Identity Economy: Ein kurzer Wochenrückblick #81

Von Ralf Keuper

Anbei einige Beiträge, die mir in dieser Woche besonders ins Auge gefallen sind:

Jumio startet Selfie-Authentifizierung

Smart City – kritische Perspektiven auf die Digitalisierung in Städten

Großer Schritt für Verimi: BaFin erteilt ZAG-Lizenz für Akquisitions- und Finanztransfergeschäft

Jumio grows sales 70 percent in 2018

Philosoph Precht warnt vor Gesinnungsdiktatur

Tech-Konzerne sollen User für Daten­nutzung bezahlen

EU legt biometrische Datentöpfe zusammen

Diskussionspapier der SPD-Vorsitzenden zur „Datenteilungspflicht“

Axonius raises $13 million to help businesses track and secure their connected devices

techUK publishes Digital Identity White Paper

My identity is my money

Kagame makes case for African digital identity

CULedger Reaches Series A Funding Goal of $10 Million for Its Credit Union-Focused Distributed Ledger Platform

Deeper into Digital Identity – Enrolment

Veröffentlicht unter Wochenrückblick | Hinterlasse einen Kommentar

Tech Giants Making Play For Crypto & Blockchain

Veröffentlicht unter Blockchain / Distributed Ledger Technology | Hinterlasse einen Kommentar

Prinzipien für faire Ökosysteme Digitaler Identitäten

Von Ralf Keuper

Wie können Ökosysteme digitaler Identitäten so gestaltet werden, dass alle Beteiligten (Nutzer, Unternehmen, Behörden, Gesellschaft) davon profitieren? Dieser Frage geht Pam Dixon in Digital Identity Ecosystems nach.

Identity Governance

Ohne entsprechende Regelwerke werde sich das nötige Vertrauen bei den Beteiligten nicht einstellen.

When ID systems are created and allowed to operate without underlying data protection law and policy in place prior to implementation, case studies show that risks mount quickly — as does “mission creep” and other permutations that often have meaningful negative impacts for people and society. 

Ein solches Regelwerk könnte das Fair Information Practices (FIP) Model sein, das bereits im Jahr 1973 formuliert und seitdem mehrfach überarbeitet wurde (Vgl. dazu: Fair Information Practices: A Basic History).

Die Prinzipien, die seinerzeit definiert wurden:

  1. There must be no personal data record-keeping systems whose very existence is secret.
  2. There must be a way for a person to find out what information about the person is in a record and how it is used.
  3. There must be a way for a person to prevent information about the person that was obtained for one purpose from being used or made available for other purposes without the person’s consent.
  4. There must be a way for a person to correct or amend a record of identifiable information about the person.
  5. Any organization creating, maintaining, using, or disseminating records of identifiable personal data must assure the reliability of the data for their intended use and must take precautions to prevent misuses of the data.

Zu dem Zeitpunkt waren staatliche Institutionen die einzigen, die in der Lage waren, vertrauenswürdige Identitäten bereitzustellen. Mit der fortschreitenden Digitalisierung und Vernetzung hat sich das grundlegend geändert:

The emerging data world is one of rapid data transformation and data fusion, and it has changed and expanded how traditional identity operates. While government-issued identity credentials and ecosystems still exist, they are no longer the only important identity ecosystems. Multiple identity ecosystems have now emerged, with more still emerging, each employing different digital architectures and uses. These systems frequently overlap, and may vary in size from global in scope to micro-identity systems.3 

Über die Wirksamkeit der FIP gegen die Meinungen auseinander. Nötig sei die Anpassung an die neuen Herausforderungen wie der Künstlichen Intelligenz und Big Data (Vgl. dazu: The Inadequate, Invaluable Fair Information Practices & Fair Information Practices Reinterpreteted). Dixon selber schlägt ein FIPSs plus governance Model vor. Die bisherigen ID-Systeme, wie Adhaar, zeigen, wie groß der Bedarf an einem übergreifenden Regelwerk ist:

Laws regarding identity ecosystems that do not include attention to data protection, privacy, and other concerns may simply mandate the creation of a system without providing a full context for fair and just use of that system. Where this has occurred, there are frequent problems, as seen in India’s Aadhaar ecosystem.

