Logo des Repositoriums
 

HMD 60(2) - April 2023 - Digitale Identitäten

https://dl.gi.de/handle/20.500.12116/41089

Autor*innen mit den meisten Dokumenten  

Anke, Jürgen
3
Knoll, Matthias
2
Kostic, Sandra
2
Auth, Gunnar
1
Babel, Matthias
1
Auflistung nach:

Neueste Veröffentlichungen

1 - 10 von 17
  • Zeitschriftenartikel
    Cyber-Sicherheit für kritische Energieinfrastrukturen – Handlungsempfehlungen zur Umsetzung einer Zero-Trust-Architektur
    (HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Buck, Christoph; Eymann, Torsten; Jelito, Dennis; Schlatt, Vincent; Schweizer, André; Strobel, Jacqueline; Weiß, Florian
    Kritische Infrastrukturen – wie diejenigen der Sektoren Wasser, Energie und Ernährung – bilden die Grundlage einer funktionierenden, modernen Gesellschaft. Eine Kompromittierung dieser Infrastrukturen kann zu weitreichenden Störungen und Gefahren für Leib und Leben führen. Der Schutz sowie die Sicherstellung des Betriebs kritischer Infrastrukturen sind deshalb von entscheidender Bedeutung. Während in der Vergangenheit hauptsächlich der physische Schutz vor Angriffen im Mittelpunkt stand, entstehen durch die zunehmende Digitalisierung kritischer Infrastrukturen zusätzliche Angriffspunkte und Risiken. Im Gegensatz zu herkömmlichen Ansätzen zur Absicherung kritischer Energieinfrastrukturen kann eine Absicherung mithilfe einer Zero-Trust-Architektur die mit diesen Entwicklungen einhergehenden Anforderungen erfüllen. Aufgrund der verhältnismäßig geringen Verbreitung von Zero-Trust-Architekturen im kritischen Energieinfrastruktursektor existiert bisher allerdings nur unzureichend praxisrelevante Literatur zur Entwicklung und Implementierung einer solchen Architektur. Diese Arbeit stellt daher sowohl die Erfahrungen aus einem laufenden Entwicklungs- und Implementierungsprojekt als auch die hiervon abgeleiteten technischen und organisationalen Handlungsempfehlungen im Rahmen eines Action-Design-Forschungsansatzes vor und trägt dadurch zur Schließung dieser Forschungslücke bei. Critical infrastructures—such as water, energy, and food supply—provide the foundation for a functioning modern society. Any compromise of these infrastructures could result in widespread disruption and pose a threat to life and health. Protecting and ensuring the operational continuity of critical infrastructures is therefore decisive. While the focus in the past was primarily on protection against physical attacks, the increasing use of digital technologies in critical energy infrastructures is creating additional potential points of attack. In contrast to conventional approaches protecting critical energy infrastructures, Zero-Trust-Architectures are able to meet the requirements resulting from these developments. Due to the comparatively low level of adoption of Zero-Trust-Architectures in critical energy infrastructure sectors, only limited practice-related literature exists until today on the development and implementation of such architectures. Therefore, this paper presents the experiences gained from an ongoing development and implementation project in the form of an action-design research approach, thereby contributing to filling this research gap.
  • Zeitschriftenartikel
    Vertrauen durch digitale Identifizierung: Über den Beitrag von SSI zur Integration von dezentralen Oracles in Informationssysteme
    (HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Babel, Matthias; Gramlich, Vincent; Guthmann, Claus; Schober, Marcus; Körner, Marc-Fabian; Strüker, Jens
    Die Vernetzung kommunikationsfähiger Geräte schreitet aktuell schnell voran und verspricht durch eine Ende-zu-Ende-Digitalisierung von Prozessen Effizienzgewinne und neue Anwendungsmöglichkeiten. Die Verifizierung von Endgeräten ist insbesondere bei kritischen Infrastrukturen wie der Energieversorgung eine notwendige Bedingung. Unter anderem für die aktive Integration von Kleinstanlagen wie Photovoltaikanlagen oder Wärmepumpen in das Stromnetz stellt sich die Frage, wie Stamm- und Bewegungsdaten von Verbrauchs- und Erzeugungsanlagen vertraulich und unverändert verfügbar gemacht werden können. Mit der Beantwortung dieser Fragestellung hat sich das Projekt „Digitale Maschinen-Identitäten als Grundbaustein für ein automatisiertes Energiesystem (BMIL)“ im Rahmen des Future Energy Lab der Deutschen Energie-Agentur (dena) beschäftigt. Für die vertrauensvolle Einspeisung und Integration von dezentral erzeugten Daten folgt das Projekt dem Paradigma der selbstbestimmten Identitäten (engl.: SSI). Hierbei werden intelligente Messsysteme bzw. Smart Meter Gateways (SMGWs) mit Maschinenidentitäten ausgestattet. Dies ermöglicht Vertrauensketten zu nutzen, um Bewegungsdaten verbunden mit verifizierbaren Stammdaten in digitale Strommärkte zu integrieren. Im Rahmen dieses Artikels werden die Ergebnisse des BMIL-Projekts innerhalb einer Fallstudie aufgearbeitet und konkrete Handlungsempfehlungen für die Praxis zur Lösung des Oracle-Problems mit Hilfe von SSI abgeleitet. The networking of communicating devices is currently advancing rapidly and promises efficiency gains and new applications through an end-to-end digitization of processes. Verification of edge devices is a necessary condition, especially for critical infrastructures such as energy systems. Among others, for the active integration of small assets such as photovoltaic plants or heat pumps into the power grid, the question arises of how master data and transaction data from consumption and generation assets can be made available confidentially and unaltered. The project “Digitale Maschinen-Identitäten als Grundbaustein für ein automatisiertes Energiesystem (BMIL)” funded by the Future Energy Lab of the German Energy Agency (dena) addressed this question. For the trustworthy feed-in and integration of decentrally generated data, the project follows the paradigm of Self-Sovereign Identities (SSI). Here, intelligent metering systems or smart meter gateways (SMGWs) are equipped with machine identities. This allows the use of chains of trust to integrate transaction data combined with verifiable master data into digital energy systems. In this article, the results of the BMIL project are analyzed in a case study and concrete recommendations for solving the oracle problem in practice with the help of SSI are derived.
  • Zeitschriftenartikel
    Nutzen und Grenzen von SSI für Verwaltung und öffentliche Institutionen
    (HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Biedermann, Ben; Handke, Stefan; Jürgenssen, Olivia; Orta, Elizabeth; Schindler, Claudia; Schröder, Robert; Schroll, Lukas; Sonne, Frank
    Digitale, nutzerorientierte Prozesse in Verwaltung und öffentlichen Institutionen benötigen eine sichere und einfach nutzbare Grundlage für Nachweise jeder Art. Das betrifft Nachweise zur persönlichen Identität bis hin zum Nachweis einer eindeutigen Willenserklärung. Mit Self-Sovereign Identity (SSI) wird ein Gesamtkonzept verfügbar, welches grundsätzlich diese Anforderungen erfüllen kann. Jedoch sind die Ansprüche an die Prozesse hoch, der heutige Rechtsrahmen komplex sowie veraltet und der Digitalisierungsgrad heutiger kommunaler Prozesse in der Breite eher gering. Dieses Umfeld birgt große Chancen aber auch Risiken. Der Artikel zeigt auf, wie im Rahmen des vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) geförderten Projektes ID-Ideal das Konzept SSI für kommunale Prozesse erschlossen wird. Da eine breitenwirksame Anwendung verfolgt wird, werden konkrete Anwendungsszenarien prototypisch umgesetzt und getestet. Davon ausgehend wird der Nutzen für die Stakeholder betrachtet. Dabei werden nicht nur wirtschaftliche Aspekte, sondern auch der gesellschaftliche und politische Nutzen untersucht. Den Abschluss der Betrachtungen bilden Ausführungen zu Skalierungspotentiale und Grenzen dieses Konzeptes, technischen und fachlichen Standards sowie im Projekt angestrebten Transfer-Aktivitäten. While the private sector accommodates self-sovereign identity (SSI) systems with flexible policies to new credentials standards and develops value chains around decentralised architectures, the public sector was not yet able to embrace the novel identity paradigm. The bureaucratic limitations of municipalities actions led to the formation of legacy information systems and legislation, which require amendments before established processes, such as registering a residence or initiating a referendum are permitted to be performed online. This article describes solutions to path dependencies of identity systems in municipalities through embedding the efforts of the government funded research project ID-Ideal in a cluster of results from governmental, as well as private sector initiatives for provisioning SSI to institutions in the public sector. The influence of the European Union through legislations and regulations is evident even on a local level. These new expectations by regulators, however, were also shown to initiate the generation of utility for the civil society in Leipzig and Dresden. As a result, a perspective on business, as well as governance models is provided by evaluating their scalability when applied by any given local government authority.
