Dezentrales Identitätsmanagement mit re:ClaimID

Von Ralf Keuper

Die gängigen Identitätsprovider haben den Nachteil, dass hier die personenbezogenen Daten der Nutzer zentral verwaltet werden. Das macht sie zu einem beliebten Ziel von Hackern. Abgesehen davon bezahlen die Nutzer die kostenlosen Social-Login-Dienste wie von Google, twitter, Facebook und LinkedIn mit ihren Daten, d.h. ihr Verhalten kann mittels der Login-Daten zu einem Nutzerprofil zusammengesetzt werden.

Um den Nutzern die Kontrolle über ihre digitale Identitäten und über ihre personenbezogenen Daten zurückzugeben, hat das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) den dezentralen Identitätsdienst re:ClaimID entwickelt, worüber u.a. in Fraunhofer AISEC bietet Alternative zur Anmeldung über Facebook oder Google berichtet wird.

Zur Funktionsweise von re:ClaimID:

Um eine dezentrale Verwaltung zu ermöglichen, nutzt re:claimID das dezentrale GNU Name System(GNS) als Identitätsverzeichnis. Nutzer können in diesem sicheren Peer-to-Peer-System Identitätsattribute, wie beispielsweise E-Mail-Adresse oder Name, ablegen, die mittels Attribute-based Encryption (ABE) verschlüsselt sind. Der Nutzer hat darüber die Möglichkeit, Diensteanbietern selektiv nur die Attribute zur Verfügung zu stellen, die diese auch tatsächlich benötigen. Im Rahmen jeder einzelnen Autorisierung erzeugt der Nutzer einen individuellen Zugriffsschlüssel für einen Diensteanbieter, wobei dieser Zugriff jederzeit widerrufen oder eingeschränkt werden kann (Quelle: Homepage Fraunhofer AISEC)

Vorteile für den Nutzer laut Fraunhofer AISEC:

  • Volle Kontrolle über die eigenen Identitäten
  • Selbstbestimmtes, dezentrales Identitätsmanagement
  • Sicheres Speichern und Teilen personenbezogener Daten durch ABE-Verschlüsselung
  • Kein zentraler Identitätsanbieter zur Datenweitergabe erforderlich

Der Ansatz hat große Ähnlichkeit mit dem von ID4me (Vgl. dazu: Ein offener Standard für dezentrale digitale Identitäten: Bericht vom ID4me Summit).

Veröffentlicht unter Digitale Identitäten, eStandards | Hinterlasse einen Kommentar

The Digital Identity Revolution | John Luxford | TEDxWpg

Veröffentlicht unter Digitale Identitäten | Hinterlasse einen Kommentar

Identity Economy: Ein kurzer Wochenrückblick #77

Von Ralf Keuper

Anbei eine Aufstellung von Beiträgen, die mir in dieser Woche besonders ins Auge gefallen sind:

Identitätsservices: Universal-Schlüssel fürs Internet

Samsung Electronics wird neuer Partner von Verimi

Fraunhofer AISEC bietet Alternative zur Anmeldung über Facebook oder Google

HPI: “Bürger müssen lernen, ihre digitale Identität besser zu schützen”

Podiumsdiskussion: Die Wa(h)re digitale Identität

How FinTech Companies Tackle Forex Identity Verification Challenges

China verlangt von Blockchain-Plattformen, Nutzer zu identifizieren

Seven Bank to let users open accounts via ATMs

Wettbewerbshüter gegen Facebook. Kartellamt stört Datensammeln des „Gefällt mir“-Buttons

Wie sicher sind die elektronischen Patientenakten?

Der Streit um die Volkszählung

What the heck is a digital identity?

Fingerprints in partnership with Identity Devices to accelerate biometric adoption in Digital Identity, FinTech and IoT markets

Wie App-Anbieter persönliche Daten ausschlachten

PSD2: Banken verlieren Monopol auf Kundendaten

Gartner Predicts for the Future of Privacy 2019

Credit unions adopt blockchain as the first step for digital ID

Die Bundesregierung braucht eine Datenstrategie

Digital IDs Would Help Unlock Canada’s Economy, Bankers Say

Digital identity: Is the puzzle about to be solved?

Veröffentlicht unter Wochenrückblick | Hinterlasse einen Kommentar

Marktmacht in der Datenökonomie und die Rolle Digitaler Identitäten

Von Ralf Keuper

Wie kann die Marktmacht der großen Datenkonzerne wie Google oder Facebook begrenzt werden? Wie bzw. woran lässt sich die Marktmacht messen? Welche Konsequenzen müssten gezogen werden, wenn sich eine marktbeherrschende Stellung und deren Missbrauch in der Datenökonomie nachweisen lässt?

