In einer Welt, in der die Digitalisierung immer schneller voranschreitet, wird das Identitätsmanagement immer wichtiger. Herkömmliche Identitätssysteme, die zentral verwaltet und von Dritten kontrolliert werden, weisen Eigenschaften auf, die von vielen als unerwünscht empfunden werden. Und hier kommt die Self-Sovereign-Identity (SSI) ins Spiel – ein transformatives Konzept, das einen selbstbestimmter handeln lässt, die Privatsphäre schützt und zentrale Fehlerquellen beseitigt. Möchten Sie mehr erfahren? Dann lassen Sie uns gemeinsam erkunden, warum wir SSI brauchen, um für die Zukunft gut gerüstet zu sein.
Die Schwachstellen von herkömmlichen Systemen des Identitätsmanagements
Traditionelle Systeme stützen sich auf zentrale Behörden (Regierungen oder private Dienstanbieter). Durch diese Zentralisierung wird einerseits eine Überwachung aller Benutzer:innen ermöglicht, andererseits wird ein einziger Punkt geschaffen, an dem es zu Angriffen oder Fehlern kommen kann. Personenbezogene Daten und Authentisierungsmittel werden in zentralen Datenbanken gespeichert, die anfällig für Verstösse und unbefugten Zugriff sind. Websites wie https://haveibeenpwned.com/, auf denen mehr als 13 Milliarden Benutzerkonten aus über 750 Verstössen gegen das Datenschutzgesetz erfasst sind, liefern den unwiderlegbaren Beweis dafür, wie schwerwiegend dieses Problem ist.
Die Privatsphäre von Privatpersonen wird untergraben, da zentralisierte Identitätsanbieter Benutzerdaten ohne ausdrückliche Zustimmung der Benutzer:innen erheben und verarbeiten. Für einige Unternehmen ist dies ein hervorragendes Geschäftsmodell, und so beruhen Erfolg und Mehrwert von Websites wie LinkedIn und Facebook auf einer solchen Nutzbarmachung privater Daten durch gezielte Marketingkampagnen.
Mehr Selbstbestimmung für Privatpersonen
SSI bewirkt einen Paradigmenwechsel im Umgang mit personenbezogenen Daten. Mithilfe von SSI können Benutzer:innen ihre Identitätsdaten verwalten und selbst entscheiden, was sie mit wem und wann teilen möchten. Verifizierbare Berechtigungsnachweise (Verifiable Credentials, VC) ermöglichen es Benutzer:innen, kryptografisch verifizierte Informationen vorzulegen, ohne dabei unnötige Details offenlegen zu müssen («selektive Offenlegung») und ohne, dass diese von einer zentralen Behörde nachverfolgt werden können. SSI stellt sicher, dass Benutzer:innen ihre ausdrückliche Zustimmung zur Freigabe von Daten erteilen. Versteckte AGB werden eliminiert und Datenschutzgesetze per Voreinstellung «automatisch» durchgesetzt.
Digitale Signaturen, wie sie auf Dokumenten oder in X.509-Zertifikaten verwendet werden, können genutzt werden, um die Aktivitäten der unterzeichnenden Parteien nachzuverfolgen. Um zu verhindern, dass Empfänger verifizierter Berechtigungsnachweise digitale Signaturen verwenden, um die Eigentümer:innen verifizierter Berechtigungsnachweise über verschiedene Anwendungsfälle hinweg zu verfolgen, unterstützt SSI kryptografische Algorithmen, die diese Schwachstelle beseitigen und die Unverknüpfbarkeit der Daten garantieren. Es ist jedoch immer noch möglich, Einzelpersonen auf der Grundlage von Informationen, die sie mit Empfängern teilen, zu verfolgen. In bestimmten Anwendungsfällen lässt sich dies allerdings auch schlichtweg nicht vermeiden.
Die Sicherheit erhöhen
Verifizierbare Berechtigungsnachweise sind kryptografisch signiert. Dadurch wird sichergestellt, dass jeder Versuch, die in einem verifizierbaren Berechtigungsnachweis enthaltenen Daten zu verändern, sofort erkannt wird («manipulationssicher»). Kryptografische Signaturen bieten auch die Möglichkeit, die Aussteller von verifizierbaren Berechtigungsnachweisen eindeutig zu identifizieren und somit die Vertrauenswürdigkeit der Daten zu bewerten.
Die sogenannte «selektive Offenlegung» erfolgt mithilfe fortschrittlicher Kryptografie. So können Eigentümer:innen bei jeder Transaktion entscheiden, welche der auf den verifizierbaren Berechtigungsnachweisen gespeicherten Daten freigegeben und welche nicht freigegeben werden sollen. Bestimmte Implementierungen unterstützen auch den Null-Wissen-Beweis. Auf der Grundlage von Informationen, die in den verifizierbaren Berechtigungsnachweisen enthalten sind (z. B. das Geburtsdatum), ist es möglich, abgeleitete Informationen offenzulegen (z. B. dass Sie über 18 Jahre alt sind), ohne jedoch die zugrundeliegenden Daten offenzulegen.
Zentrale Fehlerquellen eliminieren
SSI ist von Haus aus dezentralisiert und funktioniert ohne eine zentrale Behörde. Da es keine zentrale Behörde gibt, ist die Ausfallsicherheit gegeben, und das System bleibt auch dann funktionsfähig, wenn bei einem Aussteller oder bei einer Prüfstelle eine Störung vorliegt.
Alle Daten im System werden verteilt und sind in den digitalen Aktenkoffern der Eigentümer:innen gespeichert. Ein direkter Datenbruch, der alle Daten im gesamten System gefährden würde, ist nahezu unmöglich, denn hierzu müssten alle mobilen Aktenkoffer genau zur gleichen Zeit erfolgreich gehackt werden.
Je nachdem, welche Lösungen gewählt werden, um Vertrauenslisten zu führen, bei denen ein Aktenkoffer die Echtheit und Identität von Ausstellern und Prüfstellen überprüfen kann, und je nach der Lösung zur Überprüfung des Widerrufs kann es notwendig sein, gewisse Daten zentral zu verwalten. Für beide Anforderungen gibt es dezentrale Lösungen, die Diskussionen sind jedoch noch im Gange.
Die Idee einer öffentlich-privaten Partnerschaft nimmt Fahrt auf
Die Vorstellung, dass staatliche und private Organisationen in zahlreichen Anwendungsfällen zusammenarbeiten können, ist sicherlich nicht neu. Mit SSI hat sich jedoch ein neuer Ansatz entwickelt, der viel praktikabler ist.
SSI ist ein offenes System und von seiner Konzeption her sehr gut geeignet, um viele unterschiedliche Ökosysteme zu unterstützen (z. B. Behörden, Gesundheitswesen, Finanzen, Sport und Unterhaltung), die unterschiedliche Anforderungen an Sicherheit, Vertrauenswürdigkeit und Qualität haben. Viele Anwendungsfälle sind nur dann möglich, wenn Aussteller und Prüfstellen aus unterschiedlichen Ökosystemen kommen, und eine Beschränkung auf staatliche Anwendungsfälle nicht wünschenswert ist. Natürlich kann die Privatwirtschaft von verifizierbaren Berechtigungsnachweisen profitieren, die von staatlichen Stellen ausgestellt werden (z. B. E-ID, Führerschein), aber auch staatliche Stellen könnten von verifizierbaren Berechtigungsnachweisen profitieren, die von Unternehmen aus der Privatwirtschaft ausgestellt werden (Steuerbehörden erhalten Gehaltsbescheinigungen oder Kontoauszüge als verifizierbare Berechtigungsnachweise).
SSI eignet sich gut, um Ökosysteme zu schaffen, die mehrere Branchen umfassen, und ermöglicht einen nahtlosen Datenaustausch zwischen diesen Ökosystemen.
Auswirkungen auf internationaler und globaler Ebene
SSI macht nicht an den Landesgrenzen halt. Sie ermöglicht sichere, grenzüberschreitende Transaktionen, ohne sich dabei auf zentrale Behörden zu verlassen. Rechtliche Hürden werden gerade abgebaut, und die EU-weite Gesetzgebung bildet eine solide Grundlage für die internationale Zusammenarbeit.
Seien Sie dabei, wenn SSI die Datensouveränität revolutioniert – Ihre Identität, Ihre Regeln!
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.