Verbesserte Privatsphäre für flexible Zugangskontrollsysteme

erschienen in #IT-Sicherheit vom 18.04.2023

Policies für Zugriffskontrollsysteme (Access Control Policies) ermöglichen eine von der Geschäftslogik entkoppelte Regelung des Zugriffs auf Daten und andere Ressourcen. Neben der daraus entstehenden Flexibilität ist ein weiterer Vorteil, dass diese Policies von „Domain Experts“ ohne spezielle IT Expertise erstellt und gewartet werden können. Diese Policies definieren in der Regel, wer über welche Rechte auf welchen Ressourcen verfügt. Neben dieser Autorisierung kann in solchen Policies auch definiert werden, wie Benutzer authentifiziert werden. Dabei können sowohl bestehende Systeme wie eIDAS oder Enterprise Systeme zum Einsatz kommen, als auch neuere Modelle wie Self-sovereign Identity (SSI).

Eine Herausforderung beim Design von Zugriffskontrollsystemen ist die Wahrung der Privatsphäre von Benutzern. Um eine Zugriffsanfrage gegen eine Policy zu prüfen, muss ein Benutzer oft verschiedenste (oft personenbezogene) Daten bereitstellen. Wenn sich diese Daten in digitalen Dokumenten befinden, werden dabei oft mehr Daten übermittelt als eigentlich notwendig. Um dieser Herausforderung zu begegnen können privatheitsbewahrende Technologien eingesetzt werden. Die Integration dieser Technologien in Zugriffskontrollsysteme, vor allem bestehende, ist aber oft nicht einfach.

Downloads

Datei Beschreibung Dateigröße
pdf abcTPL_asit abcTPL: Report (EN)
1 MB
pdf abcTPL_appendix abcTPL: Appendix (EN)
1 MB