Was ist eine digitale Identität?

Eine digitale Identität ist eine virtuelle Darstellung einer Person in der digitalen Welt. Sie umfasst die Attribute und Informationen, die diese Person online eindeutig definieren und unterscheiden. Beispiele für digitale Identitäten sind Anmeldeinformationen, biometrische Daten, E-Mail-Adressen und dezentrale Identifikatoren (DIDs).

Im Bereich der Cybersicherheit spielen digitale Identitäten eine zentrale Rolle bei der Regelung des Zugriffs auf Netzwerkressourcen. Jeder Benutzer, jedes Gerät und jede Anwendung benötigt für den Zugriff auf eine Netzwerkressource zunächst eine eindeutige digitale Identität. Diese digitale Identität enthält die Autorisierung und die Berechtigungen, die für die Interaktion mit der Ressource erforderlich sind.

Beispielsweise benötigen Benutzer, die auf die Ressourcen in einer AWS-Umgebung zugreifen möchten, ein AWS-Konto. Dieses Konto fungiert als ihre digitale Identität bei AWS und kann ihnen den Zugriff auf verschiedene Cloud-Computing-Services und -Ressourcen gewähren, einschließlich EC2-Instanzen (virtuelle Server in Amazon Elastic Compute Cloud) und Lambda-Funktionen. Ebenso benötigt eine Anwendung, die auf einer EC2-Instanz läuft und Daten aus einem S3-Bucket lesen möchte, zunächst eine digitale Identität.

Eine digitale Identität definiert, wer unter welchen Umständen wie langeworauf zugreifen darf. Beispielsweise kann eine AWS IAM-Rolle einem externen Benutzer vorübergehend Zugriff für die Ausführung von Schreibvorgängen auf einer RDS-Instanz gewähren, nachdem er einen entsprechenden Autorisierungs-Token vorgelegt hat.

Digitale Identitäten, Konten und Benutzer sind einzigartige Konzepte in der Cybersicherheit, die sich in Umfang und Anwendung unterscheiden.

Die digitale Identität ist das umfangreichste von ihnen. Sie umfasst alle Attribute oder Identifikatoren, die zur Identifizierung, Authentifizierung und Autorisierung einer Einheit in einem Netzwerk verwendet werden können. Hierzu zählen API-Schlüssel, digitale Zertifikate, IAM-Rollen und Dienstkonten.

Ein digitales Konto ist eine Art von digitaler Identität, die für den Zugriff auf eine bestimmte Ressource oder Umgebung verwendet wird. Der Zugriff auf digitale Konten wird häufig durch eine Art von Authentifizierung geschützt, z. B. durch Single Sign-on (SSO), Kennwörter oder Schlüssel.

Ein digitaler Benutzer ist eine Person, die mit einem digitalen System interagiert. Bei den Interaktionen kann es sich um den Zugriff auf eine Ressource, die Durchführung bestimmter Vorgänge oder die Nutzung eines Service handeln.

Eine einzige digitale Identität kann mehrere digitale Konten haben. Die Identität eines Projekteigentümers kann beispielsweise verschiedene Administratorkonten, Dienstkonten und Root-Profile umfassen, die diesem exklusiven Zugriff auf die gesamte Infrastruktur bieten.

1. Provisionierung und Gewährung von Zugriff

Digitales Identity Management beginnt mit der Registrierung und Anmeldung. Administratoren provisionieren einen Benutzer auf dem System, bei dem es sich in der Regel um eine Lösung für Identity and Access Management (IAM) handelt, und erstellen seine digitale Identität. Je nach der Rolle des Benutzers gewähren die Administratoren dann die entsprechenden Privilegien und Zugriffsrechte für die Identität des Benutzers.

2. Authentifizierung

Wenn ein Benutzer versucht, auf eine Ressource zuzugreifen, authentifiziert das Access Management-System seine Identität. Bei der Authentifizierung werden in der Regel die mit einer Identität verknüpften Anmeldeinformationen verifiziert, wie z. B. Token, biometrische Daten, kryptografische Schlüssel oder Multi-Faktor-Authentifizierung (MFA).

3. Autorisierung

Sobald ein Benutzer authentifiziert wurde, ist er dazu berechtigt, die mit seiner Identität verknüpften Privilegien zu nutzen. Dies ist wichtig, um Sicherheitsbedrohungen im Zusammenhang mit der Privilegieneskalation abzuwehren und hohe Standards für die Anwendungssicherheit zu wahren. Wenn ein Benutzer beispielsweise eine Rolle übernimmt, um einen Vorgang auszuführen, der erhöhte Privilegien erfordert, prüft das Identity Management-System, ob die übernommene Rolle die entsprechenden Rechte gewährt.

4. Lebenszyklusverwaltung

Ein weiterer wichtiger Aspekt des digitalen Identity Management ist die Nachverfolgung des Lebenszyklus von Identitäten. Dazu gehören regelmäßige Überprüfungen, Updates und möglicherweise die Deaktivierung oder Archivierung von Identitäten, die nicht mehr benötigt werden.

5. Einrichten eines Verbunds

Ein Verbund ermöglicht es, digitale Identitäten auf verschiedenen Domänen und Systemen als vertrauenswürdig einzustufen. So kann ein Benutzer beispielsweise dieselbe digitale Identität nutzen, um auf Ressourcen in Cloud- und On-Premises-Umgebungen zuzugreifen.

6. Auditierung

Kontinuierliche Überwachung und Auditierung sind unerlässlich, um Schwachstellen zu reduzieren, Sicherheitsbedrohungen und -verletzungen zu vermeiden und die Anforderungen der verschiedenen Cybersicherheitsstandards und -frameworks zu erfüllen. Sie können zum Beispiel die Protokolle Ihrer Webanwendungen überwachen, um verdächtige Anmeldeversuche zu erkennen.

Ein E-Wallet, auch "digitales Wallet" oder "Cyberwallet" genannt, ist eine Anwendung, mit der Sie Ihre Identität digital speichern und nahtlos nachweisen können.

Was kann man in E-Wallets speichern?

Durch den Einsatz von modernen Technologien wie z. B. verifizierbaren Anmeldeinformationen können in E-Wallets alle Arten von Identitätsinformationen gespeichert werden, darunter Reisepässe, Personalausweise, Führerscheine, Universitätsausweise und sogar Heiratsurkunden.

Wie funktionieren E-Wallets?

E-Wallets nutzen starke Verschlüsselungstechniken, um die digitalen Identitätsinformationen eines Benutzers bei Anfragen durch einen Service oder eine Anwendung zu verifizieren. Diese Verifizierung findet jedoch im Hintergrund statt. Der Benutzer muss lediglich auf eine Schaltfläche in der Wallet-Anwendung tippen.

Welche Vorteile bieten E-Wallets?

• E-Wallets verschlüsseln Identitätsinformationen sowohl im Ruhezustand als auch bei der Übertragung. Dies schützt vor Betrug, Identitätsdiebstahl und anderen Bedrohungen der Informationssicherheit.
• Mit E-Wallets kann Ihre Identität einfach verifiziert werden, ohne dass Sie physische Dokumente mit sich führen. Das kann Zeit und Ärger sparen.
• E-Wallets ermöglichen die selektive Offenlegung von Attributen, sodass nicht jedes Mal für eine einfache Verifizierung die ganzen Identitätsdokumente weitergegeben werden müssen.
• E-Wallets speichern digitale Identifikatoren in einem standardisierten Format, was die Interoperabilität und die internationale Anerkennung fördert.

Angesichts der zunehmenden Digitalisierung ist der Einsatz moderner IAM-Lösungen zum Schutz digitaler Identitäten unerlässlich. Im Folgenden stellen wir einige dieser Lösungen vor.

Access Management (AM)

Eine AM-Lösung kontrolliert den Zugriff auf Ressourcen und Anwendungen nach dem Least-Privilege-Prinzip und implementiert verschiedene Authentifizierungs- und Autorisierungsmethoden. Sie bietet die folgenden Funktionen und Merkmale für das digitale Identity Management:

• Fein abgestufte und zeitlich begrenzte Zuweisung von Privilegien für Identitäten auf der Grundlage der Rolle oder der beruflichen Funktion des Benutzers oder auf der Grundlage bestimmter Attribute, die mit dem Benutzer verbunden sind, wie z. B. Standort oder verwendetes Gerät
• Zentralisierte Definition und Verwaltung digitaler Identitäten, die es Benutzern ermöglicht, mit den Anmeldeinformationen ihres primären Identitätsanbieters auf Ressourcen in verschiedenen Systemen zuzugreifen, was die Benutzererfahrung und Sicherheit verbessert
• Unterstützung für verschiedene Authentifizierungsmechanismen, darunter LDAP, OAuth und RADIUS

Privileged Access Management (PAM)

PAM-Tools konzentrieren sich auf privilegierte Identitäten wie Root-Benutzer, Dienstkonten und Administratorrollen. Einzigartige Funktionen und Merkmale von PAM sind:

• Just-in-Time-Zugriff (JIT) für privilegierte Identitäten, um das Risiko zu begrenzen
• Möglichkeit, privilegierte Sitzungen zu überwachen, aufzuzeichnen und wiederzugeben
• Sichere Speicherung privilegierter Identitäten in dedizierten Tresoren für Anmeldeinformationen, um die laterale Bewegung von Angreifern zu verhindern

Identity Governance and Administration (IGA)

IGA-Lösungen sind auf die Verwaltung und Governance von Identitäten, Rollen und Berechtigungen im Unternehmen ausgelegt. Einige Funktionen und Merkmale der IGA für digitale Identitäten sind:

• Zuweisung von Berechtigungen für Identitäten auf der Grundlage von vordefinierten Rollen
• Möglichkeit, Benutzerzugriffe und -berechtigungen zu verfolgen, zu überprüfen und zu zertifizieren
• Automatisierte Provisionierung und Deprovisionierung von Identitäten

Verwaltung von Active Directory (AD)

Für Unternehmen, die zur Authentifizierung und Autorisierung AD/Azure AD verwenden, sind AD-Verwaltungslösungen ein hervorragendes Tool, um digitale Identitäten zu schützen. Hier sind einige ihrer nützlichen Funktionen und Merkmale:

• Fein abgestufte Zuweisung von Privilegien für AD-Identitäten (Benutzer und Gruppen)
• Überwachung von AD-Aktivitäten und Änderungen auf verdächtige Aktivitäten
• Möglichkeit zur Integration eines AD-Servers mit anderen IAM-Tools, einschließlich Cloud-Identitätsanbietern

Das traditionelle Konzept digitaler Identitäten in der Cybersicherheit war bisher auf Unternehmensnetzwerke beschränkt, wo sie zur Authentifizierung und Autorisierung von Benutzern verwendet wurden. Moderne E-Wallet-Anwendungen haben es jedoch möglich gemacht, digitale Identitäten in einem breiteren Spektrum von Kontexten zu nutzen, z. B. für den Zugriff auf Online-Services, die Beantragung von Visa und die Überprüfung der Staatsangehörigkeit.

Wenn in Zukunft weitere Spezifikationen wie verifizierbare Anmeldeinformationen veröffentlicht werden, können wir davon ausgehen, dass sich digitale Identitäten noch stärker durchsetzen.