Diebstahl der Identität Digitale Identitäten: Wie geht es weiter?

In einer digitalen Zukunft ist die Authentifizierung des Benutzers einer der wichtigsten Aspekte, wenn nicht sogar der wichtigste.

Bild: iStock, mikkelwilliam
06.09.2022

E-Staat, Krypotwährung, Metaversum – wir leben in einer digitalen Welt, aber wie können wir sicherstellen, dass wir tatsächlich wir sind? Identitätsdiebstahl gibt es schon seit langer Zeit, aber in den letzten Jahren ist die Bedrohung enorm gestiegen.

Die Entwicklung digitaler Identitäten ist untrennbar mit der umfassenden digitalen Transformation unserer Gesellschaft verbunden. Um ein Beispiel aus der Praxis zu geben: Im Zuge von Covid-19 wurden remote und schließlich hybrid Working für ganze Belegschaften weitgehend zur Realität in ihrer jeweiligen Arbeitsumgebung. Gleichzeitig hat sich die digitale Transformation extrem beschleunigt.

Microsoft ging folglich davon aus, dass digitale Identitäten nachziehen, ihre Definition sich erweitern und anpassen müsste, um diesen Veränderungen gerecht zu werden.

Eine Entwicklung, die sich sicherlich auch in eher unerwarteten Bahnen fortsetzen wird sobald neue Herausforderungen, Technologien und Bedrohungen auftauchen. Im Kern geht es darum, bessere Wege zu finden, um sicherzustellen, dass Personen tatsächlich diejenigen sind, für die sie sich ausgeben. Unabhängig davon, ob es sich um eine Kundenkarte, die Hausbank oder das Unternehmen handelt, für das Sie tätig sind – der Bedarf an sicheren Identitäten war noch nie größer.

Statistiken von McAfee belegen allein im ersten Quartal 2021 554.000 Fälle von Identitätsdiebstahl. Und das sind nur die bekannten Vorfälle, die aufgedeckt und anschließend gemeldet werden konnten. Die tatsächliche Zahl liegt deutlich höher.

Auch wenn uns die sprichwörtliche Kristallkugel fehlt – angesichts der Tatsache, dass die digitale Identität buchstäblich alle Bereiche der digitalen Welt durchdringt, lassen sich dennoch einige Prognosen treffen.

Der E-Staat

Digitale Identitäten beschränken sich nicht auf den Cyberraum. Politiker haben deren Potenzial als Teil der staatlichen Infrastruktur längst erkannt. Eines der prominentesten Beispiele ist Estland. Hier stattet man Bürger seit über zwanzig Jahren mit einer digitalen Identität aus. Damit verwalten sie ihre Gesundheitsversorgung, stellen Steueranträge und können sogar online wählen. Die Esten rühmen sich gerne, dass die einzigen Dinge, die sich in ihrem Land nicht online erledigen lassen, Heiraten, Scheidungen und der Erwerb von Immobilien sind.

Gegenwärtig ist Estland das einzige Land mit einem derart umfassenden digitalen Identitätssystem. Aber die Verwaltungen anderer Länder sind auf den Erfolg aufmerksam geworden. Teils inspiriert von den estnischen Innovationen, teils von einer weltweiten Pandemie zum Handeln gezwungen, kündigte die EU im Juni 2021 Pläne für eine „Digital Identity Wallet“ an. Die soll es EU-Bürgern unter anderem erlauben, sich für ein Studium zu bewerben, ein Bankkonto zu eröffnen und ärztliche Rezepte in jedem Mitgliedsstaat zu hinterlegen – und das alles vollständig online.

Es liegt auf der Hand, dass digitale Identitätssysteme dieser Größenordnung auf Kritik stoßen und Sicherheitsbedenken laut werden. Allein die schiere Datenmenge, wird sich zwangsläufig als unwiderstehliches Ziel für Cyberkriminelle erweisen. Estland selbst kann davon ein Lied singen. Das Land kam nahezu zum Erliegen, als 2017 eine Schwachstelle in der Verschlüsselung von mehr als der Hälfte aller ausgegebenen Chipkarten entdeckt wurde.

Trotz berechtigter Sorgen sieht es aber ganz so aus, als ob ein E-Staat auf Dauer Bestand haben würde. Man kann davon ausgehen, dass wir bereits in den kommenden Jahren große Fortschritte bei der Umsetzung sehen werden. Was die Sicherheitsbedenken angeht, so hat Estlands schnelle und effektive Reaktion auf die Sicherheitsvorfälle zwar nicht unbedingt die Skeptiker bekehrt, aber die Ängste vor der Einführung ähnlich gelagerter Initiativen zumindest gemildert.

Künstliche Intelligenz als „menschliche“ Authentifizierung

In einer idealen Welt würde es Identifikatoren geben, die es erleichtern, sich für einzelne Konten zu authentifizieren und so letztlich auch den Zugang vereinfachen. Nehmen wir als Beispiel die Personenerkennung: Sie sehen Ihren Bruder auf der Straße. Woher wissen Sie, dass es Ihr Bruder ist? Sie wissen es aufgrund der menschlichen Fähigkeit, jemanden anhand von Merkmalen, Eigenheiten oder Eigenschaften zweifelsfrei zu erkennen. Es besteht die Hoffnung, dass dies irgendwann auch einer künstlichen Intelligenz gelingt. Die breite Verfügbarkeit einer solchen Technologie liegt allerdings noch in weiter Ferne.

Das Ende des Dark Web?

Wohl eher nicht, aber ein Fakt, der sich bereits beobachten lässt – zumindest aus Identitätsperspektive – ist, dass die Dominanz des Dark Webs möglicherweise zurückgeht. Die Art von PII-Daten, die oft mit dem Dark Web in Verbindung gebracht werden, verliert an Bedeutung. Für Hacker sind sie längst nicht mehr so interessant wie früher.

Einst konnten Hacker ganze Listen mit Kreditkartennummern im Dark Web kaufen und anschließend damit auf Einkaufstour gehen. Inzwischen arbeiten gerade Banken sehr viel härter daran, sicherzustellen, dass die Person, die eine Transaktionen durchführt, tatsächlich auch der Inhaber der jeweiligen Karte ist. Hier werden wir noch einiges an Weiterentwicklungen sehen.

Zum Beispiel bei der Blockchain-Authentifizierung, die mit dem physischen Standort und Metriken aus der Verhaltensbiometrie abgeglichen wird, um zu beurteilen, ob die Transaktion legitim ist.

Die Krypto-Blase

Kryptowährungen sind aus Sicht der Identität beides: Bedrohung und Chance. Das sollte man im Hinterkopf behalten. Kryptowährungen laufen in der Blockchain und sind in einen umfassenderen Identifizierungsprozess eingebunden. Dadurch hat man eher die Möglichkeit Kriminelle zur Rechenschaft zu ziehen. Das ist bereits passiert. Beim Hack der Colonial Pipeline ist es beispielsweise gelungen, einen Teil der Zahlungen an die Hacker zurückzuholen.

Das Metaversum

Im Moment beschränkt sich unsere Online-Persona noch weitgehend auf E-Mail-Adressen, Profilfotos und Benutzer-IDs – im Metaversum werden sich unsere Online-Identitäten in digitale Avatare verwandeln. Wenn das Metaversum einen Punkt erreicht, an dem digitale Identitäten als Alter Ego der Benutzer fungieren, wird Authentifizierung wichtiger sein denn je. Identitätsdiebstahl würde eine völlig neue Dimension erreichen. Noch ist ein derartiger Zugriff auf digitale Identitäten Zukunftsmusik. Wir sollten uns allerdings lieber früher als später mit diesen aufkommenden Fragen beschäftigen.

Obwohl sich vernünftige Prognosen über die Zukunft der digitalen Identitäten treffen lassen, ist es kaum möglich ihr Potenzial wirklich abzuschätzen. Digitale Identitäten sind eine aufkeimende Teilmenge des Cyberraums. Und der wird sich in den kommenden Jahren bis zur Unkenntlichkeit verändern. Spannende Zeiten für digitale Identitäten...

Bildergalerie

  • Alan Radford, Global Identity and Access Management Strategist bei One Identity

    Alan Radford, Global Identity and Access Management Strategist bei One Identity

    Bild: One Identity

Firmen zu diesem Artikel
Verwandte Artikel