Identitätsmanagement in der Public Cloud

Der Informatiker Bernd Zwattendorfer beschreibt in seiner Dissertation einen zielführenden Ansatz für sicheres und datenschutzkonformes Identitätsmanagement in der Public Cloud. Wesentliche Voraussetzung dafür sind international akzeptierte Standards.

Bernd Zwattendorfer
Dipl.-Ing. Mag. Dr. Bernd Zwattendorfer, Jahrgang 1980, arbeitet am Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) der Technischen Universität Graz

E-Government macht das Leben einfacher. Die elektronische Behörde, die 24 Stunden am Tag und sieben Tage die Woche geöffnet hat, soll Bürgerinnen und Bürgern das Leben erleichtern. Doch, wie meistens bei einfachen Lösungen, ist zuvor eine Menge komplexer Problemstellungen zu lösen.

Dreh- und Angelpunkt bei der Kommunikation mit Behörden ist der sichere Nachweis der eigenen, in diesem Fall elektronischen Identität. Was innerhalb von Österreich mit Bürgerkarte und Handy-Signatur gut funktioniert, wird nahezu unmöglich, wenn man die elektronischen Landesgrenzen überschreitet.

Dabei stehen nicht nur Sprachbarrieren im Weg. "Es gilt, zwischen den unterschiedlichen Systemen der einzelnen Länder eine grenzüberschreitende Interoperabilität herzustellen", erklärt Dipl.-Ing. Mag. Dr. Bernd Zwattendorfer vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) der Technischen Universität Graz.

"In der 2014 erlassenen EU-Verordnung zu grenzüberschreitender Anerkennung von Identitäten fordert die EU-Kommission ganz klar eine einheitliche Regelung für den Binnenmarkt, dass diese Systeme einander nicht nur organisatorisch, sondern auch semantisch und technisch verstehen müssen."

Bernd Zwattendorfer ist einer der führenden österreichischen Informations- und Kommunikationstechnologie-Experten in diesem Bereich. Im Rahmen des EU Large Scale Pilotprojekts STORK hat Zwattendorfer wesentlich an der Entwicklung und Umsetzung eines Rahmenwerks für die grenzüberschreitende Anerkennung und Verarbeitung von elektronischen Identitäten mitgearbeitet.

Aktuell ist der Forscher im E-Government Innovationszentrum (EGIZ) tätig. Diese gemeinsame Initiative von Bundeskanzleramt und IAIK unterstützt das Bundeskanzleramt bei der Weiterentwicklung der IKT-Strategie des Bundes und forscht im Bereich technischer Innovationen bei E-Government-Lösungen.

TÜV Wissenschaftspreis für Dissertation

TÜV Wissenschaftspreis
TÜV AUSTRIA Wissenschaftspreis 2015 - Grußbotschaft auf YouTube. Zum Video mit Klick aufs Bild

In seiner 2014 vorgelegten Dissertation, die mit dem TÜV Austria Wissenschaftspreis 2015 ausgezeichnet wurde, hat Bernd Zwattendorfer beschrieben, wie elektronische Identitäten grenzübergreifend sicher und datenschutzkonform verwaltet werden können.

Damit nicht genug, führt der Wissenschafter auch aus, wie E-Government-Lösungen sicher in der Public Cloud betrieben werden können. In der Public Cloud können abstrahierte IT-Infrastrukturen - also Datenspeicher, Rechenleistung, Netzwerkkapazität oder auch fertige Software - als Services gemietet und bei Bedarf beliebig skaliert werden. Die entstehenden Kosten sind im Vergleich zu "realer" Infrastruktur sehr niedrig.

Grund genug, dass sich auch Behörden dafür interessieren. Dass die in der "Cloud" gespeicherten Daten prinzipiell vom Cloud Provider einsehbar sind, ist aus Datenschutzgründen verständlicherweise nicht zulässig. "Daten von E-Government-Lösungen sind in der Public Cloud natürlich verschlüsselt zu speichern", erklärt Zwattendorfer. Bei Verwendung anerkannter und geeigneter sicherer kryptographischer Technologien sei die Public Cloud für sicheres und datenschutzkonformes Identitätsmanagement einsetzbar, so der IKT-Experte.

Standards für sicheres Identitätsmanagement

Um sowohl sicheres und datenschutzkonformes Identitätsmanagement als auch grenzüberschreitende Interoperabilität gewährleisten zu können - und das auch noch in der Public Cloud - sind internationale Konventionen notwendig. Konventionen, die am effektivsten in Normen formuliert werden.

Aus diesem Grund engagiert sich Bernd Zwattendorfer auch in der internationalen Normung. Von Austrian Standards in das ISO/IEC JTC1/SC 27 nominiert, entwickelt er mit einer internationalen Arbeitsgruppe Internationale Standards zu den Themen "Identity Management und Privacy Technologies".

"Teilweise waren bereits Standards vorhanden, die aber leider nicht immer für die speziellen Anforderungen von E-Government-Lösungen geeignet waren. Und speziell für das Thema Identitätsmanagement in der Cloud sind bis dato keine geeigneten Standards vorhanden", erläutert Zwattendorfer sein Engagement.

Pilotprojekt soll Anwendung zeigen

Im Rahmen einer EU-Ausschreibung zum Thema innovative Projekte für sichere Authentifizierung konnte der erfolgreiche Wissenschafter ein wichtiges Forschungsprojekt an Land ziehen. Aufbauend auf seiner Dissertation zu sicherem Identitätsmanagement in der Cloud entwickelt Bernd Zwattendorfer gemeinsam mit zwölf europäischen Partnerorganisationen im Rahmen des Horizon 2020 EU-Projekts CREDENTIAL (Secure Cloud Identity Wallet) ein entsprechendes Pilotprojekt. Die praxisnahe Anwendung soll zeigen, wie kryptografische Lösungen in bestehende Identitätsmanagement-Systeme integriert werden können. Dazu wird eine entsprechende Architektur geschaffen und im Pilotversuch evaluiert.

Dass es dazu notwendig ist, sich am (internationalen) Normungsprozess zu beteiligen, steht für Zwattendorfer außer Frage. "Um komplexe Themen bearbeiten zu können, braucht es ein gemeinsames Verständnis - beispielsweise über die Art und Qualität der ausgetauschten Daten oder wie diese zu organisieren sind. Wie das erfolgreich funktionieren kann, erlebe ich immer wieder in den Standardisierungsgremien. Alle Stakeholder beteiligen sich und bringen ihre Anliegen ein. Durch diese kollaborative Form der Zusammenarbeit wird versucht, die jeweils optimale Lösung für alle Beteiligten in Form von nationalen oder internationalen Standards zu beschreiben."