Manifest für eine österreichische Kooperation im Identitätsmanagement

 
Das Internet entstand in einer Zeit als Informationssicherheit in Neztwerken kein Thema war, und wir leben heute mit einer zersplitterten Infrastruktur für Identitätsmanagement. Für Benutzer ist das weder bequem noch besonders vertrauenswürdig und Kryptographie ist genau genommen nur von besonders qualifizierten Experten zuverlässig einsetzbar.
 
In Österreich gibt es einige Bereiche, wo diesem Zustand in der einen oder anderen Weise ein Ende gesetzt wurde: Banken authentifizieren mit iTans und mTans, die Verwaltung hat den behördenübergreifenden Portalverbund, Kassenärztemdie oCard, Handyuser die SIM-Karte und Studenten einen europäischen Verbund.
Gemeinsam haben diese bisherigen Ansätze einige Unzulänglichkeiten:

  • Benutzer müssen unterschiedliche technische Verfahren verstehen, die z.T. Dem Laien unzumutbar sind, etwa ob man einem Server-Zertifikat vertrauen kann.
  • Die Nutzungs- und Sicherheitsbedingungen sind uneinheitlich und in ihrer Menge oft kaum zu bewältigen
  • die Verteilung von Daten auf manchmal hunderte Webseiten weder bei Unternehmen noch bei Individuen überschaubar, besonders bei eCommerce-Anbietern, die pro Netzauftritt eine Registratur verlangen
  • Die Authentifizierung geschieht noch immer überwiegend mit Passwörtern, die Sicherheitsprobleme verursachen.
  • Die Kosten für eine zuverlässige Identitätsprüfung sind hoch, werden aber nicht auf viele Anwendungen aufgeteilt und daher bleibt eine starke Authentifizierung den meisten Anwendungen vorenthalten.

 
Die Gebote

  • Die Endbenutzer müssen, egal ob als Individuum oder im organisatorischen Kontext, im Zentrum der Zielsetzung bleiben. Sie sind im Gesamtsystem der angreifbarste Punkt, aber ihr Vertrauen zu gewinnen ist unabdingbar für alle Transaktionen, bei denen Sachwerte oder persönliche Informationen betroffen sind.
  • Entwickler müssen Identitätsmanagement und Zugriffskontrolle aus den Anwendungen herauslösen und in die Infrastruktur einbringen. Architektur und APIs sollen moderne Konzepte von Policy-basierender Zugriffskontrolle ermöglichen.
  • Die Architektur für IAM der IT-Abteilungen und IT-Provider soll auf Industrienormen aufbauen, die Plattform- und organisationsüberegreifend sind, wie SAML, OpenID, WS-Trust und InfoCard.
  • Vision und Strategie sollen weg von Silos und abgeschlossenen Teilbereichen hin zu allgemeiner Interoperabilität gehen, um die für Endbenutzer geforderte Verständlichkeit zu erreichen.
  • Betreiber bestehender IAM-System stimmen ihre Regelwerke ab und ermöglichen ein "Roaming" ihrer jeweiligen Benutzer