Bring Your Own Identity: Online-Anmeldung via Drittanbieter
Der Grundgedanke von „Bring Your Own Identity“: eine einzige digitale Identität, die universell im Netz für viele Registrierungen und Anmeldungen verwendbar ist. Hier erfahren Sie, wie das Konzept funktioniert.
Jeder Mensch hat eine einmalige und unverwechselbare Identität, die im analogen Bereich beispielsweise durch einen Personalausweis oder einen Fingerabdruck verifiziert wird. Im Internet können sich Userinnen und User mit ihrer digitalen Identität ausweisen und identifizieren lassen. Der Nachweis der elektronischen Identität erfolgt im Netz in der Regel über die Eingabe eines Benutzernamens und eines geheimen Kennwortes, kann jedoch auch durch strengere Prüfverfahren durchgeführt werden. Die digitale Identität kann im Netz verschiedene Funktionen erfüllen: Sie dient zur Anmeldung bei einer Website oder kann im Sinne einer digitalen Signatur die Unterzeichnung von Dokumenten wie etwa Verträgen realisieren.
Bring Your Own Identity
Bring Your Own Identity (kurz: BYOI) ist ein wachsender Trend im Bereich der digitalen Identifikation und Authentifizierung für kommerzielle und behördliche Online-Dienste sowie für Apps. Häufig müssen Userinnen und User für jedes Online-Konto oder für die Verwendung einer App eine neue digitale Identität anlegen. Das Login-Verfahren BYOI ermöglicht es Userinnen und Usern, für die Anmeldung beziehungsweise Registrierung eine bestehende digitale Identität heranzuziehen, sofern diese im Vorfeld von einer dritten unabhängigen Plattform (auch: ID-Service-Anbieter) in geeigneter Form verifiziert wurde.
Im privaten beziehungsweise kommerziellen Bereich bieten vor allem Social-Media-Plattformen die Anmeldung via BYOI-Methode (hier auch: Social Login) an. Viele Online-Dienste integrieren zu diesem Zweck beispielsweise eine Anmeldeoption via Google – dabei wird mit einem Klick auf „Weiter mit Google“ oder „Anmelden mit Google“ die Userin oder der User durch die Google-Identität authentifiziert.
Hinweis
Wer sich bei einem aktivierten Online-Konto anmeldet, muss sich zunächst identifizieren, bevor sie oder er authentifiziert und schlussendlich autorisiert wird, den jeweiligen Online-Dienst zu nutzen. Die Identifikation ist vollzogen, sobald das System den Benutzernamen oder die E-Mail-Adresse erkennt. Die Authentifizierung erfolgt durch die Eingabe des Passworts – das System vergleicht nun die eingegebenen Daten mit der eigenen Datenbank und ordnet der Userin beziehungsweise dem User das entsprechende Nutzerkonto zu. Optional kann nun eine 2-Faktor-Authentifzierung zwischengeschaltet sein, um etwa mit einem zweiten, unabhängigen Authentifizierungsfaktor den Besitz des Smartphones durch biometrische Authentifizierung nachzuweisen. Damit ist einerseits das Sicherheitsniveau zu steigern und andererseits sind so unrechtmäßige Zugriffe beispielsweise aufgrund eines Identitätsdiebstahls vermeidbar. Zuletzt findet die Autorisierung statt, bei der eine Userin oder ein User alle mit dem jeweiligen Konto eingeräumten Nutzungsrechte erhält.
Wie funktioniert die BYOI-Methode?
Die Nutzerin oder der Nutzer meldet sich bei einem Online-Anbieter mit einer digitalen Identität an, die bei einer dritten Instanz (ID-Service-Anbieter wie zum Beispiel Apple, Facebook oder Google) angelegt ist. Die Authentifizierungsfaktoren (zumeist Benutzername und Passwort) werden daher von einer dritten Partei verwaltet und bei der Anmeldung für einen anderen Dienst zur Verfügung gestellt.
Auch die erneute Eingabe der Login-Daten entfällt bei einer BYOI-Anmeldung. Websites, die eine solche Login-Methode technisch implementiert haben, bieten neben dem herkömmlichen Login-Verfahren (E-Mail-Adresse und Passwort) die Anmeldung via Google, Facebook oder andere ID-Service-Anbieter als zusätzliche Option an. Nach erfolgreicher Authentifizierung der Identität erhält die Userin oder der User Zugriff für den jeweiligen Online-Dienst.
