Föderierte Identitäten und Single Sign-On – Wettbewerb der Systeme in Deutschland und Europa

Anbieterübergreifende Lösungen für digitale Identitäten sind einer der Schlüssel für den Ausbau digitaler Angebote. Die Vielfalt an unterschiedlichen Identifizierungsmitteln und -systemen ist für Verbraucher zunehmend ein Problem und ein Hindernis für die Nutzung neuer digitaler Dienste. Für die Anbieter können mit anbieterübergreifenden Lösungen erhebliche Kostenvorteile generiert werden, weil die teuren Prozesse der Erstregistrierung und die steigenden Anforderungen an die Datenschutz- und IT-Sicherheits-konforme Absicherung der Identitäten entfallen. Hinzu kommen Mehrwerte, die durch die anbieterübergreifende Möglichkeit der Zusammenführung von Kundendaten – im Rahmen des datenschutzrechtlich zulässigen – entstehen.

Wenig verwunderlich, dass die großen US-Plattformanbieter seit einigen Jahren das Feld des anbieterübergreifenden Identitätsmanagements besetzen. Facebook, Google, Twitter und LinkedIn bieten ihre ID als Lösung an, zunehmend ist auch die Amazon-ID als Identitätsmittel bei weiteren Anbietern im Einsatz. Die Nutzung dieser ID-Services ist allerdings unweigerlich damit verbunden, dass die großen Plattformen noch mehr gezielte Daten der Kunden bekommen: nicht nur die Nutzung der eigenen Plattformdienste, auch die Nutzung fremder Angebote können einzelnen Nutzern genau zugeordnet werden, wenn sie die jeweilige ID nutzen.

In Deutschland rüsten sich mittlerweile vier unterschiedliche Anbietergruppen, um eine von den US-Plattformen unabhängige Lösung für sogenannte föderierte Identitäten bzw. Single Sign-On anzubieten. Mit VERIMI geht ein Konsortium aus deutschen Großunternehmen an den Start, in Kürze eine in besonderem Maße Datenschutz-konforme, europäischem und deutschem Recht unterliegende Identitäts- und Zahlungsplattform aufzubauen. Mit beteiligten Unternehmen wie der Deutschen Bank, Lufthansa, Axel-Springer und der Deutschen Telekom sind Partner an Bord, die einen ganz erheblichen Kundenstamm aufweisen können, deren Identitäten sukzessive auf VERIMI-ID überführt werden könnten. Die Plattform will offen sein für beliebige Anbieter und in Kürze starten.

Unmittelbare Konkurrenz ist die Login-Allianz, ein Konsortium aus United Internet, Pro7 und RTL, die ähnliche Ziele verfolgen wie VERIMI und nach eigenen Aussagen auch mit Händlern wie Zalando kooperiert. Ein Marktstart ist noch nicht bekannt, offenbar soll der Dienst spätestens zum Inkrafttreten der ePrivacy-Verordnung verfügbar sein. Einen etwas anderen Ansatz als die beiden Plattformen verfolgt das kürzlich vorgestellte gemeinnützige Projekt ID4ME, das eine nutzerbestimmte Auswahl von Identitätsprovidern mit Hilfe von Domainnamen vorsieht. Getragen von der deutschen Registry Denic, dem Softwareprojekt Open-Xchange und dem Unternehmen 1&1 soll eine Nonprofit-Organisation in Brüssel für die Verbreitung von ID4ME werben. Ob es hier eine Zusammenführung mit der Login-Allianz geben wird – 1&1 ist Tochterunternehmen von United Internet – ist unklar.

Vierter großer Player in Deutschland ist der Staat. Auf Basis des neuen Online-Zugangsgesetzes soll ein Portalverbund von Bund, Ländern und Kommunen errichtet werden, über den Verwaltungsdienstleistungen aller staatlichen Stellen digital genutzt werden können. Teil des Portalverbundes soll, so das Gesetz, die Einrichtung von Nutzerkonten für die Bürgerinnen und Bürger sein, mit denen sie sich einheitlich gegenüber der deutschen Verwaltung identifizieren können. Dem Vernehmen nach baut der Staat hier eine eigene Lösung auf, eine Übernahme einer der oben genannten privaten Lösungen ist bislang nicht geplant.

