Seite 2: Neue Anwendungsfälle für digitale Identitäten

Stellen wir uns vor, bei der Bestellung in einem Online-Shop werden auch Bankdaten benötigt. Statt die IBAN einzutippen, wird die Wallet zur Freigabe der IBAN beauftragt, wobei die in der Wallet liegende Bank-Urkunde tatsächlich von der Bank bei der man sein Konto hat, ausgestellt und signiert ist. Der Shop-Inhaber bekommt also nicht nur eine IBAN, er bekommt eine geprüfte IBAN. Weitergedacht könnte eine Bank einem Kunden auch einen Solvenznachweis ausstellen, den dieser dann bei seinen Geschäften gegenüber Geschäftspartnern digital vorzeigen kann, um seine Zahlungsfähigkeit nachzuweisen. Einen digitalen, bankbestätigten Solvenznachweis.

Wechsle ich heute meinen Wohnort, muss ich händisch einer Vielzahl von Organisationen diesen Wechsel bekanntgeben. Künftig könnte meine Wallet eine Liste all jener Organisationen pflegen, denen ich meine Anschrift verfügbar gemacht habe und sie auf meine Freigabe hin über den Ortswechsel informieren. Dies wäre nicht nur bequem und zeitsparend für mich, sondern auch wertvoll für die Organisationen, mit denen ich in Verbindung stehe, denn sie bekämen nicht nur die Information über meinen Wohnortwechsel, sie bekämen eine beglaubigte Information!

Ob man spezielle Daten hat, oder ob man auch sicher sein kann, dass sie korrekt sind, macht für Organisationen einen großen Unterschied, und viele Unternehmen und Organisationen beschäftigen ganze Abteilungen, die damit beschäftigt sind, jene Daten aktuell zu halten, die für das Funktionieren der Organisation essentiell sind. Ein digitales ID-System ist hier ein mögliches Beispiel nützlicher und weitreichender Digitalisierungseffekte.

Bei vielen Webdiensten, die ich nutze, würde ich mich künftig womöglich nicht mehr "anmelden", so wie heute. Vielmehr würden diese Dienste bei meiner Erstnutzung mir eine digitale Urkunde ausstellen, die in meiner Wallet gespeichert wird. Zeige ich diese Urkunde beim nächsten Besuch vor, so könnte ich dort weiterarbeiten, wo ich zuletzt aufgehört habe - und zwar völlig anonym. Weil ich der Besitzer der Urkunde bin, kann ich mich gegenüber dem Webdienst identifizieren, aber ohne, dass dieser erfährt, wer ich wirklich bin. E-Mail-Passwort-Kombinationen als Identifizierungsmechanismen würden ersetzt durch digitale Urkunden, die wie ein Schlüssel funktionieren, der seinem Inhaber Zugang zu einem Dienst ermöglicht. Aussteller solch einer Urkunde wäre der Dienst selbst.

Doch der Fokus auf den einzelnen Menschen, der sich und seine Rechte ausweist, greift zu kurz. Solcherart Identifikationsmechanismen lassen sich genauso auf Organisationen und Objekte anwenden. Auch Organisationen weisen sich ständig aus: bei Vertragsabschlüssen, bei Nutzung jener Rechte, die sie durch Vertragsabschlüsse erlangen oder auch durch das Handeln ihrer Mitglieder - die Nutzungslizenz für Software, Maschinen oder andere Assets kann in einem Verifiable Credential beglaubigt abgelegt werden und macht auch Organisationen einbindbar in solch ein ID-System.

Gleiches gilt für Objekte: man stelle sich ein Auto vor, dass das Recht hat, einen bestimmten Ort zu befahren oder an einem bestimmten Ort zu parken, oder ein Computersystem, welches sich gegenüber einem anderen Computersystem ausweist. Solcherart Mechanismen gibt es bereits, beispielsweise in Form von Protokollen, mit denen sich Maschinen untereinander identifizieren. Die Idee der Verifiable Credentials hat jedoch das Potenzial, die Maschinenwelt mit der juristischen Welt digital zu verbinden.

Übergreifender Standard, interoperable Dienste

Damit das funktioniert braucht es übergreifende Standards. Ein Beispiel für solche Standards sind besagte Verifiable Credentials. Die Idee dafür ist bemessen am Alter des Internets sehr neu, aber alt genug, damit sich das zentrale Standardisierungsgremium für das Internet, das W3C-Konsortium, damit beschäftigt hat. Die Version 1.0 des Verifiable Credential Data Model ist von November 2019. Basierend darauf gibt es erste Entwürfe und Anwender von Anwendungen, darunter das Pan-Canadian Trust Framework sowie Dienstanbieter für Self-Sovereign-Identities wie Jolocom, deren Whitepaper von Dezember 2019 stammt. Wer den Ansatz spielerisch testen will, der sei auf die virtuelle Stadt Uportlandia verwiesen.

Hier kann jeder spaßenshalber Stadtbewohner werden, indem eine Wallet-App heruntergeladen und mit einer digitalen Stadtausweis-Urkunde befüllt wird. Mit dieser City ID kann man sich dann von der University of Uportlandia ein Diplom ausstellen lassen. City ID und Diplom zusammen sind die Grundlage für einen Job, der als "Jobbestätigung" in der Wallet landet. Jobbestätigung und City ID zusammen ermöglichen eine stadtinterne Versicherung, die man wiederum braucht, um an ein Rezept zu kommen. Die App und die virtuelle Stadt zusammen zeigen, wie der Einsatz solcher Verifiable Credentials und interoperabler ID-Systeme in der Realität aussehen wird.

Es ist zu hoffen, dass das BMWi sich im Rahmen des Schaufensters "Digitale Identitäten" für SSI-offene Konsortien entscheidet, die den Ansatz erproben und öffentlich sichtbar machen sollen.

Welche Macht solch ein Ansatz basierend auf Verifiable Credentials hat, zeigt der Vergleich von Timothy Ruff: Er vergleicht den Einsatz von Verifiable Credentials in der digitalen Sphäre mit der Entwicklung des Containers für die Logistik-Branche in den 1950ern und meint, man müsse sie eigentlich "Verifiable Containers" nennen, da man in ihnen beglaubigte Daten aller Art speichern und transportieren könne und so eine Art Beglaubigungsnetz auf die IP-Infrastruktur des Internets auflegt.

Die Standardisierung, die diese Datencontainer mit sich bringen, würden den Datenaustausch enorm erleichtern, während die daran hängenden Signaturen die Daten beglaubigen und damit einen rechtssichereren Raum entfalten - etwas, was dem Internet zwar durch Gesetze zugeschrieben wird, was bislang aber nicht angemessen technisch unterfüttert und in die Netz-Architektur integriert ist.

Ruff verweist darauf, dass vor dem Container-Einsatz ab 1956 allerlei Waren in ihren eigenen Behältern kamen, in unterschiedlichsten Größen und Aggregatzuständen und daher auf dem Weg vom Sender zum Empfänger teils mehrmals umgepackt werden mussten. Die dann eingesetzten Container standardisierten die Verpackung und müssen heute nur noch als Ganzes von LKWs auf Züge und Schiffe, von Schiffen und Zügen auf LKWs und von dort in die Hallen der Logistiker umgeladen werden.

Waren werden nicht mehr zwischendurch ent- und umgepackt und die Transportfahrzeuge sind auf den Standardcontainer ausgelegt. Dies hat die Transportkosten gegenüber der Vor-Container-Zeit um 95% gesenkt und die Transportintensität im globalen Handel entsprechend erhöht. Die globale Arbeitsteilung und der globale Handel wie wir ihn heute kennen wäre ohne diese Standardisierung nicht in dieser Form passiert, weil der Warentransport erheblich teurer wäre.

Ähnliche Effizienzgewinne verspricht sich Ruff von Verifiable Credentials/Containers. Ein Standard, mit dem Daten rechtssicher und beglaubigt transportiert werden könnten, käme einem Abriss diverser Informationsflussbarrieren gleich. Nicht nur, dass Verträge einfacher abschließbar, Daten leichter transformierbar und vergleichbar, sondern auch glaubwürdiger aktualisierbar wären; es wären auch völlig neue Geschäftsmodelle denkbar.

Auch der Schutz von und vor Daten wäre einfacher: man stelle sich nur mal vor, die heute öffentlich einsehbaren Pornoseiten würden durch eine Identitätsprüfung geschützt, die Jugendliche mangels glaubwürdiger Altersverifikation nicht durchbrechen könnten, aber Erwachsene ohne Offenlegung ihrer Identität durch belegbare Volljährigkeit ein Zugangsrecht gewähren - dies würde Jugendschutz ermöglichen, ohne Datenschutz aufgeben zu müssen. Dies gilt nicht nur für Pornoseiten, sondern auch für vergleichbare Dienste wie Online-Wettbüros oder Casinos.

Gleichzeitig könnte ein Ökosystem von ID-Dienstleistern entstehen, die basierend auf dem gleichen Standard verschiedenartige und benutzergruppenorientierte Wallets und Anwendungen bereitstellen. Wer von einem Anbieter zum anderen wechseln will kann dies Dank Standardisierung problemlos tun: die eigenen Credentials müssen einfach nur in die neue Wallet übertragen werden. Die Interoperabilität würde auch Konzentrationsprozessen vorbeugen.

Das heute fehlende ID-System im WWW machen sich monopolartige, überwiegend US-amerikanische Anbieter wie Google und Facebook zunutze und bieten bereits heute an, dass User sich mit den bei ihnen vorhandenen Logins auch bei anderen Diensten anmelden können. Diese Single-Sign-On-Dienste sind für die Nutzer bequem. Die Bequemlichkeit wird jedoch mit einer Abhängigkeit von den immer mächtiger werdenden Konzernen erkauft, die dadurch noch mehr über ihre Nutzer erfahren.

Die Verbraucherzentrale warnt daher davor, solche Dienste unreflektiert zu nutzen und die Stiftung Warentest bemängelt, dass es keine guten Alternativen gibt. Ausgerechnet von Microsoft gibt es seit August 2020 ein sehr gutes Erklärvideo, das die Mechanismen hinter den Verifiable Credentials und der Aussicht auf self-sovereign identities gut und anschaulich erläutert:

Vorstöße für Identifizierungsmechanismen gibt es diverse. So werkelt die Bundesregierung seit längerem an einer Schwerstgeburt namens eID: diese sollte die Personalausweisfunktionalität in den digitalen Raum heben. Klingt die Grundidee erstmal gut, führt sie doch praktisch ein Nischendasein: wenn die deutsche Verwaltung mit ihren hohen Sicherheitsansprüchen digitale Infrastruktur herstellt, so hat diese zwar hohe Sicherheiten, aber eben die der deutschen Verwaltung systemimmanente Nutzerunfreundlichkeit.

Eine Handvoll Verwaltungen bietet zwar das eID-System an, eine breite Nutzerbasis hat es aber nicht gefunden, wohl auch, weil es bislang keine Interoperabilität zu den Alltagsgeschäften des Bundesbürgers herstellt. Allerdings könnte sich dies natürlich ändern, wenn auch das eID-System zu einem interoperablen SSI-Ansatz kompatibel gemacht wird.

Vom Clearnet zum Trustnet

Fazit: Der Internet-Infrastruktur fehlt es an einer Identifikations-Schicht, die rechtssichere digitale Identifizierung möglich macht. Mit den Verifiable Credentials/Verifiable Containers und anderen Mechanismen sind heute technische Grundlagen geschaffen, die solch eine Erweiterung ermöglichen, während sie zugleich Verbesserungen des Datenschutzes in Aussicht stellen. Weitere Forschungs- und Entwicklungsarbeit ist nötig, aber in Aussicht stehen nicht nur Erleichterungen für den Endnutzer, sondern auch für Organisationen.

Ein interoperables, auf offenen Standards basierendes System kann den Nutzerinnen Hoheit über ihre Daten geben, und zugleich die Tür zur Entstehung eines neuen Ökosystems aufstoßen, einer Art "TrustNet", indem glaubwürdige, einfache Identifikationen im digitalen Raum möglich sind: von Menschen, Organisationen und Objekten. Neue Geschäftsmodelle werden sichtbar, ebenso wie ein neuer Umgang in und mit dem Netz. Es entwächst seiner Pubertät und wird erwachsen. Der anarchische Raum wird weiter existieren, da die bisherigen Standards nicht ersetzt, aber erweitert werden - aber aus ihm heraus wächst ein neuer Raum: Wo man sich mit echten oder auch temporären Identitäten begegnet, um rechts- und datensicher miteinander ins Geschäft zu kommen.

Der Beitrag erschien zuerst auf der Seite zukunftsstadt.de.