NIST-Leitlinien für digitale Identitäten mit Didit meistern (DE)

NIST SP 800-63 ÜbersichtDie NIST Digital Identity Guidelines (NIST SP 800-63) sind ein kritischer Standard für digitale Identitäten, der sichere Praktiken über Registrierung, Authentifizierung und Identitätssicherungsstufen (IAL, AAL, FAL) hinweg festlegt.

Identitätssicherungsstufen (IAL)IALs definieren das Vertrauen in die Existenz einer behaupteten Identität in der realen Welt und den Verifizierungsprozess, von IAL1 (selbstbestätigt) bis IAL3 (persönliche oder entfernte Multi-Faktor-Verifizierung).

Authentifizierungssicherungsstufen (AAL)AALs spezifizieren die Stärke von Authentifizierungsmechanismen, von AAL1 (Einzelfaktor) bis AAL3 (kryptografische Multi-Faktor-Authentifizierung mit starkem Schutz gegen Replay- und Man-in-the-Middle-Angriffe).

Didits Rolle bei der ComplianceDidits KI-native Plattform unterstützt die NIST-Compliance direkt, indem sie robuste ID-Verifizierung, passive und aktive Liveness, 1:1 Gesichtsabgleich und NFC-Verifizierung bietet. So können Unternehmen die IAL- und AAL-Anforderungen effektiv und kostengünstig mit kostenlosem Core KYC erfüllen.

Was sind die NIST Digital Identity Guidelines?

Die Sonderveröffentlichung 800-63 des National Institute of Standards and Technology (NIST), bekannt als Digital Identity Guidelines, dient als grundlegender Rahmen für sichere und zuverlässige digitale Identitätsdienste. Ursprünglich für Bundesbehörden entwickelt, sind diese Richtlinien zu einem De-facto-Standard für Organisationen des öffentlichen und privaten Sektors weltweit geworden. Sie bieten einen umfassenden, risikobasierten Ansatz zur Verwaltung digitaler Identitäten, der sich auf die Minimierung von Betrug, den Schutz der Privatsphäre der Benutzer und die Gewährleistung der Integrität von Online-Transaktionen konzentriert.

NIST SP 800-63 ist in mehrere Teile gegliedert, die jeweils einen spezifischen Aspekt der digitalen Identität behandeln: Registrierung und Identitätsprüfung (SP 800-63A), Authentifizierung und Lebenszyklusmanagement (SP 800-63B) sowie Föderation und Zusicherungen (SP 800-63C). Das Verständnis dieser Komponenten ist entscheidend für jede Organisation, die ein robustes und konformes Identitätsprüfungssystem aufbauen möchte. Didits modulare Architektur ist so konzipiert, dass sie sich nahtlos an diese Richtlinien anpasst und flexible Lösungen für verschiedene Sicherheitsstufen bietet.

Verständnis der Identitätssicherungsstufen (IAL)

Die in NIST SP 800-63A detailliert beschriebenen Identity Assurance Levels (IALs) beschreiben das Vertrauen, dass eine behauptete Identität real ist und dass der Antragsteller die Person ist, die er vorgibt zu sein. Es gibt drei primäre IALs:

• IAL1: Selbstbestätigte Identität. Dieses Niveau erfordert keine Identitätsprüfung. Die Person liefert Attribute, aber es gibt keine Gewissheit über deren reale Existenz oder Gültigkeit. Dies kann für Anwendungen mit geringem Risiko geeignet sein, bei denen Anonymität oder Pseudonymität akzeptabel ist.
• IAL2: Remote- oder persönliche Identitätsprüfung. Bei IAL2 werden Beweismittel (z. B. Ausweisdokumente) vorgelegt und mit autoritativen Quellen abgeglichen. Dieses Niveau erfordert eine starke kryptografische Kontrolle über den Authentifikator des Antragstellers und kann den Einsatz von Biometrie beinhalten. Didits ID-Verifizierung (OCR, MRZ, Barcodes) und die passive und aktive Lebenderkennung sind wesentliche Werkzeuge zur Erreichung der IAL2-Compliance, um sicherzustellen, dass die vorgelegten Dokumente legitim sind und der Benutzer eine lebende Person ist.
• IAL3: Persönliche oder entfernte Multi-Faktor-Identitätsprüfung. Dies ist die höchste Sicherheitsstufe, die eine persönliche oder entfernte Multi-Faktor-Identitätsprüfung erfordert, oft mit biometrischer Erfassung und Verifizierung gegen staatlich ausgestellte Dokumente und autoritative Datenbanken. Sie schützt vor ausgeklügelten Angriffen und Identitätsbetrug. Didits NFC-Verifizierung für ePassports/eIDs, kombiniert mit 1:1 Gesichtsabgleich, liefert die hochpräzisen Beweise, die für IAL3 erforderlich sind, und bietet maximale Sicherheit für die verifizierte Identität.

