ID-Management

Als Identitätsmanagement (IdM) wird der zielgerichtete und bewusste Umgang mit Identität, Anonymität und Pseudoanonymität bezeichnet. Der Personalausweis ist ein Beispiel für eine staatlich vorgegebene Form der Identifizierung.

Kontext

Durch die Internetvernetzung hat die Frage von bewusster Anonymität bzw. bewusstem Umgang mit Teilen der eigenen Identität eine neue und zuvor nie gekannte Komplexitätsstufe erreicht. Im Internet wird regelmäßig mit (Teil-)Identitäten gespielt. Es gibt aber auch ernsthafte Prozesse und Fragen der Anonymität im Internet und der Identifizierbarkeit. In vielerlei Hinsicht können Identitätsmanagementsysteme problematisch sein, wenn nicht klar ist, was mit den Daten geschieht, die ggf. ungewollt zu weitergehender Identifizierung führen können.

In der realen wie in der digitalen Welt gibt es verschiedenste Formen des Identitätsmanagements. Gemäß ISO/IEC JTC 1/SC 27/WG 5 „A framework for IdM“ umfasst IdM:

• die sichere Verwaltung von Identitäten
• den Identifikationsprozess einer Einheit (inkl. optionaler Authentisierung)
• die Information, die mit der Identifikation einer Einheit innerhalb eines bestimmten Kontexts verbunden ist.

Eine „Einheit“ kann alles sein, was eindeutig als solche erkannt werden kann (Person, Tier, Gerät, Objekt, Gruppe, Organisation, etc.). Einheiten können mehrere Identitäten haben, die in verschiedenen Kontexten verwendet werden können. Laut Definition der ITU-T wird der Begriff IdM als Verwaltung von Attributen einer Einheit verstanden (z.B. Kunde, Gerät oder Provider). Die Verwaltung digitaler Identitäten ist hier aber nicht dazu gedacht, um Personen zu validieren (IdM-GSI).

Im Kontext des digitalen Identitätsmanagements sind folgende Themen relevant:

• Geltungsbereich (innerhalb von Organisationen oder organisationsübergreifend/föderal)
• Lebenszyklus der Identität von der Einrichtung, Modifikation, Suspendierung bis zur Terminierung oder Archivierung
• Verwaltung und Schutz der Informationen (Attribute) der Identität, die sich über die Zeit ändern
• Zuweisung und Verwaltung der verschiedenen Rollen von Identitäten
• Verknüpfung der Rollen mit Pflichten, Verantwortungen, Privilegien und Rechten für den Zugriff auf Ressourcen
• Systeme, in denen die Daten gespeichert werden (Verzeichnisse, Token, Karten, Datenbanken, etc.)

Anforderungen an ein Identitätsmanagement

Identitätsmanagement befasst sich vornehmlich in der Welt der Datenverarbeitung mit der Verwaltung von Benutzerdaten, die einzelnen Personen zugeordnet sind. Eine Person kann dabei durchaus mehrere Identitäten besitzen, während eine Identität gewöhnlich nur einer Person zuzuordnen ist. Dabei ist die Identität eine Sammlung von personenbezogenen Attributen, die die Person, die sich dieser Identität bedient, individualisiert.

Beispiel: In einem Online-Rollenspiel richtet sich die Person Joe User eine Identität ein: König Niels, grausamer Herrscher des Volkes der Lemminge mit den Attributen dumm, kampfstark und geizig. Die gleiche Person Joe User hat bei einem Onlineshop eine andere Identität, deren Profil sich durch Merkmale "Interessiert sich für klassische Musik", "Kreditkartennummer lautet 1234 1234 1234 1234" und "hat bereits 3 CDs gekauft" bestimmt.

Netzwerk-Identitäten gehören Personen, sie sind deshalb in der Regel kritische Daten, da die Identität an die Person gekoppelt ist. Würde die Onlineshop-Identität durch eine andere Person (Alice Evil) verwendet werden, hätte die Person in obigem Beispiel (Joe User) das Problem, dass Bestellungen zu Lasten des Identitäts-Eigentümers in falsche Hände laufen.

