Digitale Selbstbestimmung: Self-Sovereign Identities

In einem sind sich vermutlich alle Internet-User einig: Nichts ist nerviger als die ständig wachsende Flut an Passwörtern. Schon 2017 musste ein durchschnittlicher Business-User 191 Passwörter managen. Und auch privat werden wir bei jedem trivialen Online-Kauf zu einem neuen Konto gedrängt. Das ist lästig – und vor allem ein Sicherheitsrisiko, wenn die Kreativität bei der Passwortvergabe irgendwann erlahmt. Nach einer Erhebung lautet jedes 142. Passwort schlicht „123456“.

Identitäts-Layer fürs Netz

Hier zeigt sich eine Eigenschaft des Internets, die in die Anfangszeiten zurückreicht: Anonymität. TCP/IP-Protokolle regeln die Kommunikation von Maschinen. Die Identität der Menschen dahinter war bei der Konzeption kein Kriterium. Für die Abwicklung von Transaktionen ist diese Information und vor allem ihre Verifizierung aber offensichtlich entscheidend. Insbesondere für uns als Digitalbank wo Constantin als Software Engineer arbeitet. Er entwickelt neue Konzepte für das Identitätsmanagement, die das Internet mit einem Identitäts-Layer ergänzen: Self-Sovereign Identities (SSI), „selbstbestimmte Identitäten“. Es handelt sich um einen Paradigmenwechsel im Umgang mit Daten. Constantin erklärt: „Das Revolutionäre an diesem Ansatz ist das Selbstbestimmte. Die meisten Identitäten werden werden heute aber von Unternehmen fremdverwaltet.“ Im Folgenden erklärt der Entwickler das Konzept. Ein weiterer Artikel in dieser Reihe beleuchtet die Software-technische Umsetzung von SSI näher.

Bisherige Ansätze sind zentralisiert

Gelöst wird das Problem traditionell nämlich zentral. Nutzer hinterlegen Kennung und Passwort bei Anbietern. Neben seiner Unübersichtlichkeit hat dieses Modell weitere Nachteile. Die Anbieter führen umfangreiche Datenprofile mit weitergehenden Informationen (Geburtsdatum, Wohnort, usw.). Was damit geschieht, wissen Kunden in der Regel nicht. Im analogen Leben wäre das undenkbar: Kein Verbraucher würde seinen kompletten Personalausweis an der Supermarktkasse hinterlassen, nachdem er sich beispielsweise beim Alkohol-Kauf legitimieren musste. Er steckt den Ausweis selbstverständlich wieder ein. Wie könnte eine entsprechende Regelung fürs Internet aussehen?

Alternative gesucht

Durch Tech-Giganten wie Google hat sich ein zweites Konzept der Identifizierung etabliert: föderierte Identitäten (Federated Identity). Hier verwalten große Anbieter das komplette Identitätsmanagement von Nutzern. Diese können sich bei Drittanbietern mit einem durchgängigen Login anmelden. Das ist unendlich bequemer als die 191 Passwörter. Aber gleichzeitig potenziert es die Probleme des ersten Modells. Denn der Identitätsanbieter erhält nun Zugriff nicht nur auf Identitätsdaten, sondern auch noch auf alle Transaktionen, Verhaltensweisen und andere monetarisierbare Informationen. Gleichzeitig ist der potenzielle Schaden viel höher, wenn der Identitätsanbieter gehackt wird.

Ein Fall für die Blockchain

Deshalb plädiert Constantin für den dritten Weg der Self-Sovereign Identitities. Constantin erklärt den Ansatz: „Wir bauen als SSI-Team – und jetzt wird es technisch – eine Art dezentrale PKI auf, also eine Public Key Infrastructure. Wir legen Keys auf unserer Blockchain ab, mit denen Identitäten verschlüsselt werden.“ Der Clou ist die verteilte Datenbank (Distributed Ledger Technologies, DLT). Anders als bei Bitcoin ist die Blockchain nicht-öffentlich: Nur bestimmte Instanzen (Staat, Finanzinstitutionen, u.a.) können Identitäten ausstellen (Issuer). Anwender (Holder) erhalten von ihnen Credentials und bewahren diese in Digital Wallets auf. Bei Legitimierungen bekommen sie vom Verifier Claims, die sie im Wallet beantworten. Kritisch ist die Legitimität des Issuers, dessen Signatur mit Decentralized Identifiers (DID) überprüft wird. Für dieses Protokoll existiert schon ein W3C-Standard. Der DID ist auf dem Ledger archiviert, was dezentralen Zugriff auf Public Key und Internet-Endpunkte des Issuers ermöglicht. Auch Privatnutzer haben DIDs – für jede Institution eigene. So kann der Urheber der Verschlüsselung überprüft werden, ohne dass andere davon erfahren.

Vorteile für alle

Das Konzept mag zunächst abstrakt wirken. Sehr konkret sind aber die Vorteile. Etwa für den Nutzer selbst, der nun über die Verwendung seiner Identität voll und ganz selbst entscheiden kann. Beispielsweise kann er erteilte Datenzugriffe nachträglich editieren oder zurückziehen. Er hat auch eine größere Marktauswahl. So könnte sich ein Bankkunde online einen Kredit in Spanien besorgen, wenn die Konditionen dort für ihn besser sind. Dies wäre heute nicht so einfach möglich. Davon profitieren auch Unternehmen. Da sie nur die gesetzlich vorgeschriebenen Nutzerdaten vorhalten müssen, sinkt außerdem das Risiko, gegen Datenschutzbestimmungen zu verstoßen. Zugleich steigt die Datensparsamkeit, weil im Vergleich zu Federated Identities weniger Daten automatisch erhoben werden. Teilnehmer sind besser geschützt, Kunden bekommen eine optimierte Nutzererfahrung. Beispielsweise kann der Nutzer neben Postident- oder Videoident-Verfahren dann auch auf volldigitale Identifikationsverfahren zurückgreifen, erklärt Constantin. „Und wenn man dann noch seine vom Staat signierte Identitätsdaten einsetzt, werden Know-Your-Customer-Prozesse (KYC) und die Erfüllung von Geldwäschevorschriften erleichtert.“ SSI kann auch zusätzlich zu anderen (z.B. biometrischen) Faktoren eingesetzt und bequem per Smartphone abgewickelt werden. Dazu kommen weitere Anwendungsfelder, wie Constantin ergänzt: „Überall, wo Identitäten drinstecken, kann SSI ins Spiel kommen. Das zielt dann auch auf den maschinellen Bereich, z.B. Internet of Things (IoT). Das ist ein noch sehr viel größeres Feld als menschliche Identitäten.“ Digitale Supply Networks werden effizienter und sicherer – durch SSI für Geräte, Bauteile und Lieferanten.

Kooperation ist der Schlüssel

Es ist klar, dass wir ein solches dezentrales Verfahren nicht im Alleingang durchführen können. Constantin arbeitet daher in dem von der Bundesregierung im Dezember 2020 initierten SSI-Projekt „Ökosystem digitaler Identitäten“ (eID) mit anderen Firmen und staatlichen Stellen an einer interoperablen Lösung. Die Bundesregierung hat durch eine Experimentalklausel im Geldwäschegesetz (GWG) die Grundlagen für die Nutzung von SSI Identitäten geschaffen. Die im eID-Projekt entwickelte SSI-Identität ist nichts anderes als der Personalausweis, nur eben digital auf dem Smartphone. Dies ermöglicht den Bürgerinnen und Bürgern rein technisch gesehen ihreIdentität in verschiedenen Netzwerken zu nutzen. Dabei wird der physische Personalausweis über den integrierten Chip per NFC im Smartphone „abgelegt“. Somit hat SSI einen staatlichen Referenzpunkt – anders als bei Bitcoin, wo eine solche externe Referenz ja gerade vermieden werden soll.

Das Thema „Ausweis auf dem Smartphone“ wird bei uns übrigens auf höchster Ebene unterstützt, wie unser stellvertretender Vorstandsvorsitzender bei einem Termin im September 2021 mit der damaligen Bundeskanzlerin Angela Merkel bekräftigte. Aus EU-Perspektive besteht mit der bereits 2014 in Kraft getretene eIDAS-Verordnung auch ein regulatorischer Rahmen dafür. Derzeit wird „eIDAS 2.0“ diskutiert, das staatliche Identitäts-Wallets für alle Bürger vorsähe. Sie könnten sich damit z.B. bei Facebook „selbstbestimmt“ einloggen – ganz ohne Passwort und Nutzername.

Es begann als Arbeitskreis

Selbstbestimmung ist es auch, die das agile Arbeiten als IT-Profi bei uns auszeichnet. Fachliche Interessen werden auch abseits der Kernaufgaben gefördert, etwa durch Bildungsbudgets. Aus dieser offenen Kultur heraus kam es auch zur Zusammenarbeit mit der Bundesregierung beim SSI-Projekt. „Eigentlich ist das Ganze aus einem informellen Arbeitskreis zum Thema SSI entstanden“, schildert Constantin die Anfänge. Aus einer von einem IT-Kollegen ins Leben gerufenen Interessengemeinschaft heraus, die sich regelmäßig über Themen rund um Blockchain austauschte. Daraus wurde ein festes Team von 20 Personen, die zusätzlich zum Regierungsprojektllaktuell an einem Institutional Agent arbeiten. Mit dieser Anwendung können Institutionen Identitäten ausstellen und verifizieren. Entwickelt werden darüber hinaus interne Use Cases wie KYC-Prozesse, Geldwäscheprüfungen, Biometrie, Gebäudezutritt oder Gerätemanagement. Hier besteht also noch eine Menge Potenzial. Das Identitätsmanagement von morgen ist aber nur eines von vielen spannenden IT-Feldern in unserem Unternehmen.