Neue NIST-Richtlinien zur digitalen Identität veröffentlicht

Das National Institute of Standards and Technology (NIST) hat die überarbeitete Sonderveröffentlichung 800-63, Digital Identity Guidelines, Revision 4, vorgestellt. Mit dieser Aktualisierung reagiert die Behörde auf die Entwicklungen der digitalen Welt seit der letzten umfassenden Überarbeitung im Jahr 2017.

Die neuen Richtlinien definieren die technischen Anforderungen und Prozesse zur Einhaltung der Sicherheitsstufen im Bereich digitale Identität – insbesondere für Identitätsnachweis, Authentifizierung und föderierte Identitätssysteme. Dabei werden sowohl Sicherheits- und Datenschutzaspekte als auch Ansätze zur Verbesserung der Nutzerfreundlichkeit berücksichtigt.

Die nun veröffentlichte Revision 4 ist das Ergebnis eines knapp vierjährigen Prozesses, in dem umfangreiche Forschungsarbeiten, zwei öffentliche Entwürfe sowie rund 6.000 Kommentare aus der Öffentlichkeit einflossen. Die Dokumentensuite wurde inhaltlich deutlich überarbeitet und spiegelt die veränderten Anforderungen und Erwartungen an digitale Identitätslösungen wider.

Die in Revision 4 vorgestellten Richtlinien erläutern den Prozess und die technischen Anforderungen zur Erfüllung der digitalen Identitätssicherheitsstufen für Identitätsnachweis, Authentifizierung und Verbundbildung – einschließlich Anforderungen an Sicherheit und Datenschutz sowie Überlegungen zur Verbesserung der Kundenerfahrung mit digitalen Identitätslösungen und -technologien. Die Richtlinien etablieren außerdem das Identitätsmanagement als funktionsübergreifenden Prozess, an dem Fachleute aus den Bereichen Cybersicherheit, Datenschutz, Benutzerfreundlichkeit, Programmintegrität, Mission und Geschäftsbereiche sowie anderen Disziplinen beteiligt sind. Das Identitätsrisikomanagement in Revision 4 hat sich weiter zu einem „Mannschaftssport“ entwickelt, der die Bedürfnisse der Organisation und der Personen, denen sie dienen soll, effektiver erfüllen kann.

Revision 4 enthält auch viele wesentliche inhaltliche Änderungen, darunter:

• Aktualisierungen der Rahmenbedingungen für das Risikomanagement, neu gestaltete Risikomanagementprozesse und neue Erwartungen an eine stärkere funktionsübergreifende Zusammenarbeit.
• Neue empfohlene Metriken für die kontinuierliche Bewertung.
• Erweiterte Anforderungen und Empfehlungen für Identitätsprüfungsprozesse.
• Umstrukturierung der Kontrollen zur Identitätsprüfung, um die Rollen und Arten der Identitätsprüfung besser zu definieren.
• Hinzufügung von Kontrollen zur Bekämpfung von Injektionsangriffen und gefälschten Medien (z. B. „Deep Fakes“).
• Integration synchronisierbarer Authentifikatoren (z. B. synchronisierte Passkeys).
• Darstellung von benutzergesteuerten Wallets im Verbundmodell.

Und für alle, die danach suchen – wir wissen, dass es Sie gibt –, sind auch Änderungen an den Anforderungen für die Zusammensetzung und Rotation von Passwörtern in dem Dokument enthalten. All diese Änderungen stellen eine umfassende Aktualisierung der NIST SP 800-63 Revision 3 dar, die sich stark auf Erfahrungen aus der Praxis und Innovationen stützt.

Letztendlich sollen diese Richtlinien die Navigation in der digitalen Welt sicherer und bequemer machen, indem sie einen Rahmen zum Verständnis von Online-Risiken und -Kontrollen bieten, mit denen unsere kritischen Online-Dienste besser geschützt werden können.

PDF-Download.