Digitale Identität
Wie es um die Sicherheit bei wallet-basierten Identitätslösungen steht
EU Digital Identity Wallet
Von Alexander Koch, VP Sales EMEA, Yubico
Die Gestaltung hochsicherer und gleichzeitig benutzerfreundlicher wallet-basierter Identitätslösungen ist die nächste herausfordernde Aufgabe, derer sich zahlreiche Unternehmen und Behörden in 25 EU-Mitgliedsstaaten vor dem Hintergrund der EU-Verordnung eIDAS 2.0 angenommen haben. Erklärtes Ziel ist es, mit einer EU Digital Identity Wallet (EUDI) einen neuen Ansatz zu bieten, bei dem Nutzer die Kontrolle darüber haben, wann, wo und mit wem persönliche Daten geteilt werden. Dies steht im erklärten Gegensatz zu den Konzepten, bei denen ein Cloud-Anbieter digitaler Identitäten die zentrale Anlaufstelle der Nutzer für eine Vielzahl von Online-Diensten darstellt.
Als Partner eines der vier EUDI-Großprojekte arbeitet Yubico zusammen mit dem Greek Universities Network (GUnet) und weiteren Forschungs- und Bildungsnetzwerken an der Unterstützung für FIDO-basierte Authentifizierung und Verschlüsselung. Denn neben der Benutzerauthentifizierung können FIDO-Sicherheitsschlüssel können eine entscheidende Rolle bei der Sicherung digitaler Geldbörsen spielen. FIDO, der weltweit offene Standard für die Benutzerauthentifizierung, verbindet eine verbesserte Benutzerfreundlichkeit mit einem hohen Maß an Sicherheit und eliminiert Cyberbedrohungen wie Phishing oder Credential Stuffing. Alles, was Nutzer zur Verwendung dieser Sicherheitsschlüssel benötigen, ist ein Webbrowser. Der Inhalt einer Brieftasche kann mit kryptographischen Schlüsseln ver- und entschlüsselt werden, welche von Geheimnissen abgeleitet sind, die an die sichere Hardware eines FIDO-Sicherheitsschlüssels gebunden sind. Darüber hinaus lassen sich zusätzliche Sicherheitsschlüssel hinzufügen, um die Brieftasche einer Person als Backup zu schützen, oder Nutzer, die eine organisatorische Brieftasche teilen, könnten ihren eigenen FIDO-Sicherheitsschlüssel verwenden, um auf diese Brieftasche zuzugreifen.
Indem so viel wie möglich an ein vertrauenswürdiges externes Gerät delegiert wird, kann die Geldbörse als Webanwendung implementiert werden, was sie von der mobilen Plattform unabhängig macht. Dies bedeutet, dass Nutzer die volle Kontrolle über ihre eigene Identität besitzen, ohne von der Politik der App-Stores oder den Sperren der Anbieter abhängig zu sein – wie es die Europäische Kommission vorsieht, um die Marktdominanz der Branchenschwergewichte aus Nicht-EU-Ländern zu verringern.
Zu Beginn wird es primär darum gehen, eine Wallet zu entwickeln, die für Anwendungsfälle verwendet werden kann, welche eine gemeinsame Kontrolle erfordern, eine sogenannte Organisations-Wallet. Ziel ist es jedoch, weitere Anwendungsfälle für staatliche und kommerzielle Dienste auf den Markt zu bringen, die Nutzer nicht dazu zwingt, sich af eine mobile Plattform verlassen zu müssen.
Die Alphaversion der Software, die mit der neuesten Version des EU-Wallet Architecture Framework (ARF) kompatibel ist, soll in den kommenden Monaten veröffentlicht werden und soll bereits mindestens ein Szenario unterstützen, wie beispielsweise die EU-Sozialversicherungskarte, Bildungsnachweise, Bankanwendungen, die die Kontrolle mehrerer Nutzer erfordern, oder Anwendungsfälle, die Vollmachten erfordern.