Open in app

Sign in

Write

Sign in

Digitale Identitäten — Vertrauensinfrastruktur für digitale Geschäftsmodelle

Thomas Mueller
evan.network
Published in
7 min readJan 6, 2020

Mit der zunehmenden Verschmelzung der digitalen und der realen Welt, gewinnt die digitale Identität an Bedeutung. Der Begriff “Identität” wird im allgemeinen Sprachgebrauch lediglich auf Menschen bezogen. Ein Mensch besitzt also eine Identität. Diese bildet sich unterschiedlich, je nach Sozialisation aus und kann entsprechend verschieden definiert sein. Der Diskurs über Identität, durch welche Merkmale sie sich zusammensetzt, wird in diversen Disziplinen breit geführt.

Um alle Akteure sowie damit verbundene Entitäten einer digitalen Geschäftsbeziehung in einem umfassenden “Digital Business Model” effizient miteinander zu vernetzen, muss der Identitätsbegriff erweitert werden. Hierbei versteht es sich, Unternehmen wie auch physische Objekte, etwa Maschinen, eine Identität zuzuschreiben, um sie in Prozesse — Stichwort Industrie 4.0 — einzubinden.

Eine digitale Identität steht in diesem Sinne für eine eindeutig identifizierbare Entität, die anhand von Identitätsmerkmalen beschrieben wird. Kurz gefasst kann ein Identitätsmerkmal bei einer Person z. B. der Name und das Geburtsdatum sein, bei Unternehmen die Handelsregister-Nummer und bei Maschinen die Seriennummer.

Identitäten im evan.network

Im evan.network wurde bisher zwischen digitalen Identitäten als digitale Repräsentation von Personen und Organisationen sowie Digitalen Zwillingen als digitale Repräsentation von Objekten unterschieden. Diese Unterscheidung wird in Zukunft aufgehoben, so dass einheitlich von Digitalen Identitäten gesprochen wird, die als Akteure in Geschäftsprozessen miteinander interagieren können. Künftig wird im evan.network lediglich zwischen verschiedenen Identitäts-Typen unterschieden, die sich hinsichtlich ihrer Struktur und der Art der damit verbundenen Daten unterscheiden.

  • Self Sovereign Identity (für Personen und Organisationen)
  • Asset Identity (für physische Objekte)
  • External Identity (für in Drittsystemen gepflegte Identitäten, um diese in evan.network basierte Prozesse zu integrieren)

Digitale Identitäten werden im evan.network unter der Maxime der Selbstbestimmtheit (Self Sovereign Identity) geführt, dass heißt, die Kontrolle über die Identität sowie die Steuerung des Zugriffs auf digitale Identitätsmerkmale verbleibt immer beim Besitzer der Identität. Technische Details zu den Identitätstypen finden sich im evan.network github repository.

Identitäten erfordern Vertrauen

Die Identität ist eng mit Vertrauen verbunden. Nur wenn den Identitätsmerkmalen und den Identitätsnachweisen vertraut werden kann, können diese in Geschäftsbeziehungen verwendet werden. In der realen Welt existieren zahlreiche Mechanismen, um Identitäten mit Vertrauen auszustatten. Für Personen sind das Dokumente wie der Personalausweis, für Unternehmen schaffen öffentliche Register und die damit verbundenen notariellen Prozesse das benötigte Vertrauen. In der digitalen Welt bestehen noch große Handlungsfelder, um gleichartige Vertrauenssysteme zu schaffen.

Das heute typische Modell ist es, die Vertrauensbildung zwischen zwei oder mehreren Geschäftspartnern an einen vertrauensstiftenden Dritten, meist einen Plattformbetreiber, auszulagern. Die mit der dadurch entstehenden Informations-Asymmetrie verbundenen Probleme erfordern alternative Wege, um Vertrauen zwischen handelnden Geschäftspartnern abzubilden.

Diese digitale Vertrauenslücke zu schließen, ohne Abhängigkeiten zu schaffen, und damit die Grundlage für digitale Geschäftsmodelle zwischen Unternehmen auf Augenhöhe zu bilden, ermöglicht das evan.network.

Verification Services stiften Vertrauen

Kernelement der Vertrauensinfrastruktur sind der evan.network Verification Service sowie die Abbildung des Vertrauens über sogenannte Verifiable Credentials (VCs), einem W3C-Standard, der für Interoperabilität verschiedener Identitäts- und Vertrauensservices sorgt.

