Digitale Identitäten und Passwortsicherheit – Teil 1

Zutrittskontrolle, die Matrix Trilogie und Kontrollneurosen: Für die Zutrittskontrolle zu geschützten Bereichen und Systemen werden heutzutage nach wie vor mehrheitlich Passwörter verwendet. Genau betrachtet handelt es sich bei einem Passwort aber nur um ein Mittel zum Zweck, nämlich dem Zweck die Besitzerschaft und damit die legitime Ausübung von Kontrolle einer realen Person über eine digitale Identität nachzuweisen.

Komplizierte Worte und verschachtelte Sätze … Was meine ich damit genau?

Lassen Sie uns unterscheiden, zwischen digitalen Objekten (Informationen) und physischen Objekten (Materie): Sowohl digitale als auch physische Objekte haben bestimmte Eigenschaften und können einander unter bestimmten Bedingungen beeinflussen. Die Eigenschaften von digitalen Objekten unterscheiden sich dabei ganz wesentlich von jenen, physischer Objekte. Beispielsweise lassen sich digitale Objekte nahezu ohne Aufwand und damit praktisch kostenfrei vervielfältigen. Zwischen der digitalen und der physischen Welt besteht ausserdem eine Schnittstelle, ein Medienbruch, wenn Sie so wollen, über welchen digitale Objekte sehr reale Wirkungen in der realen Welt entfalten können. Denken Sie dabei an Banktransaktionen, welche Sie über Ihr E-Banking auslösen, Steuersignale in einem fliegenden Flugzeug 10km über Meereshöhe oder Startcodes für Nuklearwaffen.

Die Gesamtheit dieser Unterschiede (mit all ihren Vor- und Nachteilen), sowie die Wirkungen von digitalen Objekten in der realen Welt bilden dabei den Grundstein für den Erfolg digitaler Geschäftsmodelle.

Typischerweise möchten Sie den Zugriff auf bestimmte digitale Objekte (z.B. Ihre E-Mails) nicht der ganzen Welt, sondern nur einem sehr eingeschränkten Kreis von Personen (oder sogar nur einer Einzigen) erlauben, um die Kontrolle zu behalten. Ihr E-Mail Postfach wird dabei in kodierter Form (als Nullen und Einsen – Bits) in einem persistenten Speicher (auf einer Festplatte), einem Objekt in unserer physischen Welt, gespeichert. In den allermeisten Fällen ist diese Festplatte in einem Server, welcher in einem mehr oder weniger weit entfernten Rechenzentrum steht, verbaut.

Wenn Sie nun Ihre E-Mails bearbeiten möchten, müssen Sie also einen Medienbruch zwischen der physischen und der digitalen Welt überwinden. Solange Ihr Gehirn keine Internetschnittstelle (und idealerweise eine ziemlich potente Malwareprotection – erinnern Sie sich noch an Johnny Mnemonic oder die Matrix-Trilogie?) besitzt, werden Sie sich in der Regel mit einem Computer inkl. Betriebssystem und Internetzugang behelfen. Dies aus dem einfachen Grund, dass die Variante «mit dem Kopf durch die Wand» (des Rechenzentrums Ihres E-Mail-Dienstleisters) für den direkten, physischen Zugriff auf die Festplatte, welche Ihre E-Mails enthält, wenig praktikabel ist und Sie höchstwahrscheinlich in rechtliche Schwierigkeiten bringen wird.

Der gewohnte (elektronische) Zugriffsweg auf Ihre E-Mails ist dabei durch digitale Sicherheitsmechanismen geschützt. Wir reden in diesem Zusammenhang von Access Control. Access Control ist selber ein digitales Objekt und benötigt eine Möglichkeit zu entscheiden, ob der Zugriff auf Ihre E-Mails gewährt wird oder nicht. Dies erfolgt normalerweise anhand einer Liste, wie der Zugriff auf welches E-Mail Postfach gewährt werden soll.

