Die Self-Sovereign Identity sieht das Übergreifende
Veröffentlicht am 19.03.2021
Im Internet führen viele Deutsche mehr als nur ein Doppelleben. Mit jedem neuen Account steigt die Zahl der digitalen Identitäten. Die Single-Sign-on-Lösungen der großen Tech-Konzerne versprechen deutlich mehr Komfort. Doch der „Eine-Identität-für-alles“-Ansatz geht zulasten der Sicherheit und der Datensouveränität.
Self-Sovereign Identity (SSI) ist ein sicheres Konzept
Ein gleichermaßen bequemes wie sicheres Konzept ist die dezentrale Self-Sovereign Identity (SSI). Helge Michael* von der Commerzbank-Tochter Main Incubator ist Projektleiter von IDunion. Das Konsortium aus Unternehmen und Institutionen, dem auch die Bundesdruckerei angehört, baut gerade ein SSI-Ökosystem auf. Im Interview spricht er über Vorteile und Anwendungsfälle der dezentralen Identität.
Herr Michael, wie viele Passwörter haben Sie eigentlich gerade?
Ganz ehrlich? Ich habe den Überblick verloren. Bewusst brauche ich monatlich vielleicht 25 bis 30. Aber dann sind da noch einige Plattformen, die ich eher seltener aufrufe. Ein Beispiel: Car- und Bikesharing-Angebote. Für den Weg ins Büro habe ich lange verschiedenste Anbieter für Autos, Fahrräder und Roller genutzt. Vor Kurzem sollte ich dann bei einem Dienst meine Kreditkarteninformationen aktualisieren und mich einloggen. Da kam ich kurz ins Schleudern. Wahrscheinlich gehöre ich zu den Menschen, die deutlich über 100 Passwörter haben.
Dabei bieten doch die großen Tech-Konzerne eine bequeme Single-Sign-on-Lösung. Ein Passwort für alle Services. Nutzen Sie so etwas auch?
Klar, aber ich versuche, es stark einzuschränken. Es gibt da eben vier grundlegende Nachteile: Zum einen macht man sich sehr stark abhängig, verliert beinahe schon die Kontrolle über seine Identität. Wenn sich der Anbieter aus irgendeinem Grund entscheidet, meinen Account zu löschen, dann sind alle Dienste weg, für die ich den Single-Single-on nutze. Zum anderen kann ich aber auch nicht einfach freiwillig gehen und meine Daten auf einen anderen Account übertragen – habe ich einmal mehrere Services mit einem dieser Dienste verbunden, komme ich nicht mehr einfach raus. Ein großes Problem ist zudem der zentrale Speicher, auf dem meine Daten liegen. Der ist für Hacker ein einfacheres Ziel als dezentrale Infrastrukturen. Vielleicht kann ein Smartphone-Nutzer sein Endgerät nicht so stark absichern wie ein großer Cloud-Anbieter. Aber für einen Hacker ist es weitaus aufwendiger und unattraktiver, unzählige Mobiltelefone anzugreifen als einen einzigen Cloud-Server. Ein letzter großer Nachteil von Single-Sign-on ist die Korrelation von Daten, die sozusagen gläserne Kunden schafft. Loggt sich ein User während der Arbeitszeit bei einer Single-Börse ein, weiß der Anbieter der Identität darüber Bescheid.
Also lieber die klassische Variante ...
Ja, generell gebe ich lieber meine E-Mail-Adresse ein, setze dann aber zusätzlich auf Zwei-Faktor-Authentifizierung. Aber auch die ist nicht immer nutzerfreundlich, weil ein einheitlicher Standard fehlt. Da gibt es Authenticator-Lösungen, SMS-PINs oder Foto-TANs. Heißt: Allein für Zwei-Faktor-Authentifizierung brauche ich wieder fünf verschiedene Apps. Hier würde die Self-Sovereign Identity Abhilfe schaffen: Für die Authentifizierung wäre dann nur noch eine mobile App notwendig.
Die Self-Sovereign Identity möchte eine dezentrale digitale Identität. Wie funktioniert dieser Ansatz genau?
Unsere Übersetzung für SSI lautet: selbstbestimmte Identität. Die könnten neben Menschen auch Maschinen und Unternehmen haben. Aber schauen wir mal auf die natürliche Person: Auf deren Smartphone sind beim SSI-Konzept viele verschiedene Identitätsattribute gespeichert – Name, Vorname, Adresse, Alter, aber eben auch Bonitätsinformationen, Zugangscodes und alle möglichen Formen von Ausweisen. Die einzelnen Attribute kommen von verschiedenen Ausstellern und gelten als „Verified Credentials“. Die Bundesdruckerei würde etwa eine mobile Identität (eID) fürs Smartphone ausstellen, diese mit ihrem Private Key unterschreiben und damit verifizieren. Zugleich würde sie auf einem Distributed Ledger, einer Blockchain-Infrastruktur, den passenden Public Key hinterlegen, um den Ausweis für andere überprüfbar zu machen. Will die Person also online ein Konto eröffnen, sendet sie der Bank ihre auf dem Smartphone gespeicherte eID, um ihre digitale Identität zu bestätigen. Die Bank greift jetzt auf die Blockchain-Infrastruktur zu und gleicht ab, ob sich hier der richtige Public Key der Bundesdruckerei befindet. Außerdem checkt sie die Widerrufsdatei. Die stammt ebenfalls vom Aussteller und zeigt an, ob dieser die eID vielleicht widerrufen hat. Ist der Abgleich erfolgreich, steht der Kontoeröffnung nichts mehr im Weg.
Aber besteht da nicht das Korrelationsproblem à la Single-Sign-on? Sieht die Bundesdruckerei bei der Überprüfung nicht, dass der Nutzer ein Konto eröffnen will?
Nein, denn sie hat ja ihren Public Key sowie die Widerrufsdatei vorab in der Blockchain gespeichert. Die Bank muss also nicht bei der Bundesdruckerei nachfragen, ob die Identität des Nutzers gesichert ist. Sie schaut einfach in die Blockchain-Infrastruktur. Der Aussteller erfährt also nicht, wie man den Ausweis verwendet. Dafür kann der Nutzer jederzeit überprüfen, an wen er welche Daten zu welcher Zeit gesendet hat.
Sie sind Projektleiter von IDunion, einem Konsortium von Unternehmen und Institutionen, das ein SSI-Ökosystem aufbaut. Was verbirgt sich dahinter?
Unser Konsortium bietet eine ganze Menge von Anwendungsfällen. Da geht es nicht nur um Identitäten von Personen, sondern zusätzlich um die von Institutionen, Unternehmen und Dingen. Deswegen haben wir den Begriff Ökosystem gewählt – viele Anwendungsfälle für ganz verschiedene Identitätsträger. Und der Begriff passt auch aus einem anderen Grund: Wir sehen hier sozusagen das Übergreifende. Auf dem Personalausweis ist eine feste Anzahl von Identitätsattributen gespeichert. Im SSI-Kontext kann ich alles, was eine Person auszeichnet, als Identitätsattribut vergeben – selbst einen Zugang zum Auto. Das heißt: Es gibt unfassbar viele Anwendungsfälle für Identitätsprüfungen, nicht zuletzt weil sich verschiedene Identitätsattribute kombinieren lassen. Teilweise wissen wir heute noch gar nicht, welche Use Cases es geben kann. Jeder, der unserem genossenschaftlich organisierten Ökosystem beitritt, könnte seinen eigenen bauen.
Was wären denn konkrete Anwendungsfälle?
Komplexere Use Cases gehen in Richtung KYC (Know your Customer). Dabei widmen wir uns der Frage, wie sich ein Kunde geldwäschegesetzkonform bei einer Bank identifizieren kann, indem er ihr verifizierte Nachweise seiner Stamm-Bank sendet. Zudem arbeiten wir gerade an einer Lösung für die Zugangsberechtigung zu Firmengebäuden. Für diese setzen Unternehmen ja meist NFC-Karten ein, deren Verwaltung sehr komplex ist. Über SSI könnte man feingranular steuern, wer wann ein Gebäude oder einen Raum betreten darf. Hier zeigt sich, dass die Self-Sovereign Identity sogar in die physische Welt hineinwirkt.
Helge Michael ist Programm Leiter im Main Incubator, der Forschungs- und Entwicklungseinheit der Commerzbank. Seine Schwerpunkte liegen auf den Themen digitale Plattformen, Blockchain, Krypto-Assets und digitale Identitäten.
Vor 3 Jahren hat er im Main Incubator, der Forschungs- und Entwicklungseinheit der Commerzbank, das Identitätsprojekt "Lissi" initiiert, aus dem sich in den vergangenen Monaten das Projekt IDunion entwickelt hat. Dieses Projekt verfolgt das Ziel, ein dezentrales Ökosystem für Identitäten aufzubauen, gefördert vom BMWi. Vor seiner Tätigkeit im Main Incubator war Helge Michael sieben Jahre in der Commerzbank im Corporate Development M&A tätig.
Wie sieht es im E-Government-Bereich aus?
Wir setzen gerade ein Projekt mit dem nordrhein-westfälischen Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie um. Im Prototyp geht es einerseits darum, sich gegenüber dem Servicekonto NRW mit einem Verified Credential auf dem Smartphone zu authentifizieren, um dort Nachweise zu beantragen. Andererseits soll man die öffentlichen Nachweise dann für weitere SSI-Services nutzen können. Ich will beispielsweise einen Fischereiausweis beantragen und weise mich gegenüber der Stadt Köln online mit dem Smartphone aus. Nach erfolgreicher Überprüfung stellt sie mir das gewünschte Dokument wiederum als Verified Credential zur Verfügung, das ich jederzeit auf meinem Smartphone dabeihaben kann und das elektronisch verifizierbar ist. Spannend hierbei ist übrigens, dass viele solcher Nachweise eine echte Aufwertung erfahren. Denn normalerweise sind viele Nachweise nur ein Blatt Papier mit Stempel und Unterschrift – also leicht zu fälschen. Durch IDunion und SSI wird daraus ein sicherer Nachweis.
Es gibt ja eine Reihe anderer SSI-Projekte. Was macht IDunion so besonders?
Wir wollen eine Plattform für echte Zusammenarbeit. Denn SSI kann sich nur durchsetzen, wenn viele eine Lösung gemeinsam vorantreiben. Erst wenn verschiedene Unternehmen und Institutionen kooperieren, sich auf einen Standard einigen und Use Cases miteinander kombinieren, kommt die Self-Sovereign Identity voran. Kämpft jeder für sich, haben wir keine Chance gegen die großen amerikanischen „Zentral-Anbieter“. Diese würden uns dann in wenigen Jahren beim Thema digitale Identität überrollen.
Das klingt ein wenig, als sei SSI eine typisch europäische Lösung ...
Nein, SSI ist ein weltweites Thema und gerade Kanada hat sich sehr verdient gemacht. British Columbia etwa ist ein absoluter Vorreiter, was SSI beim E-Government betrifft. Tatsächlich aber gibt es mittlerweile viele Projekte in Europa. Und ich glaube, die amerikanischen Kollegen beneiden uns sogar ein Stück weit – weil die Europäer so viel Wert auf Datenschutz und Datensouveränität legen. Das Mindset der Nutzer eröffnet bei uns größere Möglichkeiten für SSI als in den USA, wo noch niemand etwas von eIDAS gehört hat. Meiner Meinung nach stehen die Chancen gut, dass Europa führend bei der Self-Sovereign Identity wird. Hier sind viele enge Cluster entstanden, die EU-Kommission treibt das European Self-Sovereign Identity Framework (ESSIF) voran. Und die deutschen Schaufensterprojekte des Bundeswirtschaftsministeriums, zu denen IDunion gehört, haben hierzulande eine Initialzündung gegeben.
ESSIF ist ja auch eine Art SSI-Ökosystem. Kann denn IDunion daneben überhaupt langfristig weiterexistieren?
Ja, das ist genau die Idee. Es soll mehrere Netzwerke geben. Entscheidend ist einzig die Interoperabilität. Einzelne Identitätsnetzwerke aus verschiedenen Ländern müssen in der Lage sein, Informationen auszutauschen. Klar kann man irgendwann vielleicht darüber nachdenken, ob sich mehrere Ökosysteme aus Kostengründen zu einem zusammenschließen. Aber ich könnte bestens mit Dezentralität leben – passt doch.
