BigBrotherAwards 2018

Veröffentlicht unter Identity Economy, Internet der Dinge, Maschinendaten / M2M-Kommunikation, Personal Data | Hinterlasse einen Kommentar

Bericht von der Digital Finance FFM – Beyond Banking

Von Ralf Keuper

Vorgestern fand im Techquartier Frankfurt die Digital Finance FFM  – Beyond Banking statt. Dabei ging es um Digitale Identitäten, Authentifizierung und Vertrauensdienste – Themen, die in letzter Zeit verstärkt in der öffentlichen Berichterstattung auftauchen – genannt seien die Datenschutzgrundverordnung (DSGVO), die Login-Allianzen wie Verimi oder netID wie überhaupt die aktuelle Diskussion um den “Datenskandal” bei facebook. Insofern kann man den Organisatoren um Fintechcube und PwC ein glückliches Händchen bei der Themenwahl bescheinigen.

Höhepunkt des vormittags war sicherlich der FinSlam, bei dem sich die Identity-Startups Authada, BANKSapi, BehavioSec, Blockchain Helix, Idento.one und Joenesty präsentierten.

Von links nach rechts: BehahioSec, BANKSapi, Blockchain-Helix, Idento.one, Authada und Joenesty. Moderator Dr. Falko Brinkmann. Bild: fintechcube

Die Teilnehmer konnten online über die Gewinner abstimmen. Die meisten Stimmen konnte Authada auf sich vereinigen.

Am Nachmittag ging es dann im Experience Lab im nur wenige Meter entfernten PwC – Tower mit weiteren Vorträgen und der Design Challenge weiter.

Bei der Design Challenge wurden die Teilnehmer auf drei Gruppen verteilt, die einen bestimmten Anwendungsfall für Digitale Identitäten aus Nutzer- und Unternehmenssicht erarbeiteten. Bei einer der Gruppen fungierte ich in meiner Eigenschaft als Mitglied des Idento.one-Teams als Fachlicher Leiter/Berater.  Thema war die Personal Data Bank. Welche Vorteile könnten Nutzer und Unternehmen aus einer Bank ziehen, die ihre Daten ebenso behandelt wie Geld und andere Vermögenswerte?

Personal Data Bank_V2

 

Ein Teil der Gruppe beschäftigte sich mit der Nutzersicht, während der andere die Perspektive der Unternehmen einnahm. Welche Erwartungen muss eine Personal Data Bank erfüllen?

Die Ergebnisse wurden auf einem Whiteboard festbehalten und geclustert. Danach konnte die jeweils andere Gruppe die aus ihrer Sicht drei wichtigsten Cluster auswählen.

Für die Endnutzer waren das:

  • Datenqualität / Datensicherheit (Standardeinstellungen, Korrekturmöglichkeit meiner Daten)
  • Datenmonetarisierung / Datenmarktplätze (Wer zahlt bzw. gibt mir was für meine Daten?)
  • Verwaltung / Profile (Anonym, Bankkunde, Versicherungskunde, Energiekunde, Bürger ..)

Für die Unternehmen waren das:

  • Vertriebsunterstützung (Personal Data Bank stellt aussagekräftige Daten zur Verfügung, welche die Markteinschätzung, Segmentierung deutlich erleichtern)
  • Schnittstellensicherheit (OpenAPI, sichere Verbindung zwischen den Datenbanken)
  • Neue Geschäftsmodelle (Produkttests in Echtzeit, Kunden in die Produktentwicklung einbinden)

Daneben bestand in den Pausen wie auch zum Schluss die Möglichkeit, in lockerer Atmosphäre bei einem Getränk und/oder beim Essen miteinander ins Gespräch zu kommen und neue Kontakte zu knüpfen. Dazu noch das wunderschöne und angenehme Frühlingswetter sowie die Location.

Aus meiner Sicht eine sehr gelungene Veranstaltung, der sicherlich nicht nur ich  zahlreiche neue Kontakte und Anregungen verdanke.