Authentifizierungssicherungsstufen (AAL)

Die in NIST SP 800-63B behandelten Authentication Assurance Levels (AALs) konzentrieren sich auf die Stärke des Authentifizierungsmechanismus, der zur Überprüfung der Identität eines Benutzers verwendet wird. Diese Ebenen bestimmen die Art und Anzahl der erforderlichen Authentifizierungsfaktoren sowie die kryptografische Stärke dieser Faktoren:

• AAL1: Einzelfaktor-Authentifizierung. Dieses Niveau erfordert eine Einzelfaktor-Authentifizierung, wie z. B. ein Passwort. Es bietet minimale Sicherheit und wird typischerweise für Anwendungen mit geringem Risiko verwendet, bei denen die Kompromittierung eines Kontos begrenzte Auswirkungen hätte.
• AAL2: Multi-Faktor-Authentifizierung. AAL2 erfordert mindestens zwei verschiedene Authentifizierungsfaktoren (z. B. etwas, das man weiß, und etwas, das man besitzt). Diese Faktoren müssen kryptografisch geschützt und resistent gegen Replay-Angriffe sein. Didits Telefon- und E-Mail-Verifizierung kann zu AAL2 beitragen, indem sie zusätzliche Faktoren bereitstellt, während ihre zugrunde liegende sichere Infrastruktur dazu beiträgt, gängige Angriffsvektoren zu schützen.
• AAL3: Kryptografische Multi-Faktor-Authentifizierung. Dies ist die stärkste Authentifizierungsstufe, die den Nachweis des Besitzes eines kryptografischen Schlüssels über einen Hardware-Token oder ein sicheres Software-Kryptografie-Modul erfordert. Sie bietet eine hohe Resistenz gegen Phishing-, Man-in-the-Middle- und Replay-Angriffe. Obwohl Didit keine kryptografische Hardware direkt bereitstellt, können seine robusten Lebenderkennungs- und 1:1 Gesichtsabgleichsfunktionen als starke biometrische Faktoren in ein AAL3-konformes System integriert werden, wodurch die allgemeine Sicherheit verbessert wird.

Föderationssicherungsstufen (FAL) und darüber hinaus

Die in NIST SP 800-63C definierten Federation Assurance Levels (FALs) befassen sich mit dem sicheren Austausch von Identitätsinformationen zwischen verschiedenen Organisationen (Identity Provider und Relying Parties). FALs stellen sicher, dass die von einem Identity Provider behaupteten Attribute vertrauenswürdig sind und ihre Integrität bewahren, wenn sie von einer Relying Party konsumiert werden. Dies ist entscheidend für Single Sign-On (SSO) und andere verteilte Identitätssysteme.

Über die technischen Spezifikationen hinaus betonen die NIST-Richtlinien auch die Bedeutung von Datenschutz, Datenminimierung und Einwilligung. Organisationen müssen sicherstellen, dass sie nur notwendige Identitätsdaten sammeln und speichern und eine explizite Einwilligung für deren Verwendung einholen. Didits datenschutzfreundliche Altersfeststellung ist ein Paradebeispiel dafür, wie spezifische Identitätsprüfungen durchgeführt werden können, ohne zu viele persönliche Daten zu sammeln, was den NIST-Datenschutzprinzipien entspricht.

Wie Didit bei der NIST-Compliance hilft

Didit, als KI-native, entwicklerfreundliche Identitätsplattform, ist einzigartig positioniert, um Unternehmen dabei zu helfen, die NIST Digital Identity Guidelines zu erfüllen und zu übertreffen. Unsere modulare Architektur ermöglicht es Unternehmen, genau die Verifizierungsschritte zusammenzustellen, die zur Erreichung spezifischer IAL- und AAL-Anforderungen erforderlich sind, ohne unnötige Komplexität oder Kosten. Wir bieten:

• ID-Verifizierung: Unsere robusten OCR-, MRZ- und Barcode-Scanning-Funktionen bieten eine hochgenaue Dokumentenverifizierung, entscheidend für die IAL2- und IAL3-Identitätsprüfung.
• Passive und aktive Lebenderkennung: Wesentlich für die Betrugsprävention, stellt unsere Lebenderkennung sicher, dass die Person, die den Ausweis vorlegt, eine lebende Person ist, und unterstützt direkt die IAL2- und IAL3-Anforderungen, indem sie Spoofing-Angriffe verhindert.
• 1:1 Gesichtsabgleich & Gesichtssuche: Durch den Vergleich eines Selfies des Benutzers mit seinem Ausweisdokument liefern wir starke biometrische Beweise für die Identitätskorrelation, die für höhere IALs und als starker Faktor für AALs unerlässlich sind.
• NFC-Verifizierung (ePassport/eID): Für die höchste Sicherheit (IAL3) liest Didits NFC-Verifizierung kryptografische Daten direkt von ePassports und eIDs und liefert einen unbestreitbaren Nachweis der Dokumentauthentizität und Benutzeridentität.
• AML-Screening & Monitoring: Obwohl es kein direkter IAL- oder AAL-Bestandteil ist, hilft unser AML-Screening Unternehmen, umfassendere Compliance-Verpflichtungen zu erfüllen und sicherzustellen, dass verifizierte Identitäten nicht auf Sanktions- oder PEP-Listen erscheinen.
• Telefon- und E-Mail-Verifizierung: Diese Tools bieten zusätzliche Faktoren für die Authentifizierung und tragen zur AAL2-Compliance bei, indem sie den Besitz eines registrierten Geräts oder einer E-Mail-Adresse überprüfen.

Didits Engagement für einen globalen Designansatz, kombiniert mit unserer KI-nativen Engine, stellt sicher, dass unsere Verifizierungsprozesse nicht nur konform, sondern auch hochpräzise und effizient sind. Wir bieten kostenloses Core KYC, keine Einrichtungsgebühren und ein Pay-per-erfolgreiche-Prüfung-Modell, wodurch eine fortschrittliche NIST-konforme Identitätsverifizierung für Unternehmen jeder Größe zugänglich wird. Unsere orchestrierten Workflows und die No-Code Business Console ermöglichen es Teams, konforme Identitätsreisen einfach zu gestalten und zu implementieren, wodurch die manuelle Überprüfung reduziert und die vertrauenswürdige Onboarding beschleunigt wird.

Bereit zum Start?

Möchten Sie Didit in Aktion sehen? Fordern Sie noch heute eine kostenlose Demo an.

Beginnen Sie kostenlos mit der Verifizierung von Identitäten mit Didits kostenlosem Tarif.