Digitale Identitäten: Lektionen aus Kanada

Von Ralf Keuper

Die Einführung Digitaler Identitäten für die Bürger eines Landes ist bislang nur in wenigen Ländern zur Zufriedenheit aller Beteiligten verlaufen. Zu den wenigen Ländern, denen es gelungen ist, die Bürger “mitzunehmen”, zählt Estland mit e-identity. Umstritten ist dagegen Aadhaar in Indien. Jeder Bürger Indiens erhält eine persönliche Identifikationsnummer. Unter dieser Nummer werden biometrische und biografische Daten in einer zentralen Datenbank gespeichert. Mittlerweile sind fast alle Bürger Indiens über 18 Jahre in der weltweit größten biometrischen Datenbank erfasst.

Zwischen diesen “Extremen” bewegt sich Kanada mit seinem Pan-Canadian Trust Framework (PCTF).

In Building Trust: Lessons from Canada’s Approach to Digital Identity erläutert Sunil Abraham die wesentlichen Merkmale und Vorzüge des PCTF.

Federführend bei der Entwicklung des PCTF war  The Digital ID & Authenticitation Council of Canada (DIACC), das im Jahr 2012 als self governing entity ins Leben gerufen wurde. Im März 2019 konnte der erste Entwurf des Pan Canadian Trust Framework vorgestellt werden. Er kann sich auf einen breiten gesellschaftlichen Konsens in Kanada stützen, was auf das umsichtige Vorgehen der DIACC zurückzuführen ist:

Ein Hauptgrund ist, dass die DIACC weder die bestehenden Institutionen im Identitäts-Ökosystem noch die Beziehung zwischen Bürgern und diesen Institutionen untergräbt. Vielmehr stärkt die DIACC durch den Rahmen eben diese Institutionen, indem sie einen universell akzeptablen Überprüfungsstandard für jede Person, jede Organisation und jede Beziehung bereitstellt. Diese allumfassende Haltung ergibt sich aus einer authentischen Praxis der Multi-Stakeholder-Koordination.

Ein weiterer Erfolgsfaktor ist der Netzwerkgedanke:

Laut Joni Brennan, Präsident des DIACC, erfordert der Schlüssel zur Lösung des Problems der digitalen Identität “interoperable Netze, in denen überprüfbare Datenanforderer bestimmte Attribute zur Überprüfung anfordern und Attributüberprüfer diese Überprüfung vornehmen”. Dies lehnt sich an die Internet-Architektur an, bei der es keinen einzigen Ausfallpunkt gibt.

Bereits in der Konzeptionsphase des PCTF wurden international anerkannte Standards, wie Transport Layer Security (TLS) und Decentralizied Identifiers (DID) berücksichtigt. Ebenso wurden bestehende nationale Standards wie die User Authenticitation Guidance for Information Technology einbezogen.

Wichtige Rollen im PCTF spielen verifialbe credentials und Decentralized Identifiers:

Dezentrale Identifikatoren beinhalten die Verwendung von Token, so dass anstelle der Verbreitung von ID-Nummern über mehrere staatliche oder private Datenbanken, die eine Überwachung ermöglichen, für jeden Zweck einzigartige Token verwendet werden. Dadurch wird auch die Verantwortlichkeit erhöht, da Verstöße mit einem bestimmten für die Datenverarbeitung Verantwortlichen in Verbindung gebracht werden können. Die W3C-Standards ermöglichen auch die Anbindung von Teilen des kanadischen Identitäts-Ökosystems an öffentliche oder private Blockchains.

Die Nutzer bzw. Bürger können ihre Digitalen Identitäten aus verschiedenen Mosaiksteinchen zusammensetzen.

… “Das bedeutet, dass die neuen Identitätslösungen nicht als Monopol eingeführt werden sollten, wie es bei herkömmlichen E-Governance-Projekten oft der Fall war.

In Why we need a harmonized EU regulatory framework for digital identity verification stellt Onfido den Ist-Zustand dem Soll-Zustand gegenüber.

Da ist noch einiges in der EU zu tun …

Dieser Beitrag wurde unter Digitale Identitäten, Standards/Protokolle, Technik und Gesellschaft veröffentlicht. Setze ein Lesezeichen auf den Permalink.