Hier geraten wir nun in Schwierigkeiten, denn das Access Control Objekt «kennt» Sie als Person nicht und könnte auch nicht entscheiden, ob tatsächlich Sie, oder eine andere Person vor Ihrem Computer sitzen.

Die einzige Möglichkeit, für das digitale Access Control Objekt eine Entscheidung zu treffen, ist anhand eines weiteren digitalen Objektes. Lassen Sie uns dieses eine «digitale Identität» nennen. Sie können dabei an einen Benutzernamen oder -konto denken. Access Control benötigt also eine Liste von digitalen Identitäten oder Konten, welche Zugriff auf bestimmte E-Mail Postfächer erhalten sollen.

Es liegt nun an Ihnen als Benutzer, den Nachweis zu erbringen, dass Sie der Besitzer einer oder mehrerer solcher digitalen Identitäten sind und diese somit kontrollieren dürfen, um wiederum Zugang zu Ihren E-Mails zu erhalten. Dies erfolgt mit Hilfe eines – Sie ahnen es bereits – weiteren digitalen Objekt, z.B. einem Geheimnis, einem Stück Information welches nur Sie kennen – Ihrem Passwort. Der Zweck Ihres Passwortes ist also der eindeutige Nachweis der Besitzerschaft und der legitimen Kontrolle eines physischen Objektes – Ihnen selber – über eine digitale Identität, mit Hilfe derer Sie sich in der digitalen Welt bewegen können.

Der Nachweis des Besitzanspruches über eine digitale Identität durch eine Person ist ein Spezialfall eines allgemeineren Prinzips, nämlich dem Nachweis einer behaupteten Eigenschaft einer Entität (z.B. eben der Eigenschaft «Besitzer von» für einen Menschen). Dies wird üblicherweise «Authentisierung» genannt.

Bei einem Passwort handelt es sich dabei nur um eines von vielen verschiedenen, möglichen Authentisierungsmitteln, welche mehr oder weniger das Gleiche leisten. Die Vielzahl dieser Alternativen lassen sich in drei Gruppen klassifizieren:

  • Etwas, das Sie wissen: Eine Information, ein digitales Objekt, welches nur Sie kennen und welches idealerweise in Ihrem Gehirn verborgen liegt und bei Bedarf abgerufen werden kann – z.B. ein Passwort.
  • Etwas, das Sie besitzen: Ein physisches Objekt, welches Informationen enthält, die bei Bedarf abgerufen werden können – z.B. eine Smartcard.
  • Etwas, das Sie sind: Informationen bezüglich Ihres physischen Selbst, welche bei Bedarf über eine geeignete Schnittstelle digitalisiert werden können – z.B. die besondere Anordnug der Blutgefässe Ihrer Netzhaut.

Alle drei Alternativen haben eines gemeinsam: Sie bedienen sich einer Information (Passwort, etc.), welche auf eine definierte und durch Access Control überprüfbare Art und Weise einer digitalen Identität zugeordnet ist. Das Ganze funktioniert nur dann, wenn Sie den exklusiven Zugriff bzw. die alleinige Kenntnis über diese Information besitzen.

Heutzutage werden des Öfteren mehrere der obengenannten Alternativen gleichzeitig kombiniert um Missbrauch zu erschweren. Wir reden in diesem Fall von Zwei- / bzw. Mehrfaktorauthentisierung oder auch starker Authentisierung. Der USP Secure Entry Server ist hier eine von vielen Möglichkeiten, wie sich mit relativ geringem Aufwand starke Authentisierung realisieren lässt.

Die Consultants von United Security Providers beraten Sie diesbezüglich gerne im Detail.

Praxis-Tipps zum Schluss

Prüfen Sie mit ob und wann Ihre E-Mailadresse durch einen Datendiebstahl kompromittiert wurde: https://haveibeenpwned.com/

Bewahren Sie Ihre Passwörter sicher auf: https://keepass.info/

Details zum Autor

Mischa Obrecht

Mischa Obrecht

Kommentar hinterlassen?