slider

Mehr digitale Selbstbestimmung: Deutschland und Europa pushen Self-Sovereign Identity als W - Prof. Dr. Norbert Pohlmann

Mehr digitale Selbstbestimmung: Deutschland und Europa pushen Self-Sovereign Identity als Weg zum souveränen und selektiven Einsatz von persönlichen Daten

Mehr digitale Selbstbestimmung - Schaubild_SSI-Ökosystem - Prof. Norbert Pohlmann

Was ist mehr digitale Selbstbestimmung?

Mehr digitale Selbstbestimmung
„So viel wie nötig, so wenig wie möglich“, sollte der Leitsatz bei Einsatz und Freigabe von persönlichen Daten im Internet sein. Nutzer:innen sind jedoch mittlerweile daran gewöhnt, überall bereitwillig ihre Daten für Dienste und in Portalen preiszugeben – obwohl die Verwendung der Daten oftmals nicht in ihrem Sinne ist. Deshalb forschen Wissenschaftler:innen nun mit Hochdruck an dem Konzept der Self-Sovereign Identity (SSI), der selbstbestimmten Identität: Sie soll den Nutzer:innen zukünftig ermöglichen nach eigenem Ermessen über die Weitergabe ihrer persönlichen Daten mit Hilfe von verifizierbaren digitalen Nachweisen zu verfügen.

Deutschland will Vorreiterrolle bei der Nutzung von SSI einnehmen

Im europäischen und globalen Gefüge will Deutschland eine Vorreiterrolle bei der Nutzung von SSI einnehmen. Deshalb fördert die Bundesregierung derzeit zahlreiche Projekte der digitalen Selbstbestimmung: Das Bundeswirtschaftsministerium vergibt 45 Millionen Euro an drei Modellprojekte unterschiedlicher öffentlich-privater Konsortien, die in sogenannten „Schaufenster-Regionen” erste SSI-Anwendungen einsetzen. Das Institut für Internet-Sicherheit if(is) ist am IDunion-Projekt beteiligt.
Auch das Bundeskanzleramt will mit Hilfe digitaler Nachweise eines der drängendsten Digitalisierungshemmnisse unserer Zeit abbauen. Gemeinsam mit namhaften Partnern aus der Wirtschaft will die Bundesregierung noch in diesem Jahr den Grundstein zum Aufbau eines Ökosystems digitaler Identitäten legen und bis zu zehn Anwendungsfälle mit hoher Alltagsbedeutung umsetzen. Den Start macht ein Projekt zum Hotel-Check-in für Firmenreisende, das es dem Gast erlaubt, mittels SSI ein- und auszuchecken.

Digitale Abhängigkeiten auflösen und mehr Komfort zu gewinnen
Für eine zügige Umsetzung gilt es nun, das Konzept der Self-Sovereign Identity mit Hilfe nationaler IT-Forschung durch effiziente nützliche Anwendungen im Alltag zu etablieren. Eine langjährige Expertise in diesem Bereich weisen wir vom Institut für Internet-Sicherheit – if(is) auf. Die Cyber-Sicherheitsforscher:innen des if(is) befassen sich in zahlreichen Forschungsprojekten mit praktikablen Anwendungen der SSI: Nutzer sollen ihre Daten selektiv, kontrolliert und sicher einsetzen können. Dies ist derzeit nicht möglich, da zentrale ID-Provider wie Google und Facebook die Verwaltung von Identitätsdaten vieler IT-Dienste weltweit dominieren. Das führt zu einer großen Abhängigkeit der Gesellschaft in Bezug auf den Fortgang der Digitalisierung. Die großen Tech-Unternehmen nutzen die sensiblen personenbezogenen Daten für eigene Werbezwecke oder stellen diese weiteren Unternehmen zur Verfügung, um damit Geld zu verdienen, was die Privatsphäre der Nutzenden schwächt. Ein souveräner Umgang mit den eigenen Daten ist somit nicht möglich. Self-Sovereign Identity (SSI) ist eine Option, um diese Probleme zu lösen und gleichzeitig das volle Potenzial der Digitalisierung auszuschöpfen.

Mehr digitale Selbstbestimmung durch Freigabe von Daten
Bei SSI oder selbstbestimmter Identität kontrollieren und besitzen Nutzer:innen ihre digitalen Identitäten und weitere verifizierbare digitale Nachweise (Verifiable Credentials (VC)). Beispiele für verifizierbare digitale Nachweise sind: eine Bescheinigung der Identität, ein Zeugnis, eine Qualifikation oder ein Führerschein, also Dokumente die einer Einzelperson oder einem Objekt von einem Dritten (Aussteller) – zum Beispiel Einwohnermeldeamt, Straßenverkehrsamt, Hochschule, Unternehmen oder TÜVs – ausgestellt wurden.

Müssen Nachweise, beispielsweise bei einer Anmeldung für eine Anwendung weitergegeben werden, sind die Nutzer:innen heute zumeist auf eine zentrale Stelle, wie etwa Facebook oder Google, angewiesen. Dieser Vorgang soll in Zukunft anders gestaltet werden, indem die Nutzer:innen komplett unabhängig von Dritt-Instanzen vollkommen eigenständig entscheiden können, wem sie welche Identitätsdaten zur Verfügung stellen, da alle Identitätsdaten ausschließlich bei ihnen abgespeichert sind. Der Vorteil: Die Nutzer:innen können selbst darüber bestimmten, welche Attribute (persönliche Identitätsdaten) bei einem digitalen Vorgang übermittelt werden. Somit erhalten die Nutzenden mehr Rechte, aber auch mehr (Eigen-)Verantwortlichkeit hinsichtlich ihrer persönlichen Identitätsdaten.

Digitalisierung durch Self-Sovereign Identity – ein Beispiel
Wer schon einmal ein Auto gemietet hat, kennt die Situation: Der Mitarbeitende braucht eine gefühlte Ewigkeit um Ausweis, Führerschein und Belege zu prüfen, kopieren und die Daten im PC zu erfassen. Mit SSI würde dieser Vorgang erheblich verkürzt: Am Schalter angekommen, wird ein QR-Code gescannt. Anschließend werden die digitalen Nachweise vom Nutzenden freigegeben und ein Vertrag digital signiert – danach erfolgt die Übergabe der Autoschlüssel. Quasi simultan laufen die Prozesse sicher im Hintergrund ab.

Vertrauen, Komfort und Sicherheit – selbst gewählt und selbstbestimmt
Doch das Potenzial von SSI lässt sich für alle Beteiligten nur ausschöpfen, wenn auch die Sicherheit der Prozesse gewährleistet ist. Aufgrund dessen wird die Verifizierbarkeit digitaler Nachweise mithilfe einer Blockchain als Vertrauensdienst umgesetzt. Diese Technologie ermöglicht die Umsetzung eines dezentralen SSI-Ökosystem für digitale Identitäten, in dem kryptographische Informationen zur Identifikation des Ausstellenden und Meta-Informationen zur Ausstellung von Nachweisen als Transaktionen in den einzelnen Blöcken manipulationssicher gespeichert werden können.
Self-Sovereign Identity ist ein wichtiger Baustein, um im Zuge der fortschreitenden Digitalisierung das Vertrauen der Nutzer:innen aufzubauen und weiter zu steigern, da durch die initiierte und kontrollierte Datenfreigabe, unabhängig von Dritt-Instanzen, die zweckgebundene sowie tatsächlich gewünschte Nutzung von Daten gewährleistet ist. Deshalb ist es nach Ansicht von Pohlmann jetzt wichtig, das Konzept voranzutreiben sowie mit Hilfe von Politik und Wirtschaft sowohl die Forschung als auch den Einsatz von Self-Sovereign Identity zu unterstützen. Denn dies würde helfen, die Digitalisierung vollumfänglich zum Nutzen der Gesellschaft umzusetzen. Dadurch, dass die Nutzer:innen im SSI-Ökosystem selbstbestimmt entscheiden, welche Informationen sie wann weitergeben, wird Privacy by Design gewährleistet und durch die Anwendung der überprüfbaren digitalen Nachweise mehr Sicherheit erzielt.

Siehe auch: Video Self-Sovereign Identity

Eintrag Glossar Cyber-Sicherheit: Self-Sovereign Identity

Mehr digitale Selbstbestimmung - Schaubild_SSI-Ökosystem - Prof. Norbert Pohlmann
Mehr digitale Selbstbestimmung: Deutschland und Europa pushen Self-Sovereign Identity als Weg zum souveränen und selektiven Einsatz von persönlichen Daten Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten