Berlin/virtuell. In einer zunehmend digitalisierten Welt steigt auch die Anzahl an Anwendungsfällen, die in digitalen Räumen stattfinden und einer Authentifizierung bedürfen. Das Resultat sind in der Praxis verschiedene, parallel existierende digitale Identitäten, die beispielsweise von privatwirtschaftlichen Diensten wie Facebook, Apple, Google und Co. ausgestellt und aus der externen Sicht kaum überprüft werden können. Einen Lösungsansatz für mehr Sicherheit und Datenschutz würden Self Sovereign Identities (SSI) bieten.  

Was ist SSI?

SSI ist ein digitales Identifikationsökosystem, welches in Anwendungen im Bedarfsfall eine fehlende Identifikationsschicht bereitstellen kann. Durch die Implementierung von SSI soll ermöglicht werden, selbstbestimmt zu entscheiden, welche Diensteanbieter verifizierte Daten, sogenannte Verifiable Credentials, erhalten. Diese Verifiable Credentials werden ausschließlich bei dem*r Inhaber*in gespeichert. SSI basierte Credentials stellen nicht nur Beglaubigungen für Personen, sondern können auch bei Maschinen und Organisationen zum Einsatz kommen. Darüber hinaus lässt sich SSI als ein Ökosystem verstehen, welches Fabiane Völter vom Teilinstitut Wirtschaftsinformatik des Fraunhofer FIT, Fraunhofer Blockchain-Labor, in ihrem Impuls beleuchtete. Sie ordnete die Idee der SSI aus einer Perspektive der Wirtschaftsinformatik und der Wissenschaft ein und bewertete aktuelle Debatten rund um SSI, wie zum Beispiel aktuelle Sicherheitslücken.  

Das Ziel einer flächendeckenden SSI-Implementierung bedeute zunächst den Aufbau eines Ökosystems, welches sich durch das Trust Triangle (siehe Schaubild) veranschaulichen lässt. Die beteiligten drei Akteur*innen sind: 1. die Aussteller*innen, 2. der*die Inhaber*in und 3. die Überprüfer*innen (verifizierende Parteien). Die Aussteller*innen können zum Beispiel Ämter, Schulen oder Prüforganisationen sein; sie verfassen die Verifiable Credentials, welche dann ausschließlich bei dem*r Inhaber*in in einer SSI-Wallet gespeichert würden. Von dort aus können sie von dem*r Inhaber*in selbstbestimmt mit den verifizierenden Parteien geteilt werden. Dabei können die Verifiable Credentials Nachweise in verschiedensten Formen sein, beispielsweise Bescheinigungen, Befugnisse oder Mitgliedsausweise. Die Verifizierung dieser Nachweise erfolge automatisch und sei ein rein digitaler Prozess. Überwacht werde das ganze SSI Ökosystem vom Verifiable Data Registry (VDR), welches auf Basis einer Blockchain-Infrastruktur als Gültigkeitsregister fungiere. Im VDR können die Credentials auf Ursprung und Echtheit überprüft werden, ohne dass die sensiblen Daten erfasst werden müssen. Datenschutz und Wahrung der Privatsphäre seien in diesem Schritt also by Design gegeben. 

Nutzen könne man die SSI basierten Credentials zum Beispiel im Rahmen des Lieferkettengesetzes, so Völter. Die notwendigen Zertifikate müssten dann nicht mehr in Papierform nachgewiesen werden. Man erhoffe sich durch SSIs, Prozesse zu digitalisieren und kostengünstiger zu gestalten. Ein anderer Anwendungsbereich liege im Bereich der Medizintechnik: Durch SSI-basierte Credentials könnte man ohne Kenntnisse über die einzelnen involvierten Personen dennoch sicherstellen, dass ausschließlich zertifizierte Personen Wartungen und Reparaturen vorgenommen haben.  

Diese und weitere vielfältige Anwendungsmöglichkeiten würden einen Mehrwert von SSIbasierten Credentials gegenüber dem bisher auf die Identifikation von Personen limitierten Anwendungsfall des elektronischen Personalausweis darstellen. Dieser sei eher eine Übertragung analoger Interaktionsmuster ins Digitale, findet Fabiane Völter. SSI hingegen biete ein viel breiteres Spektrum an verifizierbaren Daten. „Die Idee hinter SSI ist es, ein Ökosystem zu schaffen, bei dem unterschiedliche Zertifikate und Nachweise übertragen werden können und das nicht nur auf einen Anwendungsfall zu reduzieren“, fasste sie zusammen 

Aktuelle Debatten: Sicherheitslücken und Blockchain 

Allerdings räumte Völter ein, dass es noch einige technische Sicherheitslücken bezüglich SSI gebe. Zu den bestehenden Herausforderungen würden unter anderem „Man in the Middle“-Attacken gehören, bei denen ein böswilliger Angreifer sich als verifizierende Partei ausgebe und so Daten abfange. Es könne keine produktiven Implementierungen geben, bevor dieses Problem nicht gelöst sei. Allerdings hätten schon einige Wallets erste Lösungsansätze; zum Beispiel könnte man die Identitäten der verifizierenden Parteien im VDR festhalten und diese Identität dann vor dem Teilen der Credentials abfragen. Eine weitere Schwachstelle sei aktuell die sichere Verwaltung des kryptografischen Schlüsselmaterials. Dieses sollte nicht lediglich in einer App hinterlegt werden, sondern in einem Modul, auf das von anderen Anwendungen nicht zugegriffen werden könne. Nur so könne gewährleistet werden, dass diese Schlüssel nicht kompromittiert würden. 

Außerdem bestehe eine Debatte um den Technologiebaustein Blockchain, welcher im Kontext der DSGVO eine große Herausforderung darstellt. Ziel muss es sein, die Speicherung personenbezogener Daten auf öffentlichen Blockchains zu verhindern, da einerseits Daten auf Blockchains unveränderlich sind, wodurch das Recht auf Löschung (Art. 17 DSGVO) by Design ausgeschlossen wäre und zum anderen die Daten by Design öffentlich einsehbar wären. Hoffnung auf diesem Gebiet wird durch Forscher*innen geboten, die sich mit den komplexen Verfahren rund um Zero-Knowledge-Proofs und der Möglichkeit auseinandersetzen, dadurch die Herausforderungen rund um den Personenbezug von Daten technisch zu lösen. Das Konzept SSI ließe sich, so Völter, auch ohne Blockchains umsetzen; aktuell setze man jedoch auf Blockchains, weil deren Dezentralität für eine hohe Verfügbarkeit, Vertrauenswürdigkeit und Ausfallsicherheit sorge. Ein Kritikpunkt bezüglich Blockchains sei auch der hohe Ressourcenverbrauch, wobei Völter einräumt, dass dezentrale Infrastrukturen nie so effizient wie zentrale Infrastrukturen sein können und der Ressourcenverbrauch stets vom Konsensmechanismus der Blockchain abhänge. 

Wirtschaftliche Perspektive auf SSI: IDunion 

Eine erfolgreiche Implementierung im Bereich der digitalen Identitäten stellte Helge Michael, Head of IDunion consortium bei Main Incubator, vor. Vorteile und Gründe für den Ausbau des SSIÖkosystems sieht Michael zum einen in der Finanzindustrie, wobei vor allem der Anwendungsbereich des Online-Bankings interessant sei. Des Weiteren möchte IDunion den Marktanteil der digitalen Identitätssysteme dezentral gestalten und so eine zu große Abhängigkeit von großen Firmen wie Facebook, Apple, Google und Co. verhindern: Aus geopolitischer Perspektive riskieren europäische Staaten und Unternehmen eine große Abhängigkeit, wenn sie auf eine Infrastruktur setzten, die nur von einem einzigen Staat angeboten wird, so Michael. Zusätzlich wären digitale Identitätssysteme für Unternehmen in Deutschland als Industrienation sinnvoll, weil die Implementierung solcher Systeme Unternehmen modernisiere. Dies sei teilweise sogar notwendig, da es in der Wirtschaft einen Wandel zu mehr autonomen Gegenständen gibt. Ein gemeinsamer Prototyp von IDunion und Daimler Trucks veranschauliche dies: Die Daimler Trucks zahlen autonom an einer Ladestation, weswegen der jeweilige LKW identifiziert und verifiziert werden müsse, sodass der Zahlvorgang bei der Bank identifiziert werden könne. In solchen Prozessketten ist es von Vorteil, Dinge sauber zu identifizieren, über Unternehmen und natürliche Personen hinweg, folgerte Michael. 

