Datensouveränität: Bedeutung der Self Sovereign Identities

Annahme der novellierte eIDAS-Verodnung durch das EU-Parlament

Von unserem Gastautor Michael Doujak, Product Manager bei Airlock

[datensicherheit.de, 29.11.2024] Digitale Identitäten werden im Zuge der Digitalisierung immer einflussreicher. Traditionell wurde die Identität über zentralisierte Systeme verwaltet, z. B. über staatlich ausgestellte Ausweise oder Unternehmensdatenbanken sowie über Identitätssysteme großer Tech Firmen wie Google, Microsoft und vieler anderer. Mit selbstverwalteten Identitäten, den Self Sovereign Identities (SSI) wird diese Abhängigkeit reduziert.

Am 29. Februar 2024 hatte das Europäische Parlament in einer finalen Abstimmung die novellierte eIDAS-Verodnung angenommen. Den EU-Mitgliedsstaaten bleiben nun 24 Monate Zeit, um das Konzept der digitalen Identität auf nationaler Ebene rechtskonform umzusetzen. Die EU hat bereits 2023 vier grosse Pilotprojekte (Large Scale Pilots – LSP) auf den Weg gebracht, bei denen private Unternehmen und Behörden aus den EU-Mitgliedsstaaten sowie weiteren Länder Europas in Zusammenarbeit derzeit spezifische Anwendungsfälle entwickeln und pilotieren. Beteiligt sind rund 360 Einrichtungen. Technologische Grundlage ist der von der eIDAS Expert Group vorgelegte Werkzeugkasten, der u.a. die am 7. März 2024 von der Europäischen Kommission vorgestellte, jüngste Version des „Architecture and Reference Framework“ (ARF) umfasst.

Michael Doujak, Product Manager bei Airlock, Quelle: Airlock

Self Sovereign Identities

Self Sovereign Identities (SSI) sind ein innovativer Ansatz wie Einzelpersonen ihre digitalen Identitäten selbst kontrollieren und verwalten. Im Kern geben SSI dem Einzelnen die volle Verfügungsgewalt über seine persönlichen Daten und ermöglicht es ihm, diese selektiv und ohne Einschalten von dritten Vermittlern an vertrauenswürdige Stellen weiterzugeben. Das Konzept sorgt nicht nur für mehr Privatsphäre und Sicherheit, sondern schafft auch die Voraussetzungen für eine integrativere und dezentralere digitale Landschaft.

Im Gegensatz zu herkömmlichen Systemen, die in der Regel auf nationale Grenzen beschränkt sind und der staatlichen Aufsicht unterliegen, funktionieren die SSI auf globaler Ebene. Das bedeutet, dass Einzelpersonen ihre Identität geltend machen und nahtlos über Grenzen hinweg auf Dienste zugreifen können, unabhängig von geopolitischen Grenzen oder rechtlichen Beschränkungen. Der technologische Ansatz verspricht das Vertrauen und die Transparenz bei digitalen Interaktionen zu fördern. Wenn jeder Einzelne die Kontrolle über seine eigene Identität hat, verringert sich die Abhängigkeit von zentralisierten Stellen und minimiert das Risiko von Datenschutzverletzungen und Identitätsdiebstahl. Dieser Wandel hin zu einem nutzerzentrierten Identitätsmanagement stärkt die Privatsphäre der Nutzer.

Quelle: Airlock, Ergon Informatik 2024

Abbildung 1: Eigenschaften und Nutzen von SSI im Überblick

Digitalisierung und Vertrauen

Das Streben nach Digitalisierung stellt sowohl Behörden als auch Firmen vor gewaltige Herausforderungen. Budgets und Fachpersonal werden in umfangreiche Projekte gesteckt, um Anwendungsfälle zu lösen. Bei vielen dieser Projekte ist es jedoch schwierig, einen ausreichenden Nutzen nachzuweisen, um den Aufwand zu rechtfertigen. Ein Beispiel ist die Digitalisierung der Steuerformularerfassung. Hierbei handelt es sich um einen Prozess, der eine genaue Identifizierung der Bürger für eine Dienstleistung erfordert, die nur einmal im Jahr in Anspruch genommen wird. Noch verwirrender ist der Fall der elektronischen Gesundheitsakte. Während ein kleiner Teil der Bevölkerung häufig mit dem Gesundheitssystem interagiert und von den Vorteilen elektronischer Aufzeichnungen profitiert, hat die Mehrheit der Bürger über Jahre hinweg nur minimale oder gar keinen Kontakt.

