Self-Sovereign Identity – Autonom und sicher in der Smart Economy - Prof. Dr. Norbert Pohlmann

D. Bothe, N. Pohlmann:
„Self-Sovereign Identity – Autonom und sicher in der Smart Economy“,
IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz, DATAKONTEXT-Fachverlag,
5/2020

Mit der stetig wachsenden Entwicklung smarter Städte und dem generellen Voranschreiten der Digitalisierung sind nach wie vor Webangebote mit gesammelten Daten der Antrieb sowohl alter als auch neuer ökonomischer Strukturen. Der Mehrwert des Speicherns solcher Datenstrukturen ist dabei abhängig von der Menge der erfassten Daten sowie deren Auswertung und dem Einsatz dieser Ergebnisse. Als Teil der Wertschöpfungskette von Unternehmen wird eine immer gezieltere Orientierung an ihre Kunden sowie deren Langzeitbindung an die eigenen Produkte oder Dienstleistungen erst wirklich möglich. Die Erkenntnis, aus Kundendaten neue Gewinne zu erzielen, ist also nahezu unwiderstehlich: Je mehr Daten über Personen gesammelt werden, desto besser die passgenauen Angebote.

Dank der neuen Datenschutzgrundverordnung zum Schutz der Privatsphäre konnte der Sammelwahn einiger Dienstleister jedoch bereits abgemildert werden. Dennoch zeichnet sich eine immer stärkere Zentralisierung und Monopolisierung von Datenhaltern und Dienstleistern ab, vor allem in Form großer US-basierter Technologieunternehmen sowie zentraler Technologieanbieter mit starker Bindung an asiatischen Regionen. Im Umgang mit den eigenen Daten schreiten nur wenige Menschen bewusst zur Tat, sehen meist nur den angepriesenen Vorteil und nicht die möglichen negativen Konsequenzen für ihre Privatsphäre.

So ist das Führen eines Punktekontos zum Eintausch gegen Einkaufsrabatte nach wie vor sehr beliebt, ohne dass die Mehrheit der Teilnehmer wirklich genau weiß, was mit ihren Daten passiert. Im Kontext der deutschen Marktökonomie kann der Kunde bei beliebten Belohnungssystemen wie Payback und DeutschlandCard derzeit zwar auf freiwilliger Basis teilnehmen, muss jedoch dazu die allgemeinen Geschäftsbedingungen der jeweiligen Anbieter akzeptieren. Anbieter erhalten so die volle Kontrolle darüber, wie sie die Daten verwerten und einsetzen, um das Kaufverhalten ihrer Kunden zu lenken und anzupassen. Das Ganze wird unterstützt durch elektronische Hilfsmittel bei der Bezahlung, etwa durch Apps auf dem Smartphone (Mobile Payment). Der Mobile Payment Markt wird in China von Alipay und Tenpay beherrscht und von der Bevölkerung sehr gut angenommen. Bargeldloses Bezahlen ist in China fast überall möglich und mit Bargeld bezahlen wird immer schwieriger. Beide Payment-Unternehmen sind eng verzahnt mit einem behördlichen sozialen Kreditsystem, das Vorteile im Konsumsektor bewilligt, aber auch strafend von der Regierung eingesetzt wird, sollte das Einkaufsverhalten von einer Norm abweichen, wie etwa der häufige Einkauf alkoholischer Getränke.

In diesem Artikel soll dargestellt werden, wie Self Sovereign Identity (SSI) einen fairen Datenaustausch innerhalb der Smart City als Grundbaustein ermöglicht sowie die Integration auch kleinerer Unternehmen in eine offene Infrastruktur unterstützen kann.

Eine unabhängige Identität

Self Sovereign Identity (SSI) beschreibt das Konzept einer eigenen unabhängigen Identität mit vielen weiteren Attributen im digitalen Zeitalter und kann dennoch dabei helfen, Unternehmensvisionen im Hinblick auf eine erhöhte Digitalisierung umzusetzen. SSI stellt dabei einen wichtigen Ansatz dar, um einen guten Kompromiss im fairen Umgang mit Nutzerdaten zu finden. Es handelt sich um ein neues Konzept, das Credentials (Berechtigungs-, Bescheinigung- oder Beglaubigungsnachweise) als flexible und vertrauenswürdige Lösung organisationsübergreifend und nutzerorientiert anbietet. Ein Credential ist eine Bescheinigung der Identität, Qualifikation, Befähigung oder Befugnis, die einer Einzelperson von einem Dritten zum Beispiel durch das Einwohnermeldeamt, dem Straßenverkehrsamt oder einer Hochschule ausgestellt wurde.

