„So viel wie nötig, so wenig wie möglich“, sollte der Leitsatz jedes Nutzenden beim Einsatz und der Freigabe von persönlichen Daten im Internet sein. Die User:innen sind es aber mittlerweile gewohnt, überall bereitwillig ihre Daten für Dienste und Portale preiszugeben. Doch die Verwendung der Daten ist oft nicht im Sinne der Nutzenden. Deshalb forschen Wissenschaftler:innen nun mit Hochdruck an der sogenannten Self-Sovereign Identity (SSI), der selbstbestimmten Identität: Sie soll den User:innen helfen über persönlichen Daten selbstbestimmt zu verfügen und das Digitale-Ich autark einzusetzen.
Im europäischen und globalen Gefüge will Deutschland zügig eine Vorreiterrolle bei der Nutzung von SSI einnehmen. Deshalb fördert die Bundesregierung derzeit zahlreiche Projekte der digitalen Selbstbestimmung: Das Bundeswirtschaftsministerium vergibt 45 Millionen Euro an drei Modellprojekte unterschiedlicher öffentlich-privater Konsortien, die in sogenannten „Schaufenster-Regionen“ erste SSI-Anwendungen einsetzen. Den Start macht ein Projekt zum Hotel-Check-in für Firmenreisende, das es dem Reisenden erlaubt, dank Digitalem-Ich ein- und auszuchecken.
Digitale Abhängigkeiten auflösen und mehr Komfort zu gewinnen
Damit es nicht bei Pilotprojekten bleibt, gilt es nun das Thema der Self-Sovereign Identity mit Hilfe der deutschen IT-Forschung bei Alltagsanwendungen zu etablieren. Eine langjährige und verifizierte Expertise weist dabei das Gelsenkirchener Institut für Internet-Sicherheit – if(is) auf. Die Cyber-Sicherheitsforscher:innen des if(is) befassen sich in zahlreichen Forschungsprojekten mit praktikablen Anwendungen der SSI: „Unsere Idee ist es, dass Nutzer ihre Daten selektiv, kontrolliert und sicher einsetzen können“, erklärt der Leiter des if(is) Prof. Pohlmann, „dies ist derzeit nicht möglich, da zentrale ID-Provider wie Google und Facebook die Verwaltung von Identitätsdaten vieler IT-Dienste weltweit dominieren.“ Das führt seiner Ansicht nach zu einer großen Abhängigkeit der Gesellschaft in Bezug auf den Fortgang der Digitalisierung. Und noch einen weiteren Punkt kritisiert er: Die großen Tech-Unternehmen nutzen die sensiblen personenbezogenen Daten für eigene Werbezwecke oder stellen diese weiteren Unternehmen zur Verfügung, um damit Geld zu verdienen, was die Privatsphäre der Nutzenden schwächt. Ein souveräner Umgang mit den eigenen Daten ist somit nicht möglich. Self-Sovereign Identity (SSI) ist eine Option, um diese Probleme zu lösen und gleichzeitig das volle Potenzial der Digitalisierung auszuschöpfen.
