Wir kündigen Neo an – die Lösung von Ping für Dezentrale Identität

Die Vorsilbe Neo bedeutet „eine neuartige oder variierte Form von etwas, das in der Vergangenheit existiert hat.“, weshalb Neo so gesehen eine Neudefinition des bestehenden zentralisierten IAM-Systems ist. Bei den bekannten zentralen IAM-Systemen werden die personenbezogenen Daten aufbewahrt und von einer einzigen Entität verwaltet. Bei der dezentralen Identität hingegen werden die Identitätsdaten vom Eigentümer selbst sicher gespeichert und kontrolliert.

Dieses Konzept für das Identitätsmanagement ermöglicht es den Nutzern, die Auskünfte über ihre Identität zu steuern. Mit diesem gelegentlich auch als „Identität am Rand des Netzwerks“ oder selbstverwaltete Identität bezeichneten Ansatz brauchen die Nutzer nicht mehr personenbezogene Daten angeben, als für den Zugriff auf einen Dienst erforderlich sind. Sollte man wirklich seinen Führerschein aushändigen müssen, in dem auch die Heimatadresse eingetragen ist, nur um sein Alter nachzuweisen? In der Praxis bedeutet dies, dass Sie als Altersnachweis nicht länger Ihren Führerschein vorzeigen brauchen, der wesentlich mehr Angaben enthält als nur Ihr Geburtsdatum.

Organisationen stellen den Nutzern einen verifizierbaren digitalen Nachweis aus, der in einer digitalen Brieftasche gespeichert wird. Wenn die Nutzer einem Unternehmen ihre digitalen Nachweise vorlegen, kann dieses die Angaben sofort verifizieren und dessen Herkunft bestätigen, ohne den Aussteller kontaktieren zu müssen.  Ein digitaler Berechtigungsnachweis repräsentiert oder beinhaltet alle Anforderungen (Claims), die der Aussteller überprüft oder selbst eingeführt hat. Zu diesen Claims gehören in der Regel eines oder mehrere Attribute, die folgende Auskünfte liefern:

• Identifizierung: Biografische Informationen, Foto, PIN-Code usw.
• Qualifikation: Berechtigungen, Genehmigungen, Privilegien, Rollen usw.
• Zugehörigkeit: Angestellten- oder Auftragnehmerstatus, Mitgliedschaft oder Kunden-/Kontenstatus, Zweck usw.
• Sonstige erweiterte Attribute: Hierzu zählen z. B. Regeln darüber, wie, wann und wo ein Berechtigungsnachweis eingesetzt werden kann, Konten- oder Vertragsinformationen bzw. Saldo, Kreditwürdigkeit usw.

Im Folgenden sind beispielhaft einige Anforderungen für einen möglichen Einsatz aufgeführt:

• Erwerb: Besitzurkunde, Fahrzeugbrief, Sport- und Konzertkarten, Versicherungen.
• Mitgliedschaft: Staatsangehörigkeit, Beschäftigung, Verband/Verein, Wohnsitz, Abonnement.
• Leistungen: Zeugnisse, Berufsbescheinigungen, Titel und Auszeichnungen.

Laut dem Investigations Report (DBIR) von Verizon des Jahres 2022 sind mehr als 80 % der Datenschutzverletzungen auf menschliches Handeln zurückzuführen, einschließlich sozialer Angriffe und der Kompromittierung von Zugangsdaten. Bei der dezentralen Identität werden vor jeder Ausstellung eines kryptografisch signierten Ausweises leistungsstarke Methoden zur Identitätsüberprüfung angewendet, um auf diese Weise zu gewährleisten, dass die personenbezogenen Daten sicher sind und nicht ohne die Zustimmung des Eigentümers geändert werden. Die Speicherung der Daten erfolgt beim Eigentümer, vorwiegend auf seinem Mobilgerät, und dort in einer digitalen Brieftasche (Wallet).

