Q&A: Schutz des Datenschutzes und der Datensicherheit bei steigender Anzahl digitaler Identitäten

Die Feststellung der Benutzeridentität und der Schutz von Daten gehören zu den wichtigsten Grundlagen der Cybersicherheit. Da Unternehmen jedoch zunehmend durch Datenschutzverletzungen auf die Probe gestellt werden, reicht die alte Kombination aus Benutzername und Passwort nicht mehr aus. Viele Unternehmen haben Multifaktor-Authentifizierung und andere Tools eingeführt, um die Sicherheit zu erhöhen, und weitere sind auf dem Weg.

"Wir müssen Konzepte wie Datenschutz und Sicherheit neu überdenken, und in einigen Gemeinden findet dieses Umdenken bereits statt", sagt Joni Brennan, Präsidentin des Digital identification and Authentication Council of Canada ( DIACC ). Die kanadische Partnerschaft aus öffentlichen und privaten Mitgliedern hat sich zum Ziel gesetzt, einen wirtschaftlich vorteilhaften nationalen Rahmen für die digitale Identität zu schaffen, der sowohl den Datenschutz als auch die Sicherheit verbessert.

"Bei der Identität geht es oft um die Überprüfung von Daten über Sie", sagt Brennan, ehemaliger Geschäftsführer der Kantara Initiative , einer amerikanischen Gruppe für vertrauenswürdige Identitäten. "Identität taucht überall auf. Die Leute nennen es vielleicht nicht Identität, aber es sind Daten und es geht um Sie".

Wenn Daten das neue Öl sind, wie der Volksmund sagt, dann darf man nicht vergessen, dass ein Ölteppich giftig sein kann, meint Brennan. Die zunehmende Nutzung von Geräten und die Zahl der Menschen, die während der COVID-19-Pandemie von zu Hause aus arbeiten, hat die Arbeit von Sicherheitsexperten dringend vorangebracht, sagt sie.

"Jedes Mal, wenn wir versuchen, einen neuen Dienst zu nutzen, werden wir aufgefordert, ein neues Konto anzulegen. Und jedes Mal, wenn wir ein neues Konto einrichten, jedes Mal, wenn wir Daten mit einem Dritten teilen, schaffen wir mehr Komplexität in Bezug auf Datenschutz- und Sicherheitstechnologie und -politik", sagt Brennan.

In diesem Interview mit der Mimecast-Mitarbeiterin Mercedes Cardona spricht Brennan über neue Identitätstechnologien, neue Überlegungen zum Datenschutz und darüber, dass Datenschutz und Sicherheit zur selben Familie gehören.

Anmerkung der Redaktion: Dies ist der dritte Teil einer Reihe von Interviews mit führenden Cybersicherheitsexperten aus Hochschulen, Forschungseinrichtungen und dem Privatsektor.

Mimecast: Müssen wir angesichts der zunehmenden Vernetzung unseres Lebens mit immer mehr Geräten und Identitäten überdenken, was wir unter Datenschutz verstehen und wie wir ihn durchsetzen? Können wir jemals zu 100 % sicher sein?

Joni Brennan: Datenschutz und Sicherheit sind miteinander verwandt, sie sind Familienmitglieder. Vielleicht sind die Familienmitglieder manchmal zerstritten, aber sie gehören zur selben Familie und arbeiten zusammen. Wenn wir den Schutz der Privatsphäre und den Datenschutz als integralen Bestandteil der Datenermächtigung betrachten, sieht das Ökosystem ein wenig anders aus.

Wenn ich von meinem Schreibtisch aus aus dem Fenster schaue, habe ich Jalousien, die sich vor das Fenster schieben lassen. Oft wird der Datenschutz oder der Schutz der Privatsphäre heute so gesehen, als würde man eine große Mauer vor mein Fenster bauen. Wir werden eine große Mauer vor Ihrem Fenster errichten, und das wird ein Schutz sein. Und diese Art von Schutz mag gut sein, aber ich ziehe die Jalousien, die ich habe, einer Mauer vor. Ich kann sie hoch- oder runterziehen und sie ein wenig drehen. Ich habe viele Möglichkeiten zu entscheiden, wer hereinschauen kann oder was ich mit anderen teilen möchte und zu welchem Zweck.

Wir, die Menschen, nutzen Daten nicht so, wie sie genutzt werden können und sollten. Wir überlassen den Menschen nicht die Kontrolle über die sie betreffenden Daten. Indem wir den Menschen mehr Kontrolle über die sie betreffenden Daten geben, können Sicherheits- und Datenschutzpraktiken effizienter sein, weil wir die Kontrolle darüber haben, welche Informationen wann und zu welchem Zweck weitergegeben werden.

Ich denke, das ist das große fehlende Glied - wir als Bürger und Verbraucher haben noch keinen Zugang zu oder keine Kontrolle über die Informationen, die über uns herausgegeben werden, egal ob diese Daten bei Regierungen oder bei Institutionen wie Banken oder Telekommunikationsanbietern gespeichert sind.

Mimecast: Wie schaffen Sie es, dieses Spannungsverhältnis zwischen Benutzerfreundlichkeit und Sicherheit zu vermitteln?

Brennan: In diesem Raum der digitalen Identität gibt es viele verschiedene Spannungen, die mit- und gegeneinander arbeiten. Das liegt daran, dass Identität - Daten über mich - etwas ist, das ich als horizontale Praxis betrachte; fast jeder Sektor braucht eine gute digitale Identität. Im Baugewerbe wollen Sie sicher sein, dass Ihre Bauarbeiter die richtige Legitimation haben, um auf der Baustelle zu sein und die von Ihnen geforderte Arbeit zu leisten. Im Gesundheitswesen wollen Sie wissen, dass es der richtige Arzt ist, dass es der richtige Patient ist, dass er Zugang zu diesen Informationen haben sollte, oder das richtige Krankenhaus. Wenn es sich um ein Hotel handelt, möchten Sie sicherstellen, dass der Aufzugsreparateur tatsächlich von der Firma kommt, die Sie beauftragt haben, und dass er qualifiziert ist, den Aufzug für Sie zu reparieren. Bei einer Bank geht es um die Frage: "Bin ich derjenige, der ich zu sein behaupte, oder versuche ich, eine Art Betrug zu begehen?"

Wir müssen diese Spannungen akzeptieren und uns ihnen stellen. Wir müssen mit und durch diese Spannungen arbeiten. Ein Teil davon ist die Notwendigkeit, sich auf die grundlegenden Anforderungen für Lösungen zu konzentrieren. Es kommt häufig vor, dass Organisationen nur auf Punkt-zu-Punkt-Lösungen schauen und sagen: "OK: Punkt A, Punkt B. Lösen wir das dazwischen".

Die Herausforderung besteht darin, dass es ein grundlegendes Problem gibt, das gelöst werden muss. Dieses Problem ist: Es gibt in vielen Systemen Daten über mich, aber oft kann ich nicht auf diese Daten zugreifen und sie tatsächlich nutzen. Bei diesen Daten kann es sich um einen Führerschein oder einen Reisepass handeln, aber auch darum, dass ich ein zertifizierter Informationssicherheitsexperte bin, oder dass ich ein Patient oder ein Arzt bin.

Mimecast: Als Blockchain ein Schlagwort wurde, gab es einige Gespräche über die Schaffung von Blockchain-basierten Token, die Ihre persönlichen Daten übertragbar machen würden. Könnte das unser nächster digitaler Fingerabdruck sein?

Brennan: Es gibt definitiv Fortschritte in Bezug auf die Verwendung von Blockchain oder Distributed-Ledger-Technologien und von erlaubnisbasierten Netzwerken sowie für einen netzwerkbasierten Ansatz, der als selbstsouveräne Identität bezeichnet wird. Was die Netzwerke betrifft, so gibt es eine kleine Anzahl von Netzwerken, die noch entstehen werden.

Wir glauben nicht, dass eine einzige Lösung die vielen Herausforderungen der digitalen Identität lösen wird. Als Sicherheitsfachleute müssen wir mit den verschiedenen Trends und Innovationen Schritt halten, während sie sich entwickeln.

Wir sehen den Wert internationaler Industriestandards, die sich im Hinblick auf die Schaffung eines gemeinsamen Modells für die Datenerstellung und den Datenaustausch entwickeln. So gibt es zum Beispiel einen Industriestandard des World Wide Web Consortium [W3C], der sich mit dem Thema " verifiable credentials " beschäftigt. Im W3C sind die verifizierbaren Berechtigungsnachweise eine interessante Entwicklung, weil sie die Schaffung eines gemeinsamen Modells für Daten in Betracht ziehen, die von verschiedenen Netzwerken, die auf unterschiedlichen Technologien mit unterschiedlichen Verwaltungsmodellen aufgebaut sind, ausgegeben und genutzt werden. Dies könnte ein gemeinsames Datenmodell sein, das ein Netz vom Typ Blockchain nutzen könnte. Diese Art von Daten könnte auch von etablierteren Industriestandards, einschließlich OpenID, oder in anderen Technologien genutzt werden.

Es wird immer Menschen und Organisationen geben, die bereit sind, neue Technologien zu übernehmen, und solche, die es noch nicht sind. Und es ist erwähnenswert, dass sich der Trend in Bezug auf das Konzept der Interoperabilität verschoben hat. Früher konzentrierten wir uns bei der Interoperabilität auf die Verwendung einer Technologie, die auf eine bestimmte Weise implementiert wurde. Wenn wir jetzt von Interoperabilität sprechen, meinen wir die Möglichkeit, dass verschiedene Systeme mit unterschiedlichen Netzen und unterschiedlicher Verwaltung gemeinsame Daten nutzen können. Das ist ein deutlicher Wandel im Konzept der Definition und des Wertes von Interoperabilität.

Identitätsmanagement-Technologien wie Blockchain und Distributed Ledger sind ein weiteres Teil des Puzzles. Neue Technologien sind eine Bereicherung für das Ökosystem. Föderierte Identitäten und Single Sign-On werden noch eine ganze Weile existieren. Wir müssen neue Technologien als etwas Zusätzliches betrachten und uns darauf konzentrieren, als Gemeinschaft zu lernen.

Mimecast: Die biometrische Identität kommt jetzt hinzu. Wie ist der Stand der Dinge?

Brennan: Auf der DIACC sprechen wir unter anderem über biometrische Daten. Ich habe ein Telefon, das sich mit einer biometrischen Gesichtserkennung entsperren lässt. Ich finde, dass das [für mich] nicht immer funktioniert. Für mich ist es wichtig, dass diese biometrischen Daten im Telefon [in meinem vertrauenswürdigen Modul] verbleiben und nicht von einer dritten Partei gespeichert werden. Einige Gemeinschaften sind jedoch der Meinung, dass die biometrischen Daten in der Cloud gespeichert werden sollten. Es sollte transparent sein, wie biometrische Daten verwendet und gespeichert werden.

Als die Pandemie ausbrach und wir alle anfingen, Masken zu tragen, raten Sie mal? Die einfache Telefonerkennung ist nicht mehr so wertvoll, und es ist schwer, sie zum Laufen zu bringen. Wie die Biometrie eingesetzt wird, kann von der Kultur und von Ereignissen - wie der Pandemie - abhängen.

Es gibt auch Drittanbieter, die das gesamte Internet ohne Erlaubnis nach Gesichtsbildern durchsucht haben. Sie schnappen sich die Fotos und erstellen Datenbanken. Das ist eine sehr beängstigende Sache. Es ist schwierig. Der biometrische Bereich wird sich weiter entwickeln. Es wird weiterhin gute Verwendungszwecke dafür geben, aber auch böswillige Akteure werden auftauchen.

Während sich die biometrische Technologie und ihre Nutzung weiterentwickeln, muss echte politische Arbeit geleistet werden. Diese politische Arbeit muss durch Technologie und erfahrene Fachleute unterstützt werden. Wir wissen, dass die Politik viel langsamer vorankommt als die Technologie, aber wir sehen, dass die Kluft zwischen der politischen Anwendung und der betrieblichen Realität exponentiell wächst.

Eine echte Koordinierung und Anstrengung ist erforderlich, um eine ethische Nutzungspolitik zu kodifizieren. Keine noch so große Normungsarbeit wird die tatsächliche und notwendige harte politische Arbeit ersetzen. Normen sollten und werden die Politik informieren, aber Normen werden nicht die dringend notwendige Politikgestaltung ersetzen.

Mimecast: Wir haben während der Pandemie so viel digitalen Wandel übersprungen. Wie wirkt sich dies auf die Kontrolle der Identität aus, wenn so viele Menschen auf absehbare Zeit aus der Ferne arbeiten werden?

Brennan: In den Anfängen des DIACC konzentrierten sich die Diskussionen über identitätsbezogene Lösungen und Dienste eher auf die Bequemlichkeit. Jetzt geht es bei diesen Diskussionen um die Sicherheit im wirklichen Leben - den Erhalt des Arbeitsplatzes oder, als Unternehmer, die Möglichkeit, Arbeitskräfte aus der ganzen Welt sicher und effizient zu nutzen.

Etwas, das Praktiker und politische Entscheidungsträger ebenfalls berücksichtigen müssen, ist das Wort "Responsibilisierung". Responsibilisierung ist ein akademischer Begriff, der darauf abzielt, dass etwas, das bisher in der Verantwortung einer Behörde lag, z. B. einer Regierung oder einer Bank, nun in die persönliche Verantwortung übergeht. Einige der neueren Innovationen zielen darauf ab, mehr Verantwortung in die Hände des Einzelnen zu legen. Das kann ermächtigend sein. Es müssen jedoch auch Leitplanken - oder Regeln und Instrumente - vorhanden sein, die festlegen, wo eine Person Schutz erwarten kann und wo nicht.

Wir müssen die Fähigkeit der Kunden, Bürger oder Klienten berücksichtigen, genügend digitale Kompetenz zu besitzen, um Sicherheitsmaßnahmen zu ergreifen. Die neueren Modelle zur Identitätsüberprüfung gehen davon aus, dass die Menschen viel mehr Verantwortung übernehmen werden. Diese Verlagerung der Verantwortung erfordert wirtschaftliche, rechtliche und technische Innovationen. Wir können uns nicht darauf verlassen, dass die Bürger, Kunden und Klienten die Verantwortung für die Bewältigung der Datenschutz- und Sicherheitsprobleme selbst übernehmen.

Mimecast: Gibt es weitere Entwicklungen und Technologien, die in naher Zukunft vielversprechend sind?

Brennan: Organisationen, die mehr erfahren möchten, können unsere DIACC-Fünfjahresstrategie lesen, die im Oktober 2020 veröffentlicht wurde. Die Fünf-Jahres-Strategie gibt einen kurzen Überblick darüber, wo die Identität bisher stand und wohin sie sich im Hinblick auf die Einführung in der Praxis entwickelt.

Der DIACC sieht eine kleine Anzahl von Netzen, die entweder bereits bestehen oder im Entstehen begriffen sind. Diese Netze sind wahrscheinlich für den Zweck des Informationsaustauschs und der Überprüfung fein abgestimmt. Eines dieser Netze ist hier in Kanada entstanden. Es umfasst Banken, Lebensversicherungen und Lebensdienstleistungsprodukte, Telekommunikationsanbieter und Anbieter von Netzlösungen, die alle in einem konsortialen Ökosystem zusammenarbeiten.

Wir raten Fachleuten wie auch denjenigen, die sich einfach nur für Identität interessieren, die Existenz und das Entstehen verschiedener Netze zu bedenken, die auf unterschiedlichen Technologien aufbauen und über denen unterschiedliche Governance- und Haftungsmodelle liegen. Was ist wichtiger zu beachten? Nicht jedes Netz wird genau gleich aufgebaut sein.

Ein Verifizierungsprogramm wird unserem Ökosystem dabei helfen, die Prozesse und Praktiken zu überprüfen, die von Netzwerken und Netzwerkakteuren eingeführt wurden. Durch eine massive Zusammenarbeit hat Kanada ein pan-kanadisches Vertrauensrahmenwerk , [welches] ein prozessbasiertes Rahmenwerk ist, das von DIACC veröffentlicht wurde. Und wir werden im Jahr 2021 unser Programm Voilà Verified " auf den Weg bringen. Voilà Verified ist ein Programm, das zur Verifizierung verschiedener Technologien und Prozesse für identitätsorientierte Dienste und Lösungen genutzt werden kann.

Das Pan-Canadian Trust Framework und Voilà Verified sind wichtige Teile des Puzzles, und ein PCTF-Vertrauenssiegel würde Menschen, Unternehmen und Regierungen helfen. Und schließlich befassen sich das Pan-Canadian Trust Framework und Voilà Verified mit der internationalen Anwendung und der Anwendung im Wirtschaftssektor. Wir müssen sicherstellen, dass Menschen, Unternehmen und Regierungen jederzeit und überall auf der Welt mit Privatsphäre und Sicherheit Transaktionen durchführen können.