Selbstbestimmte Freigabe von Daten
Bei SSI oder selbstbestimmter Identität kontrollieren und besitzen Nutzer:innen ihre digitalen Identitäten und weitere verifizierbare digitale Nachweise (Verifiable Credentials (VC)). Beispiele für verifizierbare digitale Nachweise sind: eine Bescheinigung der Identität, ein Zeugnis, eine Qualifikation oder ein Führerschein – also Dokumente die einer Einzelperson oder einem Objekt von einem Dritten (Aussteller) – zum Beispiel Einwohnermeldeamt, Straßenverkehrsamt, Hochschule, Unternehmen oder TÜVs – ausgestellt wurden. „Sollen diese, zum Beispiel bei einer Anmeldung für eine Anwendung weitergegeben werden, sind die Nutzer:innen meist auf eine zentrale Stelle, wie etwa Facebook oder Google, angewiesen“, erläutert Pohlmann. Dies solle in Zukunft anders werden, also komplett unabhängig von Dritt-Instanzen können Nutzer:innen vollkommen eigenständig entscheiden, wer welche Identitätsdaten zur Verfügung gestellt bekommt, da alle Identitätsdaten ausschließlich bei ihnen gespeichert werden. Der Vorteil: Die Nutzer:innen bestimmen selbst, welche Attribute (persönliche Identitätsdaten) bei einem digitalen Vorgang übermittelt werden. Dieser Wegfall zentraler Identitätsprovider vereinfacht insgesamt die Handhabung personenbezogener Daten aufseiten der Anwendungen und macht zudem komplexe Registrierungs- und Authentifizierungsvorgänge, wie beispielsweise die Eingabe von Passwörtern, überflüssig. Somit erhalten die Nutzenden mehr Rechte, aber auch mehr (Eigen-)Verantwortlichkeit hinsichtlich ihrer persönlichen Identitätsdaten.
Gelebte Digitalisierung durch Self-Sovereign Identity
Wer schon einmal ein Auto gemietet hat, kennt die Situation: Vor dem Schalter der Ausgabe bilden sich lange Schlangen, der gestresste Mitarbeitende braucht gefühlte Ewigkeiten um Ausweis, Führerschein und Belege zu prüfen, zu kopieren und die Daten im PC zu erfassen. Mit SSI würde dieser Vorgang erheblich abgekürzt: Am Schalter angekommen, wird ein QR-Code gescannt. Anschließend werden die digitalen Nachweise vom Nutzenden selbst freigegeben, es wird digital signiert und der Autoschlüssel überreicht. Quasi simultan laufen die Prozesse sicher im Hintergrund ab und sparen dadurch viel Zeit – Nur eines der vielen Beispiele für das Mindestmaß an selbstgewählter Datenfreigabe mit dem Höchstmaß an Sicherheit und Komfort.
Vertrauen, Komfort und Sicherheit – selbst gewählt und selbstbestimmt
Die Verifizierbarkeit digitaler Nachweise mithilfe einer Blockchain als Vertrauensdienst hilft dabei, ein dezentrales SSI-Ökosystem für digitale Identitäten umzusetzen, in dem kryptographische Informationen zur Identifikation des Ausstellenden und Meta-Informationen zur Ausstellung von Nachweisen als Transaktionen in den einzelnen Blöcken manipulationssicher gespeichert werden können. Laut den Experten im Institut für Internet-Sicherheit – if(is) ist Self-Sovereign Identity ein wichtiger Weg, um im Zuge der fortschreitenden Digitalisierung das Vertrauen der Nutzer:innen aufzubauen und weiter zu steigern. Durch die gewählte und kontrollierte Datenfreigabe, unabhängig von Dritt-Instanzen, ist eine zweckgebundene und reell gewünschte Nutzung von Daten gewährleistet: „Deshalb ist es jetzt wichtig, Self-Sovereign Identity voranzutreiben und mit Hilfe von Politik und Wirtschaft den Einsatz von und die Forschung zu SSI zu unterstützen. Denn Self-Sovereign Identity wird helfen, das volle Potenzial der Digitalisierung zum Nutzen der Anwendenden zu heben. Dadurch, dass die Nutzer:innen im SSI-Ökosystem selbstbestimmt entscheiden, welche Informationen sie wann weitergeben, wird Privacy by Design gewährleistet und durch die Nutzung der überprüfbaren digitalen Nachweise mehr Sicherheit erzielt“, untermauert der Leiter des if(is), Prof. Norbert Pohlmann, die künftige Bedeutung dieser Technologie.
Weitere Informationen zur SSI und Anwendungsbeispiele unter: https://norbert-pohlmann.com/glossar-cyber-sicherheit/self-sovereign-identity-ssi/