  • Zeitschriftenartikel
    Personal Information Management Systems nach TTDSG
    (HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Bernemann, Julian; Kneuper, Ralf
    Viele Webpräsenzen nutzen Cookies, um die Interessen der Besucher zu ermitteln und Komfortfunktionen anbieten sowie individualisierte Werbung anzeigen zu können. Rechtliche Voraussetzung für derartige Cookies ist meist eine Einwilligung der Besucher. Die aktuell vorherrschende Praxis zur Einholung von Einwilligungen bei Webpräsenzen in Form von Cookie-Bannern wird aber von den Besuchern oft als nervend angesehen und verfehlt daher das eigentliche Ziel einer informierten und freiwilligen Entscheidung. Um diese Schwierigkeit zu adressieren, wurde 2021 mit dem Telekommunikation-Telemedien-Datenschutz-Gesetz das Konzept der „anerkannten Dienste zur Einwilligungsverwaltung“, meist als PIMS bezeichnet, eingeführt. Der vorliegende Beitrag analysiert dieses Konzept und arbeitet die wesentlichen Herausforderungen bei seiner Umsetzung sowie mögliche Lösungsansätze heraus. Dabei zeigen sich eine Reihe von Herausforderungen aus technischer, rechtlicher und wirtschaftlicher Sicht, für die überzeugende Lösungen derzeit nicht absehbar sind. Insbesondere erscheint der Nutzen der PIMS aus Sicht der Betreiber von Webpräsenzen und Werbenetzwerken, aber auch der Nutzer, unter den derzeitigen rechtlichen Rahmenbedingungen nicht ausreichend, dass derartige Dienste sich in der Breite durchsetzen können. Many websites use cookies to determine the interests of visitors and to offer convenience functions and to display individualized advertising. However, the legal prerequisite for such cookies is usually the consent of the visitor. However, the current practice of obtaining consent for web presences via cookie banners is often seen as annoying by visitors and therefore misses the actual goal of an informed and voluntary decision. To address this difficulty, the Telecommunications Telemedia Privacy Act, which came into force in 2021, introduced the concept of “recognized consent management services”, usually referred to as PIMS. This paper analyzes this concept and elaborates on the main challenges in its implementation as well as possible solutions. This reveals several challenges from a technical, legal and economic perspective, for which convincing solutions are currently not foreseeable. In particular, the benefits of PIMS from the point of view of operators of web presences and advertising networks, but also of users, do not seem sufficient under the current legal framework for such services to become widely accepted.
  • Zeitschriftenartikel
    Auf der Suche nach ökonomisch tragfähigen Identitäts-Ökosystemen: Gibt es einen Markt für digitale IDs?
    (HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Kubach, Michael; Roßnagel, Heiko
    Die Unzufriedenheit mit bestehenden digitalen Identitätslösungen ist groß. Insbesondere Politik und Wirtschaft drängen auf die Entwicklung neuer Identitäts-Ökosysteme. Anstatt auf Defizite in Usability, Security und Datenschutz bestehender Lösungen zu fokussieren, nimmt diese Arbeit die für die Verbreitung von digitalen Identitätsmanagementlösungen ebenso bedeutsamen ökonomischen Aspekte in den Blick. Es wird analysiert, wie ID-Ökosysteme ökonomisch tragfähig aufgebaut und betrieben werden könnten, was entsprechend eine Zahlungs- oder Investitionsbereitschaft von irgendeiner Seite erfordert. Die Analyse wird über eine Betrachtung der Endnutzer-Anreize zur Adoption hinaus über die weiteren Ökosystemteilnehmer insbesondere auf die Serviceprovider erweitert, da bei diesen am Ehesten eine Zahlungsbereitschaft für ID-Services erwartbar ist. Somit stellt sich die Frage, ob und unter welchen Rahmenbedingungen ein Markt für digitale Identitäten entstehen kann und welche Einführungsstrategien – unter Beteiligung der öffentlichen Hand – bestehen. There is great dissatisfaction with existing digital identity solutions. Politics and business in particular are pushing for the development of new identity ecosystems. Instead of focusing on deficits in usability, security and data protection of existing solutions, this paper takes a look at the economic aspects that are just as important for the spread of digital identity management solutions. It analyzes how ID ecosystems could be set up and operated in an economically viable manner, which accordingly requires a willingness to pay or invest from some side. The analysis is extended beyond a consideration of end-user incentives for adoption to include the other ecosystem participants and, in particular, service providers, since these are the ones most likely to be willing to pay for ID services. This raises the question of whether and under what conditions a market for digital identities can emerge and what introduction strategies exist—with the involvement of the public sector.
