iaremenko - stock.adobe.com
IAM mit Hilfe der Blockchain: Was dabei zu beachten ist
Die dezentrale Verwaltung und Verifizierung von Identitäten durch eine Blockchain hat zahlreiche Vorteile gegenüber klassischen Konzepten zum Identity and Access Management.
Immer größere Teile unseres Lebens verbringen wir online. Damit wird auch die physische Welt immer digitaler. Das hat einen erheblichen Einfluss auf das, was wir Identitäten nennen. Die Bestimmung, wer wir sind und wie wir online dargestellt werden, ist sowohl für einzelne Personen als auch Unternehmen immer wichtiger geworden. Wir Menschen wollen die Kontrolle über unsere Identitäten behalten und bestimmen können, wie und mit wem unsere Informationen geteilt werden. Auch Unternehmen sind immer größeren Cybergefahren ausgesetzt und müssen sich zudem in der digitalen Wirtschaft behaupten, ihre Abläufe weiter verbessern und sowohl den Umgang mit Kunden als auch Mitarbeitern optimieren. Ständiges Herumexperimentieren und Unsicherheiten in Bezug auf die Bedeutung von Identitäten wirken sich hemmend auf strategisch bedeutsame Innovationen aus.
Lösungen zum Identitäts- und Zugangsmanagement (Identity and Access Management, IAM) sind das Fundament zum Verwalten und Authentifizieren digitaler Identitäten. Die Unternehmen sehen sich aber immer größeren Herausforderungen beim Design und der Absicherung ihrer IAM-Prozesse gegenüber. Viele denken daher über die Einführung neuer Lösungen nach. Distributed-Ledger-Technologien (DLT), häufig auch vereinfacht als Blockchain bezeichnet, unterscheiden sich maßgeblich von bereits existierenden IAM-Lösungen, da sie von Natur aus dezentralisiert aufgebaut sind. Mit DLT ist es zum Beispiel möglich, gemeinsam digitale Akten zu führen, in denen Transaktionen, Authentifizierungen und Interaktionen in einem Netzwerk und nicht mehr nur bei einer einzigen, zentralen Instanz aufgezeichnet und verifiziert werden.
Angesichts des massiven Anstiegs bei Cyberverbrechen, Attacken, Betrugsversuchen und Diebstählen von Vermögenswerten kommt den Unternehmen eine wesentliche Rolle beim Schutz von vertraulichen Daten, ihrer IT sowie Operation Technology (OT) und bei der Absicherung von Identitäten zu. Viele IT-Profis und IAM-Verantwortliche interessieren sich daher für die Vorteile, aber auch Risiken von DLT-Lösungen. Dabei geht es unter anderem um folgende Fragen:
- Können Identitäts- und Zugriffskontrollen sicher mit Hilfe von DLT durchgeführt werden?
- Wie kann eine Dezentralisierung der Benutzerüberprüfung die Sicherheit erhöhen?
- Wie lassen sich Beziehungen über mehrere Parteien hinweg überprüfen?
- Wie vertragen sich existierende Standards mit der Blockchain und wie mit bestehenden gesetzlichen Vorgaben?
- Wie komplex müssen die Umsetzungen werden, insbesondere wenn es um mobile Endgeräte und IoT-Umgebungen (Internet of Things) geht?
- Wie integrieren wir Vertrauen in die neuen Techniken, ohne dabei den Schutz der Daten zu gefährden?
IAM und DLT: Wichtige Aspekte und mögliche Auswirkungen
Wenn es um den Einsatz einer IAM-Lösung in Kombination mit Distributed-Ledger-Technologien geht, gibt es zahlreiche Punkte zu beachten. Sie betreffen sowohl technische, rechtliche, als auch geschäftliche und sogar kulturelle Bereiche. Jeder dieser Aspekte wirkt sich direkt oder indirekt auf den Entscheidungsprozess bei der Wahl einer geeigneten IAM-Anwendung aus.
Wir empfehlen daher, die die folgenden vierzehn Punkte in Ihre Überlegungen für oder gegen DLT und die Frage mit einzubeziehen, ob die neue Technik Ihre IAM-Infrastruktur und die Endnutzererfahrung positiv beeinflussen kann oder nicht.
1. Zentralisiert versus dezentralisiert
Unternehmen sind an zentrale und proprietäre Storage-Infrastrukturen gewöhnt. Im Grunde haben sie damit aber die perfekte Plattform für Diebstähle, Cybereinbrüche, Hacker-Attacken, Betrugsversuche oder Datenverluste geschaffen. Dieses Modell verschlimmert die Probleme zwischen den Eigentümern der verwalteten Identitäten und denjenigen, die sie für ihre Geschäftstätigkeit benötigen. Das Verteilen der Verifizierung von Identitäten und der Kontrolle über die dafür benötigten Prozesse hat Vorteile für Einzelpersonen und Unternehmen, vor allem wenn es um die Effizienz geht. Allerdings widerspricht ein solches Vorgehen dem aktuell immer noch vorherrschenden Trend zur Zentralisierung.
2. Öffentlich versus privat
In sich geschlossene Blockchain-Architekturen sind von großer Bedeutung, da nur wenige Anwendungsfälle in Unternehmen vollständig öffentlich sein dürften. In den meisten Situationen wird es stattdessen um Vertraulichkeit und fein abgestimmte Berechtigungen für das Lesen und Schreiben in einer selbst verwalteten Blockchain mit vorgegebenen Teilnehmern gehen. Diese Unterscheidung hat zahlreiche positive Auswirkungen auf Fragen zur Sicherheit, erforderlichen Rechenleistung sowie der Skalierbarkeit einer Lösung.
3. Dynamik
Die benötigten Einstellungen für Zugriffe, Berechtigungen und zugleich Einschränkungen befinden sich in einem steten Wandel. Das gilt auch für die identifizierbaren Attribute der Identitäten. DLT-Lösungen müssen daher in der Lage sein, mit häufigen Änderungen und einer zunehmenden Komplexität bei den Verifikationsprozessen umgehen zu können. Selbst in unterschiedlichsten Infrastrukturen und IoT-Umgebungen darf es dabei nur zu minimalen Latenzen kommen.
4. Geschwindigkeit
Blockchain-Algorithmen, die für die Überprüfung von Identitäten und für verteilte Zugriffe benötigt werden, wirken sich auf die Geschwindigkeit und Rechenleistung der benötigten Prozesse aus. Das hat Auswirkungen auf die Service Level Agreements (SLAs). Viele Hersteller investieren daher viel Aufwand in Forschung und Entwicklung, um neue Blockchain-Lösungen auf den Markt zu bringen.
5. Portabilität
Die Fähigkeiten zur Verwaltung digitaler Identitäten müssen möglichst portabel sein. Das zugrundeliegende Design einer Blockchain muss sicherstellen können, dass persönliche Informationen sowie die Verifizierbarkeit und geeignete Kontrollmaßnahmen mit den Nutzern verbunden bleiben. Das wird etwa benötigt, wenn diese von einem Unternehmen zu einem anderen wechseln. Einmal entwickelte Designs können weiter angepasst werden, um die Prozesse zeitnah zu verbessern.
6. Datenschutz
Unternehmen, die heutzutage oft schon gigantische Mengen an personenbezogenen Daten gesammelt haben, sind neuen und sich zunehmend weiterentwickelnden Risiken, Vorschriften, einem stark auf das Thema Datenschutz ausgerichteten Wettbewerb und wachsendem Misstrauen der Konsumenten ausgesetzt. Durch DLT möglich gewordene Konzepte wie selbstbestimmte Identitäten und Datensparsamkeit führen zu einem besseren Schutz dieser Daten. Statt personenbezogene Daten eines Anwenders also in Hunderten von verschiedenen Unternehmen zu lagern, bleiben sowohl die Informationen als auch die Kontrollen zum Teilen dieser Daten beim Anwender selbst.
7. Standards
Es gibt bereits zahllose Standards für Identitäten und Authentifizierungen. Sie bestimmen zum Beispiel wie Rollen, Attribute, Schlüssel oder Berechtigungen aufgebaut sind. Sie müssen in Übereinstimmung mit den oft noch gar nicht vorhandenen DLT-Standards und neuen Blockchain-Techniken gebracht werden.
8. Übertragbarkeit
Der Wechsel von einem zentralisierten zu einem verteilten Paradigma erfordert eine hohe Wandlungsfähigkeit sowie Koordination von Daten, Application Programming Interfaces (APIs), Systemen und Steuerungsmechanismen. Das betrifft aber nicht nur große Unternehmen mit ihren teils gigantischen IT- und OT-Umgebungen, sondern zunehmend auch kleinere Firmen und ihre Partner.
9. Einhaltung von Vorschriften
Wenn es um personenbezogene Daten geht, finden sich schnell zahlreiche Vorschriften. Sie reichen von internationalen bis zu nationalen Gesetzen sowie gezielten Regelungen für einzelne Techniken wie Biometrie. Sie sind von Bedeutung, wenn es um grundlegende Entscheidungen zu IAM und Blockchain geht. So erlaubt es das „Recht auf Vergessenwerden“, das in der Datenschutz-Grundverordnung (DSGVO) der EU verankert ist, einem Menschen, alle über ihn gespeicherten personenbezogenen Daten löschen zu lassen. Dieses Konzept steht damit im Widerspruch zum sogenannten Dogma der Unveränderbarkeit personenbezogener Informationen in Datenbanken.
10. Unveränderbarkeit
Dieses Dogma der Unveränderbarkeit besagt, dass Aufzeichnungen weder gelöscht noch verändert werden dürfen. Es wirkt sich damit positiv auf die Sicherheit und den Schutz gespeicherter Daten aus. Entscheidungen darüber, was auf der Chain bleibt und was nicht, sind für viele Punkte auf dieser Liste wichtig. Die Unveränderbarkeit der Daten innerhalb der Blockchain muss die Anforderungen und Sicherheitsmaßnahmen aller Teilnehmer in Betracht ziehen.
11. Verwaltung und Lebenszyklus der genutzten Schlüssel
Es muss sichergestellt werden, dass jeder Teilnehmer jederzeit und an jedem Ort über die passenden kryptographischen Schlüssel verfügt. Sie werden benötigt, um Zugriffe zu erneuern, zu beenden oder zu aktualisieren. Dieser Punkt ist eine spezielle Anforderung von IAM, die DLT-Lösungen durch ein geeignetes Design erfüllen müssen.
12. Nutzbarkeit
Die Benutzeroberfläche einer IAM-Lösung ist die Schnittstelle, um Identitäten, Identifizierungen sowie Kontrollmechanismen für die Daten einer Person zu steuern. Dabei spielt es keine Rolle, ob die Daten zentral oder verteilt verwaltet werden. Erfolgreiche IAM-Architekturen verbergen die ihnen zugrundeliegende Komplexität vor den Anwendern. Besonders wichtig sind dabei Akzeptanz, Bedienbarkeit, Zugänglichkeit und auch Schulungen.
13. Entstehende Datensätze
Ein besonderes Augenmerk sollte auf die stetig wachsenden Datenberge geworfen werden. Es ist daher essenziell, sich mit langfristigen Risiken und gesetzlichen Vorgaben zu beschäftigen, wenn es um Fragen zur Biometrie, Emotionen oder auch Genetik geht. In diesen Bereichen tätige Unternehmen sollten sich daher besonders intensiv mit Datenschutz und Datensparsamkeit beschäftigen.
14. Aufstrebende Technologien
Neue Konzepte, technische Fähigkeiten, Entwürfe und Best Practices verändern die IAM-Welt fortlaufend. Das gilt besonders für Durchbrüche in den Bereichen Blockchain, Verschlüsselung, Künstliche Intelligenzen, IT-Sicherheit, Cloud Computing, Quantencomputern oder gar umstrittenen Konzepten wie digitalen Wallets. Die damit zusammenhängenden Fragen sollten deshalb in das Design einer neuen Lösung mit einbezogen werden. Das gilt auch für die Zeit nach der praktischen Umsetzung.
IAM plus DLT
Entscheidungen über DLT und IAM sind aber keine weitere Pflichtübung für die IT-Abteilung. Wie bei anderen aufstrebenden Technologien sollten sich Unternehmen zunächst auf ihre bestehenden Probleme konzentrieren. DLT und IAM beeinflussen Bereiche wie die zunehmende Überwachung der westlichen Welt, veränderte Machtverhältnisse, geopolitische Bedrohungen, nachhaltige Geschäftsmodelle und Menschenrechte. Das zeigt, wie wichtig digitale Identitäten mittlerweile geworden sind. Eine Kombination aus IAM und der Blockchain wirkt sich daher auf Individuen, Institutionen und die gesamte Wirtschaft aus.