A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

Sichere digitale Identitäten (Teil 1)

(Bild: stock.adobe.com_Coloures-Picom)

(Bild: stock.adobe.com_Coloures-Picom)

01 Die Taskforce „Geräteidentität und -integrität im Internet der Dinge“ berücksichtigt die Anforderungen der unterschiedlichsten Branchen

01 Die Taskforce „Geräteidentität und -integrität im Internet der Dinge“ berücksichtigt die Anforderungen der unterschiedlichsten Branchen

Identitäten sind für Menschen sowohl privat als auch geschäftlich von zentraler Bedeutung. Noch wichtiger sind sie für Maschinen im Internet der Dinge. Industrie 4.0, Smart Home oder Smart Traffic werden nur funktionieren, wenn jede Maschine, jedes Stück Hardware, jedes Gerät eine eigene, unverwechselbare Identität hat, die gleichzeitig den Anforderungen an den Privatsphärenschutz genügt. Auch unter juristischen Gesichtspunkten spielen sichere digitale Identitäten (SDI) eine bedeutende Rolle. Dieser zweiteilige Artikel schlägt die Brücke von menschlichen Vertrauensfaktoren und realen Identitäten zu digitalen Abläufen und der Einzelgeräteechtheit. Während sich der erste Teil vorwiegend mit der Definition und Technik befasst, geht es im zweiten Teil über das Zusammenspiel von Recht und Technik sowie um die Rolle von Normung und Standardisierung.
Bei jeder Interaktion vertrauen wir Menschen, Organisationen und Systemen, die wir vielleicht nicht kennen oder bisher nur flüchtig kennengelernt haben. Vertrauen gestaltet das gesellschaftliche Miteinander und erleichtert die Zusammenarbeit im privaten wie beruflichen Leben. Natürlich gibt es in einer Vertrauensbeziehung auch die Möglichkeit des Missbrauchs. Doch das wiederum verlangt nach Maßnahmen zur Durchsetzung und entsprechenden Kontrollsystemen. Nimmt das Vertrauen an den Kommunikationspartner ab, wird nach Sicherheit verlangt. Die (vermeintliche) Sicherheit senkt das Risiko auf ein annehmbares Maß. Deshalb gibt es in der realen Welt schon sehr lange vertrauensbildende Maßnahmen und Sicherheitsversprechen, die uns das Gefühl geben, darauf zu vertrauen, dass zum Beispiel die Bremsen in unserem Auto funktionieren. Schwieriger wird es mit dem Anwenden dieser Mechanismen und dem Vertrauen in der digitalen Welt: Nonverbale Informationen oder bekannte physikalische Sicherheitsmechanismen stehen dort nicht zur Verfügung. Darüber hinaus müssen wir in der digitalen Welt nicht nur anonymen Personen vertrauen, sondern auch technischen Instanzen und anderen „Dingen“, die schwer greifbar erscheinen.
Menschliche Vertrauensfaktoren als Anker in der digitalen Welt
Ein Schlüssel zur positiven Vertrauensbildung sind Transparenz, Offenheit, Respekt, Fehlerkultur und Hilfsbereitschaft. Hingegen führen Faktoren wie Unaufrichtigkeit, Täuschung, Unzuverlässigkeit, Rüdheit, Unhöflichkeit und Egoismus zu einem Verlust des Vertrauens. Den Vertrauensaufbau fördern messbare und von Dritten überprüfte Faktoren, die auch in der IT als Grundlage für Zertifizierungen und Gütesiegel dienen. Am bekanntesten sind in Deutschland die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilten Zertifikate nach den „Allgemeinen Kriterien für Bewertung der Sicherheit von Informationstechnologie“ (Common Criteria; kurz CC) sowie der Normenreihe ISO 27000 [1] zum Informationssicherheitsmanagement (ISMS). Hierbei wird bewertet, ob und in welchem Umfang das Produkt oder die Dienstleistung dem öffentlich einsehbaren Profil entspricht. Ein weiterer objektiver Faktor zur Vertrauensbildung kann der Standort sein. Das berühmte „Made in Germany“ ist zu einem inoffiziellen Gütesiegel geworden. Ist eine Vertrauensbasis einmal geschaffen, wird sie häufig auch weiter empfohlen.
Dies schafft die Basis für einen sicheren Austausch oder die sichere Zuordnung von Schlüsseln durch einen vertrauenswürdigen Dritten (Trusted Thrid Party) [2]. Alternativ lässt sich die Erfahrung einer bekannten, vertrauenswürdigen Instanz in Form einer „Vertrauenskette“ (Chain of Trust) nutzen. Bei einem symmetrischen Verschlüsselungsverfahren wird ein vertrauenswürdiger Dritter auch als Schlüsselverteilzentrum (Key Distribution Center; kurz KDC) bezeichnet. Ein KDC verwaltet die geheimen Schlüssel, die für eine sichere Kommunikation über ein symmetrisches Verschlüsselungsverfahren notwendig sind, und stellt eine sichere sowie zuverlässige Ver teilung sicher, ohne dass sich unberechtigte Dritte Zugang zu einem der geheimen Schlüssel verschaffen können. Bei einem asymmetrischen Verschlüsselungsverfahren dagegen muss das Trust­Problem gelöst werden. Es muss also garantiert werden, dass ein öffentlicher Schlüssel tatsächlich zu einem Kommunikationsteilnehmer gehört. Das kann über digitale Zertifikate funktionieren, die ein vertrauenswürdiger Dritter – eine sogenannte Zertifizierungsstelle (Certificate Authority (CA) oder Trust Center) – ausgestellt und digital signiert hat. Meist bilden solche Zertifizierungsstellen eine hierarchische Struktur mit einer Wurzelinstanz an der Spitze, verschiedenen untergeordneten Instanzen und den Nutzern. Eine derartige Hierarchie von Zertifizierungsstellen zusammen mit sämtlichen dazugehörigen datentechnischen und organisatorischen Festlegungen wird als Public­Key­Infrastruktur (PKI) bezeichnet und ist Voraussetzung für den sicheren Einsatz asymmetrischer Verschlüsselungsverfahren.
Reale versus digitale Identitäten
Der Begriff der Identität ist in der digitalen Welt vorrangig technisch besetzt und bezeichnet eine technische Lösung zur Identifikation beziehungsweise Zuordnung von Fakten zu einer Person oder Maschine [3]. Technisch gesehen ist das anonyme Bewegen in der digitalen Welt zwar schwierig, aber mit einer „kriminellen“ Intention dennoch möglich. Das schwächste Glied in einer Kommunikationskette ist immer noch der Faktor Mensch [4], denn das Sicherheitsstreben führt viele Menschen dazu, sich mit einem falschen Sinn von Sicherheit zufriedenzugeben.
Einen Vertrauensanker könnte hierbei die sichere digitale Identität bilden – vor allem im Rahmen von Digitalisierung und Industrie 4.0. Die Standardisierung spielt hierbei die entscheidende Rolle: Sie spiegelt die Werte der Wirtschaft und der Gesellschaft wider. Aktuell wirken unterschiedliche nationale und internationale Organisationen, wie IEC/ Cenelec/DKE, ITU und Nist mit ihren Publikationen, Normen, Standards, Richtlinien und Leitfäden zur Implementierung von IT­Sicherheit in der digitalen Welt mit. Dennoch ist ein einheitlicher Standard für die Umsetzung einer branchenübergreifenden Infrastruktur zum Austausch von Sicheren Digitalen Identitäten, aus wirtschaftlicher Betrachtung, notwendig [5].
Konzepte und Ansätze
Die Informationssicherheit von Geräten hängt auf der einen Seite von Prozessen sowie Konfigurationen der Geräte in der Fertigung und im Betrieb ab sowie auf der anderen Seite von der Einzelgeräteechtheit. Als Ausgangspunkt für die Einzelgeräteechtheit dient die folgende Definition:

