App-Berechtigungsverwaltung – Zugang zu sicherheitsrelevanten und kritischen Bereichen

Michael Sasdi
5 Min
23.06.20
Blockchain  Software Development  
#App  #Berechtigung  #Security  

Behörden und Unternehmen unterliegen oftmals strengeren Vorschriften bei der Berechtigungsverwaltung als sonstige Industriezweige. Dabei geht es vor allem darum, sicherheitsrelevante und kritische Bereiche vor dem Zugriff Dritter zu schützen. Bei einer Zunahme von ganzen Kriterienkatalogen und bei zunehmend schnellerer Veränderung dieser Kriterien, wird eine Lösung benötigt, die nachweislich diese Vorgaben und die dahinterstehenden Berechtigungsketten abbilden. Die Frage lautet also immer: „Wer hat wann, wem, welche Art von Berechtigung gegeben?“ und „Kann ich dieser jederzeit ohne Fälschungsmöglichkeit vertrauen?“

Die Herausforderung

Gerade in der gegenwärtigen Situation hilft es beispielsweise Fluggesellschaften zu wissen, ob die Passagiere an Bord gesund sind, bestimmte Einschränkungen haben oder insgesamt besondere Dienstleistungen oder Vorkehrungen an Board benötigen. Dabei besteht die besondere Herausforderung darin, dass großer Wert daraufgelegt werden muss, dass private Daten auch privat bleiben. Hinzu kommt in diesem Zusammenhang, dass diese Informationen teilweise ebenfalls für die Flughäfen selbst relevant sind, um sich beispielsweise den zunehmenden, schnell verändernden Kriterien in der Einlasskontrolle stellen zu können und das DSGVO-konform und sicher, aber ohne das Kundenerlebnis zu beeinträchtigen.

Lässt sich das per App mit einem digitalen Zugangsnachweis lösen?

Damit die Voraussetzungen und die Kriterien der Unternehmen und die privaten Daten des Nutzers geschützt werden, bietet die App namens „moveapprv“ einen Lösungsvorschlag an: Die Besonderheit daran ist, dass die App auf der Blockchain-Technologie basiert. Betrachten wir diese App näher anhand der Herausforderungen unseres Beispiels mit den Fluggesellschaften. Dann sieht das Ganze wie folgt aus:

Dürfen wir vorstellen: Dies ist John. John ist unser Nutzer und gehört zu denjenigen, die nach den Corona Einschränkungen in den wohlverdienten Urlaub fliegen möchten. John lädt sich im Voraus zu seinem Urlaub die „moveapprv“ auf sein Smartphone und erhält eine persönliche Bescheinigung zu seinem aktuellen Gesundheitszustand durch den Validator – in diesem Fall ein Arzt. Diese Daten werden im Vorfeld über bestimmte Abfragen generiert und entsprechend hinterlegt. Die App erzeugt anschließend bei Erstverwendung ein zufälliges Keypaar, bestehend aus einem Public- & Privatkey. Der private Schlüssel bleibt jederzeit in der Hand von John. Zur eindeutigen Identifikation erzeugt die App anhand der hinterlegten Daten einen QR-Code. Der QR-Code wird später für die Verifizierung des Zustands genutzt. Personen ohne Smartphone können sich den QR-Code für eine eingeschränkte Nutzung auch ausdrucken lassen. John bleibt über die gesamte Nutzungszeit anonym, verwaltet seinen Status selbst und gibt diesen nur für die Verifizierung frei. Die Daten sind sicher kryptographisch verschlüsselt und DSGVO-konform.

Am Flughafen angekommen

John hat sich mit sämtlichem Gepäck auf den Weg zum Flughafen gemacht und orientiert sich voller Vorfreude zu seinem Zugang zum Abflug-Gate. Dort scannt der von der Behörde oder dem Unternehmen eingesetzte Validator – wie in diesem Falle ein Arzt – den QR-Code von John und kann damit den entsprechenden Status prüfen. Für den weiteren Verarbeitungsprozess bearbeitet nun der Arzt den Datensatz, indem er die letzten fünf Ziffern der Personalausweis-Nummer sowie den jeweiligen Status, die eindeutige ID des Validators und einen Zeitstempel hinzufügt. Diese neuen Daten werden dabei in die Blockchain geschrieben. Die Personalausweis-Nummer ist ein zusätzliches Sicherheitsmerkmal und verhindert den physischen Tausch des Smartphones und dient zur Zuordnung für den Nachweis; dass es sich bei John auch um unseren John handelt.

Aber wer behandelt eigentlich die Daten?

Bei den Validatoren handelt es sich um einen im Vorfeld definierten Personenkreis, die eine entsprechende Zertifizierung erlangt haben. Weiterhin ist es möglich als Validator weitere ebenfalls Validatoren zu benennen. Damit ergibt sich eine Baumstruktur an Validatoren, die damit auch in der Lage sind genügend weitere Nutzer wie John zu überprüfen.

Nachdem der gesamte Prozess, auch Gesundheitszustand, Berechtigung und so weiter abgefragt wurden, scannt am Ende ein eingesetzter Personenkreis (Verifikator) den generierten QR-Code,der in Johns App hinterlegt wurde. Damit wird der individuelle Status überprüft und der Zugang an Bord eines Flugzeugs oder bei Einreise am Flughafenterminal, an Zugängen zu Institutionen oder auch anderen kritischen Räumen wie Krankenhäusern gewährt. Die Verifizierung kann mit einem separaten Zugangssystem erweitert und/oder sogar automatisiert werden.

In diesem Beispiel konnte John mit seinen Daten den gesamten Prozess erfolgreich absolvieren. Seinem wohlverdienten Urlaub steht somit nichts mehr im Wege.

Veranschaulichung des Prozesses einer Berechtigungsverwaltung in vier farbigen Kästen.

Abb. 1: Veranschaulichung des Prozesses einer Berechtigungsverwaltung

Blockchain-Technologie 

Die App basiert auf dem Ethereum-Framework. Dabei handelt es sich um eine Public Blockchain, die auf weltweit verteilten Knoten die Daten redundant sichert. Ethereum ist ein dezentrales, öffentliches Blockchain-Netzwerk, das Programmierungscodes von jeglichen dezentralisierten Anwendungen ausführt. Diese programmierten und dezentralen Anwendungen (kurz „dApps“) profitieren von den kryptografischen Begebenheiten der Kryptowährungen und der Blockchain-Technologie. Sie sind vertrauenswürdig, was bedeutet, dass dApps nach dem Hochladen auf Ethereum immer exakt wie programmiert ausgeführt werden. Einfacher gesagt, handelt es sich dabei um eine Plattform zur weltweiten Verbreitung von Information, die weder manipuliert noch verändert werden kann.

Ethereum bietet durch seine verteilte und sichere Architektur die notwendige Datensicherheit und Datenintegrität und stellt damit die ideale Basis als weltumspannende Lösung und damit grenzenlose Mobilität. Weltweit arbeiten Entwickler an Fortschritten in Geschwindigkeit und Skalierbarkeit des Ethereum-Netzwerkes. Das Ethereum-Netzwerk ist Open-Source und kann transparent überprüft werden. Die App wird ebenfalls Open-Source zur Verfügung gestellt. Jeder kann sich von der Sicherheit der Architektur überzeugen.

Fazit

Mit moveapprv sollen Zugänge zu Räumen wieder möglich werden, die gegenwärtig aus sicherheitsrelevanten oder gesundheitlichen Gründen nicht zugänglich sind.

Vorteile/Sicherheit: 

  • Die App ist skalierbar (da bereits Knoten vorhanden sind).
  • Die App wird Open-Source zur Verfügung gestellt.
  • Die App behandelt die Daten vertraulich: Nur der Nutzer kann die Daten freigeben.
  • System kann durch Validatoren nicht gespamt /getrollt werden da diese bekannt sind
  • Ein falscher Statuseintrag würde Konsequenzen hinsichtlich des Amtes nach sich ziehen und lässt sich immer in der Blockchain nachvollziehen

Michael Sasdi

Managing Consultant

Michael Sasdi ist seit vielen Jahren in der IT als Entwickler, Projektmanager und Consultant tätig. Er hat Erfahrung bei Unternehmen wie auch als Selbständiger gemacht. Seit 2016 beschäftigt er sich intensiv mit der Blockchain Technologie. Er verantwortet in der SVA, in der Geschäftsstelle Öffentlicher Dienst, die Blockchain Community. Die technische Expertise und das Wissen im Bereich Blockchain und IT-Security wird für Neuentwicklungen, Proof-of-Concepts und für Beratung und Workshops eingesetzt. Die Blockchain Community beschäftigt sich mit Lösungen für das eGovernment, die Gesundheitsbranche, die Energiebranche, die Suppy & Logistik Industrie sowie die Banken & Versicherungswirtschaft.

Weitere Themen

Artificial Intelligence

Big Data Analytics

Blockchain