Dezentrale Identitäten zentral verwalten?

Von Ralf Keuper

Es klingt paradox: Kann man dezentrale Identitäten zentral verwalten bzw. benötigt man für die Verbreitung dezentraler digitaler Identitäten zentrale Instanzen? Bei der Global Association for Digital Identity scheint man dieser Ansicht zu sein (Vgl. dazu: DID Alliance Brings Trust and Accountability to the Digital World With Launch of GADI, the Global Association for Digital Identity). Das stösst bei Evernym, einem der Hauptvertreter selbstverwalteter Digitaler Identitäten, auf Widerspruch. In Staying True to SSI Principles: Our Concerns about GADI setzt sich Drummond Reed kritisch mit den Ideen der GADI auseinander.

While appearing to march under the banner of self-sovereign or “decentralized identity,” several aspects of the press release and the DID Alliance website are strikingly opposed to the very essence of what decentralized identity is all about. We want to call out these concerns, not as a criticism of GADI or the DID Alliance, but as a way to open to encourage dialog on how the industry can move forward with a framework for identity that’s truly decentralized and accessible for all.

Zwar betont Drummond, es handele sich bei seinem Statement um keine Kritik, um im Anschluss daran aber keinen Zweifel daran zu lassen, wie sehr ihm der Vorstoss von GADI gegen den Strich geht. Außenstehende bekommen hier den Eindruck, dass es sich hier um mehr als nur eine temporäre Meinungsverschiedenheit handelt. Eher geht es hier ans Eingemachte.

Die Vorschläge der GADI laufen bestenfalls, so Drummond, auf die Verwirklichung eines föderativen Identitätssystems hinaus. Mit den Prinzipien selbstverwalteter Digitaler Identitäten habe das jedoch nichts zu tun.

In other words, we see individuals relegated to a passive role. Instead of being at the center of their data (as is the vision of SSI), the GADI model does not require consent for organizations to create and assign digital identity data to individuals without their participation.

Die Nutzer würden damit in eine passive Rolle gedrängt. Nach den Vorstellungen der GADI sollen die Nutzer künftig nur eine Digitale Identität von einer zentralen Instanz erhalten, welche, ähnlich wie heute ICANN im Internet, die Adressen verwaltet.

Just as ICANN is in charge of distributing domain names, so too would GADI be in charge of distributing identities on a global scale. It would essentially mean that someone has to give permission: “You can have this identity” or “No, you cannot have this identity.”

In Governance by technical standards: Do digital id platforms re-order or reinforce international relations? beschäftigt sich der Autor Arun Mohan Sukumar mit ähnlichen Fragen. Dabei geht in erster Linie darum, ob und inwieweit Staaten überhaupt gewillt sein werden, dezentrale Systeme für die Verwaltung von Identitäten zu unterstützen.

Veröffentlicht unter Digitale Identitäten, SSI | Schreib einen Kommentar

Why Care About Machine Identities

Veröffentlicht unter Digitale Identitäten, Identity Economy, Industrial Internet der Dinge, Industrie 4.0 | Schreib einen Kommentar

Daten-Treuhand für Gesundheitsdaten?

Von Ralf Keuper

Die Idee klingt auf den ersten Blick gar nicht mal so schlecht: Um die Gesundheitsversorgung mit Hilfe der Digitalisierung, d.h. der Möglichkeit große Datenmengen zu speichern und zu analysieren, zu verbessern, soll die elektronische Patientenakte ePA “als versichertengeführte Akte” eingeführt werden. Über die ePA kann der Patient seine Datensouveränität ausüben, indem er z.B. seine Behandlungsgeschichte einsehen kann. Diese wiederum kann er mit den verschiedenen Leistungserbringern teilen. Die ePA soll die Funktion eines “Vertrauensraums” übernehmen. Daneben könnte die ePA als Daten-Treuhänder fungieren. Diesen Vorschlag machen die Bundesdruckerei und iRighs.Lab in der Studie Zukunft Gesundheitsdaten. Wegweiser zu einer forschungskompatiblen elektronischen Patientenakte.

Die Studie nimmt dabei Bezug auf die Ausführungen des Deutschen Ethikrats:

Um Vertrauen zu fördern und Missbrauch zu verhindern, sollten Datenverwender die technischen und organisatorischen Voraussetzungen dafür schaffen, dass Datenbestände nicht unmittelbar an sie selbst übergeben werden müssen, sondern Treuhandmodelle (zum Beispiel gemeinnützige Stiftungen) zwischengeschaltet werden können. Das kann nicht nur Machtungleichgewichte verringern, sondern auch Interessenkollisionen entgegenwirken. Zumindest im Bereich der medizinbezogenen Forschung und klinischen Praxis sollte politisch darauf hingewirkt werden, dass solche Modelle insbesondere auch in Bezug auf Datenverwender im internationalen Kontext (zum Beispiel Google, Apple, Facebook, Amazon und Microsoft) wirksam werden.

