Ist sensible Kundendaten ein Vermögenswert oder eine Verbindlichkeit? Wenn wir an die erfolgreichsten Unternehmen der letzten Jahre denken, die Kundendaten genutzt haben, um sich Wettbewerbsvorteile zu verschaffen – wie die FAANG-Unternehmen (Facebook, Amazon, Apple, Netflix und Google) – betrachten wir Kundendaten als einen Vermögenswert.
Allerdings verstehen Unternehmensleiter angesichts der ständig zunehmenden Datenverletzungen und der Einführung und Durchsetzung globaler Datenschutzbestimmungen nun, dass Kundendaten, insbesondere sensible Kundendaten wie persönlich identifizierbare Informationen (PII), eine Verbindlichkeit für das Unternehmen darstellen können.
Eine Möglichkeit für Unternehmen, dieses Risiko der Speicherung sensibler Kundendaten zu verringern, besteht darin, Kundendaten, wie Identitätsdaten, gar nicht erst zu speichern – indem sie dezentrale Identitätslösungen einsetzen.
Identität um das Individuum zentrieren
Mit den heutigen zentralisierten Identitätsmanagement-Softwaremodellen behält ein Unternehmen die PII des Endnutzers, wie Name, E-Mail-Adresse, Passwörter und andere Identifikatoren, um den Benutzer online zu authentifizieren. Im Gegensatz dazu stellen dezentrale Identitätstools den Benutzer in den Mittelpunkt der Identitätsgleichung und geben ihm die Kontrolle über seine Daten online.
Was ist dezentrale Identitätssoftware?
Dezentrale Identitätssoftware ermöglicht es Endnutzern, wie Kunden, die direkte Kontrolle über ihre Identitätsinformationen zu behalten und den Zugriff auf diese Daten einfach zu teilen oder zu widerrufen. Die Identitätsdaten bleiben im Besitz des Endnutzers und das Unternehmen validiert nur die Identität oder andere sensible Benutzerinformationen.
Das Konzept, dass ein Individuum die direkte Kontrolle über seine digitale Identität ohne die Verwendung eines zentralen Registers, Identitätsanbieters oder Zertifizierungsstelle hat, wird als selbstsouveräne Identität (SSI) bezeichnet.
Zum Beispiel muss in der physischen Welt ein Gast, um eine Bar mit Altersbeschränkung zu betreten, sein Alter nachweisen, indem er sein Geburtsdatum auf einem von der Regierung ausgestellten Lichtbildausweis vorlegt. Der Türsteher der Bar würde die Identität des Gastes bestätigen, indem er das Foto auf dem Ausweis mit dem Gesicht der Person vergleicht und dann das Geburtsdatum überprüft. Dabei kann der Türsteher auch andere identifizierende Informationen wie Name, physische Adresse und mehr auf dem Ausweis sehen.
In einem dezentralen Identitätsszenario müsste der Gast nur eine digitale Karte teilen, die besagt, dass er die Altersanforderung erfüllt, aber nicht die tatsächlichen Daten (konkretes Geburtsdatum) selbst.
| Verwandt: Das auffällige Problem bei der Überprüfung von Verbraucheridentitäten → |
Wie funktionieren dezentrale Identitätslösungen?
Im heutigen digitalen Identitätsökosystem wird die Validierung der digitalen Identität einer Person am häufigsten durch kontobasierte Anmeldeinformationen erreicht. Benutzer können mehrere Konten haben und verwenden oft dieselben Benutzernamen und Passwörter, um die Anmeldefrustration zu verringern, aber dies birgt das Risiko gehackter Anmeldeinformationen. Einige kontobasierte Anmeldeinformationen werden von zentralisierten Identitätsanbietern bereitgestellt, wie z. B. Social-Login-Anbietern, und dann an Dritte weitergegeben. Auch mit diesem Modell sind Risiken verbunden, einschließlich Ausfallzeiten beim Identitätsanbieter oder der Verfolgung des Benutzers über mehrere Konten hinweg.
Wie funktioniert dezentrale Identität anders als kontobasierte Anmeldeinformationen?
Es gibt keinen zentralen Speicher für Identitätsdaten. Stattdessen bringt der Benutzer seine digitalen Identitätsnachweise, die ihm von einer vertrauenswürdigen Behörde gewährt wurden, zur Überprüfung durch die Organisation, die seine Identität validieren möchte.
| Es gibt drei Hauptparteien in einem Anwendungsfall für dezentrale Identität: |
|
Der Aussteller stellt einer Person oft nach einem typischen Überprüfungsprozess in der realen Welt eine Berechtigung aus. Zum Beispiel müsste ein neu eingestellter Mitarbeiter in einem Unternehmen seinen physischen amtlichen Ausweis vorlegen, Formulare ausfüllen und dann einen physischen Ausweis und eine digitale Mitarbeiterberechtigung erhalten. Die Berechtigung erstellt ein Paar kryptografischer Schlüssel:
- Ein öffentlicher Schlüssel, der über einen einzigartigen dezentralen Identifikator (DID) in einem verteilten Ledger gespeichert wird, um einem Prüfer die Möglichkeit zu geben, ihn bei Bedarf nachzuschlagen.
