SkIDentity

Vertrauenswürdiges Cloud Computing braucht starke Authentisierung

Cloud-Dienste ermöglichen das gemeinsame Arbeiten an Projekten, egal wo sich die Kollegen gerade befinden. In weltweit verteilten Büros, auf einem Notebook zu Hause oder auch unterwegs mit Smartphone oder Tablet-pc, überall haben die Mitarbeiter Zugriff auf wichtige Daten oder gemeinsam nutzbare it-Dienste. Diese Flexibilität ist jedoch mit einem Risiko verbunden: Unbefugte können sich durch Hackerangriffe oder gezielte Betrugsversuche die Zugangsdaten eines Mitarbeiters verschaffen und so unerlaubten Zugriff auf sensible Unternehmensdaten und Geschäftsgeheimnisse erhalten. Um dies zu verhindern müssen in der Cloud starke, auf mehreren Faktoren basierende Authentifizierungsmechanismen eingesetzt werden.

Brücke zwischen sicheren Ausweisen und Cloud

Genau hier setzt das Projekt SkIDentity an und entwickelt ein sicheres Authentifizierungssystem für Cloud-Anwendungen. Dafür setzt SkIDentity auf bestehende sichere elektronische Ausweise (eid) wie den neuen Personalausweis. Das ist deutlich sicherer als eine Anmeldung durch Benutzernamen und Passwort. Ziel ist es, vertrauenswürdige Identitäten für die Cloud bereitzustellen und dadurch alle Arten von Geschäftsprozessen für Konsumenten, Unternehmen und Behörden besser abzusichern. Hierfür werden bereits existierende sowie neu zu entwickelnde Komponenten, Dienste und Vertrauensinfrastrukturen zu einer umfassenden, rechtskonformen, wirtschaftlich sinnvollen und hochsicheren Identitätsinfrastruktur für die Cloud integriert.

Flexible Nutzung verschiedener eid-Services für eine sichere Authentifizierung

Besondere Berücksichtigung finden hierbei die Bedürfnisse von mittelständischen Unternehmen und Behörden. Für sie bündelt skiDentity eine Reihe von eid-Services und macht sie flexibel für die sichere Anmeldung bei einer Cloud-Anwendung nutzbar. Kern der SkIDentity-Infrastruktur ist ein eid-Broker. Seine Aufgabe ist es, zwischen den Vorgaben des Cloud-Dienstes, seinem Rechtemanagement und den eingesetzten Authentifizierungsdiensten zu vermitteln. Im ersten Schritt kann der Cloud-Anbieter festlegen, welche eid für eine Anmeldung akzeptiert werden soll. Dabei kann es sich zum Beispiel um Ausweistoken wie einen Mitarbeiterausweis, Bank- und Signaturkarten, einen Heilberufsausweis, die elektronische Gesundheitskarte, den neuen Personalausweis oder ähnliche europäische Ausweiskarten handeln.

Zweifelsfreie Identitäten für die Cloud und aus der Cloud

Bei einem Login-Versuch vermittelt der Broker die Authentisierungsanfrage vom Cloud-Dienst an den entsprechenden eid-Service und erfährt so, ob der präsentierte Ausweistoken gültig ist. Darüber hinaus können hierbei auf Wunsch weitere Benutzerattribute wie Name und Adresse des Anwenders vom Cloud-Dienst angefragt werden. Auf Basis dieser Information kann der Cloud-Anbieter entscheiden, ob und auf welche Cloud-Anwendungen, Funktionen und Daten der Benutzer Zugriff hat. Am Ende steht ein auf bewährten und hochsicheren Technologien basierendes Anmeldeverfahren, das in den Cloud-Dienst integriert wird und dort als eine Art Wächter fungiert. Der Cloud-Anbieter muss nicht selbst eine eigene Authentifizierungsstruktur aufbauen und dafür nötige Berechtigungszertifikate erwerben sondern kann die sicheren Authentifizierungsdienste bequem über SkIDentity aus der Cloud beziehen.

Rundum sicheres und vertrauensvolles Datenmanagement für Cloud-Dienste

Zusätzliche Einsatzgebiete hat SkIDentity in weiteren Projekten, die ebenfalls die Absicherung von Daten und Informationen in der Cloud zum Ziel haben. Gemeinsam mit Trusted-Cloud-Projekten wie beispielsweise Sealed Cloud sorgt SkIDentity für rundum sichere Cloud-Lösungen. Während verschiedene Projekte die auf den Servern der Cloud-Anbieter gespeicherten und verarbeiteten Daten schützen, verhindert SkIDentity den unautorisierten Zugriff auf diese Systeme aus der Cloud.

Ausgangssituation

• Die Anmeldung zu Cloud-Diensten ist sicherheitskritisch
• Angreifer überwinden schwache Authentisierungsverfahren und können Daten entwenden oder missbrauchen
• Kein einheitliches, starkes Authentisierungsverfahren für Anwender von mehreren Cloud-Diensten

Zielsetzung

• Sicheres und benutzerfreundliches Authentifizierungssystem verhindert unbefugte Zugriffe auf Daten in der Cloud
• Einsatz von etablierten Technologien und bewährter Ausweissysteme damit der Anwender keinen neuen Ausweistoken benötigt
• Broker-basierte Architektur ermöglicht kosteneffizientes Identitätsmanagement, das selbst für mittelständische Unternehmen und Kommunen geeignet ist

Konsortialpartner

Fraunhofer-Institut für Arbeitswirtschaft und Organisation (IAO)

Fraunhofer-Institut für Graphische Datenverarbeitung (IGD)

ENX Association

OpenLimit SignCubes GmbH

Ruhr-Universität Bochum
Lehrstuhl Netz- und Datensicherheit

Universität Passau
Lehrstuhl für Öffentliches Recht, Informationstechnologierecht und Rechtsinformatik

Urospace GmbH

Versicherungswirtschaftlicher Datendienst GmbH