Self-Sovereign Identity (SSI)
23.08.2022, 09:55 Uhr
Vertrauen als Basis für digitale Geschäftsmodelle
Wenn Nutzende die Kontrolle über ihre digitale Identität und ihre Daten behalten, sind sie offener für neue Online-Services. Möglich wird dies durch Lösungen für eine Self-Sovereign Identity (SSI).
Gelangen digitale Identitäten in falsche Hände, können Identitätsmissbrauch und Datenausspähung die Folge sein. Deshalb versucht der Datenschutz, unberechtigte Zugriffe zu verhindern. Entscheidend ist dabei zu erkennen, welche Hände die «falschen Hände» sind. Bevor man seine Identitätsdaten also an einen Dritten übergibt, muss man klären, ob dieser vertrauenswürdig ist. Vertrauen ist deshalb eines der höchsten Güter in der digitalen Transformation.
Das Marktforschungsinstitut IDC bezeichnet «Trust» daher als entscheidende Ressource, denn: «Vertrauen ist nicht nur Basis für Geschäfte, wenn es von Kunden entgegengebracht wird, sondern auch für Business-Ökosysteme und Innovationen mit Partnern.» IDC ist fest davon überzeugt, dass Trust zu einem immer wichtigeren Business-Asset wird, dessen Schutz eine extrem hohe Priorität hat und dessen Verlust kritisch für Unternehmen werden kann.
Wem Kunden ihr Vertrauen schenken
Das Vertrauen im Online-Geschäft ist jedoch getrübt. Nur drei von zehn Internetnutzern (29 Prozent) finden, dass ihre persönlichen Daten im Internet sicher sind, so eine Umfrage des Digitalverbands Bitkom. Unter den Diensteanbietern im Internet geniessen Online-Händler und E-Mail-Services das meiste Vertrauen. Rund jeder zweite Internetnutzer vertraut ihnen jeweils stark oder sehr stark. Knapp dahinter liegen neue Zahlungsdienstleister sowie traditionelle Banken, ihnen sprechen jeweils 47 Prozent das Vertrauen aus.
Damit erscheinen Mail-Provider, Online-Shop-Betreiber und Finanzinstitute nur für knapp die Hälfte der Online-Nutzenden als mögliche Vertrauensanker bei digitalen Geschäften, also zum Beispiel als Treuhänder für Identitäten der Kundinnen und Kunden.
Doch es gibt eine Alternative, der weitaus mehr vertraut wird. Fast neun von zehn Befragten (86 Prozent) sagen: Ich bin selbst für den Schutz meiner persönlichen Daten im Internet verantwortlich. Im Jahr 2019 waren es 78 Prozent und 2014 erst 62 Prozent, so Bitkom.
Offensichtlich steigen das Selbstvertrauen und die Eigenverantwortlichkeit im Internet. Diese Entwicklung sollte man berücksichtigen, wenn es um den Ausbau von Vertrauen im Online-Geschäft geht.
Selbstvertrauen und Selbstbestimmung
Self-Sovereign Identity (SSI) ist ein Identitätskonzept, das dem Wunsch nach Eigenverantwortung und Selbstbestimmung über Daten entgegenkommt. SSI ermöglicht es Personen, eine eigenkontrollierte digitale Identität ohne eine zwischengeschaltete Vermittlungsstelle zu nutzen. SSI verschafft die Kontrolle darüber, inwieweit personenbezogene Daten geteilt und verwendet werden.
Der Digitalverband Bitkom erkennt darin klare Vorteile: «Self-Sovereign Identities (…) versprechen eine Alternative für digitale Identitäten, die eine grössere Kontrolle der Nutzer über ihre Daten und eine grössere Datensparsamkeit im digitalen Zeitalter mit sich bringt», so der Digitalverband.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) befasst sich mit dem Konzept und erklärt dazu: «Die grundlegende Idee von SSI liegt darin, den Nutzenden die Hoheit über ihre Identitätsdaten zu überlassen, in dem Sinn, dass sie ihre Identitätsdaten selbst verwalten und eigenständig entscheiden können, wem sie welche Informationen über ihre Identität offenlegen.»
“Damit stärken wir die Privatsphäre und den souveränen Umgang der Nutzer mit den eigenen privaten Daten.„
Norbert Pohlmann
Vorstand für IT-Sicherheit im eco-Verband
Vorstand für IT-Sicherheit im eco-Verband
Der bisherige Normalfall bei Online-Diensten sieht anders aus: SSI unterscheidet sich von vielen Single-Sign-on-Lösungen oder zentralen Anmeldediensten, bei denen der Nutzer ein – oftmals detailliertes – Profil über seine Identität in einem Nutzerkonto beim ID-Anbieter hinterlegt und anschliessend keine Kontrolle mehr darüber hat, welche Daten daraus der Anbieter an Dritte weitergibt oder selbst verwendet, so das BSI.
«Der Grundgedanke von SSI-Systemen besteht darin, dass die Nutzenden verschiedene Ausweise und Attribute an einer Stelle auf ihrem eigenen Gerät selbst verwalten», führt Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, weiter aus. «Das hat zwei Vorteile: Anders als bei zentralen digitalen Systemen kann die Stelle, die Ausweise oder Attribute ausgestellt hat, nicht nachvollziehen, wann Nutzende sie bei Dritten ,vorzeigen‘. Zudem können die Nutzenden bei diesen speziellen digitalen Systemen nur die jeweils relevanten Informationen zeigen und alles andere verbergen.»
«Mit Self-Sovereign Identity werden Prozesse in Verwaltung, Wirtschaft und Gesellschaft enorm vereinfacht, und viele Abläufe können nun sicher und vertrauenswürdig digitalisiert werden», so der IT-Sicherheitsexperte Norbert Pohlmann, Vorstand für IT-Sicherheit des eco –Verband der Internetwirtschaft.
Ziel müsse ein europäisches Ökosystem zur Ausgabe und Verifizierung digitaler Identitäten und Nachweise auf Basis von SSI sein. Dies befreie aus der Abhängigkeit von einzelnen monopolierten Anbietern und fördere eine unabhängige sowie schnellere Digitalisierung. «Damit stärken wir insbesondere die Privatsphäre und den souveränen Umgang der Nutzer mit den eigenen privaten Daten», erklärt Pohlmann.
Wie sich SSI realisieren lässt
Ein Weg zur Umsetzung von SSI, der selbstbestimmten Identität, nutzt Blockchain-Technologien. «Im SSI-Ökosystem für digitale Identitäten spielen drei Akteure eine Rolle: der Aussteller, der Besitzer und der Verifizierer der Identitäten», wie Norbert Pohlmann erläutert. «Für diese drei Beteiligten stellt die Blockchain einen idealen und passenden Vertrauensdienst dar, denn sie bietet als dezentrales Netzwerk IT-Sicherheits- und Vertrauenswürdigkeitsmechanismen. Die Blockchain als Vertrauensdienst hat bei SSI den Vorteil, dass diese durch ein Konsortium mit den entsprechenden Governance-Regeln definiert ist, und somit eine zentrale Abhängigkeit von Monopolisten vermieden werden kann. Dies ist für ein unabhängiges und vertrauenswürdiges Ökosystem eine wichtige Basis.»
“Nicht Daten sind das neue Öl – sondern Vertrauen.„
Ulrich Kelber
Bundesdatenschutzbeauftragter
Bundesdatenschutzbeauftragter
SSI ist aber nicht nur Gegenstand der Security-Forschung und laufender Projekte. Es gibt bereits entsprechende Lösungen auf dem Markt, für die Marktforscherinnen und Marktforscher ein hohes Erfolgspotenzial sehen.
Der Bericht «Self-Sovereign Identity’s Monetisation Challenge» von Juniper Research besagt, dass die Lösungen im Bereich Self-Sovereign Identity bis 2024 einen Jahresumsatz von 1,1 Milliarden Dollar erreichen werden. Die Studie geht weiter davon aus, dass 88 Prozent des Umsatzes der SSI-Anbieter von Unternehmen stammen, die ein Abonnement für den Betrieb dieser Identitätsdienste bezahlen.
Die selbstbestimmte Identität kann den Kundinnen und Kunden also als Service angeboten werden. Wer zum Beispiel einen Online-Shop betreibt, bindet dann einen solchen SSI-Service ein, um eine Bestätigung der Identität der Kundinnen und Kunden zu erhalten.
Anwendungsszenarien und Use-Cases
Wie vielfältig SSI in der Praxis genutzt werden kann, haben verschiedene Organisationen untersucht und zusammengestellt. Der Bitkom beschreibt in einem rund 20-seitigen Papier mit dem Titel «Self Sovereign Identity Use Cases – von der Vision in die Praxis» diverse Anwendungsszenarien. Zu den konkreten Anwendungsfällen für SSI gehören demnach die Zugangsverwaltung von Gebäuden ebenso wie die Ausstellung von Bildungszertifikaten, der Austausch von Stammdaten zwischen Unternehmen oder die dezentrale Dokumentation für das Lieferanten-Risikomanagement globaler Pharmakonzerne.
Das Projekt IDunion beziehungsweise «Self-Sovereign Identity für Deutschland» macht SSI-Lösungen für Wirtschaft, Verwaltung und Bürgerinnen und Bürger zugänglich. Die über 35 Anwendungsfälle in dem Projekt sind in sieben Cluster aufgeteilt: Bildung, E-Commerce/Mobility, E-Government, E-Health, Finanzwirtschaft, Identity & Access Management (IAM) und Industry/IoT.
Der ID-Anbieter Verimi unterstützt auf seiner Plattform bereits Self-Sovereign-Identity-basierte Attribute. Nutzer können mit ihrer digitalen Brieftasche (Verimi-Wallet) ihre Identität schon heute digital nachweisen. Neben dem Personalausweis können Nutzer weitere Dokumente und Attribute verifiziert hinterlegen, zum Beispiel den Reisepass, die Bankverbindung und die E-Mail-Adresse. Mehr als 30 Partner aus dem privaten und öffentlichen Sektor haben die Verimi-Wallet in über 40 Anwendungsfällen angebunden.
Ping One for Individuals ist ein weiteres Tool für die Selbstbestimmung bei Nutzerdaten. Unternehmen sollen damit ihren Kunden die Kontrolle über die Speicherung und Weitergabe von verifizierten personenbezogenen Daten übertragen können. Mittels einer Digital Wallet, einer digitalen Brieftasche auf dem Mobilgerät, sollen auch hier persönliche Daten verifiziert, aktuell gespeichert und geteilt werden können, geschäftlich ebenso wie privat. Die Weitergabe von Lebensläufen, Zeugnissen, Gesundheitsakten oder anderen identitätsbezogenen Daten wird dabei unterstützt, so der Anbieter. Sensible Daten sollen sich zu keinem Zeitpunkt ausserhalb der Kontrolle ihres Eigentümers befinden, da sie ausschliesslich in dessen digitaler Wallet gespeichert sind. Diese wird durch die Blockchain (Distributed-Ledger-Technologie von Hedera) geschützt, sodass die Informationen weder verändert noch gelöscht werden können.
Praxisbeispiele
Schon jetzt können Unternehmen Self-Sovereign Identity für sich nutzen, erklärt das Unternehmen Bosch. Bosch Research ist Teil des vom Bundeswirtschaftsministerium initiierten Konsortiums IDunion. «Wir müssen ein digitales Identitätssystem schaffen, das ohne zentralistische Datenbanken auskommt und von vielen Teilnehmern gleichermassen betrieben wird», sagt Nik Scharmann, Project Director «Economy of Things» bei Bosch. Das Economy-of-Things-Team entwickelt im Rahmen des Netzwerks eine Software auf Basis der SSI-Technologie.
Nik Scharmann erklärt das Prinzip des Systems so: «Im Mittelpunkt der Software steht die sogenannte Wallet, ein digitales Portemonnaie. Sie wird auf mobilen Endgeräten gespeichert, die Daten sind so jederzeit griffbereit.» Jeder Teilnehmende verfügt dann über solch eine Wallet, in der die jeweiligen Identitätsnachweise, Zertifikate oder andere überprüfbare Informationen zur Person gesammelt werden. Die Nutzerin oder der Nutzer kontrolliert damit jederzeit die aktuellen Identitätsdaten.
Der elektronische Identitätsnachweis wird in einem Pilotprojekt der Bundesregierung getestet. Hierfür wird der Check-in-Prozess im Hotel für Geschäftsreisende mit der Wallet dargestellt. Als eines von vier Unternehmen stellt Bosch den digitalen Mitarbeiterausweis bereit, mit dem Mitarbeitende sich als Geschäftsreisendende inklusive der zugehörigen Rechnungsadressen ausweisen können. Die teilnehmenden Hotels dienen als Verifier, die die Identität beim Check-in prüfen.
