:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/59/60/5960c42975dff727adfac6a471bc7428/0114147994.jpeg "Obwohl 90 Prozent der Befragten glauben, dass ihre aktuellen Tools zur Erkennung von Bedrohungen effektiv sind, befürchten 97 Prozent, einen relevanten Sicherheitsvorfall zu verpassen. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/a4/88a4cea0faefd5e74cc9bd5a9fb4ca87/0114037795.jpeg "Wird künstliche Intelligenz zum treuen Partner bei der Verteidigung von Unternehmensnetzen und sensiblen Daten oder zum unbezwingbaren Feind, der alles überrollt? (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/6c/596c4be93de433a4c8df15a6e71a07e1/0113377765.jpeg "Der Lepide Active Directory Auditor hilft auch aktiv dabei, Ransomware-Angriffe schnell zu erkennen und damit schnell reagieren zu können. (Bild: Lepide)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/70/2b/702b40d609cda50da0f641861d9c416f/0113940625.jpeg "Im Security-Insider Deep Dive stellt Sicherheitsspezialist Trend Micro seine Lösung Cloud One Conformity bis ins Detail vor. (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/09/9d/099d49006288e13bbb864fed5bf6c5be/0113940732.jpeg "Maltego ist ein Data-Mining-Tool mit visueller Graphendarstellung. Das interaktive Werkzeug wird auch von Sicherheitsanalysten und Behörden zur Informationssuche und -darstellung eingesetzt. (Bild: Maltego Technologies)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Probleme aktueller Authentifizierungsverfahren Selbstbestimmte Identitäten – Bestimmt wirklich jeder selbst über seine Daten?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Offen herumliegende Gehaltszettel, vertauschte Adressaten und mal wieder ein Philip, mit einem „P“ zu viel. In Personalabteilungen kommt es immer wieder zu solchen Pannen, obwohl diese in Sachen Digitalisierung bereits durchaus fortschrittlich sind. Doch häufig sind die Kommunikations- und Datenwege eine immer noch unsichere Einbahnstraße.
Besonders für den Kontakt mit externen Empfängern, also z.B. mit Bewerbenden oder ehemaligen Mitarbeitenden müssen Identitäten zweifelsfrei identifiziert & authentifiziert werden, um Betrug in diesem sensiblen Datenraum vorzubeugen. Eines der gängigsten Verfahren ist das Abfotografieren oder Scannen des Ausweises, das jedoch eine geringere Sicherheit bietet, da die Sicherheitsmerkmale auf einem Foto verloren gehen. Auch Video- und Auto-Ident-Verfahren sind weit verbreitet. Bei all diesen Vorgängen müssen Bilddaten zur Verarbeitung zwischengespeichert werden. Häufig wird allerdings nicht transparent offengelegt, wo, wann und wie lange diese Daten abgelegt und verwendet werden. Die Gefahr, dass Online-Betrüger diese Systeme hacken und für Ihre Zwecke nutzen, wird nach wie vor unterschätzt. Seit 2017 stieg die Zahl von Cybercrime-Angriffen in Deutschland um mehr als 50 Prozent. Aufgeklärt wird davon allerdings nur jeder Dritte.
Selbstbestimmte Identitäten am Beispiel von enmeshed
Die sogenannten selbstbestimmten Identitäten (SBI) versprechen Endnutzenden unabhängig von Identitätsdiensten Kontrolle und Hoheit, über die von Ihnen an externe Institutionen und Unternehmen übermittelten, personenbezogenen Daten. Sofern Unternehmen und Institutionen keine rechtliche Verpflichtung zur Archivierung der Daten vorliegen, geht die Verfügungsgewalt der Informationen vollständig an den Nutzenden über. Diese erhalten eine Übersicht der digitalen Beziehungen und der jeweiligen geteilten Daten.
Die Open-Source Software enmeshed baut ebenfalls auf der SBI Methodologie auf. Im Gegensatz zu bestehenden Lösungen, greift die Anwendung auf eine zentrale, blockchainfreie Architektur zurück. Als DSGVO-konforme SBI-Lösung kann enmeshed Praxisanwendungen vorweisen. Im Rahmen der Entwicklung des Minimum Viable Products der Nationalen Bildungsplattform bildet die Technologie als Bestandteil der Komponente „Ablage“ eine Infrastruktur für einen sicheren Datentransfer und -speicherung zwischen Lernenden, Lehrenden und Bildungseinrichtungen. Besonders die niederschwellige und gleichzeitig sichere Nutzung als bidirektionale und hochperformante Ablage- und Kommunikationsmöglichkeit stellen die zentralsten Vorteile der Lösung. Der Anwendungsfokus liegt sowohl auf der Kommunikation im schulischen als auch im universitären Bereich sowie im Umfeld des Personalwesens im unternehmerischen Kontext. Beide Szenarien werden nachfolgend skizziert.
