Sichere Digitale Identitäten

Sach- und Prozessbeschreibung

Der zu untersuchende Sachverhalt ist die Vergabe einer digitalen Identität DI (im Speziellen der „sicheren“) an eine Entität sowie das Nutzen und Managen derselben und ggf. das Auflösen und Archivieren. Nur mithilfe dieser Prozesse können Entitäten im digitalen Raum Interaktionssubjekt und -objekt sein.

Infografik: Lebenszyklus "Sicherer Digitaler Identitäten" nach ISO/IEC 29115
Lebenszyklus "Sicherer Digitaler Identitäten" nach ISO/IEC 29115
© DIN

Eine Entität ist dabei (nach DIN 4002-4) ein konkretes oder abstraktes Objekt einschließlich Assoziationen zwischen den Objekten (konkret: bspw. Maschine, Bauteil oder Person / abstrakt: bspw. Patent oder Website). Der „Lebenszyklus“ einer digitalen Identität (angelehnt an ISO/IEC 29115) bietet dabei eine mögliche Strukturierung der Betrachtung und Analyse.

Im Sinne verschiedener Sicherheitslevel werden natürlich auch unterschiedliche Anforderungen an Produkte gestellt, insbesondere, wenn sie als Komponenten in Wertschöpfungsketten und -netzwerken eingebunden werden. Das Erstellen/Entstehen und die Art und Weise, wie Identitäten dieser Komponenten gemanagt werden, ist dabei u.U. von der ursprünglichen Produktgestaltung determiniert. Anwender und Integratoren können hier für sie fehlende oder unpassende Eigenschaften ggf. nur bedingt oder gar nicht auffangen. Somit ist auch die Produktentwicklung (zunächst aus der generischen Sicht), im Sinne eines „Security by Design“ auf Sichere Digitale Identitäten bezogen, zu beleuchten.

Infografik: Generische Anforderungen an ein Produkt für die Umsetzung Sicherer Digitale Identitäten

Insbesondere bei der Sicherheit von digitalen Identitäten wird zudem das jeweilige Netzwerk (sowohl das jeweilige, in dem sie geschaffen und das, in dem sie genutzt wird) in der Betrachtung eine wesentliche Rolle einnehmen. In verhältnismäßig abgeschlossenen Systemen vermag die Identitätsvergabe-, -sicherung und -management proprietär gestaltet werden und in Teilen auch unterschiedliche Standards / Herangehensweisen in den Komponenten ausgleichen und absichern können. Dies gilt für Systemkomplexe, die wiederum einzelne Produkte darstellen können, wie aber auch für große Organisationen und Konzerne. Nun ist aber die automatische Interaktion zwischen diesen ein zentrales Element der jetzigen Strömungen der Digitalisierung. Themen wie Internet of Things, Smart Cities, Connected Cars und insbesondere die system- und domänenübergreifenden Inter-aktion der Industrie 4.0 sind davon betroffen. Wenn also die verschiedenen Domänen (Unternehmen, Produkte, Programme, Systemkomplexe, Betriebssysteme aber auch Anbieter und Branchen) die Identitätsvergabe-, -sicherung und -management unterschiedlich gestalten, gilt den Herausforderungen, Lösungen und Handlungsbedarfen hinsichtlich der Schaffung von Interoperabilität, Vertrauen und Sicherheit der zentrale Fokus der Untersuchung.

Infografik: Interoperabilität, Vertrauen & Sicherheit im Umgang mit Sicheren Digitalen Identitäten

Ihr Ansprechpartner

DIN e. V.
Herr

Benjamin Helfritz

Saatwinkler Damm 42/43
13627 Berlin

Ansprechpartner kontaktieren  

Stufen von digitalen Identitäten

Schild eines T-Shirts mit dem Auftrag "Remove before washing" © istockphoto/servopuff

Angelehnt an ISO/IEC 24760-1 kann die digitale Identität (DI) eine Klasse identifizieren (bspw. ein RFID-Tag auf einem Kleidungsstück, welcher nur angibt, dass es sich um ein weißes T-Shirt der Marke X und Größe Y handelt), sie kann eindeutig sein (auf dem RFID-Tag wäre dann hinterlegt, dass es sich hierbei um das T-Shirt mit der Produktionsnummer Z handelt) und sie kann in unterschiedlicher Weise sicher (SDI) bzw. gesichert sein (bspw. durch den Einsatz kryptografischer Prozesse, um Fälschungsresistenz und Authentifizierbarkeit zu gewährleisten / bei physisch existenten Entitäten wäre ein solcher Chip dann bspw. untrennbar mit dem Objekt zu verschweißen o.ä., um Offline-Manipulationen zu begegnen). „Sichere“ digitale Identitäten werden daher von diversen Stakeholdern in verschiedene Sicherheitslevel unterschieden (bspw. durch das unterschiedliche Zustandekommen von Zertifikaten, den Einsatz von Hardwaremaßnahmen zur Ergänzung von Softwaremaßnahmen, der Berücksichtigung der Systemintegrität in dem sich die Sichere Digitale Identität befindet usw.).