slider

Self-Sovereign Identity (SSI) - Prof. Dr. Norbert Pohlmann

Self-Sovereign Identity (SSI)

Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Was ist Self-Sovereign Identity (SSI)?


Derzeit dominieren zentrale ID-Provider wie Google und Facebook die Verwaltung von Identitätsdaten sehr vieler IT-Dienste weltweit, was zu einer großen Abhängigkeit unserer Gesellschaft in Bezug auf den Fortgang der Digitalisierung führt. Außerdem nutzen sie die sensiblen personenbezogenen Daten für eigene Werbezwecke oder stellen diese weiteren Unternehmen zur Verfügung, um damit Geld zu verdienen (siehe: Bezahlen mit persönlichen Daten – Geschäftsmodell). Das schwächt die Privatsphäre der Nutzer und hat Folgen auf deren souveränen Umgang mit den eigenen Daten. Self-Sovereign Identity (SSI) soll helfen, diese Probleme zu lösen.

Bei Self-Sovereign Identity (SSI) oder selbstbestimmter Identität kontrollieren und besitzen Nutzer ihre digitalen Identitäten und weitere verifizierbare digitale Nachweise (Verifiable Credentials (VC)), ohne hierfür auf eine zentrale Stelle, wie etwa Facebook oder Google, angewiesen zu sein. Sie sind somit komplett unabhängig von Dritt-Instanzen und entscheiden vollkommen eigenständig, wer welche Identitätsdaten zur Verfügung gestellt bekommt, da alle Identitätsdaten ausschließlich bei ihnen gespeichert werden. Dadurch ist ein einfacher, flexibler, sicherer und vertrauenswürdiger Austausch von manipulationssicheren digitalen Nachweisen zwischen Nutzer und Anwendungen möglich.
Ein verifizierbarer digitaler Nachweis ist zum Beispiel eine Bescheinigung der Identität, Qualifikation, Befähigung oder Befugnis, die einer Einzelperson oder auch einem Objekt von einem Dritten (Aussteller) – zum Beispiel Einwohnermeldeamt, Straßenverkehrsamt, Hochschule, Unternehmen, Qualifizierungsorganisation oder TÜVs – ausgestellt wurde. Im Gegensatz zum Ansatz der „Enterprise-Centric-Identity“ erlaubt die „User-Centric-Identity“ den Nutzern die Kontrolle über ihre persönlichen Identitätsdaten. Die Nutzer bestimmen selbst, welche Attribute (persönliche Identitätsdaten) bei einem Authentifizierungsvorgang / einem Prozess übermittelt werden. Die Dienste zentraler Identitätsprovider wie Facebook oder Google werden dadurch entbehrlich, wodurch die Risiken in Bezug auf unerwünschte Datennutzung und -weitergabe reduziert werden können. Dieser Wegfall zentraler Identitätsprovider vereinfacht insgesamt die Handhabung personenbezogener Daten aufseiten der Anwendungen (Verifizierer) und macht zudem komplexe Registrierungs- und Authentifizierungsvorgänge, wie z. B. die Eingabe von Passwörtern überflüssig.
Somit erhalten die Nutzer mehr Rechte, aber auch Verantwortlichkeit hinsichtlich ihrer persönlichen Identitätsdaten. Die Verifizierbarkeit digitaler Nachweise mithilfe einer Blockchain als Vertrauensdienst hilft dabei, ein dezentrales SSI-Ökosystem für digitale Identitäten umzusetzen.

Self-Sovereign Identity (SSI) - SSI-Ökosystem -Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Im SSI-Ökosystem für digitale Identitäten spielen drei Akteure eine Rolle, die gemeinsam mit der SSI-Blockchain-Infrastruktur interagieren (Trust Triangle). Jeder dieser Akteure hat eine definierte wichtige Aufgabe, damit das Ökosystem für digitale Identitäten erfolgreich umgesetzt werden kann.

Warum spielt die Blockchain bei Self-Sovereign Identity (SSI) eine Rolle?