Multiple Identitäten oder Accounts sind sowohl in der Netzwelt als auch im realen Alltag notwendig und werden verbreitet verwendet. Beispiele:

• Kunde bei der Bank (mit Kontonummer, Kontostand, Name und Bonität)
• Kundenkarte bei der Tankstelle (mit Kundenname, Kundennummer und Punktestand)
• Vielfliegerkonto (mit Kundenname, Nummer, Status und Punktestand)
• Führerschein (mit Name des Eigentümers, Bild, Fahrzeugklasse)

Man kann von einer Haupt-Identität einer jeden Person ausgehen, diese definiert sich aus Merkmalen, mit denen sie sich in ihrem soziophysiologischen Umfeld bewegt: Name, Alter, Haarfarbe, Charakter, Vorlieben, Geschmack, Aversionen, Freundeskreis usw.

Eine missbräuchliche Verwendung von Identitäten (in der Regel zum Nachteil des eigentlichen Besitzers) wird als Identitätsdiebstahl bezeichnet

Das Management von Identitäten geschieht vornehmlich auf EDV-Ebene, da hier ungleich mehr Accounts einer Person zuzuordnen sind, als im realen Leben. Insbesondere in Unternehmen ist es eine nicht unerhebliche Aufgabe, die verschiedenen Accounts (Mail, Betriebssystem, SAP, Internet-Zugriff etc.) einer Person zu konsolidieren.

Warum Identitätsmanagement?

Einer der Gründe, warum man sich in Unternehmen mit Identitätsmanagement (im anglisierten Sprachgebrauch Identity-Management) beschäftigt, ist die Anforderung, personenbezogene Daten konsistent, ständig verfügbar und verlässlich bereitzuhalten. Dienste wie ein Mail-System oder eine Personalbuchhaltung sind auf diese Daten angewiesen, ohne sie wäre kein individualisierter Betrieb möglich.

Beispiel: Ein Mitarbeiter hat ein Mail-Konto, das nur ihm selbst zugeordnet ist. Hierfür benötigt er eine individuelle Mailadresse, einen sogenannten Account mit dem dazugehörigen Passwort. Diese Daten sind nur für ihn und nicht für die Allgemeinheit.

Gegenbeispiel: Eine Firmenpräsentation ist für alle Mitarbeiter einheitlich und bedarf keiner Individualisierung.

Viele solcher individualisierter Dienste haben nun ihre eigenen Datenstammsätze der Personen: Der Mailserver hat eine Konfigurationsdatei mit allen teilnehmenden Mailanwendern, die Personalbuchhaltung ihre eigene Stammdatenbank. Diese und die Vielzahl aller anderen Services zusammen mit deren Daten untereinander abzugleichen war eine hohe administrative Herausforderung: Änderten beispielsweise Mitarbeiter aufgrund einer Heirat ihren Namen, mussten in allen beteiligten Systemen Anpassungen durchgeführt werden.

In den Neunzigern war der erste Schritt in Richtung Vereinheitlichung dieser Daten die Einführung eines Verzeichnisdienstes. Diese sammelten die personenbezogenen Daten und stellten sie beispielsweise über ein standardisiertes Verfahren zur Verfügung (siehe LDAP).

Nun erkannte man allerdings, dass sich zwar viele, aber längst nicht alle Services unter einem solchen Verzeichnis versammeln konnten. Gerade im Bereich des Personalwesens erwies es sich als ausgesprochen kritisch, Personaldaten einem solchen Verzeichnis zu überlassen. Solche Dienste behielten sich ihre eigenen Daten vor und konnten nicht gegenüber Verzeichnissen synchronisiert werden.

Mit dem Aufkommen eines Identity Managements wurden diese Schranken zum ersten Mal durchbrochen: Die Personaldatenbanken konnte die Hoheit über ihre Daten behalten, Datenänderungen wie beispielsweise der eines Namens wurde aber nun über Synchronisations-Mechanismen zum Identity Management hin übermittelt, das seinerseits diese Datenänderung an alle anderen beteiligten Systeme mitteilte.

Identitätsmanagement von Unternehmen

Je größer ein Unternehmen ist, desto mehr müssen Identitäten und Berechtigungen verwaltet werden. Dazu werden sogenannte Identity-Management-Architekturen eingesetzt. Dabei handelt es sich um Software-Komponenten, die die Identitäten und deren Zugriffsrechte verwalten.

Der Begriff Identity Management im Software-Umfeld umfasst keinen genau definierten Funktionsumfang. So fokussieren sich beispielsweise einfache Systeme ausschließlich auf die Synchronisation von personenbezogenen Daten, während umfassendere Architekturen dagegen Workflow-Prozesse einbeziehen, die ein hierarchisches Genehmigungs-Modell von Vorgesetzten beinhalten, um Datenänderungen umzusetzen.

Eine Identity-Management-Architektur sollte über ein Provisionierungsmodul verfügen, das es erlaubt, den Benutzern automatisch aufgrund ihrer jeweiligen Rolle (und auch Aufgaben) in der Organisation individuelle Berechtigungen zu erteilen. Hier stellt sich aber bereits die Frage, wie weit Identity Management über die ausschließliche Verwaltung personenbezogener Daten hinweg Applikations-Funktionalitäten integrieren soll (z.B. ist die "Quota" auf einem Mailserver kein personenbezogenes Datum, sondern eine Applikations-Information).

Identity Management in einem Unternehmen hat vielfach Schnittstellen zum sogenannten Access-Management, das beispielsweise für Portale die Zugriffsrechte verwaltet, Single Sign On (SSO) ermöglicht oder Security Policies verwaltet. Für Identity Management und Access-Management wurde in der Informationstechnik (IT) daher mittlerweile der Begriff "Identity and Access Management" (IAM) geprägt.

Komponenten einer Identity-Management-Architektur können vielfältig sein. Gängige Basis ist der sogenannte Verzeichnisdienst, in dem die personenbezogenen Daten von Mitarbeitern hinterlegt sind, die am häufigsten und von den meisten Systemen abgefragt werden (Name, Mailadresse, Telefonnummer usw.). Dieser Verzeichnisdienst kann einerseits ein Metadirectory sein oder einfach nur ein dedizierter Verzeichnisdienst für eine solche Sicherheitsarchitektur. Weitere Komponenten können sein: SAP-Systeme, Active-Directories, applikations-spezifische Datenbanken. In all diesen Systemen werden personenbezogene Daten gespeichert, die über Identity Management miteinander abgeglichen werden. Die eigentliche Software eines Identity Managements operiert als Broker zwischen all diesen Komponenten und arbeitet als Prozess meist auf einer dedizierten Hard/Software (bsp. Applikation innerhalb eines Application Servers). Diese Software bezeichnet man als Meta-Directory.

Hier wird auch die Funktionsweise des Provisioning deutlich: Über das Meta-Directory werden die Benutzerdaten und Rechte auf alle angeschlossenen Systeme verteilt (im günstigsten Fall alle im Unternehmen eingesetzten Systeme). So kann das Identitätsmanagement zentralisiert werden.

Weitere mögliche Funktionen:

• Federated Identity Management, das sich mit der Identitätsbereitstellung und -verwendung über Unternehmensgrenzen hinweg beschäftigt
• Passwortsynchronisierung, so dass ein Benutzer nur ein einziges Passwort in allen angeschlossenen Systemen benötigt
• User Self Services, mit denen ein Benutzer ein Passwort für ein System zurückgewinnen, resetten oder ändern kann. Gängige Lösungen realisieren dies über ein Web-Front-End

Identitätsmanagement im World Wide Web

Die Entwicklung zum Web 2.0 hat ein großes Interesse an der Abbildung von sozialen Beziehungen im Internet erzeugt (siehe auch Soziale Software). In diesem Kontext gibt es eine Vielzahl von Bestrebungen, einen "Identity Layer" als weitere Protokollschicht für das Internet zu entwickeln. Ziel dabei ist es, eine hinreichende Sicherheit über die Identität der Online-Kommunikationspartner zu bekommen, ohne gleichzeitig unnötig viel personenbezogene Daten austauschen zu müssen. Das Spektrum der Initiativen reicht vom Mikroformat vCards über Dienste wie ClaimID, die eine Sammlung von Webseiten bestimmten Personen zuordnen, bis zu Microsofts umfassender Architektur.

In diesem Kontext ist auch Kritik an der Verkürzung des Identitätsbegriffes aufgekommen, der in Psychologie und Soziologie viel mehr meint als das Verwalten von diskreten Eigenschaften technisch implementierter Konten. Bob Blakley, ehemals Chief Privacy and Security Architect von IBM Tivoli Software und heute bei der Burton Group, sieht dies als allgemeines Zeichen der Bürokratisierung der Lebenswelt an: "The West conducted a nuanced discussion of identity for centuries, until the industrial state decided that identity was a number you were assigned by a government computer."

EU-Forschungsprojekte

Als Teil des 6. Forschungsrahmenprogramms (FP6)^[1] von 2002 bis 2007 hat die Europäische Union 2004 mit PRIME (Privacy and Identity Management for Europe) ein Forschungsprojekt zu "Identitätsmanagement" gestartet und mit 10 Mio. Euro gefördert, um offene Fragen zu klären und Technologien zu fördern, die auch den Datenschutzgesetzen gerecht werden. In Deutschland ist das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Ansprechpartner für das Projekt, in dem namhafte Personen aus Forschung und Industrie zusammenarbeiten. Das Internetstandardisierungskonsortium W3C ist als Unterauftragnehmer des ULD ebenfalls beteiligt.

Ein weiteres EU-FP6-Forschungsprojekt wurde ebenfalls im Jahr 2004 gestartet: FIDIS (Future of Identity in the Information Society). Bei diesem Projekt soll ein sog. "Network of Excellence", d. h. ein Expertenforum, aufgebaut werden. Dies besteht derzeit aus 24 in Europa operierenden Partnern^[2]. Die Leitung in Deutschland hat die Universität Frankfurt.

Im Vorfeld der beiden Projekte hatte die Europäische Kommission die Studie "Identity Management Systems (IMS): Identification and Comparison Study" erstellen lassen.

Mit dem Start des 7. Forschungsrahmenprogramms^[3] von 2007 - 2013 starteten weitere Projekte zum Thema Identity Management. PICOS untersucht und entwickelt eine zeitgemäße Plattform für Identitätsmanagement in mobilen Gemeinschaften. PrimeLife entwickelt verschiedene Technologien, die es dem Einzelnen im Hinblick auf die steigenden Risiken der Informationsgesellschaft ermöglicht, unabhängig von ihren Aktivitäten ihre Autonomie zu schützen und Kontrolle über ihre persönlichen Daten zu behalten. SWIFT verwendet Identitätstechnologien als Schlüssel für eine Integration von Dienste- und Transportinfrastrukturen und hat zum Ziel, Identitätsmanagement in die Netzinfrastruktur zu erweitern.

Siehe auch

• P3P
• Datenschutz
• Selbstdatenschutz
• Anonymität im Internet
• Benutzerkonto
• Benutzerprofil
• Rollenkonzept
• Corporate Identity

Quellen

• Sebastian Rieger: Einheitliche Authentifizierung in heterogenen IT-Strukturen für ein sicheres e-Science Umfeld, Cuvillier Verlag; Auflage: 1 (2007), ISBN 3-86727-329-4

1. ↑ http://cordis.europa.eu/fp6/
2. ↑ http://www.fidis.net/about/consortium/map/
3. ↑ http://cordis.europa.eu/fp7/

Weblinks

• Einführungstutorium Datenschutz- und Identitätsmanagement
• Studie "Identity Management Systems (IMS): Identification and Comparison Study"
• Offenes Wiki zum Identitätsmanagement
• Sieben Schritte für gelungene Identity-Management-Projekte