In The Code: Nur ein Passwort für alles?

Christoph Graf.
Nur ein Passwort für alles? Wird es die E-ID sein? Christoph Graf von Switch zeigt am Fallbeispiel edu-ID worauf es ankommt, wie die E-ID in Zukunft helfen könnte – und wie nicht.
 
Eine Kuh macht muh, viele Kühe machen Mühe. Das gilt auch für Passwörter. Und so verwundert es wenig, dass viele Leute vielerorts das gleiche Passwort verwenden. Das ist für den Benutzer einfacher, aber leider steigen die Sicherheitsrisiken und man verletzt so oft Nutzungsbedingungen im Kleingedruckten. Es fehlt nicht an Anleitungen und Tipps, wie man sich als Nutzer im Passwortdschungel sicher bewegen sollte. Oft wird zum Einsatz eines Hilfsmittels (z. Bsp. Passwortmanager) geraten um mit einem einzigen Passwort viele Passwörter zu verwalten. Der Haken dabei ist, dass die Nutzerfreundlichkeit eingeschränkt wird und eine gehörige Portion Komplexität trotzdem gleich wieder dort landet, wo man sie wirklich nicht will: bei den Nutzenden.
 
Es geht auch anders, z.Bsp. mit "social logins". Das Passwort fürs soziale Netzwerk (z.B. Facebook oder Google) ist der Schlüssel zu allen Diensten, die dieses soziale Netzwerk als Identitätsprovider akzeptieren. Das ist durchaus praktisch.
 
Einen vergleichbaren Ansatz verfolgen die Vorhaben zum Aufbau einer E-ID in der Schweiz und die Versprechungen klingen vertraut. Im Konzeptpapier "Staatlich anerkannte elektronische Identifizierungsmittel (E-ID)" des Bundesamtes für Polizei fedpol vom 2.2.2017 ist der Einsatzzweck im E-Commerce wie folgt skizziert (Kapitel 4.4.5): "Inhaberinnen und Inhaber können die E-ID bei Online-Shops einsetzen, um sich zu registrieren und sich später erneut sicher anzumelden. […] Denn dann müssen sie sich nicht mit x-verschiedenen unterschiedlichen Benutzernamen und Passworten herumschlagen, sondern können ihre staatlich anerkannte E-ID universell einsetzen.“
 
Switch setzt seit 2005 für den Betrieb der Identitätsföderation der Schweizer Hochschulen erfolgreich auf ein ähnliches Verfahren wie die „social logins“.
 
Trau, schau, wem!
Wo ist der Stolperstein bei diesen Heilsversprechen im Passwortdschungel? Nebst all den Daten, die Nutzende dem sozialen Netzwerk bereits für die Nutzung des Netzwerkes anvertrauen muss, erhält das Netzwerk überdies dadurch auch Randdaten zur Nutzung verknüpfter Dienste. Den gesteigerten Komfort "bezahlen" die Nutzenden indirekt mit ihren Nutzungsdaten: Data is the new oil.
 
Das gilt in anderer Ausprägung bei der E-ID ebenso, wie auch bei der Identitätsföderation der Schweizer Hochschulen. Ob das Zusammenführen von Daten zum Komfortgewinn gerechtfertigt und akzeptabel ist, lässt sich nicht pauschal beantworten.

Fallbeispiel Switch edu-ID: Die Identitätsföderation der Schweizer Hochschulen
Orchestriert durch die Stiftung Switch können seit 2005 Angehörige aller kantonalen Universitäten, der Organisationen des ETH-Bereiches, der Fachhochschulen und der pädagogischen Hochschulen – zurzeit gut 450'000 Nutzende – mit einem einzigen Passwort auf aktuell mehr als 1'000 Services zugreifen.
 
Realisiert ist diese Identitätsföderation unter der Bezeichnung Switchaai als Verbund der SAML Identity Provider, den jede teilnehmende Organisation für die eigenen Angehörigen betreibt. Die Einbindung von Service Providern erfolgt ebenfalls über SAML (Security Assertion Markup Language). Die gemeinsam genutzten SAML-Metadaten werden zentral durch Switch verwaltet und zeitnah den IdPs und Service Providern zur Verfügung gestellt.
 
Aktuell findet ein stufenweiser Umbau dieser Lösung hin zu einem zentralen IdP unter der Bezeichnung Switch edu-ID statt. Dadurch können persistente Nutzeridentitäten geschaffen werden, die Organisationswechsel überdauern und damit das lebenslange Lernen und die Forscherkarrieren besser unterstützen.
 