Mit einer solchen Bescheinigung können Nutzer identifiziert werden, wenn sie mit Dritten in Interaktion treten. Dabei kann es sich um eine angebotene Dienstleistung eines privaten Unternehmens handeln, um die Interaktion mit einer öffentlichen Behörde sowie die Ausstellung einer Identität, wie es beispielsweise an Hochschulen in Form eines Studierendenausweises geschieht. SSI liefert dabei die notwendigen technologischen Bausteine, um dezentrale Datensysteme wie in Abbildung 1 zu schaffen, in denen Nutzer autonom mit ihren Daten umgehen können. Mit diesem nutzerzentrierten Ansatz können Teilnehmer selbst bestimmen, welche Informationen weitergegeben werden sollen und welche nicht.

Der „User-Centric-Identity“-Ansatz von SSI unterscheidet sich dabei stark vom regulären „Enterprise-Centric-Identity“-Ansatz, indem er den Nutzern die volle Kontrolle über ihre digitale Identität mit allen weiteren Attributen liefert. Bei einer Enterprise-Centric-Identity werden alle Daten, die von einem Nutzer im Rahmen der gesetzlichen Möglichkeiten gesammelt wurden, zentral auf einem Server im Unternehmen oder bei deren vertraglich gebuchten Cloud-Anbietern gespeichert. Der Nutzer hat in der Regel weder die Kontrolle über die Nutzung seiner Daten noch einen direkten Zugriff auf diese. Mit einer User-Centric-Identity wie SSI entscheidet der Nutzer bei jedem Authentifizierungsvorgang sowie jeder weiteren Interaktion selbst, welche seiner verifizierbaren Daten wie übermittelt werden sollen. Dennseine Identität und die weiteren Attribute liegen nicht bei einem Anbieter, sondern in einer privaten Anwendung, die er selbst kontrolliert. Die Echtheit der übergebenen Daten durch den Nutzer können vom Anbieter mithilfe einer Blockchain verifiziert werden. Nur der Nutzer selbst hat jederzeit Zugriff auf seine eigenen Credentials. Aus Sicht der IT-Sicherheit also ein durchaus erwünschtes Ergebnis, da die Integrität der Daten gewährleistet wird und von jedem überprüft werden kann. Dieser Ansatz erspart den Anbietern, eine eigene Infrastruktur aufzubauen und zu betreiben. Durch SSI verlagert sich die Hoheit der Daten zum Nutzer, daraus resultiert jedoch auch, dass der Nutzer sich um seine Credentials selbst kümmert muss.

…

Weitere Informationen zum Thema “Self-Sovereign Identity”:

Vorlesungen: „Lehrbuches Cyber-Sicherheit“

Artikel:

“Was Self-Sovereign Identity (SSI) unverzichtbar macht“

“Blockchain-Insider beleuchtet Self Sovereign-Identity als Zukunftstechnologie“

“Security-Insider: Fachartikel beschreibt Vorzüge der Self Sovereign-Identity“

“Risiko von unsicheren Internet-Technologien“

„Wertschöpfung der Digitalisierung sichern – Vier Cybersicherheitsstrategien für den erfolgreichen Wandel in der IT“

„Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie“

„Vertrauen – ein elementarer Aspekt der digitalen Zukunft“

“Self-Sovereign Identity – Autonom und sicher in der Smart Economy“

“An SSI Based System for Incentivized and Self-determined Customer-to-Business Data Sharing in a Local Economy Context“

Vortrag:
“Sicherheit mit digitaler Selbstbestimmung – Self-Sovereign Identity (SSI)“

Podcast:
“Digitale Abhängigkeiten auflösen: Prof. Pohlmann erklärt SSI-Vorzüge im neuen TeleTrusT-Podcast“

“Podcast Backup beleuchtet SSI, Studium an der WHS und Gelsenkirchen als Startup-Schmiede“

Bücher:

Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher zum kostenlosen Download

• Sicher im Internet: Tipps und Tricks für das digitale Leben
• Der IT-Sicherheitsleitfaden
• Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)