Im Rahmen der Interviewreihe GoCrypto sprach Mike Ermolaev mit Arshad Noor, CTO von StrongKey. Arshad verfügt über mehr als 34 Jahre Erfahrung in der Informationstechnologie und hat sich in den letzten 23 Jahren auf die Lösung von Datenschutzproblemen mithilfe angewandter Kryptografie konzentriert. Er hat Public Key Infrastructures (PKI) entworfen und aufgebaut – zur Stärkung der Abwehr in den Bereichen Bankwesen, Verteidigung, Telekommunikation, Pharmazie, Biotechnologie und E-Commerce – Branchen, die besonders starke Authentifizierung und Verschlüsselung benötigen. Noor hat insbesondere das erste Open-Source-System zur symmetrischen Schlüsselverwaltung entwickelt und zu zahlreichen Sicherheitsstandards beigetragen.

Während des Interviews gab Noor Einblicke in globale digitale Identitätssysteme und betonte die Dringlichkeit des Aufbaus eines kohärenten globalen digitalen Identitätssystems sowie die Erkenntnis, dass nur international genehmigte Sicherheitsprotokolle unser zunehmend digitales Leben schützen können. Er sprach auch über die Tokenisierung der Gesellschaft und unterstützte die Idee einer digitalen US-Zentralbankwährung (CBDC), ein Thema, zu dem er sich in letzter Zeit recht offen geäußert hat. Dieses Gespräch ist eine Fortsetzung der von GoMining unterstützten Interviewreihe und bietet Ihnen Einblicke von führenden Experten auf dem Gebiet der Kryptowährung und Datensicherheit.

Noors bahnbrechende Beiträge zur digitalen Identität und zum Datenschutz

Zu Noors Innovationen gehören StrongKey Sign-On (SKSO), eine Webanwendung für starke Benutzerauthentifizierung ohne SSO-Dienste von Drittanbietern, und StrongKey FIDO Server (SKFS), eine Open-Source-Fido-zertifizierte Unternehmenslösung zur Verwaltung von FIDO-Anmeldeinformationen, sowie PKI2FIDO, eine Webanwendung, die eine einfachere und stärkere Authentifizierung für Unternehmen und Behörden ermöglicht. Bevor er zu StrongKey kam, arbeitete Noor für Branchenriesen wie Sun Microsystems, Citibank und BASF Corporation und festigte so seinen Ruf als kompetenter IT-Lösungsarchitekt und globaler PKI-Entwickler. Seine beeindruckende Erfolgsbilanz und sein Fachwissen machen ihn zu einer Autorität in Sachen Datenschutz und digitale Identität und bieten scharfe Einblicke in das transformative Potenzial dieser Systeme.

Quelle: Iiot-world.com

Globale Standards für digitale Identitäten müssen harmonisiert werden

Als er über ein globales Identitätssystem sprach, skizzierte Noor dessen zukünftige Struktur und betonte die Existenz mehrerer Identitätsökosysteme, die unterschiedlichen Bedürfnissen dienen. Er erklärte:

„Zweifellos wird es viele Inseln von Identitätsökosystemen geben, die eine Vielzahl von Anforderungen erfüllen. Es gibt derzeit Standards, die das Teilen von Identitätsattributen – mit Bescheinigung – ermöglichen, sodass sie über Grenzen hinweg vertrauenswürdig sein können – Reisepässe sind ein Beispiel dafür.“

Er wies darauf hin, dass für die kommerzielle Nutzung digitaler Identitätsattribute ein robuster, von allen Staaten vereinbarter Rahmen erforderlich sei.

„Sobald ein solcher Rahmen – und eine vertrauenswürdige Grundlage zur Unterstützung dieses Rahmens – etabliert ist, können Schemata von verschiedenen Ökosystemen erstellt werden, um eine länderübergreifende Nutzung zu ermöglichen“,

Arshad Noor fügte hinzu.