Um diese Fragen dreht sich das Paper Marktmacht in der Datenökonomie begrenzen von Dr. Nicola Jentzsch.

Nötig sei nicht die Betrachtung einzelner Unternehmen, sondern die ganzer Ökosysteme. Letztere beziehen ihre Anziehungskraft und Marktstellung aus Skalen- und Verbundeffekten, wie Facebook mit Whats App und Microsoft mit LinkedIn.

Ein weiteres Kriterium ist der sog. Social Graph über den Unternehmen und Ökosysteme verfügen.

Im Qualitätswettbewerb der Datenökonomie findet eine Differenzierung der Unternehmen über den sozialen Graphen der Kunden statt. Dieser basiert auf den gesammelten Nutzerdaten. Datenerschließung und Datenanalyse haben folglich auch Wettbe- werbsimplikationen, insbesondere da Unternehmen ihre Datenschutz-Compliance strategisch ausrichten.

Tragen die Verfahren des Machine Learning und große Datenmengen automatisch zu einer marktbeherrschenden Stellung der Datenkonzerne bei? Inwieweit spielt die Verwendung synthetischer Daten hierbei eine Rolle?

Festzuhalten ist, dass große Datenmengen mit hoher Varianz bzw. Bandbreite bessere Prognosen über das Verhalten der Nutzer ermöglichen.

Eine wichtige Markteintrittsbarriere ist die Frage der Replizierbarkeit der Daten:

Die Frage nach der Bedeutung von Daten ist umstritten. Der Grund ist, dass sich Faktoren der Erhöhung als auch der Reduzierung der Replizierbarkeit von Datensätzen nden lassen.18 Replizierbarkeit bedeutet, dass gleiche oder sehr ähnliche Varianten (sogenannte noisy versions) von Datensätzen erstellt werden können, die Konkurrenten eines dominanten Unternehmens nutzen können. Fehlende Replizierbarkeit gilt als Markteintrittsbarriere.

Am Beispiel von Google-Doublecklick, Facebook-WhatsApp und Microsoft-LinkedIn wird deutlich, wie große Technologiekonzerne ihren Datenbestand, ihre Datenmacht mit einem Schlag vergrößern können.

Diese Fälle zeigen allesamt, dass die Fusionen für Datenzusammenführung genutzt wurden. In der Oberliga der Wettbewerber (bei den Cloud-Diensten) differenzieren sich die Konkurrenten in ihren Datensammlungen und den darauf basierenden sozialen Graphen. Diese Graphen erlauben eine zunehmende Personalisierung der Dienste für Nutzer:innen. Die Unternehmen bewegen sich zunehmend in einem Personalisierungswettbewerb.

Mittel der Wettbewerbsaufsicht, die Marktmacht der großen Plattformen und Ökosysteme in der Datenökonomie zu begrenzen sind laut Jentzsch:

Einsatz von Machine-Learning-Verfahren

Formale Privatheitsgarantien, insbesondere nach Übernahmen

Verhaltensökonomische Studie würdigen (Was veranlasst dazu, auf einer Plattform zu bleiben und Alternativen nicht wahrzunehmen?)

Am interessantesten ist m.E. der Punkt Synthetisierung und Daten-Pooling:

In der Vergangenheit wurde auch diskutiert, ob Wettbewerber Zugriff auf wertvolle Datensätze bekommen sollten. Gerade bei personenbezogenen Daten wird dies unter Verweis auf Daten- schutz-Regeln verworfen. Die Synthetisierung von Daten44 könnte ein praktikabler Ansatz sein, vormals exklusive Datensätze dem Markt zu öffnen. Der Zugriff könnte über Datenpools organsiert werden und müsste an ethische Bedingungen, Zweckgebundenheit und Privatheitsgarantien gebunden werden. Des Weiteren wäre die Standardisierung im Bereich der Interoperabilität und Daten-Portabilität zu prüfen.

Schlussbetrachtung

Der Hinweis auf die Schlüsselstellung des Social Graph ist von großer Bedeutung, wenn man die Funktionsweise der Datenökonomie verstehen und bewerten will. Neben Facebook und Google sind in diesem weitere Dienstleister aktiv, wie drawbridge und Tapad.