Die Einrichtung föderierter Identitäten und eines Single Sign-On ist dabei zunächst einmal unabhängig von der Sicherheit des einzelnen Identifizierungsmittels. So haben sowohl VERIMI als auch der Portalverbund vor, den neuen Personalausweis einzubinden; bei jedem Identitätsprovider werden aber verschiedene Identifizierungsmittel möglich sein müssen, auch das schlichte Einloggen mit Benutzername und Kennwort.

 

Eine aktuelle Studie des Beratungsunternehmens Asquared hat in Europa 94 verschiedene anbieterübergreifende e-Identity-Lösungen in 30 Staaten identifiziert. Die deutsche Vielfalt und Konkurrenzsituation zeigt sich auch im europäischen Markt. Um im Wettbewerb mit den großen US-basierten Plattformen erfolgreich zu sein, muss die Zersplitterung überwunden werden. Es ist zu hoffen, dass sich Staat und private Anbieter zusammenraufen. Das klare Bekenntnis des Koalitionsvertrages von CDU/CSU und SPD vom 7. Februar 2018 lässt hoffen: Der Wille zur Förderung einer “sicheren, mobilen, digitalen Authentifizierung” sowie das Bekenntnis zur “Stärkung nationaler und europäischer Plattformen” stimmen optimistisch, dass die nächste Bundesregierung das Thema entschlossen angeht.

Digitalpolitischer Stillstand? Ergebnisse der Sondierung von CDU/CSU und SPD

In einem 24-seitigen Papier haben CDU/CSU und SPD am 12. Januar die Ergebnisse der Sondierungsverhandlungen zur Bildung einer neuen großen Koalition im Bund vorgestellt. Beide Seiten hatten aus den gescheiterten Jamaika-Verhandlungen gelernt und haben binnen einer Woche und weitgehend ohne öffentliche Begleitmusik ein sehr kondensiertes Regierungsprogramm vorgelegt. Darin hat auch die Digitalisierung ihren Platz: CDU/CSU und SPD wollen, so die Präambel “den digitalen Wandel .. für die Menschen positiv gestalten”. Sehr konkret werden die beiden Partner dabei nicht. Digitale Themen scheinen an vielen Stellen des Textes auf, verharren überwiegend aber bei der Definition allgemeiner Ziele.

Dies wird besonders deutlich bei gesellschaftspolitischen Kernfragen der Digitalisierung, die das Sondierungspapier jeweils nur antippt:

  • Im Bildungswesen soll eine stärkere Unterstützung der Länder durch den Bund bei Investitionen erfolgen, auch in Digitalisierung – was immer das heißt. Der vor der Wahl gescheiterte Digitalpakt zwischen Bund und Ländern findet keine Erwähnung.
  • Im Gesundheitswesen wird nur in allgemeiner Form auf die Notwendigkeit von Digitalisierungsinvestitionen in Krankenhäusern hingewiesen. Kernfragen der Gesundheitsdigitalisierung, die Zukunft der Telematikinfrastruktur oder die Öffnung für Big-Data-Anwendungen, adressiert das Papier nicht.
  • Die Digitalisierung des Arbeitsmarktes soll vor allem im Hinblick auf Clickworker (“Arbeit auf Abruf”) aufgegriffen werden, den Betroffenen “Planungs- und Einkommenssicherheit” verschafft. Wie? Das bleibt offen.
  • Die Digitalisierung im Bereich Mobilität wird vor allem auf das automatisierte Fahren bezogen, dies soll bei Infrastrukturinvestitionen berücksichtigt werden. Sonstige Rahmenbedingungen werden nicht erwähnt.

Konkreter Ankündigungen gibt es im Hinblick auf die Digitalisierung der Wirtschaft: Unternehmensinvestitionen in Digitalisierung sollen durch steuerliche Anreize gefördert werden, ebenso – lange umstritten – die Forschungsausgaben zumindest kleiner und mittlerer Unternehmen. Näheres wird sicherlich in dem noch auszuhandelnden Koalitionsvertrag vereinbart. Wirtschaftspolitisch erwartet worden war die Ankündigung, das Kartellrecht im Hinblick auf die Digitalisierung zu modernisieren. Eine spezielle Aussage zu möglicher Plattformregulierung findet sich nicht.

Naturgemäß greift das Sondierungspapier auch die Querschnittsfragen der Digitalisierung auf, zuvörderst die Infrastruktur. Die Koalition in-spe verabschiedet sich vom 50 Mbit/s-Ziel und strebt nun einen “flächendeckenden Ausbau von Gigabit-Netzen” bis 2025 an. Erlöse aus der Versteigerung von 5G-Frequenzen sollen dafür verwendet werden. Sie werden in einen Fonds eingebracht, der zweckgebunden zum Ausbau der digitalen Infrastruktur gedacht ist. Geschätzt wird ein öffentlicher Finanzierungsbedarf von 10-12 Mrd. Euro für diese Wahlperiode. Offenbar ist nicht daran gedacht, über die Versteigerungserlöse hinaus Mittel des Bundes bereitzustellen; auch die von den Jamaika-Partnern noch ins Auge gefasste weitere Privatisierung der Deutschen Telekom scheint damit vom Tisch.

Für das kurze Papier recht ausführlich sind die Aussagen zur Cybersicherheit, wenngleich nicht sehr konkret:

  • Sicherheitsstandards für “IT-Strukturen und kritische Infrastrukturen” sollen – möglich europaweit – geschaffen werden. Auf was sich das bezieht, wie es sich zu der vorhandenen KRITIS-Regulierung, dem europäischen Vorschlag zur Cybersicherheitszertifizierung und dem geplanten deutschen Gütesiegel verhält – hierzu gibt das Papier keine Hinweise.
  • Sicherheitsbehörden sollen im Internet gleichwertige Befugnisse wie außerhalb des Internets bekommen – eher ein Allgemeinplatz als eine Vereinbarung.
  • Die Zusammenarbeit von Bund und Ländern bei der Cyberabwehr soll ausgebaut und strukturell neu geordnet werden. An dieser Stelle scheint tatsächlich eine konkrete Maßnahme auf. Mit diesem Ziel im Rücken wird eine Neustrukturierung des Cyber-Abwehrzentrums unter Einbindung der Länder und eine Konsolidierung der recht unstrukturierten Landschaft von Bund-Länder-Cyber-Zusammenarbeit unumgänglich. Das wird auch Auswirkungen auf die Diskussion zwischen Polizeien, Nachrichtendiensten und IT-Sicherheitsbehörden über die Aufgabenverteilung bei der Cyber-Abwehr haben.
  • Die zwischen CDU/CSU und SPD eigentlich schon konsentierte Verschärfung der Haftung für IT-Sicherheitsmängel ist in dem Sondierungspapier nur im Kapitel Recht und dort nur sehr am Rande angedeutet. Rechtlicher Änderungsbedarf in Folge der Digitalisierung wird zumindest von den Rechtspolitikern auch bei “haftungsrechtlichen Fragen” gesehen.

Interessant ist, was fehlt: Der in der vorigen Regierung bereits konsentierte Vorschlag des Innenministers, eine Befugnis für aktive Cyberoperationen zu schaffen (“Hack-Back”) wird ebenso wenig aufgegriffen wie das in den Jamaika-Sondierungen geeinigte Thema des Umgangs des Staates mit Schwachstellen.

Aus den verschiedenen weiteren Ankündigungen zu digitalen Themen, etwa die Schaffung eines Bürgerportals, sticht ein Thema heraus: CDU/CSU und SPD wollen ein “öffentlich verantwortetes” Zentrum für Künstliche Intelligenz schaffen, gemeinsam mit Frankreich. Damit soll der Nukleus einer europäischen Initiative gebildet werden.

In der Zusammenschau vermag das Ergebnispapier der Sondierungsrunde digitalpolitisch nicht zu überzeugen. Die meisten Themen werden nur angetippt, gerade bei den großen gesellschaftspolitischen Umbrüchen durch die Digitalisierung – Arbeitsmarkt, Gesundheit, Bildung, Mobilität – sind keine Ideen der neuen “GroKo” zu erkennen. Netzpolitische Kernthemen wie Datenschutz oder die Verantwortung von Plattformen finden überhaupt keine Erwähnung. Das Papier bleibt vom Anspruch an eine moderne Digitalpolitik her weit zurück hinter Koalitionsverträgen der letzten Jahre in Ländern wie Baden-Württemberg oder Nordrhein-Westfalen.

Es ist zu hoffen, dass die nach der Billigung des Papiers durch die drei Parteien anstehenden Koalitionsverhandlungen einen “digitalen Push” für die neue “GroKo” bringen!

Zweites IT-Sicherheitsgesetz: Bundesregierung beschließt NIS-Umsetzungsgesetz

Mit der EU-Richtlinie über Netzwerk- und Informationssicherheit (kurz: NIS-Richtlinie) hatten Parlament und Rat im Sommer 2016 erstmals europäisches IT-Sicherheitsrecht verabschiedet. Die Mitgliedsstaaten haben nun die Pflicht, das europäische Recht bis Mai 2018 in das jeweilige nationale Recht umzusetzen. Deutschland hatte bereits im Sommer 2015 ein erstes IT-Sicherheitsgesetz verabschiedet, das die europäische Rechtssetzung schon ein Stück weit vorweggenommen hatte. Entsprechend gering ist der Umsetzungsbedarf im deutschen Recht. Continue reading

Cybersicherheit: China verstärkt den Druck auf die Unternehmen

Zum Jahresende 2016 hat die chinesische Regierung mit Maßnahmen zur Erhöhung der Cybersicherheit den Druck auf die Unternehmen erheblich verstärkt. Nach der Verabschiedung des Chinese Cybersecurity Law am 7. November 2016 legte die Cyberspace Administration of China (CAC) am 27. Dezember 2016 die neue chinesische Cybersicherheitsstrategie vor. Continue reading

Poor security: baby phones successfully attacking core internet infrastructure

On Friday, October 21, 2016, Major internet sites such as Amazon, Netflix, Spotify, and Airbnb were no longer available in the United States. One of the most serious downtimes of internet services ever was caused by a denial-of-service attack on the US provider Dyn. Dyn is providing traffic management services for internet providers. Dyn helps them to optimize and steer internet traffic. Therefore, Dyn services are regularly involved in the operations of major internet sites. The DDoS attack on Dyn was performed by a botnet consisting of devices infected with the “Mirai” malware. Unless the most know botnet malwares, Mirai’s bots are not computers, but so-called “internet of things” (IoT) devices. For instance, Mirai infects CCTV cameras, baby phones, satellite antenna receivers, network hard drives, routers, and wifi range extenders. All these devices are internet-connected devices controlled by a linux operating system, and: with very poor security. Continue reading

Wo ist mein Koffer 4.0

Der deutsche Kofferhersteller RIMOWA bietet sein Anfang 2016 Koffer mit integriertem “Electronic Tag” an. Bei diesen Modellen kann bei Flugreisen auf das Aufkleben des Gepäckaufklebers verzichtet werden. Der “Baggage Tag” genannte Aufkleber entfällt, sein Inhalt wird in dem Display des Electronic Tag angezeigt. Für die Flugreisenden soll dadurch das Einchecken weiter erleichtert, für die Airlines weniger personalintensiv ausgestaltet werden. Der Ablauf ist wie folgt: Beim elektronischen Einchecken in der App der Airline (derzeit nur bei Lufthansa) kann ausgewählt werden, wieviel Gepäck mitgeführt werden soll und dass die Kofferanhänger  elektronisch erbeten werden. Das Gepäck wird im Check-In-System registriert, die elektronischen Tags auf das Smartphone übertragen (derzeit nur für iPhone verfügbar). Dort muss sich eine spezielle RIMOWA-App befinden, die über Bluetooth den Gepäckaufkleber digital an den Koffer überträgt und dort unveränderlich speichert und anzeigt. Selbst Batterieversagen soll der e-Ink-Anzeige nichts anhaben können. Eine Veränderung des Tags durch Dritte, so der Hersteller, sei nicht möglich. Den Koffer mit dem elektronischen Tag kann man dann (im Idealfall) am Flughafen ohne Schlange-Stehen auf ein Band legen. Die Ausweitung auf weitere Smartphone-Betriebssysteme und der Einsatz bei weiteren Airlines seien geplant, so RIMOWA. Mit den neuen Koffern erreicht das Internet-of-Things die Gepäckabteile der Flugzeuge. Wohin ein Koffer transportiert wird, entscheidet sich nicht mehr anhand des papiernen Kofferanhängers, sondern durch die gespeicherten digitalen Daten. Die Anzeige des altmodischen Barcodes ist dabei sicherlich nur eine Übergangstechnologie, bis in späteren Schritten elektronisch sendende Tags in den Koffern das optische Lesen ganz ablösen. Continue reading

Das Ende rein mechanischer Schließsysteme?

Hackern haben im Netz ein 3D-Modell des “TSA Master Key” für Safe-Skies-Schlösser veröffentlicht. Jeder kann mit einem 3D-Drucker solche Generalschlüssel für Koffer und Reisetaschen anfertigen. Die zum US-Heimatschutzministerium gehörende Travel Security Agency (TSA) ist unter anderem für die Gepäckkontrolle bei Flugreisen zuständig. Für Gepäckschlösser der Hersteller “Travel Sentry” und “Safe Skies” gibt es eine sogenannte “TSA-Anerkennung”, weil der Behörde Generalschlüssel für diese Schlösser vorliegen. Mit solchen Schlössern gesicherte Gepäckstücke können durch die TSA durchsucht werden, ohne das Schloss zu beschädigen. Die meisten großen Hersteller von Reisegepäck verwenden solche “TSA-Schlösser”. Nachdem bereits ein 3D-Modell eines Generalschlüssels für Schlösser von Travel Sentry veröffentlicht wurde, liegt nun auch ein Modell für den Generalschlüssel von Safe Skies vor. Die am weitesten verbreiteten Gepäckschlösser können damit nicht mehr nur von Sicherheitsbehörden, sondern von jedermann geöffnet werden. Continue reading

Neues europäisches Recht verlangt Sanktionen für IT-Sicherheitsmängel

Die Europäische Union hat ihre erste allgemeine Richtlinie zur IT-Sicherheit verabschiedet. Mit der Veröffentlichung der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie) im Amtsblatt der Europäischen Union am 19. Juli 2016 (L 194/1) ist der über dreijährige Gesetzgebungsprozess zum Abschluss gekommen. Die EU-Kommission hatte im Februar 2013 einen Vorschlag vorgelegt, die IT- und Cybersicherheit auf europäischer Ebene rechtlich zu regeln. Im Ergebnis der Verhandlungen zwischen Parlament, Rat und Kommission ist eine sehr weitgehende Richtlinie entstanden, die am 8. August 2016 in Kraft tritt. Die Richtlinie sieht Maßnahmen zur Verbesserung der IT- und Cybersicherheit auf drei verschiedenen Ebenen vor. Continue reading

EU investiert 450 Millionen Euro zusätzlich in Forschung und Entwicklung für Cybersicherheit

EU-Kommissar Günther Oettinger hat am 5. Juli 2016 die europäische Public-Private-Partnership für Cybersicherheit gegründet. Partner der EU-Kommission ist die neu gegründete Europäische Cyber Security Organisation (ECSO), ein Zusammenschluss von europäischen Unternehmen. Ziel der PPP ist die enge Zusammenarbeit zwischen den verschiedenen Akteuren der Cybersicherheit, Anwender- und IT-Unternehmen, Staat und Wissenschaft, um die Forschungs- und Entwicklungsagenda Europas auf diesem Feld gemeinsam zu erarbeiten und umzusetzen. Im Rahmen der Aktivitäten der neu gegründeten PPP stellt die EU-Kommission zusätzliche Finanzmittel in Höhe von 450 Mill. Euro unter den Bedingungen des Horizon 2020-Programms zur Verfügung. Sie verspricht sich durch die PPP eine Hebung um den dreifachen Betrag aus der Privatwirtschaft. Die ECSO und die von ihr gemanagte PPP wird zukünftig erster Ansprechpartner für europäische Förderung im Bereich Cybersicherheit sein. Continue reading

Report on Chinese threat actor group “Mofang” emphasizes the human factor in cybersecurity

Fox-IT, a Netherland-based security company, has recently issued a report on the Mofang group – said to be a closed group with very specific, seldom-used attack tools. Thus far, diverse Mofang attacks have not been observed simultaneously. The first Mofang attacks occurred in 2012, targeting  different government institutions in the USA, Singapore, and Myanmar. These attacks also targeted security-related organizations and companies in Canada, Korea, and India. Two German companies were also attacked, with recent newspaper reports naming Rheinmetall as one of the German victims. Since early 2015, however, organizations in Myanmar have been the only victims. Continue reading