Weiterhin:

As the Aadhaar become used more widely, Aadhaar also went from being a voluntary system to a mandatory system. Three factors: the lack of stakeholder input, mission creep, and especially an eventually a loss of user trust in the system, are what truly caused the curtailment of Aadhaar.18 The lack of policy and governance allowed these problems to persist without being addressed.

Identität als öffentliches Gut

Für besonders geeignet, den Wert vertrauenswürdiger Ökosysteme digitaler Identitäten zu veranschaulichen und zu belegen, hält Dixon die Ostrom Principles, benannt nach Elinor Ostrom. Für ihr Hauptwerk Governing the Commons. The Evolution of Institutions of collective Action erhielt sie im Jahr 2009 den Nobelpreis für Wirtschaftswissenschaften. In der Würdigung der Königlich Schwedischen Akademie der Wissenschaften hieß es, Ostrom habe gezeigt, „wie gemeinschaftliches Eigentum von Nutzerorganisationen erfolgreich verwaltet werden kann“ (Wikipedia).

Die acht Ostrom-Design-Prinzipien:

  1. Grenzen: Es existieren klare und lokal akzeptierte Grenzen zwischen legitimen Nutzern und Nicht-Nutzungsberechtigten. Es existieren klare Grenzen zwischen einem spezifischen Gemeinressourcensystem und einem größeren sozio-ökologischen System.
  2. Kongruenz: Die Regeln für die Aneignung und Reproduktion einer Ressource entsprechen den örtlichen und den kulturellen Bedingungen. Aneignungs- und Bereitstellungsregeln sind aufeinander abgestimmt; die Verteilung der Kosten unter den Nutzern ist proportional zur Verteilung des Nutzens.
  3. Gemeinschaftliche Entscheidungen: Die meisten Personen, die von einem Ressourcensystem betroffen sind, können an Entscheidungen zur Bestimmung und Änderung der Nutzungsregeln teilnehmen (auch wenn viele diese Möglichkeit nicht wahrnehmen).
  4. Monitoring der Nutzer und der Ressource: Es muss ausreichend Kontrolle über Ressourcen geben, um Regelverstößen vorbeugen zu können. Personen, die mit der Überwachung der Ressource und deren Aneignung betraut sind, müssen selbst Nutzer oder den Nutzern rechenschaftspflichtig sein.
  5. Abgestufte Sanktionen: Verhängte Sanktionen sollen in einem vernünftigen Verhältnis zum verursachten Problem stehen. Die Bestrafung von Regelverletzungen beginnt auf niedrigem Niveau und verschärft sich, wenn Nutzer eine Regel mehrfach verletzen.
  6. Konfliktlösungsmechanismen: Konfliktlösungsmechanismen müssen schnell, günstig und direkt sein. Es gibt lokale Räume für die Lösung von Konflikten zwischen Nutzern sowie zwischen Nutzern und Behörden [z. B. Mediation].
  7. Anerkennung: Es ist ein Mindestmaß staatlicher Anerkennung des Rechtes der Nutzer erforderlich, ihre eigenen Regeln zu bestimmen.
  8. Eingebettete Institutionen (für große Ressourcensysteme): Wenn eine Gemeinressource eng mit einem großen Ressourcensystem verbunden ist, sind Governance-Strukturen auf mehreren Ebenen miteinander „verschachtelt“ (Polyzentrische Governance)

Im Sinne der Ostrom-Prinzipien sind digitale Identitäten Gemeinresssourcen:

Identity — particularly digital identity — is one such common pool resource. The issue of who owns identity is particularly contentious, and we will not delve into that topic here. Suffice it to note that there is much disagreement about who owns identity. Each stakeholder — individuals, governments, corporations, and so forth, have a different answer.  … If we think of data — and identity data — as a shared resource, one in which multiple stakeholders have involvement with and an interest in, then we have a pathway to govern those systems as shared resource systems. It is in this context that Elinor Ostrom’s work is of central importance. 