Zuerst erschienen auf Bankstil

Veröffentlicht unter Digitale Identitäten, Identity Economy | Hinterlasse einen Kommentar

Identity Economy: Ein kurzer Wochenrückblick #36

Von Ralf Keuper

Anbei eine Aufstellung von Beiträgen, die mir in der vergangenen Woche besonders ins Auge gefallen sind:

Veröffentlicht unter Wochenrückblick | Hinterlasse einen Kommentar

Der monetäre Wert persönlicher Daten & MyData

Veröffentlicht unter Identity Economy, Personal Data | Hinterlasse einen Kommentar

“Das Thema digitale Identitäten hätte sich großartig über die paydirekt-Plattform .. lösen lassen” – Interview mit Dr. Andreas Windisch (asquared)

Dr. Andreas Windisch

Die strategische Bedeutung der Digitalen Identitäten ist in den letzten Monaten in den Fokus gerückt. Beispielhaft dafür ist der Start der Daten- bzw. Login-Allianzen Verimi und netID, von YES sowie von Anbietern blockchain-basierter Lösungen wie Blockchain Helix und Idento.one. Der derzeitige Zustand, das Fehlen eines sog. Identity Layers, eines “Meta-Logins” für das Internet, spielt nach Ansicht vieler Marktbeobachter den großen Internetkonzernen (Google Amazon, facebook, Apple – GAFA) in die Hände. Einmal eingeloggt gibt es daraus kaum noch ein Entkommen (Lock-in-Effekt) – der Gewöhnungseffekt und die Bequemlichkeit tun ihr übriges. Könnten die e-Identity-Systeme, u.a. auf Basis der eID des neuen Personalausweises, eine Alternative sein? Ist die Blockchain für die Verwaltung digitaler Identitäten eine geeignete Technologie? Können die Nutzer die Hoheit, die Souveränität über ihre Daten zurückgewinnen? Erhöht der aktuelle facebook-Skandal die Sensibilität der Nutzer für den Wert und die Schutzbedürftigkeit ihrer Daten? Was müsste sich dafür auf technologischem und organisatorischem Gebiet ändern, welche Voraussetzungen müssen noch geschaffen werden? Welche Rolle hätte paydirekt spielen können? Was für Optionen bleiben den Banken noch? Auf diese und weitere Fragen gibt Dr. Andreas Windisch (Foto), Managing Director bei der asquared GmbH und überdies profunder Kenner des Marktes für Digitale Identitäten, im Gespräch Antwort. 

  • Herr Dr. Windisch, was macht das Thema Digitale Identitäten für Sie so interessant?

Ich befasse mich seit vielen Jahren mit innovativen digitalen Geschäftsmodellen. Die stetige Anpassung der Umfeldparameter des Marktes in den Bereichen Kundenerwartungen, Regulatorik und Technologie sind seit jeher Enabler für innovative Geschäftsmodelle. Für nahezu all diese Geschäftsmodelle bilden digitale Identitäten die Grundlage: So sind für die Abwicklung des Grundgeschäfts häufig gewisse personenbezogene Daten erforderlich und/oder es muss sichergestellt werden, dass die Geschäftspartner tatsächlich die sind, die sie vorgeben zu sein. Digitale Identitäten sind somit elementarer Bestandteil innovativer digitaler Lösungen, für die Stand heute jedoch in Deutschland keine übergreifende Lösung existiert. Viele Initiativen und Unternehmungen versprechen aktuell, eine solche Lösung unter Wahrung des Datenschutzes und der Privatsphäre seiner BenutzerInnen bereitzustellen und dadurch auch eine Antwort auf die vielen Datenschutzskandale zu liefern.

Die Schaffung einer adäquaten Lösung für digitale Identitäten Kompatibilität auf globaler bzw. zunächst europäischer Ebene sind gesellschaftlich höchst relevant und für mich als Informatiker und Ingenieur allein deshalb ganz besonders interessant.