Die sichere Bürgerkommunikation mit Behörden ist ein weiterer Beispiel. Gemeinsam mit dem Forschungsinstitut Cyber Defense der Universität der Bundeswehr in München wurde eine SSI-Wallet in Form einer Smartphone-App entwickelt. Dadurch könnten Bürgerinnen und Bürger beliebige, auch von der Wirtschaft (Banken, Versicherungen, Carsharing und so weiter) zur Verfügung gestellte Identitäten beim E-Government einsetzen. Das würde eine sichere Kommunikation mit Behörden ermöglichen.
Fazit & Ausblick
Die vielen Praxisszenarien zeigen das Potenzial von SSI und lassen auch annehmen, dass es in der Praxis ankommen wird. Den Nutzen von SSI brachte die bayerische Digitalministerin Judith Gerlach bei der Vorstellung von Modellprojekten zur Vermeidung von Steuerausfällen auf Online-Marktplätzen und für die Kommunikation von Bürgerinnen und Bürgern mit Behörden im April 2021 so auf den Punkt: «SSI wird die Nutzung des Internets entscheidend verändern, da es vertrauenswürdige Interaktionen mit digitalen Diensten gewährleistet.»
Es lohnt sich also für Wirtschaft, Staat und Gesellschaft, das Selbstvertrauen der Online-Nutzenden zu stärken, die Eigenverantwortung zu unterstützen und SSI-Anwendungen in der Praxis voranzutreiben.
Lösungen für eine Self-Sovereign Identity (Auswahl)
Anbieter/Internetadresse | Produkt | Funktionen | Besonderheiten |
esatus AG https://esatus.com |
esatus SOWL | Verwalten und Speichern von Credentials, esatus Wallet App (Credentials speichern und überprüfen) | Anwendungen wie Zugangsberechtigungen bei Fahrzeugen, Zugangskontrolle bei einer Großbaustelle, Covid-19 Immunitätsausweis auf Basis von nachgewiesenen Antikörpern |
Evernym https://www.evernym.com | Verity, No-Code Web-Interface Verity Flow, Wallet Connect.Me, Mobile Wallet SDK | Lösung zum Ausstellen und Verifizieren von Anmeldeinformationen, Verbraucher-App für digitale Wallets, integrierte digitale Wallet-Funktionalität | Schöpfer von Hyperledger Indy und dem Sovrin Network, ein Mitschöpfer des cheqd Network und Hauptverantwortlicher für Hyperledger Aries und Ursa |
IDunion https://idunion.org |
IDunion Netzwerk, SSI-Wallets, SSI-Agenten | eindeutige Verifizierung von Kunden, Unternehmen und Institutionen, Single Sign-On Funktionalität, Minderung Betrugsrisiko | IDunion entwickelt eine grundlegende Infrastruktur für die Verifikation von Identitätsdaten. Hierfür wird gemeinsam eine verteilte Datenbank betrieben, welche von einer Europäischen Genossenschaft in Form von öffentlichen und privaten Partnern verwaltet werden soll. |
MyEGO2GO https://myego.io/de/ |
MyEGO-App, myEGO- Plattform | Digital Identity as a Service, «Secure Login-Systems» mit Zwei- oder Multifaktor-Authentifizierung, verifizierter Altersprüfung bzw. verifiziertem Login | Beispielanwendung: Digitale Gästeregistrierung, weitere Use Cases: Mobility, Immobilien, Bildung, Soziales, eGovernment, eCommerce, Gesundheit oder Finanzen und Versicherungen |
PingIdentity www.pingidentity.com/de.html | PingOne for Individuals (https://www.pingidentity.com/en/solutions/personal-identity/pingone.html) | Verifizierung von Nutzer-Identitäten | PingOne for Individuals nutzt die ShoCard Wallet |
Sovrin Foundation https://sovrin.org | BuilderNet, StagingNet,MainNet | Testen des Vorproduktionscodes und -aufbaus von Indy Networks, SSI-Anwendungen und -Dienste, Prototyping und Demonstration SSI-Anwendungen und -Dienste, Live-Skalierung SSI-Anwendungen und -Dienste | gemeinnützige Organisation, die gegründet wurde, um das Konzept der Internetidentität für alle zu fördern und den Governance-Rahmen für das Sovrin-Netzwerk zu verwalten, ein dezentralisiertes globales öffentliches Netzwerk, das eine selbstsouveräne Identität im Internet ermöglicht. Das Sovrin-Netzwerk wird von unabhängigen Stewards betrieben. |
