Auflistung HMD 60(2) - April 2023 - Digitale Identitäten nach Erscheinungsdatum
1 - 10 von 17
Treffer pro Seite
Sortieroptionen
- ZeitschriftenartikelPersonal Information Management Systems nach TTDSG(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Bernemann, Julian; Kneuper, RalfViele Webpräsenzen nutzen Cookies, um die Interessen der Besucher zu ermitteln und Komfortfunktionen anbieten sowie individualisierte Werbung anzeigen zu können. Rechtliche Voraussetzung für derartige Cookies ist meist eine Einwilligung der Besucher. Die aktuell vorherrschende Praxis zur Einholung von Einwilligungen bei Webpräsenzen in Form von Cookie-Bannern wird aber von den Besuchern oft als nervend angesehen und verfehlt daher das eigentliche Ziel einer informierten und freiwilligen Entscheidung. Um diese Schwierigkeit zu adressieren, wurde 2021 mit dem Telekommunikation-Telemedien-Datenschutz-Gesetz das Konzept der „anerkannten Dienste zur Einwilligungsverwaltung“, meist als PIMS bezeichnet, eingeführt. Der vorliegende Beitrag analysiert dieses Konzept und arbeitet die wesentlichen Herausforderungen bei seiner Umsetzung sowie mögliche Lösungsansätze heraus. Dabei zeigen sich eine Reihe von Herausforderungen aus technischer, rechtlicher und wirtschaftlicher Sicht, für die überzeugende Lösungen derzeit nicht absehbar sind. Insbesondere erscheint der Nutzen der PIMS aus Sicht der Betreiber von Webpräsenzen und Werbenetzwerken, aber auch der Nutzer, unter den derzeitigen rechtlichen Rahmenbedingungen nicht ausreichend, dass derartige Dienste sich in der Breite durchsetzen können. Many websites use cookies to determine the interests of visitors and to offer convenience functions and to display individualized advertising. However, the legal prerequisite for such cookies is usually the consent of the visitor. However, the current practice of obtaining consent for web presences via cookie banners is often seen as annoying by visitors and therefore misses the actual goal of an informed and voluntary decision. To address this difficulty, the Telecommunications Telemedia Privacy Act, which came into force in 2021, introduced the concept of “recognized consent management services”, usually referred to as PIMS. This paper analyzes this concept and elaborates on the main challenges in its implementation as well as possible solutions. This reveals several challenges from a technical, legal and economic perspective, for which convincing solutions are currently not foreseeable. In particular, the benefits of PIMS from the point of view of operators of web presences and advertising networks, but also of users, do not seem sufficient under the current legal framework for such services to become widely accepted.
- ZeitschriftenartikelInteroperable Selbstsouveräne Identitäten: Ein Digital Markets Act für Endnutzer?(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Yildiz, Hakan; Philipp, Artur; Schulte, Aljoscha; Küpper, Axel; Göndor, Sebastian; Rodriguez Garzon, SandroDer Digital Markets Act zielt darauf ab, den unilateralen Markteinfluss der Betreiber (sogenannte Gatekeeper) zentraler Plattformdienste, wie z. B. App-Stores, zu regulieren. In vielen Fällen zwingen Gatekeeper ihren Geschäftskunden (den Dienstanbietern) die Integration eigener Plattform-Identitätsdienste in ihren Diensten und Anwendungen auf. So benötigen die Endnutzer der Dienstanbieter digitale Identitäten, die durch Plattform-Identitätsdienste bereitgestellt und verwaltet werden müssen, um auf die angebotenen Anwendungen der Dienstanbieter zugreifen zu können. Der Digital Market Act sieht vor, dass Plattformanbieter ihre Geschäftskunden nicht dazu zwingen dürfen, plattformspezifische Identitätsdienste in die Anwendungen und Dienste der Geschäftskunden zu integrieren. Zwar können nach dem Digital Markets Act Dienstanbieter die Identitätsdienste frei wählen, aber die Endnutzer sind weiterhin dazu gezwungen, die von den Dienstanbietern angebotenen Identitätsdienste zu verwenden. Das neue Paradigma der selbstsouveränen Identitäten (Self-sovereign identity, SSI) verspricht Endnutzern unabhängig von Identitätsdiensten Kontrolle und Hoheit über ihre digitalen Identitäten. Die Zahl der Dienste und Anwendungen, welche das SSI-Paradigma umsetzen, nimmt rapide zu. Zugrundeliegende Standards und Protokolle unterscheiden sich jedoch teils signifikant. Aufgrund dieser Divergenz ist das Sicherstellen der Interoperabilität unterschiedlicher Dienste und Anwendungen, die das SSI-Paradigma umsetzen, einer der größten Herausforderungen, um eine breite Nutzerakzeptanz zu erreichen. In diesem Artikel diskutieren wir die Herausforderungen der Interoperabilität im Detail, bieten einen systematischen Ansatz zu ihrer Beseitigung und zeigen ein praktisches Beispiel auf nationaler Ebene in Deutschland. The Digital Markets Act aims to regulate the unilateral market influence of operators (so-called gatekeepers) of central platform services, such as app stores. In many cases, gatekeepers force their business customers (service providers) to integrate their platform identity services into the services and applications of the business customers. Thus, the end users of service providers require digital identities to be provisioned and managed by platform identity services to access the service providers’ applications and services. The Digital Markets Act provides that platform providers may not require their business customers to integrate platform-specific identity services with the applications and services of the business customers. While the Digital Markets Act allows service providers to choose identity services freely, end users are still forced to use the identity services offered by the service providers. The new paradigm of self-sovereign identity (SSI) promises end users control and sovereignty over their digital identities independent of identity services. The number of services and applications implementing the SSI paradigm is proliferating. However, underlying standards and protocols differ, sometimes significantly. Due to this divergence, ensuring the interoperability of different services and applications that implement the SSI paradigm is one of the biggest challenges to achieving broad user adoption. In this article, we discuss the interoperability issues in detail, provide a systematic approach to address them, and show a practical example at the national level in Germany.
- ZeitschriftenartikelCyber-Sicherheit für kritische Energieinfrastrukturen – Handlungsempfehlungen zur Umsetzung einer Zero-Trust-Architektur(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Buck, Christoph; Eymann, Torsten; Jelito, Dennis; Schlatt, Vincent; Schweizer, André; Strobel, Jacqueline; Weiß, FlorianKritische Infrastrukturen – wie diejenigen der Sektoren Wasser, Energie und Ernährung – bilden die Grundlage einer funktionierenden, modernen Gesellschaft. Eine Kompromittierung dieser Infrastrukturen kann zu weitreichenden Störungen und Gefahren für Leib und Leben führen. Der Schutz sowie die Sicherstellung des Betriebs kritischer Infrastrukturen sind deshalb von entscheidender Bedeutung. Während in der Vergangenheit hauptsächlich der physische Schutz vor Angriffen im Mittelpunkt stand, entstehen durch die zunehmende Digitalisierung kritischer Infrastrukturen zusätzliche Angriffspunkte und Risiken. Im Gegensatz zu herkömmlichen Ansätzen zur Absicherung kritischer Energieinfrastrukturen kann eine Absicherung mithilfe einer Zero-Trust-Architektur die mit diesen Entwicklungen einhergehenden Anforderungen erfüllen. Aufgrund der verhältnismäßig geringen Verbreitung von Zero-Trust-Architekturen im kritischen Energieinfrastruktursektor existiert bisher allerdings nur unzureichend praxisrelevante Literatur zur Entwicklung und Implementierung einer solchen Architektur. Diese Arbeit stellt daher sowohl die Erfahrungen aus einem laufenden Entwicklungs- und Implementierungsprojekt als auch die hiervon abgeleiteten technischen und organisationalen Handlungsempfehlungen im Rahmen eines Action-Design-Forschungsansatzes vor und trägt dadurch zur Schließung dieser Forschungslücke bei. Critical infrastructures—such as water, energy, and food supply—provide the foundation for a functioning modern society. Any compromise of these infrastructures could result in widespread disruption and pose a threat to life and health. Protecting and ensuring the operational continuity of critical infrastructures is therefore decisive. While the focus in the past was primarily on protection against physical attacks, the increasing use of digital technologies in critical energy infrastructures is creating additional potential points of attack. In contrast to conventional approaches protecting critical energy infrastructures, Zero-Trust-Architectures are able to meet the requirements resulting from these developments. Due to the comparatively low level of adoption of Zero-Trust-Architectures in critical energy infrastructure sectors, only limited practice-related literature exists until today on the development and implementation of such architectures. Therefore, this paper presents the experiences gained from an ongoing development and implementation project in the form of an action-design research approach, thereby contributing to filling this research gap.
- ZeitschriftenartikelDer Wandel von Vertrauen in eine digitale Identität? – Einblicke in eine Nutzerstudie(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Kostic, Sandra; Poikela, MaijaAusweisdokumente ermögliche es Personen vor Ort eindeutig zu identifizieren. Um bestimmte online Dienste wahrzunehmen zu können, bedarf es auch einer Identifikation im Internet. Hierfür wird eine digitale Identität benötigt. Dieser Beitrag stellt die Ergebnisse von zwei Studien mit Nutzenden (mit jeweils 16 und 12 Teilnehmenden) vor, die auf einem neu entwickelten Konzept einer sogenannten Identity Wallet basieren. Dieses Konzept veranschaulicht, wie Nutzende selbstständig diverse digitale Identitäten, sowohl hoheitliche wie der Personalausweis als auch nicht-hoheitliche wie der Bibliotheksausweis, in einer einzigen App speichern. Somit ist es den Nutzenden möglich ihre Identität mit einer einzigen App bei Dienstanbietern mit unterschiedlichsten Anforderungen an das Ausweisdokument nachzuweisen. Neben der Speicherung von Ausweisen oder auch Nachweisdokumenten, zeigt dieses Identity Wallet Konzept ebenso die Option auf Schlüssel (Fahrzeugschlüssel, Hotelzimmer, etc.) in derselben App zu hinterlegen. Das Konzept wurde 2020 ausgearbeitet und mit 16 Studienteilnehmenden getestet, um nicht nur die Einsatzbereitschaft der Nutzenden, sondern auch das Vertrauen in solch ein Konzept zu evaluieren. Die Teilnehmenden waren offen für den Einsatz der Wallet und vom Konzept überzeugt. In Bezug auf das Thema Vertrauen wiesen die Ergebnisse der Studie daraufhin, dass der Anbieter der Wallet Anwendung Einfluss darauf nimmt, inwieweit Nutzende beschließen, der Anwendung zu vertrauen. Etwa die Hälfte der Teilnehmenden bevorzugten den Staat als Betreiber der Wallet, während die übrigen Teilnehmenden ein privates Unternehmen präferierten. Ein überarbeitetes Konzept der Identity Wallet wurde 2022 erneut mit 12 Studienteilnehmenden getestet. Auch hier wurde die Frage der Einsatzbereitschaft der Nutzenden sowie des Vertrauens evaluiert. Die Studienteilnehmenden zeigten weiterhin eine große Bereitschaft zum Einsatz der Wallet. Allerdings veränderten sich die Ergebnisse zum Thema Vertrauen. Sie weisen darauf hin, dass nur eine Person ein privates Unternehmen als Betreiber der Wallet bevorzugt, während die übrigen Teilnehmenden den Staat favorisieren. ID documents make it possible to identify people uniquely on site. In order to use certain online services, identification is also required on the Internet. This requires a digital identity. This paper presents the results of two studies with users (16 and 12 participants each) based on a newly developed concept of an identity wallet. This concept illustrates how users can independently store various digital identities, both sovereign ones like the ID card and non-sovereign ones like the library card, in a single app. This makes it possible for users to prove their identity with a single app to service providers with a wide range of requirements for the ID document. In addition to storing IDs or verification documents, this identity wallet concept also shows the option to store keys (car keys, hotel rooms, etc.) in the same app. The concept was elaborated in 2020 and tested with 16 study participants to evaluate not only the readiness of the users but also the trust in such a concept. The participants were open to using the wallet and were convinced by the concept. In terms of trust, the results of the study indicated that the provider of the wallet application influences the extent to which users decide to trust the application. About half of the participants preferred the government as the operator of the wallet, while the remaining participants preferred a private company. A revised concept of the Identity Wallet was tested again in 2022 with 12 study participants. Again, the question of user readiness and trust was evaluated. The study participants continued to show a high level of willingness to use the Wallet. However, the results on trust changed. They indicate that only one person prefers a private company to operate the Wallet, while the remaining participants favor the state.
