Dr. Detlef Hühnlein

Der Personalausweis ist für Cloud-Login zugelassen

Dr. Detlef Hühnlein ist Geschäftsführer der ecsec GmbH und Leiter des vom BMWi im Rahmen des Trusted-Cloud-Programms geförderten SkIDentity-Projekts. Dessen Ziel ist es, ein sicheres Authentifizierungssystem für Cloud-Anwendungen auf Basis z.B. des neuen Personalausweises zu schaffen. Detlef Hühnlein ist seit über 15 Jahren im Bereich der IT-Sicherheit für die Industrie tätig. Parallel dazu promovierte er an der TU Darmstadt im Bereich Kryptografie und war als Lehrbeauftragter an verschiedenen Hochschulen tätig. Er ist sich sicher, dass ein Umdenken in Richtung sicherer Anmeldesysteme stattfinden muss, „weil immer mehr Probleme durch die größer werdenden Passwortdiebstahlskandale entstehen.“

MittelstandsWiki: Sie möchten mit SkIDentity die Authentifizierung im Internet sicherer und gleichzeitig komfortabel gestalten. Was ist Ihr Plan?

Dr. Detlef Hühnlein: Da muss man ein wenig ausholen. Eine große Achillesferse der Sicherheit im Internet ist die Authentifizierung mit Benutzername und Passwort – wie man an den Skandalen der letzten Monate gut sehen konnte. SkIDentity ersetzt diesen Mechanismus durch eine Authentifizierung auf Basis der zwei Faktoren Besitz und Wissen, also Karte und Passwort.

MittelstandsWiki: So etwas gibt es doch schon längst!

Dr. Detlef Hühnlein: Der Unterschied bei SkIDentity ist, dass Sie relativ weitverbreitete elektronische Ausweise wie z.B. den neuen Personalausweis einsetzen können. Oft braucht man noch nicht einmal ein zusätzliches Lesegerät; in vielen professionellen Notebooks sind bereits Kartenleser für kontaktbehaftete oder kontaktlose Karten integriert und der Personalausweis kann mit bestimmten Mobiltelefonen über NFC ausgelesen werden. Sie benötigen dann nur noch eine Schnittstelle. – Unsere Mission ist es, die bislang noch nicht völlig integrierten Infrastrukturen im Bereich der elektronischen Ausweise und im Cloud Computing mittels Schnittstellen so miteinander zu verknüpfen, dass eine einfache und sichere Authentifizierung möglich ist. Das Bundesverwaltungsamt hat am 1. September 2014 offiziell bewilligt, dass der neue Personalausweis über SkIDentity in der Cloud genutzt werden darf.

MittelstandsWiki: Aber bislang hat das doch nur Forschungscharakter.

Dr. Detlef Hühnlein: Nicht ganz. Das Projekt läuft seit zweieinhalb Jahren und endet demnächst. In Kürze startet der offene Anwendertest.

MittelstandsWiki: Und wie geht es dann weiter?

Dr. Detlef Hühnlein: Wir werden einige Komponenten, die wir im Rahmen des Projekts entwickelt haben, bis zu einem gewissen Grad als Open Source zur Verfügung stellen. Andere Komponenten können für die Nutzung in Unternehmen oder Behörden lizenziert und installiert bzw. zur Integration in Systemen bereitgestellt werden. SkIDentity selbst wird man als Cloud-Service nutzen können.

MittelstandsWiki: Was macht Sie so sicher, dass Ihr System auf breiter Ebene angenommen wird?

Dr. Detlef Hühnlein: Ich denke, dass langsam ein Umdenken stattfindet, einfach weil immer mehr Probleme durch die größer werdenden Passwortdiebstahlskandale entstehen. International haben sich z.B. in der FIDO Alliance führende Unternehmen und Organisationen wie Google, MasterCard oder Samsung zusammengeschlossen, um der Authentifizierung mit Benutzernamen und Passwort den Kampf anzusagen. Und in Deutschland wurde ja vor einigen Wochen der Entwurf des neuen IT-Sicherheitsgesetzes vorgelegt, der eine Ergänzung im Telemediengesetz vorsieht. Demnach sollen Anbieter von personalisierten Telemediendiensten, also von gewerblichen Webseiten, die man durch Login personalisiert nutzen kann, verpflichtet werden, starke, an den Schutzbedarf der Daten orientierte Authentifizierungsmechanismen anzubieten. Der Gesetzgeber verweist in der Begründung zum Gesetzesentwurf auf die Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Eine dieser Richtlinien ist die BSI TR-03107, welche die Sicherheitsklassen „normal“, „hoch“ und „hoch+“ definiert. Natürlich wird nicht jeder Gesetzentwurf zwingend eins zu eins übernommen. Da auf europäischer Ebene aktuell vergleichbare Regelungen diskutiert werden, bin ich mir jedoch sicher, dass der Entwurf nicht wieder in der Schublade verschwinden wird.

Das Interview führte Sabine Philipp.