Die Blockchain ist ein dezentrales Netzwerk mit IT-Sicherheits- und Vertrauenswürdigkeitsmechanismen, in dem kryptographische Informationen zur Identifikation des Ausstellenden und Meta-Informationen zur Ausstellung von Nachweisen (DIDs, Document Schemas, Revocation Registries) als Transaktionen in den einzelnen Blöcken manipulationssicher gespeichert werden können. Das bedeutet, die Akteure (Aussteller, Besitzer, Verifizierer), die die Blockchain nutzen, sind in der Lage, sowohl Echtheit und Ursprung als auch die Unversehrtheit der Identitätsdaten (also die eigentliche digitale Identität sowie die digitalen Nachweise) zu überprüfen, ohne dass die Blockchain weder die eigentliche Identität noch die digitalen Nachweise der Nutzer kennt. Im SSI-Ökosystem für digitale Identitäten können mehrere unterschiedliche Blockchain-Netzwerke eingebunden sein (Network of Networks). Dies wird durch standardisierte Protokolle (Decentralized Identifiers – DID Methods, …) wie zum Beispiel die für die Übertragung von Nachweisen zwischen SSI-Apps oder die Verifizierung von Behauptungen genutzt, deren Interoperabilität in Projekten wie Hyperledger-Aries definiert werden. Gleichzeitig können über die Blockchain anonyme Sperrregister abgebildet werden, um auf diese Weise die Gültigkeit von digitalen Nachweisen aufzuheben und somit potenzielle Risiken minimieren.
Die Blockchain etabliert im Kontext Self-Sovereign Identity (SSI) eine verteilte Vertrauensarchitektur, bei der klassisches institutionelles Vertrauen in technische Aspekte (Protokolle & Software, Kryptographie, statistische Effekte) auf Basis von Unveränderlichbarkeit und Transparenz verschoben wird.

Aussteller (Issuer)
In dem SSI-Ökosystem für digitale Identitäten gibt es Aussteller, die digitale Nachweise wie etwa Führerschein-Informationen (Klasse, Brillenträger, …), Qualifikationen (Schul- und Hochschulzeugnisse, …), Grundbuchauszüge (Besitz von Grundstücken), Firmenausweise (Unternehmen, Adresse, Berechtigungen), Bestätigungen von Berufsverbänden (wie zum Beispiel Arzt, Krankenschwester), Studierendenausweis (Fachrichtung, Bachelor/Master/Promotion), Stammbuch-Informationen (Verheiratet, Kinder, …) ausstellen. Diese digitalen Nachweise verwalten die Nutzer in ihrer Wallet und können sie bei Bedarf an Anwendungen, für die verifizierbare Informationen benötigen werden, weitergeben.
Damit sich diese bei Anwendung auf ihre Echtheit überprüfen lassen, schreibt der Ausstellende kryptographische Informationen zur Identifikation des Ausstellenden und Meta-Informationen zur Ausstellung von Nachweisen (DIDs, Document Schemas, Revocation Registries) in die SSI-Blockchain-Infrastruktur. Essentiell bei diesem Vorgang ist, dass die Ausstellenden für das korrekte und vertrauenswürdige Erstellen von verifizierbaren digitalen Nachweisen sowohl berechtigt als auch vertrauenswürdig sind und dass ihre Identität über die Blockchain als dezentrales Register (Verifiable Data Registry) sicher und vertrauenswürdig bestätigt werden kann. Außerdem muss die Übertragung der verifizierbaren digitalen Nachweise zwischen dem Aussteller und Besitzer verschlüsselt erfolgen.

Verifizierer (Akzeptanzstelle)
Die Akzeptanzstellen in diesem SSI-Ökosystem für digitale Identitäten benötigen verifizierbare digitale Nachweise (Verifiable Credentials), um die vorgelegten Informationen (Ausweise, Kreditkarten, Berechtigungen) in einem Prozess oder einer Anwendung (Off- oder Online) zu nutzen und weiter zu verarbeiten. Dies geschieht im Idealfall vollkommen automatisiert.
Beispiel: eine Autovermietung benötigt für die Anmietung Ausweis, Führerschein sowie eine Zahlungsmöglichkeit. Um die notwendigen Nachweise zu erbringen, gibt es dann verschiedene Möglichkeiten, beispielsweise dass die Autovermietung (Verifizierer) einen QR-Code bereitstellt, den die Nutzer (Kunden) mit ihrem Smartphone einlesen und über den angegebenen Link die notwendigen digitalen Nachweise freigeben. Damit werden dem Verifizierer die Daten zur Verfügung gestellt.
Die Anwendung kann mithilfe der kryptographischen Informationen und Meta-Informationen zur Überprüfung von Nachweisen (DIDs, Document Schemas, Revocation Registries) aus der Blockchain, diese auf Echtheit überprüfen. Dadurch ist es möglich, medienbruchfrei und vor allem abgesichert das Potenzial der Digitalisierung auszuschöpfen und neue digitale Geschäftsmodelle umzusetzen, da digitale Nachweise einfach, sicher und vertrauenswürdig verarbeitet werden können. Hierbei ist es essenziell, dass die Übertragung der verifizierbaren digitale Nachweise zwischen Besitzer und Verifizierer verschlüsselt übertragen werden.

