Die Versprechen einer Neuen Digitalen Ära — Selbstverwaltete Identitäten
Eine Einführung in das Konzept selbstverwalteter digitaler Identitäten.
Das Internet entstand ohne eine authentische Möglichkeit sich eigenständig zu identifizieren. Viele Schwächen und Probleme sind auf diese Tatsache zurückzuführen — Online-Betrug, Identitätsdiebstahl und Datenskandale. Zu Recht misstraut man sich in der digitalen Welt, denn es gibt schlicht keine Möglichkeit eigenständig die Glaubwürdigkeit des Gegenübers zu überprüfen. Um Geschäfte trotzdem online tätigen zu können, wird bis heute eine Drittpartei als Garant hinzugezogen (meistens ein Anbieter von Online-Diensten). Das ist aber keine nachhaltige Lösung des Problems, man ist lediglich gezwungen einer anderen Partei zu vertrauen. Was früher ausreichend war, ist längst nicht mehr zeitgemäß: Die zunehmend wirtschaftliche und soziale Bedeutung des Internets erfordert neue, bessere und vor allem vertrauensvollere Methoden zur Identifikation.
Interessant ist, dass sich die grundlegenden Identifikationsprozesse bisher nicht großartig verändert haben. Zwar wurde durch die Einführung einer Benutzerkennung für mehrere Dienste die Identifikation bequemer und schneller. Des Pudels Kern blieb aber stets gleich: Die Kontrolle über die Daten liegen exklusiv bei den Online-Diensten. Heute bilden diese Drittparteien ein Oligopol im Internet, wobei sie mit der intransparenten Datenhaltung und -nutzung Milliarden-Geschäfte machen.
Die aktuellen Standards für digitale Identifikation sind der Flaschenhals für eine nachhaltige Digitalisierung unserer Wirtschaft und Gesellschaft.
Es ist ein lange bekanntes Problem und es gab etliche Versuche, digitale Identifikation zu vereinheitlichen und zu verbessern. Bislang nur mit mäßigem Erfolg. Dank des technologischen Fortschritts aber gehen neue, vielversprechende Lösungsansätze einher: Einer davon sind dezentrale Identitäten, ermöglicht durch die Erfindung der Distributed-Ledger-Technologie. Dezentrale Identitäten sind digitale Identitäten, die unabhängig von einem zentralen Anbieter existieren — man ist also nicht mehr gezwungen, einer Drittpartei die Kontrolle und Aufbewahrung der digitalen Identität anzuvertrauen. Mit der technischen Realisierbarkeit dezentraler Identitäten, kam das Konzept der selbstverwalteten (dezentralen) Identitäten auf (zu Englisch: self-sovereign identity (SSI)).
Selbstverwaltete Digitale Identitäten? Bitte was?
Wie der Name erahnen lässt, genießt der Nutzer die vollständige Kontrolle und Hoheit über seine Daten. Das umfasst unter anderem:
- den alleinigen Zugriff auf Identitätsdaten,
- die Möglichkeit Daten selbstbestimmt zu verändern und
- frei zu entscheiden, was mit den Daten geschieht oder mit wem sie geteilt werden.
Ganz klar: Der alleinige Besitz der Daten durch den Nutzer ist die Quintessenz der selbstverwalteten Identitäten und verspricht unseren Umgang in der digitalen Welt grundlegend zu verändern.
Zum einen wird unser digitales Miteinander sicherer, denn die zentrale Datenhaltung der Online-Dienste für Millionen von Nutzerdaten (honeypots) sind anfällig für Cyber-Attacken. Ein erfolgreicher Angriff und zack — Millionen von sensiblen Nutzerdaten sind kompromittiert. Betrachten wir aber eine individuelle Datenspeicherung, die mit selbstverwalteten Identitäten möglich ist, dann werden Datenklaus nahezu unrentabel für Hacker. Nicht, dass die Daten beim Nutzer — sagen wir auf seinem Handy — sicherer sind, jedoch führt ein erfolgreicher Angriff zum Verlust eines einzelnen Datensatzes und nicht Abermillionen.
Digitaler Identitätsdiebstahl und Online-Betrug, in dem Maße wie wir ihn heute sehen, wird ebenso der Vergangenheit angehören. Derzeit kann man sich ohne große Mühe als jemand anderen ausgeben, was zu missbräuchlichem Verhalten einlädt.
Durch die Einführung eines vertrauensvollen Identifikationsstandards im Internet wird die digitale Welt unserem analogen Leben gleichen: Man weiß, mit wem man es zu tun hat und verhält sich auch dementsprechend. Internet-Trolle und Personen, die gezielt Fake-News und Hassnachrichten im Netz verbreiten, werden sehr viel vorsichtiger sein müssen.
Letztendlich versprechen selbstverwaltete digitale Identitäten noch weitaus mehr als authentische digitale Interaktionen mit anderen Personen. Besonders im Hinblick auf Zukunftstechnologien wie Industrie 4.0, autonomes Fahren und das Internet of Things (Internet der Dinge), benötigen nicht nur Menschen eine sichere digitale Identität. Maschinen zum Beispiel, die in vernetzten, automatisierten Produktionsstätten miteinander kommunizieren, müssen eindeutig identifizierbar sein und manipulationssicher agieren können. Derzeitige Infrastrukturen bieten keine ausreichende Sicherheiten für diese Art der vernetzten Maschinen-zu-Maschinen-Kommunikation. Weder in der Industrie noch für ein Smart Home.
Der Status Quo von Projekten und Initiativen für Selbstverwaltete Identitäten
Die noch junge Distributed-Ledger-Technologie wird in nahezu allen Unternehmensbereichen umfassend erforscht. Namhafte Unternehmen, wie auch innovative Startups, arbeiten intensiv an prominenten Anwendungsfällen. Dazu gehören unter anderem die sichere Verfolgung von Gütern in Lieferketten, authentische, digitale Nachweise von physischen Objekten, virtuelle Währungen, effizienter internationaler Zahlungsverkehr und natürlich die fälschungssichere Abbildung digitaler Identitäten.
Initiativen für selbstverwaltete Identitäten sind zum Beispiel die ID2020-Initiative und das Sovrin-Projekt. Ersteres hat sich das ehrgeizige Ziel gesetzt, allen “Identitätslosen” auf dieser Welt (laut der Weltbank sind das 1,1 Milliarden Menschen!) eine sichere und selbstverwaltete digitale Identität zur Verfügung zu stellen. Das Sovrin-Projekt verfolgt das Ziel ein globales Identitäts-Netzwerk für Personen, Unternehmen und Dinge aufzubauen.
Weiterhin werden standardisierte Elemente für selbstverwaltete Identitäten durch das World Wide Web Consortium (WC3) entwickelt. Das Gremium, welches Internet-Protokolle wie HTML veröffentlicht hat, arbeitet an den sogenannten decentralized identifiers und verifiable credentials. Diese Standards sollen die Interoperabilität zwischen verschiedenen Systemen für digitale Identitäten ermöglichen.
Auch Regierungen und nationale Behörden haben das Thema für sich entdeckt. Die spanische, autonome Gemeinschaft Katalonien entwickelt ein Pilotprojekt für selbstverwaltete Identitäten, genau wie der US-Bundesstaat Illinois. Das Schweizer Kanton Schaffhausen testet bereits eine Live-Version für e-Government Dienstleistungen. Ziel ist es, digitale Dienste für Bürger sicher und einfach verfügbar zu machen.
Im privaten Sektor findet man vielfach Startups, die an innovativen und benutzerfreundlichen Lösungen arbeiten. Prominenter Vordenker ist das Unternehmen Evernym, welches ein Initiator des Sovrin-Netzwerkes ist. Ebenso ist das US-amerikanische uPort ein Vorreiter und das Frankfurter Startup Blockchain HELIX, mit der digitalen Identitäts-Lösung, helix id.
Ein Zweischneidiges Schwert
Das gilt nicht nur für die Distributed-Ledger-Technologie, sondern für alle jungen und disruptiven Technologien: So wie die Technologie positives, “gutes” Verhalten fördern kann, ist sie ebenso in der Lage missbräuchliches Verhalten zu begünstigen. Wofür sie dann letztlich genutzt wird, hängt aber ausschließlich vom Menschen ab.
Ein gutes Beispiel dafür ist die virtuelle Währung, Bitcoin, die oft als “kriminelles” Zahlungsmittel gebrandmarkt wird. Die Intention von Bitcoin ist ein sicheres, digitales Zahlungsnetzwerk ohne die Notwendigkeit eines Intermediär zu ermöglichen. Die Zahlung von illegalen Aktivitäten im Internet zu vereinfachen war dabei nicht die Intention des Erfinders. Dass eine neuartige Technologie für andere Zwecke genutzt wird als beabsichtigt, ist aber kaum zu verhindern und sollte nicht von sich aus als eine Eigenschaft der Technologie angesehen werden.
Technologie ist per se nicht schlecht. Schlecht sind die Personen, die diese missbrauchen.
In diesem Sinne ist Bargeld ebenfalls ein “kriminelles” Zahlungsmittel, denn damit werden (neben der Funktion als gesetzliches Zahlungsmittel) auch illegale Tätigkeiten bezahlt. Tatsächlich ist Bargeld das beliebteste Zahlungsmittel für Kriminelle, aufgrund der Anonymität bei Transaktionen und der hohen Liquidität.
Besonders bei einem sensiblen Thema wie digitale Identitäten ist es wichtig sichere und vertrauenswürdige Standards zu erschaffen. Denn die Möglichkeiten des Missbrauchs sind vielzählig und können schwerwiegende Folgen haben. Jemand könnte seinen Zugang zu digitalen Diensten verlieren (fatal für Personen, die ihren Lebensunterhalt digital verdienen) oder aber jemand erhält Zugriff auf eine “verifizierte” digitale Identität eines anderen und begeht Straftaten im Internet. Der Verlust oder Missbrauch einer digitalen Identität kann sehr reale Konsequenzen haben.
Aktuell zeigt das Nutzerverhalten, dass Bequemlichkeit bei der Identifikation über den Schutz und die Kontrolle der Daten steht. Das ist problematisch für selbstverwaltete Identitäten, da die Verantwortung beim Nutzer für eine sichere Handhabung der digitalen Identität steigt. Gleichwohl steigt das Bewusstsein für mehr Datenschutz im Internet. Lösungen für selbstverwaltete Identitäten werden somit am Maß der Benutzerfreundlichkeit und der intuitiven Handhabung gemessen, während die Sicherheit und Integrität der digitalen Identität zu jeder Zeit gewährleistet sein muss.
Die Zehn Gebote
Der Internet-Kryptographie Experte Christopher Allen gilt als einer der Vordenker für das Konzept selbstverwalteter Identitäten. Er begann die Diskussion rund um die Thematik des zweischneidigen Schwertes von Identitätssystemen, dass in den zehn Geboten für transparente, faire und sichere digitale Identitäten mündete. (Abb. 1)
Obgleich Allen ein prominenter Vertreter ist, basieren die Gebote auf jahrelange Community-Arbeit und den von Kim Cameron beschriebenen Laws of Identity. Viele Projekte und Lösungen integrieren diese Richtlinien für nachhaltige und sichere digitale Identitäten.
Die Digitale Revolution hat bereits begonnen
Kurzgefasst bringt es das Statement des World Economic Forums im Positionspapier zu digitalen Identitäten ganz deutlich auf den Punkt:
And the time to act is now. The digital identity revolution has already begun.
In diesem Sinne: Auf eine sichere und selbstbestimmte digitale Zukunft!
Falls du mehr über selbstverwaltete digitale Identitäten erfahren möchtest, dann folge mir auf Twitter und diesem Blog. Wöchentlich gibt es informative Artikel zu digitalen Identitäten, dem Team von Blockchain HELIX und der sicheren Plattform für selbstverwaltete Identitäten, helix id.
