SSI leicht gemacht: eine Einführung

Die technologischen Fortschritte der letzten Jahre haben das Wachstum von digitalen und phygitalen Ökosystemen enorm vorangetrieben. Deswegen müssen Nutzerinnen und Nutzer immer öfter bei Transaktionen ihre Identität digital nachweisen – zum Beispiel, wenn sie sicher online bezahlen, ein Bankkonto eröffnen oder einen Telefonvertrag abschließen möchten. Auch wenn man im Netz einen Urlaub buchen oder in ein Hotel einchecken möchte – für jede dieser Aktionen muss die eigene Identität zweifelsfrei belegt werden können. 

Die Grundlage für den Identitätsnachweis – ganz gleich, ob digital oder auf Papier – ist das sogenannte Triangle of Trust zwischen dem Aussteller des Ausweises, dem Inhaber (in diesem Fall dem Nutzer) und dem Prüfenden, der die Identität verifizieren muss. Bei einem Führerschein zum Beispiel ist der Aussteller die zuständige staatliche Behörde. Inhaber oder Inhaberin des Führerscheins ist die Person, die die Führerscheinprüfung bestanden hat und hiermit nun ihren Führerschein vorzeigt. Zum Beispiel bei einer Mietwagenfirma, wenn sie ein Auto mieten möchte, oder im Schadensfall bei ihrer Autoversicherung. Die Mietwagenfirma oder das Versicherungsunternehmen wäre in diesem Fall jeweils der Prüfende. 

Mit der zunehmenden Digitalisierung unseres Alltags werden Identitätsdokumente bald nicht mehr physisch vorgezeigt, sondern digital. Daher werden in jeder Phase eines Identifizierungs- und Authentifizierungsprozesses digitale Merkmale erforderlich sein. Das Konzept der Self-Sovereign Identities ist hier eine vielversprechende Lösung, um die zahlreichen Interaktionen zwischen den drei Parteien des Triangle of Trust zu verwalten. 

Laut Robert Heinze, Director Technology and Innovation Management, lässt sich SSI am besten durch eine Kombination aus Kryptografie und Dezentralisierung erreichen. „Das in den aktuellen SSI-Spezifikationen enthaltene Konzept der verifizierbaren digitalen Berechtigungsnachweise oder Verifiable Credentials (VCs) ist ein grundlegender Wendepunkt für digitales Identitätsmanagement. Sie könnten in unbeaufsichtigten Anwendungsfällen überlegen sein und Personalausweise bequem in der digitalen Welt anwendbar machen. Ziel ist eine schnelle und kosteneffiziente Identifizierung mit den höchsten Standards für Datenschutz und Sicherheit“, sagt er.

Die folgenden elf Faktoren zeigen nicht nur deutlich, warum SSI so entscheidend ist. Sie sind auch wichtige Schritte auf dem Weg, dieses Ziel zu erreichen.

1. Ein unabhängiger, sicherer Weg, sich digital auszuweisen

Benötigt wird ein Identifizierungsprotokoll, das einfach zu handhaben, weithin akzeptiert, digital-spezifisch und datenschutztechnisch vollkommen sicher ist. Gleichzeitig sollte es unabhängig von kommerziellen Anbietern sein. SSI kann diese Anforderungen gut erfüllen.

2. Die Dezentralisierung des „Triangle of Trust“<<

Derzeit sind digitale ID-Systeme noch zentral organisiert. Mit SSI wird sich das ändern, erklärt Robert Heinze, da hier keine unmittelbare Verbindung zwischen Ausgeber und Prüfer erforderlich ist. Im Grunde übertragen Verifiable Credentials (VCs) die Vorteile des physischen Ausweises auf das digitale Wallet des Nutzers oder der Nutzerin. Ein Beispiel: Wird der Ausweis an der Tür eines Clubs vorgezeigt, um das Alter zu belegen, wird er kommentarlos akzeptiert. Der Türsteher (also der Prüfer) oder die Türsteherin ruft nicht bei der Behörde an, um die Gültigkeit des Ausweises zu überprüfen. Diese selbstverständliche Akzeptanz überträgt SSI in die digitale Welt. 

Weitere Vorteile sind außerdem:  

• Schnelligkeit: Die Verifizierung und Validierung der Identität erfolgen in Echtzeit.
• Sicherheit: Der Ausweis ist digital und kryptografisch gesichert. Die Identität kann offline verifiziert werden, der Ausweis aber auch in Echtzeit als gestohlen gemeldet werden.
• Mehr Komfort für die digitale Generation: Digital Natives werden dieses Angebot schnell annehmen, da es physische Ausweise nahezu überflüssig macht.  
• Effizienz: Regierungen und Behörden sparen durch die Digitalisierung und die Förderung von E-Government-Initiativen Betriebskosten.

3. Die zunehmende Verbreitung von VCs

In diesem Zusammenhang sind die VCs wichtig. Sie werden von Emittenten ausgegeben und enthalten, ähnlich wie heute der physische Personalausweis, die persönlichen Identitätsmerkmale einer bestimmten Person. Durch die starke Unterstützung von digitalen Sicherheits- und Entwickler-Communities wie des Worldwide Web Consortium (W3C) und der Decentralized Identity Foundation (DIF) gibt es inzwischen verbindliche Standards für die Erstellung und Überprüfung von VCs, die zunehmend übernommen werden. 

So entsteht ein Umfeld, das ideal ist für eine Interoperabilität, die auch ohne Blockchain funktioniert. Die jüngsten technischen Fortschritte tragen dazu bei, dass rein digitale Nachweise direkt auf elektronischen Geräten oder in Smart Wallets gespeichert werden und immer einfacher akzeptiert und genutzt werden können.

4. Kontrolle über die eigenen Daten

Physische Ausweisdokumente geben meist mehr persönliche Daten preis als nötig. Wenn man zum Beispiel ein Auto mieten möchte, erfährt der Autovermieter, der im Prinzip lediglich den Beleg dafür braucht, dass man Auto fahren kann und darf, auch die Anschrift und das Alter des Menschen, der das Auto mieten möchte. Eben nur, weil es so im physischen Führerschein steht. Hier besteht eindeutig eine Diskrepanz zwischen den geforderten und den vorgelegten Informationen.

Dieses Problem wird durch SSI gelöst. Die digitalen Identitätsnachweise können so konzipiert werden, dass ausschließlich die Daten offengelegt werden, die gerade relevant sind. Durch die „Selective Disclosure“, die ausgewählte Offenlegung, kann der Inhaber oder die Inhaberin der Verifiable Credentials die Angaben auswählen, die sichtbar sein müssen. Da der Autovermieter aus dem oben genannten Beispiel nur wissen muss, dass eine Fahrerlaubnis besteht, nicht aber, wo die Person wohnt oder wie alt sie ist, werden diese persönlichen Informationen auch nicht geteilt.

5. Zero-Knowledge-Prozess (ZKP)

Mit dem Zero-Knowledge-Prozess (ZKP) geht der Datenschutz noch einen Schritt weiter. Es wird jeweils nur die vom jeweiligen Prüfer gestellte Frage beantwortet, ohne weitere Details. Um beim Beispiel der Autovermietung zu bleiben: Wenn der Autovermieter wissen möchte, ob die betreffende Person alt genug ist, um in dem jeweiligen Land Auto zu fahren, lautet bei der ZKP die Antwort lediglich „Ja“ oder „Nein“. Das Alter wird nicht preisgegeben.

6. Data Mining vermeiden

Derzeit werden häufig ID-Ökosysteme genutzt, bei denen alle persönlichen Daten einer Person von einem Anbieter an einem zentralen Ort gespeichert werden. Wird die Identität geprüft, wird der betreffende Anbieter des ID-Ökosystems gebeten, die Identität zu verifizieren. Das ist zwar sehr bequem, birgt aber, vor allem, was den Datenschutz betrifft, auch Gefahren. 

Denn so besteht immer die Möglichkeit, dass entweder der Anbieter selbst oder auch ein Datenschürfer tief in die persönlichen Daten eindringt und damit über ein vollständiges Profil dieser Person verfügt. Da SSI auf Dezentralisierung beruhen, ist ein derart radikales Eindringen in das digitale Leben von Personen eben nicht mehr möglich.

