imported>Saehrimnir: BKL Fix

2025-08-12T08:18:38Z

BKL Fix

Neue Seite

Als '''Identitätsmanagement''' ('''IdM''') wird der zielgerichtete und bewusste Umgang mit [[Identität]], [[Anonymität]] und [[Pseudonymisierung|Pseudoanonymität]] bezeichnet. Der [[Personalausweis]] ist ein Beispiel für eine staatlich vorgegebene Form der [[Identitätsfeststellung|Identifizierung]].

== Kontext ==
Durch die Vernetzung über das [[Internet]] hat die Frage von bewusster Anonymität bzw. bewusstem Umgang mit Teilen der eigenen Identität eine neue und zuvor nie gekannte [[Komplexität]]sstufe erreicht. Im Internet wird regelmäßig mit (Teil-)Identitäten agiert. Es gibt aber auch ernsthafte Prozesse und Fragen der [[Anonymität im Internet]] und der Identifizierbarkeit. In vielerlei Hinsicht können Identitätsmanagementsysteme problematisch sein, wenn nicht klar ist, was mit den Daten geschieht, die ggf. ungewollt zu weitergehender Identifizierung führen können.

In der realen wie in der digitalen Welt gibt es verschiedenste Formen des Identitätsmanagements. Gemäß ISO/IEC JTC 1/SC 27/WG 5 ''{{lang|en|A framework for IdM}}''<ref>[https://www.iso.org/standard/77582.html iso.org]</ref> umfasst IdM:
* den Identifikationsprozess einer Einheit (inkl. optionaler [[Authentisierung]])
* die Information, die mit der Identifikation einer Einheit innerhalb eines bestimmten Kontexts verbunden ist
* die sichere Verwaltung von Identitäten.

Eine „Einheit“ ([[Entität]]) kann alles sein, was eindeutig als solche erkannt werden kann (Person, Tier, Gerät, Objekt, Gruppe, Organisation etc.).
Einheiten können mehrere Identitäten haben, die in verschiedenen Kontexten verwendet werden können. Laut Definition der [[ITU-T]] Recommendation X.1252<ref name="X.1252" /> (ITU: International Telecommunication Union, ITU-T: Telecommunication Standardization Sector der ITU) wird der Begriff IdM als Verwaltung von Attributen einer Einheit verstanden (z. B. Kunde, Gerät oder Provider). Die Verwaltung digitaler Identitäten ist hier aber nicht dazu gedacht, um Personen zu [[Verifizierung und Validierung|validieren]] (IdM-GSI).

Im Kontext des digitalen Identitätsmanagements sind folgende Themen relevant:
* Geltungsbereich (innerhalb von Organisationen oder organisationsübergreifend/föderal)
* [[Produktlebenszyklus|Lebenszyklus]] der Identität von der Einrichtung, Modifikation, Suspendierung bis zur Terminierung oder [[Archivierung]]
* Medien, welche die Daten enthalten ([[Security-Token|Token]], Karten)
* Systeme, in denen die Daten gespeichert werden (Verzeichnisse, Datenbanken etc.)
* Verknüpfung der Rollen mit Pflichten, Verantwortungen, Privilegien und Rechten für den Zugriff auf Ressourcen
* Verwaltung und Schutz der Informationen (Attribute) der Identität, die sich über die Zeit ändern
* Zuweisung und Verwaltung der verschiedenen [[Benutzerrolle|Rollen]] von Identitäten

== Anforderungen an ein Identitätsmanagement ==
Identitätsmanagement befasst sich vornehmlich in der Welt der [[Datenverarbeitung]] mit der Verwaltung von Benutzerdaten, die einzelnen Personen zugeordnet sind. Eine Person kann dabei durchaus mehrere Identitäten besitzen, während eine Identität gewöhnlich nur einer Person zuzuordnen ist. Dabei ist die Identität eine Sammlung von [[Personenbezogene Daten|personenbezogenen Attributen]], die die Person, die sich dieser Identität bedient, individualisiert.

Beispiel: In einem [[Online-Rollenspiel]] richtet sich die Person Joe User eine Identität ein: ''König Niels, grausamer Herrscher des Volkes der Lemminge'' mit den Attributen ''dumm'', ''kampfstark'' und ''geizig''. Die gleiche Person Joe User hat bei einem Onlineshop eine andere Identität, deren Profil sich durch Merkmale ''Interessiert sich für klassische Musik'', ''Kreditkartennummer lautet 1234 1234 1234 1234'' und ''hat bereits 3 CDs gekauft'' bestimmt.

Netzwerk-Identitäten gehören Personen, sie sind deshalb in der Regel kritische Daten, da die Identität an die Person gekoppelt ist. Würde die Onlineshop-Identität durch eine andere Person (''Alice Evil'') verwendet werden, hätte die Person in obigem Beispiel (''Joe User'') das Problem, dass Bestellungen zu Lasten des Identitäts-Eigentümers in falsche Hände laufen.

Multiple Identitäten oder ''Accounts'' sind sowohl in der Netzwelt, als auch im realen Alltag notwendig und werden verbreitet verwendet. Beispiele:
* [[Führerschein]] (mit Name des Eigentümers, Bild, Fahrzeugklasse)
* Kunde bei der Bank (mit Kontonummer, Kontostand, Name und Bonität)
* [[Kundenkarte]] bei der Tankstelle (mit Kundenname, Kundennummer und Punktestand)
* [[Vielflieger]]konto (mit Kundenname, Nummer, Status und Punktestand)

Man kann von einer Haupt-Identität einer jeden Entität ausgehen, diese definiert sich aus der Gesamtheit aller ihr zugeordneten Attribute. Diese Attribute können der Entität bekannt (Bezeichnung), unbekannt, dauerhaft (DNS) oder veränderbar (Softwarestand, Haarfarbe) sein.

Eine missbräuchliche Verwendung von Identitäten (in der Regel zum Nachteil des eigentlichen Besitzers) wird als [[Identitätsdiebstahl]] bezeichnet.

Das Management von Identitäten geschieht vornehmlich auf EDV-Ebene, da hier ungleich mehr Accounts einer Person zuzuordnen sind, als im realen Leben. Insbesondere in Unternehmen ist es eine nicht unerhebliche Aufgabe, die verschiedenen Accounts (Mail, Betriebssystem, [[Enterprise Resource Planning|ERP]]-Zugang, Internet-Zugriff etc.) einer Person zu [[Aggregation (OLAP)|konsolidieren]].

== Warum Identitätsmanagement? ==
Einer der Gründe, warum man sich in Unternehmen mit Identitätsmanagement (im anglisierten Sprachgebrauch ''Identity-Management'') beschäftigt, ist die Anforderung, personenbezogene Daten [[Datenkonsistenz|konsistent]], ständig [[Verfügbarkeit|verfügbar]] und verlässlich bereitzuhalten. Dienste wie ein Mail-System oder eine [[Lohnbuchhaltung|Personalbuchhaltung]] sind auf diese Daten angewiesen, ohne sie wäre kein individualisierter Betrieb möglich.

Beispiel: Ein Mitarbeiter hat ein Mail-Konto, das nur ihm selbst zugeordnet ist. Hierfür benötigt er eine individuelle Mailadresse, einen sogenannten Account mit dem dazugehörigen Passwort. Diese Daten sind nur für ihn und nicht für die Allgemeinheit bestimmt.

Gegenbeispiel: Eine Firmenpräsentation ist für alle Mitarbeiter einheitlich und bedarf keiner Individualisierung.

Viele solcher individualisierter Dienste haben nun ihre eigenen Datenstammsätze der Personen: Der Mailserver hat eine Konfigurationsdatei mit allen teilnehmenden Mailanwendern, die Personalbuchhaltung ihre eigene [[Stammdaten]]bank. Diese und die Vielzahl aller anderen Services zusammen mit deren Daten untereinander abzugleichen war eine hohe administrative Herausforderung: Änderten beispielsweise Mitarbeiter aufgrund einer Heirat ihren Namen, mussten in allen beteiligten Systemen Anpassungen durchgeführt werden.

In den 1990er Jahren war der erste Schritt in Richtung Vereinheitlichung dieser Daten die Einführung eines [[Verzeichnisdienst]]es. Diese sammelten die [[Personenbezogene Daten|personenbezogenen Daten]] und stellten sie beispielsweise über ein standardisiertes Verfahren zur Verfügung (siehe [[LDAP]]).

Nun erkannte man allerdings, dass sich zwar viele, aber längst nicht alle Dienste unter einem solchen Verzeichnis versammeln konnten. Gerade im Bereich des Personalwesens erwies es sich als ausgesprochen kritisch, Personaldaten einem solchen Verzeichnis zu überlassen. Solche Dienste behielten sich ihre eigenen Daten vor und konnten nicht gegenüber Verzeichnissen synchronisiert werden.

Mit dem Aufkommen eines Identity-Managements wurden diese Schranken zum ersten Mal durchbrochen: Die Personaldatenbanken konnte die Hoheit über ihre Daten behalten, Datenänderungen wie beispielsweise eines Namens wurden aber nun über [[Datensynchronisation|Synchronisations]]-Mechanismen zum Identity-Management hin übermittelt, das seinerseits diese Datenänderung an alle anderen beteiligten Systeme mitteilte.

== Identitätsmanagement von Unternehmen ==

Je größer ein Unternehmen ist, desto mehr müssen [[Identität]]en und [[Berechtigungsnachweis (Identifikationstechnik)|Berechtigungen]] verwaltet werden.<ref>{{Internetquelle |url=https://www.rcdevs.com/de/iam-solution-on-premise-hybrid-and-dedicated-cloud-environment// |titel=Identitäts- und Zugriffsverwaltungslösung |abruf=2021-05-22}}</ref> Dazu werden sogenannte Identity-Management-Architekturen eingesetzt. Dabei handelt es sich um eine Kombination aus manuellen, maschinellen, organisatorischen und technischen Maßnahmen, um angemessene Berechtigungen im Unternehmen zu gewährleisten und somit Interessenkonflikte zu vermeiden. Dabei kommen häufig [[Softwarekomponente]]n, welche Identitäten und deren [[Zugriffsrecht]]e verwalten, zum Einsatz.

Der Begriff ''Identity-Management'' im Software-Umfeld umfasst keinen genau definierten Funktionsumfang. So fokussieren sich beispielsweise einfache Systeme ausschließlich auf die Synchronisation von personenbezogenen Daten, während umfassendere Architekturen dagegen [[Workflow]]-Prozesse einbeziehen, die ein hierarchisches Genehmigungsmodell von Vorgesetzten beinhalten, um Datenänderungen umzusetzen.

Eine Identity-Management-Architektur sollte über ein [[Versorgungsprozess|Provisionierungsmodul]] verfügen, das es erlaubt, den Benutzern automatisch aufgrund ihrer jeweiligen [[Benutzerrolle|Rolle]] (und auch Aufgaben) in der Organisation individuelle Berechtigungen zu erteilen. Hier stellt sich aber bereits die Frage, wie weit Identity-Management über die ausschließliche Verwaltung personenbezogener Daten hinweg Applikations-Funktionalitäten integrieren soll (z. B. ist die „[[Disk Quota|Quota]]“ auf einem Mailserver kein personenbezogenes Datum, sondern eine Applikations-Information).

Identity-Management in einem Unternehmen hat vielfach [[Schnittstelle]]n zum sogenannten [[Access Management]], das beispielsweise für [[Portal (Informatik)|Portale]] die [[Zugriffsrecht]]e verwaltet, [[Single Sign-on]] (SSO) ermöglicht oder [[Sicherheitsrichtlinie|Security Policies]] verwaltet. Für die Kombination von Identity-Management und Access Management wurde in der [[Informationstechnik]] (IT) daher mittlerweile der Begriff „Identity and Access Management“ (IAM oder IdAM) geprägt.

Komponenten einer Identity-Management-Architektur können vielfältig sein. Gängige Basis ist der sogenannte [[Verzeichnisdienst]], in dem die personenbezogenen Daten von Mitarbeitern hinterlegt sind, die am häufigsten und von den meisten Systemen abgefragt werden (Name, Mailadresse, Telefonnummer usw.), was als [[Metadirectory]] bezeichnet wird. Ist dies einfach nur ein dedizierter Verzeichnisdienst für eine solche Sicherheitsarchitektur, welche nur die IDs (Kennungen) und wenige weitere Attribute enthält und die restlichen bei Bedarf aus den angeschlossenen Systemen abfragt, so wird ein solches System als [[Virtual Directory]] bezeichnet. Hierzu werden Produkte von unterschiedlichen Anbietern genutzt: [[Novell Directory Services|NDS]], eDirectories, SAP-Systeme, [[Active Directory|Active-Directories]]. Ebenso werden Datenquellen aus applikations-spezifischen Datenbanken, E-Mail-Systemen und Personalabteilungssoftware erschlossen. Man unterscheidet diese Komponenten in Quell- und Zielsysteme, wobei es auch Kombinationen beider, wie die E-Mail-Systeme gibt. In all diesen Systemen werden personenbezogene Daten gespeichert, die über das Identity-Management miteinander abgeglichen werden. Die eigentliche Software eines Identity-Managements operiert als [[Broker]] zwischen all diesen Komponenten und arbeitet als Prozess meist auf einer dedizierten Hard/Software (bsp. Applikation innerhalb eines [[Application Server]]s). Diese Software bezeichnet man als [[Identity Management System]].

Hier wird auch die Funktionsweise des Provisioning deutlich: Über das Meta-/ Virtual Directory werden die Benutzerdaten und Rechte auf alle angeschlossenen Systeme verteilt (im günstigsten Fall alle im Unternehmen eingesetzten Systeme). So kann das Identitätsmanagement zentralisiert werden.

Weitere mögliche Funktionen:
* ''[[Föderiertes Informationssystem|Federated]] Identity Management'', das sich mit der Identitätsbereitstellung und -verwendung über Unternehmensgrenzen hinweg beschäftigt
* Passwortsynchronisierung, so dass ein Benutzer nur ein einziges [[Passwort]] in allen angeschlossenen Systemen benötigt
* In die Unternehmensstrukturen (Abteilungen, Managementhierarchien) eingebetteter Genehmigungsworkflow für Rechte und Rollen
* Basis für eine [[Public-Key-Infrastruktur|PKI-Infrastruktur]], die auf einem IAM-System mit genügend hoher Datenqualität aufbauen kann
* Passwort [[Self-Service Technologies|Self Services]], mit denen ein Benutzer ein Passwort für ein System zurückgewinnen, resetten oder ändern kann. Gängige Lösungen realisieren dies über ein Web-Front-End.
* Verwaltung und Steuerung von privilegierten Benutzerkonten, die aufgrund von Designentscheidungen von Anwendungen entsprechende Regelungen zur [[Funktionstrennung]] verletzen. Dabei handelt es beispielsweise um [[Root-Konto|Root-Konten]].

== Identitätsmanagement im World Wide Web ==

Die Entwicklung interaktiver Technologien hat ein großes Interesse an der Abbildung von sozialen Beziehungen im Internet erzeugt (siehe auch [[Soziale Software]]). In diesem Kontext gibt es eine Vielzahl von Bestrebungen, einen „Identity Layer“ als weitere [[Protokollstapel|Protokollschicht]] für das Internet zu entwickeln. Ziel dabei ist es, eine hinreichende Sicherheit über die Identität der Online-Kommunikationspartner zu bekommen, ohne gleichzeitig unnötig viel personenbezogene Daten austauschen zu müssen. Das Spektrum der Initiativen reicht vom [[Mikroformat]] [[vCard]]s über Dienste wie [[ClaimID]], die eine Sammlung von Webseiten bestimmten Personen zuordnen, bis zu Microsofts umfassender Architektur.

In diesem Kontext ist auch Kritik an der Verkürzung des Identitätsbegriffes aufgekommen, der in Psychologie und Soziologie viel mehr meint als das Verwalten von diskreten Eigenschaften technisch implementierter Konten. [[Bob Blakley]], ehemals ''{{lang|en|Chief Privacy and Security Architect}}'' von [[Tivoli (IBM)|IBM Tivoli Software]] und heute bei der [[Burton Group]], sieht dies als allgemeines Zeichen der [[Bürokratisierung]] der Lebenswelt an:

{{Zitat
|Text=The West conducted a nuanced discussion of identity for centuries, until the industrial state decided that identity was a number you were assigned by a government computer
|Sprache=en}}

Ein Konzept des Identitätsmanagements in [[Webanwendung]]en wurde von Dick Hardt<ref>{{Webarchiv |url=http://dickhardt.org/ |text=dickhardt.org |wayback=20140118010944 |archiv-bot=2019-04-18 14:15:08 InternetArchiveBot}}</ref> in seiner Präsentation „Identitymanagement 2.0“<ref>[https://www.dailymotion.com/video/xdr0f_dick-hardts-identity-20-presentatio dailymotion.com]</ref> bildhaft dargelegt. Es soll erreicht werden, das Konzept von „die Plattform kennt die Identität“ zu „ich weise mich der Plattform gegenüber aus“ wandeln, d. h. die [[Autorisierung]] räumlich und zeitlich analog den nicht-digitalen-[[Ausweis]]dokumenten von der Identifizierung zu trennen.

; Enterprise Identity und Access Management Referenzmodell
Das Referenzmodell besteht aus sieben Modulen, die für sich genommen nur eine beschreibende Rolle übernehmen und selbst keine Funktionalität bieten;

# '''Policies & Workflows''' (Policies (Richtlinien) und Workflows (Arbeitsabläufe) bilden die Basis für einen geregelten Arbeitsprozess, denn mit ihnen werden Voraussetzungen geschaffen, um überhaupt Prozesse zu starten bzw. weiterzuführen.)
# '''Repository Management''' (Das Repository Management hat die Aufgabe, die Informationen in einem EIAM zentral zu speichern und zu verwalten, die für Entitäten in einem Netzwerk von Nutzen sein können. Dadurch kann eine einzige digitale Identität pro Nutzer/Entität erreicht werden.)
# '''Life Cycle Management''' (Der Life Cycle zeigt die Schritte, die nötig sind, um Entitäten über digitale Identitäten bis zu deren Löschung in ein EIAM-System zu integrieren und zu verwalten)
# '''Access Management''' (Das Access Management beinhaltet die Entscheidung über Zugriffsberechtigungen auf der Basis von Nutzeridentitäten, -rollen und Zugriffsrechten.)
# '''Information Protection''' (Information Protection soll Informationen eines Unternehmens immer adäquat vor Angriffen schützen.)
# '''Federation''' (Federation oder Föderation ermöglicht den gesicherten Austausch von Identitäts- bzw. Authentifizierungsinformationen von digitalen Identitäten unterschiedlicher Einheiten oder Organisationen, basierend auf einem zuvor aufgebauten Vertrauensverhältnis.)
# '''Compliance & Audit''' (Ein Audit auf Basis von Compliance (Rechtskonformität) fördert durch Überprüfung der Einhaltung von Vorschriften die Stabilität in der Infrastruktur eines Unternehmens. Compliance dient dabei der Einhaltung, während ein Audit die Überprüfung übernimmt.)<ref>{{Literatur |Autor=Norbert Pohlmann |Titel=Cyber-Sicherheit: Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung |Verlag=Springer Vieweg |Ort= |Datum=2019 |ISBN=978-3-658-25397-4 |Seiten=213–240}}</ref>

== EU-Forschungsprojekte ==

Als Teil des 6. Forschungsrahmenprogramms (FP6)<ref>{{Internetquelle |url=http://cordis.europa.eu/fp6/ |titel=Sixth Framework Programme |abruf=2011-02-22}}</ref> von 2002 bis 2007 hat die [[Europäische Union]] 2004 mit [[PRIME]] (Privacy and Identity Management for Europe) ein Forschungsprojekt zu „Identitätsmanagement“ gestartet und mit 10 Mio. Euro gefördert, um offene Fragen zu klären und Technologien zu fördern, die auch den Datenschutzgesetzen gerecht werden. In Deutschland ist das [[Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein|Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein]] (ULD) Ansprechpartner für das Projekt, in dem namhafte Personen aus Forschung und Industrie zusammenarbeiten. Das Internetstandardisierungskonsortium [[W3C]] ist als Unterauftragnehmer des ULD ebenfalls beteiligt.

Ein weiteres EU-FP6-Forschungsprojekt wurde ebenfalls im Jahr 2004 gestartet: [[FIDIS]] (Future of Identity in the Information Society). Bei diesem Projekt soll mit dem sog. „Network of Excellence“ ein Expertenforum aufgebaut werden, welches derzeit aus 24 in Europa operierenden Partnern<ref>{{Internetquelle |url=http://www.fidis.net/about/consortium/map/ |titel=Geografische Lage des Unternehmens |abruf=2011-02-22}}</ref> besteht. Die Leitung in Deutschland hat die [[Johann Wolfgang Goethe-Universität|Universität Frankfurt]].

Im Vorfeld der beiden Projekte hatte die Europäische Kommission die Studie „Identity Management Systems (IMS): Identification and Comparison Study“ erstellen lassen.

Mit dem Start des 7. Forschungsrahmenprogramms<ref>{{Internetquelle |url=http://cordis.europa.eu/fp7/ |titel=Seventh Framework Programme (FP7) |abruf=2011-02-22}}</ref> von 2007 bis 2013 starteten weitere Projekte zum Thema Identity-Management. [[PICOS]] untersucht und entwickelt eine zeitgemäße Plattform für Identitätsmanagement in mobilen Gemeinschaften. [[PrimeLife]] entwickelt verschiedene Technologien, die es dem Einzelnen im Hinblick auf die steigenden Risiken der Informationsgesellschaft ermöglicht, unabhängig von ihren Aktivitäten ihre Autonomie zu schützen und Kontrolle über ihre persönlichen Daten zu behalten. SWIFT verwendet Identitätstechnologien als Schlüssel für eine Integration von Dienste- und Transportinfrastrukturen und hat zum Ziel, Identitätsmanagement in die Netzinfrastruktur zu erweitern.

== Siehe auch ==

* [[Anonymität im Internet]]
* [[Benutzerkonto]]
* [[Benutzerprofil]]
* [[Corporate Identity]]
* [[Datenschutz]]
* [[Ethnomanagement]]
* [[P3P]]
* [[Rollenkonzept]]
* [[Selbstdatenschutz]]
* [[AWS Identity and Access Management]]

== Literatur ==
* {{Literatur
|Autor=Sebastian Rieger
|Titel=Einheitliche Authentifizierung in heterogenen IT-Strukturen für ein sicheres e-Science Umfeld
|Auflage=1.
|Verlag=Cuvillier
|Ort=Göttingen
|Datum=2007
|ISBN=978-3-86727-329-9
|Kommentar=Dissertation}}
* [[Norbert Pohlmann]]: ''Cyber-Sicherheit: Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung.'' Springer Vieweg, September 2019, ISBN 978-3-658-25397-4, S. 213–240.

== Weblinks ==
* [http://www.itu.int/rec/T-REC-X/recommendation.asp?lang=en&parent=T-REC-X.1252 ITU-T Recommendation: Baseline identity management terms and definitions]
* [http://www.fidis.net/ Future of Identity in the Information Society, EU supported Network of Excellence]
* [http://www.uld-i.de/gutachten/idm/ Studie „Identity Management Systems (IMS): Identification and Comparison Study“]
* [http://www.m-chair.net/ Professur für BWL, Wirtschaftsinformatik insb. Mobile Business & Multilateral Security, Goethe-Universität Frankfurt am Main.]

== Einzelnachweise ==
<references>
<ref name="X.1252">
{{Internetquelle
|url=http://www.itu.int/rec/T-REC-X/recommendation.asp?lang=en&parent=T-REC-X.1252
|titel=ITU-T Recommendation: Baseline identity management terms and definitions
|abruf=2011-02-22}}
</ref>
</references>

{{SORTIERUNG:Identitatsmanagement}}
[[Kategorie:Identifikationstechnik]]

Identitätsmanagement - Versionsgeschichte

imported>Saehrimnir: BKL Fix