Trinsic https://trinsic.id |
Trinsic Core, Trinsic Ecosystems, Trinsic Studio, Identity Wallets | Infrastruktur zum Senden überprüfbarer Daten zwischen Wallets für digitale Identitäten, Dashboard für Organisationen, Identitäts-Wallets | Anwendungen im Bereich E-Government, Licensing und Certifications |
Verimi https://verimi.de |
Verimi ID-Wallet, Identitätsplattform | Ausweisen, Einloggen, Unterschreiben, Bezahlen, Verimi-Dienste für Unternehmen | integriert SSI-Standards in das ID-Wallet, Projektpartner für den Aufbau eines europäischen Ökosystems digitaler Identitäten im Netzwerk IDunion |
Lösungen für eine Self-Sovereign Identity (Auswahl)
Anbieter/Internetadresse | Produkt | Funktionen | Besonderheiten |
esatus AG https://esatus.com |
esatus SOWL | Verwalten und Speichern von Credentials, esatus Wallet App (Credentials speichern und überprüfen) | Anwendungen wie Zugangsberechtigungen bei Fahrzeugen, Zugangskontrolle bei einer Großbaustelle, Covid-19 Immunitätsausweis auf Basis von nachgewiesenen Antikörpern |
Evernym https://www.evernym.com | Verity, No-Code Web-Interface Verity Flow, Wallet Connect.Me, Mobile Wallet SDK | Lösung zum Ausstellen und Verifizieren von Anmeldeinformationen, Verbraucher-App für digitale Wallets, integrierte digitale Wallet-Funktionalität | Schöpfer von Hyperledger Indy und dem Sovrin Network, ein Mitschöpfer des cheqd Network und Hauptverantwortlicher für Hyperledger Aries und Ursa |
IDunion https://idunion.org |
IDunion Netzwerk, SSI-Wallets, SSI-Agenten | eindeutige Verifizierung von Kunden, Unternehmen und Institutionen, Single Sign-On Funktionalität, Minderung Betrugsrisiko | IDunion entwickelt eine grundlegende Infrastruktur für die Verifikation von Identitätsdaten. Hierfür wird gemeinsam eine verteilte Datenbank betrieben, welche von einer Europäischen Genossenschaft in Form von öffentlichen und privaten Partnern verwaltet werden soll. |
MyEGO2GO https://myego.io/de/ |
MyEGO-App, myEGO- Plattform | Digital Identity as a Service, «Secure Login-Systems» mit Zwei- oder Multifaktor-Authentifizierung, verifizierter Altersprüfung bzw. verifiziertem Login | Beispielanwendung: Digitale Gästeregistrierung, weitere Use Cases: Mobility, Immobilien, Bildung, Soziales, eGovernment, eCommerce, Gesundheit oder Finanzen und Versicherungen |
PingIdentity www.pingidentity.com/de.html | PingOne for Individuals (https://www.pingidentity.com/en/solutions/personal-identity/pingone.html) | Verifizierung von Nutzer-Identitäten | PingOne for Individuals nutzt die ShoCard Wallet |
Sovrin Foundation https://sovrin.org | BuilderNet, StagingNet,MainNet | Testen des Vorproduktionscodes und -aufbaus von Indy Networks, SSI-Anwendungen und -Dienste, Prototyping und Demonstration SSI-Anwendungen und -Dienste, Live-Skalierung SSI-Anwendungen und -Dienste | gemeinnützige Organisation, die gegründet wurde, um das Konzept der Internetidentität für alle zu fördern und den Governance-Rahmen für das Sovrin-Netzwerk zu verwalten, ein dezentralisiertes globales öffentliches Netzwerk, das eine selbstsouveräne Identität im Internet ermöglicht. Das Sovrin-Netzwerk wird von unabhängigen Stewards betrieben. |
Trinsic https://trinsic.id |
Trinsic Core, Trinsic Ecosystems, Trinsic Studio, Identity Wallets | Infrastruktur zum Senden überprüfbarer Daten zwischen Wallets für digitale Identitäten, Dashboard für Organisationen, Identitäts-Wallets | Anwendungen im Bereich E-Government, Licensing und Certifications |
Verimi https://verimi.de |
Verimi ID-Wallet, Identitätsplattform | Ausweisen, Einloggen, Unterschreiben, Bezahlen, Verimi-Dienste für Unternehmen | integriert SSI-Standards in das ID-Wallet, Projektpartner für den Aufbau eines europäischen Ökosystems digitaler Identitäten im Netzwerk IDunion |