In der Kombination aus Prinzipien, wie den Fair Information Principles und dem Ostrom-Governance-Modell sieht der World Privacy Forum, deren Executive Director Pam Dixon ist, das geeignetste Modell für den Aufbau fairer Ökosysteme digitaler Identitäten:

We see a system of baseline consensus principles such as FIPs, plus the addition of Ostrom’s principles of governance as the key to facilitating the kinds of digital identity ecosystem governance that, properly run, will foster and keep trust. The development of specific governance principles will need to be accomplished by stakeholders in a fair way that is trusted and provides for non-dominance and due process. Inward-looking self-regulation is a far cry from what we are describing he

In Deutschland und Europa wäre zu fragen, inwieweit das Genossenschaftsmodell den geschilderten Anforderungen genügen kann. Denkbar wären Datengenossenchaften.

Veröffentlicht unter Digitale Identitäten | Hinterlasse einen Kommentar

Davos 2019 – Press Conference – The Value of Digital Identity for the Global Economy and Society

Veröffentlicht unter Digitale Identitäten | Hinterlasse einen Kommentar

Identity Economy: Ein kurzer Wochenrückblick #80

Von Ralf Keuper

Anbei einige Beiträge, die mir in dieser Woche besonders ins Auge gefallen sind:

Digital Identity Ecosystems

Gartner predicts increase in biometric authentication and SaaS-Delivered IAM

Open Banking Monitor (OBM) 2019: let’s take a moment to make up the rankings and identify potential new “Masters in Openness”

“Vielleicht wird in Zukunft auch mit Gewalt um Daten gekämpft”

Nigerians to pay for e-ID card starting from 2022

Blockchain-Based Digital ID Systems Are Increasingly Finding Real-World Use

BioSig-ID Partners with Mitek to Enable Digital Identity Proofing for Fast and Secure Gesture Biometric Enrollment

ID.me Reaches New Milestone of 10 Million Users

How to accelerate digital identity in the UK

To protect users’ privacy, iOS 12.2 will limit Web apps’ access to iPhone’s sensors

The Art of Digital Identity

Vontobel: Börsengänge für alle dank Krypto?

Der Blockchain-Hype – braucht es “Ockhams Rasiermesser”?

EU agrees on interoperability framework for security systems

Was Bruce Schneier von Blockchain, IoT und Quantencomputern hält

Blockchain ETL: Wie Google die Bitcoin Blockchain durchsuchbar macht

Nur noch der Staat kann den Tech-Giganten Paroli bieten

Veröffentlicht unter Wochenrückblick | Hinterlasse einen Kommentar

Wie Signicat und Rabobank bei Digitalen Identitäten kooperieren

Von Ralf Keuper

Kooperationen zwischen Fintechs und Banken im Bereich Digitale Identitäten, wie die zwischen Signicat und der niederländischen Rabobank, sind noch relativ selten (Vgl. dazu: Rabobank und Signicat lancieren Digital Identity Service). In einem Gespräch mit The Banker erläutern Daan van den Eshof von der Rabobank und John Erik Setsaas von Signicat ihre bisherigen Erfahrungen.

Die große Herausforderung im Internet bestehe noch immer darin, so Setsaas, festzustellen, ob es sich bei dem Nutzer am anderen Ende tatsächlich um einen Menschen oder aber um einen Hund handele. An verifizierten Identitäten führe daher – bei bestimmten Geschäften zumindest – kein Weg vorbei. Die Nutzer wollen wiederverwendbare Identitäten, die nur so viel Informationen nach außen geben, wie für den Geschäftsvorfall nötig. Als Beispiel bringt Setsaas die BankID in Norwegen. Mittels dieser von den Banken garantierten ID könnten die Nutzer ihre diversen Bank- und andere Geschäfte erledigen, was im Schnitt zwei- dreimal pro Woche der Fall sei.

