Das Ökosystem der digitalen Identität

Prinz, Model oder Milliardenerbin: Online können Menschen alles sein – und es ist schwierig, eine Online-Identität offiziell zu prüfen. Das soll sich bald ändern. Was in der physischen Welt die Identitätskarte oder der Reisepass ist, soll in der virtuellen Welt die Self-Sovereign Identity (SSI) werden. Sie ermöglicht es, physische Identitätsnachweise in die digitale Welt zu übersetzen. Standardisiert und vertrauenswürdig, hochgradig fälschungssicher, verifizierbar – und nicht zuletzt datenschutzkonform.

Wer sich heute bei einem Web-Dienst identifizieren muss, braucht dafür meistens einen Usernamen und ein Passwort. Die meisten Dienstanbieter nutzen ein lokales Identitätsmodell, um ihre User eindeutig zu identifizieren. Das hat viele Nachteile. Anbieter stehen in der Pflicht, diese Daten sicher zu verwalten – und erleiden bei einer Datenpanne finanziellen Schaden durch Folgekosten und ­Reputationsverlust. Nutzer:innen müssen die vielen verschiedenen Accounts und Passwörter verwalten, was mit Aufwand verbunden ist. Um hier Abhilfe zu schaffen, hat sich in den letzten Jahren die föderierte Identität etabliert: Nutzer:innen können sich mit dem Login eines anderen Dienstes wie Facebook oder Google identifizieren. Dieses Single Sign-on ist vor allem für Zugänge mit geringeren Sicherheitsanforderungen sinnvoll. Für Unternehmen, die auf eine stärkere Authentifizierung angewiesen sind, reicht das aber nicht aus. Hier ist eine dezen­trale Identifikation wichtig.

Die rechtlichen Rahmenbedingungen für international anerkannte, dezentralisierte Identitäten werden gerade erarbeitet. Nachdem das Schweizer Stimmvolk vergangenes Jahr die E-ID abgeschmettert hat, strebt der Schweizer Gesetzgeber eine selbstverwaltete Identität SSI an. Die Vernehmlassung zum neuen Gesetz soll Mitte 2022 eröffnet werden. Die EU hat ein Framework für eine europäische SSI erstellt, Pilotprojekte sind für die kommenden Jahre geplant. Auch Nordamerika geht diesen Weg: Die Standardisierungsorganisation W3C erarbeitet derzeit einen Standard für Self-Sovereign-Identitäten.

Aus datenschutzrechtlicher Sicht ist die SSI eine gute Lösung: Sie funktioniert im Einklang mit den zurzeit verbreiteten Regelungen zur Verarbeitung personenbezogener Daten. Zudem erleichtert eine dezentrale Identifikation das Datenmanagement für Anbieter: Dank des Peer-to-Peer-Charakters der SSI sind grundsätzlich weniger Dienstleister in die Datenmanagementkette involviert. Und weil sie weniger sensible Daten speichern, haben ­Datenpannen weniger dramatische Folgen.

Die Dezentralisierung der SSI ist ein Paradigmenwechsel: Es sind nicht mehr die Anbieter, die Authentifizierungsdaten verwalten, sondern die Nutzer:innen selbst. Dazu speichern sie verifizierte Identitätsdaten – sogenannte Credentials – in einer Wallet auf dem Smartphone oder einem anderen Gerät. Vom Führerausweis über ein Zeugnis bis zur Social-Media-Historie sind diese Credentials weit breiter gefasst als die analoge Identitätskarte oder der Reisepass. Ein Issuer bezeugt die Richtigkeit der Credentials elektronisch – und die Anbieter, auf Neudeutsch ­Verifier, überprüfen sie ebenfalls auf elektronischem Weg. Welche Daten ein Verifier sieht, entscheiden die Besitzer:innen der Wallet: die Holder oder Nutzer:innen. Denn sie, und nur sie, haben die Hoheit über ihre Daten – ein Privileg, das auch mit Pflichten einhergeht. Wer beispielsweise seine Wallet verliert, der muss sich um Ersatz für alle Ausweise und Dokumente kümmern. Dafür entfallen komplizierte Login-Verfahren und die damit einhergehende Passwortverwaltung.

Eine SSI hat viele Vorteile. Finanzinstitute beispielsweise profitieren von der anerkannten digitalen E-ID: Statt in der Filiale vor Ort oder einem komplizierten Online-Identifizierungsverfahren reicht es, wenn der:die Kund:in die Wallet zückt und die erforderlichen Credentials bereithält. Die Automiete wird dank der SSI ebenfalls einfacher, wenn das Kopieren von Identitätskarte und Führerausweis künftig entfällt. Womöglich können dann die Mieter:innen sogar direkt einsteigen und losfahren, weil dem smarten Auto der Fahrzeugschlüssel als Verifiable Credential (VC) direkt aus der Wallet vorgewiesen werden kann.

Auch digital zertifizierte Dokumente wie Zeugnisse oder Diplome erleichtern den digitalen Bewerbungsprozess – und potenzielle Arbeitgeber prüfen die Echtheit der Unterlagen automatisiert.

Um einen Jugend- oder Seniorenrabatt zu gewähren, muss das Alter der Person bekannt sein. Es besteht aber keine Notwendigkeit, einem Verkehrsbetrieb oder einem Museum das exakte Geburtsdatum offenzulegen. Wenn man dazu noch berücksichtigt, dass in der Schweiz

99,999 Prozent aller Personen durch den vollständigen Namen und das Geburtsdatum eindeutig identifiziert sind, dann wird klar, dass die Bearbeitung des Geburtsdatums aus Sicht des Datenschutzes besonders kritisch ist.
Im E-Commerce profitieren Händler dank SSI von ­einer sofortigen Bonitätsprüfung und einem schnellen Bezahlprozess. Und zwar mit einem Credential, das direkt mit der Bank der Käufer:innen verknüpft ist. Sichergehen können auch Käufer:innen, dass sie beim richtigen Online-Shop einkaufen und kein Geld verlieren – durch Über­prüfung der Händler-Credentials.

Credentials sind nicht zwingend auf Individuen begrenzt. Auch Unternehmen und Institutionen können eine SSI erhalten und diese in der Kommunikation mit Kund:innen und Lieferanten nutzen. Das kann zum Beispiel die neue Bankbeziehung für die Rechnungsstellung an Kund:innen oder der Handelsregisterauszug für Lieferanten und Partner sein. Es wäre sogar vorstellbar, dass autonome Fahrzeuge eine eigene Wallet bekommen, mit der sie dann gegenüber Mautstellen oder Werkstätten autark agieren könnten. Ihre «Identität» wäre in diesem Fall zum Beispiel an die Fahrzeugidentifikationsnummer gebunden.

Diese Beispiele zeigen, dass das Potenzial der SSI enorm ist. Löst der Staat das Henne-Ei-Problem der Einführung, so dürften sich immer mehr Use Cases auch wirtschaftlich rechnen. Zumal die Digitalisierung in Riesenschritten weiter voranschreitet. Das McKinsey Global Institute hat prognostiziert, dass im Jahr 2030 die Nutzung digitaler Identitäten in Industrieländern einen wirtschaftlichen Wert von 3 Prozent des Bruttoinlandsprodukts freisetzt, in Schwellenländern sogar von 6 Prozent.

Bei allen Vorteilen, die eine Self-Sovereign Identity mit sich bringt, gibt es auch Herausforderungen. Wie stellt man zum Beispiel sicher, dass die Issuer wirklich vertrauenswürdig sind? Eine Lösung liegt im Aufbau vertrauenswürdiger Verzeichnisse. Hier können sich Issuer – beispielsweise eine Krankenkasse – prüfen lassen und erhalten einen Eintrag, den Verifier und Holder einsehen können. Für Behörden bietet sich ein staatliches Verzeichnis an. So wird Vertrauen quasi verwaltet.

Ein anderes Problem liegt im Life-Cycle-Management der Credentials. Wie lassen sie sich in Zukunft rechtssicher aktualisieren? Was geschieht, wenn jemand seine Wallet verloren hat oder ein Credential mit Ablaufdatum versehen worden ist? Auch für diese Anforderungen gilt es, einen Weg zu finden, digitales Vertrauen zu schaffen.

Auch wenn es noch offene Fragen gibt: Self-Sovereign Identity wird enorme wirtschaftliche Werte freisetzen. Wer schon jetzt erste Erfahrungen damit sammeln will, kann vorhandene Open-Source-Technologien nutzen. Mit einem gelungenen Proof of Concept erkennen Unternehmen die Möglichkeiten der neuen Technologie und können sie besser abschöpfen. Denn SSI ist viel mehr als ein digitales Portemonnaie: Sie führt den Begriff der Identität in Dimensionen, die sich heute noch nicht erahnen lassen. Wenn wir als Nutzer:innen unsere digitale Identität voll unter Kontrolle haben, verändert das auch unseren Umgang mit Privatsphäre im digitalen Raum. Wir können zwar keine Prinzen, Models oder Milliardenerbinnen mehr sein – aber unsere digitalen Beziehungen und Interaktionen werden eine neue Gestalt annehmen.

Alle Beiträge «Das digitale Portemonnaie »