Über Jahre und mittlerweile Jahrzehnte haben Internetnutzer diverse Login-Daten für die verschiedensten Dienste, Shops und Webseiten angesammelt. Aus Bequemlichkeit tendieren leider immer noch viele Nutzer dazu, überall das gleiche Passwort zu nutzen, das womöglich auch noch sehr generisch ist – „123456“ führt seit Jahren die Liste der häufigsten Passwörter an. Zwar existiert mittlerweile mit Multifaktor-Authentifizierung eine zusätzliche Sicherheitsebene, doch die Identifikation mit Nutzername und Passwort stammt in ihren Grundzügen noch aus den Anfangstagen des Computer-Zeitalters. Man kann sich durchaus fragen, warum wir uns immer noch genauso einloggen wie vor Jahrzehnten. Wie wäre stattdessen eine Art Generalschlüssel, mit dem man überall einfach aber dennoch sicher und datenschutzkonform auf Accounts und Inhalte zugreifen kann?
Ein Generalschlüssel fürs Netz mit vielfältigen Anwendungsfällen
Eine solche Lösung ist die selbstbestimmte Identität (Self-Sovereign Identity, SSI). Dahinter steckt, eine Art digitales Abbild eines Ausweises zu schaffen, mit dem man sich überall, ortsunabhängig und eindeutig im Internet identifizieren kann. Dabei ist die SSI keine singuläre Technologie, geschweige denn ein Produkt. Die Idee, für die es verschiedene Umsetzungsvorschläge gibt, hat vielfältige wirtschaftliche, rechtliche und soziale Dimensionen. So könnte eine selbstverwaltete digitale Identität viele Bereiche des Alltags erleichtern:
Online Shopping
Kunden können sich ganz ohne Passwort bei Shops registrieren, die SSI nutzen. Sie erhalten auch eine automatische Warnung, sollte die entsprechende Seite selbst keine vertrauenswürdige Identität besitzen. SSI wäre so gleichzeitig eine wirksame Maßnahme gegen das grassierende Problem der Fake Shops. Zudem könnte über die zentrale Identität direkt die Bezahlung abgewickelt werden, ohne den Wechsel zu einem externen Payment Provider oder Wallet. Für Shop-Betreiber ist das von Vorteil: Durch einfache und intuitive Login- und Bezahlprozesse, steigt die Conversion Rate
Banking
Aus dem SSI-Ökosystem können Bankkunden direkt auf Dienstleistungen ihres Instituts zugreifen, ohne vorher nervige Formulare auszufüllen, da sie direkt identifiziert werden. Dadurch lassen sich sowohl der Know-Your-Customer-Prozess als auch die vom Geldwäschegesetz vorgeschriebene Überprüfungen vereinfachen. Durch die sichere digitale Übermittlung verifizierter Informationen sind außerdem Kreditanträge in Sekundenschnelle möglich.
Gesundheitswesen
SSI ermöglicht den einfachen und sicheren Zugriff auf digitale Patientenakten sowie das Extrahieren und Teilen medizinischer Informationen nach dem Willen des Patienten. Auch die Zustimmung zu medizinischen Eingriffen wird so auf eine nachvollziehbare Weise eingeholt. Gleiches gilt für Betreuer von pflegebedürftigen Personen. Ganz aktuell: Informationen über erhaltene Impfungen können untrennbar mit der digitalen Identität verknüpft werden. Bei der Einreise in andere Länder wäre somit direkt ersichtlich, welche Einreisenden bereits gegen Corona geimpft wurden.
Reisen
Auf Reisen kann eine SSI generell weitere Vorteile bieten. Reisepass und Stempel, eventuelle Visa und Aufenthaltsgenehmigungen könnten nicht nur digitalisiert, sondern mit Tickets und Reservierungen gekoppelt werden. Für Reisende eine komfortable Lösung: Sie müssten sich keine Sorgen mehr machen, einzelne Dokumente oder Reservierungen zu vergessen. Natürlich wäre ein Privacy-by-Design-Ansatz notwendig, damit jede identifizierende Stelle auch nur die für sie bestimmten Informationen auslesen kann. Beispielsweise könnte einer Autovermietung Zugriff auf Führerscheindaten gewährt werden, während diese für ein Hotel nicht relevant sind und daher auch nicht mit diesem geteilt werden.
Technologische Umsetzung der SSI
Genauso vielfältig wie die Anwendungsfälle sind auch die Möglichkeiten, eine SSI technologisch umzusetzen. An einem Wettbewerb, den die Bundesregierung 2020 ausrief, beteiligten sich allein elf verschiedene Projekte. Trotz parallellaufender Ansätze und Projekte, lassen sich allerdings sieben grundlegende Aspekte ausmachen, über die eine selbstverwaltete Identität verfügen muss:
- Verifizierbare Referenzen: Digitales Äquivalent zum klassischen, analogen Ausweisdokument, mit denen wir uns bei Face-to-Face-Interaktionen ausweisen.
- Vertrauensdreieck: Identitätsdokumente jeder Art basieren auf der Interaktion zwischen Herausgeber, Besitzer und Prüfer. Für Ausweisdokumente gilt hier etwa: Herausgeber ist der Staat, Besitzer ist der Bürger; Prüfer beispielsweise Beamte am Flughafen oder ein Verkäufer für die Alterskontrolle.
- Wallets: Digitales Äquivalent zur Brieftasche, in der Dokumente sicher aufbewahrt werden. Bekannt von Kryptowährungen und Mobile Payment.
- Digitale Agents: Apps oder Software-Module, die ermöglichen, digitale Identitäten einzusehen oder vorzuzeigen. Übernehmen die sichere Kommunikation und den Austausch von digitalen Identitätsdokumenten.
- Decentralised Identifiers (DIDs): Neuartige Identifikatoren, die auf moderner Kryptografie basieren und keine zentrale Registratur benötigen.
- Blockchains und verifizierbare Datenregister: Dienen als verteilte und kryptografisch gesicherte Ablage für DIDs und öffentliche Schlüssel, ohne durch Fehler oder Angriffe an einem Punkt verwundbar zu sein.
- Governance Frameworks: Von verschiedenen Institutionen herausgegebene Richtlinien, die gemeinsame Regeln für den Betrieb eines SSI-Ökosystems festlegen und die Interoperabilität verschiedener Digital-Trust-Ansätze sicherstellen.
Über Swisscom Trust Services
Swisscom Trust Services ist der einzige europäische Anbieter, der eine qualifizierte elektronische Signatur in den Rechtsräumen EU (eIDAS Signaturverordnung) und Schweiz (ZertES Signaturgesetz) zur Verfügung stellt. Als führender Anbieter von Vertrauensdiensten in Europa ermöglicht Swisscom Trust Services seinen Partnern und Endkunden, innovative Geschäftsmodelle umzusetzen, durch die Bereitstellung identitätsbasierter Services, die ohne Medienbruch komplett digital ablaufen können. Der Signing Service erlaubt Partnern und Endkunden eine unkomplizierte Erweiterung der eigenen Business-Lösungen um eine elektronische Signatur unter Berücksichtigung branchenspezifischer Anforderungen und Compliance-Vorschriften. Dadurch entstehen Möglichkeiten, Prozesse rechtskonform zu digitalisieren, die bisher noch auf Papier erledigt werden mussten. Dabei kann es um die Unterzeichnung verschiedener Verträge gehen (beispielsweise einen Arbeitsvertrag), den Abschluss einer Versicherung, Bankgeschäfte (Kontoeröffnung, Kreditantrag) oder das Abzeichnen von Protokollen gehen. Der Smart Registration Service ist die zentrale Komponente für Identifikation und Registrierung von Nutzern. Verschiedene Identifikationsmethoden (SRS Video, SRS Bank, SRS Direct oder SRS eID) werden in einem Service gebündelt und erlauben die einfache rechtskonforme Identifikation für elektronische Signaturen.
