Von Ralf Keuper

In einem gemeinsamen Positionspapier haben die Verbände der deutschen Banken und Sparkassen ihr Bekenntnis zur Einführung Selbstsouveräner Digitaler Identitäten bekräftigt. Die Arbeiten an der ID-Wallet und der Basis-ID müssten – auch bzw. gerade angesichts der Kritik bei der fehlgeschlagenen Einführung des Digitalen Führerscheins – unbedingt fortgeführt werden^[1]Finanzwirtschaft will Neustart von ID Wallet und Basis-ID.

Zahlreiche IT-Sicherheitsexperten haben in den letzten Wochen zunehmend Zweifel an der Vereinbarkeit Selbstsouveräner Digitaler Identitäten mit der Blockchain-Technologie bzw. der DLT geäußert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das schon im Mai erhebliche Zweifel an der Tauglichkeit der ID-Wallet angemeldet hatte^[2]Anfrage „ID-Wallet: Unterlagen zur Prüfung bzw. Freigabe der Apps“, wiederholt seine Kritik in dem Eckpunktepapier für Self-sovereign Identities (SSI).

Selbstsouveräne Digitale Identitäten müssten keineswegs automatisch auf einer DLT beruhen:”Auch andere Systeme, wie beispielsweise verteilte Datenbanken oder Verzeichnisdienste, können für das Datenregister in Betracht kommen. Soll das Register nur zur Verwaltung der Vertrauensanker und nicht als umfassende Claims Registry genutzt werden, kann je nach Anwendungsfall bereits der elektronische Personalausweis eine mögliche Alternative bieten“. Erneut bemängelt das BSI die durch den Einsatz der DLT erhöhte Komplexität des Gesamtsystems. Die Technologie sei noch nicht ausgereift: “Die Distributed-LedgerTechnologie ist nach wie vor geprägt von einer Vielzahl an Einzellösungen, fehlenden Standards und einem Mangel an etablierten Sicherheitsempfehlungen. Sicherheitsempfehlungen fehlen insbesondere in vielen Fällen, in denen neuartige Funktionen durch wenig untersuchte Protokolle und kryptographische Verfahren umgesetzt werden sollen (z. B. für Konsens und Widerruf”^[3]Selbstverwaltete Digitale Identitäten haben noch einige Hürden zu nehmen. Auf die Datensouveränität der Nutzerinnen und Nutzer zu setzen, sei zwar positiv zu werten, könne jedoch nicht über einige Grenzen des Ansatzes hinwegtäuschen: “… Außerdem muss bedacht werden, dass die Nutzung der meisten Dienste die Bereitstellung gewisser Identitätsdaten voraussetzt. Dass sich ein Nutzer bewusst gegen deren Preisgabe entscheiden kann, stärkt zwar seine Datensouveränität, wird aber auch bei SSI dazu führen, dass ihm ein solcher Dienst dann verwehrt bleibt“^[4]Grenzen Selbstsouveräner Digitaler Identitäten #1.

Weiterhin stellt das BSI fest, dass die Eignung einer DLT zur Herstellung des Vertrauens in die Akteure noch nicht im ausreichenden Umfang untersucht sei: “Das komplexe Zusammenspiel zwischen dezentralem Vertrauen, monetären Anreizen und Konsensbildung auf dem Ledger ist noch nicht in dem Maße untersucht, als dass es eine Grundlage für belastbare Sicherheitsaussagen bieten würde“. Angeraten ist die Verwendung einer zentral geführten PKI, um einen sicheren Vertrauensanker für die Authentisierung zu schaffen, denn: “Die Distributed-Ledger-Technologie ist nach derzeitigem Forschungsstand und aktuellen Empfehlungen nicht in der Lage, eigenständig ausreichendes Vertrauen zu schaffen, das für alle Anwendungen eine Authentisierung auf angemessenem Niveau gewährleistet“. Auch für das Datenregister sei eine DLT nur bedingt tauglich: “So ist z. B. die Löschung von Daten aus einem Ledger technisch nicht vorgesehen, aber die dauerhafte Aufbewahrung längst abgelaufener Informationen ist inhaltlich meist überflüssig und erzeugt große Datenmengen. Manipulationen der gespeicherten Claims im Register werden bereits auffallen, wenn der Prüfer Informationen im Register nicht vorfindet oder die anschließende Prüfung der Herausgebersignatur fehlschlägt“.

Ablehnend dem Einsatz einer Blockchain oder einer DLT für SSI stehen einige IT-Sicherheitsexperten gegenüber, wie in dem Radiobeitrag Wie die Union ihren Internetführerschein verlor. Das Konzept Selbstsouveräner Digitaler Identitäten bestehe schon länger, bevor es mit der Blockchain verrührt worden sei. Entscheidend an dem SSI-Konzept ist, dass die (personenbezogenen) Daten immer beim Nutzer liegen und nur er kann darüber entscheiden, wer die Daten sehen darf. Selbst wenn die darunter liegende Infrastruktur wegfallen sollte, bleibt die SSI davon unberührt. Die Diskutanten weisen darauf hin, dass bereits eine Infrastruktur besteht und verwendet wird, welche die Aufgaben erfüllt, die von Blockchain und DLT übernommen werden sollen, so sie denn können. Gemeint ist der ISO- 1803-5 – Standard (Standard mDL), der bereits beim EU-Impfpass, dem Führerschein und dem Reisepass eingesetzt wird. Die daran beteiligten 200 Länder können damit feststellen, ob ein Ausweisdokument, das ihnen präsentiert wird, echt ist. Wie gestern berichtet wurde, will die Flugsicherheitsbehörde TSA (Transportation Security Administration) der USA ab Frühjahr 2022 an Flughäfen in ersten US-Bundesstaaten eine Identifikation über den Standard mDL (Mobile Drivers License – ISO/IEC 18013-5) erlauben. Apple unterstützt bereits den mDL-Standard; Android plant das ebenfalls^[5]Digitaler Ausweisstandard mDL: Breite Unterstützung in USA erwartet.

In der Schweiz setzt der Bundesrat ebenfalls auf das SSI-Konzept, ohne sich jedoch dabei auf eine bestimmte Technologie festzulegen^[6]Schweiz: Staatliche E-ID soll den Nutzerinnen und Nutzern Kontrolle über ihre Daten ermöglichen.

Der Bankenverband spricht sich gegen die von der (damaligen) Bundesregierung auf den Weg gebrachte Einführung einer Smart-eID aus. Die Verbraucher müssten immer dann, “wenn sie sich sicher online identifizieren wollen, per NFC-Funktion ihren Personalausweis einlesen und per PIN freigeben. Bei der geplanten Weiterentwicklung, der „Smart-eID“, würde der Ausweis passwortgeschützt auf Smartphone, Tablet- oder Desktop-PC gespeichert. Einem Ökosystem, in dem Verbraucherinnen und Verbraucher Identitätsmerkmale selbst verwalten, wäre damit eine wesentliche Grundlage entzogen“^[7]Gemeinsame Pressemitteilung von Deutschem Sparkassen- und Giroverband, Bundesverband deutscher Banken und Bundesverband der Deutschen Volksbanken und Raiffeisenbanken. Allerdings handelt es sich bei der Hinterlegung der Identitätsmerkmale in der Sicheren Umgebung (SE) eines Smartphones um die derzeit sicherste und erfolgversprechendste Lösung bei der mobilen Digitalen Identifizierung^[8]Das BSI zur Smart-eID, wie der aktuelle Schritt der US-amerikanischen Flugsicherheitsbehörde sowie die zahlreichen Anwendungsfälle (Impfpass, Führerschein, Reisepass) belegen.

Gut möglich, dass die Banken eines Tages erkennen müssen, auf die falsche Technologie gesetzt zu haben.