Die Single Sign-On (SSO)-Lösung DENIC ID basiert auf dem offenen Standard ID4me – doch offen zugänglich ist nicht nur der zugrundeliegende Standard. Auch die Ergebnisse eines extern durchgeführten ausführlichen Penetrationstests können frei eingesehen werden. Im Rahmen der Sicherheitsüberprüfung wurde DENICs neuer Identitäts-Service umfangreich auf Sicherheitslücken überprüft, um den hohen Sicherheitsstandards der Registry zu entsprechen.
Ein Vorteil sogenannter Open Standards ist, dass eine große Gemeinschaft von Experten daran mitwirken und sie weiterentwickeln kann. Dennoch ist nicht ausgeschlossen, dass es bei der Konzipierung und Umsetzung der Standards zu Fehlern kommt. Unter anderem mögliche, von Menschen gemachte Fehler bei der Implementierung sollten durch umfangreiche Sicherheitsüberprüfungen aufgedeckt und eliminiert werden, damit Nutzer einer DENIC ID sich auf die Sicherheit ihrer digitalen Identität verlassen können. Mit der Offenlegung der Testberichte setzt DENIC seinen Transparenzkurs konsequent fort.
Bei einem Penetrationstest wird die Sicherheit von Softwarekomponenten und Systemen in einem vereinbarten zeitlichen Rahmen mit den Methoden und Mitteln potenzieller Angreifer geprüft. Für die Domain-basierte SSO-Lösung DENIC ID führte die Hackmanit GmbH diese unabhängige Überprüfung durch. Das aus dem Umfeld der Ruhr-Universität Bochum stammende Sicherheitsunternehmen verfügt über langjährige Erfahrung und ist Experte für die Sicherheit von SSO-Verfahren. Insbesondere die Authentifizierung und Autorisierung registrierter Nutzer nahmen die Sicherheitsexperten ins Visier. Durch geschickte Manipulationen versuchten sie die Validierung beim Login zu umgehen, auf nicht dafür vorgesehenem Weg Zugriff auf Benutzerdaten zu erlangen oder den Server daran zu hindern, zwischen gültigen benutzerinitiierten und ungültigen Anfragen ohne Benutzerzustimmung zu unterscheiden. Einzelne im Rahmen der Tests identifizierte Schwachstellen wurden von den DENIC-Entwicklern noch während des Penetrationstests beseitigt. So war es dem Team von Hackmanit möglich unmittelbar zu verifizieren, dass die Schwachstellen erfolgreich behoben sind.
„ID4me ist ein neuartiges Protokoll für föderiertes Identity Management und die Herausforderung es im Detail zu überprüfen haben wir gerne angenommen – SSO-Systeme sind immerhin eines unserer Spezialgebiete", sagt Dr. Juraj Somorovsky, CTO der Firma Hackmanit. „Insbesondere der neuartige und offene Ansatz bei dem Protokoll sowie die Bereitschaft die Ergebnisse des Penetrationstests offen darzulegen, haben uns sehr gereizt.“ Inhaltlich haben die durchgeführten Tests gezeigt, dass auf DENIC ID basierende Login-Vorgänge höchsten Sicherheitsanforderungen entsprechen, hebt der Kryptografie-Spezialist hervor.
Nutzern von ID4me-basierten Logins, wie DENIC ID, steht somit ein datenschutzkonformes, universelles und sicheres Login-Verfahren zu Verfügung. Damit haben Nutzer die Möglichkeit, sich mit einem einzigen Account bei allen teilnehmenden Online-Angeboten anzumelden, frei zwischen Login-Anbietern zu wechseln und die Daten, die beim Login weitergegeben werden, individuell selbst zu bestimmen. Online-Anbieter erhalten mit DENIC ID Zugang zu einer unabhängigen und mit Datenschutzvorgaben übereinstimmenden zentralen Nutzer-Authentifizierung, mit der auch Neukunden einfach integriert werden können.