Auflistung HMD 60(2) - April 2023 - Digitale Identitäten nach Titel
1 - 10 von 17
Treffer pro Seite
Sortieroptionen
- ZeitschriftenartikelAuf der Suche nach ökonomisch tragfähigen Identitäts-Ökosystemen: Gibt es einen Markt für digitale IDs?(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Kubach, Michael; Roßnagel, HeikoDie Unzufriedenheit mit bestehenden digitalen Identitätslösungen ist groß. Insbesondere Politik und Wirtschaft drängen auf die Entwicklung neuer Identitäts-Ökosysteme. Anstatt auf Defizite in Usability, Security und Datenschutz bestehender Lösungen zu fokussieren, nimmt diese Arbeit die für die Verbreitung von digitalen Identitätsmanagementlösungen ebenso bedeutsamen ökonomischen Aspekte in den Blick. Es wird analysiert, wie ID-Ökosysteme ökonomisch tragfähig aufgebaut und betrieben werden könnten, was entsprechend eine Zahlungs- oder Investitionsbereitschaft von irgendeiner Seite erfordert. Die Analyse wird über eine Betrachtung der Endnutzer-Anreize zur Adoption hinaus über die weiteren Ökosystemteilnehmer insbesondere auf die Serviceprovider erweitert, da bei diesen am Ehesten eine Zahlungsbereitschaft für ID-Services erwartbar ist. Somit stellt sich die Frage, ob und unter welchen Rahmenbedingungen ein Markt für digitale Identitäten entstehen kann und welche Einführungsstrategien – unter Beteiligung der öffentlichen Hand – bestehen. There is great dissatisfaction with existing digital identity solutions. Politics and business in particular are pushing for the development of new identity ecosystems. Instead of focusing on deficits in usability, security and data protection of existing solutions, this paper takes a look at the economic aspects that are just as important for the spread of digital identity management solutions. It analyzes how ID ecosystems could be set up and operated in an economically viable manner, which accordingly requires a willingness to pay or invest from some side. The analysis is extended beyond a consideration of end-user incentives for adoption to include the other ecosystem participants and, in particular, service providers, since these are the ones most likely to be willing to pay for ID services. This raises the question of whether and under what conditions a market for digital identities can emerge and what introduction strategies exist—with the involvement of the public sector.
- ZeitschriftenartikelBiometrische Authentifizierungsverfahren im Spannungsfeld von Sicherheit und Nutzerfreundlichkeit(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Jahnke, Johannes; Weitz, Marcel; Echterbruch, Florian; Saleh, SaraWir leben in einer Zeit, in der immaterielles Vermögen den Wert von physischem Vermögen um ein Vielfaches übersteigen kann. Meist sind diese immateriellen Werte von ökonomischem, wissenschaftlichem oder ideellem Wert. In jedem Fall möchten wir sie bestmöglich schützen. Mit Hilfe von biometrischen Authentifizierungsverfahren soll es gelingen, menschliches Versagen und/oder kriminelle Energie in typischen Anwendungsfällen und hinsichtlich ihrer Häufigkeit zu minimieren. Die aktuell gängigen Verfahren zur Sicherung eines Zugangs setzen meist zwei Grundeigenschaften zur Authentifizierung voraus, den „Besitz“ (z. B. Schlüssel oder Token) und/oder das „Wissen“ (z. B. Passwort und PIN). Diese Eigenschaften setzen ein strenges Bewusstsein über die richtige Authentifizierungshardware mit dem dazugehörigen Passwort voraus. Neben der Sicherheit drängt sich damit die Anwenderfreundlichkeit in Verbindung mit Geschwindigkeit und Verfügbarkeit in den Mittelpunkt der Anwendungsfälle. Um dieses Spannungsfeld zu lösen, gewinnen biometrische Authentifizierungsverfahren kontinuierlich an Bedeutung und werden unter den Nutzern über die Jahre beliebter. Neben ad hoc Authentifizierungen anhand Fingerabdrücke oder Gesichtserkennung rücken kontinuierliche Authentifizierung in den Mittelpunkt. Smartphones registrieren im Hintergrund zum Beispiel, dass der Benutzer nach erstmaligem Entsperren, das Smartphone weiterhin bei sich trägt und sperrt den Bildschirm nicht erneut. Künftig mögen Merkmale wie das Wischverhalten oder die Geschwindigkeit beim Tippen als Indikator dienen, um den Nutzer zu authentifizieren. Im Spannungsfeld stehen dem Gegenüber besonders der Datenschutz und die Anwendungsmöglichkeiten. Um diese Vorbehalte aus dem Weg zu räumen und einen Überblick über die Chancen zu geben, werden die Möglichkeiten und Trends biometrischer und verhaltensbiometrischen Authentifizierungsverfahren auf kommunaler, staatlicher und europäischer Ebene analysiert. Zudem werden die notwendigen Voraussetzungen für den Einsatz biometrischer Authentifizierung sowie ihre Grenzen aufgezeigt. We live in a time where intangible assets can exceed the value of physical assets many times over. In most cases, these intangible assets are of economic, scientific or ideal value. In any case, we want to protect them in the best possible way. The commercialization of biometric authentication methods should make it possible to limit human error and/or criminal energy to the lowest common denominator. Current common methods for securing data by system administrators rely on two properties for authentication, “possession” (e.g., key or token) or “knowledge” (e.g., password and PIN). Biometric authentication can replace or complement these, through the user’s “being”. Based on a use case-oriented research, some of the popular biometric authentication methods and their functionalities are presented for this purpose. Based on this, current trends are presented on basis of selected industries in order to increase the security and convenience of the end user. Latest trends show that ad hoc authentication will be less required in the future. Instead, continuous authentication will be used. Smartphones already register by step sequence that the user is still carrying the smartphone after initial unlocking and do not lock the screen again. In the future, features such as swiping behavior, finger pressure or typing speed may serve as indicators to authenticate the user. The focus here is particularly on data protection and the application options. To dispel these reservations and provide an overview of the opportunities, the possibilities and trends of biometric and behavioral authentication methods at the local, state and European level will be analyzed and related to concrete use cases. In addition, the necessary prerequisites for the use of biometric authentication as well as its limitations will be highlighted. Among other things, the results from the current studies on the topics of biometric authentication and smart ID by PwC Germany will be used for this purpose.
- ZeitschriftenartikelCyber-Sicherheit für kritische Energieinfrastrukturen – Handlungsempfehlungen zur Umsetzung einer Zero-Trust-Architektur(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Buck, Christoph; Eymann, Torsten; Jelito, Dennis; Schlatt, Vincent; Schweizer, André; Strobel, Jacqueline; Weiß, FlorianKritische Infrastrukturen – wie diejenigen der Sektoren Wasser, Energie und Ernährung – bilden die Grundlage einer funktionierenden, modernen Gesellschaft. Eine Kompromittierung dieser Infrastrukturen kann zu weitreichenden Störungen und Gefahren für Leib und Leben führen. Der Schutz sowie die Sicherstellung des Betriebs kritischer Infrastrukturen sind deshalb von entscheidender Bedeutung. Während in der Vergangenheit hauptsächlich der physische Schutz vor Angriffen im Mittelpunkt stand, entstehen durch die zunehmende Digitalisierung kritischer Infrastrukturen zusätzliche Angriffspunkte und Risiken. Im Gegensatz zu herkömmlichen Ansätzen zur Absicherung kritischer Energieinfrastrukturen kann eine Absicherung mithilfe einer Zero-Trust-Architektur die mit diesen Entwicklungen einhergehenden Anforderungen erfüllen. Aufgrund der verhältnismäßig geringen Verbreitung von Zero-Trust-Architekturen im kritischen Energieinfrastruktursektor existiert bisher allerdings nur unzureichend praxisrelevante Literatur zur Entwicklung und Implementierung einer solchen Architektur. Diese Arbeit stellt daher sowohl die Erfahrungen aus einem laufenden Entwicklungs- und Implementierungsprojekt als auch die hiervon abgeleiteten technischen und organisationalen Handlungsempfehlungen im Rahmen eines Action-Design-Forschungsansatzes vor und trägt dadurch zur Schließung dieser Forschungslücke bei. Critical infrastructures—such as water, energy, and food supply—provide the foundation for a functioning modern society. Any compromise of these infrastructures could result in widespread disruption and pose a threat to life and health. Protecting and ensuring the operational continuity of critical infrastructures is therefore decisive. While the focus in the past was primarily on protection against physical attacks, the increasing use of digital technologies in critical energy infrastructures is creating additional potential points of attack. In contrast to conventional approaches protecting critical energy infrastructures, Zero-Trust-Architectures are able to meet the requirements resulting from these developments. Due to the comparatively low level of adoption of Zero-Trust-Architectures in critical energy infrastructure sectors, only limited practice-related literature exists until today on the development and implementation of such architectures. Therefore, this paper presents the experiences gained from an ongoing development and implementation project in the form of an action-design research approach, thereby contributing to filling this research gap.