Dazu die Studie:

Eine der Funktionen eines Datentreuhänder-Modells wäre schon dann verwirklicht, wenn es gelänge, die ePA als „Vertrauensraum“ auszugestalten und mit einem differenzierten Zugriffsmanagement zu versehen. Es existierte dann ein Verfahren, das verhindert, dass der Einzelne seine Daten unmittelbar an Verwender weitergibt, und das stattdessen stets die verfügbaren Schnittstellen der TI nutzt. Damit auch ein ungewollter Zugriff Dritter im laufenden Betrieb ausgeschlossen ist, sollte die ePAInfrastruktur zudem so konzipiert sein, dass es für Smartphone-Hersteller, Entwickler von Betriebssystemen oder für andere Apps nicht möglich ist, auf die ePA zuzugreifen, wenn der Versicherte sie sich auf seinem Endgerät anzeigen lässt.

Weiterhin

sieht die TI gerade für die Frage der Forschungskompatibilität einen institutionalisierten Weg vor, wie Daten vom einzelnen Patienten zu Forschungseinrichtungen gelangen. Bei diesem Modell ist keine gemeinnützige Stiftung zwischengeschaltet, wie es der Ethikrat fordert, dafür aber öffentliche Stellen des Bunds in Form der (künftigen) Vertrauensstelle und des Forschungsdatenzentrums.

Das Identitätsmanagement für die ePA könnte demnächst über mobile abgeleitete Identitäten auf dem Smartphone erfolgen (Vgl. dazu: OPTIMOS 2.0: Offenes, praxistaugliches Ökosystem sicherer Identitäten für mobile Dienste (Mobile ID). Dafür sei die eID besonders gut geeignet:

Überhaupt erscheint es angesichts der Tatsache, dass die Bundesrepublik mit der eID des neuen Personalausweises bereits über ein sicheres Identifizierungs- und Authentifizierungsmerkmal verfügt, fraglich, ob es politisch sinnvoll ist, eine Parallelstruktur für den Gesundheitsbereich zu schaffen – oder ob es nicht näher läge, den neuen Portalverbund für E-Government und die neue E-Health-Infrastruktur stärker zu verzahnen. Dann könnten eID und eGK künftig aus einem Guss sein – und insofern das Konzept abgeleiteter Identitäten implementieren.

Ob das die Lösung ist? Ein Datentreuhänder, der die Gesundheitsdaten zentral speichert, ist ein beliebtes Ziel von Hackerangriffen. Sind die Daten bei den Ärzten besser aufgehoben, wie einige Kommentatoren fordern?

Vor einiger Zeit hat die Bertelsmann Stiftung ihre Überlegungen zur Ausgestaltung elektronischer Patientenakten in dem Beitrag Access granted: So lassen sich Zugriffs-Berechtigungen in Elektronischen Patientenakten flexibel und individuell regeln vorgestellt (Vgl. dazu: Der digitale Patient: Zugriffsberechtigungen für elektronische Patientenakten). In dem vom Bundesministerium für Wirtschaft und Forschung geförderten Projekt Guided AL hat die Scheer GmbH eine sichere Gesundheitsplattform für die Assekuranz entwickelt (Vgl. dazu: Sichere Gesundheitplattformen für die Assekuranz (Guided AL)). Hervorzuheben in dem Zusammenhang ist der Medical Dataspace.

Zu klären wäre, inwieweit Selbstverwaltete Digitale Identitäten bzw. Decentralized Identifiers (DID) im Gesundheitsbereich zum Einsatz kommen können.

Veröffentlicht unter Datensouveränität, Digitale Identitäten, SSI, Technik und Gesellschaft | Schreib einen Kommentar

Rahmenwerk Digitale Identitäten (BSI)

Von Ralf Keuper

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Rahmenwerk für Digitale Identitäten vorgestellt:

Der hier vorliegende erste Entwurf der Technischen Richtlinie TR-03159 “Mobile Identities” umfasst zwei Teile:

Der erste Teil präzisiert die Anforderungen der eIDAS-Verordnung bzw. des zugehörigen Durchführungsrechtsaktes für die Anforderungen an Vertrauensniveau für den Bereich der mobilen Identifizierung auf Vertrauensniveau “substantiell”. Dabei bleiben die Anforderungen implementierungsunabhängig.

Der zweite Teil beschreibt eine konkrete Implementierung basierend auf den Anforderungen des ersten Teils für das deutsche eID-System. Darüber hinaus enthält der zweite Teil Compliance-Anforderungen für einzelne Komponenten des mobilen eID-Systems.

