Von Oli­ver Nae­ge­le und Ralf Keuper 

Die letz­ten Wochen haben ein­mal mehr gezeigt, wie groß der Hand­lungs­be­darf in Deutsch­land und Euro­pa auf dem Gebiet der Digi­ta­len Iden­ti­tä­ten ist. Nicht mehr lan­ge, und die gro­ßen US-ame­ri­ka­ni­schen Tech­no­lo­gie­kon­zer­ne schlie­ßen die letz­te Lücke im Inter­net – die digi­ta­le Identifizierung.

Als ers­ter US-Bun­des­staat bie­tet Ari­zo­na sei­nen Bür­ge­rin­nen und Bür­gern mitt­ler­wei­le die Mög­lich­keit, Füh­rer­schei­ne und ande­re Aus­weis­do­ku­men­te in einer ID Wal­let auf dem iPho­ne zu hin­ter­le­gen^[1]Apple star­tet offi­zi­ell digi­ta­le ID auf dem Smart­phone. Wei­te­re Bun­des­staa­ten, die Rede ist von bis zu 30, wol­len fol­gen bzw. ste­hen in Gesprä­chen mit Apple. Eini­ge Bun­des­staa­ten haben sich bereits dazu ver­pflich­tet, die mobi­le ID-Lösung den Ein­woh­nern “pro­ak­tiv” anzu­bie­ten, sie zu ver­mark­ten und sie als akzep­ta­blen Aus­weis für Regie­rungs­be­hör­den, z. B. für die Straf­ver­fol­gungs­be­hör­den, zu bewer­ben. Außer­dem haben sie bereit erklärt, die Ver­ant­wor­tung für die War­tung der mobi­len ID-Sys­te­me zu übernehmen.

Der­weil muss­te das Bun­des­in­nen­mi­nis­te­ri­um ein­räu­men, dass sich der Start der Smart eID wei­ter ver­zö­gert^[2]Start der Smart eID ver­zö­gert sich wei­ter.

Aller­dings gibt es auch Hoff­nungs­schim­mer: So über­nahm der tsche­chi­sche Anbie­ter von Sicher­heits­lö­sun­gen für das Inter­net, avast, den kana­di­schen Vor­rei­ter dezen­tra­ler Digi­ta­ler Iden­ti­tä­ten, Secure­Key. Eini­ge Mona­te zuvor erwarb avast den Pio­nier der selbst­ver­wal­te­ten Digi­ta­len Iden­ti­tä­ten, Ever­nym aus den USA^[3]Avast über­nimmt nach Ever­nym den nächs­ten Anbie­ter dezen­tra­ler Digi­ta­ler Iden­ti­tä­ten. Ange­sichts der Tat­sa­che, dass die euro­päi­sche Gemein­schaft bis 2022 und dar­über hin­aus in die digi­ta­le Iden­ti­täts­in­fra­struk­tur des öffent­li­chen und pri­va­ten Sek­tors inves­tiert, sehe man sich bei Avast als kol­la­bo­ra­ti­ven Anbie­ter von digi­ta­len Ver­trau­ens­diens­ten für Men­schen, digi­ta­le Unter­neh­men und Behör­den gut posi­tio­niert, so Charles Walt­on, Gene­ral Mana­ger und SVP Iden­ti­ty, Avast.

In Deutsch­land ver­harrt man unter­des­sen in einer Art Schock­star­re. Zwar wird an vie­len Stel­len gewer­kelt – genannt sei­en das Pro­jekt Schau­fens­ter Siche­re Digi­ta­le Iden­ti­tä­ten und die Smart eID – von einer leis­tungs­fä­hi­gen und belast­ba­ren Infra­struk­tur, die ein Gegen­ge­wicht zu den mehr oder weni­ger pro­prie­tä­ren Sys­te­men von Apple und Goog­le bil­den könn­ten, kann indes nicht die Rede sein. In der Wirt­schaft ver­sucht es jede Bran­che oder jedes Unter­neh­men, das sich für groß genug hält, es auf eige­ne Faust zu schaffen.