Auf die Frage, weshalb die Rabobank sich am Markt als Identity Service Provider positioniert habe, antwortete van den Eshof, dass man für die Kunden relevant bleiben wolle. Die Rabobank bringe in die Kooperation mit Signicat das Vertrauen, das sie als Bank genießt, mit, während Signicat die nötige Expertise und Technologie vorweisen könne. Der große Vorteil bestehe darin, dass die Rabobank damit das B2B2C-Geschäft bedienen und den Kunden neue Services bieten könne. Zwar seien die Geschwindigkeiten zwischen einem Fintech und einer regulierten Bank verschieden und damit eine Herausforderungen in der täglichen Arbeit; ausschlaggebend sei in diesem Fall jedoch der schnelle Zugang zu einem neuen Markt.

Veröffentlicht unter Data Banking, Digitale Identitäten | Hinterlasse einen Kommentar

Die Gesetze digitaler Identitäten – aktualisiert

Von Ralf Keuper

Im Jahr 2005 verfasste Microsofts Chef Architekt für Identitätssysteme, Kim Cameron, seinen Beitrag The Laws of Identity. Cameron stellte darin die Frage, warum es so schwierig ist, einen Identity Layer für das Internet zu bauen, wobei er die Frage umgehend selbst beantwortete:

Why is it so hard to create an identity layer for the Internet? Mainly because there is little agreement on what it should be and how it should be run. This lack of agreement arises because digital identity is related to context, and the Internet, while being a single technical framework, is experienced through a thousand kinds of content in at least as many different contexts – all of which flourish on top of that underlying framework. The players involved in any one of these contexts want to control digital identity as it impacts them, in many cases wanting to prevent spillover from their context to any other.

Mittlerweile, so Phil Windley in seinem aktuellen Beitrag The Laws of Identity stehe eine Lösung zur Verfügung, die alle Anforderungen, die Cameron einst definierte, erfüllt: Sovrin.

Sovrin sei das Identity Metasystem, von dem Cameron sprach:

.. Sovrin presents an identity metasystem that anyone can use for any purpose and integrate with any tool or identity system they already use.
Beyond credentials, Sovrin’s architecture supports independent software agents to hold and process credentials as well as to perform identity transactions on the identity owner’s behalf. These agents interoperate directly with each other as peers. Sovrin specifies the protocols that agents use so that agents from different vendors can work together and to support substitutability.

Der eigentliche Clou, die wesentliche Blickveränderung, die mit Sovrin einhergehen, sei, dass die Nutzer keine Schlüssel und Passwörter managen würden, sondern Beziehungen und beglaubigte Aussagen hinsichtlich ihrer Person. Das Management der Schlüssel und Passwörter verlaufe unterhalb der Benutzeroberfläche. Die Nutzer agieren nicht mehr mit Passwörtern und Benutzernamen, sondern mit digitalen Repräsentationen derselben Dinge, die sie schon heute in der physischen Welt für die Identifizierung verwenden.

People establish Sovrin relationships within contexts they already understand (e.g. their bank’s website or their employer’s HR system). They store those relationships in an app that functions like an address book on their phone. The app also stores credentials, another familiar item rendered digitally in the app. Because these artifacts and the act of exchanging credentials is analogous to what people do in their every day lives, the process of doing so with Sovrin is familiar as well.

Durch die Verwendung unidirektionaler privater Decentralized Identifier (DIDs) würden die Anforderungen der Datenschutzgrundverordnung (DSGVO/GDPR) erfüllt:

Private DIDs are not written to the ledger, but rather maintained in pairwise relationships between parties in peer-to-peer agents that are under the control of identity owners. … Private DIDs are GDPR compatible since they are not shared on an immutable ledger.

