InfoWeek: Der Zugang zu netzwerkbasierten Anwendungen wird immer wichtiger. Was für Probleme entstehen dabei?
Broda: In einer Welt der «Unfederated Identity» benötigt man jede Menge Logins – ich selbst habe zum Beispiel 64 Plastikkarten. Das ist umständlich, oft verwendet man deshalb überall die gleichen User-IDs und Passwörter. Das wiederum ist für die Sicherheit bedenklich: Wenn jemand das Passwort für einen Dienst errät oder stiehlt, erhält er auch gleich den Zugang zu allen anderen. Wir haben im Internet das grosse Problem, dass keine End-to-End-Identifikation existiert. Identitätsdiebstahl oder gefälschte Websites, die dem User Kreditkartennummern oder Telebanking-Logins abluchsen wollen, sind gang und gäbe.
Wie lässt sich das Problem vereinfachen?
In der realen Welt wird die Identifikation oft föderativ gehandhabt. Mein Fahrausweis, der in Basel ausgestellt wurde, gilt in der ganzen Schweiz und auch in anderen Ländern. Das ist möglich, weil zwischen den verschiedenen Stellen, die Ausweise herausgeben, eine Vereinbarung zur gegenseitigen Anerkennung besteht. Es geht also bestens ohne weltweit gültigen Führerschein und ohne globale Datenbank aller Inhaber. Ein vergleichbares Beispiel ist das weltweite Roaming in der Mobiltelefonie – auch hier gibt es keine globale Telefonnummer, sondern die Identifikation setzt sich aus der Providerkennung und der vom einzelnen Provider vergebenen Nummer zusammen.
Was bedeutet dies für Computernetzwerke?
Die Liberty Alliance möchte die Voraussetzungen für die föderative Zusammenarbeit auf dem Internet schaffen – dies im klaren Wissen, dass es niemals eine zentrale weltweite User-Datenbank geben wird. Eine Zusammenfassung aller personenbezogenen Daten von der Sitzplatzwahl im Flugzeug bis zu Bonitäts- und Gesundheitsinformationen an einer Stelle wäre im übrigen nur schon aus Datenschutzgründen gefährlich. Solche Angaben gehören überdies ja gar nicht zur eigentlichen Identität, sondern sind jeweils nur für einen bestimmten Anbieter relevant und sollten auch nur bei diesem gespeichert sein.
Im Federated-Identity-Modell der Liberty Alliance bilden verschiedene Anbieter einen «Circle of Trust» – man setzt sich zusammen und vereinbart, die Logins der Kunden gegenseitig anzuerkennen. Meistens wird das so implementiert, dass ein Mitglied des Circle als Identity Provider die Authentisierung aller Logins übernimmt. Einmal authentisiert, kann er den Kunden an die anderen Anbieter weiterreichen; dies geschieht über einen nach dem SAML-2-Standard digital unterschriebenen «Signed Header».
Weitergereicht werden nicht Name und Adresse des Kunden im Klartext, sondern ein sogenannter «Opaque Handle» – der Identity Provider teilt dem Anbieter etwa mit «Mein Kunde Nr. X wurde authentisiert und entspricht deinem Kunden Nr. Y.» Selbst wenn jemand den Datenverkehr ablauscht, kann er damit also nichts anfangen. Bei der Authentisierung sind verschiedene Stärken möglich: Die Reservation für den Tennisplatz braucht eine weniger strenge Identitätsprüfung als der Zugang zum Hochsicherheitsbunker.
Microsofts .Net Passport bietet
dem Kunden vergleichbaren Single-Sign-On-Komfort...
Passport arbeitet nach einem genau entgegengesetzten Modell: Es gibt eine globale User-ID, und alle Informationen kommen in einen Topf. Microsoft verfolgt dieses Modell selbst auch nicht weiter; die Passport-IDs werden heute vornehmlich für Hotmail-Accounts und vielleicht noch bei eBay genutzt. Für künftige Anwendungen strebt Microsoft Interoperabilität mit den Liberty-Protokollen an. Früher hatte sich Microsoft zu den Vorstössen der Liberty Alliance negativ geäussert und gemeint, das sei alles unnötig kompliziert und Passport sei die Lösung für alle – aber vor allem, nachdem die EU da einen Riegel vorgeschoben hat, schaut auch Microsoft nach Federated-Modellen. Das Ganze ist nicht auf der technischen Schiene kompliziert, sondern nur auf der politischen.
Ein wichtiger Grundsatz bei der Liberty Alliance ist zudem das Vertrauen zwischen Kunden und Anbietern. Der Kunde muss jeweils aktiv zustimmen, wenn Informationen vom Identity Provider zum Anbieter oder zwischen Anbietern weitergereicht werden. In den Microsoft-Modellen ist dies meines Wissens noch nicht der Fall.
Nicht nur Kunden und Anbieter, sondern auch Web Services sollen zusammenarbeiten. Microsoft und einige andere Unternehmen haben dazu die WS-Federation-Protokolle entwickelt. Wie steht die Liberty Alliance zur WS Federation?
WS Federation ist eine Vereinigung mehrerer Firmen, die eigene Wege einschlagen wollen, aber durchaus auch mit der Liberty Alliance zusammenarbeiten. WS Security zum Beispiel wird sowohl von WS Federation als auch von Phase II der Liberty-Alliance-Spezifikation unterstützt.
Arbeitet Liberty auch mit anderen Organisationen zusammen?
Es ist ein wichtiger Grundsatz von Liberty, keine eigenen Standards zu entwickeln, sondern vorhandene Normen zu nutzen. Liberty hat deshalb den OASIS-Standard SAML 1.1/1.2 genommen, um fehlende Features wie Signed Header und Opaque Handle erweitert und an OASIS zurückgeschickt. Die erweiterte Variante ist heute als SAML 2.0 verabschiedet.
Identität ist ja mehr als Technik. Auch geschäftliche Usanzen und offizielle Vorschriften kommen ins Spiel. Wie geht Liberty damit um?
Die Liberty Alliance ist heute die einzige weltweit tätige Organisation, die sich nicht nur um die technischen Interfaces kümmert, sondern auch Business-Regeln und Best Practices für Privacy, Security und Federated Identity definiert und dabei offizielle Vorschriften wie Artikel 29 der EU berücksichtigt. Es arbeiten auch verschiedene Regierungen mit – im April ist Frankreich als Sponsor Member beigetreten; auch Österreich, Hong Kong, Royal Mail, die US General Services Administration und das US-Department of Defense sind Mitglieder.
Sie sehen also durchaus, dass die vielfältigen Identitäten in Zukunft durch eine einheitliche Lösung ersetzt werden können?
Ich würde es mal so sagen: Wenn man sich statt der maledivischen Inselwelt, die wir heute haben, künftig auf ein paar Kontinente einigen könnte, wäre allen Leuten schon sehr geholfen. Ich hoffe doch, dass ich statt der 64 Plastikkarten in Zukunft vielleicht mit vier auskomme.
Auch unter Liberty wird es je nach Einsatzbereich mehrere Circles of Trust geben, für die verschiedene Identifikationen gelten. Der Benutzer soll auch durchaus zwischen verschiedenen Identity-Providern wählen können. Ich kann mir zum Beispiel gut vorstellen, dass Banken, die ja als vertrauenswürdig und diskret gelten, das Identity Provisioning für andere Anbieter künftig als Geschäft sehen, zum Beispiel als Zusatzdienstleistung zum Electronic Banking. Heute sind sie aber noch nicht so weit.
Laut Liberty-Website gibt es bereits viele Liberty-konforme Produkte. Können Sie Beispiele nennen?
Ohne unbescheiden zu sein: Der Identity Server 6 von Sun ist voll Liberty-compliant. Das ist kein Wunder: Die Firmen, die bei der Liberty Alliance als Sponsoren oder im Management Board mitarbeiten, sind über die laufenden Spezifikationen bestens im Bilde. Teilweise arbeiten dieselben Leute in den Liberty-Gremien, die auch die Produkte entwickeln. Dadurch sind die Liberty-Mitglieder am Tag nach der Verkündung eines neuen Standards schon mit Produkten draussen.
Microsoft hat ebenfalls einen Identity Integration Server. Ist der auch Liberty-compliant?
Ich denke, der Markt wird das im Lauf der Zeit verlangen. In Frankreich müssen alle E-Government-Projekte Liberty-konform sein. Die Lieferanten von Vodafone und Orange-F werden ebenfalls zur Liberty-Compliance angehalten. Ein ganz natürlicher Druck vom Markt ist also schon heute da. Lösungen anderer Hersteller, die nicht Liberty-Mitglied sind, werden sich irgendwie anpassen müssen. Das ist auch eine Chance für kleinere Firmen, die entsprechende Zwischensoftware entwickeln.
Als Musterbeispiel für eine Liberty-Implementation wird American Express genannt. Gibt es auch andere konkrete Projekte?
In der Schweiz baut Bluewin gerade einen Circle of Trust – darüber wird man bald mehr hören. Ein weiteres interessantes Beispiel ist das interne Liberty-Projekt von France Telecom. Die haben es mit den Liberty-Standards das erste Mal geschafft, ihre Kundenbasen von ADSL, Fixed Line und Mobiltelefonie unter einen Hut zu bringen, und können jetzt Quermarketing betreiben. Auch Regierungen sehen, dass sie mit Liberty die unterschiedlichen Behörden zusammenbringen können, ohne dass dabei Datenschutzrichtlinien verletzt werden: Die Liberty-Modelle erlauben, kundenbezogene Daten ohne Nennung der Kundenidentifikation auszutauschen.
Liberty löst also Probleme, die früher schwierig zu meistern waren?
Als Beispiel mag das Easy-Ride-Projekt der Schweizer ÖV-Transportunternehmen dienen: Diese RFID-basierte Erfassung der Passagierfahrten ging unter anderem deshalb den Bach runter, weil die Frage nach dem Umgang mit den Kundendaten überhaupt nicht geklärt war. Die Liberty-Alliance-Protokolle ermöglichen es, gerade solche Probleme anständig zu lösen, weil Liberty eben nicht nur die technischen Umstände berücksichtigt.
Privacy ist ja im Grunde kein technisches, sondern ein vertragsrechtliches Problem. Wer heute mit Diensten auf dem Netz und mit Kundendaten zu tun hat, muss sich über eines klar sein: Das Thema Privacy wird ihn irgendwann sehr hart treffen, man muss es von Anfang an einplanen. Es genügt dabei nicht, die Daten irgendwie mit «Security» zu schützen – es braucht auch klare Policies, wie mit den Daten umgegangen wird, wer Zugriff hat und wer dafür haftet. Nur so gewinnt man das Vertrauen der Kunden.
Was braucht es für eine Liberty-Implementation an Infrastruktur?
Im Prinzip genügt ein Identity Server, den es von verschiedenen Herstellern gibt. Ich würde allen Leuten raten, in Zukunft darauf zu achten, dass solche Produkte Liberty-compliant sind. Mindestens ebenso wichtig sind organisatorische Aspekte: Beim Identity Management lohnt es sich generell, zuerst den internen Identitätsdschungel aufzuräumen, bevor man firmenübergreifende Projekte mit Geschäftspartnern angeht.
Dabei sollte man nicht einfach den Status quo elektrifizieren, sondern sich grundsätzlich überlegen, wie man die Identitäten im Unternehmen selbst in den Griff kriegt. Die Verwaltung von User-IDs kostet ja unheimlich viel Geld. Allein für ein vergessenes Passwort rechnet man mit bis zu 100 Euro an Prozesskosten. Viele Firmen nehmen schon intern die Protokolle der Liberty Alliance, um solche Probleme zu lösen und Kosten einzusparen. Kurzum: Die Liberty Alliance reduziert die Komplexität im Handel auf dem Web und ermöglicht es dem Verbraucher, diesem neuen Geschäftskanal zu vertrauen.