Die Bedeutung der SSI gehen jedoch über die Identitätsüberprüfung hinaus – sie umfasst die nahtlose digitale Nutzung von Berechtigungsnachweisen ohne zwischengeschaltete Unterbrechungen. Jede Dateneinheit eines Ausweises wird von seinem Aussteller authentifiziert, was ihm ein ähnliches Maß an Glaubwürdigkeit verleiht ähnlich traditionellen Papierdokumenten wie Reisepässen. Folglich müssen die Empfänger nicht die Informationen selbst überprüfen, sondern lediglich die Authentizität der ausstellenden Stelle. Dieser doppelte Vorteil erhöht die Datenqualität im Vergleich zu vom Benutzer ausgefüllten Formularen und macht eine manuelle, ausgelagerte oder automatisierte Überprüfung überflüssig, was die Prozesse vereinfacht und die Kosten senkt.

Die sich entwickelnde Landschaft der überprüfbaren Bescheinigungen wirft interessante Fragen zur rechtlichen Haftung auf. Da die Emittenten die Integrität ihrer Nachweise sicherstellen müssen, werden Sorgfaltsprüfungen unumgänglich. Dieser Wandel wird das Entstehen von Ökosystemen fördern, die eigene Standards für Datenqualität und Vertrauenswürdigkeit haben. Diese Standards werden als Maßstäbe für die Bewertung des Vertrauens durch Dritte dienen und den Grad der Zuverlässigkeit eines Ausweises signalisieren.

Entscheidend ist, dass SSI keine inhärenten Beschränkungen aufweisen, die den Nachweis auf nationale Gerichtsbarkeiten oder bestimmte Ökosysteme beschränken. Diese inhärente Flexibilität ist eine der Stärken der SSI, da sie aufgrund ihres Interoperabilitätsprinzips weltweit einsetzbar ist. SSI sollen geografische Beschränkungen überwinden und nahtlose Interaktionen und Transaktionen auf globaler Ebene ermöglichen. In dem Maße, in dem Akteure aus allen Sektoren diese transformative Technologie annehmen, hat die SSI das Potenzial, die digitale Interaktion zu revolutionieren und eine besser vernetzte und effizientere globale Landschaft zu fördern.

Absicherung digitaler Identitäten durch SSI

Digitale Signaturen, wie sie auf Dokumenten oder in X.509-Zertifikaten verwendet werden, können genutzt werden, um die Aktivitäten der unterzeichnenden Parteien nachzuverfolgen. Um zu verhindern, dass Empfänger verifizierter Berechtigungsnachweise digitale Signaturen verwenden, um die Eigentümer verifizierter Berechtigungsnachweise über verschiedene Anwendungsfälle hinweg zu verfolgen, unterstützt SSI kryptografische Algorithmen, die diese Schwachstelle beseitigen und die Unverknüpfbarkeit der Daten garantieren. Es ist jedoch immer noch möglich, Einzelpersonen auf der Grundlage von Informationen, die sie mit Empfängern teilen, zu verfolgen. In bestimmten Anwendungsfällen lässt sich dies allerdings auch schlichtweg nicht vermeiden.

Verifizierbare Berechtigungsnachweise sind kryptografisch signiert. Dadurch wird sichergestellt, dass jeder Versuch, die in einem verifizierbaren Berechtigungsnachweis enthaltenen Daten zu verändern, sofort erkannt wird («manipulationssicher»). Kryptografische Signaturen bieten auch die Möglichkeit, die Aussteller von verifizierbaren Berechtigungsnachweisen eindeutig zu identifizieren und somit die Vertrauenswürdigkeit der Daten zu bewerten.

Die sogenannte selektive Offenlegung erfolgt mithilfe fortschrittlicher Kryptografie. So können Eigentümer bei jeder Transaktion entscheiden, welche der auf den verifizierbaren Berechtigungsnachweisen gespeicherten Daten freigegeben und welche nicht freigegeben werden sollen. Bestimmte Implementierungen unterstützen auch den Null-Wissen-Beweis. Auf der Grundlage von Informationen, die in den verifizierbaren Berechtigungsnachweisen enthalten sind (z. B. das Geburtsdatum), ist es möglich, abgeleitete Informationen offenzulegen (z. B. dass Volljährigkeit gegeben ist), ohne jedoch die zugrundeliegenden Daten offenzulegen.

Fazit

SSI bieten eine vielversprechende Lösung, die traditionelle Grenzen überschreitet, indem sie dem Einzelnen die Kontrolle über seine digitalen Identitäten gibt und die Interoperabilität über Grenzen hinweg fördert. Die Technologie verspricht nicht nur die Beziehungen zwischen Behörden und Bürgern, sondern auch die Interaktionen innerhalb von Firmen zu revolutionieren.

Sie bergen großes Potenzial für die Rationalisierung von Prozessen, die Verbesserung der Sicherheit und die Förderung des Vertrauens in digitale Transaktionen. Von der Eingabe von Steuerformularen bis hin zu elektronischen Gesundheitsakten bieten sie eine solide Grundlage für komplexe Anwendungsfälle und minimieren gleichzeitig die mit zentralisierten Systemen verbundenen Datenschutzbedenken.

Weitere Informationen zum Thema: