Für eine digitale Authentifizierung liefert der Identity Provider selbst gesammelte Daten an einen Webservice aus. Für die Übermittlung sind einheitliche Protokolle notwendig. So kann ein Webservice mit vielen verschiedenen Identity Providern zusammenarbeiten. Daher wirft der vierte Teil dieser Reihe einen Blick auf die Standards, die hierfür in Frage kommen. Anschließend erklärt er die rechtlichen Rahmenbedingungen.

 

SAML: sicher, aber sehr komplex

Eines der ersten Verfahren für die Übermittlung der Identitätsinformationen war SAML (Security Assertion Markup Language). SAML ist ein XML-Framework, das den Austausch verschiedener Statements zwischen Identity-Provider und Service-Provider ermöglicht. Es gibt drei verschiedene Arten von Statements:

  1. Authentication Statement: Zusicherung einer Authentifizierung
  2. Attribute Statement: Angabe über bestimmte Eigenschaften des Subjekts, z. B. dessen Alter
  3. Authorization Decision Statement: Bestätigung der Zugriffsrechte auf bestimmte Ressourcen, z. B. auf Dateien.

SAML bietet umfangreiche Möglichkeiten für die Authentifizierung. Außerdem ist dieses Protokoll sehr sicher. Daher verwenden es viele Unternehmen für Single-Sign-On oder für eine internetbasierte Authentifizierung. Diesen Vorteilen steht jedoch die hohe Komplexität des Systems gegenüber. Aus diesem Grund kommt es nur sehr selten zum Einsatz.

 

OpenID: Standard für den Austausch von Sicherheitsinformationen und Anmeldedaten

Bei OpenID handelt es sich um einen offenen Standard für den Austausch von Anmeldedaten und weiteren sicherheitsrelevanten Informationen. Der Service-Anbieter leitet den Anwender mittels einer URL, die seinen Nutzernamen enthält, zum OpenID-Anbieter weiter. Eine Alternative hierzu ist der Account Chooser. Der Anwender gibt in diesem Fall lediglich seine E-Mail-Adresse ein. Daraufhin startet automatisch ein Authentifizierungsprozess. Der Dienst kann auch weitere Informationen übermitteln, wenn der Anwender dem zuvor zugestimmt hat. Hierzu zählt beispielsweise der bürgerliche Name, das Geburtsdatum, das Geschlecht oder der Wohnort. OpenID ist zwar einfach zu verwenden und bietet eine Vielzahl an Informationen an. Dennoch konnte sich dieses System nicht vollständig durchsetzen. Zum einen ist es sehr anfällig gegenüber Phishing-Attacken. Denn durch die Weiterleitung auf eine andere Webseite, auf der der Anwender seine Zugangsdaten eingeben muss, entsteht ein hohes Sicherheitsrisiko. Zum anderen bietet OpenID keine API-Unterstützung.

 

OAuth: modernes Autorisierungsprotokoll

Der OAuth-Standard ist sehr API-freundlich und eignet sich hervorragend für mobile Apps und andere Internetanwendungen. Dabei handelt es sich um ein Protokoll, das den Transfer von Zugriffsrechten auf verschiedene Ressourcen oder Informationen ermöglicht. Es übermittelt jedoch weder die Benutzer-ID noch Passwörter oder persönliche Daten. Daraus ergibt sich eine große Einschränkung bei der Nutzung. OAuth eignet sich beispielsweise nicht für das Login.

 

OpenID Connect: Erweiterung der OAuth-Funktionen

OAuth konnte sich aufgrund der Vorteile dieses Protokolls als Standard für die Autorisierung von API-Zugriffen etablieren. Allerdings mussten die Anwender für das Login auf andere Dienste ausweichen. Die alternativen Möglichkeiten SAML und OpenID brachten jedoch – wie oben beschrieben – einige Nachteile mit sich. Aus diesen Gründen entstand OpenID Connect. Dieser Standard basiert auf OAuth. Er erweitert ihn jedoch um Authentifizierungs-Funktionen. OpenID Connect wurde 2014 veröffentlicht. Bereits kurze Zeit später implementierten viele bedeutende Unternehmen diese Methode – beispielsweise Microsoft, Google und die Deutsche Telekom. OpenID Connect eignet sich für webbasierte und mobile Clients. Damit lassen sich authentifizierte Sitzungen einrichten. Es bietet alle erforderlichen Funktionen für das Login und für Single Sign-Ons.

 

eIDAS – der rechtliche Rahmen für die digitale Identität

Für die Umsetzung der digitalen Identität ist es nicht nur erforderlich, die möglichen Protokolle für die technische Umsetzung zu beachten. Darüber hinaus spielen auch die rechtlichen Rahmenbedingungen eine wichtige Rolle. Insbesondere für die rechtssichere Identifizierung oder rechtsgültige Unterzeichnung eines Dokuments ist dies sehr wichtig. Dabei ist in erster Linie die EU-Verordnung eIDAS von Bedeutung. Diese Abkürzung steht für electronic IDentification, Authentication and trust Services. Die Verordnung enthält die rechtlichen Rahmenbedingungen für Dienstleistungen in diesem Bereich. Die folgenden Abschnitte stellen die wesentlichen Grundlagen dar.

 

Gegenseitige Anerkennung der Authentifizierung innerhalb der EU

Jedes EU-Land kann im Rahmen einer Notifizierung festlegen, welche elektronischen Identifizierungssysteme es anerkennt und welches Sicherheitsniveau diese aufweisen. Die übrigen EU-Staaten müssen diese dann – zumindest im öffentlichen Bereich – ebenfalls anerkennen. Die Haftung übernimmt jedoch stets der Staat, der die Notifizierung erstellt hat. Deutschland bietet in diesem Bereich beispielsweise den elektronischen Personalausweis sowie den elektronischen Aufenthaltstitel an.

 

EU-Vertrauenssiegel für qualifizierte Anbieter

In diesem Rahmen wurde auch ein EU-Vertrauenssiegel eingeführt. Anbieter, die die Anforderungen von eIDAS erfüllen, können den Qualifikationsstatus beantragen. Sobald dieser verliehen wurde, können die Dienstleister ihre Produkte mit dem EU-Vertrauenssiegel bewerben. Für die Überprüfung ist je nach Art der Dienstleistung entweder die Bundesnetzagentur oder das BSI verantwortlich.

 

Elektronische Signaturen: besondere Anforderungen an die Anbieter

Von besonders großer Bedeutung sind die rechtlichen Rahmenbedingungen bei der Verwendung elektronischer Signaturen. Diese sind im Vertrauensdienstgesetz festgehalten. Darin ist genau ausgeführt, in welcher Form eine elektronische Unterzeichnung von Verträgen, die die Schriftform erfordern, möglich ist. Dienstleister, die derartige Formen der digitalen Identität nutzen oder selbst anbieten wollen, sollten dieses Gesetz zusammen mit einem Anwalt genau studieren, um ein rechtskonformes System anzubieten.

 

Fazit: Rahmenbedingungen für digitale Identität sind bereits vorhanden

Die digitale Identität wird zwar bislang nur in geringem Umfang genutzt, die Rahmenbedingungen sind dafür jedoch schon vorhanden. OAuth in Verbindung mit OpenID Connect bietet hervorragende technische Möglichkeiten, um die entsprechende Authentifizierung sicher zu übermitteln. Und auch rechtlich existieren die Bedingungen für die digitale Identität bereits. Die EU hat zu diesem Zweck die Verordnung eIDAS verabschiedet, die alle notwendigen Regeln enthält.