- ZeitschriftenartikelDigitale Identitäten in der physischen Welt: Eine Abwägung von Privatsphäreschutz und Praktikabilität(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Roland, Michael; Höller, Tobias; Mayrhofer, RenéAnforderungen an Datenschutz und Informationssicherheit, aber auch an Datenaktualität und Vereinfachung bewirken einen kontinuierlichen Trend hin zu plattformübergreifenden ID-Systemen für die digitale Welt. Das sind typischerweise föderierte Single-Sign-On-Lösungen großer internationaler Konzerne wie Apple, Facebook und Google. Dieser Beitrag beleuchtet die Frage, wie ein dezentrales, offenes, globales Ökosystem nach dem Vorbild des Single-Sign-On für die digitale, biometrische Identifikation in der physischen Welt aussehen könnte. Im Vordergrund steht dabei die implizite Interaktion mit vorhandener Sensorik, mit der Vision, dass Individuen in der Zukunft weder Plastikkarten noch mobile Ausweise am Smartphone mit sich führen müssen, sondern ihre Berechtigung für die Nutzung von Diensten rein anhand ihrer biometrischen Merkmale nachweisen können. Während diese Vision bereits jetzt problemlos durch Systeme mit einer zentralisierten Datenbank mit umfangreichen biometrischen Daten aller Bürger*innen möglich ist, wäre ein Ansatz mit selbstverwalteten, dezentralen digitalen Identitäten erstrebenswert, bei dem die Nutzer*in in den Mittelpunkt der Kontrolle über ihre eigene digitale Identität gestellt wird und die eigene digitale Identität an beliebigen Orten hosten kann. Anhand einer Analyse des Zielkonflikts zwischen umfangreichem Privatsphäreschutz und Praktikabilität, und eines Vergleichs der Abwägung dieser Ziele mit bestehenden Ansätzen für digitale Identitäten wird ein Konzept für ein dezentrales, offenes, globales Ökosystem zur privaten, digitalen Authentifizierung in der physischen Welt abgeleitet. Requirements on data privacy and information security, as well as data quality and simplification, cause a continuous trend towards federated identity systems for the digital world. These are often the single sign-on platforms offered by large international companies like Apple, Facebook and Google. This article evaluates how a decentralized, open, and global ecosystem for digital biometric identification in the physical world could be designed based on the model of federated single sign-on. The main idea behind such a concept is implicit interaction with existing sensors, in order to get rid of plastic cards and smartphone-based mobile IDs in a far future. Instead, individuals should be capable of proving their permissions to use a service solely based on their biometrics. While this vision is already proven feasible using centralized databases collecting biometrics of the whole population, an approach based on self-sovereign, decentralized digital identities would be favorable. In the ideal case, users of such a system would retain full control over their own digital identity and would be able to host their own digital identity wherever they prefer. Based on an analysis of the trade-off between privacy and practicability, and a comparison of this trade-off with observable design choices in existing digital ID approaches, we derive a concept for a decentralized, open, and global-scale ecosystem for private digital authentication in the physical world.
- ZeitschriftenartikelVertrauen durch digitale Identifizierung: Über den Beitrag von SSI zur Integration von dezentralen Oracles in Informationssysteme(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Babel, Matthias; Gramlich, Vincent; Guthmann, Claus; Schober, Marcus; Körner, Marc-Fabian; Strüker, JensDie Vernetzung kommunikationsfähiger Geräte schreitet aktuell schnell voran und verspricht durch eine Ende-zu-Ende-Digitalisierung von Prozessen Effizienzgewinne und neue Anwendungsmöglichkeiten. Die Verifizierung von Endgeräten ist insbesondere bei kritischen Infrastrukturen wie der Energieversorgung eine notwendige Bedingung. Unter anderem für die aktive Integration von Kleinstanlagen wie Photovoltaikanlagen oder Wärmepumpen in das Stromnetz stellt sich die Frage, wie Stamm- und Bewegungsdaten von Verbrauchs- und Erzeugungsanlagen vertraulich und unverändert verfügbar gemacht werden können. Mit der Beantwortung dieser Fragestellung hat sich das Projekt „Digitale Maschinen-Identitäten als Grundbaustein für ein automatisiertes Energiesystem (BMIL)“ im Rahmen des Future Energy Lab der Deutschen Energie-Agentur (dena) beschäftigt. Für die vertrauensvolle Einspeisung und Integration von dezentral erzeugten Daten folgt das Projekt dem Paradigma der selbstbestimmten Identitäten (engl.: SSI). Hierbei werden intelligente Messsysteme bzw. Smart Meter Gateways (SMGWs) mit Maschinenidentitäten ausgestattet. Dies ermöglicht Vertrauensketten zu nutzen, um Bewegungsdaten verbunden mit verifizierbaren Stammdaten in digitale Strommärkte zu integrieren. Im Rahmen dieses Artikels werden die Ergebnisse des BMIL-Projekts innerhalb einer Fallstudie aufgearbeitet und konkrete Handlungsempfehlungen für die Praxis zur Lösung des Oracle-Problems mit Hilfe von SSI abgeleitet. The networking of communicating devices is currently advancing rapidly and promises efficiency gains and new applications through an end-to-end digitization of processes. Verification of edge devices is a necessary condition, especially for critical infrastructures such as energy systems. Among others, for the active integration of small assets such as photovoltaic plants or heat pumps into the power grid, the question arises of how master data and transaction data from consumption and generation assets can be made available confidentially and unaltered. The project “Digitale Maschinen-Identitäten als Grundbaustein für ein automatisiertes Energiesystem (BMIL)” funded by the Future Energy Lab of the German Energy Agency (dena) addressed this question. For the trustworthy feed-in and integration of decentrally generated data, the project follows the paradigm of Self-Sovereign Identities (SSI). Here, intelligent metering systems or smart meter gateways (SMGWs) are equipped with machine identities. This allows the use of chains of trust to integrate transaction data combined with verifiable master data into digital energy systems. In this article, the results of the BMIL project are analyzed in a case study and concrete recommendations for solving the oracle problem in practice with the help of SSI are derived.
