Kategorien
Digitale Transformation

Einführung in das digitale Identitätsmanagement

Zuverlässige Identifikationsverfahren sind von entscheidender Bedeutung, da es für soziale Interaktionen schon immer wichtig war zu wissen, mit wem man in Kontakt tritt. Auch wenn Identität oft mit einem Namen oder einer Bezeichnung verbunden ist, ist sie doch nicht auf Personen beschränkt.

Die ifb-group erforscht, wie es möglich ist, Personen, Unternehmen oder Gegenstände in einer modernen digitalen Welt zweifelsfrei zu identifizieren. Deshalb haben wir uns mit selbstsouveränen digitalen Identitäten (SSI) und deren Umsetzung beschäftigt. Dieser Artikel zeigt auf, warum die Identifikation wichtig ist und auf welche Weise die zweifelsfreie Identifikation im täglichen Leben, insbesondere im Internet, sichergestellt werden kann. Der folgende Blogbeitrag wurde mit Unterstützung von Alexandra Lipps, Consultant der ifb-group, erstellt. Er erklärt die technischen Besonderheiten, wie SSI funktioniert.

Wie kann eine Person zweifelsfrei identifiziert werden?

Um eine Person zweifelsfrei zu erkennen, werden möglichst viele genau definierte Merkmale benötigt. Diese Merkmale werden auch als „Quelle des Vertrauens“ bezeichnet (siehe Abbildung):

  • Sozialer Umgang: Erkennung anhand des Gesichts oder der Stimme.
  • Staatliche Stellen: Identifikation anhand von offiziellen Dokumenten oder Ausweisen, die rechtsverbindlich sind.
  • Körpermerkmale: Fingerabdrücke oder ein Iris-Scan des Auges als unveränderbare biometrische Merkmale.

Die Identifikation erfolgt in der Regel in Verbindung mit der persönlichen Anwesenheit der Person, die identifiziert werden soll. Dies ist bei der Identifikation im Internet jedoch nicht möglich. Ein gängiges Verfahren ist daher die Identifikation über eine Benutzerkennung und ein gültiges Passwort. In diesem Fall ist die „Quelle des Vertrauens“ äußerst zweifelhaft, da die Identifikation nur auf den Angaben beruht, die eine Person über sich selbst gemacht hat. Um korrekte Informationen zu gewährleisten, müsste man sich auf eine dritte Partei verlassen, was eine zusätzliche Vertrauensebene schafft.

Überprüfbare Berechtigungsnachweise (verifiable credentials) als zusätzliche Vertrauensebene

Das Modell der überprüfbaren Berechtigungsnachweise (‚verifiable credentials‘) basiert auf der Annahme, dass zwei Parteien, die sich nicht kennen und vertrauen, einer dritten Partei vertrauen, die nachweislich zuverlässig ist. Hierfür müssen drei wesentliche Elemente kombiniert werden:

  • Zunächst ist eine entsprechende Konstruktion des Berechtigungsnachweises notwendig. Der Nachweis wird von einer dritten Partei mit komplexen kryptografischen Verfahren erstellt, die nicht einfach nachgeahmt werden können.
  • Das zweite Element ist die Verfügbarkeit des Berechtigungsnachweises. Er wird in einer persönlichen digitalen Brieftasche (‚Wallet‘) gespeichert und ist nur für den Inhaber des Berechtigungsnachweises zugänglich.
  • Das Verifizierungsverfahren ist das dritte wichtige Element. Der Berechtigungsnachweis kann nur bestätigt werden, wenn die verifizierende Partei Lesezugriff auf eine Datenbank des Nachweis-Ausstellers hat und die verwendeten Algorithmen zum Nachweis der Berechtigung kennt.

Erst das Zusammenspiel aller drei Komponenten schafft eine Vertrauensbasis, die ohne die Mitwirkung des Berechtigungsausstellers als Dritter nicht möglich wäre. Wie bei allen kryptographischen Verfahren müssen aber auch hier die folgenden Schlüsselattribute gegeben sein:

  • Der Aussteller des Berechtigungsnachweises ist vertrauenswürdig.
  • Der Berechtigungsnachweis wurde tatsächlich für denjenigen ausgestellt, der ihn präsentiert.
  • Die Ansprüche wurden nicht verfälscht.
  • Der Berechtigungsnachweis wurde nicht widerrufen.

Der Inhaber kann von einer Autorisierung Gebrauch machen, ohne den Aussteller informieren zu müssen. Allerdings ist der Inhaber weiterhin vom Aussteller für die Ausstellung und Pflege der Berechtigung abhängig. Das heißt, wenn der Inhaber die Berechtigung verliert, wäre er machtlos. Eine Lösung für dieses Problem ist über die selbstsouveräne digitale Identität (SSI) möglich.

Selbstsouveräne digitale Identität (SSI)

Der zentrale Gedanke bei der Verwendung der selbstsouveränen digitalen Identität (SSI) ist, dass der Besitzer der digitalen Identität seine eigenen Daten verwaltet und bestimmen kann, wann und wie sie anderen zugänglich gemacht werden. Das bedeutet aber nicht, dass jeder Aussagen über seine Identität machen kann, ohne dass andere sie überprüfen können. Stattdessen können bei SSI andere Personen Identitätsbehauptungen durch kryptografische Methoden verifizieren (auf die benötigten technischen Elemente und deren Funktionsweise wird in einem kommenden Blogbeitrag näher eingegangen).

In diesem Fall ist eine zusätzliche Bestätigungsinstanz nur bei der erstmaligen Erstellung des Berechtigungsnachweises erforderlich. Somit muss die Bestätigung nicht jedes Mal neu ausgestellt werden, wenn die digitale Identität verwendet wird. Dies liegt daran, dass die Berechtigungsnachweise unveränderlich mit der Identität verknüpft sind, was es dem Inhaber der digitalen Identität ermöglicht, sie zu Identifikationszwecken zu verwenden, auch wenn die bestätigende Instanz nicht oder nicht mehr erreicht werden kann.

Zukunft des digitalen Identitätsmanagements

Wann und wie digitales Identitätsmanagement im Alltag eingesetzt werden kann und die zweifelsfreie Identifizierung von Geschäfts- und Vertragspartnern verbessern wird, ist noch offen. Die Technologie erfordert die Mitarbeit von staatlichen Stellen, die die Rahmenbedingungen schaffen und die Umsetzung unterstützen müssen. In Deutschland plant die Bundesregierung im Rahmen ihrer Blockchain-Strategie die Durchführung eines Innovationswettbewerbs, um die praktische Umsetzung selbstsouveräner digitaler Identitäten zu testen.

Der elektronische Personalausweis (eID) zum Beispiel, der seit November 2010 in Deutschland ausgegeben wird, kann gleichzeitig als digitaler Identitätsnachweis dienen. Er enthält den dafür notwendigen integrierten Chip. Um diese Funktion im Alltag nutzen zu können, müssen entsprechende Anreize geschaffen werden. Unternehmen müssen ihre Prozesse und Kommunikationswege anpassen, damit die elektronische Identifikation problemlos genutzt werden kann. Aber auch das Vertrauen der Bürger in elektronische Identifikationsverfahren muss gestärkt werden, um eine echte Vertrauensbasis zu schaffen.

Wann sich der Einsatz digitaler Identifikationsverfahren durchsetzen wird, bleibt abzuwarten. Doch das große Potenzial ist bereits bekannt. So können nicht nur Geschäftsvorgänge schneller und sicherer abgewickelt werden, sondern auch die Sicherheit von Transaktionen und Verträgen, die elektronisch abgeschlossen werden, kann dadurch verbessert werden.

Für weitere Informationen empfehlen wir unser 2021 erscheinendes Buch „The Digital Journey of Banking and Insurance, Volume III – Data Storage, Processing, and Analysis“ und in Kürze erscheinenden Blog Post mit der technischen Beschreibung, wie SSI funktioniert.

Director

Matthias Kurfels ist seit 2015 Director bei der ifb SE. Er ist Berater und Trainer für Banken, Kapitalverwaltungsgesellschaften und Finanzdienstleister zu regulatorischen Anforderungen der Unternehmens- und Risikosteuerung und Autor zahlreicher Fachartikel. Zudem leitet er die ifb-interne Arbeitsgruppe für regulatorische Aspekte der Blockchain-Technologie.