Viele Menschen greifen heute beim Login zu einem Webservice auf Single-Sign-On (SSO) zurück. NutzerInnen haben dann die Möglichkeit mit einem bestehenden Login Zugang zu einem weiteren digitalen Service zu erhalten. Der Zugang zu neuen Diensten erfolgt dann ohne einen neuen Login oder Passwort anlegen zu müssen. Im Endeffekt sorgt dies dafür, dass der Zugang zu einem neuen Produkt oder einer Dienstleistung leichter fällt. Das Angebot wird von NutzerInnen wegen seiner Praktikabilität gerne angenommen.
Die bekanntesten Beispiele für SSO-Dienste sind wohl facebook-, linkedin- oder Google-Konten. Tech-Riesen ermöglichen NutzerInnen damit sozusagen eine Eil-Anmeldung. Dank dieser Maßnahme ersparen sie uns den Anmeldeprozess. Das ist bequem und spart Zeit.
Nachteile von Single Sign-On
Natürlich ist dies auch mit Nachteilen verbunden. Zunächst einmal laufen dann sämtliche Logins über Tech-Riesen. Datenschützer weisen regelmäßig auf die damit verbundene Gefahr durch die Anhäufung von Metadaten hin.
„Mit xy anmelden” steigert das Risiko durch den Hack eines einzigen Passworts seine vollumfängliche Onlineaktivität offenzulegen. Durch Zugriff auf die Zugangsdaten zu einem SSO-Dienst gewinnen Cyberkriminelle im schlimmsten Fall sogar Kenntnis über alle von uns genutzten Webservices. Laut CRIF stiegen die Übergriffe durch Identitätsklau während der Pandemie um über 26%.
Es gibt bereits Möglichkeiten dem Passwortklau vorzubeugen. Häufig setzen digitale Dienste zum Beispiel die Nutzung von Zwei-Faktor-Authentifizierung voraus. Bei diesem Modell wird das gemeinsame Geheimnis eines Benutzernamens und eines Passworts („etwas, das Sie kennen“) mit dem Zugriff auf ein Gerät wie einen Token oder eine SIM-Telefonnummer mit dem Konto verknüpft. Diese zweite Sicherheitsebene macht Ihr Passwort für Hacker bedeutungslos, es sei denn, sie haben auch Ihr Telefon. Dies ist jedoch wieder aufwendiger und wirkt sich maßiv auf das User-Erlebnis aus.
Das Problem liegt also in der zentralen Datenhaltung der die Onlinezugänge verwaltet. Ein Alternativer Ansatz zur Lösung dieses Problems wäre daher eine dezentrale Datenhaltung.
Verifizierte Personendaten im Unternehmen
Auch Unternehmen die auf SSO-Dienste zurückgreifen haben ein großes Problem. Im Prinzip wissen sie nämlich nicht genau wer ihre Kund:innen sind, denn die Personendaten der Konten sind meist nicht verifiziert oder meist sehr schwach. Den SSO-Diensten liegt also keine gesicherte digitale Identität zugrunde. Die Schlagzeilen um Fake-Accounts auch bei großen Unternehmen mehren sich regelmäßig.
Ein möglicher Weg für das Unternehmen wäre nun auf der eigenen Plattform einen eigenen SSO Dienst aufzubauen. Allerdings wird damit nichts gewonnen, denn das Ergebnis ist nur es ein weiteres Datensilo welches auf die alte herkömmliche Weise mit Daten bestückt wird und unter den GDPR Maßgaben gepflegt und geschützt werden muss. Für den User selbst gibt es ebenfalls keinen essentiellen Vorteil mit dieser Variante, denn für ihn ist es nur ein weiters Datensilo mit SSO Zugang welches er nicht wirklich verwalten kann.
SSI und SSO sind nicht dasselbe
SSO und SSI sehen ähnlich aus und klingen verwandt. Es sind jedoch grundverschiedene Systeme. SSI steht für Self-Sovereign Identity. Im Fall von SSI steht eine überprüfte digitale Identität mit ganz oben im Lastenheft. Viel wichtiger ist jedoch die grundlegende Struktur der Datenhaltung, diese ist dezentral. SSO hingegen ist die zentral gesteuerte Identität, mit meist schwacher Verifizierung der Daten.
Bei SSI Dabei legen NutzerInnen ihre Daten in einer privaten Wallet auf ihrem Smartphone ab. Diese Wallet ist nur ihnen selbst zugänglich. Die dort hinterlegten Dokumente wurden vorher von unabhängigen Dritten wie Banken oder Institutionen verifiziert. Hierzu werden Zertifikate, welche keine Rückschlüsse auf den Besitzer zulassen, ausgestellt und in einer Blockchain gespeichert. Nutzer teilen während eines Geschäftsvorgangs lediglich die hinterlegten Zertifikate. Sie behalten so die volle Kontrolle über ihre personenbezogenen Daten. Unternehmen erhalten legitimierte Zertifikate. In unserem Beispiel könnte das zum Beispiel ein Zertifikat über ein Mindestalter sein. Die Übertragung des Zertifikats ist datensparsam und effizient. Mit dem Wegfall der Übertragung umfangreicher Daten sinkt außerdem der Aufwand der Datenverwaltung. Das wiederum senkt Datenschutzrisiken.
Durch die dezentrale Speicherung der Zertifikate ermöglicht SSI ganz nebenbei dann auch einen bequemen Login mit SSO. Will man einen Account bei einem neuen Service wie zum Beispiel einem Mobilitätsdienstleister anlegen, muss man keinen neuen Verifikationsprozess mehr initiieren. Stattdessen kann hier auf bereits in der Wallet gespeicherte Zertifikate zurückgegriffen werden.
SSO ist super, aber bitte nur mit SSI
Wenn es die Zielvorgabe ist den Anmeldeprozess onlin zu vereinfachen, sollte Datensicherheit nicht unter den Tisch fallen. Das neue Paradigma selbstsouveräne Identität bietet Unternehmen wie auch NutzerInnen klar eine Vielzahl von Vorteilen, und liefert dazu noch den Vorteil die Reibungsverluste beim Kundengewinn online zu verringern.
Die Wallet von myEGO bringt damit die Vorteile von SSI-Technologie direkt zu den NutzerInnen. Mit der Wallet von myEGO setzen wir viele Vorteile mit einer einzigen Anbindung um: Online und offline einsetzbar, verschiedene Zertifikatsaussteller lassen sich problemlos anbinden, und Login ohne Datenüberstellung wird problemlos möglich.