Daten und Identitäten nehmen in unserer digitalen Welt einen immer größeren Platz ein. Wenn wir in der realen Welt unsere Identität oder unser Alter bestätigen sollen, zeigen wir beispielsweise unseren Personalausweis vor. Dabei handelt sich um ein verifiziertes Dokument, das von einer offiziellen Behörde ausgestellt wurde. Nachdem wir unseren Ausweis vorgezeigt haben, verstauen wir ihn wieder in unserem Portemonnaie. Wir erhalten also unsere Daten zurück. Doch wie sieht das im Internet aus? Leichtsinnig geben wir online viele Informationen über uns preis, ohne zu wissen, was damit geschieht und wer diese für welche Zwecke verwendet. Self Sovereign Identity (SSI) möchte dies ändern und den Nutzenden mehr Sicherheit und Souveränität über ihre Daten geben.
Wie sieht der Status Quo aus?
Um sich online zu identifizieren, hinterlegen wir meist unsere E-Mail-Adresse, ein Passwort und noch weitere Informationen bei großen Identity-Providern wie Google, Facebook oder Apple. Durch diese wird unsere Identität bestätigt und wir können uns beispielsweise bei einem Online-Shop anmelden. Allerdings wissen wir nicht, was mit unseren Daten nach der Verifizierung geschieht. Wir können sie nicht wieder zurück in unsere Tasche stecken wie den Personalausweis. Außerdem werden meist deutlich mehr Informationen übermittelt, als für die eigentliche Anwendung nötig wäre. Wir haben dementsprechend keinen Einfluss darauf, was mit unseren Daten passiert.
Meist werden sie gesammelt, gespeichert und zu Werbezwecken an andere Unternehmen weitergeben. Wenige große ID-Provider verfügen somit über eine große Menge sensibler Informationen vieler Benutzer. Das kann gefährlich werden, denn durch diese unzähligen Daten verfügen diese Unternehmen auch über Macht. Sie sammeln Wissen über uns, über unsere Angewohnheiten, unser Kaufverhalten, unsere privaten Beziehungen – einfach über alles, was wir online machen. Schon seit einigen Jahren existiert deshalb der Begriff des “gläsernen Menschen”. Dies beschreibt die Sorge, dass der Staat oder andere Institutionen durch das Sammeln von Daten einfach alles über uns wissen. Das würde massiv gegen unsere Privatsphäre verstoßen.
Was ist SSI und wieso ist es wichtig?
Self Sovereign Identity (SSI) ist ein Konzept, was ein neues Verständnis von dem Umgang mit Daten und Identitäten im digitalen Raum fordert. Dabei steht der Schutz sensibler Informationen und mehr Privatsphäre im Internet für den Nutzenden im Mittelpunkt. Dies soll erreicht werden, indem Daten dezentral und unabhängig von Drittanbietern gespeichert werden. Das wird möglich, indem private Informationen, die zuvor von einer berechtigten Institution wie dem Staat verifiziert wurden, vom Nutzenden selbst gespeichert werden. Diese Nachweise kann er beispielsweise in einem Wallet auf dem Smartphone sichern. Von dort aus werden ausgewählte Informationen und deren Nachweise z.B. zur Identifikation an Unternehmen weitergegeben. Nach der Anwendung löscht das Unternehmen die Daten wieder, wodurch der Nutzende die Kontrolle darüber behält.
Bei Self Sovereign Identity handelt es sich allerdings nicht um Zukunftsmusik. Viele Firmen forschen intensiv an Methoden, SSI für die Allgemeinheit praktikabel zu machen und konnten bereits erste Erfolge erzielen. Des Weiteren haben die Europäische Union und die deutsche Bundesregierung großes Interesse an der Technologie und fördern Projekte, um die Datensicherheit der Nutzenden bestmöglich zu gewährleisten.
So funktioniert Self Sovereign Identity
Self Sovereign Identity (SSI) basiert auf einem Zusammenspiel aus drei Akteuren (Aussteller, Besitzer und Verifizierer), die gegenseitig für Sicherheit, Kontrolle und Souveränität sorgen. Durch dieses System sollen viele Prozesse einfacher, schneller und vor allem sicherer ablaufen, was einen Vorteil für alle Instanzen darstellt.
1. Aussteller (Issuer)
Die erste Instanz ist der Aussteller von digitalen Nachweisen, der auch Issuer genannt wird. Dabei handelt es sich um berechtigte und vertrauenswürdige Instanzen wie Hochschulen, Berufsverbände, dem Einwohnermeldeamt oder dem TÜV. Die Aufgabe des Issuers ist es, Verifiable Credentials (VCs) auszustellen, die digital signiert und verifiziert werden. Verifiable Credentials sind allgemein anerkannte Nachweise, die zuvor von einer berechtigten Institution kryptografisch signiert und verifiziert wurden. Sie dienen somit als digitales Äquivalent zu ihren analogen Originalen.
Nachdem die VCs ausgestellt wurden, werden sie verschlüsselt an den Holder übermittelt. Verifiable Credentials können dabei alle möglichen Dokumente und Nachweise sein wie beispielsweise Zeugnisse (z.B. Abitur, Beruf), Bestätigungen (z.B. Impfung) oder Qualifikationen (z.B. Weiterbildungen). Bei der Ausstellung des Nachweises wird außerdem ein Vermerk zu dessen Echtheit und zu dessen Signaturverfahren in einer dezentralen Datenbank wie beispielsweise einer Blockchain gespeichert.
2. Besitzer (Holder)
Der Besitzer oder Holder erhält seine verifizierten digitalen Nachweise zu Uniabschlüssen oder Qualifikationen vom Aussteller und kann sie beispielsweise in einem Wallet auf seinem Smartphone speichern und sammeln. Es besteht auch die Möglichkeit, die Nachweise in einer Cloud zu sichern, was vor allem als Backup-Lösung sinnvoll ist. Dadurch, dass der Besitzende seine Verifiable Credentials auf seinem eigenen Gerät speichert, behält er die Kontrolle über seine Daten. Er kann genau bestimmen, welche Informationen an den Verifizierer weitergegeben werden und übermittelt keine Informationen, die für den Vorgang nicht nötig sind.
3. Verifizierer (Verifier)
Der Verifizierer ist die Akzeptanzstelle und benötigt die digitalen Nachweise des Holders, um Prozesse wie beispielsweise einen Bestellvorgang abzuschließen. Außerdem sind für ihn zusätzliche Informationen zu den Verifiable Credentials wie beispielsweise das verwendete Signaturverfahren oder das öffentliche Schlüsselmaterial erforderlich. Diese Informationen sind in einem Datenregister wie beispielsweise einer Blockchain gespeichert. Darüber kann der Verifizierer die benötigten Informationen abrufen und die Nachweise des Holders akzeptieren und verwenden. Dieser Vorgang verläuft vollkommen automatisch, was für Verifizierer und Holder eine Zeit- und Aufwandsersparnis darstellt.
Blockchain als Datenregister
Self Sovereign Identity benötigt eine technische Basis, in der Informationen zu den Verifiable Credentials sicher gespeichert werden können. Dies ist beispielsweise nötig, um deren Echtheit garantieren zu können. Dabei besteht der Anspruch, dass Daten dezentral, d.h. ohne einflussreiche Drittanbieter, so sicher wie möglich hinterlegt werden müssen. In der Forschung gibt es derzeit verschiedene Möglichkeiten, wie sich so etwas umsetzen lässt. Als Möglichkeit gilt beispielsweise Public Key Infrastructure (PKI) deren zentrale Funktionen die starke Authentifizierung, Datenverschlüsselung und digitale Signaturen sind. Am häufigsten wird allerdings die Blockchain verwendet, weshalb sich in diesem Artikel darauf konzentriert wird.
Was ist Blockchain?
Kurz gesagt kann Blockchain als eine technische Lösung beschrieben werden, die Daten in einer Infrastruktur ohne zentrale Instanz nachvollziehbar und manipulationssicher verwaltet. Doch was genau bedeutet das?
In einer Blockchain können verschiedenste Informationen z.B. zu einem Prozess gespeichert werden. Jede Information wird dabei in einem separaten Block abgelegt. Die unterschiedlichen Blöcke an Informationen bilden eine Kette, die den gesamten Verlauf des Prozesses abbildet. In jedem Block ist der Hash des vorherigen Blocks enthalten, wodurch sie aufeinander aufgebaut und voneinander abhängig sind. Ein Hash ist ein generierter Datensatz, der den Kern der kryptografischen Sicherheit darstellt.
Die Informationen in der Kette können nicht mehr verändert und somit auch nicht manipuliert werden. Bei einem Fehler müssen die Blöcke neu hinzugefügt werden. Durch diese Technologie können verschiedene berechtigte Instanzen auf die Informationen zugreifen und somit deren Fortschritt von z.B. Bestellungen, Zahlungen oder Rechnungen kontrollieren, ohne Veränderungen vorzunehmen. Die Daten können allerdings anonymisiert werden, damit nur Berechtigte sie einsehen können.
Die Blockchain basiert auf der Distributed-Ledger-Technologie. Dort werden Informationen nicht zentral, sondern synchron in einem Peer-to-Peer Netzwerk dezentral gespeichert. Das bedeutet, dass kein übergeordneter Verwalter oder zentraler Datenspeicher mehr nötig ist. Stattdessen kommunizieren vernetzte Rechner eines Netzwerkes miteinander. Das hat den Vorteil, dass alle Informationen auf allen Rechnern (Netzknoten) gespeichert sind, die die gleichen Funktionen ausüben, was vor Ausfällen schützt. Wenn nun eine neue Information als Block gespeichert wird, wird dies von den vernetzten Rechnern geprüft, bestätigt und die Blöcke werden miteinander verknüpft.
Blockchain und Self Sovereign Identity
Blockchain ist eine Technologie, die viele Möglichkeiten bietet und sich in unzähligen Bereichen einsetzen lässt. Sie bietet viele Vorteile, die vor allem für die Self Sovereign Identity von großer Bedeutung sind:
- Praktisch unveränderliche Informationen
- Dezentrale Datenspeicherung
- Transaktion für alle Teilnehmer nachvollziehbar
- Verzicht auf Vermittler und Drittinstanzen
Aus diesem Grund nutzt ein Großteil der Unternehmen, die an Systemen für SSI arbeiten, eine Blockchain-Systematik. Die Blockchain stellt dabei ein dezentrales Datenregister dar, in dem verschiedene Informationen sicher hinterlegt werden. Dabei handelt es sich keinesfalls um private personenbezogene Daten, sondern vielmehr um Informationen zur Echtheit der Verifiable Credentials. Diese werden direkt bei der Erstellung eines Zertifikats durch den Issuer in der Blockchain hinterlegt und mit dem VC verknüpft. Stellt ein Holder seine Daten einem Verifizierer zur Verfügung, greift dieser auf die Informationen aus der Blockchain zurück und prüft somit deren Richtigkeit. Durch die Blockchain-Technologie sind die Verwendenden unabhängig von Drittanbietern. Es kann aber gleichzeitig gewährleistet werden, dass Informationen manipulationssicher hinterlegt und verifiziert sind.
Use Case – So sieht Self Sovereign Identity in der Praxis aus
Online-Banking mit SSI
Self Sovereign Identity lässt sich in der Zukunft in unzähligen Bereichen des öffentlichen Lebens einsetzen wie beispielsweise im Bankensektor. Um dies voranzutreiben, haben sich verschiedene deutsche Banken zusammengetan und arbeiten gemeinsam an einer Lösung, SSI für sich nutzen zu können. Sie streben die digitale Unabhängigkeit und Datensouveränität an, um mehr Sicherheit für die sensiblen Informationen ihrer Kunden zu gewährleisten. Deshalb soll Self Sovereign Identity in verschiedenen Anwendungen zum Einsatz kommen.
Wenn Personen ein Konto bei einer Bank eröffnen möchten, müssen sie bisher verschiedene Informationen wie Name, Adresse, Geburtsort etc. angeben und ihren Personalausweis vorlegen. Was nach der Registrierung mit den Daten geschieht und welche dafür wirklich benötigt werden, wird nicht kommuniziert. Dort soll SSI Abhilfe schaffen. Kunden können sich im Internet mithilfe ihres Identitätsnachweises in ihrem Wallet registrieren und behalten somit die volle Kontrolle darüber, welche Informationen übermittelt werden und was damit geschieht. Nach jeder Anwendung werden die zur Verfügung gestellten Daten vom Unternehmen wieder gelöscht, wodurch sie nicht weiterverwendet werden können.
Ähnlich könnte es beim Online-Banking ablaufen. Bisher registrieren sich Kunden mittels eines Passworts und eines User-Namens, was nicht sehr sicher ist. Jeder könnte dieses Passwort eingeben und somit auf sensible Informationen zugreifen und unerlaubt Transaktionen tätigen. Mithilfe von SSI könnten sich Kunden mithilfe ihres Nachweises in ihrem Wallet sicher einloggen.
Problematisch ist allerdings noch die Umsetzung einer geeigneten Self Sovereign Identity Lösung für die Endanwender. Diese sollte alle Funktionen in einer einzigen App vereinen, benutzerfreundlich und leicht zu bedienen sein und auf möglichst allen mobilen Geräten funktionieren.
Bereit für Dein neues IAM System?
Du hast Fragen rund um Identity und Access Management oder möchtest ein neues IAM System implementieren? Schreib uns einfach ganz unverbindlich eine Nachricht und lass Dich beraten!
Zugang zu gewerblich genutzten Gebäuden mit SSI
Ein weiteres Beispiel für die Verwendung von Self Sovereign Identity betrifft den Zugang zu gewerblich genutzten Gebäuden. Die Verwaltung von Gebäudezugängen hat dabei die Anforderungen, dass es gleichzeitig sicher und flexibel sein muss. Unbefugte sollen keinen Zutritt zum Gebäude erlangen, aber die Hürden, um hineinzukommen, müssen auch im Alltag schnell umsetzbar sein.
Momentan wird diese Problematik mit physischen Schlüsseln, Pin-Nummern oder NFC (Near Field Communication) Karten gelöst. Manchmal werden diese Methoden auch in Kombination verwendet, um die Sicherheit zu erhöhen. Das geht allerdings zulasten der Flexibilität. Unternehmen sind sich einig, dass eine digitale Lösung gefunden werden muss, die sich in der Praxis einfach und effektiv umsetzen lässt.
Eine Möglichkeit wäre, sich mithilfe von Self Sovereign Identity Zugang zu einem Gebäude zu verschaffen. Dabei würde eine App auf dem Smartphone installiert sein, auf der der Identitätsnachweis sowie die Zugangsberechtigung lokal gespeichert sind. Das Smartphone interagiert dann mittels NFC oder Bluetooth mit dem Zugangscontroller und übermittelt den Nachweis, dass diese Person das Gebäude betreten darf.
Die Berechtigung dazu kann individuell von der Gebäudeverwaltung erteilt und unter Umständen wieder entzogen bzw. angepasst werden. Für die sichere Übermittlung der rollenbasierten Zugangsrechte wird eine verschlüsselte Verbindung (Peer-to-Peer Verbindung) zum Endanwender hergestellt.
Diese individuellen Berechtigungen erhöhen die Flexibilität enorm. Auch, weil sich diese zeitlich und räumlich begrenzen lassen. Das ist vor allem für Unternehmen, die häufig mit externen Dienstleistern arbeiten, vorteilhaft. Außerdem müssen sich diese nicht extra eine Schlüsselkarte o.Ä. aushändigen lassen, sondern können die Tür direkt mit ihrem Smartphone öffnen. Bei höheren Sicherheitsanforderungen kann zusätzlich ein Identitätsnachweis gemäß eIDAS-Regulierung gefordert werden, der mit der Self Sovereign Identity in der Regel im Wallet integriert ist.
Bei der Umsetzung in die Praxis dieses Systems gilt es allerdings noch einige Probleme zu überwinden. Schwierigkeiten bereitet beispielsweise noch die Hardware, also das Schließsystem, da dieses mit den NFC-Schnittstellen kompatibel sein muss. Problematisch ist außerdem die Integration in bereits bestehende Systeme.
SSI und Identity und Access Management
SSI bietet unzählige Anwendungsmöglichkeiten und lässt sich auch im Identity und Access Management nutzen. Dort erleichtert es beispielsweise die Vergabe von Rechten und Zugriffen. Mitarbeitende erhalten von ihrem Unternehmen die VC, dass sie Zugriff auf bestimmte Dokumente oder Ordner haben und speichern dies in ihrem Wallet auf dem Smartphone. Wenn der Nachweis gefragt ist, können sie ihn einfach digital übermitteln.
Der Vorteil ist, dass Nachweise einfach und sicher ausgestellt werden können, aber auch jederzeit wieder entzogen werden können. Das ist vor allem für das Lifecycle Management wichtig, wenn Mitarbeitende in ihrem Berufsleben verschiedene Bereiche und Abteilungen durchlaufen und dort unterschiedliche Berechtigungen benötigen. Hier profitieren wieder vor allem Firmen, die häufig mit externen Dienstleistern arbeiten. Diese können sich einfach mithilfe der Verifiable Credentials auf ihrem Smartphone Zugang zu Gebäuden verschaffen oder ihre Identität nachweisen.
Wie sieht die Zukunft aus?
Self Sovereign Identity ist eine Technologie, die großes Potential für die Zukunft mit sich bringt. Sie wird den Umgang mit unseren Daten im digitalen Raum maßgeblich verändern und voraussichtlich sicherer machen. Sämtliche Bereiche des öffentlichen Lebens können sich SSI zu Nutze machen und damit den Alltag Vieler flexibler und selbstbestimmter gestalten. SSI kann in den unterschiedlichsten Sektoren verwendet werden:
- Regierung: Einbürgerung, Identitätsnachweis, Steuernachweis
- Bildung: Zugriff auf Lernmaterialien, Nachweise für Zeugnisse und Bescheinigungen
- Reise: gesammelte Dokumente über Impfungen, Identität, Reisedaten
- Gesundheitssystem: Speicherung und Übermittlung von Gesundheitsdaten, Telemedizin
- ECommerce: einfache Registrierung und Check-out, integrierte Kundenkarte
Die Umsetzung ist allerdings kompliziert, da vor allem Sicherheitslücken genau geprüft und bedacht werden müssen. Dabei sollte beispielsweise sichergestellt werden, dass die Verifiable Credentials lebenslang sicher verwaltet werden können oder, dass diese nicht auf andere Personen übertragen werden können. Außerdem müssen Systeme komplett neu entwickelt und für jeden benutzerfreundlich zugänglich gemacht werden. Die neue Technologie wird zudem in bestehende Systeme integriert oder es müssen komplett neue Abläufe entwickelt werden, was Komplikationen mit sich bringt.
SSI bietet großes Potenzial
Self Sovereign Identity steckt zwar noch in den Kinderschuhen, bietet aber großes Potenzial für die Verwaltung unserer digitalen Identitäten und privaten Daten. Durch die Verwendung einer Blockchain und die Kontrolle der drei Instanzen (Aussteller, Besitzer, Verifizierer) ist Self Sovereign Identity allerdings eine sichere Methode, sich im digitalen Raum zu bewegen. Da auf Hochtouren an einer Umsetzung der Self Sovereigns Identity gearbeitet wird, wird sie in den nächsten Jahren in immer mehr Bereichen des Alltags für uns zur Verfügung stehen.
