Von Ralf Keuper

Dass Mas­ter­card das The­ma Digi­ta­le Iden­ti­tä­ten für sich ent­deckt hat, ist nich neu. Auf die­sem Blog wur­den die Akti­vi­tä­ten von Mas­ter­card in Mas­ter­card und Micro­soft pla­nen gemein­sa­me Digi­tal Iden­ti­ty – Lösung aufgegriffen.

Nun hat Mas­ter­card den nächs­ten Schritt voll­zo­gen und sein ver­brau­cher­zen­trier­tes Modell für die digi­ta­le Iden­ti­tät vorgestellt.

Mas­ter­card hat .. ein Modell für die digi­ta­le Iden­ti­tät in einer zuneh­mend ver­netz­ten Welt vor­ge­stellt. Das Kon­zept Res­to­ring Trust in a Digi­tal World gibt einen detail­lier­ten Über­blick dar­über, wie digi­ta­le Iden­ti­tät funk­tio­nie­ren wird – ange­fan­gen bei Ein­zel­per­so­nen, die im Zen­trum jeder digi­ta­len Inter­ak­ti­on ste­hen.  Als Leit­fa­den für die­ses Modell die­nen die Prin­ci­ples of Digi­tal Iden­ti­ty von Mas­ter­card. Die­se Grund­sät­ze kon­zen­trie­ren sich auf Daten­rech­te und ‑besitz, Ver­trau­lich­keit, Zustim­mung, Trans­pa­renz, Sicher­heit und Inklu­si­on. Sie erge­ben ein grund­le­gen­des Per­sön­lich­keits­recht: „Ich besit­ze mei­ne Iden­ti­tät und habe Kon­trol­le über mei­ne Iden­ti­täts­da­ten.” (Quel­le: Mas­ter­card stellt ver­brau­cher­zen­trier­tes Modell für die digi­ta­le Iden­ti­tät vor).

Das Modell folgt dem Prin­zip Daten­schutz by Design:

Es wird digi­ta­le Inter­ak­tio­nen mit mini­ma­lem Daten­aus­tausch ermög­li­chen und Daten und die Ver­wen­dung von Daten so schüt­zen, dass die Nut­zer die Kon­trol­le haben, wobei die Iden­ti­tät einer Per­son sicher mit ihrem Smart­phone ver­knüpft ist. Der Zugang zu einer digi­ta­len Iden­ti­tät wird den Men­schen neue und ver­bes­ser­te Erleb­nis­se ermög­li­chen, wenn sie mit Unter­neh­men, Dienst­leis­tern und ihren Com­mu­ni­ties online inter­agie­ren, ein effi­zi­en­te­res Online-Shop­ping-Erleb­nis, einen rei­bungs­lo­se­ren Pro­zess zur Eröff­nung eines Bank­kon­tos oder zur Ein­rei­chung von Steu­ern und eine effi­zi­en­te­re Nut­zung von E‑Mail‑, Social Media- und Unter­hal­tungs­platt­for­men ermög­li­chen. Außer­dem wird das Risi­ko von Betrug und Iden­ti­täts­dieb­stahl redu­ziert (ebd.).

Mas­ter­card setzt auf ein föde­ra­ti­ves Modell, d.h. der Nut­zer hat das Recht bzw. die Mög­lich­keit, zwi­schen ver­trau­ens­wür­di­gen Anbie­tern zu wäh­len, sich abzu­mel­den oder den Anbie­ter zu wech­seln. In Res­to­ring Trust in a Digi­tal World geht Mas­ter­card näher auf sei­nen Ansatz ein.

Die Pass­wort-Pro­ble­ma­tik wer­de sich mit der Ver­brei­tung des Inter­nets der Din­ge noch ver­stär­ken, wes­halb ver­trau­ens­wür­di­ge Digi­ta­le Iden­ti­tä­ten mit ent­spre­chen­der Infra­struk­tur benö­tigt werden:

An avera­ge user can be faced with 150 log­in accounts to mana­ge, all with dis­pa­ra­te approa­ches to pass­words and authen­ti­ca­ti­on. Yet iden­ti­ty fraud is incre­asing and has beco­me a far big­ger pro­blem online than it is o ine. The­se risks mul­ti­ply in the Inter­net of Things (IoT). Within a few years, there’ll be 50 billion3 con­nec­ted devices and sen­sors, each one pre­sen­ting a poten­ti­al secu­ri­ty vul­nerabi­li­ty for the peo­p­le depen­dent on them.

