Original-URL des Artikels: https://www.golem.de/news/single-sign-on-made-in-germany-wettstreit-zwischen-verimi-netid-oder-id4me-1809-136504.html    Veröffentlicht: 11.09.2018 12:12    Kurz-URL: https://glm.io/136504

Single Sign-on Made in Germany

Verimi, NetID oder ID4me?

Welche der deutschen Single-Sign-on-Lösungen ist am vielversprechendsten? Golem.de erläutert die Unterschiede zwischen Verimi, NetID und ID4me.

Alle drei werben damit, dass sie eine Alternative zu den IT-Konzernen Google und Facebook anbieten wollen, "Made in Germany" und mit der Datenschutz-Grundverordnung (DSGVO) in Einklang. Alle drei fußen auf den gleichen technischen Vorgaben, dem auf Standards der Internet Engineering Task Force (IETF) basierenden OpenID Connect. Dennoch unterschieden sich die drei Single-Sign-on-Lösungen, deren Macher sich gerade auf den Panels deutscher Onlinekonferenzen das Mikrofon in die Hand geben.

Macht am Ende Verimi, NetID oder ID4me das Rennen? Das ist noch offen. Am heutigen Dienstag haben die Deutsche Bahn und der Autokonzern Volkswagen angekündigt, bei Verimi mitzumachen. NetID gewann laut Turi2.de den Spiegel-Verlag, Gruner+Jahr, die Süddeutsche Zeitung und Ippen-Digital. Dass einzelne Partner wie United Internet (NetID und ID4me) oder die Deutsche Telekom (Verimi und ID4me) bei mehreren der Projekte aktiv sind, unterstreicht nur: Auch innerhalb der Konzerne wird auf unterschiedliche Konzepte gewettet. Damit Nutzer bewusster entscheiden können, hier ein Blick auf Gemeinsamkeiten und Unterschiede.

Sign-on with me, me, me

Was die drei Bewerber gemeinsam haben, ist schnell zusammengefasst: Alle drei reagieren auf die Single-Sign-on-Lösungen der nicht erst mit dem Facebook-Skandal in Europa ins Gerede gekommenen US-Internetkonzerne. Der Siegeszug der "Sign in mit Google"- oder "Sign in mit Facebook"-Buttons straft diejenigen Lügen, die meinen, das zentrale Hinterlegen von Nutzer-IDs sei für die mehr oder weniger datenschutzbewegten Europäer abschreckend. Es ist einfach zu bequem, nicht für zig Dienste, gerade auch solche, die man nicht dauernd nutzt, eigene Profile anzulegen und der langen Liste verstreut eingesetzter Passwörter ein neues hinzuzufügen.

Ein sicherer, datenschutzfreundlicher Single Sign-on (SSO), der Nutzern die Hoheit über ihre Nutzerdaten zurückgibt und transparent macht, welche Dienste wie viele Daten wollen und wie oft, das versprechen die innerhalb der vergangenen knapp zwei Jahre angetretenen SSO-Projekte. Die Macher von Verimi, ID4me und NetID präsentieren gerne ihre Buttons - Sign-on mit Verimi, Sign-on mit ID4me, Sign-on mit NetID.

Standardprotokoll Oauth

Offene Standards zur Identifizierung von Nutzern quer über verschiedene Dienste gibt es schon seit geraumer Zeit, und auch die großen Plattformen bedienen sich dieser Standards. Mit RFC 5842 wurde innerhalb der IETF 2010 das Standardprotokoll für den Zugriff eines Dienstes auf die anderswo liegenden Daten eines neuen Nutzers verabschiedet: Oauth 1.0.

Mittlerweile ist der Oauth-Framework kräftig weiterentwickelt worden und bei RFC 8252 und Version 2.0 angekommen. Auf diese Standardsuite setzt das 2014 ebenfalls aus verschiedenen Vorgängerversionen entstandene OpenID Connect auf. Alle drei deutschen SSO-Anbieter, Verimi, NetID und ID4me, setzen darauf auf.

Zentrale und dezentrale Ansätze

Der große Unterschied zwischen den drei Konkurrenten besteht in der Rolle, die die Macher ihrer "zentralen" Plattform zuweisen. Die im April 2018 gestartete Verimi GmbH sieht sich klar als Garant für die zentrale, nach allen Regeln der Kunst (und entsprechenden Standards von BSI, NIST und künftig auch der EU) abgesicherte Identifizierung und spätere Autorisierung der Kunden gegenüber den beteiligten Anwendungspartnern.

Mittels Video-Ident-Verfahren bestätigen Nutzer, für die Verimi kostenlos ist, ihre Identität im Videochat. Das von einigen Direktbanken bereits für die Kontoeröffnung genutzte Verfahren könnte in der Zukunft außerdem durch die Identifikation per AusweisApp2 mit einem entsprechend NFC-fähigen Smartphone erfolgen, sagt Tobias Enke von Verimi. Sicherheit stehe ganz oben bei Verimi.

Behördendienste geplant

Dass Banken, darunter die Deutsche Bank, zu den Gründungsmitgliedern gehören, führt dazu, dass man auch über hinterlegte Bankdaten einfache Abwicklungen von Kontoeröffnung und Kontoumzug als künftige Dienste in Aussicht stellt. Verimi-Nutzer müssen auf viele dieser Dienste noch warten. Aber das Unternehmen arbeitet laut Enke intensiv am Ausbau des Netzwerks von Anwendungspartnern und an der Anerkennung als Anbieter qualifizierter Dienste laut der EU Verordnung eIDAS.

Damit will es digitale Dienste der öffentlichen Hand quer durch Europa anbieten können. Projekte mit den Bundesländern Nordrhein-Westfalen und Thüringen laufen bereits. Neben Bankensektor und Versicherungen gehören die Deutsche Telekom AG und der Axel-Springer-Verlag zu den Initiatoren von Verimi.

NetID als Datenbroker

Das gerade den NetID-Launch vorbereitende Firmenkonglomerat versteht seine als europäische Stiftung eingetragene Plattform demgegenüber eher als "Broker" für die Profildaten der teilnehmenden Unternehmen. Zu den Gründungsmitgliedern gehören neben der United Internet vor allem Medienunternehmen wie RTL und ProSiebenSat1.

Jan Oetjen, Vorstand von United Internet, erläuterte dem Fachblatt Adzine, dass man NetID gerade nicht als zentrale Datenplattform betrachte. Mitgliederstarke Dienste seien nicht unbedingt bereit, ihre Datenschätze zu teilen - unabhängig davon, ob der Nutzer seine Zustimmung gebe.

Die als Broker fungierende NetID-Stiftung wird demnach Logins der Nutzer nur zum jeweiligen Provider leiten. Wenn ein Nutzer sich mit seiner ID anmelde, vermittle der Broker weiter zu dem Publisher, der das Passwort und das Opt-in des Nutzers gespeichert habe, sagte Oetjen. Aus Oetjens Präsentationen wird dabei auch klar, dass die Profile und Daten der Nutzer Teil des Geschäftsmodells sind. Auch NetID versteht sich dabei als branchenübergreifender Anbieter.

ID4me basiert auf Domain-Struktur

Eine dritte Variante der Nutzerdatenhaltung steuert ID4me an, das kürzlich zu einem ersten Gipfel in den Räumen der Denic in Frankfurt lud. Statt von zentral oder dezentral sprechen die Macher von einem "föderativen" System (PDF). Die Gründungsmitglieder, die de-Registry Denic, der zu United Internet gehörende Registrar 1&1 und das Softwarehaus Open-Xchange, bleiben damit in der Logik ihrer Branche. Nutzer können sich wie im Domaingeschäft sowohl ihre ID-Authority (der Provider, der die Autorisierungsprozesse abwickelt) als auch den ID-Agent wählen, der die Stammdaten des Nutzers hält. Sie können die jeweiligen Anbieter wechseln, so wie Domain Registry und Registrar.

An keiner Stelle werden zentral IDs gespeichert. ID4me muss dabei natürlich etwas mehr tun als bei den zentralisierten Lösungen, damit ein Dienstleister die für den gesuchten Nutzer zuständige ID-Authority findet. Klar, dass Registries und Registrare dafür ihr DNS als bestens geeignet sehen. Eine DNS-Abfrage mit der Nutzer-ID, künftig zur Sicherheit eher in Hash-Form, gibt den entscheidenden Tipp.

Wechsel des ID-Providers möglich

Die Absicherung der Kommunikation mittels Zertifikaten, die natürlich auch bei der Konkurrenz auf dem Programm steht, wollen die ID4me-Macher mit dem neuen IETF-Standard Automated Certificate Management Environment erledigen. Das ermöglicht den Teilnehmern, von Zertifikatsstellen wegzukommen. Verimi listet dazu einfach nur ein knappes Dutzend vertrauenswürdiger Zertifikatsanbieter auf. Schließlich soll auch DNSSEC bei ID4me zum Einsatz kommen.

Flexibler für Endnutzer erscheint auf den ersten Blick klar die DNS-basierte Lösung. Er muss nicht Facebook, aber auch nicht der Berliner Verimi vertrauen, sondern sucht sich seine ID-Provider selbst und wechselt, wenn er nicht mehr zufrieden ist. Technisch ist das möglich bei ID4me, allerdings sind die Umzüge, das kennt man auch von Domainumzügen, möglicherweise kompliziert.

Auch sichere Bürgerdienste geplant

Gleichzeitig fahren die DNS-Anbieter viel stärker eine Hands-off-Politik, was die Identitätsfeststellung anbelangt. Diese ist nur jeweils so gut, wie ID-Agent und ID-Authority sie implementieren. Auch in die Verhandlung, wie viel Daten darf eigentlich ein Dienstleister vom Nutzer bekommen, greift ID4me nicht ein - das bleibt allein deren Sache. Bei Verimi entscheidet hier laut einem White Paper der Firma der Verimi-Datenschutzbeauftragte gemeinsam mit dem Nutzer.

Trotz der stärkeren Laissez-faire-Politik bei ID4me gibt es aber durchaus schon Interessenten, die sichere Logins für Bürgerdienste über die DNS-Lösung abwickeln wollen. Die Berliner Registry Dot.Berlin steuert laut Geschäftsführer Dirk Krischenowski ein Projekt an, in dem Berlin IDProvider für seine Bürger unter dot.berlin werden könnte. Das Konzept könnte sich auch für Schulen auszahlen, sagte ein Vertreter von Univention beim ID4me Summit in Frankfurt. Die DTAG experimentiert laut Katja Speck, der Leiterin der künftigen Non-for-Profit-Organisation nach belgischem Recht, mit einem ID4me SSO für die Mitarbeiter des Konzerns.

ID4me ist international

Noch einen kleinen Vorteil bringt die Domainlösung mit: Sie ist naturgemäß international. Während die europäische NetID-Stiftung und auch Verimi noch mit internationalen Partnern verhandeln, saßen die nationalen Registries aus Tschechien, Österreich, Frankreich, einige große Registrare wie Godaddy oder Neustar beim ID4me Summit schon mit am Tisch.

Gewinnt also ID4me das Rennen? Starten wird es wohl als Letzter, erst im ersten Quartal 2019. Die Entscheidung ist noch nicht gefallen.  (moe)


Verwandte Artikel:
Verimi: Deutsche Konzerne starten Single Sign-on   
(10.04.2018, https://glm.io/133761 )
E-Mail-Konto: 90 Prozent der Gmail-Nutzer nutzen keinen zweiten Faktor   
(19.01.2018, https://glm.io/132263 )
Passwörter geleakt: Datenschützer prüft Sanktionen gegen Knuddels   
(11.09.2018, https://glm.io/136501 )
Battle Royale: Fortnite für Android kommt auf 15 Millionen Downloads   
(10.09.2018, https://glm.io/136485 )
Spyware: Mac-App Adware Doctor sammelt heimlich Nutzerdaten   
(10.09.2018, https://glm.io/136489 )

© 1997–2019 Golem.de, https://www.golem.de/