- ZeitschriftenartikelDigitale Identitäten(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Anke, Jürgen; Knoll, Matthias
- ZeitschriftenartikelDigitale Identitäten(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Anke, Jürgen; Richter, DanielDie digitale Transformation überführt Geschäfts- und Verwaltungsabläufe in den digitalen Raum. Zu deren sicherer und rechtskonformer Durchführung ist es oft notwendig, sich von den notwendigen Eigenschaften der Beteiligten zu überzeugen. Dafür werden digitale Identitäten eingesetzt, die Personen und andere Entitäten mittels Sammlungen von Attributen repräsentieren. Allerdings führt die große Vielfalt von Verfahren und Methoden für das Identitätsmanagement zu hoher Komplexität und Kosten. Als ein vielversprechender Ansatz zur Überwindung dieser Hürden erscheint das Paradigma der selbstbestimmten Identität. Es soll eine durchgängige sichere Identifizierung und Authentifizierung von Personen, Organisationen und Objekten ermöglichen. Dafür werden digitale Nachweise (Verifiable Credentials) über beliebige Sachverhalte von Herausgebern in einer kryptografisch gesicherten Form bereitgestellt. Die Inhaber dieser Nachweise verwalten diese selbst in digitalen Wallets und können sie bei Bedarf an Dritte zum Nachweis von diversen Merkmalen übermitteln. Der vorliegende Beitrag gibt einen Überblick zum aktuellen Stand digitaler Identitäten, den ihnen zugrundeliegenden Verfahren sowie den damit verbundenen praktischen Problemen. Darauf aufbauend werden laufende Aktivitäten zur Entwicklung einheitlich nutzbarer digitaler Nachweise gegeben, die eine Grundlage für künftige digitale Ökosysteme bilden. Zudem wird eine Einordnung in die aktuelle Forschung der Wirtschaftsinformatik zu diesem Thema gegeben. Digital transformation is transferring business and administrative processes into the digital space. To carry them out securely and in compliance with the law, it is often necessary to verify the required attributes the involved parties. Digital identities are used for this purpose, representing persons and other entities through sets of attributes. However, the large variety of procedures and methods for identity management leads to high complexity and costs. The paradigm of self-determined identity appears to be a promising approach to address these challenges. It aims to enable secure end-to-end identification and authentication of persons, organizations and objects. To this end, verifiable credentials are provided by issuers in a cryptographically secured form. The holders of these credentials manage them in digital wallets and can present them to third parties as needed to prove various characteristics. This paper provides an overview of the current state of digital identities, their underlying processes, and the practical problems associated with them. Based on this, ongoing activities for the development of interoperable digital credentials are given, which form the basis for future digital ecosystems. In addition, a classification of related research topics in the field of information systems is given.
