Re:claimID: Fraunhofer bietet Login-Dienst auf Open-Source-Basis an

Inhaltsverzeichnis

Die Palette der deutschen Anbieter von Login-Diensten, die eine Art Generalschlüssel für viele Webservices liefern wollen, wächst weiter. Nun hat das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) Re:claimID in Betrieb genommen. Der Dienst fürs Identitätsmanagement ist dezentral angelegt und wirbt mit Datensparsamkeit. Das Einloggen auf diversen Seiten soll also erleichtert werden, ohne auf Facebook oder Google als zentrale ID-Dienste angewiesen zu sein.

Re:claimID ermöglicht es Nutzern laut dem AISEC, "anderen Parteien einzelne Identitätsattribute sicher und selbstbestimmt zur Verfügung zu stellen". Die Open-Source-Software unter der GNU Affero General Public License verwaltet Identitäten in dem Peer-to-Peer-Verzeichnis GNU Name System (GNS). Dort kann der Nutzer für seine Online-ID einzelne Attribute wie E-Mail-Adresse oder Name ablegen. Die Daten werden dabei mit "Attribute-Based Encryption" (ABE) verschlüsselt, einer vergleichsweise jungen und als recht flexibel geltenden kryptografischen Methode.

Informationelle Selbstbestimmung

Auf Anfrage kann der Anwender einen Diensteanbieter autorisieren, indem er ihm für den beabsichtigten Zweck einen spezifischen Schlüssel ausstellt. Der Nutzer kann diesen Zugriff jederzeit widerrufen oder einschränken. Damit solle die informationelle Selbstbestimmung der Nutzer gestärkt werden, betont Martin Schanzenbach, der das Forschungsprojekt am AISEC leitet. Auch würden dank der dezentralen Architektur Angriffe auf die erfassten personenbezogenen Daten "deutlich erschwert".

Das Angebot der digitalen Dienste wächst, mit über die Nutzer im Netz einkaufen, Musik hören, Videos sehen oder das "smarte" Heim steuern. Meist muss sich der Nutzer dafür anmelden. Immer mehr Diensteanbieter bieten dabei eine "Abkürzung" über Plattformen an, bei denen die User bereits registriert sind ("Single Sign-on"). So müssen diese nicht immer neue Accounts mit dazugehörigen Passwörtern erstellen. Unternehmen ersparen es sich zugleich, die erforderlichen Kundendaten selbst zu erheben, bekommen aber trotzdem Zusatzinformationen aus den Nutzerprofilen.

Die gängigen zentralen Identitätsprovider sind Facebook und Google. Dortige Konten sind an sich aber bereits beliebte Ziele für Hackerattacken, wie nicht zuletzt das Massen-Doxxing eines 20-jährigen Schülers jüngst wieder zeigte. Werden die Accounts von den Unternehmen für weitere Dienste genutzt, entsteht ein Dominoeffekt, der den Schaden vergrößern kann. Außerdem stellen Identitätsprovider ihre Authentifizierungsservices nicht ohne Grund kostenlos zur Verfügung: Jeder Login auf einer angeschlossenen Webseite erzeugt zusätzliche sensible Daten über den Nutzer, die zu personenbezogenen Profilen verdichtet werden können und präzise Rückschlüsse über persönliche Präferenzen und Aktivitäten zulassen.

"Demokratisch nicht legitimierten Identitätshüter"

Julian Schütte, Leiter der Abteilung für Anwendungssicherheit am AISEC, sieht zentrale ID-Anbieter auch angesichts der voranschreitenden "Datenkonzentration" zunehmend in einer Rolle, die den hoheitlichen Aufgaben einer Meldebehörde gleichkomme. Staatliche Stellen bezögen etwa bereits Facebook-Konten bei der Entscheidung über Visa-Vergaben mit ein. Schütte moniert: "Die Plattformen werden so zu demokratisch nicht legitimierten Identitätshütern."

Im vergangenen Jahr brachten sich aus der Medien- und Internetwirtschaft hierzulande bereits die Login-Allianzen NetID und Verimi als Alternativen für das US-Duopol ins Spiel. Die beiden Konsortien versprechen ebenfalls, Datenschutz und Bequemlichkeit miteinander zu verbinden und verweisen auf Partner wie United Internet, ProSieben oder RTL beziehungsweise Deutsche Telekom, die Deutsche Bahn und Axel Springer. Diese hiesigen Anbieter hätten sich bislang aber nicht wirklich etablieren können, heißt es beim AISEC, das mit dem dezentralen Open-Source-Ansatz nun punkten will.

Im Sinne der DSGVO

Der Vorteil von Re:claimID für Diensteanbieter liegt dem Fraunhofer-Institut zufolge darin, dass Kundendaten im Sinne der Datenschutz-Grundverordnung (DSGVO) bedarfsgerecht und mit Einwilligung erhoben und genutzt werden. Die Lösung könne über den etablierten Standard OpenID Connect einfach in Webseiten integriert werden. Als Authentifizierungsdienst fürs WWW sei Re:claimID "ab sofort" einsetzbar. An einer möglichen Nutzung des Dienstes für Anwendungen im Internet der Dinge ohne zentrale Cloud-Dienstleister werde noch weiter geforscht.

Vor knapp einem Jahr wollten aber auch schon die Denic, 1&1 und Open-Xchange mit id4me ein alternatives Single-Sign-On-Verfahren etablieren, bei dem die Nutzer volle Kontrolle über die Weitergabe ihrer Daten haben. Von diesem Open-Source-Projekt war seitdem nicht mehr viel zu hören. Über das AISEC wurde zuletzt berichtet im Zusammenhang mit der Krankenkassen-App Vivy, in der ein Sicherheitsunternehmen gravierende Sicherheitsmängel entdeckt hatte. Das AISEC betont, lediglich bei der Beschreibung eines späteren Sicherheitskonzeptes geholfen zu haben. Das Institut legt Wert darauf, in diesem Rahmen die Angemessenheit der entwickelten Konzepte weder analysiert noch bewertet zu haben.. (anw)