Auch sei Sovrin kein Identity Provider, sondern eine Sammlung offener Protokolle sowie ein Netzwerk, das es Identity Providern erlaube, jedem Anfragenden zu jedem Zweck beglaubigte Aussagen zu einer Person (oder später auch zu einem Objekt) machen zu können.

Besides the control that credential exchange provides identity owners, people are not locked into a single provider for tools. They can choose from multiple, interoperable tools to use their Sovrin-based credentials. Sovrin is a public network that anyone can use. The network is architected to resist censorship that might deny people the control they need to use their digital credentials however they like.

Alles in allem, so Windley, sei Sovrin das Identiy Metasytem, das er seinerzeit beschrieben hatte.

Veröffentlicht unter Blockchain / Distributed Ledger Technology, Digitale Identitäten | Hinterlasse einen Kommentar

Canada’s trusted digital identity vision

Veröffentlicht unter Sonstiges | Hinterlasse einen Kommentar

Payments und Digitale Identitäten: Es wächst zusammen, was zusammen gehört

Von Ralf Keuper

Die Ausführung (mobiler) Zahlungen bringt für die Zahlungsdienstleister wie für die Kunden einige (Betrugs-)Risiken mit sich. Für Alastair Johnson ein Argument mehr dafür, dass Payments und Digitale Identitäten zusammen wachsen müssen (Vgl. dazu: 5 Reasons Why Payments And ID Need To Merge).

Johnson verweist u.a. auf die Kooperation zwischen Mastercard und Microsoft. Ziel der Kooperation ist es, den Nutzern die Kontrolle über ihre digitale Identität zu geben (Vgl. dazu: Mastercard und Microsoft planen gemeinsame Digital Identity – Lösung).

Über kurz oder lang, so Johnson, sei das aktuelle Zahlungssystem den Anforderungen der Kunden, der Regulierung und wie überhaupt des Marktes nicht mehr gewachsen. Die Lösung seien dezentrale Identity Provider. Idealerweise übernimmt der Provider die Überwachung der Compliance-Bestimmungen der verschiedenen Länder und Regionen. Darüber hinaus verfügt er über die nötige Skalierung. Damit werden non-Banks stärker als bisher in die Lage versetzt, Bankdienstleistungen im großen Stil anzubieten.

Als Beispiel für eine mehr oder weniger gelungene Umsetzung der Verschmelzung von Digitalen Identitäten und Payments nennt Johnson Alipay und WeChat (Vgl. dazu: Inside China’s Effort To Marry Digital ID With Mobile Payments). Das WeChat-Profil soll in China demnächst den Personalausweis ersetzen (Vgl. dazu: Wechat-Profil statt Personalausweis).

Für Payment Provider biete sich durch die Integration der Digitalen Identitäten in ihre Systeme die einmalige Chance, sich als zentrale Anlaufstelle, als Einstiegspunkt der Kunden für die Durchführung digitaler Transaktionen zu etablieren, wie beim Einchecken im Hotel.

Einen anderen, dezentraleren Ansatz als Mastercard/Microsoft und Alipay/WeChat verfolgen Barclaycard und Evernym (Vgl. dazu: Barclaycard und Evernym arbeiten gemeinsam an selbstverwalteten digitalen Identitäten).

Mit der Verschmelzung Digitaler Identitäten und Payments wird die Entwicklung m.E. nicht aufhören. Erst wenn es gelingt, Digitale Identitäten, Payments, E-Signaturen und Dokumentenmangement zusammen zu bringen, können die Digitalen Identitäten die Wirkung erzielen, die ihnen zugeschrieben wird.

Veröffentlicht unter Digitale Identitäten | Hinterlasse einen Kommentar

Trusted Digital Identity: making the leap into a digital future

Veröffentlicht unter Digitale Identitäten | Hinterlasse einen Kommentar