Im Kern geht es immer um die Ausstattung einer Behauptung (VC-Dokument) eines Inhabers einer Identität (Trust-Holder) mit einer Bestätigung durch einen vertrauenswürdigen Dritten (Trust-Issuer). Die Verifiable Credentials können dann von dem Trust Holder genutzt werden, um sich gegenüber Dritten (Trust Verifier) auszuweisen.

Der W3C Standard legt den Austausch der VC-Dokumente nicht fest, so kann dieser auch direkt zwischen den beteiligten Partnern auf beliebigem Weg erfolgen. Dieser Weg kommt ohne jegliche zentrale Infrastruktur aus, wirft allerdings in der Praxis einige Probleme auf:

  • eine einmal ausgestellte Verifikation kann nicht zurückgerufen werden
  • bei Updates in den VC-Dokumenten kann durch den Issuer und Holder nicht sichergestellt werden, dass alle Verifier die aktuelle Version nutzen
  • Es ist keine Historie der VC-Dokumente vorhanden, so kann nicht bestimmt werden, welches VC-Dokument in welcher Version zu welchem Zeitpunkt gültig ist
  • Alle Beteiligten müssen sich über einheitliche Verfahren zur Beschreibung der Claims und zum Austausch der benötigten Dokumente einigen und
  • jeder beteiligte Partner muss die Infrastruktur zum Ausstellen und Validieren der VC-Dokumente selbst implementieren, was einen hohen Aufwand im Aufbau und Betrieb mit sich bringt

Um diese Probleme zu umgehen, können VC-Dokumente “verankert” werden, was bedeutet, dass eine Referenz auf diese oder das gesamte VC-Dokument in einem vertrauenswürdigen System hinterlegt wird.

Verankerung von Referenzen auf Verifikationen

In diesem Fall werden die VC-Dokumente noch immer direkt zwischen den Partnern ausgetauscht, zusätzlich wird das Dokument durch den Issuer über den evan.network Verification Service registriert. Der Issuer kann nun über die Registrierung die Gültigkeit der Verifikation steuern, diese also bei Bedarf auch rückgängig machen. Der Trust-Verifier muss dazu, bei Erhalt eines VC-Dokumentes, die Gültigkeit dieses über den evan.network Verification Service prüfen. Das “Rückruf-Problem” einer einmal ausgestellten Verifikation kann damit also gelöst werden, die übrigen oben genannten Probleme bleiben aber weiter bestehen, insbesondere

  • fehlende Historie
  • keine Kontrolle über die Verteilung und Nutzung der VC-Dokumente durch den Holder
  • hoher Implementierungsaufwand

Verankerung von Verifikationen

Eine Lösung ist die Ablage der VC-Dokumente innerhalb der Vertrauensinfrastruktur, die darüber hinaus auch Mechanismen zum Verwalten, Teilen und zum Zugriff auf die Verifiable Credentials bereitstellt. Dadurch lassen sich Netzwerke aufbauen, bei denen verschiedene Unternehmen miteinander kooperieren und dazu Daten vertrauensvoll mittels Verifiable Credentials austauschen.

Schließlich ist der Holder des Verifiable Credentials in der Lage, den Zugriff auf das VC Dokument selbst zu steuern und damit die Verwendung der Informationen zu kontrollieren.

Da für die Zusammenarbeit keine Infrastrukturstandards definiert und bereitgestellt werden müssen, sind die Aufwände für Betrieb und Onboarding neuer Partner vergleichsweise gering.

Durch den blockchainbasierten Ansatz des evan.network, können Verifiable Credentials versioniert werden. So kann für jeden vergangenen Zeitpunkt das jeweils gültige Verifiable Credential nachgewiesen werden.

Um das Konzept der selbstbestimmten Datennutzung aufrechtzuerhalten, ist die Speicherung auf einer neutralen Infrastruktur von großer Bedeutung, da andernfalls die Gefahr besteht, dass eine neue zentrale Infrastruktur mit all ihren Nachteilen entsteht und gestärkt wird.

Das evan.network ist aufgrund der durch technische und organisatorische Maßnahmen sichergestellten Neutralität eine neutrale Vertrauensinfrastruktur für digitale Geschäftsbeziehungen.

Mit den Verification Services bietet das evan.network einen W3C kompatiblen Ansatz zum Management von Identitäten und Verifikationen verbunden mit umfassende Möglichkeiten für das einfache Erstellen, Verwalten und Teilen der Verifikationen für alle Beteiligte.

Erweiterte Verifikationen

Die Verification kann für alle Identitätstypen erfolgen. Die digitale Identität eines Unternehmens, kann z. B. bestätigen, dass bestimmte Maschinen (Asset Identities) zum Unternehmen gehören, oder dass Mitarbeiter (Self Sovereign Identities) im Auftrag des Unternehmens handeln.

Verifikation durch Dritte

Besonders interessant sind Verifikationen, wenn sie genutzt werden, um das Vertrauen aus der realen Welt auf Digitale Identitäten zu übertragen. Veranschaulichen soll das ein fiktives Digitalisierungsbeispiel eines bekannten Anwendungsfalls. Um ein Fahrzeug zu mieten und zu nutzen, benötigt man einen Führerschein. In der realen Welt legt man diesen bei der Fahrzeug-Anmietung vor und die Mitarbeiter des Vermieters überprüfen die Gültigkeit und Echtheit des Dokumentes. Wie kann dieser Vorgang nun komplett digitalisiert und automatisiert erfolgen?

Startpunkt ist hier die Behauptung “Ich habe einen Führerschein” durch die Digitale Identität eines Mietinteressenten. Nun kann das grundsätzlich jeder von sich behaupten, eine Verwendung der Behauptung durch Dritte erfordert deshalb die Bestätigung durch eine von allen akzeptierte Stelle, was in dem Fall das Kraftfahrt-Bundesamt (Trust-Issuer) ist.

Eine solche, einmal erstellte Verifikation, kann nun durch den Trust-Holder in verschiedenen Geschäftsprozessen, wie etwa der Miete eines Fahrzeuges genutzt werden. Der Vermieter eines Fahrzeuges prüft in diesem digitalen Prozess die Gültigkeit des digitalen Führerscheins (Verifiable Claim) mit Hilfe des Verification Services im evan.network.

Verifikationsketten

Nehmen wir nun an, das Kraftfahrt-Bundesamt möchte nicht alle digitalen Führerscheine selbst verifizieren. Um die Aufgabe zu erfüllen, arbeitet das Amt mit Dienstleistern zusammen, die dazu qualifiziert werden. Auch das erfolgt über Verifiable Claims, bei denen ein benötigtes Zertifikat des Dienstleisters (Trust-Holder) vom Kraftfahrt-Bundesamt (Trust-Issuer) bestätigt wird.

Diese Dienstleister treten nun als Trust-Issuer auf und verifizieren den Besitz des Führerscheins gegenüber dem Fahrer (Trust-Holder).

Der Fahrzeug-Vermieter (Verifier) kann jetzt in bereits bekannter Weise prüfen, ob der Fahrer (Trust-Holder) im Besitz eines Führerscheins ist. Allerdings muss jetzt auch sichergestellt werden können, dass der Trust-Issuer wirklich durch das Amt berechtigt war, den Führerscheinbesitz zu bestätigen, wozu der evan.network Verification Service genutzt wird. Dieser bieten eine einfache Möglichkeit, mehrstufige Verifikationen anzulegen und zu validieren.

Fazit

Kenntnisse über die Identität des Geschäftspartners und Vertrauen in die von ihm getroffenen Behauptungen, bilden die Basis für jede Geschäftsbeziehung. Heute wird für digitalisierte Geschäftsabläufe noch umfassend auf analoge Maßnahmen zur Vertrauensbildung zurückgegriffen. Für vollständig digitale Geschäftsmodelle ist ein digital verfügbares Vertrauen unabdingbar. Die W3C-Standards zu Digitalen Identitäten (DID) und digitalem Vertrauen (Verifiable Claims) werden zukünftig die Interoperabilität verschiedener Vertrauensinfrastrukturen sichern.

Benötigt werden Infrastrukturen, die das Vertrauen digitalisieren, ohne Informationsasymmetrien zu schaffen. Genau das ist das Kernkonzept der verification services im evan.network, bei dem durch die technische und organisatorische Architektur eine weitgehende Dezentralisierung und Neutralität sichergestellt ist. Digitale kooperative Geschäftsmodelle unter Wahrung der Unabhängigkeit der beteiligten Partner sind damit schon heute Realität.

German
Verification
Decentralization
Identity Management
Blockchain

--

--

Thomas Mueller
evan.network

Written by Thomas Mueller

201 Followers
Editor for

Initiator of the evan.network and CEO of evan GmbH. Passionate about holacracy, self-sovereign identity and the web of trust. All opinions are my own

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams