Wie souverän ist der User im Internet 2.0 noch?

Digitale Identitäten werden die analoge Welt stärker mit der digitalen Welt verknüpfen. Über Self-Sovereign-Identities und die Frage, was das für die Kontrolle über unsere Daten bedeutet

Das Internet wie wir es kennen wird inzwischen 40 Jahre alt, das WWW ist bald 30. Es ist für viele Menschen alltäglich, und teils unsichtbar, weil kaum jemand an "Internet" denkt, wenn er sein Smartphone benutzt. Nun steht diese Technologie womöglich vor einem Umbruch, der die "alte" analoge Welt noch stärker mit der "neuen" digitalen verknüpfen wird, bei einem Thema, das sich zuerst dröge anhört: Digitale Identitäten.

Ganz selbstverständlich benutzen wir im Jahr 2020 einen einzelnen Personalausweis, um uns in der analogen Welt staatlich beglaubigt auszuweisen, aber in der digitalen Welt halten wir es für selbstverständlich, dass wir uns bei jeder Webseite einen neuen Login anlegen müssen. Im Durchschnitt 70 Logins hat jede von uns, meist als E-Mail-Passwort-Kombination. Das Fehlen glaubwürdiger digitaler Identifizierungsmechanismen kommt uns so selbstverständlich vor, weil die Internet-Infrastruktur bislang keinen Standard mitbringt. In seiner frühkindlichen Entwicklung waren kommerzielle Nutzungen, Vertragsabschlüsse oder eindeutige Identifizierungen von Nutzern gar nicht mitgedacht.

Die resultierende Anonymität, die letztlich nur eine Art zeitweilige Pseudonymität ist, hat jahrzehntelang auch seine Vorteile gehabt: Besonders in den 1990ern wurde "das Netz" als anarchischer Ort gesehen, der Querdenkern und Technik-Freaks als riesiges Diskussionsforum diente. Neben dem "Darknet" genannten Teil des Netzes, der nur Eingeweihten zugänglich ist und in dem größere Anonymitätsmöglichkeiten zu einer Vielzahl illegaler Aktivitäten führen, ist das "Alltagsinternet" eher ein Clearnet.

Nutzende sind nicht wirklich anonym, wie die Abmahnwellen der Filesharing-Hochzeiten zeigten, aber es gibt auch keine Mechanismen, mit denen sich Nutzer untereinander vertragsfähig glaubwürdig und sicher identifizieren können – und zugleich den dringend nötigen Datenschutz, der individuelle Freiheit ermöglicht, einhalten. Bis jetzt.

Irgendwie lustig: Eingescanntes Papier im digitalen Zeitalter

Bis vor einem halben Jahr war mir unklar, dass in der Frage der digitalen Identifizierung überhaupt ein Problem liegt. Und dass dafür Lösungsansätze bereits auf dem Tisch liegen. Ja, mich nervt es tierisch, für jeden neuen Web-Service meine Mailadresse anzugeben und ein neues Passwort anzulegen. Passwortmanager sind da nur eine begrenzte Hilfe.

Die Fragmentierung meines digitalen Handlungsraumes nahm ich hin, wie ich das Wetter hinnehme. Das Bundesministerium für Wirtschaft und Energie (BMWi) hat jedoch festgestellt, dass das Fehlen digitaler Identifizierungsmechanismen die Entwicklung digitaler Dienste bremsen. Ganz banal sei beispielhaft der Gang zum Einwohnermeldeamt genannt, den man in vielen Fällen persönlich machen muss: mit Gesicht und Unterschrift und unter Vorlage des Personalausweises kann man den Wohnungswechsel auf die andere Straßenseite beurkunden lassen und bekommt einen Aufkleber auf seinen "Perso". Die Frage im Jahr 2020 ist aber berechtigt: Wieso kann ich das eigentlich nicht digital abwickeln?

Die Corona-Pandemie beschleunigt die digitale Dynamik, da viele feststellen, dass eine Vielzahl von Arbeiten die physische Präsenz gar nicht zwingend benötigen und dass (kollaboratives) Arbeiten über Distanz diverse Vorteile mit sich bringt. Dennoch gibt es zahlreiche Aktivitäten, für die es des physischen Zusammenkommens bedarf, obwohl das eigentlich durch die überall vorhandenen Zugänge zu einem weltumspannenden Datennetz nicht nötig wäre: Verträge unterschreiben, Identifikation für eine Kontoeröffnung, Zusenden von Geburtsurkunden von Kindern.

Nun gut, sowas geht digital: In Deutschland scannt man dafür die Original-Geburtsurkunde ein und versendet sie als PDF. Bei genauerer Betrachtung: eine Methode, die vorsintflutlich anmutet angesichts der Möglichkeit des Aktienhandels von der Wohnzimmercouch aus oder der Bestellung von Waren aus weltzerstreuter Produktion über Online-Shops.

Im Jahr 2020 scannen wir Papier-Urkunden, um uns und unsere Fähigkeiten oder Eigentumsverhältnisse auszuweisen und versenden sie per Mail oder Upload-Formular; und auf der anderen Seite werden sie ausgedruckt und in Ordnern abgeheftet. Wem das bei genauerer Betrachtung nicht lächerlich altmodisch erscheint, der ist wohl eher technikfern.

Doch ich gestehe: genauer habe ich nicht darüber nachgedacht, bis ich von der HTW Dresden eingeladen wurde, für das BMWi im Schaufensterprojekt "Digitale sichere Identitäten" ein Projekt "ID-Ideal" mit zu konzipieren. Was ich da gelernt habe, möchte ich in diesem Artikel sichtbar machen, um die Aufmerksamkeit technikaffiner Akteure auf Self-Sovereign Identities zu lenken.

Ein Beispiel: Alkoholverkauf per Zero-Knowledge-Proof

Prof. Jürgen Anke von der HTW Dresden überzeugte mich mit folgendem Beispiel, meine Zeit in das Projekt ID-Ideal zu investieren.

Wenn man in Deutschland Alkohol kaufen möchte, muss man dem Gastronomen im Zweifel seinen Ausweis zeigen. Manche Alkoholsorten gibt es ab 16, andere ab 18, und das Jugendschutzgesetz verpflichtet die Alkoholverkäufer, sich bestätigen zu lassen, dass der Käufer zum Alkoholkauf berechtigt ist. In der analogen Welt zückt man dafür seinen Personalausweis, die wohl wertvollste analoge Urkunde zum Identitätsnachweis in der bundesdeutschen Bürokratierealität.

Der aufmerksame Barkeeper sieht dort aber nicht nur, ob der Personalausweisinhaber berechtigt zum Alkoholkauf ist, sondern er sieht, wie er heißt, wann er geboren wurde und wie er zum Zeitpunkt der Ausweisausstellung aussah. Alles Informationen, die den Barkeeper weder etwas angehen, noch braucht er sie für den "Anwendungsfall Alkoholkauf". Datenschützer müsste es die Fußnägel hochrollen, aber mangels Alternativen ist dieser Vorgang gesellschaftlich akzeptiert.

Nun stelle man sich vor, so Prof. Anke in unserem Erstgespräch, es gäbe eine digitale Repräsentanz dieses Personalausweises in einer digitalen Wallet, zu der nur ich Zugang hätte. Und der Barkeeper (oder jeder andere Serviceprovider in der digitalen Welt, dem gegenüber ich meine Volljährigkeit belegen möchte), erbittet von meiner Wallet den Zugang zu dieser Information. Wenn ich meiner Wallet die Freigabe erteile, so würden die Daten geteilt. Aber: Welche Daten?

In der beschriebenen digitalen Welt wäre es nun möglich, dass die Frage des Serviceproviders an meine Wallet lautet: "Ist der Nutzer älter als 18?" Die Antwort meiner Wallet könnte schlicht lauten: "Ja". Man nennt diesen informationsreduzierten Vorgang "zero knowledge proof": also ein Nachweis, bei dem im Grunde null zusätzliche Informationen übergeben werden. Es wird nicht das Geburtsdatum geteilt oder andere personenbezogenen Daten, sondern nur ein "true" oder "false" auf die Frage "Alter größer 18?".

Allerdings stellt sich die Frage, ob der Serviceprovider der Antwort meiner Wallet glauben kann. Er könnte dies, wenn zugleich mit der eigentlich benötigten Information mitgeliefert wird, wer für diese Information bürgt. Im analogen Fall ist es der Staat, der mir den Personalausweis bereitstellt. Und da der Personalausweis überprüfbare Eigenschaften hat, mit denen seine Gültigkeit geprüft werden kann, kann jeder Barkeeper prüfen, ob meine Alkoholberechtigung glaubwürdig nachgewiesen wird.

Im digitalen Raum könnte man solch eine Glaubwürdigkeitsprüfung ermöglichen, indem die Information über meine Volljährigkeit durch eine elektronische Signatur der Landeshauptstadt Dresden bestätigt wird, die in meinem Fall der Aussteller meines Ausweises ist. Die digitale Signatur könnte an allen Daten hängen, die sonst auch der Personalausweis transportiert, und die wir "Basisidentität" nennen: Name, Geburtsdatum, Geburtsort, Anschrift.

Überprüfbar wäre die Signatur für den Serviceprovider durch einen Mechanismus aus Schlüsselpaaren, wie man sie von PGP kennt: der private Schlüssel dient zum Signieren und ist in alleiniger Hoheit des Ausstellers einer "digitalen Urkunde", der zugehörige öffentliche Schlüssel dient zum Prüfen der Signatur und kann von jedermann eingesehen und genutzt werden. Mit diesem Mechanismus könnte ich in meiner Wallet verschiedene digitale Urkunden sammeln, die ich von verschiedenen Herausgebern (Issuer) empfangen habe und die Auskunft über mich und meine Rechte geben, und die ich selektiv herausgebe, je nachdem, wer die Informationen wofür benötigt.

Diese digitalen, überprüfbaren Urkunden nennt man "verifiable credentials" (VC) und sie sind die Basis der Idee von "self-sovereign identities" ("selbstsouveränen Identitäten", SSI).

Selbstsouverän – was ist denn das?

Self-sovereign Identities heißen so, weil sie dem Nutzer die Hoheit über seine Daten geben. Wenn jeder Nutzer eine Wallet hat, die als eine Art Tresor in (z.B.) seinem Smartphone liegt und bei der er das alleinige Freigaberecht hat, so hat er auch eine umfassende Kontrolle über die darin gespeicherten Daten.

Mit "Daten" sind hier Sets aus Daten gemeint: Zusammenstellungen aus Attributen, die man in der analogen Welt in einem Dokument ablegen würde, eben z.B. die Basis-Identitätsdaten eines Personalausweises, bei denen die ausstellende Kommune als Bürge für die Richtigkeit von Name, Geburtsdatum und -ort und Anschrift sowie Foto bürgt. Ähnliche Urkunden, für die es bislang noch keine digitale Entsprechung gibt wären z.B. Berufsabschlüsse. Jeder Bachelorabschluss ist mit einer Basisidentität verbunden - der Identität jener Person, die den Bachelorabschluss erreicht hat. Was in der Papierurkunde "verbrieft" ist lässt sich prinzipiell auch digital abbilden: genaue Titelbezeichnung, Abschlussnote, Abschlussdatum und natürlich: Signatur des Ausstellers.

Will man sich nun zu einem Fortbildungskurs oder bei einem Arbeitgeber bewerben, könnte man diesem im (digitalen) Bewerbungsvorgang die ganze Berufsabschlussurkunde zeigen, oder auch nur Teile davon; oder schlicht nur die Information, ob die Person einen Berufsabschluss hat, aber nicht, welchen.

Diese Steuerungsfähigkeit der Freigabe von Informationen ermächtigt den Datenbesitzer zu einer sehr feingliedrigen Freigabepolitik. Nicht mehr ganze Datenpakete müssen in jedem Fall vorgewiesen werden, sondern immer öfter reicht ein zero-knowledge-proof, weil der Serviceprovider, dem man die Daten zeigen soll, gar nicht alles zu wissen braucht. Man sammelt also digitale Urkunden, ausgestellt und signiert von den Herausgebern, packt sie in seine Wallet und zeigt Einzelaspekte vor, wenn das gebraucht wird. Diese Möglichkeit ändert womöglich den Umgang mit Daten fundamental.