sicherheitssystemen in der Digitalisierung Springer Vieweg September 2019 ISBN 978 3 658 25397 4 S 213 240 Weblinks BearbeitenITU T Recommendation Baseline identity management terms and definitions Future of Identity in the Information Society EU supported Network of Excellence Studie Identity Management Systems IMS Identification and Comparison Study Professur fur BWL Wirtschaftsinformatik insb Mobile Business amp Multilateral Security Goethe Universitat Frankfurt am Main Einzelnachweise Bearbeiten iso org ITU T Recommendation Baseline identity management terms and definitions Abgerufen am 22 Februar 2011 Identitats und Zugriffsverwaltungslosung Abgerufen am 22 Mai 2021 dickhardt org Memento des Originals vom 18 Januar 2014 im Internet Archive nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot dickhardt org dailymotion com Norbert Pohlmann Cyber Sicherheit Das Lehrbuch fur Konzepte Prinzipien Mechanismen Architekturen und Eigenschaften von Cyber Sicherheitssystemen in der Digitalisierung Springer Vieweg 2019 ISBN 3 658 25397 5 S 213 240 Sixth Framework Programme Abgerufen am 22 Februar 2011 Geografische Lage des Unternehmens Abgerufen am 22 Februar 2011 Seventh Framework Programme FP7 Abgerufen am 22 Februar 2011 Abgerufen von https de wikipedia org w index php title Identitatsmanagement amp oldid 234591875