Repräsentation von Identitäten in der realen Welt – Das kleine 1×1 der sicheren digitalen Identitäten

In den folgenden Beiträgen dieser monatlichen Blogserie wird der Identitätsbegriff im Kontext der physischen und digitalen Repräsentation von Identitäten verwendet. Diese muss abgegrenzt werden von dem politisch/sozialen Verständnis der Identität einer Person oder eines Unternehmens, die nicht Gegenstand dieser Serie ist. 

1. Über lange Zeiträume hinweg haben sich spezifische Prozesse zur Definition von Primäridentitäten (z.B. im Zusammenhang mit einer Geburt, einer Eintragung ins Handelsregister) entwickelt, die sich in verschiedenen Kulturkreisen unterscheiden. Wesentliches Merkmal der Unterscheidung bildet dabei das Rechtssystem; im römisch-germanischen Rechtskreis sind üblicherweise komplexere Anforderungen an Identitäten definiert, als es in Common Law Rechtssystemen üblich ist.
2. Identitäten entstehen durch die Zuordnung von spezifischen Merkmalen (Attributen) zu einer Entität (natürliche oder juristische Person, Objekt) in einem bestimmten Anwendungskontext.
3. Bei sicheren Identitäten erfolgt diese Zuordnung mit einem definierten, nachprüfbaren und widerrufbaren Vertrauensstatus. Eine Entität lässt sich damit zweifelsfrei und eindeutig identifizieren.
4. Sichere Identitäten sind schutzbedürftig in Bezug auf Integrität, Vertraulichkeit, eindeutige Zuordnung zum Inhaber und zu einem Herausgeber, Vervielfältigung und Verfügbarkeit z.B. in Form eines Verlusts.
5. Bei sicheren Identitäten der realen Welt wird dieser Schutz, bedingt durch den Anwendungskontext, durch Besitz eines bestimmten Objekts, z. B. einer AusweiskarteAusweiskarte Kurzdefinition: Eine Ausweiskarte ist ein amtli… More, (Zuordnung) ggf. in Kombination mit einer oder mehreren der folgenden Maßnahmen abgebildet:
   • Laminieren bzw. Laserengraving der Oberfläche des Objekts,
     (Integritätsschutz, Vervielfältigung)
   • Aufbringen optisch variabler Elemente, Microschrift auf dem Objekt (Vervielfältigung)
   • Personalisierung des Objekts mit Namensidentität, Wohnsitz und Geburtsdatum, (Zuordnung)
   • Personalisierung des Objekts mit biometrischen (inhärenten) Merkmalen, in der Regel einem Lichtbild oder Fingerabdruck. (Zuordnung)
   • Personalisierung des Objekts durch eine geheime PIN
     (Zuordnung, ggf. Vertraulichkeit)
6. In vielen Anwendungsfeldern der realen Welt ist nur ein sehr geringer Vertrauensstatus notwendig, so dass ggf. nur der Besitz eines Objekts (z.B. Besitz einer Visitenkarte) ohne weitere der o.g. Maßnahmen ausreicht.
7. Bei der Erstellung und Nutzung von sicheren Identitäten unterscheidet man zwischen Identifikation, Authentifikation und Autorisierung:
   • Eine Identifikation ist die eindeutige Verknüpfung einer Entität (Person / Firma / Objekt) mit einer zu erstellenden Identität (z.B. Prüfung der nötigen Nachweise und Ausstellen eines Personalausweises),
   • Bei der Authentifikation wird die Korrektheit einer Identität geprüft (z.B. Prüfung der Echtheit eines Personalausweises und Abgleich mit der Person bei einer Personenüberprüfung),
   • Bei der Autorisierung wird nach einer erfolgreichen Authentifikation einer Entität (Person / Firma / Objekt) bestimmte Privilegien gewährt (z.B. darf mit Personalausweis und gültigem Ticket ein Flughafenterminal betreten).
8. In der realen Welt sind, der in Punkt 7 genannte Schritt der Authentifikation und der Schritt der Autorisierung risikobehaftet.
   • Insbesondere können Fehler bei der Prüfung des Nachweises im Rahmen der Authentifikation oder der Zuweisung von Privilegien im Rahmen der Autorisierung stattfinden.
   • Das entsprechende Risiko hängt u.a. von den ggf. zu gewährenden Privilegien und deren Missbrauchsmöglichkeiten, d.h. vom jeweiligen Anwendungskontext ab.