7. SSI kann physische Passwörter ersetzen

Physische Passwörter sind umständlich, schwer zu merken und bei wiederholter Verwendung nicht mehr sicher. Auch hier liefert SSI in seiner aktuellen Konfiguration gute Antworten: 

Im digitalen Wallet werden zwar viele unterschiedliche Identitäten angezeigt, da jeder genutzte Dienst eine Zugangsberechtigung erstellt, doch durch die SSI-Architektur bleibt es trotzdem übersichtlich.

• Der dezentrale Aufbau dient dem besseren Schutz der Zugriffscodes, da nicht alle Daten auf einmal geknackt werden können. 
• Das „smarte“ Wallet unterstützt zudem dabei, die jeweils richtigen VCs für jeden Dienst zu finden.

So fließen Anmeldung und Registrierung zu den unterschiedlichen Services im Laufe der Zeit ineinander, da Identifizierung und Authentifizierung in einem bequemen Arbeitsablauf erfolgen können.

8. SSI ist zentral für die digitale Souveränität

Für die EU, wie auch für andere Länder, ist die digitale Souveränität ein wichtiges Schwerpunktthema. Ziel ist, dass Einzelpersonen die Kontrolle über ihre Daten zurückgewinnen. Auch die Konzentration privater Daten in den Händen weniger (privater oder anderer) Anbieter löst Sorge aus und soll aktiv eingedämmt werden.¹

Die aktuelle Spezifikation von SSI trägt dazu bei, dass jeder Einzelne digitale Souveränität zurückgewinnt. Auf Basis einer  starken, mit denselben Standards arbeitenden Open-Source-Community können so staatliche, zivile und kommerzielle Bedürfnisse gleichermaßen bedient werden.

9. Reicht das Vertrauen im „Triangle of Trust“?

Die bislang genannten Punkte zeigen deutlich, wie sehr die derzeitigen SSI-Spezifikationen den Markt schon zum jetzigen Zeitpunkt bereichern. Trotzdem bleiben noch einige Herausforderungen, die gemeistert werden müssen. Dazu gehört unter anderem die richtige Integration eines Vertrauensankers in Form einer „Kernidentität“ des jeweiligen Nutzers oder der jeweiligen Nutzerin. Dies ist nötig, um das SSI-Ökosystem auch kommerziell etablieren zu können. In mehreren auf Regierungsebene unterstützten Projekten wird derzeit untersucht, wie die Ausgabe von Kernidentitäten im digitalen Zeitalter funktionieren könnte. G+D ist Teil dieser Initiativen.

10. Verifizierung oder Validierung

Eine weitere Herausforderung besteht darin, Vertrauen zwischen den drei Parteien des „Triangle of Trust“ aufzubauen. Während SSI bei der Verifizierung des jeweiligen Ausweisinhabers oder der jeweiligen Ausweisinhaberin kaum zu schlagen ist, hapert es noch an der Validierung – also der Frage, ob der Ausweis korrekt und für die richtige Person ausgestellt wurde. Außerdem fehlt der sichere Nachweis, ob der Inhaber oder die Inhaberin auch der rechtmäßige Besitzer oder die rechtmäßige Besitzerin des Ausweises ist.

11. Letzte Hindernisse auf dem Weg zu Akzeptanz

• Die Einführung neuer Technologien ist immer eine Herausforderung. Die Sorge bleibt, dass die Technologie nicht ausreichend unter „realen“ Bedingungen getestet wurde.
• Die Befürchtung hoher Umstellungskosten steht im Raum. Da SSI relativ neu sind, schrecken die Entscheidungsträger möglicherweise vor den Kosten der Umstellung zurück. Dies gilt sowohl für die Anfangsinvestitionen als auch für die späteren Betriebskosten, die sich nur schwer vorhersagen lassen.

Wenn sich das Szenario sehr schnell ändern kann, so wie in diesem Fall, sind zuverlässige Partner, die Orientierung und Fachwissen bieten können, ein zentrales Entscheidungskriterium. Das interne G+D-Team arbeitet unter anderem daran, Antworten auf diese SSI-relevanten Fragestellungen zu finden – wie etwa an der Herausforderung, sichere Kernidentitäten im digitalen Zeitalter zu erstellen. Klar ist, dass SSI das Potenzial haben, unsere Sicht auf die Frage der Identität in unserer zunehmend digitalen Welt nachhaltig zu verändern.

Veröffentlicht: 30.01.2024