- Ein privater Schlüssel, der in einer Berechtigungsbrieftasche auf ihrem mobilen Gerät gespeichert wird, den der neue Mitarbeiter zur Authentifizierung für den Zugriff auf Mitarbeiterkonten, wie ein Geschäftsemailkonto, verwenden kann.
Um ihre Benutzeridentität zu authentifizieren, würde der neue Mitarbeiter (das Subjekt) seinen öffentlichen Schlüssel, der mit seiner Mitarbeiterberechtigung verknüpft ist, dem E-Mail-Anbieter (dem Prüfer) vorlegen, der diesen dann im öffentlichen Ledger nachschlagen wird. Das Ledger gibt den einzigartigen DID zurück und stellt eine Herausforderung für den privaten Schlüssel des Mitarbeiters dar, darauf zu antworten. Wenn der Mitarbeiter den richtigen privaten Schlüssel besitzt, der mit dem DID verknüpft ist, das mit dem öffentlichen Schlüssel verbunden ist, wird der Benutzer authentifiziert und verifiziert und erhält somit Zugang zum E-Mail-Konto.
In dem oben genannten Szenario muss der E-Mail-Anbieter keine sensiblen Benutzeridentitätsinformationen speichern. Die Authentifizierung erfolgt auf der Grundlage des Vertrauens des Ausstellers, der dem Mitarbeiter eine Berechtigung erteilt und diese Informationen in einem öffentlichen Ledger für andere zur Überprüfung geschrieben hat.
Dezentrale Identität für verbesserte Sicherheit und Authentifizierung
In aktuellen Modellen können Identitätsdaten schwer zu sichern, zu validieren sein und fügen oft frustrierende Reibung in den Authentifizierungsprozess des Benutzers ein. Zum Beispiel sind Passwörter allein keine zuverlässige Möglichkeit, zu authentifizieren, dass eine Person online diejenige ist, die sie vorgibt zu sein. Viele Tools wie Multi-Faktor-Authentifizierungssoftware (MFA) sind entstanden, um dies zu adressieren, aber sie können für den Endbenutzer lästig sein. Ebenso werden auf sozialen Plattformen häufig und leicht gefälschte Identitäten erstellt, was soziale Logins zu einer unzuverlässigen Quelle für Identitätsüberprüfungszwecke macht. Um dieses Problem zu bekämpfen, können Unternehmen Betrugserkennungssoftware für risikoreiche Transaktionen einsetzen.
Mit dezentraler Identität müssen Unternehmen jedoch keine sensiblen Benutzerinformationen speichern, was das Risiko von kompromittierten persönlich identifizierbaren Informationen (PII) bei Datenverletzungen reduziert oder sogar vollständig beseitigt.
Unternehmen müssen auch nicht in Sicherheitsprodukte wie Verschlüsselungssoftware investieren, um Identitätsdaten zu sichern, die es überhaupt nicht gibt. Da es außerdem nicht notwendig ist, sensible Informationen wie PII zu speichern, werden die Kosten für Datenspeicherung und Speicherverwaltung reduziert.
Wie es den bestehenden Identitätsmarkt beeinflusst
Dezentrale Identität ist derzeit neu und nischig, und Akteure beanspruchen ihren Platz auf dem Markt, wie in der kürzlich von G2 erstellten Kategorie für dezentrale Identitätssoftware zu sehen ist. Software-Schwergewichte wie Microsoft und IBM steigen in diesen Bereich ein, wie Microsoft im September 2020 ihr dezentrales Identitätspilotprojekt ankündigte, während IBM eine Alpha-Version ihres dezentralen Identitätsprodukts verfügbar hat.
Darüber hinaus kann dezentrale Identität als Fortsetzung eines Trends gesehen werden, der bereits in einem angrenzenden Bereich des Datenschutzes Fuß fasst. Das Konzept, Individuen in den Mittelpunkt des Datenökosystems zu stellen, ist ein aufkommender Trend – menschenzentrierte Datenschutztechnologie versucht, die Entscheidungen der Individuen in Bezug auf die Daten, die ein Unternehmen über sie speichert, bestmöglich zu operationalisieren. Um dies zu erreichen, müssen Unternehmen aufhören, Daten als in Silos gespeichert zu betrachten, sondern vielmehr um das Individuum herum organisiert.
| Weiterlesen: 2021 Trends in menschenzentrierter Datenschutztechnologie → |
Wie dezentrale Identität den bestehenden Identitätsmarkt beeinflusst, wirft einige große Fragen auf. Wie wird dies die heutigen Identitätsanbieter beeinflussen? Wie wird dies Anbieter von Single Sign-On (SSO)-Software oder Unternehmen, die Passwortmanager anbieten, beeinflussen? Wie wird dies Werbetreibende beeinflussen, die auf Kundendaten (nicht nur Identitätsdaten) angewiesen sind? Wir haben keine Antworten, aber es ist wichtig, die Fragen zu stellen.
Bearbeitet von Sinchana Mistry
Möchten Sie mehr über Identitätsmanagement-Software erfahren? Erkunden Sie Identitätsmanagement Produkte.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
