Veröffentlicht: 21.08.2023
Neues, digitales ID-Ökosystem: warum Self-Sovereign Identities immer relevanter werden
Self-Sovereign Identities, kurz SSI, sind aus dem Bedürfnis digitaler Communitys entstanden, Identitäten im Netz sicher zu bestätigen und so Vertrauen aufzubauen. Mit der weiteren Entwicklung der Technik kristallisieren sich inzwischen immer mehr Anwendungsmöglichkeiten heraus. Das digitale ID-Ökosystem basiert auf Vertrauen, schützt die Privatsphäre aller Beteiligten und bietet sowohl für die öffentliche Verwaltung und Unternehmen als auch für Bürgerinnen und Bürger viele Vorteile. Kurz gesagt: SSI verfügt über ein immenses Potenzial.
Nahezu jede und jeder von uns musste schon einmal sein Alter belegen, um ein bestimmtes Produkt kaufen oder einen bestimmten Service in Anspruch nehmen zu können. Jeden Moment werden Menschen irgendwo auf der Welt dazu aufgefordert, einen gültigen Ausweis mit ihrem Geburtsdatum vorzuzeigen. Sei es, um einen altersbeschränkten Film anzuschauen, ein Konzert in einem Club zu besuchen, zu dem Minderjährige keinen Zutritt haben, ein alkoholisches Getränk zu bestellen oder um, wie in einigen Ländern vorgeschrieben, bestimmte Medikamente in der Apotheke zu kaufen.
Dann zeigt der Ausweisinhaber oder die -inhaberin demjenigen, der das Alter kontrollieren muss („Prüfer“), seinen/ihren Führerschein, Reisepass oder ein vergleichbares Dokument, das von einer vertrauenswürdigen Quelle („Aussteller“) ausgegeben wurde. Dadurch entsteht das sogenannte Triangle of Trust, das die Grundlage dieser Transaktion bildet.
Dabei entsteht Vertrauen, weil das vorgelegte Ausweisdokument die erforderlichen Parameter erfüllt. Aber wurde auch die Privatsphäre geschützt? Eigentlich benötigt der Prüfer ja nur eine einzige Information aus dem Ausweis – nämlich den Nachweis, dass diese Person alt genug ist, um eine bestimmte Dienstleistung in Anspruch nehmen oder ein bestimmtes Produkt kaufen zu können. Warum sollte der/die Überprüfte einem ihm völlig unbekannten Menschen darüber hinaus seinen genauen Geburtstag oder Namen mitteilen – oder gar, wo er wohnt?
Kontrolle über die eigene Identität
SSI, zu Deutsch selbstbestimmte Identitäten, sind aus dem Bedürfnis heraus entstanden, den bis dato sehr zentral geregelten Prozess, Vertrauen im Internet herzustellen, zu dezentralisieren. Erfunden und entwickelt wurden SSI von digitalen, technisch versierten Communitys, die es leid waren, sich eine ständig steigende Anzahl unterschiedlicher Passwörter merken zu müssen (Silo-Ansatz des Identity Access Managements) oder großen Tech-Unternehmen vertrauen zu müssen, die verschiedenen Zugänge zu verwalten (föderaler Ansatz).
Laut dem Bundesamt für Sicherheit und Informationstechnik ist die Grundidee von SSI, „den Nutzern die Kontrolle über ihre Identitätsdaten zu geben, indem sie ihre Identitätsdaten selbst verwalten und entscheiden können, welche Informationen sie wem gegenüber offenlegen wollen.“1
Franziska Muschik, Senior Product Manager Innovations & Business Development bei Veridos, bringt es noch deutlicher auf den Punkt: „Denken Sie daran, was wir in der ,realen Welt‘ unter ‚Identität‘ verstehen. Wir definieren sie selbst. Wir sind dabei nicht von großen Playern und zentralisierten Strukturen abhängig.“
SSI bauen auf dieses Verständnis von Privatsphäre, Sicherheit und Eigentum auf und kombinieren einen nutzerzentrierten Ansatz mit hoher Sicherheit und einem Datenschutzniveau, das per Design höher ist als bei allen bislang bestehenden Alternativen.
Je häufiger SSI genutzt werden, desto mehr wird die Vertrauensbasis des Triangles of Trust auch für Anwendungen in der „analogen“ Welt interessant. Dieser immer größer werdende Bekanntheitsgrad lässt, ebenso wie die fortschreitende Entwicklung der Technik, die Zahl der Anwendungen geradezu in die Höhe schießen.
In einigen Ländern zeigen daher Ausweisinhaberinnen und -inhaber beim Türsteher nur noch digital ihre sogenannten VCs vor. Mit diesen „Verifiable Credentials“ können sie den jeweiligen Prüfern beweisen, dass sie alt genug sind, um bestimmte Lokale oder Bars betreten zu dürfen – ohne weitere persönliche Daten preisgeben zu müssen. Auch hier wird Vertrauen gebildet und alle gewinnen: Die Partygängerinnen und Partygänger dürfen den Club betreten und behalten trotzdem die Kontrolle über ihre Daten, Die Türsteher und Türsteherinnen erhalten den benötigten Nachweis und die Lokale und Bars können ihren Kundinnen und Kunden einfache Prozesse bieten.
Wie funktionieren VCs und warum sind sie so wichtig?
VCs bestehen aus einem bestimmten Datensatz, der den Ausweisinhaberinnen und -inhabern von einer ausstellenden Behörde oder anderen Institutionen zur Verfügung gestellt wird. Sie sind kryptografisch signiert und gesichert. Den Prüfern wird nur die jeweils relevante Information angezeigt.
Sobald die VCs ausgestellt wurden, kann der Aussteller nicht mehr über sie verfügen. Da sie aus einem Datensatz bestehen, erfüllen sie die für SSI erforderlichen Voraussetzungen:
-
Selektive Weitergabe von Informationen
Die Inhaber entscheiden, welche Informationen (also welchen Teil des Datensatzes) sie wann mit wem teilen. Die Kontrolle der eigenen Identität liegt also zu jeder Zeit bei den Inhaberinnen und Inhabern. Das ist eines der von Christopher Allen formulierten zehn SSI-Kernprinzipien.2
-
Zero-Knowledge-Verfahren
Wenn es zum Beispiel darum geht, ob ein Inhaber oder eine Inhaberin schon 18 Jahre alt ist, lautet die Antwort lediglich Ja oder Nein. Da das Geburtsdatum nicht erforderlich ist, wird es auch nicht angegeben. Die Auskunft so minimal wie möglich zu halten, gehört ebenfalls zu den SSI-Kernprinzipien.3
Die Inhaber und Inhaberinnen behalten also stets die Kontrolle über ihre eigenen Daten und können die Weitergabe nach Wunsch eingrenzen. Das Ergebnis ist ein ID-Ökosystem, das allen Beteiligten gleichermaßen nützt, ganz gleich, ob es Staaten, Bürgerinnen und Bürger oder Unternehmen sind.
Die Vorteile eines SSI-Ökosystems
Jenseits von Datenschutz und Sicherheit bietet SSI den Bürgerinnen und Bürgern noch weitere Vorteile. Abgesehen von der Kontrolle der persönlichen Daten, „erlaubt ein funktionales, SSI-gestütztes Ökosystem Nutzerinnen und Nutzern, Services schneller und effizienter anzubieten und in Anspruch zu nehmen“, sagt Michael Edwards, Director Business Development – IDMS & eGovernment bei Veridos.
Für Unternehmen sind die Vorteile eines digitalen, auf SSI basierenden ID-Ökosystems ebenso interessant. Denn obwohl die Technologie immer mehr unseren Alltag bestimmt, sind SSI nicht nur für Menschen gemacht. Sie dienen auch als Identifikatoren für digitale und mechanische Einheiten – beispielsweise im Internet der Dinge (IoT) und in der Kommunikation zwischen Maschinen (M2M).
Ein gutes Beispiel ist hier der stetig wachsende Markt für das Aufladen von Elektrofahrzeugen, sagt Edwards und weist auf die hohe Zahl der bei jedem Ladevorgang erforderlichen IDs hin: „Das Auto, der Autobesitzer, die Ladestation, der Betreiber der Ladestation, die Banken und Zahlungsgateways, der Netzbetreiber…“ Für ein reibungsloses Kundenerlebnis müssen alle nahtlos zusammenarbeiten. Weder sollten die Fahrerinnen und Fahrer ständig ihre Kreditkarte zücken, noch die Betreiber stets weitere Apps entwickeln müssen, um die vielen Transaktionen zu verwalten. Wenn es jedoch ein digitales, vertrauenswürdiges ID-Ökosystem gibt – sprich, wenn SSI eingesetzt werden und von allen Beteiligten genutzt werden können –, können stattdessen alle Transaktionen über eine digitale Wallet abgewickelt werden.
Gleiches gilt für Parkhäuser, Lieferketten und Parkscheine, um nur einige Beispiele zu nennen. Es mag noch etwas dauern, aber da die Vorteile für alle Beteiligten klar auf der Hand liegen, schreitet die Entwicklung schnell voran.
Regierungen möchten die digitale Wirtschaft ankurbeln. Deswegen wird in diesem Bereich ebenfalls in SSI investiert. Weil erfolgreiche digitale ID-Ökosysteme sowohl Bürgerinnen und Bürgern als auch Unternehmen nützen, ist es nur folgerichtig, dass der Staat hier den nötigen rechtlichen Rahmen bereitstellt und die Rolle des vertrauenswürdigen „Admins“ übernimmt. Zudem sind SSI der Schlüssel für eine erfolgreiche Umstellung auf digitale Ausweissysteme – die den Bürgerinnen und Bürgern digitale Behördengänge ermöglichen. Das wird wiederum, langfristig gesehen, die Kosten der öffentlichen Verwaltung senken. Ein weiterer unmittelbarer Effekt ist, dass die Bürgerinnen und Bürger so auch staatliche Leistungen schneller und effizienter in Anspruch nehmen können.
Außerdem, erklärt Franziska Muschik, „kann ein vom Staat ausgestellter Ausweis auch für geschäftliche Transaktionen genutzt werden, was für alle von Vorteil ist“. Musste bisher ein Personalausweis oder ein Führerschein vorgelegt werden, um einen Telefon- oder Mietvertrag abzuschließen, werden künftig nur noch die in der digitalen Wallet gespeicherten VCs benötigt.
Die Europäische Blockchain-Dienste-Infrastruktur (EBSI), eine gemeinsame Initiative der Europäischen Kommission und ihrer Mitgliedstaaten im Rahmen der Europäischen Blockchain-Partnerschaft (EBP), ist ein interessantes Beispiel dafür, wie Regierungen bei Services für Bürgerinnen und Bürger zusammenarbeiten. Unter anderem stellt EBSI VCs für Diplome von akkreditierten Universitäten und anderen Instituten aus, sodass die Inhaberinnen und Inhaber jederzeit nachweisen können, dass sie ihren Abschluss tatsächlich erworben haben. Dieser Service schützt unter anderem auch Unternehmen davor, die Zeugnisse von Bewerbenden selbst überprüfen zu müssen.4
Auf dem Weg in die Zukunft
Zusammenfassend lässt sich sagen, dass SSI-Ökosysteme für alle Beteiligten von Vorteil sind – vorausgesetzt, sie sind gut durchdacht und absolut sicher. Unternehmen und Regierungen sollten deshalb eng zusammenarbeiten, um das nötige Vertrauen zu schaffen und aufrechtzuerhalten. Während Regierungen vor allem für den gesetzlichen Rahmen sorgen sollten, liegt es an Unternehmen und Bürgerinnen und Bürgern, die nötigen Innovationen voranzutreiben, damit das volle Potenzial dieser Systeme ausgeschöpft werden kann.
Key takeaways
- Vom Staat ausgestellte, digitale Ausweise, die in ein funktionales SSI-Ökosystem eingebettet sind, fördern die Akzeptanz von E-Government-Angeboten.
- Bürgerinnen und Bürger behalten die Kontrolle über ihre Daten und können ihre Privatsphäre schützen. Die Behörden können Services schneller und effizienter anbieten.
- Unternehmen können Kundinnen und Kunden eine einfachere und bequemere Customer Journey bieten.
-
A brief guideline on self-sovereign identities (SSI), Federal Office for Information Security, 2021
-
Land Registry Framework Based on Self-Sovereign Identity (SSI) for Environmental Sustainability, Shuaib, Hassan, Usman et al., April 2022
-
Ebd.
-
EBSI’s success stories: Transcript of records, European Blockchain Services Infrastructure
Diesen Artikel teilen
Verpassen Sie nicht die neusten Artikel von G+D SPOTLIGHT: Wenn Sie unseren Newsletter abonnieren, bleiben Sie immer auf dem Laufenden über aktuelle Trends, Ideen und technische Innovationen – jeden Monat direkt in Ihr Postfach.