Vorteile und Sicherheitsrisiken der BYOI-Methode
Die BYOI-Login-Methode zeichnet sich durch eine hohe Userfreundlichkeit aus, da die Registrierung oder Anmeldung für verschiedene Online-Konten schnell und unkompliziert durch wenige Mausklicks erfolgen kann. Dadurch entfällt auch die eigenverantwortliche Verwaltung mehrerer Benutzernamen und Passwörter beziehungsweise das Anlegen einer weiteren digitalen Identität.
Auf der anderen Seite lässt das Verfahren im privaten Kontext häufig hohe Sicherheitsstandards vermissen. Ein und dasselbe Passwort wird über die Nutzung eines ID-Service-Drittanbieters, welcher die digitale Identität bereitstellt, für die Anmeldung bei mehreren Online-Anwendungen herangezogen. Besonders oft findet eine zusätzliche Überprüfung der Identität durch eine 2-Faktor-Authentifizierung im Bereich Social Login nicht statt oder ist nicht aktiviert. Wird die digitale Identität der Userin oder des Users etwa aufgrund eines Datenlecks gestohlen, sind sämtliche Online-Konten, für die eine BYOI-Anmeldung eingerichtet wurde, kompromittiert. Das bedeutet, auf die Absicherung solcher Identitäten bei den ID-Service-Drittanbietern sollte besonderes Augenmerk gelegt werden. Möglich ist dies beispielsweise durch die Aktivierung einer 2-Faktor-Authentifizierung. Darüber hinaus müssen Userinnen und User dem ID-Service-Drittanbieter daher ein hohes Vertrauen entgegenbringen können. Gelingt es Cyberkriminellen außerdem, Ihre für das Social Login verwendeten Zugangsdaten beispielsweise durch einen Password Stealer abzugreifen, können diese auch andere Online-Konten infiltrieren, die per Social Login aktiviert wurden.
Tipp
Sichere Passwörter sind ein effektiver Schutz gegen Daten- und Identitätsdiebstahl. Welche Regeln Sie bei der Wahl Ihres Passwortes beachten können, erfahren Sie im Beitrag „Kennwortsicherheit: Der richtige Umgang mit Passwörtern“.
Welche Netzwerke bieten die BYOI-Login-Methode an?
Prinzipiell ist nicht festgelegt, wer die digitale Identität im Rahmen des BYOI-Konzepts verwaltet. Gegenwärtig bieten vor allem mehrere große Social-Media-Netzwerke die ID-Verwaltung als dritte Instanz an. Zu nennen sind hier die Plattformen von Facebook, Google, Instagram, LinkedIn und Twitter. Darüber hinaus bieten auch die US-Tech-Unternehmen Apple („Mit Apple anmelden“) und Amazon („Login mit Amazon“) eine Dritt-Anbieter-Anmeldung bei registrierten Webseiten oder Apps an.
Neben kommerziellen Anbietern ermöglichen auch staatliche Institutionen und Bankinstitute den ID-Service für die BYOI-Login-Methode. Für die Beglaubigung der digitalen Identität werden bei diesen Anbietern in der Regel strenge Identitätsprüfungen (Ausweiskopie, persönliche Vorsprache) angewandt. Ab Mitte 2022 wird in Österreich die ID Austria als elektronischer Identitätsnachweis eingeführt. Es handelt sich um eine Weiterentwicklung der Bürgerkarte und Handysignatur und soll neben der Identifikation für behördliche Websites auch der Nutzung digitaler Services von privaten Unternehmen dienen. Wer zukünftig einen Reisepass oder einen Personalausweis beantragt, wird zusätzlich auch eine ID Austria erhalten, sofern hierzu kein Widerspruch erteilt wurde. Auch seitens der EU ist eine europäische digitale Identität (EUid) geplant, die die Nutzung europaweiter Online-Dienste erleichtern und sicherer machen soll.
Hinweis
Je mehr Online-Accounts Sie haben, desto größer ist die Angriffsfläche für Cyberkriminelle. Aus diesem Grund sollten Sie insbesondere ungenützte Kundenkonten löschen. Mehr Informationen dazu finden Sie im Beitrag „Ungenützte Accounts: Wie Sie Ihr Online-Konto zuverlässig löschen“.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria