Identity-Management

Wem gehören Ihre Logins?

Wer kennt das nicht: viele Plattformen bieten alternativ zum Anlegen eines Benutzerkontos den augenscheinlich bequemeren Weg an, sich mit einem bestehenden Account einzuloggen. Typischerweise sind das Logins über Facebook oder Google, aber es gibt noch einige Hände voll anderer Möglichkeiten. Die Wenigsten stellen sich dabei die Frage, was da eigentlich mit ihren personenbezogenen Daten passiert - oder wem diese Login-Daten überhaupt gehören.

Wüssten Sie, wie viele Ihrer Konten fürs Online-Shopping betroffen wären, wenn Sie das nächste Mal lesen, dass es einen Datenschutzskandal bei einer dieser Plattformen gab?

Ihre Konten unter Ihrer Kontrolle

Die gute Nachricht: es gibt Alternativen, bei denen im Vordergrund steht, dass Sie Ihre Daten unter Ihrer eigenen Kontrolle haben - und, wichtig: dass diese Daten Ihnen gehören. Bislang gabe es aber noch keinen offenen weltweiten Standard für einen Login im Internet, während die Komplexität des Angebots im Web ständig zunimmt. Laut ID4me (s. u.) hat "ein Nutzer im Durchschnitt mindestens 200 verschiedene Logins".

Dabei gibt es aber durchaus sehr unterschiedliche Anforderungen. Die einen erzwingen ein "sicheres Passwort mit mindestens 12 Zeichen, Klein- und Großbuchstaben, Sonderzeichen und Ziffern", während andere (schändlicherweise) noch Passwörter wie "hallo" oder "123" erlauben. Auch wird immer wieder empfohlen, nicht für alle Plattformen dasselbe Passwort zu verwenden, aber auch keine Passwortlisten (unverschlüsselt) auf dem eigenen Rechner zu speichern. Damit sind viele überfordert.

Willkommen im Garten, ID4me

Wir freuen uns darum sehr, dass die gemeinnützige Organisation ID4me AISBL Mitglied im CMS Garden geworden ist. 2018 in Brüssel gegründet, verfolgt die Organisation mit vielen namhaften Mitgliedern das Ziel, einen offenen und föderierten Standard für international verfügbare Single-Sign-Ons und Identitätenmanagement bereit zu stellen: die Basis für eine digitale Identität mit voller Datenkontrolle bei den Anwender*innen.

Das ID4me-Protokoll ist eine datenschutzfreundliche Alternative zu bestehenden Login-Angeboten. Es entspricht den aktuellen Sicherheits- und Datenschutzstandards der Europäischen Union und der Bundesrepublik Deutschland. Die Nutzer*innen behalten hierbei stets die volle Kontrolle über ihre Daten, d.h.  es bleibt den ihnen überlassen, bei welchem Anbieter ihre Daten gespeichert sind und welche Daten sie bei einem Login weitergeben möchten.

Darüber hinaus gibt es die Möglichkeit, auf dieses offene Protokoll jede Art von Verifizierungsservices aufzusetzen, z. B. um einen Person zu legitimieren.

So funktioniert das

Anne hat die Faxen dicke und will jetzt so einen ID4me-Account anlegen, mit dem sie sich in Zukunft bei immer mehr Anbietern/Plattformen registrieren kann. Wenn sie ihre Mailadresse oder ihr Passwort ändern will, kann sie das an genau einer Stelle machen. Und sie ist nicht abhängig davon, ob sich das Geschäftsmodell ihres Providers ändert - sie könnte dann einfach ihren Account zu einem anderen Provider umziehen, dank des offenen Standards.

1. Anne registriert sich mit ihrer Domain oder E-Mail-Adresse bei ihrem Internetprovider.
2. Sie setzt ein sicheres Passwort. Vielleicht entscheidet sie sich auch gleich für eine 2-Faktor-Authentifizierung.
3. Dann trägt sie ihre Daten ein. Dazu könnte sich aber beispielsweise auch Daten von Drittanbietern übernehmen, wie z. B. von der "Ausweis-App".
4. Schon fertig. Anne kann ihre digitale Identität ab sofort überall benutzen, wo ein ID4me-kompatibler Login angeboten wird.

Warum das ID4me-Protokoll vertrauenswürdig ist

ID4me ist entstanden mit den Interessen der Nutzer*innen im Mittelpunkt. Im Kontrast zu anderen Initiativen, bei der die Bewerbung und/oder die Nutzung der Nutzerdaten für eigene Interessen im Vordergrund steht. Die Organisation zählt folgende Vorteile auf:

1. Die Daten im ID4me-Konto sind individuell verschlüsselt und können jeweils nur vom Endnutzer eingesehen werden.
2. Der Endnutzer alleine entscheidet darüber, wer seine Daten bekommt. Die Daten aus dem ID4me-Konto können zu einzelnen Partnern übertragen und dort genutzt werden. Welche Daten geteilt werden, entscheidet nur der Endnutzer.
3. ID4me AISBL ist eine Non-Profit-Organisation die einen Standard pflegt und weiterentwickelt. Da sie kein Produkt vertreibt gibt es auch keine Veranlassung, mit den Daten der Endnutzer Geld zu verdienen. Die Mitglieder der Organisation stehen für ein offenes Internet, das einen Zusammenschluss von Identitätsanbietern aufbaut und unterstützt und sich zu einem offenen, transparenten und verbindlichen Richtlinienrahmen rund um den ID4me-Standard verpflichtet.
4. Die Endnutzer wählen ihren Anbieter – den sogenannten Identity Agent – und können diesen jederzeit wechseln. Die Portabilität der digitalen ID4me-Identität ist ein entscheidendes Alleinstellungsmerkmal. Portabilität bedeutet in dem Fall, der Nutzer kann seinen ID4me-Account von Anbieter A zu Anbieter B umziehen – vergleichbar dem Umzug einer Domain. Das bedeutet für den Endnutzer zusätzliche Sicherheit und Flexibilität, da die Daten nicht bei einem Anbieter gespeichert werden, sondern bei dem Anbieter der Wahl des Nutzers und somit dezentral.
5. ID4me bietet die Möglichkeit, das Konto zusätzlich abzusichern. Weiteren Schutz für das Konto bietet ein zusätzliches Sicherheitsmerkmal durch die optionale Zwei-Faktor-Authentifizierung.
6. ID4me ist in Zertifizierung durch OpenID Connect.
7. Ein unabhängiger PEN-Test von Hackmanit hat bestätigt, dass die ID4me-Systeme belastbar sind. ID4me entwickelt die Sicherheitsmechanismen ständig weiter. Alle Spezifikationen werden als offener, lizenzfreier Standard freigegeben.
8. ID4me tritt nicht in Wettbewerb zu anderen OpenID-Connect-Providern. Im Gegenteil, jeder dieser Anbieter sollte mit wenig Aufwand über ID4me „delegierbar“ sein, d. h. jeder Anbieter kann auf ID4me aufsetzen.

Weiterlesen

• ID4me-Website (Informationen für Nutzer*innen)
• Wikipedia-Artikel zum Thema (Abschnitt "Identitätsmanagement im World Wide Web")