Im Vergleich zu den bisher gängigen Konzepten, die auf umfangreiche Backend-Integrationen und unternehmensübergreifende Föderationen setzen, unterstützt die dezentrale Identität eine moderne, skalierbare Architektur, die Identität und Zugriff mobiler gestaltet und gleichzeitig mehr Komfort, Sicherheit und Datenschutz bietet. Drei wichtige Pluspunkte: 

1. Die Dezentralisierung der Daten. Die Berechtigungsnachweise werden auf dem mobilen Gerät des Benutzers gespeichert, so dass die Entscheidungen, die Einwilligungen und die Kontrolle in den Händen des Nutzers bleiben. Die Nutzer haben die Freiheit, weitere und neue Dienste zu nutzen und sind gleichzeitig vor unnötigem Tracking, Datenmissbrauch und möglichen Datenschutzverletzungen geschützt. Zudem sinkt das Risiko für Serviceprovider, die keine veralteten Kopien der personenbezogenen Nutzerdaten mehr hinterlegen müssen.

    

2. Die Ausstellung von digitalen Berechtigungsnachweisen ist nicht auf Anforderungen beschränkt, die sich aus bestimmten Dokumenten ergeben. Ebenso wenig basiert sie auf einer begrenzten Auswahl an Identitätsnachweisen, wie beispielsweise Personalausweisen oder Impfpässen. Digitale Berechtigungsnachweise können generell für alle Arten von Anforderungen ausgegeben werden, die von behördlicher Seite verifizierbar sind oder gewährt werden. Dies kann jede Aussage, jedes Attribut oder jeden Aspekt der Identität, Berechtigungen, Zugehörigkeiten oder Zwecke eines Nutzers betreffen.

    

3. Reibung beseitigen. Sobald ein Nutzer seine Identität verifiziert hat, kann ein digitaler Nachweise ausgestellt werden, so dass er dies in Zukunft nicht wiederholen muss. Da die Berechtigungsnachweise unter Verwendung von Branchenstandards ausgestellt werden, können sie auch an andere Entitäten als die ausstellende Instanz weitergereicht werden.

Darüber hinaus erhalten die Nutzer mehr Kontrolle über ihre personenbezogenen Daten. Anstatt sich von einem Dritten vorschreiben zu lassen, wie persönliche Daten verwendet und weitergegeben werden, ermöglicht die dezentrale Identität dem Einzelnen, seine eigenen Daten zu verwalten und zu kontrollieren. Dies beinhaltet auch die Entscheidungsgewalt darüber, welche Informationen an wen weitergegeben und wie sie verwendet werden. Die Frage: „Woher hat diese Person meine Daten?“ hat sich damit erübrigt.

Heute präsentieren wir Ihnen Neo, die Lösung von Ping für das Management der dezentralen Identität. Neo besteht aus zwei Teilen: Verifizierung und Berechtigungsnachweise.

Verifizierung: Neo wendet viele Arten der Überprüfung an:

• Verifizierung digitaler Nachweise: Grundlegend für die Nutzung verifizierbarer digitaler Nachweise. Wenn ein Nutzer einen verifizierbaren digitalen Nachweis vorlegt, muss seine Richtigkeit vom ursprünglichen Anforderer (z. B. dem Serviceprovider) durch das Überprüfen der kryptografischen Signatur verifiziert werden.

   

• Authentifizierung physischer Berechtigungsnachweise: Amtliche Ausweise auf ihre Echtheit überprüfen; umfasst Pässe und Personalausweise; optionaler Abgleich der aus diesen Ausweisen entnommenen Angaben mit den Daten eines Informationsspeichersystems.

   

• Verifizieren des Besitzes von Telefon und E-Mail-Adresse: Versenden eines Einmalpasscodes an die E-Mail-Adresse oder per SMS an das Telefon der Person; eng mit dem Verifizierungsvorgang verbunden.

   

• Fehlertoleranter Biographie-Abgleich: Vergleichen der verifizierten biografischen Daten des übermittelten Personalausweises mit den vom Nutzer angegebenen oder in einer Datei hinterlegten biografischen Daten.

   

• Selfie-Check: Überprüfen der Lebendigkeit.

