Die Bedeutung von Self-Sovereign Identities für die Datensouveränität
Digitale Identitäten werden im Zuge der Digitalisierung immer einflussreicher. Traditionell wurden Identitäten über zentralisierte Systeme verwaltet, z. B. über staatlich ausgestellte Ausweise oder Unternehmensdatenbanken sowie über Identitätssysteme großer Tech-Firmen wie Google, Microsoft und vielen anderen. Mit selbstverwalteten Identitäten, den Self-Sovereign Identities (SSIs), wird diese Abhängigkeit reduziert.
Advertorial
Am 29. Februar 2024 hatte das Europäische Parlament in einer finalen Abstimmung die novellierte eIDAS-Verordnung angenommen. Die EU-Mitgliedstaaten haben nun 24 Monate Zeit, um das Konzept der digitalen Identität auf nationaler Ebene rechtskonform umzusetzen. Die EU hat bereits 2023 vier große Pilotprojekte (Large Scale Pilots – LSP) auf den Weg gebracht, in denen private Unternehmen und Behörden aus den EU-Mitgliedstaaten sowie weitere Länder Europas in Zusammenarbeit derzeit spezifische Anwendungsfälle entwickeln und pilotieren. Beteiligt sind rund 360 Einrichtungen.
Technologische Grundlage ist der von der eIDAS Expert Group vorgelegte Werkzeugkasten, der u. a. die am 7. März 2024 von der Europäischen Kommission vorgestellte, jüngste Version des „Architecture and Reference Framework (ARF)“ umfasst.
Was ist SSI?
SSI ist ein innovativer Ansatz, mit dem Einzelpersonen ihre digitalen Identitäten selbst kontrollieren und verwalten. Im Kern gibt SSI dem Einzelnen die volle Verfügungsgewalt über seine persönlichen Daten und ermöglicht es ihm, diese selektiv und ohne Einschalten von dritten Vermittlern an vertrauenswürdige Stellen weiterzugeben. Das Konzept sorgt nicht nur für mehr Privatsphäre und Sicherheit, sondern schafft auch die Voraussetzungen für eine integrativere und dezentralere digitale Landschaft.
Im Gegensatz zu herkömmlichen Systemen, die in der Regel auf nationale Grenzen beschränkt sind und unter staatlicher Aufsicht stehen, funktioniert die SSI auf globaler Ebene. Das bedeutet, dass Einzelpersonen ihre Identität geltend machen und nahtlos über Grenzen hinweg auf Dienste zugreifen können, unabhängig von geopolitischen Grenzen oder rechtlichen Beschränkungen. Der technologische Ansatz verspricht das Vertrauen und die Transparenz bei digitalen Interaktionen zu fördern.
Wenn jeder Einzelne die Kontrolle über seine eigene Identität hat, verringert sich die Abhängigkeit von zentralisierten Stellen und minimiert das Risiko von Datenschutzverletzungen und Identitätsdiebstahl. Dieser Wandel hin zu einem nutzerzentrierten Identitätsmanagement stärkt die Privatsphäre der Nutzer.
Abbildung 1: Eigenschaften und Nutzen von SSI im Überblick
Digitalisierung und Vertrauen
Das Streben nach Digitalisierung stellt sowohl Behörden als auch Unternehmen vor gewaltige Herausforderungen. Budgets und Fachpersonal werden in umfangreiche Projekte gesteckt, um Anwendungsfälle zu lösen. Bei vielen dieser Projekte ist es jedoch schwierig, einen ausreichenden Nutzen nachzuweisen, um den Aufwand zu rechtfertigen. Ein Beispiel ist die Digitalisierung der Erfassung von Steuerformularen.
Hierbei handelt es sich um einen Prozess, der eine genaue Identifizierung der Bürger für eine Dienstleistung erfordert, die nur einmal im Jahr in Anspruch genommen wird. Noch verwirrender ist der Fall der elektronischen Gesundheitsakte. Während ein kleiner Teil der Bevölkerung häufig mit dem Gesundheitssystem interagiert und von den Vorteilen elektronischer Aufzeichnungen profitiert, hat die Mehrheit der Bürger über Jahre hinweg wenig oder gar keinen Kontakt.
Die Bedeutung von SSI geht jedoch über die Identitätsprüfung hinaus – sie umfasst die nahtlose digitale Nutzung von Berechtigungsnachweisen ohne zwischengeschaltete Unterbrechungen. Jede Dateneinheit eines Ausweises wird von seinem Aussteller authentifiziert, was ihm ein ähnliches Maß an Glaubwürdigkeit verleiht, analog zu traditionellen Papierdokumenten wie Reisepässen. Folglich müssen die Empfänger nicht die Informationen selbst überprüfen, sondern lediglich die Authentizität der ausstellenden Stelle. Dieser doppelte Vorteil erhöht die Datenqualität im Vergleich zu vom Benutzer ausgefüllten Formularen und macht eine manuelle, ausgelagerte oder automatisierte Überprüfung überflüssig, was die Prozesse vereinfacht und die Kosten senkt.