Was macht es im Falle dieser Hochschullösung akzeptabel, dass durch die wesentlichen Komfort- und Effektivitätsgewinne systembedingt die Identitätsprovider das Nutzungsverhalten erfahren? Folgende Faktoren sind besonders erwähnenswert:
 
Community: Die teilnehmenden Organisationen bilden eine Gemeinschaft mit einer existierenden Vertrauensbasis. Die Hochschulgemeinschaft der Schweiz ist geprägt durch vielfältige Zusammenarbeit, wie gemeinsame Studiengänge, Projekt- und Forschungszusammenarbeit, aber auch gegenseitige Akzeptanz der Abschlüsse.
Scope: Ein klarer Einsatzzweck, der direkt mit der Kerntätigkeit der Community verknüpft ist. In unserem Fall geht es um die Unterstützung der Lehre und Forschung in der Schweiz.
Governance: Klare Spielregeln für alle Beteiligten – auch für Dienstleister – unter Kontrolle der Community. Die Stiftung Switch wird über den Stiftungsrat direkt durch die Hochschulgemeinschaft der Schweiz gesteuert.
 
Damit positioniert sich die Identitätslösung von Switch klar als Sektorlösung, bei der die notwendigen Güterabwägungen unter Kenntnis des Einsatzgebietes mit selber auferlegten Spielregeln innerhalb des Sektors geregelt werden können.
 
Die E-ID kommt. Was kann sie für Switch bedeuten?
 
Im oben erwähnten Zitat des fedpol-Konzeptpapiers können wir zu Beginn klar zwei Einsatzgebiete unterscheiden, die jedoch häufig vermischt werden:
 
• Beim "Registrieren" als einem einmaligen, initialen Vorgang steht das Kennenlernen im Vordergrund, bei dem gesicherte Attribute über den Nutzer übermittelt werden. Je nach Anwendungsfall besteht Interesse diesen Vorgang zu einem späteren Zeitpunkt oder mit gewisser Periodizität zu wiederholen und die erfassten Daten damit „aufzufrischen“.
"Sicher anmelden" unterstützt bei der später erfolgenden, wiederholten Nutzung vielfältiger Angebote die früher registrierten Nutzenden erneut einwandfrei wiederzuerkennen.
 
Aus Sicht von Switch ist die Bedeutung der beiden Einsatzgebiete recht unterschiedlich. Für die sichere Anmeldung der Nutzenden (Authentisieren) am sehr vielseitigen Angebot der Identitätsföderation stehen bereits bestens etablierte Services zur Verfügung. Somit ist eine Übernahme der E-ID im Rahmen der Identitätsföderation zur sicheren Anmeldung aktuell nicht im Fokus.
 
Hingegen ist Unterstützung im Einsatzgebiet "Registrieren" potenziell sehr relevant. Die Erfassung gesicherter Personenattribute (Identifizieren), wie Namen und Geburtsdatum, erfolgt zumeist über eine aufwändige Prüfung physisch vorgelegter Ausweise. Eine E-ID, mit der gesicherte Personenattribute medienbruchfrei erfasst werden können, hat das Potenzial Nutzerregistrationen effektiver abwickeln zu können. Im Hochschulumfeld betrifft das hauptsächlich die Immatrikulations- und Einstellungsprozesse.
 
Was erwartet Switch von der E-ID?
Für Switch ist es somit von grosser Bedeutung, dass bei der Nutzung der E-ID kein Zwang zum Einsatz der Authentisierungslösung besteht, wenn man lediglich die Identifizierungsservices in Anspruch nehmen will. Oder anders formuliert: es muss möglich sein mit der E-ID abgeleitete Identitäten zu pflegen, auch ohne die E-ID umfassend einzusetzen.
 
Wie wichtig dieser Punkt ist zeigt sich in der Erfahrung unserer Kollegen des schwedischen Hochschulnetzwerkes Sunet: Die schwedische de facto E-ID der dortigen Banken schliesst die Unterstützung für abgeleitete Identitäten zum Schutze ihres Business Modells aus. Dieser Konflikt hat dazu beigetragen, dass mit der Freja eID eine alternative E-ID aufgebaut und Sunet zum ersten Grosskunden wird. In der nur auf Schwedisch veröffentlichten Mitteilung von Sunet wird der Konflikt direkter angesprochen . Dies bestätigt indirekt auch den Einwand von Switch in der Vernehmlassungsantwort vom Mai 2017 zum Entwurf eines E-ID-Gesetzes, dass das Roaming-Modell erhebliche Risiken birgt. Mit Interesse sehen wir dem auf Mitte Jahr versprochenen neuen E-ID-Gesetz entgegen.
 
Switch erwartet von der E-ID, dass deren Inhaber diese überall, uneingeschränkt und hindernisfrei einsetzen können – und sei es nur, um sich damit für eine andere, neue Identität erstmalig zu registrieren.
 
Vielleicht erspart uns gerade diese neue Identität viele andere Passwörter? Das spart Mühe.
 
Gleich alles auf ein Passwort setzen und damit alle Nutzungsdaten konzentrieren? Das hingegen macht Mühe. (Christoph Graf)
 
 
Über den Autor: Christoph Graf ist Projektleiter bei der Stiftung Switch und leitet das Erneuerungsprojekt Switch edu-ID für die Identitätsföderation der Schweizer Hochschulgemeinschaft.