Digitale Identitäten an den Hochschulen

22. Oktober 2020
Oktober 2020

Digitale Identitäten sind die Grundlage einer digitalisierten Hochschule. Seit 1999 stellt SWITCH dazu die SWITCHaai-Infrastruktur bereit. Im Moment läuft die Umstellung auf die SWITCH edu-ID, die auf einer zentralen lebenslangen Identität basiert. Doch was kommt danach? Trends zeigen in Richtung dezentrale Identitäten.

Dr. Annett Laube, Professorin für Informatik, Leiterin Institute for Data Applications and Security IDAS, BFH
Gerhard Hassenstein, Professor für Informatik, BFH
Der Ausgangspunkt einer digitalen Infrastruktur an einer Hochschule ist ein funktionierendes Identitätsmanagement. Nur so wird es möglich, dass Studierende und Mitarbeiter jederzeit auf die benötigten elektronischen Dienste und Applikationen zugreifen können.

Isoliertes und föderales Identitätsmanagement

Seit über 20 Jahren unterstützt SWITCH Universitäten und Hochschulen bei der Etablierung von organisationsbezogenen Identitätsdiensten, um den Anforderungen an eine moderne digitale Infrastruktur gerecht zu werden. Zuvor waren nur einzelne Anwendungen online verfügbar, jede mit einer eigenen unabhängigen Benutzerverwaltung (siehe Abb. 1). Das hatte besonders für den Benutzer entscheidende Nachteile, da jede Anwendung ihre Richtlinien für Benutzernamen und Passwort und auch verschiedene Prozesse zur Registrierung und Rechteverwaltung hatte.
Abbildung 1: Isoliertes Identitätsmanagement – Der Benutzer ist nur der jeweiligen Applikation bekannt.
Erst mit der Einführung der SWITCHaai-Infrastruktur wurde es möglich, innerhalb einer Hochschule für alle Anwendungen denselben Benutzernamen und dasselbe Passwort zu verwenden. Bei diesem sog. föderierten Identitätsmanagement gibt es pro Hochschule einen Identitätsprovider (siehe Abb. 2). Trotz der vielen Vorteile und der hohen Benutzerfreundlichkeit, die dieses Konzept bietet, hat es auch Nachteile. Durch die Bindung der Identität an eine Organisation (Hochschule) geht diese mit der Exmatrikulation bzw. mit Beendigung des Arbeitsverhältnisses verloren.
Abbildung 2: Föderiertes Identitätsmanagement – Die Benutzer werden von einem Identitätsprovider (IdP) verwaltet und können so bei vielen Applikationen verwendet werden.

Der benutzerzentrierte Ansatz

Hier schafft die SWITCH edu-ID Abhilfe. Diese verfolgt nun einen benutzerzentrierten Ansatz. Ein zentraler Identitätsprovider (IdP) steht für die gesamte Hochschullandschaft der Schweiz zur Verfügung und ermöglicht das Konzept des lebenslangen Lernens, da die Identität nach jedem Besuch einer Hochschule beibehalten wird. Dieser spezialisierte IdP hat den weiteren Vorteil, dass er schneller auf technologische Neuerungen reagieren kann und z.B. Mehrfaktorenauthentifizierungen oder aktuelle Authentifizierungsprotokolle wie OpenID Connect (OIDC) anbieten kann, das auch für Smartphones geeignet ist. Damit können alle Hochschulen und deren Anwendungen gleichzeitig von den technischen Verbesserungen profitieren.
Doch ein zentralisiertes Identitätsmanagement birgt auch Gefahren in Bezug auf Schutz der Daten und Privatsphäre. Aufgrund seiner zentralen Rolle könnte der IdP Daten über die Benutzer sammeln. Er ist verantwortlich für die Sicherheit der ihm anvertrauten Identitätsdaten. Ein weiteres Problem besteht darin, dass sich der IdP an die Anwendung mit den geringsten Sicherheitsanforderungen anpassen muss, um möglichst kompatibel zu bleiben und um eine breite Basis an möglichen Anwendungen unterstützen zu können.

Self-Sovereign Identities (SSI)

Daher untersucht SWITCH zusammen mit der Forschungsgruppe Identity and Access Management IAM des Institute for Data Applications and Security IDAS im Rahmen des SWITCH InnoLabs Self-Sovereign Identities (SSI) die Einsatzmöglichkeiten eines benutzerorientierten, aber dezentralen Identitätsmanagements an den Schweizer Hochschulen und die Rollen, die Hochschulen und SWITCH dabei einnehmen könnten.
Mit SSI werden die Identitätsinformationen eines Benutzers unabhängig von einer zentralisierten Registrierungs- oder Zertifizierungsstelle erstellt und verwaltet. Der Benutzer steht als Eigentümer seiner elektronischen Identität im Mittelpunkt, denn nur er ist im Besitz seiner persönlichen Daten (und niemals ein zentraler Dienst oder ein staatlicher Herausgeber). Dieses Modell entspricht dem der realen Welt, bei dem jeder seine Ausweisdokumente in seinem Portemonnaie (engl. wallet) mit sich herumträgt und bei Bedarf benutzt.
Wie in Abb. 3 dargestellt, ist der Benutzer sein eigener Identity Provider. Er erstellt sein Schlüsselmaterial, seine Identität und seine Daten von Beginn an selbst. Identität und Daten befinden sich in seinem ID-Wallet auf dem Smartphone oder im Browser. Mit der Bestätigung der Daten durch eine vertrauenswürdige Instanz, z. B. durch den Staat oder eine Hochschule, gewinnen diese an Wert und Vertrauen. Bei einer Authentifizierung muss nun der Besitzer beweisen, dass er in Besitz seines privaten Schlüssels ist. Die Webanwendung kann im Anschluss die Richtigkeit der Benutzerdaten in einem öffentlichen Register prüfen.
Abbildung 3: Self-Sovereign Identity – Der Benutzer ist sein eigener IdP. Autoritative Instanzen, z. B. der Staat oder die Hochschule, können die Benutzerdaten bestätigen und so ein Vertrauensverhältnis zum Benutzer herstellen.
Der Paradigmenwechsel, der mit SSI angestrebt wird, hat eine grosse Menge von Vorteilen, aber es gibt auch noch ungelöste Fragen. SSI bietet durch ihren dezentralen Ansatz einen besseren Schutz der Privatsphäre als zentrale Identitätslösungen und entspricht damit besser den Anforderungen der Datenschutzgesetzte, z.B. der EU-Datenschutz-Grundverordnung (DSGVO). Die Lösung ist sehr offen, aber prinzipiell kompatibel mit den heutigen Systemen. Die notwendigen Standards zu Decentralized Identifiers (DID) und Verifiable Credentials (beglaubigte Eigenschaften) sind in Vorbereitung. Erste Implementierungen existieren.
SSI zeichnet sich durch eine starke Einbindung des Benutzers aus, der seine Identität selbst verwalten muss. Hier helfen sog. User-Agents, die Komplexität zu meistern. Aber die Herausforderung, die Benutzerfreundlichkeit auf ein Niveau zu bringen, dass der tägliche Gebrauch selbstverständlich wird, ist noch zu meistern. Auch das Problem der Wiederherstellung einer solchen dezentralen Identität, z. B. bei Verlust des Smartphones, wartet noch auf eine einfache, alltagstaugliche Lösung.