Wie auch immer. Kla­gen führt uns nicht wei­ter. Wen­den wir uns statt­des­sen lie­ber der Fra­ge zu, war­um wir eine, nach Mög­lich­keit selbst­ver­wal­te­te digi­ta­le Iden­ti­tät benö­ti­gen, wel­che Ände­run­gen an der vor­han­de­nen Infra­struk­tur nötig sind, wel­che Akteu­re dafür ihre abwar­ten­de Hal­tung über­win­den müss­ten und wel­che sicher­heits­kri­ti­schen Pro­ble­me zu lösen sind.

_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​

Kann ein Iden­ti­täts-Öko­sys­tem unab­hän­gig betrach­tet werden?

Iden­ti­täts­dienst­leis­tun­gen sind kein Selbst­zweck. Es ist nicht davon aus­zu­ge­hen, dass der Nut­zen­de die Veri­fi­zie­rung sei­ner Daten ohne den eigent­li­chen Geschäfts­vor­fall als Anlass durch­führt. Dadurch muss der initia­le Impuls zur Erstel­lung einer Digi­ta­len Iden­ti­tät ein­ge­bun­den in ein für den Nut­zen­den bekann­tes Sche­ma erfol­gen und durch einen erkenn­ba­ren Vor­teil in dau­er­haf­te Nut­zung über­führt wer­den. Die dau­er­haf­te Nut­zung hängt von der Ver­füg­bar­keit und Ein­fach­heit von Akzep­tanz­stel­len ab. In dem Auf­bau eines stan­dar­di­sier­ten Iden­ti­täts-Öko­sys­tems liegt für die Unter­neh­men ein enor­mes Ein­spar- und Wachs­tums­po­ten­ti­al. Heut­zu­ta­ge bre­chen 2 von 3 Nut­zern das Onboar­ding ab (Quel­le Busi­ness Times). Inter­net­nut­zer haben durch­schnitt­lich bereits mehr als 75 Zugän­ge (Quel­le Com Maga­zin), von denen sie oft­mals nicht mehr wis­sen. Nach einer McK­in­sey Stu­die aus dem Jahr 2019 ist das Ein­spar­po­ten­ti­al durch die Ein­füh­rung einer Digi­ta­len selbst­be­stimm­ten Iden­ti­tät bei 90%.

Die Grün­de dage­gen kom­men in der Regel von 2 Sei­ten. Regu­la­to­rik auf der einen Sei­te und auf der ande­ren Sei­te die Abschot­tung eines eige­nen Mark­tes durch die bestehen­den Marktteilnehmer.

Wie funk­tio­niert das denn eigentlich?

Der Pro­zess­schritt der Iden­ti­fi­zie­rung kann sche­ma­tisch iso­liert und ver­ein­facht auf einen soge­nann­ten Vier­pol redu­zie­ren wer­den. Es wird eine seman­tisch struk­tu­rier­te und kryp­to­gra­fisch signier­te Anfra­ge an den Hal­ter der eige­nen Iden­ti­täts­nach­wei­se gesen­det und die­se wird mit einer seman­tisch struk­tu­rier­ten und eben­falls kryp­to­gra­fisch signier­ten Ant­wort inkl. dem kryp­to­gra­fisch gesi­cher­ten Nach­weis der ver­trau­ens­vol­len Aus­stel­ler­instanz zurück­ge­ge­ben. Die Kom­ple­xi­tät des Vier­pols kann dabei sehr unter­schied­lich sein und unter­schied­li­che Pro­zess­schrit­te beinhal­ten (Kom­bi­na­ti­on aus ver­schie­de­nen Vier­po­len). Ent­schei­dend für ein Iden­ti­täts-Öko­sys­tem ist aber die Wie­der­ver­wend­bar­keit und die Stan­dar­di­sie­rung um die wich­tigs­ten For­de­run­gen nach Daten­schutz, Inter­ope­ra­bi­li­tät, kom­mer­zi­el­le Vor­tei­le, Sicher­heit, Nut­zer­ver­hal­ten und etli­chen Wei­te­ren die sich aus den Vor­ga­ben der DSGVO erge­ben. Die­ser Nach­weis in Form von soge­nann­ten veri­fi­zier­ba­ren Merk­ma­len (Veri­fia­ble Cre­den­ti­als) ist dabei unab­hän­gig von DLT oder Block­chain-Tech­no­lo­gie zu betrachten.

Con­clu­sio

Es braucht also ein Netz­werk von Akzep­tanz­stel­len, die sich mit die­sen Vier­po­len ver­bin­den kön­nen. Dem­nach ist Digi­ta­le Iden­ti­tät kein Selbst­zweck und die zeit­li­che Abfol­ge der Nut­zung somit von die­sen Akzep­tanz­stel­len abhän­gig. Damit sind wir in dem Bereich der Schnitt­stel­len-Infra­struk­tur und Ökonomie.

Es muss eine inter­me­diä­re Zeit über­brückt wer­den bzw. das Sys­tem so gebaut wer­den, dass Bestands­sys­te­me (Lega­cy) eben­so wie Web3-Sys­te­me unab­hän­gig von­ein­an­der als End­punk­te ver­wen­det wer­den kön­nen. Hier­zu sind Stan­dards wie OIDC, REST-API und JSON auf die bestehen­den ISO-Stan­dards für das Daten-Map­ping und die Signa­tu­ren anzuwenden.

Was muss dann also ein Smart ID Wal­let Sys­tem leisten:

• Pri­vat­wirt­schaft­li­che Wal­lets haben ein nach­hal­ti­ges, trans­pa­ren­tes Geschäfts­mo­dell und sind des­halb auch mit WEB3 Fähig­kei­ten für pro­gram­mier­ba­re Bezahl­sys­te­me versehen.
• Staat­li­che Wal­lets sind beschränkt auf hoheit­li­che Auf­ga­ben nach Schutz­ni­veau hoch und sind in der Lage sich mit pri­vat­wirt­schaft­li­chen Wal­lets zu ver­bin­den oder las­sen sich in die­se integrieren.
• Iden­ti­täts­da­ten sol­len sofort abruf­bar und nutz­bar sein.
• In einer Schnitt­stel­len-Infra­struk­tur wer­den Iden­ti­täts­da­ten durch Get und Post-Pro­zes­se über­mit­telt. Dabei ist das Iden­ti­tät-Daten­pa­ket struk­tu­riert in Form eines JSON-Objekts für den Emp­fän­ger ver­schlüs­selt und signiert und nur für die­sen einsehbar.
• Frei­ga­be von Iden­ti­täts­de­tails oder Iden­ti­täts­da­ten sind durch das Iden­ti­täts­sub­jekt zu tätigen.
• Rück­nah­me von Iden­ti­täts­da­ten­über­mitt­lung ist nicht das Ziel eines Iden­ti­täts-Öko­sys­tems. In der Schnitt­stel­len-Infra­struk­tur wer­den die Daten typi­scher­wei­se auf dem Ziel­sys­tem wei­ter­ver­ar­bei­tet und ander­wei­tig gespei­chert. Für die betei­lig­ten Par­tei­en gel­ten die Regeln der DSGVO ohne Ausnahme.
• Falls die Akzep­tanz­stel­le nach einer Umstel­lung auf eine ande­re Art der Daten­über­nah­me die per­so­nen­be­zo­ge­nen Daten nicht mehr wei­ter­ver­ar­bei­tet, kann eine Über­ga­be der Daten über Zero-Know­ledge Trust erfol­gen und damit die Nach­weis­pflicht auf den Sen­der über­tra­gen werden.
• Der Zugriff auf Iden­ti­täts­da­ten durch den Emp­fän­ger ist zurück­nehm­bar (revo­ca­ti­on).
• Nut­zer­kon­ten und Zugrif­fe durch eine Selbst­be­stimm­te Iden­ti­tät ist gleich­be­rech­tigt. Die Ein­fach­heit für den Nut­zer ist bei selbst­be­stimm­ten Iden­ti­tä­ten bes­ser. Der Nut­zer schafft sein eige­nes Iden­ti­tät-Öko­sys­tem und ver­bin­det sich zu ande­ren Identität-Ökosystemen.
• Jede Form von Kon­to und Finanz­trans­ak­ti­ons­da­ten mit einem Schutz­be­darf kann über eine Cryp­to-Wal­let ersetzt werden.
• Jede Form von Cryp­to-Wal­let wird durch die Erwei­te­rung einer selbst­be­stimm­ten Iden­ti­tät zu einer voll­stän­di­gen DeFi-Wal­let inkl. Geld­wä­sche und Sanktionslisten-Check.
• Anony­me Cryp­to-Wal­lets wer­den eine Aus­nah­me für anony­me Zahl­for­men wer­den. An ihre Stel­le wer­den Smart ID-Wal­lets auf Grund­la­ge von Cryp­to-Wal­lets tre­ten. Dabei kön­nen meh­re­re Cryp­to-Wal­lets von einer Smart ID-Wal­let ver­wal­tet werden.
• Der Wal­let-Betrei­ber hat dem Nut­zer das Recht auf Eigen- oder Fremd­ver­wal­tung sei­ner pri­va­ten Schlüs­sel anzu­bie­ten. Eine Eigen­ver­wal­tung der kryp­to­gra­fi­schen Schlüs­sel ist durch ein Opt-Out durch­führ­bar und stellt die Aus­nah­me dar.
• Die kryp­to­gra­fi­schen Schlüs­sel sind nicht durch den Nut­zen­den ver­walt­bar es sei denn, er will dies explizit.
• Die Nut­zung darf nicht von einem bestimm­ten Smart­phone abhän­gig sein. Eine Smart ID-Wal­let muss daher mehr­ge­rä­te­fä­hig und für alle Gerä­te­ty­pen ein­setz­bar sein.
• Signa­tu­ren von Veri­fia­ble Cre­den­ti­als müs­sen lang­zeit­kon­form LTV sein und des­halb auch an Zeit­stem­pel-Diens­ten ange­kop­pelt wer­den. Veri­fia­ble Cre­den­ti­als haben damit den glei­chen Stel­len­wert wie Zertifikate.
• Das Signie­ren von Blö­cken auf der Block­chain und die Signa­tur von Veri­fia­ble Cre­den­ti­als ist getrennt zu betrach­ten. Die Block­chain hat die Fina­li­tät der ein­ge­hen­den Blö­cke sicherzustellen.
• Veri­fia­ble Cre­den­ti­als wer­den durch Sche­ma­ta beschrie­ben die auch deren Schutz­klas­se definiert.
• Eine Smart ID-Wal­let muss Veri­fia­ble Cre­den­ti­als hal­ten, signie­ren, auf­lö­sen und wei­ter­ver­ar­bei­ten kön­nen. Ob die Veri­fia­ble Cre­den­ti­als ledig­lich auf einem mobi­len End­ge­rät, einer ange­kop­pel­ten Infra­struk­tur oder einem dezen­tra­len Datei­sys­tem wie IPFS gespei­chert wer­den, muss varia­bel durch den Typ des Veri­fia­ble Cre­den­ti­als und/​oder dem Bedarf des Nut­zers aus­wähl­bar bzw. vor­se­lek­tiert sein.
• Die Smart ID Wal­lets sind durch einen ange­mes­se­nen Zer­ti­fi­zie­rungs­pro­zess für den Nut­zen­den als ver­trau­ens­voll identifizierbar.