Besitzer (Holder)
Der Besitzer hat in der Regel auf seinem mobilen Endgerät eine entsprechende SSI-App (Edge-Agent), in der eine Wallet mit den digitalen Nachweisen gespeichert ist. Es ist auch möglich, als Alternative oder Ergänzung zum Edge-Agent, einen Cloud-Agent zu nutzen. Dieser ist insbesondere für Backup-Szenarien hilfreich und garantiert eine höhere Verfügbarkeit als ein mobiler Edge-Agent.
Die Besitzer können alle verifizierbaren digitalen Nachweise von den entsprechenden Ausstellern anfordern und in der eigenen Wallet ablegen. Damit sind sie in der Lage, selbstbestimmt diese verifizierbaren digitalen Nachweise den entsprechenden Anwendungen zur Verfügung zu stellen. Dabei ist es möglich lediglich bestimmte Felder oder abgeleitete Informationen eines digitalen Nachweises dem Verifizierer zu übermitteln. So wird zum Beispiel bei einer Überprüfung der Unternehmenszugehörigkeit nur die hierfür notwendige Information, also ein bestimmtes Feld des Unternehmensausweises übertragen, jedoch beispielsweise nicht die Position des Besitzers im Unternehmen.

SSI-Ökosystem für digitale Identitäten in der Zukunft

Ein Ökosystem für digitale Identitäten kann mit seiner SSI-Infrastruktur souverän sein, viele Prozesse einfacher sowie sicherer digitalisieren und bietet ein sehr hohes Potenzial für Kosteneinsparungen und Effizienzsteigerung. Doch das SSI-Ökosystem für digitale Identitäten wird nur dann von den Nutzern akzeptiert und verwendet werden, wenn sie dem SSI-Ökosystem inklusive aller ausgeführten Vorgänge vertrauen. Dazu müssen die Technologien des SSI-Ökosystem für digitale Identitäten sowie die beteiligten Unternehmen (Aussteller, Verifizierer, SSI-App-Entwickler, Hersteller und Betreiber der Blockchain-Technologie, …) vertrauenswürdig sein. Ein wichtiger Vertrauenswürdigkeitsmechanismus, der mit einem SSI-Ökosystem für digitale Identitäten realisiert werden kann, ist die angemessene Nutzung und Speicherzeit von digitalen Nachweisen bei den Anwendern (Verifizierer). Hierfür essenziell ist, dass wenn die Anwendung einen digitalen Nachweis auf Echtheit verifiziert und die Inhalte genutzt hat, diese, falls keine weiteren gesetzlichen Anforderungen vorliegen, die digitalen Nachweise unmittelbar löschen muss. Über diesen Vorgang sollte dem Nutzer als Transparenzmechanismus eine Bestätigung übermittelt werden. Damit ist eine echte Souveränität der Nutzer umsetzbar, da er jedes Mal erneut den verifizierbaren digitalen Nachweis schnell sowie sicher für eine Überprüfung zur Verfügung stellen kann und somit eine unbegrenzte Speicherung – wie es heute oft praktiziert wird – in der Anwendung nicht notwendig ist.
Die Vertrauenswürdigkeitsprotokolle auf der Anwendungsebene der Aussteller, Besitzer und Verifizierer sind jedoch dafür maßgeblich, dass die Nutzer Vertrauen in das SSI-Ökosystem für digitale Identitäten aufbauen können, die geschieht zum Beispiel auf Basis der Transparenz der Prozesse, der (fairen) Handhabung der Identitätsdaten sowie über eigens dafür etablierte Reputationssysteme.

Gesellschaftliche und politische Relevanz eines SSI-Ökosystem für digitale Identitäten

Die im Folgenden genannten Aspekte zeigen die gesellschaftliche und politische Relevanz eines SSI-Ökosystems für digitale Identitäten auf.

  1. Digitalisierung und Akzeptanz der Bürger
    Die Digitalisierung ist von hoher gesellschaftlicher Relevanz, da der Einsatz neuer Technologien dazu beiträgt, Abläufe zu vereinfachen sowie Prozesse effizienter zu gestalten. Somit stellt sie einen wichtigen Faktor zur Erhaltung der Wettbewerbsfähigkeit dar. Grundsätzlich wünschen sich viele Bürger eine Vereinfachung von Prozessen und Abläufen durch den Einsatz digitaler Technologien, zum Beispiel bei der Stadtverwaltung im Bereich Meldewesen, Grundbucheinträge oder zur Beantragung von Parkausweisen. Alle diese Routineanträge sollen nach dem Willen der Bürger schnell, einfach und problemlos per Internet durchgeführt werden können. Aber es herrscht auch eine große Unsicherheit bei den Bürgern in Bezug auf die Nutzung des Internets. Immer mehr Bürger sind bezüglich der Verwendung ihrer Daten misstrauisch, weil sie nicht wissen, wohin ihre persönlichen Daten abfließen und was damit gemacht wird. Ihnen ist der Schutz ihrer persönlichen Daten ausgesprochen wichtig. Trotzdem sind Bürger auch bereit Vertrauen aufzubauen. Dabei erwarten sie, dass Unternehmen bei dem Einsatz neuer Technologien sowohl verantwortungsvoll als auch vertrauenswürdig agieren – das bedeutet, aus Sicht der Bürger müssen Unternehmen dafür Sorge tragen, dass eine eingesetzte Technologie auch tatsächlich zum Wohl der Gesellschaft beiträgt. Dieses Vertrauen muss positiv bestätigt werden, denn nur wenn Bürger merken, dass ihr Vertrauen gerechtfertigt ist, werden sie neue Technologien akzeptieren und nutzen. Ein weiterer wichtiger Aspekt bei dem Aufbau von Vertrauen in eine Technologie ist, dass diese zumindest in den Grundsätzen verstanden wird. Daher sollte darauf geachtet werden, den Bürgern Vorteile und Nutzen der neuen Technologie sinnhaft darzustellen.
  2. Wirtschaftliche Relevanz eines SSI-Ökosystems für digitale Identitäten
    Händisch durchgeführte Abläufe und vorhandene Medienbrüche sind der Grund für ineffiziente Prozesse und beeinträchtigen somit das Potential für eine optimale Produktivität. Aufgrund dessen lässt sich die wirtschaftliche und politische Relevanz einer beschleunigten Digitalisierung ableiten. Anwendungsfälle zeigen zum Beispiel, wie sich die Optimierung von Lieferketten mittels Digitalisierung umsetzen lässt, indem wichtige Nachweise einfach, schnell, sicher und vertrauenswürdig IT-technisch verarbeitet werden können. Die Umsetzung von digitalen Identitäten hat einen hohen wirtschaftlichen Nutzen (siehe auch: Return on Security Investment – RoSI).
  3. Technologische Souveränität
    Die technologische Souveränität ist ein zunehmend wichtiger Faktor, da kurz- bis mittelfristig der Wertschöpfungsanteil der IT sowie dem Internet und damit Daten in allen Branchen enorm steigt. Für die freie unabhängige und vollumfängliche Nutzung im Sinne von Gestaltungsmöglichkeiten unsere Gesellschaft betreffend müssen in wichtigen Schlüsselbranchen gezielt der Kompetenzaufbau vorangetrieben und Schlüsseltechnologien entwickelt werden. Denn nur so ist es möglich, potenziellen Risiken, die durch Abhängigkeiten von den Marktführern (Google, Amazon, Facebook oder Microsoft) und Herkunftsländern gegebenenfalls entstehen, entgegenwirken zu können. Dazu ist es notwendig, das darauf angewiesen sein zu reduzieren und den Einsatz von zukünftig relevanten Technologien souverän und vertrauenswürdig zu gestalten. SSI-Technologien und -Services sind ein Schlüsselbereich, der es ermöglicht, eine größere Autonomie in Bezug auf die Nutzung und Verwertung von persönlichen Daten zu erlangen. Denn unter deren Einsatz können Bürger gemäß ihren Wertvorstellungen ihre persönlichen Daten eigenständig verwalten und auch die Kontrolle darüber behalten.

Anwendungsbeispiel: Self-Sovereign Identity

Wer schon einmal ein Auto gemietet hat, kennt die Situation, wenn wir ein Auto mieten wollen: Der Mitarbeitende des Autovermieters braucht eine gefühlte Ewigkeit, um Ausweis, Führerschein und Belege zu prüfen, kopieren und die Daten im PC zu erfassen. Mit Self-Sovereign Identity (SSI) würde dieser Vorgang erheblich vereinfacht und verkürzt: Am Schalter angekommen, wird ein QR-Code vom Kunden gescannt. Anschließend werden die digitalen Nachweise vom Kunden freigegeben und ein Vertrag digital signiert – danach erfolgt die Übergabe der Autoschlüssel. Quasi simultan laufen die Prozesse sicher im Hintergrund ab. Ein schönen Beispiel, welchen Effekt SSI bei der Digitalisierung hat.

Siehe auch:

Video Self-Sovereign Identity




Weitere Informationen zum Begriff “Self-Sovereign Identity (SSI)”:

Artikel:
“Self-Sovereign Identity – Autonom und sicher in der Smart Economy”

“An SSI Based System for Incentivized and Self-determined Customer-to-Business Data Sharing in a Local Economy Context”

“Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie”

“Blockchain-Technologie unter der Lupe – Sicherheit und Vertrauenswürdigkeit kryptografisch verkettete Datenblöcke”

Vorlesungen:
“Blockchain-Technologie”

“Identifikation und Authentifikation”

Informationen über das Lehrbuch: „Cyber-Sicherheit“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
Self-Sovereign Identity (SSI) Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten