Datensicherheit auf Plattformen: Mit aktuellen Standards und Trends können Inhalte sicher ausgetauscht werden

Beim Aufsetzen kommerzieller Plattformen ist hohe Datensicherheit eine grundlegende Voraussetzung | Inhalte müssen einfach geteilt werden können, ohne sensible Informationen weiterzugeben | Ein Überblick über derzeit gängige Technologien und Trends

Von unserem Gastautor Stefan Adolf, Developer Ambassador bei Turbine Kreuzberg

[datensicherheit.de, 21.07.2021] Kommerzielle Plattformen erleben gerade eine Blütezeit. Mit ihnen lassen sich immerhin eine Vielzahl an unterschiedlichen digitalen Geschäftsmodellen technologisch umsetzen, kooperativ gestalten und durch Services anreichern, wie etwa in Marktplätzen oder Dienstleistungsplattformen zu sehen. Doch auch wenn sie das Leben von Anbietern und Nutzern erleichtern, ist beim Aufbau digitaler Plattformen höchste Sorgfalt in Sachen Sicherheit geboten. Schließlich werden dabei externen Diensten und Nutzern Zugriffe auf sensible Ressourcen gewährt. Welche Technologien sich eignen, um ein föderiertes System für Anmeldedaten und Profilinformationen zu entwickeln, ohne dabei sicherheitskritische Nutzungsprofile zu akkumulieren wird im Folgenden behandelt.

OAuth – authentifizierter Zugriff mit einem Klick

Eine beliebte Lösung, um Information und Inhalte sicher auszutauschen, bietet das OAuth-Protokoll (Open Authorization). In einer Welt, in der Tausende Menschen täglich auf unzählige neue Apps und Websites zugreifen, bietet das offene, tokenbasierte Sicherheitsprotokoll Nutzer:innen eine Möglichkeit, sich mit bereits vorhandenen Accounts (z. B. von Facebook oder Google) bei weiteren Anwendungen anzumelden. Sofern externe Dienste die Option „Sign-up with…“ anbieten, genügen die zuvor bereits erstellten Login-Daten zur Identitätsprüfung. So müssen Nutzer nicht ständig neue Profile erstellen. Dafür übernimmt beispielsweise Facebook die Authentifizierung und sendet Drittdiensten einen begrenzt gültigen Access Token. Mit diesem können externe Anbieter die gewünschten Daten einfach anfordern. Explizite Anmeldeinformationen wie Passwort oder E-Mail geben sie dabei nicht preis.

Ein Beispiel zum Verständnis: Eine Userin möchte sich auf einer App neu registrieren und wählt dafür die Option „Sign up with Facebook”. Die App generiert daraufhin eine URL zum Anmeldedienst von Facebook und leitet dorthin weiter. In dieser URL benennt die App bereits sämtliche Profil-Bereiche, die sie aus dem öffentlichen Profil der Userin benötigt. Facebook weist die Userin nun darauf hin, über welche ihrer Informationen die App bei ihrer Zustimmung zugreifen kann. Erteilt die Userin ihre Erlaubnis, sendet eine Facebook-API einen einmalig gültigen Grant-Token an die App, die App wiederum mit einem zwischen ihr und Facebook ausgehandelten Geheimnis antwortet. So wird die App eindeutig identifiziert. Das wiederum erwidert Facebook mit einem Access Token, der Freigaben und Authentifizierung der Userin repräsentiert. Dieser Access Token wird bei jeder Anfrage übermittelt und von Facebook-APIs überprüft. Bei erfolgreicher Prüfung liefern sie die angeforderten Daten an die App. Die Nutzerin musste dafür zweimal klicken.

Tokenbasierte Authentifizierung

Neben OAuth haben sich in den vergangenen Jahren auch weitere Verfahren etabliert. JSON Web Tokens (JWT) sind beispielsweise besonders zur Authentifizierung in verteilten Systemlandschaften beliebt geworden, da durch sie die Notwendigkeit entfällt, Datenbanken zur Feststellung von Berechtigungen abzufragen oder Sitzungsdaten auf dem Server zu speichern – Stichwort: „Stateless Sessions“. Dieser Token ist eine einfache, binärkodierte JSON-Struktur, die alle wichtigen Informationen für einen Anwendungsfall enthält, insbesondere zum Absender und seinen Zugriffsrechte. Durch die digitale Signatur seines Ausstellers wird der Token abgesichert. Ein weiteres, verteilt arbeitendes Authentifizierungssystem für Webservices ist OpenID. Open ID nutzt URL-basierte Identitäten (Identifier), um es Nutzern zu ermöglichen, sich mit einem Login bei mehreren Diensten anzumelden – ein ähnliches SSO-Konzept wie bei OAuth.

Daneben gibt es eine Vielzahl an freien und kommerziellen Lösungen für die 2-Faktor-Authentifizierung – gerade nützlich, will man nicht auf die Systeme der großen Anbieter zurückgreifen. Plattformanbieter:innen sind mittlerweile nicht mehr zwingend auf die Dienste Externer angewiesen, um Anwendungen und Infrastrukturen abzusichern oder gar SSO-Konzepte zu implementieren. Dabei ist das Angebot sehr divers und reicht von hoch spezialisierten Lösungen bis hin zu breit gefächerten Identity- und Access-Management-Systemen, welche beispielsweise eine Authentifizierung durch soziale Medien ermöglichen.

Datenhoheit durch selbstsouveräne Identitäten

Obgleich OAuth, JWT und OpenID den derzeitigen Status quo der Plattformsicherheit darstellen, gehört die Zukunft der Self-Sovereign Identity (SSI) – einer besonderen Form von Claim-basiertem Identitätsmanagement. Der Grund: In Zeiten von strengen Datenschutzverordnungen wie der DSGVO und einer zunehmenden Sensibilität der Nutzerwird Datenhoheit immer wichtiger. Authentifizierungskonzepte, die den Nutzern selbst mehr Kontrolle geben, gewinnen dadurch an Bedeutung.

Allgemein bedeutet SSI, dass Personen nicht mehr von zentralen Identitätsdiensten abhängig sind. Stattdessen entscheidet der Nutzer selbstständig, welche Informationen aggregiert werden und wer Zugriff auf die persönlichen Daten erhält. Statt mit einer E-Mail-Adresse oder Passwort begründet sich eine Identität in einem sogenannten Decentralized Identifier (DID). Das ist eine Sammlung öffentlicher Schlüssel einer Identität, die mit Hilfe von Blockchain-Transaktionen für jeden les- und überprüfbar ist. Zum Nachweis der Kontrolle über einen DID halten Nutzer die privaten Schlüssel zum Nachweis in einer Wallet auf ihren Smartphones. Sogenannte Verifiable Credentials, also Zertifikate über Eigenschaften des Nutzers, werden von entsprechenden Stellen über den DID des Nutzers ausgestellt, und schließlich ggf. per Peer-to-Peer an ihn übermittelt und in dessen Wallet verwahrt.

Die Zukunft der Platform Security

Die Suche nach Wegen und Technologien, um sensible Informationen auf Plattformen sicher und einfach auszutauschen, ist noch längst nicht abgeschlossen. Dabei muss jede neue Lösung stets auf dem schmalen Grat zwischen DSGVO-konformer Datensicherheit, Nutzerfreundlichkeit und realistischer Umsetzbarkeit bestehen. Auch wenn in der öffentlichen Wahrnehmung meist anderes vorherrscht, geht Plattformsicherheit letztlich über den notwendigen Schutz vor Hackerangriffen oder Datenverlust hinaus. Wer als Betreiber bei der Datenhoheit seiner Nutzer anfängt, ist auf einem guten Weg.

Stefan Adolf, Developer Ambassador, Turbine Kreuzberg, Bild: Turbine Kreuzberg

Stefan Adolf ist Developer Ambassador bei Turbine Kreuzberg. Seine primäre Aufgabe ist die Kommunikation mit der Developer-Community. Der Fullstack-Entwickler mit Schwerpunkt auf Applikationen, IoT und Integration ist Organisator und Speaker auf Meetups und Konferenzen über entwicklernahe Themen. Zudem agiert er durch seine Expertise in dezentraler Technologie und dem Web3 als Tech Lead in Venture Projekten und als technologischer „Vordenker“ von Turbine Kreuzberg.

Weitere Informationen zum Thema:

datensicherheit.de, 14.07.2020
Office 365: Zunehmender Missbrauch von Nutzerkonten