Haben wir eine Identitätskrise?

Cyber-Attacken auf grosse Firmen und sogar Behörden sind in letzter Zeit regelmässig in den News zu lesen. So wurden bei bei einem Hackerangriff auf die Krankenversicherung Groupe Mutuel im Dezember 2017 eine unklare Menge an Kundendaten erbeutet. Auch Swisscom wurde vor Kurzem von einer Cyber-Attacke Kundendaten wie Namen, Adressen, Telefonnummern und sogar Geburtsdaten entwendet. Hinter einem Grossangriff auf deutsche Ministerien wird eine russische Hackergruppe vermutet. Der Vorfall bei Swisscom wurde zwar heruntergespielt, jedoch sind die abgegriffenen Kundendaten insofern brisant, da damit Identitäten der betroffenen Personen kopiert werden können. Dies hat zur Folge, dass die Verunsicherung bei den Usern und Kunden immer grösser wird. Sie schützen sich bereits heute mit unzähligen verschiedenen Passwörtern und schlagen sich mit unterschiedlichsten Registrierungsprozeduren herum. Der schlechten Verbreitung von e-Government-Services stehen hohe Investitionskosten bei der IT-Sicherheit gegenüber.

Sollte die Rolle der Identität neu überdacht werden?
Aktuell laufende Vorhaben und Gespräche über eine elektronische, digitale Identität werden weitestgehend von Regulatoren und privaten Initiativen getrieben. Da es keinen einheitlichen Prozess gibt, bedient sich insbesondere der E-Commerce zahlreicher individuellen Registrierungslösungen. In der Praxis ist es so, dass sich User eines Login meistens ausschliesslich bei den jeweiligen Onlineshops und Portalen anmelden können. Übergreifende Loginverfahren gibt es hingegen selten.
Einige Anbieter erlauben auch eine Schnellregistrierung mit bereits vorhandenen Social-Media-Accounts (z.B. Facebook). Insgesamt sind diese vielen verschiedenen Logins für den Benutzer eher verwirrend, insbesondere, wenn verschiedene Benutzernamen oder E-Mail-Adressen und Passwörter verwendet werden, was ja der Sicherheit zuträglich ist. Bei Loginverfahren mittels bestehenden Social-Media-Accounts stellt sich zudem die Frage, welche Daten dem jeweiligen Service zugänglich gemacht werden, was die Kontrolle der eigenen privaten Daten extrem erschwert. Oder wissen Sie, bei welchem E-Commerce-Anbieter Sie welche Daten selbst erfasst haben oder mit Ihrem Facebook-Login freigegeben haben? Häufig werden, um die Übersicht einigermassen zu behalten, gleiche Logindaten für mehrere E-Commerce-Accounts benutzt (z.B. bei Username / Password Logins).
Wenig verwunderlich ist es auch, dass immer wieder PIN-Codes direkt auf den Karten notiert werden oder dass man sich Logins, PINs und Passwörter in einem zentralen (Online-) Tool notiert. Da ist eine Papierliste in der Schublade zu Hause noch vergleichsweise sicher!
Das Risiko, dass, auch wenn nur ein Onlineshop gehackt wird, die erbeuteten Logindaten zum Generalschlüssel für mehrere oder sogar alle vom User benutzten Accounts werden, ist enorm. Wenn man dann noch bedenkt, dass häufig sogar Kreditkartendaten im Shop hinterlegt sind, um den Checkout-Prozess komfortabler zu machen, sind Cyber-Kriminellen Tür und Tor geöffnet.

Sicherlich gibt es bessere Alternativen als Username-/Password-Logins und Zwei-Faktor-Authentifizierungen, um eine Person zu identifizieren. Möglicherweise sollte das Thema "Identitätsprüfung" von einer ganz anderen Seite betrachtet werden, um sichere, brauchbare Lösungen zu entwickeln:
Ist es denn wirklich nötig, bei einer Identitätsfeststellung sämtliche persönlichen Daten einer Person abzufragen und zu speichern? Die Prüfung von wenigen ausgewählten Informationen reicht in den meisten Fällen völlig aus. So genügt meistens ein Altersnachweis oder eine Bestätigung der Wohnadresse, um einen Onlineservice nutzen zu dürfen. Wer ich bin, wie ich heisse, mein Geburtsdatum oder meine Kontonummer ist meistens nicht von Belang.

Auch hinsichtlich der Europäischen Datenschutzgrundverordnung schiesst das Speichern von irrelevanten Daten weit über‘s Ziel hinaus. Vergleichen Sie hierzu den Grundsatz "Datenminimierung" aus der GDPR: 
"Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein ("Datenminimierung").“

Streng genommen ist die Erhebung sämtlicher persönlicher Daten nur für den Zweck einer Altersüberprüfung sogar illegal, nach GDPR.
Daraus lässt sich ableiten, dass anstatt von einer digitalen Identität viel treffender von "Berechtigungsmanagement" gesprochen werden sollte.
Etwas weitergedacht sollte so ein Berechtigungsmanagement nicht nur für Natürliche und Juristische Personen konzipiert werden. Dem technischen Fortschritt verpflichtet, müssen in diese Überlegungen
auch Berechtigungen für Software, Roboter, Apps und Geräte einbezogen werden:
  • Welche Software darf auf welche Bankdaten von mir zugreifen?
  • Welcher IoT-Dashbutton darf welche Banktransaktionen in meinem Namen durchführen?
  • Muss die elektronische Fahrkarte dem Kontrollsystem meinen Namen preisgeben oder nur, ob das Billet für die gefahrene Strecke gültig ist?
  • Welche Daten meiner elektronischen Fahrerlaubnis darf das Auto nutzen, um den Motor zu starten?

Es wird deutlich, dass dieses Thema mehrdimensional ist und in ständigem Challenge zur aktuellen Gesetzgebung steht (GDPR, eIDAS, PSD2) und viele Neuentwicklungen (Open Banking, Robo's, AI, IoT) in diesem Kontext geprüft werden müssen.

Das Ziel einer digitalen Identität muss es sein, dass sie allgemeingültig ist und die Vielzahl von Logins, Registrierungsprozessen und Identitätsprüfungsverfahren ablöst.
Es muss verschiedene Anbieter geben (Identity Providers) oder besser Datenverifizierer, die mit modernen Authentifizierungstechnologien arbeiten (nicht Username/Password). Der Schwerpunkt der Identifikation muss auf der Überprüfung der notwendigen Datenattribute liegen (z.B. Altersnachweis) und nicht auf der Verifikation aller persönlichen Daten einer Person. Schlussendlich braucht es das Vertrauen von Händlern, Industrie, Behörden und Endnutzern. Empfiehlt sich dabei am Ende sogar ein vertrauenswürdiges 4-Corner-Modell wie wir es im Zahlungsverkehr kennen? Welche Rolle kann die Finanzindustrie beim Setup und Betreiben eines Identity Provider Systems spielen? Vertrauen wir bald einem "Sign-on with MyBank" mehr als einem "Sign-on with Facebook" oder "Sign-on with Google"? Speziell den KYC-Prozess (Know-Your-Customer) haben Banken mit Sicherheit besser im Griff, als andere mögliche Teilnehmer eines Identity Providing Systems.

Die eID in der Schweiz steht in den Startlöchern. Details sind nur wenige bekannt. Jedoch zeichnet sich ein Vorstoss der hiesigen Finanzhäuser ab, um die elektronische ID in der Schweiz marktfähig zu machen.

Für Sie gebloggt hat Marco Vosseler.

#Cyberrisk #DigitalFinanceExperts #DigitalIdentity #KYC #GDPR #eID





1 Kommentar:

  1. Gefragt wären weit verbreitete Devices mit biometrischer Authentisierung in Kombination mit der digitalen ID. Ist so etwas vorstellbar, werden das die Banken vorantreiben?

    AntwortenLöschen