Zentrale Funktionen von PingOne Credentials:

• Automatisierte Ausstellung: Erstellen von Vorlagen für digitale Nachweise, von Identitätsattributen und Zuordnung von Nutzern oder Bevölkerungsgruppen zu einer Nachweis-Vorlage. Die Ausstellung des digitalen Credentials erfolgt automatisch, sobald ein Nutzer einer passenden Gruppe hinzugefügt wird.

   

• Zentralisiertes Lebenszyklus-Management: Verwalten des gesamten Lebenszyklus der Berechtigungsnachweise über eine einzige Konsole, von der Definition bis zum Widerruf. Zurückziehen von Berechtigungsnachweisen, entweder bedarfsgerecht oder automatisch mit Ablaufdatum (in Kürze verfügbar).

   

• Einwilligungen und Datenschutz: Der Inhaber des digitalen Nachweises muss zustimmen, bevor dieser weitergereicht werden darf, und zwar unabhängig davon, ob der gesamte Nachweis oder nur ein Teil der Informationen weitergegeben wird. Dies wird als selektive Einwilligung bezeichnet.

Die positive Nachricht ist, dass Kunden PingOne Credentials auch in ein hybrides, additives Konzept einbinden können. Vorhandene Anwendungen und Infrastrukturen bleiben unberührt. Die Zahl der Szenarien und Anwendungen ist unbegrenzt.

Anfrage: In der Regel weisen sich die Nutzer zunächst bei der ausstellenden Organisation mit einer oder mehreren Methoden aus, so z. B. durch das Verifizieren eines amtlichen Ausweisdokuments [mit PingOne Verify] oder durch die Authentifizierung mit ihren Anmeldedaten. Die Organisationen teilen dem Nutzer dann per E-Mail mit, dass einer oder mehrere Berechtigungsnachweise für ihn bereitliegen.  Die Nutzer können diese Einladung dann annehmen, indem sie auf den Weblink in der E-Mail klicken und anschließend einen QR-Code scannen, um ihre Neo-Wallet mit dem Dienst zu verbinden.

Erstellen: Der Dienst verwendet die vorkonfigurierte Vorlage für den digitalen Nachweis, um die Attribute festzulegen, die in den Nachweis aufgenommen werden sollen, und entnimmt sie PingOne Directory mit seiner Funktion zur Synchronisation mit externen Verzeichnissen und Datenbanken. PingOne Credential packt den Berechtigungsnachweis gemäß dem in der Vorlage angegebenen Typ und unter Verwendung von Standards zusammen.

Speichern: Als Nächstes stellt der Dienst automatisch die Nachweise bereit, die dem Nutzer zustehen. Zu diesem Zweck sendet er eine Push-Benachrichtigung an seine Neo-Wallet und eine E-Mail mit einer Service-Mitteilung an den Nutzer. Der Nutzer kann dann für jeden Berechtigungsnachweis einzeln entscheiden, ob er ihn in sein Neo-Wallet aufnehmen oder ihn zurückweisen möchte.

Ein Hinweis zu digitalen Brieftaschen (Wallets): Obwohl sich die Open-Source-Wallets derzeit im Rahmen von Initiativen wie der OpenWallet Foundation noch in der Entwicklung befinden, sind wir doch von ihrer entscheidenden Bedeutung für die Unterstützung der Nutzer beim Betrieb verschiedener Anwendungen und Plattformen überzeugt. In Zukunft wird es ausschlaggebend sein, Berechtigungsnachweise für jede beliebige digitale Brieftasche ausstellen zu können, die neue Protokolle (wie beispielsweise OpenID4VCI) verwendet, um den Nutzern eine Auswahl zu bieten und kommende Vorschriften einhalten zu können, wie unter anderem die EU-Initiative für digitale Brieftaschen.

Vorlegen: Die Nutzer können nun bei Bedarf ihre verifizierbaren digitalen Nachweise präsentieren. Sie können die Daten weitergeben, die für die jeweilige Interaktion unerlässlich sind. Die Vorlage eines überprüfbaren Nachweises kann online oder persönlich erfolgen, sofern eine Internetverbindung zur Verfügung steht. Künftig werden Proximity-basierte Kommunikationstechnologien wie NFC und BLE für Szenarien mit geringer oder ohne Kommunikation zwischen Personen unterstützt (hierfür wird die ISO 18013-7 ausgearbeitet).

Wir wollen nun auf einige der praktischen Anwendungen der dezentralen Identität und der verifizierbaren digitalen Nachweise eingehen. Im Folgenden finden Sie ein paar Beispiele:

• Finanzdienstleister: Sie können mit verifizierbaren digitalen Nachweisen den Betrug beim Einlösen von Schecks eindämmen, indem sie einmalig leistungsstarke Mechanismen zur Überprüfung der Identität einsetzen und für zukünftige Gelegenheiten einen verifizierbaren Nachweis ausstellen. Banken können auch ihren Geschäftspartnern anbieten, ebendiese Nachweise für eine starke Identifizierung und den Zugriff auf Partnerdienste zu nutzen.

   

• Staatliche Leistungen: Verifizierbare digitale Nachweise könnten viele der in Papierform ausgestellten Dokumente ersetzen, wie unter anderem Geburtsurkunden, Angelscheine, Liegenschaftsurkunden und natürlich Führerscheine. Verifizierbare digitale Nachweise lassen sich als Mittel zur Absicherung von Wahlsystemen einsetzen und sorgen dafür, dass nur Wahlberechtigte ihre Stimme abgeben können.

   

• Einzelhandel und eCommerce: Hier wäre es möglich, mithilfe von verifizierbaren digitalen Nachweisen das Alter der Kunden zu überprüfen, z. B. beim Kauf von Produkten mit Altersbeschränkung wie Alkohol und Tabak, und auch im Rahmen von Treueprogrammen, um beispielsweise den Zugang zu Dienstleistungen und Vorteilen von Geschäftspartnern zu gewähren.

Dies sind nur einige Beispiele für die zahlreichen Einsatzbereiche der verifizierbaren digitalen Nachweise. In unseren Gesprächen mit Unternehmen erkennen wir die schier grenzenlosen Anwendungsmöglichkeiten und, was noch wichtiger ist, ihr Potenzial zur Lösung von Problemen, die mit den derzeitigen Technologien schwer oder gar nicht zu bewältigen sind.

Die zunehmende Mobilität der Benutzer und ihr Einfordern personalisierter, einheitlicher Zugangserlebnisse über alle Kanäle hat das föderierte IAM an seine Grenzen gebracht. Unternehmen können nicht umhin, stärker zusammenzuarbeiten, wenn sie wettbewerbsfähig bleiben wollen. Unterdessen stehen sie vor der Aufgabe, für ihre Benutzer kostengünstig und sicher Vertrauens- und Wertegemeinschaften aufzubauen, was ihnen mit den existierenden föderativen IAM-Lösungen nicht gelingen wird. Kunden, die für das neue Paradigma der dezentralen Identität offen sind, können durch die Implementierung von PingOne Neo bereits vorhandene Online-Erlebnisse optimieren. Sie können diese Chance nutzen, um neue, wertschöpfende Benutzererfahrungen zu schaffen und so ein höheres Maß an Bindung und Zusammenarbeit mit ihren Geschäftspartnern erreichen. All dies ist möglich, ohne die bestehende Infrastruktur zu ersetzen. PingOne Neo ist so konzipiert, dass es sich in das Ökosystem von Ping einfügt. Es lässt sich daher in bereits bestehende Anwendungen und Systeme integrieren, um die Funktionalität und die Reichweite der Nutzer zu optimieren.

Gleichzeitig bietet PingOne Neo auch Unterstützung für neuartige Szenarien und Anwendungen an, die innerhalb einer leichten, kostengünstigeren Infrastruktur mit mehr Sicherheit und besserem Datenschutz entwickelt werden.

Wir freuen uns sehr über PingOne Neo, da es die aktuellen Probleme auf praktische Weise lösen kann und mit IAM-Systemen harmoniert, die bestehende Federation-Plattformen verbessern. So gesehen bietet PingOne Neo den Kunden  unmittelbaren Mehrwert, wenn sie von der Federation zu dezentralisierten Modellen wechseln oder neue Benutzererfahrungen ohne Backend-Integrationen entwickeln möchten.