Drawbridge wirb mit seinem Identity Graph

Our graph combines billions of customer touchpoints with a breadth and depth of online and offline interactions you won’t find anywhere else. Add your customer data to the mix, and Drawbridge’s patented AI enriches and completes your data to show you your customers with unmatched clarity (Quelle: Homepage drawbridge)

Tapad hat den Tapad Graph:

Unlike most device and identity graphs, Tapad leverages both probabilistic and deterministic signals to build The Tapad Graph. Probabilistic data provides the scale that deterministic data alone can’t match, while deterministic data ingested from our brand and technology partners allows our machine learning algorithms to continuously refine themselves to maintain a high degree of data precision (Quelle: Homepage Tapad)

In die Betrachtung mit einbezogen werden sollten m.E. auch die anderen Datenkonzerne wie Acxiom und die Oracle-Tochter Datalogix.

Acxiom unterhielt bis vor einiger Zeit eine intensive Geschäftsbeziehung zu Facebook:

Zu den Kunden von Acxiom zählte auch Facebook, das seine eigenen Datenbestände unter anderem mit denen von Acxiom anreicherte, um Werbeanzeigen besser auf die Lebenssituation und Interessen seiner Nutzer zuzuschneiden. Im Zuge des Facebook-Datenskandals rund um Cambridge Analytica hat Facebook bekannt gegeben, die Zusammenarbeit mit Acxiom aufzukündigen (Quelle: Wikipedia)

Zusammenfassen könnte man die Aktivitäten der Datenkonzerne als Identity Based Marketing mittels verschiedener Social Graphs. Es geht es also im Kern um die Digitale Identität der Nutzer und der mit ihnen verbundenen Geräte. Das betrifft nicht nur Fragen des Wettbewerbsrechts. Ebenso wichtig ist der Schutz der Digitalen Identitäten der Nutzer. Wie kann der Nutzer die Kontrolle über seine Digitale Identität zurückgewinnen, wie kann er mit seiner Digitalen Identität bzw. verschiedenen Ausprägungen davon Transaktionen durchführen und dabei nur die Daten offenlegen, die für den Geschäftsvorfall benötigt werden? Mittel dazu könnten Selbstverwaltete digitale Identitäten auf Blockchain-Basis oder andere Services sein, wie VERIMI oder Open Source-Initiativen wie ID4me. Damit würde sich die Machtverhältnisse in der Datenökonomie verändern – quasi buttom-up.

Wir haben es nicht nur mit einer Datenökonomie, sondern auch und vor allem mit einer Identity Economy zu tun. Solange wir unseren Blick auf die Daten und die Ökosysteme konzentrieren, bleibt der eigentliche Hebel, die Digitale Identität, unbeachtet.

Das Datenpooling könnte demnächst von Datengenossenschaften übernommen werden.

Veröffentlicht unter Datensouveränität, Digitale Identitäten, Digitale Plattformen / Plattformökonomie | Hinterlasse einen Kommentar

Creating A Digital Identity in the 21st Century | Bruce Duncan & BINA 48 | TEDxOrlando

Veröffentlicht unter Digitale Identitäten | Hinterlasse einen Kommentar

Know Your Object künftig wichtiger als Know Your Customer

Von Ralf Keuper

Für Lianne Kemp, CEO und Gründerin von Everledger, geht es im Supply Chain Finance Management weniger darum den Kunden zu kennen (KYC), sondern das jeweilige Objekt. Künftig gelte also Know Your Object – KYO. An anderer Stelle wird Kemp mit dem Satz zitiert “We focus on the identity of objects.” Eine Sichtweise, die von dem deutschen Pendant, dem evan.network, geteilt wird. Everledger hinterlegt zu jedem Objekt ein Echtheitszertifkat in der Blockchain. Pilotkunde von Everledger ist der weltweit größte Diamantenkonzern De Beers (Vgl. dazu: Ende der “Blut-Diamanten” dank Blockchain).

Weitere Informationen:

B2B-Banking und Plattformökonomie mit Ariba

Veröffentlicht unter Blockchain / Distributed Ledger Technology, Digitale Identitäten, Internet der Dinge, Maschinendaten / M2M-Kommunikation | Hinterlasse einen Kommentar

BürgerID als Single Sign On

Von Ralf Keuper

Dass Kommunen eine wichtige Rolle bei der Bereitstellung sicherer und vertrauenswürdiger Digitaler Identitäten spielen können, war auf diesem Blog bereits häufiger ein Thema, wie in Die Schlüsselstellung der Kommunen in der Identity Economy.

Konkret formuliert: Kann die BürgerID demnächst als Single Sign On dienen? Diese Frage wird u.a. in der Studie Zukunft E-Government. Vorschläge für eine bürgerfreundliche und sichere Digitalisierung der Verwaltung erörtert.

Eine Schlüsselstellung übernehmen dabei die NFC-Technologie, der neue Personalausweis und embedded secure elements.