Er ging auch auf die Vorteile und Herausforderungen ein, die mit einem globalen digitalen Identitätssystem verbunden sind, und betonte das Potenzial für mehr grenzüberschreitenden elektronischen Handel und Wettbewerb. Noor bemerkte:

„Ein Vorteil eines Rahmens für den weltweiten Austausch von Identitäten besteht darin, dass er den länderübergreifenden elektronischen Handel fördert. Gleichzeitig wird dadurch der Wettbewerb um Produkte und Dienstleistungen gestärkt, sodass alle – außer den Wettbewerbsunfähigen – davon profitieren.“

Er betonte jedoch, dass harmonisierte Sicherheits- und Datenschutzkontrollen notwendig seien, um die Robustheit des Systems zu gewährleisten, ähnlich der Harmonisierung im globalen Handel.

„Um an einem solchen Rahmenwerk teilzunehmen, ist zumindest eine globale Basis für Sicherheits- und Datenschutzkontrollen erforderlich. Es ergibt keinen Sinn, in der EU einen Standard wie die DSGVO zu haben, während die USA keine entsprechende Regelung haben. Dutzende von Ländern auf der ganzen Welt haben ihre eigenen Versionen von Sicherheits- und Datenschutzregeln festgelegt. So wie der globale Handel eine Harmonisierung der Handels- und Logistikregeln erforderte, müssen auch Datensicherheit und Datenschutz weltweit harmonisiert werden. Dies bedeutet, dass die für die Harmonisierung verantwortliche Gruppe Vertreter aus allen Ländern haben muss – mit gleichen Stimmrechten – um einen langfristigen Erfolg sicherzustellen. Dies wird zwar einige Zeit dauern – und am Anfang wahrscheinlich chaotisch sein –, aber es kann zum Funktionieren gebracht werden.“

Herausforderungen bei der passwortlosen Authentifizierung

Noor beleuchtete die zahlreichen Herausforderungen bei der Implementierung einer kennwortlosen Authentifizierung und betonte mehrere entscheidende Hindernisse: die Trägheit von Unternehmen und Behörden, die Komplexität der Integration, Gruppendenken bei der Entscheidungsfindung, Investitionen in fehlgeschlagene Technologieprojekte, die die IT in ein „Fiasko“ verwandeln, die verpasste Chance mit digitalen X.509-Zertifikaten und die derzeitige Konzentration auf das Benutzererlebnis (UX) statt auf die Sicherheit.

Trägheit von Unternehmen und Regierungen

Laut Noor steht die passwortlose Authentifizierung vor großen Herausforderungen durch die Untätigkeit von Unternehmen und Regierungen. Er bemerkte:

„Seit den 80er Jahren wurden Authentifizierungsschemata für verteilte Systeme und die Schwächen von Passwörtern erfunden. Da große Institutionen jedoch in jedes neue ‚glänzende Schmuckstück‘ investieren, das auf den Markt kommt, wächst die Komplexität der Integration leider exponentiell.“

Noor erklärte, dass Investitionen in fehlgeschlagene Technologieprojekte die IT zu einem „Fallstrick“ gemacht hätten. IT-Führungskräfte hätten ihre Karrieren auf Projekte gesetzt, die sie nicht immer verstünden, was zu einer „Herdenmentalität“ führe.

Er führte aus:

„80 % des Marktes werden nichts unternehmen, bis sie sehen, wie die Early Adopters abschneiden und ein nachgewiesener ROI vorliegt. Angesichts der Komplexität des aktuellen Umfelds ist es jedoch sehr schwierig, einen solchen ROI zu messen. Das führt zu Trägheit.“

Verpasste Chancen und die zweite Chance mit FIDO

Er dachte auch über die verpasste Chance Ende der 90er und Anfang der 2000er Jahre nach, eine passwortlose Authentifizierung mit digitalen X.509-Zertifikaten einzuführen, und bemerkte:

„Die Industrie hat die ‚Gans, die goldene Eier legte‘ getötet, indem sie PKI überteuert und zu wenig geliefert hat.“

Laut Noor gibt es mit FIDO eine zweite Chance, aber einige große Technologieunternehmen konzentrieren sich zu sehr auf die Benutzererfahrung (UX), anstatt die Verbraucher über Sicherheitsbedürfnisse und Verhaltensanpassung aufzuklären. Er erklärte:

„Mit FIDO hat die Welt jetzt eine zweite Chance. Doch wieder einmal vermasseln es einige der größten Unternehmen der Technologiebranche, indem sie sich auf die Benutzererfahrung (UX) konzentrieren, anstatt die Verbraucher über die Notwendigkeit von Sicherheit und eine daraus folgende Verhaltensanpassung aufzuklären.“

Der Übergang zur passwortlosen Authentifizierung ist unerlässlich, aber die Details der Implementierung sind wichtig

In einer Diskussion über die Zukunft von PKI und passwortloser Authentifizierung sagte Noor:

„PKI, FIDO und die passwortlose Authentifizierung sind analog – es handelt sich lediglich um unterschiedliche Arten von ‚Hemden‘ aus demselben ‚Stoff‘.“

Er betonte, dass es im Vergleich zu dem, was der Public-Key-Kryptographie vorausging, keine Alternative gebe, und behauptete:

„Die Welt muss zur kennwortlosen Authentifizierung übergehen, um den Morast der Datenlecks zu entschärfen, in dem wir derzeit ertrinken. Allerdings kommt es auf die Details der Umsetzung an. So wie man sich mit einer Schusswaffe gegen Plünderer verteidigen kann, ist es genauso möglich, sich mit demselben Instrument selbst zu erschießen.“

Blockchain vs. traditionelle Technologien: Rationale Bewertung erforderlich

Wie Noor betonte, kann die Blockchain-Technologie zwar Geschäftsabläufe technisch erleichtern, doch verteilte Datenbanken und digital signierte Transaktionen können dasselbe Ziel erreichen.

„Fast alles, was mit Blockchain umgesetzt werden kann, konnte Ende der 90er Jahre auch mit herkömmlichen Datenbanken umgesetzt werden, die Public-Key-Kryptographie nutzten – der Markt konnte diese Fähigkeit jedoch aufgrund der Rezessionen nach der Dotcom-Blase und dem Zusammenbruch der mit Hypotheken besicherten Wertpapiere auf dem Immobilienmarkt nicht annehmen“,

er erklärte.

„In den frühen 10er Jahren beflügelte Blockchain die Fantasie einiger Leute in der Technologiebranche. Während unternehmensübergreifende Geschäftsprozesse technisch mit Blockchain umgesetzt werden können, können sie in ähnlicher Weise mit verteilten Datenbanken und digital signierten Transaktionen umgesetzt werden“,

fügte Noor hinzu.

Ihm zufolge überschatteten jedoch der Hype und die spekulativen Investitionen rund um Bitcoin die praktischen und technischen Anwendungen der Blockchain-Technologie, was zu einer fieberhaften und manchmal irrationalen Einführung der Blockchain führte, ohne ihren tatsächlichen Wert und ihre Implementierung ausreichend zu berücksichtigen.

Er erklärte,

„Sobald dieses Fieber nachlässt, werden Blockchain-Lösungen mit angemessenem ROI auftauchen, um einige Probleme zu lösen.“

Bei der Diskussion über bestimmte Anwendungen oder Innovationen, die am vielversprechendsten sind, um mithilfe dieser Technologien aktuelle und künftige Herausforderungen im Bereich Datenschutz und Identitätsmanagement zu bewältigen, betonte Noor, dass Geschäftsprozesse, die Arbeitsabläufe mit mehreren Beteiligten erfordern, das natürliche Problem sind, das mit verteilten Systemen und Public-Key-Kryptografie gelöst werden muss.

Er schloss,

„Ob Blockchain oder traditionelle – aber bewährte – Technologie zum Einsatz kommen soll, ist ein Implementierungsdetail, das wie jede andere finanzielle Unternehmensinvestition analysiert werden muss.“

Die Fed sollte die Zinssätze automatisieren, um eine reibungslosere Konjunktur zu gewährleisten

Arshad Noor stellte sich vor, dass die Finanzmärkte mit der Einführung einer US-amerikanischen CBDC im Laufe der Zeit effizienter werden und den Verbrauchern weltweit zugute kommen würden. Er räumte ein,

„In der Anfangsphase wird es bei der Umsetzung einige Hindernisse geben. Aber wenn sich diese Hindernisse legen (und die Verbraucher intakt bleiben), wird das System produktiv werden.“

Noor sah auch voraus, dass die Federal Reserve ihren Fokus von ihrem derzeitigen Verfahren zur Festlegung der Zinssätze abwenden würde. Er schlug vor, ein System zur automatischen und transparenten Berechnung der Inflationsraten auf regelmäßiger Basis einzuführen.

Er erklärte,

"Ich stelle mir vor, dass die Federal Reserve sich von ihrem derzeitigen Verfahren zur Festlegung der Zinssätze abwendet und einfach 2 % über der aktuellen Inflationsrate eines bestimmten Tages zahlt. Die Effizienzsteigerung durch diese Strategie wird vergleichbar sein mit der Umstellung von Autos von manueller auf automatische Schaltung. Sparer werden immer mit einer angemessenen Rendite belohnt, während Verschwender für ihre Verschwendungssucht zahlen müssen. Wenn man weiß, dass individuelle Kaufentscheidungen nicht mehr von einer kleinen Gruppe von Zentralbankern abhängen müssen, die sich ein paar Mal im Jahr treffen, wird die Wirtschaft eine „ruhigere Fahrt“ hinlegen können, da sich die Zinssätze automatisch entsprechend der am Markt vorherrschenden Inflationsrate ändern."

Noor übermittelte der Federal Reserve ausführliche Kommentare zu Cybersicherheitsbedenken im Zusammenhang mit einer CBDC, die auf deren Website verfügbar sind. Er sagte:

„Während CBDC-Transaktionen für Privatkunden grundsätzlich transparent sein werden und über entsprechende Verschlüsselungs- und Pseudonymisierungstechniken verfügen, die durch einen neuen und transparenten Regulierungsrahmen zur Entschlüsselung solcher Transaktionen unterstützt werden, können gesetzestreue Bürger sicher sein, dass ihre persönlichen Transaktionen mithilfe der entsprechenden Technologie und Regulierungen gesichert und vertraulich behandelt werden.“

Er warnte jedoch davor, dass es unwahrscheinlich sei, dass schändliche Aktivitäten aus dem Internet verschwinden würden:

„Dies liegt in der Natur des Menschen, da Arbitrage bei wirtschaftlichen Bedingungen und Ergebnissen möglich ist. Die Frage, die die Gesellschaft beantworten muss, lautet: Wie viel Geld ist sie bereit auszugeben, um die Privatsphäre des Einzelnen zu schützen?“

Er kam zu dem Schluss, dass der Schutz vertraulicher Informationen im Zeitalter vor Computern und Internet relativ kostengünstig war und nur geringe Kosten für Schlösser/Schlüssel und einfache Verfahren erforderte. Im digitalen Zeitalter werden die Kosten erheblich sein. Noor betonte:

„Obwohl Open-Source-Technologien die Kosten drastisch senken können, erfordert die Einrichtung, der Betrieb und die Durchsetzung des regulatorischen Rahmens zum Schutz der Privatsphäre – und der damit verbundenen Sicherheitskontrollen – langfristig erhebliches Engagement.“

 

Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken. Er ist nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung gedacht und wird auch nicht als solche angeboten.