Die sich entwickelnde Landschaft überprüfbarer Bescheinigungen wirft interessante Fragen zur rechtlichen Haftung auf. Da die Emittenten die Integrität ihrer Nachweise sicherstellen müssen, werden Sorgfaltsprüfungen unumgänglich. Dieser Wandel wird die Entstehung von Ökosystemen fördern, die eigene Standards für Datenqualität und Vertrauenswürdigkeit haben. Diese Standards werden als Maßstab für die Bewertung des Vertrauens durch Dritte dienen und den Grad der Zuverlässigkeit eines Ausweises signalisieren.
Entscheidend ist, dass SSIs keine inhärenten Beschränkungen aufweisen, die den Nachweis auf nationale Gerichtsbarkeiten oder bestimmte Ökosysteme beschränken. Diese inhärente Flexibilität ist eine der Stärken von SSIs, da sie aufgrund ihres Interoperabilitätsprinzips weltweit eingesetzt werden können. SSI soll geografische Beschränkungen überwinden sowie nahtlose Interaktionen und Transaktionen auf globaler Ebene ermöglichen.
In dem Maße, in dem Akteure aus allen Sektoren diese transformative Technologie annehmen, hat die SSI das Potenzial, die digitale Interaktion zu revolutionieren und eine besser vernetzte und effizientere globale Landschaft zu fördern.
Sicherung digitaler Identitäten durch SSI
Digitale Signaturen, wie sie auf Dokumenten oder in X.509-Zertifikaten verwendet werden, können genutzt werden, um die Aktivitäten der unterzeichnenden Parteien nachzuverfolgen. Um zu verhindern, dass Empfänger verifizierter Berechtigungsnachweise digitale Signaturen verwenden, um die Eigentümer verifizierter Berechtigungsnachweise über verschiedene Anwendungsfälle hinweg zu verfolgen, unterstützt SSI kryptografische Algorithmen, die diese Schwachstelle beseitigen und die Unverknüpfbarkeit der Daten garantieren. Es ist jedoch immer noch möglich, Einzelpersonen auf der Grundlage von Informationen zu verfolgen, die sie mit Empfängern teilen. In bestimmten Anwendungsfällen lässt sich dies schlichtweg nicht vermeiden.
Verifizierbare Berechtigungsnachweise sind kryptografisch signiert. Dadurch wird sichergestellt, dass jeder Versuch, die in einem verifizierbaren Berechtigungsnachweis enthaltenen Daten zu verändern, sofort erkannt wird („manipulationssicher“). Kryptografische Signaturen bieten auch die Möglichkeit, die Aussteller von verifizierbaren Berechtigungsnachweisen eindeutig zu identifizieren und somit die Vertrauenswürdigkeit der Daten zu bewerten.
Die sogenannte selektive Offenlegung erfolgt mithilfe fortschrittlicher Kryptografie. So können Eigentümer bei jeder Transaktion entscheiden, welche der auf den verifizierbaren Berechtigungsnachweisen gespeicherten Daten freigegeben und welche nicht freigegeben werden sollen. Bestimmte Implementierungen unterstützen auch den Null-Wissen-Beweis.
Basierend auf Informationen, die in den verifizierbaren Berechtigungsnachweisen enthalten sind (z. B. das Geburtsdatum), ist es möglich, abgeleitete Informationen offenzulegen (z. B., dass die Volljährigkeit gegeben ist), ohne jedoch die zugrunde liegenden Daten offenzulegen.
Fazit
SIs bieten eine vielversprechende Lösung, die traditionelle Grenzen überwindet, indem sie dem Einzelnen die Kontrolle über seine digitalen Identitäten gibt und die Interoperabilität über Grenzen hinweg fördert. Die Technologie verspricht nicht nur die Beziehungen zwischen Behörden und Bürgern, sondern auch die Interaktionen innerhalb von Unternehmen zu revolutionieren.
Sie bergen großes Potenzial für die Rationalisierung von Prozessen, die Verbesserung der Sicherheit und die Förderung des Vertrauens in digitale Transaktionen. Von der Eingabe von Steuerformularen bis hin zu elektronischen Gesundheitsakten bieten sie eine solide Grundlage für komplexe Anwendungsfälle und minimieren gleichzeitig die mit zentralisierten Systemen verbundenen Datenschutzbedenken.
Besondere Aufmerksamkeit schenken wir dieses Jahr dem Thema Self-Sovereign Identities bzw. Dezentrale Identitäten. Unter dem Titel „Die (R)evolution der digitalen Identität“ findet am 23. Oktober im Rahmen der it-sa unser Kongress mit namhaften Experten statt. Seien Sie gespannt auf die Beiträge von Martin Kuppinger, Founder und Principal Analyst Kuppinger Cole, Dipl.-Ing. Herbert Leitold, Gesamtleiter A-SIT, Zentrum für sichere Informationstechnologie – Austria, Elmar Reif, Chief Product Officer von PXL-Vision, und Marc Bütikofer, Head of Innovation bei Airlock. Zum Abschluss diskutieren wir gemeinsam in der Podiumsdiskussion, wie eIDs die Benutzerfreundlichkeit, die Compliance und die Geschäftsprozesse verändern werden.
Nutzen Sie die Gelegenheit zum Austausch und melden Sie sich an: www.airlock.com/itsa
Autor: Michael Doujak, Product Manager bei Airlock