NFC wird bereits seit mehr als zehn Jahren im öffentlichen Nahverkehr in Deutschland genutzt. Auch die neuen Personalausweise verfügen über einen NFC-Chip, um eine sichere Authentifizierung zu ermöglichen. Inzwischen sind allerdings viele neue Dienste möglich, da immer mehr Hersteller von Smartphones solche Chips in ihren Geräten ver- bauen. Die Sicherheit der sensiblen personenbezogenen Daten wird durch die Ablage im „embedded Secure Element“ (eSE) erhöht. Das eSE ist ein manipulationssicherer Chip, der in verschiedenen Größen und Ausführungen erhältlich ist, in jedes mobile Gerät integriert werden kann bzw. in vielen Geräten bereits integriert ist. Es stellt sicher, dass die Daten an einem sicheren Ort gespeichert werden und nur autorisierten Anwendungen und Personen Informationen zur Verfügung gestellt werden. Es ist wie eine persönliche ID für den Nutzer.

Derzeit verwenden die Nutzer, allen Bedenken zum Trotz, Social-Login-Dienste wie von Facebook. Der Faktor Bequemlichkeit sollte nicht unterschätzt werden:

Aktuell lässt sich eine Situation mit paradoxen Zügen beobachten: Viele Bürger nutzen Facebook Connect, obwohl sie dem Anbieter Facebook in datenschutzrechtlicher Hinsicht zugleich misstrauen. Schon aus diesem scheinbaren Widerspruch lässt sich herauslesen: Der Bedarf nach einem Single Sign-on-Verfahren, das zugleich bequem und sicher ist, ist beträchtlich.

Sofern es gelingt, Bequemlichkeit und Sicherheit miteinander zu verbinden, stehen die Chancen für eine BürgerID nicht schlecht:

Hier besteht die Chance, im Rahmen der Implementierung der digitalen Verwaltungsinfra- struktur eine relevante Lücke zu schließen. Gelänge es, den Zugang zum Bürgerportal als nutzerfreundliches, sicheres und offenes Login zu gestalten, könnte eine echte Alternative geschaffen werden, die der Bürger dann auch zentral und bequem für alle Logins nutzen kann, also auch um beispielsweise online einzukaufen.

Ein Szenario, das im Zusammenspiel mit dem Portalverbund Realität werden könnte (Vgl. dazu: Digitale Identitäten in einem modernen Staat).

Veröffentlicht unter Datensouveränität, Digitale Identitäten | Hinterlasse einen Kommentar

Kryptografisches Banking

Von Ralf Keuper

Als im Jahr 1983 das OSI-Modell veröffentlicht wurde, war die Zeit der Vorherrschaft von IBM in der Computerindustrie gebrochen. Bis dahin konnte IBM eigene de-facto-Standards setzen, die von der Branche und den Kunden wohl oder übel akzeptiert wurden.

Demgegenüber setzte das OSI-Modell auf Offenheit und Herstellerunabhängigkeit:

Zweck des OSI-Modells ist, Kommunikation über unterschiedlichste technische Systeme hinweg zu ermöglichen und die Weiterentwicklung zu begünstigen. Dazu definiert dieses Modell sieben aufeinander folgende Schichten (engl. layers) mit jeweils eng begrenzten Aufgaben. In der gleichen Schicht mit klaren Schnittstellen definierte Netzwerkprotokolle sind einfach untereinander austauschbar, selbst wenn sie wie das Internet Protocol eine zentrale Funktion haben (Quelle: Wikipedia)

Heute setzen die großen digitalen Plattformen wie Google, Apple, Microsoft, Amazon oder Alibaba die Standards. Solange es der Bankenbranche nicht gelingt, eigene Standards zu definieren und auch durchzusetzen, wird das Banking über kurz oder lang von Google, Amazon & Co. in ihre Plattformen integriert.

Bereits im Jahr 2000 beschäftigte sich das Paper Financial Cryptography in 7 Layers mit der Frage, ob und inwieweit sich das OSI-Modlell auf die Finanzbranche übertragen lässt.

Gestern führte Bill Buchanan in In The Future, Banks Will Not Be Built With Bricks But On Cryptography die Gedanken weiter.

One area that I think the finance cryptography model differs from the OSI model is the requirement to expose things from layers which are not directly above or below the current layer. In the OSI model, for example, the application layer (Layer 7) does not see any of the data link layer details (Layer 2). But, in a finance cryptography model, it is important to expose details from other layers, in order to create an integrated system

Mit diesem integrierten Modell kann die Banken-Infrastruktur von Grund auf erneuert werden, was dann wiederum die Banken aber auch die Fintech-Industrie zu einem Umdenken zwingen würde:

Many will define the “FinTech industry” as a companies which are creating a finance-related applications, but, for me, properly innovative FinTech companies are aiming to disrupt existing methods and thinking, and build on a proper foundation of trust. They should thus have little in the way of baggage from the past, and will be building with the latest software engineering methods (Node.js, Python, Cassanda, GitHub, Docker, and so on), cryptography and distributed ledger methods.

Künftig sei es möglich, Reports und Bilanzen in Sekundenschnelle zu erstellen.

Es sei daher nötig, die Debatte nicht auf Bitcoin, digitale Währungen oder Blockchain  zu beschränken, sondern die Möglichkeiten zu erkennen und zu nutzen, die sich mit dem neuen Modell ergeben. Laut Buchanan können wir ein neues Internet entwickeln und unsere eigene Daten-Welt erschaffen.

Ähnliche Gedanken wie Buchanan äußerte Alec Roos in seinem Buch Die Wirtschaftswelt der Zukunft. Darin lässt er einen Startup-Gründer zu Wort kommen, für den Banken letztlich nichts anderes sind als digitale Hauptbücher. Für Norbert Häring besteht Banking im Wesentlichen aus speziellem Datenmanagement.

Crosspost von Bankstil

Veröffentlicht unter Blockchain / Distributed Ledger Technology, Data Banking, eStandards | Hinterlasse einen Kommentar

Die Messung der digitalen Reputation mit dem Credo Score

Von Ralf Keuper

Wie kann man die Reputation, die Verlässlichkeit von Personen beurteilen, ohne dabei auf die klassischen Methoden, wie die Kreditbonität, zurückgreifen zu müssen?

Bei Credo360 glaubt man die Antwort gefunden zu haben, wie u.a. aus Revolutionizing The Online Shopping Experience Through A Social Credibility Score Blockchain Network hervorgeht.

Hauptelement ist der Credo Score, der Auskunft über die digitale Reputation der Person gibt. Der Credo Score wird beeinflusst von der Qualität bzw. Aussagekraft der digitalen Identität, der Bereitschaft anderer Personen ein (positives) Urteil abzugeben und von dem Verhalten der Person im Netz. In Credo Score 2.0 ist etwas mehr zu erfahren.

 When you sign up, and if you are willing to provide sufficient identity verification, you start out at the low end of “good” reputation, as you get the benefit of the doubt. Then, you can work your way up by getting endorsements from people and building up your transaction history. But it will take time before you can get to “excellent” reputation. Depending on how active you are, it could take anywhere from a few months to over a year. At the same time, getting just a handful of terrible ratings can bring your reputation down significantly — it can drop from “excellent” to “good” or even “fair” in a span of a single week.

In Reputation Scores: the good, the bad, and the ugly grenzt sich Credo360 deutlich von dem Social Credit System in China ab.

Ein Kritikpunkt:

The score does not belong to you: not only is the information that goes into the score gathered without your knowledge and permission, but the score itself can be used without your consent. This is by far the most troublesome aspect — it completely robs people of their privacy.

Stattdessen:

The score should belong to you — you should be able to determine who can see your score, when they can see it, and how much other info you want to share with them.

Der Credo360-Score hat Ähnlichkeit mit dem MeScore von Meeco und dem Trustscore von Apple.

Die Frage ist nun, was eine Person unternehmen kann, wenn ihr Score von anderen mutwillig verschlechtert wird. Welche (Schlichtungs-) Instanz kann dann angerufen werden? Wie transparent ist der Rating-Algorithmus? Wie kann diskriminierendes Verhalten verhindert werden?

Veröffentlicht unter Blockchain / Distributed Ledger Technology, Datensouveränität, Digitale Identitäten | Hinterlasse einen Kommentar

Identity Economy: Ein kurzer Wochenrückblick #76

Von Ralf Keuper

Anbei eine Liste von Beiträgen, die mir in dieser Woche besonders ins Auge gefallen sind:

How Self-Sovereign Identity Platforms Help Businesses and Clients Assert Their Digital IDs

2018: a year of rapid growth in the self-sovereign identity landscape

Yoti Helps Jägermeister with Online Alcohol Sales

Das bringt uns die digitale Identität

Younger consumers happy to trade personal data for benefits

David Goldstein – ID4me Developed For A Domain Name-Based Secure Login

How To Choose The Best ID Verification Provider For Your Business

Wo die digitale Identität in der Schweiz steht

eIDAS and the EU’s mission to create a truly portable identity

Veröffentlicht unter Sonstiges, Wochenrückblick | Hinterlasse einen Kommentar