Platform Security: aktuelle Standards und Trends

Digitale Plattformen brauchen eine starke Authentifizierung
Keine Kommentare

Wenn Nutzerdaten oder Inhalte unternehmensübergreifend ausgetauscht werden, kommt der Authentifizierung eine besondere Bedeutung zu. Ein Überblick über derzeit gängige Technologien und die Entwicklungen im Bereich der selbstsouveränen Identitäten.

Mit einer digitalen B2B-Plattform lassen sich ganz unterschiedliche digitale Geschäftsmodelle oder Kooperationen praktisch umsetzen. E-Commerce-Plattformen in Form von Produkt-Plattformen und Marktplätzen sind typische Beispiele. Aber auch für die Abbildung von Beschaffungsprozessen oder Service- und verbrauchsabhängigen Geschäftsmodellen eignen sich digitale, den individuellen Anforderungen angepasste Plattformen.

Beim Aufsetzen einer solchen Infrastruktur geht es nicht nur um die zahlreichen und kombinierbaren Sourcing-Varianten. Es geht vor allem auch um die Sicherheit: Schließlich werden hier externen Nutzern Zugriffe auf die eigenen Ressourcen gewährt oder Anwendungen von Drittanbietern eingebunden. Das erfordert besondere Authentifizierungs-Mechanismen, die zugleich nutzerfreundlich sein sollten.

OAuth: Standard für SSO im Web

Eine weit verbreitete Lösung für solche Szenarien bietet das OAuth-Protokoll. Über dieses offene, tokenbasierte Sicherheitsprotokoll können sich Nutzer:innen mit einem vorhandenen Account (z. B. bei Google oder Facebook) bei einem Drittanbieter anmelden, wenn dieser die Option „Sign-up with…“ anbietet. Es wird also für die eigentliche Anwendung des Drittanbieters kein neuer Account benötigt – die eigenen (Google-)Login-Daten genügen. Google (oder jeder andere OAuth-kompatible Anbieter) übernimmt die Authentifizierung und sendet dem Drittanbieter einen begrenzt gültigen Access Token, mit dem dieser die gewünschten Daten anfordern kann.

Diese Vorgehensweise hat Vor- und Nachteile. Für den User ist es vor allem bequem, muss er doch keinen neuen Account beim Drittanbieter anlegen und sich weitere Login-Daten merken – Single-Sign-On (SSO) für Webanwendungen. Der Drittanbieter bekommt dabei die Login-Daten nicht zu sehen, kann sie nicht speichern und damit auch nicht „verlieren“. Viele Dienste, die OAuth unterstützten, bieten auch 2-Faktor-Authentifizierungen an, um den initialen Login noch besser abzusichern.

Dennoch sollten Nutzer:innen genau prüfen, wer hinter der Authentifizierung steckt. Der Drittanbieter erhält zwar keine Login-Daten, sehr wohl aber Zugriff auf den öffentlichen Teil des Nutzerprofils und oft auch auf zusätzliche Informationen wie etwa Kontaktlisten oder E-Mail-Adressen. Das kann notwendig sein, damit der Drittanbieter seine Dienstleistung erbringen kann, ist aber während des Authentifizierungsprozesses nicht immer völlig transparent. Außerdem erhält der Anbieter des Benutzerkontos Informationen darüber, was der User auf anderen Websites tut. Hinzu kommen die Bedenken hinsichtlich SSO im Allgemeinen: Wird der genutzte (Google-)Account gehackt, könnte sich der Missbrauch auch auf die Drittanbieter-Anwendungen erstrecken.

Ein breites Marktangebot

Neben OAuth haben sich weitere Verfahren etabliert. So kommen in verteilten Systemlandschaften beispielsweise JSON Web Tokens (JWT) zum Einsatz. Dieser Token ist eine einfache, binärkodierte JSON-Struktur, die alle wichtigen Informationen für einen Anwendungsfall enthält, z. B., wer der Absender ist und ob er über notwendige Zugriffsrechte verfügt. Abgesichert wird er durch die digitale Signatur seines Ausstellers. Dies ermöglicht Stateless Sessions, bei denen weder eine Datenbankabfrage notwendig ist, noch Sitzungsdaten serverseitig gespeichert werden müssen. OpenID ist ein weiteres, verteilt arbeitendes Authentifizierungssystem für Webservices. Open ID nutzt URL-basierte Identitäten (Identifier), um es Nutzer:innen zu ermöglichen, sich mit einem Login bei mehreren Diensten anzumelden – ein ähnliches SSO-Konzept wie bei OAuth.

Wer für die Absicherung seiner digitalen Plattform nicht auf die Systeme der großen Player zurückgreifen möchte, kann unter einer Vielzahl freier und kommerzieller Lösungen für die 2-Faktor-Authentifizierung wählen. So lassen sich Anwendungen und Infrastrukturen absichern und sogar SSO-Konzepte umsetzen, ohne auf die Dienste externer Anbieter angewiesen zu sein. Das Angebot ist vielfältig: von hochspezialisierten und für ganz bestimmte Use Cases gebauten Lösungen bis hin zu ausgewachsenen Identity- und Access-Management-Systemen, die die Authentifizierung über soziale Medien ermöglichen, mehrere Protokolle unterstützen und sich an LDAP oder Active Directory anbinden lassen.

Identitäten in den Händen der Nutzer:innen

Gerade in Zeiten von strengen Datenschutzvorgaben und zunehmender Sensibilität gewinnen Authentifizierungskonzepte an Bedeutung, die den Nutzer:innen selbst mehr Kontrolle geben. Ein Beispiel dafür ist eine Initiative namens Self-Sovereign Identity (SSI), die bereits viele prominente Unterstützer gefunden hat. Im Mittelpunkt von SSI steht der Nutzer selbst. Er allein entscheidet, wem er persönliche Daten mitteilt und welche Informationen er in seinem Profil aggregiert. Statt einer E-Mail-Adresse begründet sich eine SSI-Identität in einem sogenannten Decentralized Identifier (DID): einer Sammlung öffentlicher Schlüssel einer Identität, die mit Hilfe von Blockchain-Transaktionen für jeden les- und überprüfbar ist. Die privaten Schlüssel zum Nachweis der Kontrolle über einen DID halten Nutzer in einer Wallet auf ihren Smartphones. Zertifikate über Eigenschaften des Nutzers, sogenannte Verifiable Credentials, werden von entsprechenden Stellen über den DID des Nutzers ausgestellt, ggf. Peer-to-Peer an ihn übermittelt und in dessen Wallet verwahrt.

Der Spagat zwischen DSGVO-konformer Datensicherheit und -sparsamkeit, praktischer Umsetzbarkeit und Nutzerfreundlichkeit ist schwer zu bewältigen. Das Ziel, eine unkorrelierbare, unter vollständiger Kontrolle ihres Nutzers stehende Identität für Anmeldungen und Datenfreigaben zu entwickeln, rückt aber näher. Profilsilos und zentrale Anmeldeserver werden dann von Protokollen und kryptografischen Verfahren abgelöst, deren Informationen sich mit Hilfe von Blockchains weltweit sicher verifizieren lassen.

 

Unsere Redaktion empfiehlt:

Relevante Beiträge

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments
X
- Gib Deinen Standort ein -
- or -