  • Zeitschriftenartikel
    Ist das die Wallet der Zukunft?
    (HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Krauß, Anna-Magdalena; Sellung, Rachelle A.; Kostic, Sandra
    Heutzutage werden digitale Identitäten oft unsicher umgesetzt und sind mit der Erstellung von vielen unterschiedlichen Accounts durch Nutzende verbunden. Das soll langfristig durch die Nutzung sogenannter Digital Identity Wallets verbessert werden. Diese Wallets ermöglichen die Verwaltung und Nutzung von digitalen Identitäten sowie Nachweisdokumenten. Dazu gehören unter anderem Nachweise wie der Führerschein, der Bibliotheksausweis oder auch Flugtickets. Alle diese Daten können gemeinsam in einer Wallet-App auf den Endgeräten der Nutzenden gespeichert werden. Die Nutzenden verwalten ihre Daten eigenständig und entscheiden selbst darüber, welche und wie viele Daten sie über sich preisgeben wollen. Aktuelle Forschungen zeigen allerdings, dass die bisher entwickelten Wallets Usability-Probleme aufweisen, sodass Nutzende nur schwer das Konzept dieser Wallets greifen können. Zudem weisen heutige digitale Dienstleistungen zahlreiche Hürden auf, welche den Einsatz von digitalen Identitäten erschweren. In diesem Beitrag wird basierend auf einer Wallet-Analyse und User-Experience-Anforderungen ein Konzeptvorschlag für eine nutzungsfreundlichere Wallet vorgestellt, bei der die Nutzenden im Mittelpunkt stehen. So sieht dieses Konzept einen umfangreicheren Funktionsumfang im Vergleich zu aktuellen Wallet Umsetzungen vor, mit dem Ziel die Wallet stärker den Bedürfnissen der Nutzenden anzupassen. Darunter fallen Funktionen wie die Kommunikation zwischen Wallet und Dienstanbieter ohne die Notwendigkeit des Teilens von Kontaktdaten, die Option der Dauervollmachten zur Freigabe von Daten, die Möglichkeit der Verwaltung von Daten in Vertretung anderer Personen sowie die Organisation der eigenen Daten. Today, digital identities are often implemented insecurely and are associated with the creation of many different accounts by users. In the long-term, these challenges should be addressed using so-called digital identity wallets. These wallets enable the management and use of digital identities and verification documents. For example, this includes documents like driver’s licenses, library cards and airline tickets. All this data can be stored together in a wallet app on users’ smart phones. Users manage their data independently and decide for themselves which and how much data they want to disclose about themselves. However, current research shows that the wallets developed to date have usability problems, making it difficult for users to grasp the concept of these wallets. In addition, today’s digital services have numerous hurdles that make the use of digital identities difficult. This paper is based the creation of generic user experience requirements and the analysis of wallets and their functionality. We present a conceptual proposal for a more user-friendly wallet that focuses on the user. This concept includes a more extensive range of functions compared to current wallet implementations, with the goal of adapting the wallet more closely to the needs of the users. This contains functions like; communication between the wallet and the service provider without the need to share contact data, the option of enduring powers of attorney to share data, the ability to manage data on behalf of others, and the organization of one’s own data.
  • Zeitschriftenartikel
    Digitale Identitäten
    (HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Anke, Jürgen; Knoll, Matthias
  • Zeitschriftenartikel
    Rezension „Cyber-Sicherheit“
    (HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Knoll, Matthias
  • Zeitschriftenartikel
    Prozessorientierte Vertrauensniveaubestimmung für digitale Verwaltungsleistungen der kommunalen Ebene
    (HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Dorenbusch, Luise; Auth, Gunnar; Pflüger, Cornelia
    Obwohl der Vertrauensniveaufestlegung bei der Digitalisierung von Verwaltungsleistungen gemäß Onlinezugangsgesetz (OZG) eine wesentliche Stellung zukommt, fehlt es bis heute an einem zuverlässigen und praxistauglichen Verfahren zur Durchführung in der kommunalen Verwaltung. Während diese Problemstellung in der Forschung bislang kaum Beachtung fand, sind vorhandene Handlungsempfehlungen und Arbeitshilfen aufgrund mangelnder Stringenz, Klarheit und Aktualität nur sehr eingeschränkt in der kommunalen Verwaltungspraxis verwendbar. Die Vertrauensniveaubestimmung wird in diesem Beitrag als praktisch relevantes Problem betrachtet, für dessen Lösung ein Aktionsforschungsprojekt mit der kreisfreien Großstadt Leipzig durchgeführt wurde. Ziel war die Entwicklung eines rechtssicheren, praxistauglichen und zugleich bürgerorientierten Verfahrens. Dazu wurde eine prozessorientierte Perspektive eingenommen, um ausgehend von der Citizen Journey sowohl die Anforderungen einer Kommunalverwaltung als auch diejenigen ihrer Verwaltungskunden zu integrieren. Der Beitrag stellt das prozessorientierte Verfahren zur Vertrauensniveaubestimmung einschließlich eines zugehörigen Assistenztools vor und gibt auf Basis von Evaluationsergebnissen und ersten Anwendungserfahrungen Handlungsempfehlungen für die kommunale Praxis. Determining the appropriate level of assurance (LOA) is a vital step in the digitalization of every administrative service according to the requirements of the German Act to Improve Online Access to Administrative Services (OZG). While this problem has so far received little attention in research, existing recommendations and working aids can only be used to a very limited extent in municipal administrative practice due to a lack of stringency, clarity and topicality. This paper presents the results of an action research project that was carried out with the independent city of Leipzig, Germany. Its aim was the development of a legally secure, practicable and citizen-oriented method for the determination of the LOA, which this paper considers to be a problem of practical relevance. We adopted a process-oriented perspective in order to integrate both the requirements of a municipal administration and those of its administration customers along the citizen journey. The paper introduces the process-oriented procedure for determining the LOA, including a corresponding assistance tool, and gives recommendations for practical action based on initial application experience and evaluation results. We expect our approach to simplify and expedite the process of identifying the appropriate LOA. This is an important prerequisite for meeting the targets of the Act to Improve Online Access to Administrative Services.
  • Zeitschriftenartikel
    Digitale Identitäten
    (HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Anke, Jürgen; Richter, Daniel
    Die digitale Transformation überführt Geschäfts- und Verwaltungsabläufe in den digitalen Raum. Zu deren sicherer und rechtskonformer Durchführung ist es oft notwendig, sich von den notwendigen Eigenschaften der Beteiligten zu überzeugen. Dafür werden digitale Identitäten eingesetzt, die Personen und andere Entitäten mittels Sammlungen von Attributen repräsentieren. Allerdings führt die große Vielfalt von Verfahren und Methoden für das Identitätsmanagement zu hoher Komplexität und Kosten. Als ein vielversprechender Ansatz zur Überwindung dieser Hürden erscheint das Paradigma der selbstbestimmten Identität. Es soll eine durchgängige sichere Identifizierung und Authentifizierung von Personen, Organisationen und Objekten ermöglichen. Dafür werden digitale Nachweise (Verifiable Credentials) über beliebige Sachverhalte von Herausgebern in einer kryptografisch gesicherten Form bereitgestellt. Die Inhaber dieser Nachweise verwalten diese selbst in digitalen Wallets und können sie bei Bedarf an Dritte zum Nachweis von diversen Merkmalen übermitteln. Der vorliegende Beitrag gibt einen Überblick zum aktuellen Stand digitaler Identitäten, den ihnen zugrundeliegenden Verfahren sowie den damit verbundenen praktischen Problemen. Darauf aufbauend werden laufende Aktivitäten zur Entwicklung einheitlich nutzbarer digitaler Nachweise gegeben, die eine Grundlage für künftige digitale Ökosysteme bilden. Zudem wird eine Einordnung in die aktuelle Forschung der Wirtschaftsinformatik zu diesem Thema gegeben. Digital transformation is transferring business and administrative processes into the digital space. To carry them out securely and in compliance with the law, it is often necessary to verify the required attributes the involved parties. Digital identities are used for this purpose, representing persons and other entities through sets of attributes. However, the large variety of procedures and methods for identity management leads to high complexity and costs. The paradigm of self-determined identity appears to be a promising approach to address these challenges. It aims to enable secure end-to-end identification and authentication of persons, organizations and objects. To this end, verifiable credentials are provided by issuers in a cryptographically secured form. The holders of these credentials manage them in digital wallets and can present them to third parties as needed to prove various characteristics. This paper provides an overview of the current state of digital identities, their underlying processes, and the practical problems associated with them. Based on this, ongoing activities for the development of interoperable digital credentials are given, which form the basis for future digital ecosystems. In addition, a classification of related research topics in the field of information systems is given.