Anwendungsfall 1 - Schnelle Kommunikation für den Übergang Schule/Universität
Die 18-jährige Abiturientin Johanna* schließt im Sommer ihr Abitur am Luitpold-Gymnasium München ab. Im Anschluss startet sie ihr Studium an der Munich Business School. Das Sekretariat ihrer Schule stellt Johanna einen QR-Code zur Verfügung, mit dem sie sich über die enmeshed App auf ihrem Smartphone mit der Schule verbinden kann. Dort wird ihr das Abitur-Zeugnis digital zur Verfügung gestellt und von ihrem Gymnasium als authentifiziert gekennzeichnet. Die Datei wird dabei auf dem lokalen Speicher von Johannas Endgerät abgelegt. Ohne Ihre persönlichen Daten erneut eingeben zu müssen, kann sie das Zeugnis durch Scannen des Universitäts-QR-Codes zur Immatrikulation weiterleiten. Über einen Backbone Layer sind durch das Scannen Johannas Identität und die der Universitätsverwaltung miteinander verknüpft. Die Normierung ihrer proprietären Datenstrukturen ermöglicht zudem das Mapping verschiedenster Schnittstellen-Standards, sodass eine Übermittlung der Bewerbung in IT-Systeme anderer Hochschulen möglich ist. Dabei können die Dateiformate sowohl eine unstrukturierte als auch strukturierte Form aufweisen. Des Weiteren werden durch die sog. Zero Knowledge Border ihre Angaben beim Transfer so Ende-zu-Ende verschlüsselt, dass selbst die App-Entwickelnden nicht auf Johannas persönliche Daten zugreifen können. Sobald sie das Luitpold-Gymnasium abschließt, kann sie selbstständig entscheiden, ob das Gymnasium weiterhin einen Zugriff auf Ihren Namen, ihren Wohnort oder Ihre E-Mail-Adresse haben soll. Ebenso kann sie bestimmen, welche Informationen die Munich Business School im Falle einer Ablehnung einbehalten darf.
*Name geändert.
Anwendungsfall 2 - Sicherer Datenaustausch im Personalwesen
Nach 14 Jahren als Buchhalter in der j&s-soft GmbH verlässt Jochen Bauer* aufgrund eines Umzugs sein Unternehmen. Die rechtliche Beziehung zwischen ihm als Arbeitnehmer und seinem Arbeitgeber läuft somit mit dem Vertragsende aus und damit auch sämtliche elektronischen Zugänge zu Postfächern, Datenbanken und allen unternehmensbezogenen Kontaktpunkten. Dennoch bestehen weiterhin bidirektionale Kommunikationsbedarfe, wie z.B. die Korrektur der letzten Gehaltsabrechnung, die Übermittlung des Arbeitszeugnisses oder Abfragen zur betrieblichen Rentenversicherung. In der Vergangenheit hat die j&s-soft GmbH ihren Mitarbeitenden diese Dokumente per Post oder unverschlüsselt per E-Mail zukommen lassen. Um die Austrittskosten so niedrig wie möglich zu halten und die hochsensiblen Personaldaten sicher zu übermitteln, erstellt das Unternehmen über enmeshed eine firmeneigene, selbstbestimmte Identität. Ähnlich wie beim Anwendungsfall im Bildungsbereich stellt die j&s-soft Jochen Bauer einen QR-Code zur Verfügung. Über die App auf seinem Privathandy kann er nun seinem alten Arbeitgeber seine neue Adresse mitteilen sowie die erwähnten Dokumente empfangen. Aber auch während des Bewerbungsprozesses oder der Anstellung finden selbstbestimmte Identitäten Anwendung. So müssen Bewerbende Lebensläufe, Sozialversicherungsnummern oder Krankenkassendaten nur erstmalig bei der App-Installation anlegen und können diese mit nur einem QR-Code Scan an Unternehmen bzw. Institutionen verschicken. Ebenso können Unternehmen diesen sicheren Kanal nutzen, um Push-Nachrichten zentralisiert an die Endgeräte ihrer Beschäftigen zu schicken, z.B. für kurzfristige Hinweise, wie einen Bombenfund in Büronähe oder die weihnachtlichen Firmengrüße.
*Name geändert.
Ein Ausblick in weitere Anwendungsbereiche
Selbstbestimmte Identitäten finden überall dort Anwendung, wo eine große Menge personenbezogener Daten und Dokumente ausgetauscht werden. Im hochsensiblen Bereich der Arztpraxis–Patientenkommunikation können Abläufe, wie die elektronische Patientenakte, aber auch vermeintlich einfache Abläufe wie Terminbuchung und -änderungen abgebildet werden. Außerdem ist der rechtskonforme Informationstransfer von Hausverwaltungen bzw. Vermietenden zu Mietenden zu nennen. Betriebskostenabrechnungen, Objektskizzen oder Ticketsysteme bilden hierbei die relevanten Anwendungsfelder. In diesem Zusammenhang lassen sich des Weiteren Rechtsdienstleistungen identifizieren, bei denen vordergründig eine digitale Interaktion zwischen Mandantschaft und Anwaltschaft für eine Beschleunigung der Bearbeitungsprozesse sorgen soll. Vor allem die Erstellung von Mikro-Zertifikaten helfen Abfragenden die essenziellen Informationen aus einem mehrseitigen Dokument zu extrahieren. Zusammenfassend lässt sich sagen: Um eine Akzeptanz und Verbreitung in den aktuellen sowie zukünftigen Anwendungsfällen zu gewährleisten, werden die Interoperabilität mit anderen Systemen und der Aufbau eines für jeden zugänglichen Kommunikationsökosystems für den Erfolg selbstbestimmten Identitäten maßgeblich sein.
Über den Autor: Michael Feygelman ist Senior Project & Community Manager bei der j&s-soft GmbH und bewegt sich seit 2020 in diversen digitalen Feldern rund um Künstliche Intelligenz, Digital Identity Lösungen & Cybersicherheit. Gemeinsam mit dem Bundesministerium für Bildung und Forschung baut er mit zahlreichen Partnern an einer bundesweiten Verletzungsinfrastruktur für Bildungsangebote.
(ID:49525798)
:quality(80)/images.vogel.de/vogelonline/bdb/1951700/1951732/original.jpg "HTML Smuggling umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert. (Myst - stock.adobe.com)")