Nach Dave Birch dreht sich bei Agentic ID alles um das Kernproblem der Schlüsselhoheit: Weder Menschen noch Organisationen – und erst recht nicht autonome Agenten – sind heute in der Lage, sichere Schlüsselverwaltung in großem Maßstab zuverlässig zu leisten. Die Vision digitaler Selbstsouveränität kollidiert mit einer unbequemen Wahrheit: Kryptographische Kompetenz ist keine demokratische Tugend, sondern eine hochspezialisierte Fähigkeit, die selbst Experten überfordert.
I. Das kryptographische Trilemma der Moderne
Die Debatte um digitale Identität krankt an einem systematischen Kategorienfehler. Was als Problem der Datensouveränität, der Privatsphäre oder der Kontrolle über persönliche Informationen erscheint, entpuppt sich bei genauerer Betrachtung als Infrastrukturproblem der Schlüsselverwaltung. David Birch, dessen Arbeiten zur Digital Identity zu den präzisesten Analysen des Feldes gehören, bringt es auf den Punkt: Digitale Identität ist im Kern ein Key-Management-Problem. Und genau dieses Problem, so seine nüchterne Diagnose, ist extrem schwer zu lösen – für Menschen, für Organisationen, für technische Systeme gleichermaßen.
Die kryptographische Grundwahrheit „Not your keys, not your coins” klingt wie ein Freiheitsversprechen. In der Praxis erweist sie sich als Zumutung, die an den Kompetenzen und Lebensrealitäten der allermeisten Nutzer vorbeigeht. Selbstsouveränität verlangt nicht nur einmalige Anstrengung, sondern dauerhafte Wachsamkeit, technisches Verständnis und die Fähigkeit, über Jahrzehnte hinweg Backup-Strategien, Hardware-Migrationen und Sicherheitsupdates zu managen.
Das ist keine Frage guten Willens, sondern struktureller Überforderung.Strukturierte Argumentation mit IACR-Beispiel zur Schlüsselverwaltung eingebaut.Guter Start. Jetzt die konkreten Beispiele einbauen, die zeigen, dass selbst Experten scheitern. Das IACR-Beispiel ist besonders stark, weil es zeigt, dass selbst in einem hochprofessionellen kryptographischen Kontext die Schlüsselverwaltung versagt.II. Das Scheitern der Kompetenten
Die Fragilität kryptographischer Selbstverwaltung wird besonders deutlich, wenn selbst hochkompetente Akteure versagen. Bei der Wahl der International Association for Cryptologic Research (IACR) – einer Organisation, die sich professionell mit Kryptographie beschäftigt – ging ein Trustee-Schlüssel verloren. Das Wahlergebnis blieb dadurch irreversibel verschlüsselt: ein demokratisches Verfahren, lahmgelegt durch den Verlust eines einzigen kryptographischen Schlüssels.
Wenn Kryptographen ihre eigenen Wahlen nicht mehr entschlüsseln können, wie soll dann die durchschnittliche Nutzerin ihre digitale Identität über Jahrzehnte hinweg souverän verwalten?
Die Beispiele häufen sich: Die 70-jährige Frau, deren auf Papier notierte Wallet-Keys im Brand verloren gingen. Erben, die auf Millionenvermögen in Bitcoin nicht zugreifen können, weil die Seed-Phrase mit ins Grab genommen wurde. Hardware-Wallets, die nach Firmwareupdate die Wiederherstellung verweigern. Jedes dieser Beispiele illustriert dieselbe strukturelle Wahrheit: Private-Key-Management ist keine Fähigkeit, die sich nebenbei erwerben lässt. Es ist eine Spezialdisziplin, die kontinuierliche Aufmerksamkeit, technisches Verständnis und physische Sicherungsmaßnahmen verlangt – eine Kombination, die mit den Alltagsroutinen der meisten Menschen fundamental unvereinbar ist.
III. Von der Identifikation zur Credential-Ökonomie
Die britische National Cyber Security Centre (NCSC) hat das Problem klar umrissen: „Robuste digitale Identität” ist kein Sprint-Projekt, sondern ein Langfristproblem mit vielen beweglichen Teilen. Die Lösung liegt nicht in der perfektionierten Identifikation – dem Nachweis, „wer man ist” –, sondern in der intelligenten Autorisierung: dem Nachweis, „was man tun darf”. Der Unterschied ist kategorial.
Statt Personally Identifiable Information (PII) permanent herumzureichen, sollten verifizierbare Credentials eingesetzt werden: kontextspezifische, minimale Berechtigungsnachweise. Nicht „Ich bin Max Mustermann, geboren am X, wohnhaft in Y”, sondern „Ich bin berechtigt, diese Transaktion durchzuführen” oder „Ich bin über 18″ oder „Ich habe einen gültigen Führerschein”. Diese Verlagerung von Identifikation auf Autorisierung ist das Kernversprechen von Self-Sovereign Identity (SSI).
Doch genau hier setzt die Ernüchterung ein. SSI in seiner „maximalen” Form – vollständige Nutzerhoheit über alle Credentials, dezentrale Speicherung, Abwesenheit von Intermediären – überfordert den Endnutzer systematisch. Die Vision der Selbstsouveränität scheitert nicht am mangelnden Willen der Nutzer, sondern an der Komplexität des Key-Managements, die dieser Vision inhärent ist.Reconciled SSI ideals with practical constraints through custodial delegation.
Jetzt zur Lösung von Birch: Custodial SSI[1]The Key Issues in Agentic ID. Das ist der pragmatische Mittelweg, der die Vorteile von SSI mit realistischer Machbarkeit verbindet. Wichtig ist, dass dies nicht als Kapitulation vor dem Ideal verstanden wird, sondern als Anerkennung der strukturellen Grenzen menschlicher Kompetenz.
IV. Custodial Self-Sovereignty: Der pragmatische Ausweg
Birch plädiert für eine scheinbar paradoxe Lösung: „custodial” Self-Sovereign Identity. Regulierte Institutionen – Banken, spezialisierte Identity Provider, staatliche Stellen – verwalten die kryptographischen Schlüssel im Auftrag der Nutzer. Die Nutzer delegieren die technische Komplexität an professionelle Verwalter, behalten aber die Kontrolle über die Verwendung ihrer Credentials. Identität wird so nicht als Besitz verstanden, sondern als delegierbare, widerrufbare Autorität.
Dieser Ansatz löst mehrere Probleme gleichzeitig:
- Recovery: Wenn das Smartphone verloren geht, kann der Custodian – nach entsprechender Identitätsprüfung – den Zugang wiederherstellen. Der Nutzer muss nicht vorher 24 Wörter in Granit meißeln und in einem Banktresor lagern.
- Delegation: Vertrauenspersonen können temporär Zugriff erhalten – etwa wenn der Nutzer im Krankenhaus liegt oder im hohen Alter Unterstützung br…
References
References ↑1 The Key Issues in Agentic ID