02.02.2006, 08:18 Uhr

Enorme Erwartungshaltung

Technische Aspekte genauso wie Alltagserfahrungen rund um digitale Identitäten diskutierte der Verband FG-Sec auf seiner Tagung.
Digitale Identität brennt den IT-Verantwortlichen unter den Nägeln: Gut zweihundert Tagungsteilnehmer hörten Referent Hannes Lubich zu.
In seiner Keynote zur FG-Sec-Tagung «Digitale Identitäten» kombinierte Hannes Lubich gleich zwei Themen, die die IT-Welt momentan stark beschäftigen: Digitale Identität und Webservices. Lubich, in der Branche als Referent bestens bekannt und seit einiger Zeit bei Computer Associates unter Vertrag, stellt eine «riesige Kluft» fest zwischen der Erwartungshaltung an digitale IDs und gelebte, nichtdigitale Identifizierungspraktiken. Denn während von ID-Protokollen eine präzise Authentifizierung zwingend gefordert werde, sei in Alltagssituationen, in denen die korrekte Identifizierung des Gegenübers wichtig wäre, eine gar laxe Handhabung festzustellen. Ein Beispiel: Am Telefon weisen sich Anrufer meist allein mit ihrer Namensnennung aus. Worauf die Angerufenen ohne Bedenken vertrauliche Informationen kommunizieren. Der Missbrauch dieser Vertrauensseligkeit hat einen Namen: Social Engineering.
Bei Webservices, so Lubich weiter, wird digitale Identifizierung endgültig zum äusserst komplexen Thema. Denn die Softwaremodule stammen von unterschiedlichen Herstellern, haben unterschiedliche Aufgaben, werden von unterschiedlichen Anwendern genutzt - und sollen dennoch nahtlos zusammen arbeiten, alle Transaktionen sollen authentisch und nachvollziehbar sein. Das bedeute, dass nicht nur die Nutzer, sondern die Webservices selbst eine Identität besitzen müssen. Erschwerend komme hinzu, dass die Kommunikation Drittparteien involvieren kann. Etwa, weil die Benutzerauthentifizierung mittels Single Sign-on realisiert ist. In solchen Fällen ist ein Management verteilter Identitäten, über Hersteller-, Organisations- und Rechtsgrenzen hinweg, nötig.
Lubichs pointiertes Fazit zum Stand der Technik: «Die einzige Hardware, auf der Webservices problemlos laufen, sind Tageslichtprojektoren.» Die Realität scheitere bereits an mangelnden Standards für solche Webserivces-Konglomerate. Standardisierungsgremien gebe es zwar genug. Doch seien ihre Definitionen oft inkompatibel. Nicht zuletzt, da manche Gruppierungen von Herstellerinteressen dirigiert würden.
Catharina Bujnoch



Das könnte Sie auch interessieren