- ZeitschriftenartikelRezension „Self-Sovereign Identity“(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Anke, Jürgen
- ZeitschriftenartikelKonzepte für sichere wallets in dezentralen Identitätsökosystemen(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Bastian, Paul; Kraus, Micha; Fischer, JörgDezentrale Identitätsökosysteme bieten vielversprechende Lösungen für vielfältige Anwendungen in der Privatwirtschaft und öffentlichen Verwaltung. Die Anwendungen haben dabei sehr unterschiedliche Bedürfnisse und regulierte Umgebungen stellen hohe Sicherheitsanforderungen an die wallet und die von ihr verwalteten credentials. Gleichzeitig bietet der Smartphone-Markt ein fragmentiertes Feld an Sicherheitslösungen. Wir untersuchen die sicherheitstechnischen Voraussetzungen einer mobilen, nativen Wallet-Architektur für selbstbestimmte Nutzende und bewerten die vorhandenen sicherheitstechnischen Lösungsbausteine für hardwaregebundene Schlüsselspeicher, Biometrie sowie Gegebenheiten der Betriebssysteme Android und iOS. Die regulatorischen Anforderungen werden durch Maßnahmen wie Gerätebindung, Nutzerbindung sowie Authentisierung der wallet und der anfragenden Partei adressiert. Wir analysieren und bewerten die verschiedenen Varianten und Ausprägungen und leiten daraus einen interoperablen und privatsphäreorientierten Prozess für die vertrauenswürdige Ausstellung und Verifikation von Identitätsnachweisen ab und beschreiben das zugrunde liegende Vertrauensmodell. Wir diskutieren die Vorteile und Nachteile des Systems und geben einen Ausblick auf die weiteren Entwicklungen der Wallet-Sicherheit. Decentralised identity ecosystems offer promising solutions for a wide range of applications in the private sector and in public administration. The applications have very different requirements and regulated environments place high security requirements on the wallet and its credentials. At the same time, the smartphone market offers a fragmented range of security solutions. We investigate the security requirements of a mobile, native wallet architecture for self-sovereign users and evaluate the existing security solution building blocks for hardware-bound key storage, biometrics and features of Android and iOS operating systems. The regulatory requirements are addressed through measures such as device binding, holder binding and authentication of the wallet and the relying party. We analyse and evaluate the different variants and characteristics and derive from these an interoperable and privacy-oriented procedure for the trustworthy issuance and verification of identity credentials, and we describe the underlying trust model. We discuss the pros and cons of the system and provide an outlook on future developments in wallet security.
- ZeitschriftenartikelAuf der Suche nach ökonomisch tragfähigen Identitäts-Ökosystemen: Gibt es einen Markt für digitale IDs?(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Kubach, Michael; Roßnagel, HeikoDie Unzufriedenheit mit bestehenden digitalen Identitätslösungen ist groß. Insbesondere Politik und Wirtschaft drängen auf die Entwicklung neuer Identitäts-Ökosysteme. Anstatt auf Defizite in Usability, Security und Datenschutz bestehender Lösungen zu fokussieren, nimmt diese Arbeit die für die Verbreitung von digitalen Identitätsmanagementlösungen ebenso bedeutsamen ökonomischen Aspekte in den Blick. Es wird analysiert, wie ID-Ökosysteme ökonomisch tragfähig aufgebaut und betrieben werden könnten, was entsprechend eine Zahlungs- oder Investitionsbereitschaft von irgendeiner Seite erfordert. Die Analyse wird über eine Betrachtung der Endnutzer-Anreize zur Adoption hinaus über die weiteren Ökosystemteilnehmer insbesondere auf die Serviceprovider erweitert, da bei diesen am Ehesten eine Zahlungsbereitschaft für ID-Services erwartbar ist. Somit stellt sich die Frage, ob und unter welchen Rahmenbedingungen ein Markt für digitale Identitäten entstehen kann und welche Einführungsstrategien – unter Beteiligung der öffentlichen Hand – bestehen. There is great dissatisfaction with existing digital identity solutions. Politics and business in particular are pushing for the development of new identity ecosystems. Instead of focusing on deficits in usability, security and data protection of existing solutions, this paper takes a look at the economic aspects that are just as important for the spread of digital identity management solutions. It analyzes how ID ecosystems could be set up and operated in an economically viable manner, which accordingly requires a willingness to pay or invest from some side. The analysis is extended beyond a consideration of end-user incentives for adoption to include the other ecosystem participants and, in particular, service providers, since these are the ones most likely to be willing to pay for ID services. This raises the question of whether and under what conditions a market for digital identities can emerge and what introduction strategies exist—with the involvement of the public sector.
- ZeitschriftenartikelEinwurf – Kann Deutschland seine eID noch retten?(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Skierka, Isabel; Parycek, Peter