Veröffentlicht unter Digitale Identitäten | Schreib einen Kommentar

Digitale Souveränität oder digitales Mittelalter?

Veröffentlicht unter Datenökonomie, Datensouveränität, Technik und Gesellschaft | Schreib einen Kommentar

Selbstverwaltete Digitale Identitäten für Personen und Maschinen. Aktuelle Marktentwicklung und Ausblick (Report)

Von Ralf Keuper

Im Internet haben wir die für eine freiheitliche Gesellschaft paradoxe Situation, dass die Nutzer nicht autonom über die Verwendung ihrer digitalen Identitäten entscheiden können. Bislang scheint das die Mehrzahl der Nutzer nicht sonderlich zu beunruhigen. Meldungen und Berichte über Identitätsdiebstähle und Datenskandale sorgen zwar für Empörung, auf das Verhalten der Nutzer im Internet hat das indes kaum Auswirkungen.

Mit der Möglichkeit, auf sichere und komfortable Weise die eigenen digitalen Identitäten selbständig zu managen, könnte sich das ändern. Noch steckt die Entwicklung, insbesondere in Deutschland, in den Kinderschuhen. Dennoch sind in vergangenen Jahren weltweit zahlreiche Initiativen und Lösungen entstanden, die für die Verbreitung selbstverwalteter Digitaler Identitäten sorgen wollen, wie Sovrin oder der Bundesverband Blockchain (Bundesblock).
Auch die Unternehmen erkennen langsam das Potenzial selbstverwalteter Digitaler Identitäten, wenn es darum geht, Betrug zu verhindern und die Kundenbindung zu stärken. Die Nutzer und Kunden hätten den Vorteil, selber über die Herausgabe und Verwendung ihrer Identitätsdaten entscheiden zu können. Nur die Daten, die für einen bestimmten Vorgang nötig sind, werden freigegeben. Weiterhin können die Nutzer sich anonym mit ihrer verifizierten Identität bewegen; sie müssen sich also nicht mehr mit ungewünschter Werbung beschäftigen. Denkbar ist, dass die Nutzer ihre Daten Dritten – gegen Entgelt oder bessere Konditionen – zur Verfügung stellen.

Identitätsdienstleister haben die Chance, sich über die Qualität der von ihnen verifizierten Identitäten/Identitätsmerkmale und durch Zusatzservices von ihren Mitbewerbern abzusetzen.

Großes, weitgehend noch ungenutztes Potenzial schlummert bei den Identitäten für Maschinen. Vorstellbar sind Technologiedatenmarktplätze, auf denen die Identitätsmerkmale (Claims) der Maschinen gehandelt werden. Die Maschinen agieren dabei weitgehend autonom. Mittel- bis langfristig könnte daraus eine neue Asset-Klasse entstehen. Der Industrie und den Anlegern würden sich dadurch ganz neue Einnahme- und Finanzierungsquellen eröffnen.

Der vorliegende Report kommt zu dem Ergebnis, dass, wenn wir in Deutschland und Europa unseren Wohlstand erhalten und an der Wahlfreiheit der Bürger als dessen Quelle festhalten wollen, kaum ein Weg an der Einführung zumindest dezentraler, nach Möglichkeit jedoch selbstverwalteter Digitaler Identitäten vor bei führt.

Veröffentlicht unter Datensouveränität, Digitale Identitäten, SSI | Schreib einen Kommentar

Cloud Services Made in Germany

Von Ralf Keuper

Bereits im Jahr 2010 wurde von der AppSphere AG die Initiative Cloud Services Made in Germany ins Leben gerufenen. Mittlerweile haben sich unterschiedlichste Anbieter von Lösungen aus den Bereichen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) der Initiative angeschlossen, mit dem Ziel , für mehr Rechtssicherheit beim Einsatz von Cloud Computing-Lösungen zu sorgen.

Einen guten Einblick in die Arbeit der Initiative gewährt die aktuelle Schrift „Initiative Cloud Services Made in Germany im Gespräch…“

Veröffentlicht unter Datenökonomie, Datensouveränität, Standards/Protokolle | Schreib einen Kommentar

Einheitliche Regulierung und bestreitbare Märkte für Plattformen – Konsumentensouveränität und Datenportabilität

Von Ralf Keuper

In seinem Jahresgutachten bezieht der Sachverständigenrat Stellung zu der wachsenden Marktmacht der großen Technologiekonzerne und Plattformen.

Dem Versuch, durch industriepolitische Maßnahmen in Deutschland und Europa ein Gegengewicht zu Amazon & Co. zu bilden, stehen die Autoren skeptisch gegenüber. Eher gelte es den europäischen digitalen Binnenmarkt zu stärken:

Statt der staatlichen Schaffung von Champions scheint es daher zielführender, an den Ursachen anzusetzen. So ist es bezeichnend, dass die Marktführer in der Digitalwirtschaft aus den USA und China kommen, also auf einen großen, einheitlich regulierten Heimatmarkt zurückgreifen können. Dies erleichtert die Skalierung von Plattformen, die notwendig ist, um die für Netzwerkeffekte kritische Größe zu erreichen. Die Vertiefung des europäischen digitalen Binnenmarkts könnte diese Bedingungen in Europa herstellen und die Entwicklung europäischer Digitalunternehmen begünstigen (Europäische Kommission, 2018b; JG 2018 Ziffer 143).

Der Sachverständigenrat mahnt die Realisierung von Datenportabilität und Konsumentensouveränität an:

Um Markteintrittsbarrieren für neue Anbieter trotz der Netzwerk- und Skaleneffekte der Datennutzung zu reduzieren und Wettbewerb zu erleichtern, wird die Pflicht zur Gewährleistung von Datenportabilität sowie die Stärkung der Konsumentensouveränität über Daten angemahnt. Die Portabilität von Daten soll insbesondere für arktbeherrschende Plattformen durch die Pflicht zur Bereitstellung interoperabler Datenformate hergestellt werden.

Selbstverwaltete Digitale Identitäten, so der aktuelle von diesem Blog zusammen mit Bankstil herausgegebenen Report Selbstverwaltete Digitale Identitäten für Personen und Maschinen, sind unverzichtbar bei der Durchsetzung der Konsumentensouveränität – aber auch für die der Maschinen und Geräte.

Veröffentlicht unter Datensouveränität, Digitale Identitäten, Digitale Plattformen / Plattformökonomie, Sonstiges, SSI | Schreib einen Kommentar

GAIA-X schafft eine vernetzte Dateninfrastruktur für die Bürgerinnen und Bürger sowie für die Unternehmen in Deutschland, Europa und der Welt

Veröffentlicht unter Datenökonomie, Datensouveränität, Digitale Plattformen / Plattformökonomie, Technik und Gesellschaft | Schreib einen Kommentar

Agentenzentrierte Identitäten für Industrie 4.0

Von Ralf Keuper

Der Einsatz von Softwareagenten in der vernetzten Produktion verspricht großes Potenzial. Agenten könnten im Auftrag von Maschinen mit anderen Maschinen über Lieferungen, Preise und Bezahlmodalitäten verhandeln. Dieses Szenario erörtert der VDI in Agenten zur Realisierung von Industrie 4.0. Wenn Softwareagenten als Stellvertreter für Maschinen und deren Digitale Zwillinge auftreten wollen, dann benötigen sie dazu eindeutige Identitäten – agentenzentrierte Identitäten. Der VDI unterscheidet u.a. zwischen Kommunikations- und Koordinationsagenten. Die Identität gibt Auskunft über die wesentlichen Eigenschaften/Attribute des Agenten.

Die ID ermöglicht eine eindeutige Identifizierung und wird in der Regel nach ISO 29002-5 (z. B. bei ecl@ss) oder durch eine URI/URL (z. B. zur Verfügung gestellt durch die NAMUR) definiert. Die Attribute selbst werden in der IEC 61360 definiert. Einschlägige Normen dieser Reihe (z. B. IEC 61360-4 bzw. IEC-CDD) helfen bei der Identifikation der relevanten, im Idealfall standardisierten, Merkmale bzw. Attribute.

Bei der Kommunikation zwischen den Agenten werden Informationen zur Identität und zum Datenbereich übergeben:

Eine Nachricht enthält einen Identifikations- sowie einen Datenbereich. Im Identifikationsbereich werden Absender, Empfänger und Referenzen zu bestimmten Konversationen hinterlegt. Innerhalb des Datenbereichs erfolgt die Angabe der Nachrichtenintention bzw. des Zwecks (z. B. „call for proposal“) sowie die eigentlich zu übertragenden Daten (z. B. Zustandsinformationen).

Vorstellbar ist, dass Agenten in der Lage sind, ihre Identitäten selbst zu verwalten. Sie geben nur die Informationen weiter, die von den anderen Agenten für deren Aufgabe benötigt werden. Weiterhin können sie mehr oder weniger anonym agieren, d.h. nicht in jedem Fall muss der Agent seine Identität offenlegen, sofern eine Instanz im Hintergrund für die Richtigkeit der Identitäten garantiert – wie es im Konzept der Selbstverwalteten Identitäten vorgesehen ist. Diesem Ziel nahe kommt Spherity. Zu klären ist die Frage, inwieweit Softwareagenten als Rechtssubjekte behandelt werden können. All das ist lösbar.

Veröffentlicht unter Digitale Identitäten, Digitale Zwillinge, Industrial Internet der Dinge, Industrie 4.0, Internet der Dinge | Schreib einen Kommentar