Damit die Nut­zer sich mit ihren Digi­ta­len Iden­ti­tä­ten sicher im Netz bewe­gen kön­nen, wer­den zwei neue Rol­len eingeführt:

The Trust Pro­vi­der and the Digi­tal Iden­ti­ty Ser­vice Pro­vi­der. The trust pro­vi­der ide­al­ly has a preexis­ting rela­ti­onship of trust with the user—its brand acting as a bridge to a digi­tal iden­ti­ty ser­vice. It might be the user’s bank, for exam­p­le. The trust pro­vi­der also supplies
the tools and ser­vice con­nec­ti­vi­ty for users to regis­ter for, use, and mana­ge their digi­tal identities.

Quel­le: Mastercard

Tech­no­lo­gisch setzt die Lösung auf Bio­me­trie und Block­chain. Als Stan­dards wer­den eIDAS und Nist unter­stützt, dem DID-Ansatz steht man offen gegenüber.

Sei­ne eige­ne Rol­le hat Mas­ter­card natür­lich auch definiert:

Mas­ter­card is inves­t­ing in an eco­sys­tem for trus­ted digi­tal inter­ac­tions. We are crea­ting a new digi­tal iden­ti­ty sys­tem that works for ever­yo­ne. One that is more secu­re, more inclu­si­ve, more con­ve­ni­ent, and does a bet­ter job of pro­tec­ting people’s pri­va­cy (Quel­le: ebd.).

Als Plus­punk­te nennt Mas­ter­card u.a.:

  • With pro­ven exper­ti­se in buil­ding and ope­ra­ting a lar­ge glo­bal pay­ment net­work, Mas­ter­card is able to pro­vi­de a sca­lable net­work ser­vice for digi­tal iden­ti­ty. Defi­ning net­work sche­me rules, legal con­tracts, and gover­nan­ce in clo­se col­la­bo­ra­ti­on with iden­ti­ty sys­tem stake­hol­ders is a cri­ti­cal func­tion. Mas­ter­card leads in this field. 
  • Mas­ter­card is inves­t­ing to build and ope­ra­te a com­mer­cial sche­me for all net­work par­ti­ci­pan­ts, which includes finan­cial, tech­ni­cal, lia­bi­li­ty, secu­ri­ty, pri­va­cy, and ope­ra­tio­nal rules. This is glo­bal in sca­le, inter­ope­ra­ble, and adap­ta­ble to local conditions. 
  • By lever­aging an exis­ting glo­bal net­work sup­port infra­struc­tu­re, we can sup­port the iden­ti­ty net­work at the least cost. 

Das sind in der Tat gewich­ti­ge Argu­men­te, die Mas­ter­card vor­bringt. Inwie­weit die Block­chain, mit ihren dezen­tra­len Ansatz dort hin­ein passt, muss sich noch zei­gen. Sieht nach einer Kom­bi­na­ti­on aus einer pri­va­ten und öffent­li­chen Vari­an­te aus. Eben­so geklärt wer­den muss die Rol­le von Micro­soft. Vor eini­gen Mona­ten war zu lesen:

The part­ners have so far offe­red litt­le detail on their plans, sim­ply say­ing that Mas­ter­card will crea­te ser­vices powered by Micro­soft Azu­re and built in col­la­bo­ra­ti­on with lea­ders in the ban­king, mobi­le net­work ope­ra­tor and govern­ment com­mu­ni­ties (Quel­le: Mas­ter­card and Micro­soft for­ge digi­tal iden­ti­ty part­ner­ship).

Wie dezen­tral ist die Lösung tat­säch­lich? Wer bestimmt die Gover­nan­ce-Regeln? Wo lie­gen die Daten – in den USA? Wer hat im Fall des Fal­les (z.B. Secu­ri­ty Act) Zugriff auf die Daten bzw. auf den Daten­ver­kehr? Wie lässt sich Mas­ter­card sei­nen Ser­vice bezah­len? Wie genau ist die Ver­bin­dung mit dem Smart­phone (abge­lei­te­te mobi­le ID)?.

Auf jeden Fall zeigt der Vor­stoss von Mas­ter­card, dass die The­men Digi­ta­len Iden­ti­tä­ten und Pay­ments zusam­men­wach­sen. Wenn es Mas­ter­card und Visa gelingt, ihre Kre­dit­kar­ten-Regel­wer­ke auf die Digi­ta­len Iden­ti­tä­ten zu über­tra­gen, bege­ben wir uns in Euro­pa in eine neue Abhän­gig­keit. Inso­fern haben Ansät­ze wie von Blue­code ihren Reiz. Aller­dings ist mit Apple ein wei­te­res Schwer­ge­wicht dabei, in den Markt ein­zu­stei­gen und dabei sein eige­nes Netz­werk zu nut­zen, wobei Mas­ter­card über die neue Apple Card indi­rekt mit im Boot ist.

Es zeich­net sich ab, dass in den nächs­ten zwei bis drei Jah­ren die Revie­re abge­steckt wer­den. Wer dann noch abseits steht, bekommt auf lan­ge Zeit kei­nen Fuss mehr in die Tür.

Cross­post von Iden­ti­ty Economy