Was ist eine digitale Identität?
Eine digitale Identität ist das digitale Abbild der analogen Identität einer Person. Sie setzt sich aus mehreren Konten, Anmeldedaten, Berechtigungen, Verhaltensweisen und Nutzungsmustern zusammen, die einer Person zugeordnet sind.
Online abgebildet und digital dokumentiert, umfasst eine digitale Identität eine authentifizierte und gespeicherte Sammlung von Merkmalen, die einer eindeutig identifizierbaren Person zugeordnet sind. Sie dient dazu, Benutzer zu authentifizieren, wenn für den Zugriff auf Online-Services oder die Durchführung von Transaktionen ein verifizierter Identitätsnachweis erforderlich ist.
Wie analoge Identitäten unterliegt auch eine digitale Identität Anforderungen, die ihre Gültigkeit sicherstellen. Drei zentrale Merkmale sind:
- Eine digitale Identität muss persönlich und nicht übertragbar sein (d. h., nur die Person, der sie zugeordnet ist, kann darauf zugreifen und sie nutzen).
- Eine digitale Identität muss wiederverwendbar sein (d. h., nach der Zuweisung kann sie überall dort eingesetzt werden, wo sie benötigt wird).
- Eine digitale Identität sollte einfach zu nutzen sein (d. h., sie muss ohne technisches Fachwissen verfügbar und nutzbar sein, wo immer sie gebraucht wird).
Eine digitale Identität kann genutzt werden, um:
- auf bestehende Konten zuzugreifen
- die erforderliche Vertrauenswürdigkeit herzustellen, um Services zu nutzen
- ein neues Konto zu eröffnen
Häufig macht eine digitale Identität die Präsenz einer Person oder Entität in Anwendungen, Netzwerken, On-Premises-Systemen oder Cloud-Umgebungen nachvollziehbar. Dabei kann es sich um eine Person, eine Organisation, eine Anwendung oder ein Gerät handeln.
Eindeutige Kennungen und Nutzungsmuster ermöglichen es, digitale Identitäten für Sicherheitszwecke zu erkennen.
Auch Website-Betreiber und Werbetreibende nutzen sie, um Benutzer zu identifizieren und nachzuverfolgen. In diesen Fällen dient eine digitale Identität der Personalisierung – und ermöglicht damit passgenau ausgespielte Inhalte und Werbung.
Digitale Identitäten vs. Benutzer
Benutzer und digitale Identitäten stehen in Bezug auf Konten in einer One-to-many-Beziehung. Anders als eine digitale Identität – also die eindeutigen Merkmale, aus denen sich die Online-Identität einer Person zusammensetzt – bezeichnet ein Benutzer die Person oder Entität, die eine Ressource nutzt oder mit ihr interagiert, einschließlich der damit verbundenen Aktivitäten.
Beispielsweise enthält in einer Cloud-Umgebung eine Identität das Passwort, während der Benutzer den Namen, die E-Mail-Adresse und weitere Eigenschaften umfasst. In diesem Szenario kann einem Benutzer optional eine digitale Identität zugeordnet sein. Für den Zugriff auf die meisten Anwendungen und Services müssen Benutzer jedoch eine digitale Identität besitzen oder erstellen.
Arten digitaler Identitäten
Digitale Identitäten lassen sich drei Hauptkategorien zuordnen: menschliche, maschinelle und cloudbasierte Identitäten.
Menschliche digitale Identität
Eine menschliche digitale Identität ermöglicht den Zugriff auf unterschiedliche Ressourcen. Beispiele im Unternehmensumfeld sind:
- Kunden
- Mitarbeitende
- Partner
- Lieferanten
Maschinelle digitale Identität
Eine Maschinenidentität wird genutzt, um nicht-menschliche Benutzer – etwa Anwendungen, Server und Software sowie mobile Geräte, IoT-Geräte und andere Devices – gegenüber einem Netzwerk oder System zu authentifizieren.
Cloud-Digitalidentität
Eine Cloud-Digitalidentität dient dazu, Zugriff auf cloudbasierte Computing-Ressourcen und Services bereitzustellen. Sie kann sowohl für Maschinen als auch für Menschen verwendet werden.
Je nach ausgeführter Aktivität kommen unterschiedliche Digitalidentitäten zum Einsatz. Beispiele sind:
- Digitalidentität für Bürger: Behörden nutzen sie, um Bürgerinnen und Bürgern Zugriff auf Online-Systeme zu geben – z. B. zur Beantragung offizieller Dokumente, zur Abfrage einer Identifikationsnummer oder zur Abgabe der Steuererklärung.
- Digitalidentität für elektronisches Banking: Finanzinstitute verwenden Digitalidentitäten, damit Kunden auf Kontoinformationen zugreifen und Transaktionen durchführen können (z. B. Rechnungen bezahlen oder Wertpapiere handeln).
- Digitalidentität für Mitarbeitende: Vom Arbeitgeber vergeben und für verschiedene Zwecke genutzt – z. B. Zugriff auf das interne Netzwerk, Zutritt zum Bürogebäude oder Nutzung von Unternehmensressourcen.
- Digitalidentität für Online-Shopping bzw. Kunden: Ermöglicht sichere Online-Käufe und hilft Händlern, Kundendaten zu verwalten – z. B. zur Verbesserung des Kundenservice, Personalisierung von Marketingkampagnen, Betrugserkennung und Nachverfolgung von Transaktionen und Präferenzen.
Die Nutzung digitaler Identitäten lässt sich in vier Hauptkategorien einteilen: als Berechtigungsnachweis, als Charakter, als Benutzer und als Reputation.
Digitale Identität als Charakter
Bei der digitalen Identität als Charakter erstellt eine Person eine Persona, um sich online klar abzugrenzen. Diese Form dient der Selbstdarstellung und basiert auf nutzergenerierten Beschreibungen, Kommentaren, Interaktionen und Aktivitäten. Eine Charakter-Identität speist sich überwiegend aus persönlichen Apps, etwa aus Dating-, Social-Media- und Metaverse-Profilen.
Digitale Identität als Berechtigungsnachweis
Wird eine digitale Identität als Berechtigungsnachweis genutzt, basiert sie auf konkreten Informationen zur Verifizierung einer Person. In der Praxis stützt sie sich stark auf staatlich ausgestellte Dokumente – etwa Geburtsurkunden, Führerscheine, Reisepässe oder Sozialversicherungsnummern. Je nach Kontext können auch E-Mail-Identifikationen in diese Kategorie fallen.
Digitale Identität als Reputation
Eine digitale Identität als Reputation wird aus vertrauenswürdigen und autorisierten Entitäten abgeleitet. Sie enthält Informationen zur Historie einer Person in einem bestimmten Bereich – etwa Beschäftigungshistorie, Bildungshintergrund, Kredit-Scores und Strafregistereinträge.
Digitale Identität als Benutzer
Eine digitale Identität, die sich aus der Rolle einer Person als Benutzer von Online-Ressourcen ableitet, basiert auf Informationen zu ihrem digitalen Verhalten. Dazu zählen Browserverlauf, Online-Käufe, Webinar-Anmeldungen sowie geöffnete E-Mails.
Digitale Identitäten vs. Konten
Zwischen digitaler Identität und Konto gibt es Überschneidungen – identisch sind sie jedoch nicht. Beide können personenbezogene Daten (PII) und vertrauliche Informationen enthalten und dienen als Zugangspunkt zu Online-Ressourcen (z. B. Anwendung, Plattform, Netzwerk oder Website). Darauf beschränken sich ihre Gemeinsamkeiten.
Ein Konto ist eine Form der digitalen Identität, bildet jedoch nicht die gesamte Online-Präsenz einer Person ab. Nutzer verfügen in der Regel über mehrere Konten – z. B. geschäftliche E-Mail und Netzwerk, private E-Mail und Netzwerk, Websites sowie Cloud-Services.
Attribute der digitalen Identität
Attribute der digitalen Identität dienen der Zuordnung von Inhaberschaft. Welche Attribute eine digitale Identität definieren, reicht von Anmeldedaten und amtlichen Namen bis hin zu Browserverlauf und Standortdaten. Die Attributdaten werden in drei Kategorien unterteilt:
- Angesammelt (z. B. Transaktionshistorie oder Gesundheitsakten)
- Zugewiesen (z. B. Sozialversicherungsnummer oder Vormundschaft)
- Inhärent (z. B. Geburtsdatum oder Fingerabdruck)
Kennungen digitaler Identitäten
Kennungen digitaler Identitäten sind die Daten, aus denen sich eine digitale Identität zusammensetzt. Welche Kennungen zugeordnet sind, kann je nach Nutzungsszenario variieren (z. B. Zugriff auf ein Unternehmensnetzwerk, Besuch einer E-Commerce-Website oder Login in ein Bankkonto). Zu den Kennungen können gehören:
- Biometrische Merkmale (z. B. Fingerabdruck, Netzhautscan oder Gesichtsscan)
- Geburtsdaten
- Browserverhalten
- E-Mail-Adressen
- Staatlich vergebene Identifikatoren (z. B. Sozialversicherungsnummern, Führerscheinnummern und Passnummern)
- IP-Adressen
- Kaufhistorie
- Suchverlauf
- Benutzernamen und Passwörter
Angriffsvektoren auf digitale Identitäten
Cyberkriminelle verfügen über eine Vielzahl kreativer Methoden, um digitale Identitäten zu kompromittieren. Auch wenn bevorzugt privilegierte Identitäten angegriffen werden, sind nicht privilegierte Konten ebenfalls wertvolle Ziele. Zu den genutzten Angriffsvektoren gehören unter anderem:
Missbrauch von Self-Service-Funktionen: Cyberkriminelle nutzen die Funktion zum Zurücksetzen von Passwörtern aus, indem sie Passwörter erraten und den Zugriff über gefälschte Identitäten wiederherstellen.
Canary-Konten: Von Cyberkriminellen angelegt, um vor einem Angriff interne Systeme zu analysieren. Sie wirken wie legitime Konten und dienen ausschließlich zur Aufklärung – nicht zur Durchführung des eigentlichen Angriffs.
Credential Stuffing: Nutzt die verbreitete Praxis, Passwörter über mehrere Konten hinweg wiederzuverwenden. Gestohlene Identitätsdaten werden eingesetzt, um Zugriff auf weitere Konten zu erlangen. Diese Angriffe werden häufig per Bot automatisiert.
Fehlkonfigurationen und Schwachstellen-Exploits: Fehlkonfigurationen schaffen Sicherheitslücken und damit Einstiegspunkte. Schwachstellen-Exploits nutzen Programmfehler in Systemen, um Konten zu übernehmen.
Password Spraying: Ein Brute-Force-Angriff, bei dem häufig verwendete Benutzernamen und Passwörter ausprobiert werden, um unbefugten Zugriff auf Systeme oder Services zu erhalten.
Angriffe auf privilegierte Zugriffe: Durchgeführt mit entwendeten Zugangsdaten von Nutzern mit privilegierten Rechten – oder über Privilege Escalation bzw. Lateral Movement, um mehrere Accounts zu übernehmen.
Social Engineering:Umfasst ein breites Spektrum an Taktiken, bei denen Benutzer manipuliert werden, persönliche Informationen preiszugeben – etwa durch das Vortäuschen von Strafverfolgungsbehörden, falschen Bekannten oder Finanzinstituten. Ziel ist es, Zugangsdaten oder Einmalpasswörter abzugreifen.
Beispiele für Social-Engineering-Taktiken zum Diebstahl digitaler Identitäten:
- Phishing – eine gängige Form von Social Engineering, bei der Ziele per E-Mail getäuscht werden
- Smishing – wie Phishing, jedoch über SMS
- Spear Phishing und Whaling – gezielte Phishing-Varianten, die sich an bestimmte Personen (Spear Phishing) oder Führungskräfte (Whaling) richten
Digitale Identitäten schützen
Zu den Best Practices für den Schutz digitaler Identitäten gehören die folgenden Maßnahmen.
Digitales Identitäts-Warehouse bereitstellen
Schaffen Sie Transparenz und belastbare Erkenntnisse, indem Sie ein digitales Identitäts-Warehouse als zentrales Repository nutzen, um Identitätsdaten für alle Benutzer zu speichern und zu verwalten (z. B. Menschen, Systeme, Geräte und Datenquellen). Achten Sie darauf, dass auch Schatten-IT erfasst wird.
Principle of Least Privilege anwenden
Prüfen und passen Sie Berechtigungen und Rollen kontinuierlich an, damit sie den tatsächlichen Anforderungen entsprechen. Die digitale Identität jeder Person sollte jederzeit genau den notwendigen Zugriff auf die richtigen Ressourcen gewähren – nicht mehr und nicht weniger.
IT-Administratoren sollten für Aktivitäten, die keine privilegierten Rechte erfordern, ein Standard-Konto verwenden, um die Exposition privilegierter Konten zu begrenzen. Das reduziert Bedrohungen, da die meisten Malware-Varianten für Lateral Movement auf Privilegien angewiesen sind.
Starke Zugriffskontrollen implementieren
Sicherheitskontrollen für den Zugriff auf digitale Identitäten sollten Rollen sowie Richtlinienmanagement nutzen. So wird der Zugriff auf Daten und Anwendungen ausschließlich bedarfsorientiert vergeben und Provisioning/Deprovisioning gesteuert und überwacht. Zusätzlich sollte eine Funktionstrennung (Separation of Duties, SoD) implementiert werden, um risikoreiche Berechtigungskombinationen zu vermeiden.
Jede digitale Identität auf Risiken überwachen
Der Zugriff auf digitale Identitäten sollte kontinuierlich überwacht werden – inklusive Protokollierung aller Nutzeraktivitäten auf Basis der jeweiligen Berechtigungen –, um bei verdächtigen Aktivitäten proaktiv Warnmeldungen zu erzeugen.
Digitale Identitäten bewerten
Analysieren Sie jede digitale Identität, um Zugriffs- und SoD-Risiken nach Benutzer, Rolle und Geschäftsprozess zu identifizieren. So lassen sich zudem erforderliche Anpassungen von Zugriffsrechten erkennen, Verhaltens-Baselines etablieren und Sicherheitsrichtlinien gezielt optimieren.
Ungenutzte oder veraltete Berechtigungen entfernen
Wird eine digitale Identität obsolet oder weist sie ungenutzte Berechtigungen auf, sollte das Konto deprovisioniert und alle ungenutzten bzw. nicht benötigten Berechtigungen entzogen werden.
Benutzer zu Angriffsvektoren auf digitale Identitäten schulen
Digitaler Identitätsdiebstahl gefährdet sämtliche Systeme und Ressourcen. Aufklärung über Risiken digitaler Identitäten senkt das Risiko von Verlust oder Diebstahl. Schulungen und die Verankerung von Security-Awareness in der Unternehmenskultur schützen digitale Identitäten und tragen dazu bei, Angriffsoberflächen zu reduzieren.
Systeme härten
Der Schutz digitaler Identitäten wird ebenfalls durch konsequentes System-Hardening erreicht – als fester Bestandteil der übergreifenden Sicherheitsmaßnahmen. Dabei sollten ungenutzte oder veraltete Anwendungen einschließlich zugehöriger Berechtigungen entfernt sowie nicht benötigte oder riskante Ports geschlossen werden.
Updates und Patches zeitnah installieren
Der Schutz digitaler Identitäten wird unterstützt, indem Systemschwachstellen durch veraltete Software oder Firmware beseitigt werden. Die zeitnahe Installation von Updates und Patches verbessert das grundlegende Sicherheitsniveau und minimiert die Angriffsoberfläche.
Digitale Identität: Chance und Risiko
Trotz der Risiken schreitet die Ablösung der analogen Identität durch eine digitale Identität in rasantem Tempo voran. Neben Unternehmen setzen zunehmend auch Regierungen auf digitale Identitäten als Alternative zu analogen Verfahren.
Der Erfolg digitaler Identitäten hängt davon ab, bestehende Cybersecurity-Tools wirksam einzusetzen und sie durch neue, speziell entwickelte Lösungen zu ergänzen. Wer versteht, wie digitale Identität funktioniert und wo ihre Stärken und Schwächen liegen, kann diese leistungsfähige Technologie gezielt schützen.
