Verifizierung und Authentifizierung sind nicht nur im Finanzwesen wesentliche Elemente, um die Sicherheit digitaler Prozesse gewährleisten zu können. Nutzer sorgen sich vor allem darum, die Kontrolle über ihre digitale Identität zu behalten. Auf der anderen Seite stehen technische Anforderungen wie Interoperabilität über Unternehmens- und Ländergrenzen hinweg sowie regulatorische Anforderungen wie die Gewährleistung der DSGVO-Konformität. Mit „SSI für Deutschland“ ist nun eine Blockchain-basierte Lösung live gegangen, die allen diesen Anforderungen gerecht werden soll.
Der Name ist Programm: SSI steht für Self Sovereign Identity, in diesem Fall für eine souveräne, selbstbestimme Verwaltung der eigenen digitalen Identität. Vom einfachen Login per Nutzername und Passwort über das einmalige Onboarding per Post-Ident oder Video-Ident bis hin zum Einsatz des elektronischen Personalausweises (ePA/eID) oder anderer digitaler, persönlicher Token reichen die Möglichkeiten, sich gegenüber Menschen und Systemen zu identifizieren.
Eine Lösung, die zugleich nutzerfreundlich, universell verfügbar, vertrauenswürdig und wirtschaftlich ist, könnte die digitale Transformation der Gesellschaft deutlich beschleunigen. Dazu müssen ganz unterschiedliche Anforderungen unter einen Hut gebracht werden: Sowohl das Interesse der Nutzer nach Kontrolle über die eigenen Daten, als auch die Anforderungen der Systembetreiber nach standardisierten Schnittstellen, Daten- und Rechtssicherheit.
Testinstallation ist live
Ein dahingehendes Forschungsprojekt unter Führung des main incubator, der Forschungs- und Entwicklungseinheit der Commerzbank-Gruppe, trägt nun erste Früchte. Auf zunächst neun Knoten hat ein breitgefächertes Konsortium die erste Testinstallation eines dezentralen Netzwerks für digitale Identitäten gestartet. Grundlage ist eine Blockchain mit beschränkten Schreibrechten und öffentlichen Leserechten. Innerhalb eines Monats soll das Identitäts-Netzwerk auf 15 Knoten ausgebaut werden. Das Ziel ist ein offenes Ökosystem für die Identitätsverwaltung in ganz Europa.
Zu den Projektpartnern aus dem Finanz-Umfeld zählen derzeit unter anderem Creditreform Boniversum, Commerzbank, ING Deutschland, Verband der Vereine Creditreform und Bank-Verlag. Aber auch Vertreter anderer Industrien und der IT-Branche wie Robert Bosch, Esatus, Deutsche Bahn, GS1 Germany, Regio IT, Siemens und die Deutsche Telekom mit ihren Innovation Laboratories sowie Institutionen wie Bundesdruckerei, TU Berlin, NRW-Wirtschaftsministerium oder die Stadt Köln.
Open-Source und Blockchain-basiert
Zu den wichtigsten Zielen des Projektes zählt die Datenautonomie für die Nutzer. Sie sollen ihre Identitätsinformationen selber verwalten und zudem entscheiden können, wann und mit wem sie welche Informationen teilen möchten. Dafür sind sowohl Datensparsamkeit als auch Datentransparenz unabdingbar. Statt bei einer zentralen Organisation oder Institution werden die Daten in einem deutschlandweit verteilten Identitäts-Netzwerk abgelegt.
„Mit dem Aufbau des dezentralen Identitäts-Netzwerks schaffen wir die Grundlage für den Austausch von Identitätsinformationen, welches Verifizierbarkeit, Privatsphäre, Datenhoheit und Souveränität für alle Beteiligten ermöglicht.“
Helge Michael, Programmleiter des Konsortiums
Bei der technischen Umsetzung setzt das Konsortium auf offene Standards und Open-Source-Technologien. Die Distributed Ledger Technology-Lösung (DLT) für eine Blockchain basiert auf Hyperledger Indy und Hyperledger Aries, zwei Komponenten einer Open-Source-Software, die auch für SSI-Implementierungen in Österreich, den Niederlanden, Finnland, den USA und Kanada verwendet wird. Auf dieser Basis lassen sich die bestehenden Projekte leicht verknüpfen.
So koordinieren sich unter dem Dach der EBSI (European Blockchain Services Infrastructure) unter anderem die SSI-Projekte aus Deutschland (SSI für Deutschland, vormals Lissi), Österreich (Meine Sichere ID, vormals My save ID) und Finnland (Findy). Mit im Boot ist zudem InfoCert, eine der größten europäischen Zertifizierungsinstanzen, die mit DIZME („This is Me“) ein umfassendes, eIDAS-konformes Framework für SSI-Netzwerke bereitstellt.
Dreieck des Vertrauens
Die Identifizierung im SSI-Netzwerk basiert auf dem Zusammenspiel von drei unterschiedlichen Rollen. Als „Halter“ wird der Inhaber einer Identität bezeichnet – dies können nicht nur natürliche und juristische Personen sein, sondern auch Dinge wie beispielsweise Maschinen oder deren Komponenten. Die „Aussteller“ sind alle Institutionen, die Daten des Halters prüfen und mittels digital signierter Bescheinigung bestätigen. Mit diesen „Bescheinigungen“ kann der Nutzer sich gegenüber Verifizierern ausweisen. Dabei bleibt es dem Nutzer überlassen, welche Daten der Bescheinigung er gegenüber Dritten freigibt.
Der Verifizierer überprüft anhand des in der Blockchain gespeicherten öffentlichen Schlüssels (Dezentrale Identifikator, DID) des Ausstellers, ob der vorgelegte Nachweis authentisch ist. Er muss also nicht dem Halter, sondern lediglich dem Aussteller vertrauen.
Praktische Erprobung
Wie main incubator ankündigte, sollen auf dem SSI-Identitäts-Netzwerk in den kommenden Monaten verschiedene Anwendungsfälle umgesetzt werden. Das Konsortium evaluiert dabei auch industrielle Szenarien, bei denen Identitäten von Maschinen, Fahrzeugen und IoT-Geräten berücksichtigt werden. Denn das System beschränkt sich nicht auf Identitätsdaten von Personen, sondern erlaubt den Austausch jeglicher Identitäts-, Authentisierungs- und Autorisierungsinformationen. Dies können beispielsweise Meldedaten, Bonitätsinformationen, Zertifikate, Nutzerausweise, Eintrittskarten jeglicher Art, aber auch Zugangsdaten zu Webseiten (Single Sign-on bzw. „SSO“) oder Gebäuden sein.
Beispiele für SSI-Anwendungen finden sich in der Bitkom-Broschüre „Self Sovereign Identity Use Cases“, an der auch main incubator mitgewirkt hat.