- ZeitschriftenartikelDigitale Identitäten in der physischen Welt: Eine Abwägung von Privatsphäreschutz und Praktikabilität(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Roland, Michael; Höller, Tobias; Mayrhofer, RenéAnforderungen an Datenschutz und Informationssicherheit, aber auch an Datenaktualität und Vereinfachung bewirken einen kontinuierlichen Trend hin zu plattformübergreifenden ID-Systemen für die digitale Welt. Das sind typischerweise föderierte Single-Sign-On-Lösungen großer internationaler Konzerne wie Apple, Facebook und Google. Dieser Beitrag beleuchtet die Frage, wie ein dezentrales, offenes, globales Ökosystem nach dem Vorbild des Single-Sign-On für die digitale, biometrische Identifikation in der physischen Welt aussehen könnte. Im Vordergrund steht dabei die implizite Interaktion mit vorhandener Sensorik, mit der Vision, dass Individuen in der Zukunft weder Plastikkarten noch mobile Ausweise am Smartphone mit sich führen müssen, sondern ihre Berechtigung für die Nutzung von Diensten rein anhand ihrer biometrischen Merkmale nachweisen können. Während diese Vision bereits jetzt problemlos durch Systeme mit einer zentralisierten Datenbank mit umfangreichen biometrischen Daten aller Bürger*innen möglich ist, wäre ein Ansatz mit selbstverwalteten, dezentralen digitalen Identitäten erstrebenswert, bei dem die Nutzer*in in den Mittelpunkt der Kontrolle über ihre eigene digitale Identität gestellt wird und die eigene digitale Identität an beliebigen Orten hosten kann. Anhand einer Analyse des Zielkonflikts zwischen umfangreichem Privatsphäreschutz und Praktikabilität, und eines Vergleichs der Abwägung dieser Ziele mit bestehenden Ansätzen für digitale Identitäten wird ein Konzept für ein dezentrales, offenes, globales Ökosystem zur privaten, digitalen Authentifizierung in der physischen Welt abgeleitet. Requirements on data privacy and information security, as well as data quality and simplification, cause a continuous trend towards federated identity systems for the digital world. These are often the single sign-on platforms offered by large international companies like Apple, Facebook and Google. This article evaluates how a decentralized, open, and global ecosystem for digital biometric identification in the physical world could be designed based on the model of federated single sign-on. The main idea behind such a concept is implicit interaction with existing sensors, in order to get rid of plastic cards and smartphone-based mobile IDs in a far future. Instead, individuals should be capable of proving their permissions to use a service solely based on their biometrics. While this vision is already proven feasible using centralized databases collecting biometrics of the whole population, an approach based on self-sovereign, decentralized digital identities would be favorable. In the ideal case, users of such a system would retain full control over their own digital identity and would be able to host their own digital identity wherever they prefer. Based on an analysis of the trade-off between privacy and practicability, and a comparison of this trade-off with observable design choices in existing digital ID approaches, we derive a concept for a decentralized, open, and global-scale ecosystem for private digital authentication in the physical world.
- ZeitschriftenartikelEinwurf – Kann Deutschland seine eID noch retten?(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Skierka, Isabel; Parycek, Peter
- ZeitschriftenartikelInteroperable Selbstsouveräne Identitäten: Ein Digital Markets Act für Endnutzer?(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Yildiz, Hakan; Philipp, Artur; Schulte, Aljoscha; Küpper, Axel; Göndor, Sebastian; Rodriguez Garzon, SandroDer Digital Markets Act zielt darauf ab, den unilateralen Markteinfluss der Betreiber (sogenannte Gatekeeper) zentraler Plattformdienste, wie z. B. App-Stores, zu regulieren. In vielen Fällen zwingen Gatekeeper ihren Geschäftskunden (den Dienstanbietern) die Integration eigener Plattform-Identitätsdienste in ihren Diensten und Anwendungen auf. So benötigen die Endnutzer der Dienstanbieter digitale Identitäten, die durch Plattform-Identitätsdienste bereitgestellt und verwaltet werden müssen, um auf die angebotenen Anwendungen der Dienstanbieter zugreifen zu können. Der Digital Market Act sieht vor, dass Plattformanbieter ihre Geschäftskunden nicht dazu zwingen dürfen, plattformspezifische Identitätsdienste in die Anwendungen und Dienste der Geschäftskunden zu integrieren. Zwar können nach dem Digital Markets Act Dienstanbieter die Identitätsdienste frei wählen, aber die Endnutzer sind weiterhin dazu gezwungen, die von den Dienstanbietern angebotenen Identitätsdienste zu verwenden. Das neue Paradigma der selbstsouveränen Identitäten (Self-sovereign identity, SSI) verspricht Endnutzern unabhängig von Identitätsdiensten Kontrolle und Hoheit über ihre digitalen Identitäten. Die Zahl der Dienste und Anwendungen, welche das SSI-Paradigma umsetzen, nimmt rapide zu. Zugrundeliegende Standards und Protokolle unterscheiden sich jedoch teils signifikant. Aufgrund dieser Divergenz ist das Sicherstellen der Interoperabilität unterschiedlicher Dienste und Anwendungen, die das SSI-Paradigma umsetzen, einer der größten Herausforderungen, um eine breite Nutzerakzeptanz zu erreichen. In diesem Artikel diskutieren wir die Herausforderungen der Interoperabilität im Detail, bieten einen systematischen Ansatz zu ihrer Beseitigung und zeigen ein praktisches Beispiel auf nationaler Ebene in Deutschland. The Digital Markets Act aims to regulate the unilateral market influence of operators (so-called gatekeepers) of central platform services, such as app stores. In many cases, gatekeepers force their business customers (service providers) to integrate their platform identity services into the services and applications of the business customers. Thus, the end users of service providers require digital identities to be provisioned and managed by platform identity services to access the service providers’ applications and services. The Digital Markets Act provides that platform providers may not require their business customers to integrate platform-specific identity services with the applications and services of the business customers. While the Digital Markets Act allows service providers to choose identity services freely, end users are still forced to use the identity services offered by the service providers. The new paradigm of self-sovereign identity (SSI) promises end users control and sovereignty over their digital identities independent of identity services. The number of services and applications implementing the SSI paradigm is proliferating. However, underlying standards and protocols differ, sometimes significantly. Due to this divergence, ensuring the interoperability of different services and applications that implement the SSI paradigm is one of the biggest challenges to achieving broad user adoption. In this article, we discuss the interoperability issues in detail, provide a systematic approach to address them, and show a practical example at the national level in Germany.
- ZeitschriftenartikelIst das die Wallet der Zukunft?(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Krauß, Anna-Magdalena; Sellung, Rachelle A.; Kostic, SandraHeutzutage werden digitale Identitäten oft unsicher umgesetzt und sind mit der Erstellung von vielen unterschiedlichen Accounts durch Nutzende verbunden. Das soll langfristig durch die Nutzung sogenannter Digital Identity Wallets verbessert werden. Diese Wallets ermöglichen die Verwaltung und Nutzung von digitalen Identitäten sowie Nachweisdokumenten. Dazu gehören unter anderem Nachweise wie der Führerschein, der Bibliotheksausweis oder auch Flugtickets. Alle diese Daten können gemeinsam in einer Wallet-App auf den Endgeräten der Nutzenden gespeichert werden. Die Nutzenden verwalten ihre Daten eigenständig und entscheiden selbst darüber, welche und wie viele Daten sie über sich preisgeben wollen. Aktuelle Forschungen zeigen allerdings, dass die bisher entwickelten Wallets Usability-Probleme aufweisen, sodass Nutzende nur schwer das Konzept dieser Wallets greifen können. Zudem weisen heutige digitale Dienstleistungen zahlreiche Hürden auf, welche den Einsatz von digitalen Identitäten erschweren. In diesem Beitrag wird basierend auf einer Wallet-Analyse und User-Experience-Anforderungen ein Konzeptvorschlag für eine nutzungsfreundlichere Wallet vorgestellt, bei der die Nutzenden im Mittelpunkt stehen. So sieht dieses Konzept einen umfangreicheren Funktionsumfang im Vergleich zu aktuellen Wallet Umsetzungen vor, mit dem Ziel die Wallet stärker den Bedürfnissen der Nutzenden anzupassen. Darunter fallen Funktionen wie die Kommunikation zwischen Wallet und Dienstanbieter ohne die Notwendigkeit des Teilens von Kontaktdaten, die Option der Dauervollmachten zur Freigabe von Daten, die Möglichkeit der Verwaltung von Daten in Vertretung anderer Personen sowie die Organisation der eigenen Daten. Today, digital identities are often implemented insecurely and are associated with the creation of many different accounts by users. In the long-term, these challenges should be addressed using so-called digital identity wallets. These wallets enable the management and use of digital identities and verification documents. For example, this includes documents like driver’s licenses, library cards and airline tickets. All this data can be stored together in a wallet app on users’ smart phones. Users manage their data independently and decide for themselves which and how much data they want to disclose about themselves. However, current research shows that the wallets developed to date have usability problems, making it difficult for users to grasp the concept of these wallets. In addition, today’s digital services have numerous hurdles that make the use of digital identities difficult. This paper is based the creation of generic user experience requirements and the analysis of wallets and their functionality. We present a conceptual proposal for a more user-friendly wallet that focuses on the user. This concept includes a more extensive range of functions compared to current wallet implementations, with the goal of adapting the wallet more closely to the needs of the users. This contains functions like; communication between the wallet and the service provider without the need to share contact data, the option of enduring powers of attorney to share data, the ability to manage data on behalf of others, and the organization of one’s own data.
- ZeitschriftenartikelKonzepte für sichere wallets in dezentralen Identitätsökosystemen(HMD Praxis der Wirtschaftsinformatik: Vol. 60, No. 2, 2023) Bastian, Paul; Kraus, Micha; Fischer, JörgDezentrale Identitätsökosysteme bieten vielversprechende Lösungen für vielfältige Anwendungen in der Privatwirtschaft und öffentlichen Verwaltung. Die Anwendungen haben dabei sehr unterschiedliche Bedürfnisse und regulierte Umgebungen stellen hohe Sicherheitsanforderungen an die wallet und die von ihr verwalteten credentials. Gleichzeitig bietet der Smartphone-Markt ein fragmentiertes Feld an Sicherheitslösungen. Wir untersuchen die sicherheitstechnischen Voraussetzungen einer mobilen, nativen Wallet-Architektur für selbstbestimmte Nutzende und bewerten die vorhandenen sicherheitstechnischen Lösungsbausteine für hardwaregebundene Schlüsselspeicher, Biometrie sowie Gegebenheiten der Betriebssysteme Android und iOS. Die regulatorischen Anforderungen werden durch Maßnahmen wie Gerätebindung, Nutzerbindung sowie Authentisierung der wallet und der anfragenden Partei adressiert. Wir analysieren und bewerten die verschiedenen Varianten und Ausprägungen und leiten daraus einen interoperablen und privatsphäreorientierten Prozess für die vertrauenswürdige Ausstellung und Verifikation von Identitätsnachweisen ab und beschreiben das zugrunde liegende Vertrauensmodell. Wir diskutieren die Vorteile und Nachteile des Systems und geben einen Ausblick auf die weiteren Entwicklungen der Wallet-Sicherheit. Decentralised identity ecosystems offer promising solutions for a wide range of applications in the private sector and in public administration. The applications have very different requirements and regulated environments place high security requirements on the wallet and its credentials. At the same time, the smartphone market offers a fragmented range of security solutions. We investigate the security requirements of a mobile, native wallet architecture for self-sovereign users and evaluate the existing security solution building blocks for hardware-bound key storage, biometrics and features of Android and iOS operating systems. The regulatory requirements are addressed through measures such as device binding, holder binding and authentication of the wallet and the relying party. We analyse and evaluate the different variants and characteristics and derive from these an interoperable and privacy-oriented procedure for the trustworthy issuance and verification of identity credentials, and we describe the underlying trust model. We discuss the pros and cons of the system and provide an outlook on future developments in wallet security.