Identifikation und Authentifikation

Bevor ein System einem Nutzer Rechte erteilen kann, muß die Identität des Nutzers eindeutig und sicher nachgewiesen werden.

In den meisten Fällen geschieht dies, in dem sich der Nutzer gegenüber dem System identifiziert (z.B. durch Eingabe eine Nutzerkennzeichens) und danach diese Identität glaubhaft beweist (Authentifikation).

Der Nutzer kann seine Identität durch folgende Möglichkeiten nachweisen [16]:

• Der Nutzer hat Wissen, welches nur die entsprechende Identität weiß (z.B. Password, Parole).

• Der Nutzer ist im Besitz eines Objekts, welches nur die entsprechende Identität besitzt (z.B. Schlüssel, Magnetkarte, Ausweis).

• Der Nutzer hat bestimmte Eigenschaften, welche ihn eindeutig als die entsprechende Identität bestimmt (z.B. biometrische Merkmale wie Fingerabdruck, Tippverhalten).

Einige Systeme verzichten jedoch auf die Authentifikation, in dem sie einen oder mehrere der oben genannten Nachweise ausschließlich zur Identifikation nutzen (z.B. ist das Wissen um ein Nutzerkennzeichen auch eine Identifikation).

Andere Systeme nutzen einen oder mehrere der oben genannten Nachweise zur gleichzeitigen Authentifikation und Identifizierung des Nutzers, in dem Sie die zum Nachweis angegebenen Merkmale mit allen bekannten Merkmalen (z.B. aus einer Datenbank) vergleichen und bei Übereinstimmung der Merkmale die Annahme treffen, dass es sich um eine bestimmte Identität handele. Dies wird z.B. bei vielen biometrischen Identifikationssystemen genutzt.

Jedoch tritt dabei ein datenschutzrechtliches Problem auf. Alle Merkmale (z.B. Biometriedaten; Identifikationsmerkmale von Objekten, welche die Nutzer besitzen) müssen in einer zentralen Datenbank gespeichert werden. Da dies alles personengebundene Daten sind, stellt sich hier die Frage, für wie lange diese Daten gespeichert werden dürfen, wer Zugang zu diesen Daten hat und in welcher Form der Nutzer seine Daten einsehen darf.

Abhilfe schaffen hier z.B. intelligente Ausweise, welche biometrische oder andere, zum Nachweis der Identität sinnvolle Daten, digital vorhalten. Diese Daten können nun zur Authentifikation des Nutzers genutzt werden. Jedoch muss sich das Objekt ,,intelligente Ausweise'' auch wieder gegenüber einem anderen System, welches den Nutzer authentifizieren möchte, identifizieren und autorisieren. Dazu sollten sinnvoll gewählte kryptographische Mittel gewählt werden, um die Authentifikation, Integrität und Geheimhaltung zu sichern. Dieser Aspekt soll jedoch hier nicht weiter diskutiert werden. [6]