  • Einzelgeräteechtheit = Geräteidentität und ­integrität = Hard­ und Software sowie Betriebsparameter [6].

Entwickler, Ingenieure, Systemarchitekten, Manager sowie Kunden müssen ein Verständnis für die Grundbegriffe dieser Technologie und die Notwendigkeit ihres bestimmungsgemäßen Einsatzes entwickeln. Bei der Zusammenführung von Technologien aus Einzelbereichen, der Unterrichtung und der Aufklärung von beteiligten Akteuren sowie der Koordination und Synchronisation von neuen Entwicklungen über die Grenzen traditioneller Anwendungsdomänen hinaus, muss aktiv gearbeitet werden.
Die Taskforce „Geräteidentität und ­integrität im Internet der Dinge“, die vom VDE und dem Fraunhofer SIT geleitet wird, agiert Domänen­übergreifend (Bild 1) [7]. Ihr Ziel besteht darin, den Technologien zur Einzelgeräteechtheit, sprich der Geräteidentität sowie ­integrität, bestehend aus Hardware, Software und Betriebsparametern, zur Anwendung im gesamten Bereich des Internets der Dinge auch über alle industriellen Anwendungsdomänen und kritische Infrastrukturen hinweg zu verhelfen.
Der zweite Teil des Artikels über das Zusammenspiel von Recht und Technik bei der digitalen Identität sowie der Rolle von Normung und Standardisierung erscheint in der Ausgabe S1 der etz. (no)

Literatur
[1] ISO/IEC 27000:2018-02 Information technology – Security techniques – Information security management systems – Overview and vocabulary. Genf/Schweiz: Bureau Central de la Commission Electrotechnique Internationale
[2] Meinel, C.; Sack, H.: Sicherheit und Vertrauen im Internet. ISBN 979-3-658-04834-1
[3] Humer, S.: Digitale Identitäten. ISBN 978-3-9811417-3-3
[4] Mitnick, K. D.: Die Kunst der Täuschung – Risikofaktor Mensch. ISBN-13: 978-3826609992
[5] Projektbericht Sichere Digitale Identitäten – Schlussbericht zur Förderung durch das Bundesministerium für Wirtschaft und Energie (BMWi)
[6] Positionspapier der Task Force Geräteidentität und -integrität im Internet der Dinge, Fraunhofer SIT & VDE, April 2017, S. 9
[7] Positionspapier der Task Force Geräteidentität und -integrität im Internet der Dinge, Fraunhofer SIT & VDE, April 2017, S. 14

Dr. Dennis-Kenji Kipker ist wissenschaftlicher Geschäftsführer am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) der Universität Bremen. kipker@uni-bremen.de

Dr. Dennis-Kenji Kipker ist wissenschaftlicher Geschäftsführer am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) der Universität Bremen. kipker@uni-bremen.de

Dipl.-lng. (FH) Sven Müller M. A., M. Sc. ist Projektmanager bei der DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE in Frankfurt/M. sven.mueller@vde.com

Dipl.-lng. (FH) Sven Müller M. A., M. Sc. ist Projektmanager bei der DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE in Frankfurt/M. sven.mueller@vde.com

Simone Angster, M. A. ist Online-Redakteurin beim VDE Verband der Elektrotechnik Elektronik Informationstechnik e. V. in Frankfurt/M. simone.angster@vde.com

Simone Angster, M. A. ist Online-Redakteurin beim VDE Verband der Elektrotechnik Elektronik Informationstechnik e. V. in Frankfurt/M. simone.angster@vde.com