Aus­blick

In dem von der Euro­pean Uni­on Agen­cy for Cyber­se­cu­ri­ty (ENISA) her­aus­ge­ge­be­nen Doku­ment Digi­tal Iden­ti­ty: Lever­aging the SSI Con­cept to Build Trust geht es in dem Kapi­tel 4. Digi­tal Iden­ti­ty Con­side­ra­ti­ons of Risks um die ver­schie­de­nen Bedro­hungs­sze­na­ri­en: “Der Nut­zer soll­te sich über Down­loads infor­mie­ren und legi­ti­me Wal­let-Anwen­dun­gen ver­wen­den, die Schlüs­sel, Iden­ti­tät und Iden­ti­fi­ka­ti­ons­pro­zes­se sichern. Eine nicht auto­ri­sier­te Brief­ta­sche kann für den Nut­zer einen tat­säch­li­chen Sicher­heits­ver­lust bedeu­ten, zu Risi­ken wie man­geln­der Ver­trau­lich­keit sei­ner Daten und einer mög­li­chen Kom­pro­mit­tie­rung füh­ren“. Als Bedro­hun­gen nennt der Beitrag:

• Aus­lie­fe­rung einer bös­ar­ti­gen Wal­let-Soft­ware – nicht von der zer­ti­fi­zier­ten Quelle
• Angrif­fe auf die Brief­ta­sche wäh­rend der Lie­fe­rung, Instal­la­ti­on oder nach der Installation
• Unbe­fug­te Ver­wal­tung der Brief­ta­sche – ein­schließ­lich Schlüs­sel und über­prüf­ba­re Daten
• Kei­ne Mög­lich­keit, die Wal­let selbst zu widerrufen

Iden­ti­täts-Öko­sys­te­me als Gemeinressource 

Beson­ders geeig­net, den Wert ver­trau­ens­wür­di­ger Öko­sys­te­me digi­ta­ler Iden­ti­tä­ten zu gewähr­leis­ten, könn­te sein, Infra­struk­tu­ren für digi­ta­le Iden­ti­tä­ten als öffent­li­ches Gut, als gemein­schaft­li­ches Eigen­tum im Sin­ne von Eli­nor Ost­rom zu ver­ste­hen.  Für ihr Haupt­werk Gover­ning the Com­mons. The Evo­lu­ti­on of Insti­tu­ti­ons of coll­ec­ti­ve Action erhielt sie im Jahr 2009 den Nobel­preis für Wirt­schafts­wis­sen­schaf­ten. In der Wür­di­gung der König­lich Schwe­di­schen Aka­de­mie der Wis­sen­schaf­ten hieß es, Ost­rom habe gezeigt, „wie gemein­schaft­li­ches Eigen­tum von Nut­zer­or­ga­ni­sa­tio­nen erfolg­reich ver­wal­tet wer­den kann“. Im Sin­ne der 8 Ost­rom-Prin­zi­pi­en sind digi­ta­le Iden­ti­tä­ten Gemein­ress­sour­cen: „Wenn wir Daten – und Iden­ti­täts­da­ten – als eine gemein­sa­me Res­sour­ce betrach­ten, an der meh­re­re Inter­es­sen­grup­pen betei­ligt sind und ein Inter­es­se dar­an haben, dann haben wir einen Weg, die­se Sys­te­me als gemein­sa­me Res­sour­cen­sys­te­me zu ver­wal­ten“^[4]Prin­zi­pi­en für fai­re Öko­sys­te­me Digi­ta­ler Iden­ti­tä­ten.

Iden­ti­täts-Öko­sys­te­me wer­den sich künf­tig dar­an mes­sen las­sen müs­sen, wie es ihnen gelingt, die Wal­lets der Nut­zer vor unbe­fug­ten Zugrif­fen zu schüt­zen und Struk­tu­ren zu eta­blie­ren, die klar zwi­schen legi­ti­men Nut­zern und Nicht-Nut­zungs­be­rech­tig­ten unter­schei­den sowie den betrof­fe­nen Nut­zern die Mög­lich­keit gibt, an Ent­schei­dun­gen zur Bestim­mung und Ände­rung der Nut­zungs­re­geln teil­zu­neh­men – wie bei einer Genossenschaft.

Zuerst erschie­nen auf Iden­ti­ty Economy