Von Oliver Naegele und Ralf Keuper  

Die letzten Wochen haben einmal mehr gezeigt, wie groß der Handlungsbedarf in Deutschland und Europa auf dem Gebiet der Digitalen Identitäten ist. Nicht mehr lange, und die großen US-amerikanischen Technologiekonzerne schließen die letzte Lücke im Internet – die digitale Identifizierung.

Als erster US-Bundesstaat bietet Arizona seinen Bürgerinnen und Bürgern mittlerweile die Möglichkeit, Führerscheine und andere Ausweisdokumente in einer ID Wallet auf dem iPhone zu hinterlegen^[1]Apple startet offiziell digitale ID auf dem Smartphone. Weitere Bundesstaaten, die Rede ist von bis zu 30, wollen folgen bzw. stehen in Gesprächen mit Apple. Einige Bundesstaaten haben sich bereits dazu verpflichtet, die mobile ID-Lösung den Einwohnern “proaktiv” anzubieten, sie zu vermarkten und sie als akzeptablen Ausweis für Regierungsbehörden, z. B. für die Strafverfolgungsbehörden, zu bewerben. Außerdem haben sie bereit erklärt, die Verantwortung für die Wartung der mobilen ID-Systeme zu übernehmen.

Derweil musste das Bundesinnenministerium einräumen, dass sich der Start der Smart eID weiter verzögert^[2]Start der Smart eID verzögert sich weiter.

Allerdings gibt es auch Hoffnungsschimmer: So übernahm der tschechische Anbieter von Sicherheitslösungen für das Internet, avast, den kanadischen Vorreiter dezentraler Digitaler Identitäten, SecureKey. Einige Monate zuvor erwarb avast den Pionier der selbstverwalteten Digitalen Identitäten, Evernym aus den USA^[3]Avast übernimmt nach Evernym den nächsten Anbieter dezentraler Digitaler Identitäten. Angesichts der Tatsache, dass die europäische Gemeinschaft bis 2022 und darüber hinaus in die digitale Identitätsinfrastruktur des öffentlichen und privaten Sektors investiert, sehe man sich bei Avast als kollaborativen Anbieter von digitalen Vertrauensdiensten für Menschen, digitale Unternehmen und Behörden gut positioniert, so Charles Walton, General Manager und SVP Identity, Avast.

In Deutschland verharrt man unterdessen in einer Art Schockstarre. Zwar wird an vielen Stellen gewerkelt – genannt seien das Projekt Schaufenster Sichere Digitale Identitäten und die Smart eID – von einer leistungsfähigen und belastbaren Infrastruktur, die ein Gegengewicht zu den mehr oder weniger proprietären Systemen von Apple und Google bilden könnten, kann indes nicht die Rede sein. In der Wirtschaft versucht es jede Branche oder jedes Unternehmen, das sich für groß genug hält, es auf eigene Faust zu schaffen.

Wie auch immer. Klagen führt uns nicht weiter. Wenden wir uns stattdessen lieber der Frage zu, warum wir eine, nach Möglichkeit selbstverwaltete digitale Identität benötigen, welche Änderungen an der vorhandenen Infrastruktur nötig sind, welche Akteure dafür ihre abwartende Haltung überwinden müssten und welche sicherheitskritischen Probleme zu lösen sind.

________________________

Kann ein Identitäts-Ökosystem unabhängig betrachtet werden?

Identitätsdienstleistungen sind kein Selbstzweck. Es ist nicht davon auszugehen, dass der Nutzende die Verifizierung seiner Daten ohne den eigentlichen Geschäftsvorfall als Anlass durchführt. Dadurch muss der initiale Impuls zur Erstellung einer Digitalen Identität eingebunden in ein für den Nutzenden bekanntes Schema erfolgen und durch einen erkennbaren Vorteil in dauerhafte Nutzung überführt werden. Die dauerhafte Nutzung hängt von der Verfügbarkeit und Einfachheit von Akzeptanzstellen ab. In dem Aufbau eines standardisierten Identitäts-Ökosystems liegt für die Unternehmen ein enormes Einspar- und Wachstumspotential. Heutzutage brechen 2 von 3 Nutzern das Onboarding ab (Quelle Business Times). Internetnutzer haben durchschnittlich bereits mehr als 75 Zugänge (Quelle Com Magazin), von denen sie oftmals nicht mehr wissen. Nach einer McKinsey Studie aus dem Jahr 2019 ist das Einsparpotential durch die Einführung einer Digitalen selbstbestimmten Identität bei 90%.

Die Gründe dagegen kommen in der Regel von 2 Seiten. Regulatorik auf der einen Seite und auf der anderen Seite die Abschottung eines eigenen Marktes durch die bestehenden Marktteilnehmer.

Wie funktioniert das denn eigentlich?

Der Prozessschritt der Identifizierung kann schematisch isoliert und vereinfacht auf einen sogenannten Vierpol reduzieren werden. Es wird eine semantisch strukturierte und kryptografisch signierte Anfrage an den Halter der eigenen Identitätsnachweise gesendet und diese wird mit einer semantisch strukturierten und ebenfalls kryptografisch signierten Antwort inkl. dem kryptografisch gesicherten Nachweis der vertrauensvollen Ausstellerinstanz zurückgegeben. Die Komplexität des Vierpols kann dabei sehr unterschiedlich sein und unterschiedliche Prozessschritte beinhalten (Kombination aus verschiedenen Vierpolen). Entscheidend für ein Identitäts-Ökosystem ist aber die Wiederverwendbarkeit und die Standardisierung um die wichtigsten Forderungen nach Datenschutz, Interoperabilität, kommerzielle Vorteile, Sicherheit, Nutzerverhalten und etlichen Weiteren die sich aus den Vorgaben der DSGVO ergeben. Dieser Nachweis in Form von sogenannten verifizierbaren Merkmalen (Verifiable Credentials) ist dabei unabhängig von DLT oder Blockchain-Technologie zu betrachten.

Conclusio

Es braucht also ein Netzwerk von Akzeptanzstellen, die sich mit diesen Vierpolen verbinden können. Demnach ist Digitale Identität kein Selbstzweck und die zeitliche Abfolge der Nutzung somit von diesen Akzeptanzstellen abhängig. Damit sind wir in dem Bereich der Schnittstellen-Infrastruktur und Ökonomie.

Es muss eine intermediäre Zeit überbrückt werden bzw. das System so gebaut werden, dass Bestandssysteme (Legacy) ebenso wie Web3-Systeme unabhängig voneinander als Endpunkte verwendet werden können. Hierzu sind Standards wie OIDC, REST-API und JSON auf die bestehenden ISO-Standards für das Daten-Mapping und die Signaturen anzuwenden.

Was muss dann also ein Smart ID Wallet System leisten:

• Privatwirtschaftliche Wallets haben ein nachhaltiges, transparentes Geschäftsmodell und sind deshalb auch mit WEB3 Fähigkeiten für programmierbare Bezahlsysteme versehen.
• Staatliche Wallets sind beschränkt auf hoheitliche Aufgaben nach Schutzniveau hoch und sind in der Lage sich mit privatwirtschaftlichen Wallets zu verbinden oder lassen sich in diese integrieren.
• Identitätsdaten sollen sofort abrufbar und nutzbar sein.
• In einer Schnittstellen-Infrastruktur werden Identitätsdaten durch Get und Post-Prozesse übermittelt. Dabei ist das Identität-Datenpaket strukturiert in Form eines JSON-Objekts für den Empfänger verschlüsselt und signiert und nur für diesen einsehbar.
• Freigabe von Identitätsdetails oder Identitätsdaten sind durch das Identitätssubjekt zu tätigen.
• Rücknahme von Identitätsdatenübermittlung ist nicht das Ziel eines Identitäts-Ökosystems. In der Schnittstellen-Infrastruktur werden die Daten typischerweise auf dem Zielsystem weiterverarbeitet und anderweitig gespeichert. Für die beteiligten Parteien gelten die Regeln der DSGVO ohne Ausnahme.
• Falls die Akzeptanzstelle nach einer Umstellung auf eine andere Art der Datenübernahme die personenbezogenen Daten nicht mehr weiterverarbeitet, kann eine Übergabe der Daten über Zero-Knowledge Trust erfolgen und damit die Nachweispflicht auf den Sender übertragen werden.
• Der Zugriff auf Identitätsdaten durch den Empfänger ist zurücknehmbar (revocation).
• Nutzerkonten und Zugriffe durch eine Selbstbestimmte Identität ist gleichberechtigt. Die Einfachheit für den Nutzer ist bei selbstbestimmten Identitäten besser. Der Nutzer schafft sein eigenes Identität-Ökosystem und verbindet sich zu anderen Identität-Ökosystemen.
• Jede Form von Konto und Finanztransaktionsdaten mit einem Schutzbedarf kann über eine Crypto-Wallet ersetzt werden.
• Jede Form von Crypto-Wallet wird durch die Erweiterung einer selbstbestimmten Identität zu einer vollständigen DeFi-Wallet inkl. Geldwäsche und Sanktionslisten-Check.
• Anonyme Crypto-Wallets werden eine Ausnahme für anonyme Zahlformen werden. An ihre Stelle werden Smart ID-Wallets auf Grundlage von Crypto-Wallets treten. Dabei können mehrere Crypto-Wallets von einer Smart ID-Wallet verwaltet werden.
• Der Wallet-Betreiber hat dem Nutzer das Recht auf Eigen- oder Fremdverwaltung seiner privaten Schlüssel anzubieten. Eine Eigenverwaltung der kryptografischen Schlüssel ist durch ein Opt-Out durchführbar und stellt die Ausnahme dar.
• Die kryptografischen Schlüssel sind nicht durch den Nutzenden verwaltbar es sei denn, er will dies explizit.
• Die Nutzung darf nicht von einem bestimmten Smartphone abhängig sein. Eine Smart ID-Wallet muss daher mehrgerätefähig und für alle Gerätetypen einsetzbar sein.
• Signaturen von Verifiable Credentials müssen langzeitkonform LTV sein und deshalb auch an Zeitstempel-Diensten angekoppelt werden. Verifiable Credentials haben damit den gleichen Stellenwert wie Zertifikate.
• Das Signieren von Blöcken auf der Blockchain und die Signatur von Verifiable Credentials ist getrennt zu betrachten. Die Blockchain hat die Finalität der eingehenden Blöcke sicherzustellen.
• Verifiable Credentials werden durch Schemata beschrieben die auch deren Schutzklasse definiert.
• Eine Smart ID-Wallet muss Verifiable Credentials halten, signieren, auflösen und weiterverarbeiten können. Ob die Verifiable Credentials lediglich auf einem mobilen Endgerät, einer angekoppelten Infrastruktur oder einem dezentralen Dateisystem wie IPFS gespeichert werden, muss variabel durch den Typ des Verifiable Credentials und/oder dem Bedarf des Nutzers auswählbar bzw. vorselektiert sein.
• Die Smart ID Wallets sind durch einen angemessenen Zertifizierungsprozess für den Nutzenden als vertrauensvoll identifizierbar.

Ausblick

In dem von der European Union Agency for Cybersecurity (ENISA) herausgegebenen Dokument Digital Identity: Leveraging the SSI Concept to Build Trust geht es in dem Kapitel 4. Digital Identity Considerations of Risks um die verschiedenen Bedrohungsszenarien: “Der Nutzer sollte sich über Downloads informieren und legitime Wallet-Anwendungen verwenden, die Schlüssel, Identität und Identifikationsprozesse sichern. Eine nicht autorisierte Brieftasche kann für den Nutzer einen tatsächlichen Sicherheitsverlust bedeuten, zu Risiken wie mangelnder Vertraulichkeit seiner Daten und einer möglichen Kompromittierung führen“. Als Bedrohungen nennt der Beitrag:

• Auslieferung einer bösartigen Wallet-Software – nicht von der zertifizierten Quelle
• Angriffe auf die Brieftasche während der Lieferung, Installation oder nach der Installation
• Unbefugte Verwaltung der Brieftasche – einschließlich Schlüssel und überprüfbare Daten
• Keine Möglichkeit, die Wallet selbst zu widerrufen

Identitäts-Ökosysteme als Gemeinressource

Besonders geeignet, den Wert vertrauenswürdiger Ökosysteme digitaler Identitäten zu gewährleisten, könnte sein, Infrastrukturen für digitale Identitäten als öffentliches Gut, als gemeinschaftliches Eigentum im Sinne von Elinor Ostrom zu verstehen.  Für ihr Hauptwerk Governing the Commons. The Evolution of Institutions of collective Action erhielt sie im Jahr 2009 den Nobelpreis für Wirtschaftswissenschaften. In der Würdigung der Königlich Schwedischen Akademie der Wissenschaften hieß es, Ostrom habe gezeigt, „wie gemeinschaftliches Eigentum von Nutzerorganisationen erfolgreich verwaltet werden kann“. Im Sinne der 8 Ostrom-Prinzipien sind digitale Identitäten Gemeinresssourcen: „Wenn wir Daten – und Identitätsdaten – als eine gemeinsame Ressource betrachten, an der mehrere Interessengruppen beteiligt sind und ein Interesse daran haben, dann haben wir einen Weg, diese Systeme als gemeinsame Ressourcensysteme zu verwalten“^[4]Prinzipien für faire Ökosysteme Digitaler Identitäten.

Identitäts-Ökosysteme werden sich künftig daran messen lassen müssen, wie es ihnen gelingt, die Wallets der Nutzer vor unbefugten Zugriffen zu schützen und Strukturen zu etablieren, die klar zwischen legitimen Nutzern und Nicht-Nutzungsberechtigten unterscheiden sowie den betroffenen Nutzern die Möglichkeit gibt, an Entscheidungen zur Bestimmung und Änderung der Nutzungsregeln teilzunehmen – wie bei einer Genossenschaft.