Kim Cameron machte bereits im Jahr 2005 darauf aufmerksam, dass ein übergreifender Identity Layer im Internet nicht existiert und beschreibt, wie dieser Layer aussehen sollte. Damals waren die Herausforderungen auf Grund des Fehlens eines solchen Layers bereits deutlich spürbar: Es hat sich ein Flickenteppich aus Ausweichlösungen etabliert, welche Abhilfe schaffen sollten. In den letzten Jahren hat sich die Anzahl digitaler Geschäftsmodelle und digitaler Ökosysteme sowie die Durchdringung des Internets im Alltag jedoch signifikant gesteigert, weshalb eine Lösung erst recht erforderlich wurde. Ein einheitlicher Identity Layer existiert jedoch nach wie vor nicht, die einhergehenden Probleme sind weiterhin präsent.

Es existieren viele interessante Ansätze für technische Standards, wie beispielsweise openID oder die Lösungen der fido Alliance, die in speziellen Sektoren, für einzelne Nutzergruppen oder bestimmte Anwendungsfälle zum Einsatz kommen. Keiner der Ansätze hat es jedoch bislang geschafft, tatsächlich übergreifend Akzeptanz zu erfahren und sich als (de-facto) Standard zu etablieren.

  • Ist der fehlende Identity Layer des Internets nicht auch der Grund dafür, dass die sog. Datenkraken wie facebook und Google ihr eigenes Rechtsregime beim Umgang mit den personenbezogenen Daten der Nutzer durchsetzen konnten?

Der Begriff Datenkrake wird häufig verwendet, ist aber sehr negativ konnotiert. Facebook und Google sind zwei Beispiele für Unternehmen, die Pioniere sind (bzw. waren) in der Erschaffung und Etablierung von datenbasierten Geschäftsmodellen. Die bekannten Datenskandale verdeutlichen, welche Gefahren in derartigen Geschäftsmodellen liegen, wenn die Themen Datenschutz, Privatsphäre und/oder Security nicht genügend ernst genommen werden.

Ich denke, ein bestehender Identity Layer hätte diese Probleme nicht vollständig verhindern können; immerhin liegt ein Großteil der Probleme auch in der unüberlegten Datenfreigabe durch die Benutzer. Facebook beispielsweise verfügt grundsätzlich über einen ordentlichen Datenfreigabemechanismus und geeignete Privatsphäreneinstellungsoptionen – aber wie schnell werden die nötigen Freigaben bereitwillig für sinnlose Spiele, Umfragen und Quiz von Drittanbietern erteilt? Die Benutzer und deren Sensibilität für das Thema Datenschutz war und ist ein ganz entscheidender Faktor für die Erfolge dieser Player.

Die Existenz eines Identity Layers hätte die mittlerweile erreichte Übermacht der GAFAs vielleicht eindämmen können. Die Benutzer wären vielleicht schon früher für die Relevanz des Datenschutzes sensibilisiert worden, Datenfreigaben mit der „echten“ Identität würden vielleicht etwas überlegter erteilt und die Reichweite der Dienste durch Like- und Login- Buttons hätte signifikant eingeschränkt werden können.

Dies nachzuholen, ist nun das erklärte Ziel laufender Initiativen – ob sie Erfolg haben werden, wird sich zeigen.

  • Welche Voraussetzungen sollten Ihrer Ansicht nach e-Identity-Systeme erfüllen, wenn sie dauerhaften Erfolg haben wollen?

Aus meiner Sicht muss hier an zwei Stellen angesetzt werden. Zunächst müssen bei der Konzeption und Entwicklung des e-Identity-Systems bzw. -Schemes selbst ein paar wichtige Dinge berücksichtigt werden. Dabei geht es im Wesentlichen um die bereits erwähnten Laws of Identity von Cameron, wobei ich noch stärker auf das Persona-Konzept sowie die technischen Voraussetzungen drängen würde, die eine Omnipräsenz des Dienstes ermöglichen. In meinem Beitrag “Erfolgsfaktoren für e-Identity-Systeme” habe ich die Erfolgsfaktoren zusammengefasst. Das ist meines Erachtens aber alles kein Hexenwerk und heutzutage leicht zu bewerkstelligen.

Viel wichtiger und tatsächlich relevant für die Etablierung eines e-Identity-Systems/Schemes ist es, bestehende Digitalisierungslücken im Alltag der Menschen durch Formulierung innovativer Anwendungsfälle – die erst durch das Vorhandensein eines übergreifenden e- Identity-Systems möglich sind – zu schließen, um somit einen für den Benutzer deutlich wahrnehmbaren Mehrwert zu schaffen. Der Erfolg dieser Systeme kommt mit der wiederkehrenden Nutzung, d.h. die Integration in häufig-frequentierte Anwendungsfälle als auch die Schaffung neuer Anwendungsfälle als Alleinstellungsmerkmal sollten im Vordergrund stehen.

  • Mit dem neuen Personalausweis (nPA) steht seit Jahren eine Lösung zur Verfügung, mit der die Nutzer ihre Identitäten im Netz verifizieren können. Warum kommt der nPA trotzdem nicht so recht vom Fleck?

Das stimmt und ich würde mich freuen, wenn ich ihn auch mal irgendwo sinnvoll nutzen könnte. Der nPA ist dem Henne-Ei-Problem erlegen, und in der aktuellen Konstellation haben weder Henne noch Ei Lust darauf, mitzuspielen. Welchen Anreiz haben Service Provider, ein teures Verfahren einzubinden, für das sie sich zunächst aufwändig zertifizieren müssen, wenn es am Ende kaum jemand nutzt? Die eID-Funktion des Personalausweises ist bei den Wenigsten aktiviert worden und wo sie aktiviert wurde, ist die zur Nutzung erforderliche PIN nicht mehr griffbereit und taucht erst Jahre später wieder auf, wenn man den PIN-Brief zufällig in wegsortierten Schreiben wiederfindet – die Ausstellung einer neuen PIN ist selbstverständlich kostenpflichtig. Aber selbst wenn der Ausweis aktiviert und die PIN parat liegt, mangelt es häufig am notwendigen Kartenleser, der teuer und nicht sonderlich nutzerfreundlich ist – Abhilfe schafft mittlerweile die AusweisApp2. Dennoch stellen all diese Hürden die Benutzer vor eine ähnliche Frage, wie bereits die Service Provider: Warum sollte ich mir das für die wenigen Anwendungsbereiche antun, wenn es doch auch anders (einfacher) geht? Erschwerend kommen Vorurteile und Vertrauensdefizite gegenüber Staat und Politik hinzu.

Vielleicht helfen die sich entwickelnden e-Identity-Systeme dem nPA aber sogar auf die Sprünge, indem er analog zur AusweisApp2 möglichst benutzerfreundlich integriert wird, für eben jene Anwendungsfälle, die tatsächlich eine Identifikation des Benutzers erfordern.

  • In letzter Zeit sind gleich mehrere Daten-Allianzen an den Start gegangen bzw. haben ihren Start angekündigt. Ist das richtige, ist das ein erfolgsversprechender Weg?

Naja… positiv hervorzuheben ist, dass das Problem scheinbar an vielen Stellen verstanden worden ist und adressiert wird, was schon mal einen ganz guten Startpunkt darstellt. Die aktuellen Identitäts- und Daten-Allianzen sind zudem mit teils unterschiedlichem Fokus unterwegs: Die netID mit vornehmlich Publisher-Partnern wird vermutlich auf Lösungen für Opt-Ins im Rahmen der kommenden ePrivacy-Richtlinie fokussieren, VERIMI ist ein branchenübergreifender Login-Dienst, YES startet aus dem Finanzdienstleistungssektor und positioniert sich als ID-Scheme und weitere spezialisiertere Initiativen wie z.B. Helix Alpha und idento.one legen den Fokus auf das Thema Daten. Fast alle Initiativen eint jedoch die Hoffnung, der de-facto Standard für den Kunden zu werden, also zukünftig als eine Art Generalschlüssel für alle digitalen Dienste zu dienen. Und an dieser Stelle beginnen meine Zweifel: Um den Generalschlüssel herum ist eine spürbare Konkurrenz erwachsen, die eigentlich unnötig ist. Die Benutzer werden sich ihre Generalschlüssel ohnehin selbst aussuchen: Ob sie nun einen Mercedes.me-Schlüssel, einen Sparkassen-Schlüssel, einen übergreifenden VERIMI- oder YES-Schlüssel oder einen web.de-Schlüssel nutzen möchten, bleibt ihnen überlassen. Wesentlich ist doch, dass alle Systeme interoperabel sind und sich die Initiatoren nicht gegenseitig Steine in den Weg legen. An dieser Stelle erhoffe ich mir die Kooperationsbereitschaft und -willigkeit aller Marktteilnehmer, denn ansonsten schadet dies wieder nur der Verbreitung aller Lösungen und „die anderen“ gehen weiterhin als Sieger vom Platz.

  • Ebenso präsent wie die Daten-Allianzen in der Berichterstattung sind die diversen Startups und Initiativen, die die Nutzer in die Lage versetzen wollen, ihre Identitäten dezentral per Blockchain zu verwalten. Könnte das eine Alternative zu den eher zentralisierten Datenallianzen sein?

Ob eine Lösung Blockchain-basiert ist oder nicht, halte ich persönlich für weniger erfolgsentscheidend. Die distributed ledger Technologie hat bekanntermaßen Vor- und Nachteile und es stellt sich eigentlich immer die Frage, ob man dem Betreiber der Identitätslösung Vertrauen schenkt oder ob man vor allem aus Vertrauensgründen versucht, das System auf mehrere Parteien zu dezentralisieren. Beide Varianten können heutzutage vergleichbar sicher implementiert werden. Wenn ich mir den Erfolg und die Verbreitung der GAFAs ansehe, bin ich sehr skeptisch, ob das Sicherheitsbedürfnis der Benutzer und die Vertrauensfrage an dieser Stelle erfolgsentscheidend für das Identitätssystem sein werden. Regulatorisch wird es nun strengere Anforderungen geben und diese werden auch durch die GAFAs umgesetzt werden. Deshalb wird der Mehrwert für den Benutzer entscheiden, weniger die technische Umsetzung.

  • Viele Branchenbeobachter halten die Banken für prädestiniert bei der sicheren Verwaltung der digitalen Identitäten. Teilen Sie die Ansicht?

Ja und nein. Auf der einen Seite sind viele der kolportierten Begründungen für die Prädestination für Banken zugegebenermaßen etwas beschönigt. So ist die Qualität der seitens der Finanzinstitute vorgehaltenen Identitätsdaten nicht immer so rosig, wie angenommen. Namensänderungen bei Heirat und Adressänderungen wegen Umzugs oder gar Kontaktmöglichkeiten werden häufig stark verzögert oder gar nicht gemeldet und korrigiert.

Finanzinstitute können auf der anderen Seite seit Jahren glaubhaft unter Beweis stellen, dass sie eine vergleichsweise sichere technische Infrastruktur bereitstellen können. Sie besitzen umfragegemäß nach wie vor einen Vertrauensvorsprung in der Gesellschaft. Darüber hinaus liegen digitale Identitäten und die Abwicklung der zugehörigen Zahlung typischerweise sehr eng beieinander, so dass die Nähe zum Finanzdienstleister auch Vorteile verspricht.

  • Könnten nicht auch die Kommunen die Rolle der Treuhänder für digitale Identitäten übernehmen?

Selbstverständlich. Wie auch beim Personalausweis sollte das Vertrauensthema dadurch kein Problem darstellen. Derartige Piloten sind beispielsweise bereits in der Schweiz in Schaffhausen und Zug auf Blockchain-Basis gestartet worden. Herausfordernd werden jedoch die dafür notwendige kurzfristige Digitalisierungsfähigkeit sowie die Abstimmung der Kommunen hinsichtlich gemeinsamer Spielregeln. Und, sobald es sich in der Wahrnehmung um kommunale oder staatliche Lösungen handelt, wird es umso relevanter sein, dass auch entsprechende e-Government-Services darüber nutzbar sind, da anderenfalls ein ähnliches Störgefühl auftreten wird, wie beim deutschen Personalausweis. Und so schnell mahlen die Mühlen in Deutschland leider noch nicht – was sehr schade ist, denn technisch wäre das alles sehr schnell machbar.

  • Im Vergleich zu anderen Ländern, wie Kanada, der Schweiz oder Norwegen, ist hierzulande noch kein einheitlicher Wille bzw. die Tendenz nach einem Standard zu erkennen. Woran könnte das liegen?

Das ist in der Tat eine unglückliche Situation und leider schon viel zu oft beobachtbar gewesen. Das Verständnis und der Wille für einen einheitlichen Standard sind schon vorhanden, leider stehen häufig Einzelinteressen im Vordergrund. In Kanada investierten die größten Banken in eine gemeinsame Lösung, in der Schweiz gibt es ein gemeinsames Industriekonsortium, in Norwegen genau ein Verfahren hinter dem sich die norwegischen Banken versammeln. In Deutschland läuft es (mal wieder) anders. Das deutsche Bankwesen ist mit seiner Drei-Säulen-Struktur zugegebenermaßen auch deutlich komplexer als jenes der benannten Länder und eine Harmonisierung der Einzelinteressen maximal herausfordernd. Das Bezahlverfahren paydirekt zeigt, dass dies zwar grundsätzlich möglich ist, aber nur dann funktionieren kann, wenn an dieser Harmonie festgehalten wird. Auch das Thema digitale Identitäten hätte sich großartig über die paydirekt-Plattform als gemeinsamer Ansatz der Deutschen Kreditwirtschaft lösen lassen – wäre man sich einig gewesen.

Leider ist immer wieder beobachtbar, dass selbst mit kleineren Funktionalitäten und Services in den Wettbewerb gegangen wird, wo es viel sinnvoller wäre, darauf zu verzichten, und diese Funktionalität als Teil eines größeren Ganzen gemeinsam zu entwickeln. Viele vor allem technische Themen sind mitnichten wettbewerbsdifferenzierend und sollten daher gemeinsam entwickelt werden, um sich stattdessen auf die relevanten Themen mit Kunden- Impact zu fokussieren. Das gilt im Banking und beim Zahlungsverkehr genauso wie beispielsweise im Handel oder beim Thema Mobilität.

Sollte niemand mehr einlenken, wird sich das Thema leider nur noch durch den (internationalen) Wettbewerb lösen lassen.

  • Was meinen Sie: Wann könnte der “Tipping Point” für die flächendeckende Nutzung digitaler Identitäten erreicht sein – welche Voraussetzungen fehlen derzeit noch?

E-Identity-Systeme wird es kurzfristig genügend geben. Es fehlt jedoch ein weites Netzwerk aus Akzeptanzstellen sowie die Kooperationsbereitschaft der Wirtschaft bei übergreifenden Services und Ansätzen im Sinne der Kunden. Weniger sinnloser Wettbewerb und Golden Cage für die Kunden, mehr Fokus auf Anforderungen der Kunden und Vielfalt in den Geschäftsmodellen.

Wirklich relevant werden digitale Identitäten nämlich erst, wenn sie in den Alltag der Menschen integriert sind und/oder eine Vielzahl von Anwendungsfällen nur noch damit möglich sind bzw. damit deutlich einfacher möglich sind. So ist das Schließen vorhandener Digitalisierungslücken und das Adressieren von Konsolidierungsmöglichkeiten der erste Schritt auf dem Weg zu einer flächendeckenden Nutzung digitaler Identitäten – mit Fokus auf insbesondere jene Bereiche, die eine verifizierte Identität benötigen, denn damit könnte noch ein Vorsprung gegenüber der internationalen Konkurrenz aufgebaut werden. Das Thema e- Government ist zwar unterwegs, wird aber sicherlich noch ein paar Jahre auf sich warten lassen. Beim Thema Mobilität existieren erste technische Konsolidierungsbestreben – dies anbieterübergreifend auszuweiten und als Role Model auch für andere Industrien zu verstehen, wird die Herausforderung sein.

Ich rechne aus diesen Gründen mit 3-5 Jahren für einen „Tipping Point“, bin aber zuversichtlich, dass es bereits sehr kurzfristig erste wegweisende Piloten geben wird.

  • Herr Dr. Windisch, vielen Dank für das Gespräch!

Zuerst erschienen auf Bankstil

Veröffentlicht unter Digitale Identitäten, Identity Economy, Personal Data | Hinterlasse einen Kommentar

Networks & Politics – Luciano Floridi on Data Ownership

Veröffentlicht unter Datensouveränität, Personal Data | Hinterlasse einen Kommentar

Private Sector Economic Impacts from Identification Systems

Identification systems are a core component of sustainable development policies in countries with diverse economic, demographic, and political contexts. Robust identification systems with widespread coverage can—particularly when digital—produce a wide array of advantages for governments and individuals, including facilitating access to benefits, rights, and services, and improving public administration, planning, and service delivery. In addition, preliminary evidence suggests that identification systems can provide a number of fiscal benefits for the public sector, including decreasing fraud and leakage in transfer programs, increasing administrative efficiency, improving tax collection, and providing additional sources of revenue.

The role of digital identification systems in the private sector is equally large. In order to transact with customers and provide services, many companies—including those that provide banking and financial services, mobile operators, digital commerce platforms, airlines, and more—must verify and authenticate the identities of their users at various points in the customer lifecycle. The source of validity for customer identity is often a government-provided or recognized credential, such as a national ID, passport, or other document. Where authoritative proof of identity is scarce, companies are likely to have smaller available customer pools, higher administrative overhead, and greater risks of fraud. …

Quelle / Link: Private Sector Economic Impacts from Identification Systems

Veröffentlicht unter Digitale Identitäten, Identity Economy | Hinterlasse einen Kommentar

The Mosaic Digital Identity Lab – Dan Elitzer (IDEO)

Veröffentlicht unter Digitale Identitäten | Hinterlasse einen Kommentar

Identity Economy: Ein kurzer Wochenrückblick #35

Von Ralf Keuper

Anbei eine Aufstellung von Beiträgen, die mir in der vergangenen Woche besonders ins Auge gefallen sind:

Veröffentlicht unter Wochenrückblick | Hinterlasse einen Kommentar

Trust Center, Vetrauensnetzwerke und digitale Notare

Von Ralf Keuper

In der Geschichte lässt sich immer wieder das Muster beobachten, dass Ideen, die ihrer Zeit voraus waren, durch Kombination mit neuen Elementen zum Durchbruch kommen. Das betrifft technologische Innovationen bzw. Revolutionen in besonderer Weise.

Ende der 1990er Jahre, als das Internet noch in den Anfängen war und  noch sich noch keine Datenmonopole, wie Google oder facebook, gebildet hatten, spielte Rainer Kuhlen in seinem Buch Die Konsequenzen von Informationsassistenten gedanklich die verschiedenen Möglichkeiten durch, die sich mit der Verbreitung des Internet für Trust Center, Vertrauensnetzwerke und digitale Notare ergeben könnten.

Eine wichtige Rolle würden dabei kryptografische Verfahren und neutrale Dritte übernehmen:

Wenn es auch noch nicht durchgängig Praxis ist, so spricht einiges dafür, dass Kontrollinstanzen unter dem Gesichtspunkt von Vertrauensbildung in erster Linie in die Hände neutraler Dritter (Trusted Third Parties) gelegt werden sollen. Dies sind die neuen Broker, der Vermittler (middlemen) in Neztwerken und elektronischen Diensten. Sie übernehmen u.a. klassische Notarfunktionen für das Netz, wie Identifikation, Authentifikation, Verifikation oder Kryptografie-Kontrolle bzw. Überwachung der elektronischen Unterschrift. Sie sollen vertrauenswürdige Antworten auf die Fragen geben, auf welche Dienste und Vermittlungsleistungen, auf welche Suchdienste, auch welche Qualitätseinschätzungen oder überhaupt auf welche elektronischen Transaktionsformen auf welcher Kryptografie-Grundlage man sich verlassen kann.

Die allgemeine Funktion der “Mittler”:

Mittler sollen, ganz generell gesehen, die Vertrauenslücke schließen, die zwischen den (oft anonymen) elektronischen (staatlichen oder kommerziellen) Organisationen und Diensten im Netz und den Endkunden besteht. …

Über die Rolle des Vertrauens angesichts der Verbreitung kryptografischer Verfahren und Zertifizierungen:

Vertrauen wird auch wieder zentral, weil die Vorgänge, die mit Verschlüsselung und Zertifizierung zusammenhängen, für die meisten Nutzer nicht nachvollziehbar sind, und daher auch an neutrale vertrauensvolle Mittler delegiert wird.

Für die Vermittlerfunktion kommen mehrere Akteure und Institutionen in Betracht:

Hier öffnet sich ein breites Feld für neue Aktivitäten einer Vielzahl von Organisationen, deren Hauptzweck es ist, Transaktionen in Netzwerken nachvollziehbar und vertrauenswürdig zu machen. Wer diese Mittler sein werden, ist im einzelnen unentschieden. Sicherlich wird es keine einzelne institutionelle Lösung geben, sondern vielfältige Organisationen – kleine, mittlere und große Unternehmen, Banken, Industrie- und Handelskammern, Gewerbeaufsichten, Überwachungsvereine, wissenschaftliche Gesellschaften, Interessenverbände, Unternehmensberatungen, Forschungsinstitute, Bürgerinitiativen … – werden hier aktiv werden und werden versuchen, sich für ihre Kunden durch vertrauensbildende Maßnahmen zu legitimieren. ….

Eine Lösung im Sinne von “One size fits all” wird es jedoch nicht geben:

Man erkennt aus der bisherigen Diskussion, dass es eine eindeutige institutionelle Lösung für die Delegation von Problemen, die mit Kryptografie, Zertifizierung oder Identitätssicherung allgemein zusammenhängen nicht gibt. Man kann jedoch zwei grundsätzlich verschiedene Denkansätze zur Lösung des Problems ausmachen. Aus der einen Richtung wird auf die Herausbildung von Vertrauensnetzen (Web of trust), aus der anderen mehr auf professionelle Instanzen, die allerdings .. sich auf vielfältige Weise institutionell realisieren können. Das ist die Idee der Trust Center.

Kuhlen hat bereits vor ca. 20 Jahren die Diskussion der letzten Jahre in den Bereichen Digitale Identitäten, Vertrauensdienste, Kryptografie usw. vorweggenommen.

Mit den neuen regulatorischen Bestimmungen wie PSD2, der DSGVO, ePrivacy und eIDAS sind die Voraussetzungen inzwischen ebenso vorhanden wie auf technischem Gebiet durch die Blockchain bzw. die Distributed Ledger. Mit dem neuen Personalausweis/eID steht in Deutschland – prinzipiell – eine Digitale Identität zur Verfügung. Die erwähnte PSD2 sieht explizit die Rolle sog. Third Party Provider vor, die die Funktion von Vertrauensdiensten übernehmen könn(t)en.

Auf der organisatorischen, institutionellen Seite jedoch ist dieser Impuls noch nicht im vollen Umfang angekommen. Zwar experimentieren Banken, Telekommunikationsunternehmen, wie z.B. bei Verimi, mit einigen Aspekten (Single Sign On), ohne jedoch das zentralisierte Modell der Datenhaltung aufzugeben. Die ultimative “Daten-Allianz” wird es aller Voraussicht nach nicht geben.

Auf der anderen Seite positionieren sich die verschiedenen Anbieter aus dem Umfeld der Digitalen Identitäten und der Verwaltung der personenbezogenen Daten, welche auf die Blockchain-Technologie setzen. Die Blockchain kombiniert bis dahin getrennt betrachtete Verfahren, wie Kryptografie, P2P und dezentrale Datenhaltung.

Unter den bestehenden Markt- und Machtverhältnissen erscheint es relativ ausweglos, die Internetkonzerne aus ihrer Monopolstellung bei den Daten zu verdrängen. Dafür ist ihr Vorsprung zu groß, der Gewöhnungseffekt bei den Nutzern zu weit fortgeschritten. Wir benötigen echte Alternativen. Ein Mittel dazu ist m.E. die Blockchain-Technologie sowie neue Organisationsformen wie Personal Data oder Digital Identity Banks.

Veröffentlicht unter Blockchain / Distributed Ledger Technology, Datensouveränität, Digitale Identitäten | Verschlagwortet mit | Hinterlasse einen Kommentar