Die Zukunft von SSI in Deutschland und in der EU 

Das wachsende Potential von digitalen Identitätssystemen werde vermehrt erkannt, weswegen es in Deutschland in diesem Bereich vier große Schaufensterprojekte des Bundesministeriums für Wirtschaft und Klima (BMWK) mit Beteiligung von IDeal, NCE, SDIKA und IDunion gebe. Das Ziel dahinter bestehe darin, neue Technologien zu entwickeln und Anwendungsfälle darauf umzusetzen. IDunion beabsichtige vor allem die Errichtung eines digitalen Ökosystems für selbstbestimmte Identitäten. Um die Etablierung dieses Ökosystems zu begünstigen, setze IDunion bei ihrer Wallet auf ein Framework aus OpenSourceSoftware, worauf sich dann eigene Software bauen ließe, sodass jede*r eine eigene Wallet programmieren könne. Momentan werde an 35 Anwendungsbereichen gearbeitet, welche aus verschiedensten Sektoren stammen, hier ein beispielhafter Ausschnitt:  

  • eGovernment/Public Sector: Bescheinigungen (z. B. Angelschein) 
  • Bildung: Studienleistungen, Zeugnisse, Studierendenausweis
  • Finanzindustrie: qualifizierte elektronische Signaturen, Bankdaten 
  • Industrie/IoT: Lieferketten, Zertifikate, Produkt-ID 
  • eCommerce/Mobilität: Smart Checkout, Versandadressen, Connected Travel (mit einer einheitlichen Travel-ID müsste man sich bei einem anderen Transportmittel nicht neu anmelden)  
  • IAM Identity Access: physikalischer Zugang (z. B. Lösung für Besucher*innen in Firmen oder auch Hotels) 
  • eHealth: Covidpass 2.0, Telemedizin 

Die EU Digital Identity Wallet stellt als sogenannter Large Scale Pilot der Europäischen Kommission einen Europäischen Standard für SSI in Aussicht. Festgelegt seien die Rahmenbedingungen in der Verordnung über elektronische Identifizierung und Vertrauensdienste (EIDAS). Darin sei der dezentrale Ansatz bestimmt, der alle Mitgliedstaaten dazu verpflichte, eine Wallet anhand gemeinsamer Standards auszustellen. So soll es allen EU-Bürger*innen ermöglicht werden, sich zu identifizieren und verifizierbare Nachweise zu liefern. Aber auch die Autorisierung von Banktransaktionen und andere Anwendungen im Rahmen der digitalen Identitätssysteme seien vorgesehen. Michaels Bewertung: „Die EU Digital Identity Wallet ist eine sehr große Lösung, vergleichbar mit der Einführung des Euros, aber eben auch ein sehr großes Vorhaben.“ Demnächst sollen im Oktober 2022 die Standards für die Wallets festgelegt werden, während parallel große Pilotprojekte ausgeschrieben seien, an denen immer drei Mitgliedsstaaten gemeinsam bis 2025 Anwendungen erproben sollen. 

Die Beiträge der Referent*innen lieferten neben praktischen Demonstrationen auch kontroversen Diskussionsstoff zu aktuellen Themen, die mit dem Konzept SSI verknüpft sind. Die Frage nach der Nachhaltigkeit digitaler Lösungen, aber auch Themen wie europäische Souveränität im Digitalen, Interoperabilität by Design und gemeinwohlorientierte Datenökonomie durch Selbstbestimmung wurden aus der Perspektive von Politik, Verwaltung, Wirtschaft und Zivilgesellschaft diskutiert. Die AG Datendemokratie konnte damit einen spannenden Sitzungsvormittag bieten und zahlreiche Anknüpfungspunkte für künftige Sitzungen schaffen. 

AG Datendemokratie

Nadja Kwaß-Benkow
Co-Leiterin AG Datendemokratie
Materna Information & Communication SE

Dr. Christian Kiehle
Co-Leiter AG Datendemokratie
msg systems ag