Distributed-Ledger-Technologie

Wie Digitale Identität per Blockchain geht

30.07.2020
Von   IDG ExpertenNetzwerk
Dirk Röder ist Blockchain Evangelist bei MaibornWolff. In dieser Position berät er Unternehmen bei Blockchain- und digitalen Transformationsprojekten.
Mit der Blockchain können sich einzelne Personen oder auch Maschinen eindeutig und manipulationssicher in digitalen Netzwerken identifizieren. Wir klären, was sich hinter den vielen Schlagwörtern verbirgt – von Digitaler Identität über Self Sovereign Identity bis hin zu Verifiable Credentials.
Über die Blockchain lassen sich unterschiedliche digitale Identitäten für Mensch und Maschine sicher abbilden.
Über die Blockchain lassen sich unterschiedliche digitale Identitäten für Mensch und Maschine sicher abbilden.
Foto: CG Alex - shutterstock.com

Vielerorts wurde in der Coronakrise die Kreativität der Lehrkräfte gelobt, wenn per eMail oder WhatsApp der Schulstoff vermittelt wurde und mitunter noch wird. Die Eigeninitiative ist beachtlich, und sie wirft ein Schlaglicht auf den Stand der Digitalisierung in Deutschland: Hier gibt es Nachholbedarf, wie der 12. Platz (von 28) im Digitalisierungs-Ranking der EU Länder zeigt.

Allerdings ist es eine Sache, mehr Digitalisierung zu fordern - eine andere ist es, sich grundlegende Gedanken über die nächsten Schritte zu machen. Schließlich kämpfen in einer zunehmend digitalen Welt zahlreiche Unternehmen mit dem Problem, dass Vertrauen im digitalen Handel oft nicht gegeben ist. Die Frage nach einer verlässlichen Identität und verlässlichen Information im Internet ist leider selbst auf EU-Ebene noch nicht nachhaltig gelöst. Schätzungen zufolge belief sich der Verlust im Online-Handel in Folge von Identitätsbetrug im Jahr 2018 auf bis zu 2,9 Mrd. Euro. Der Chip inklusive digitaler Signatur auf dem deutschen Personalausweis hat das leider nicht verändert. Das Verfahren setzte sich nicht durch. So akzeptieren aktuell noch nicht mal alle staatlichen Stellen die digitale Signatur ohne Weiteres.

Um beim Beispiel des Online-Handels zu bleiben: Hier könnten verlässliche Informationen über eine Person helfen. Identifikationsprozesse wie beispielsweise Video-Identverfahren können einige Nutzer erreichen, mit dem Nachteil, dass sie für jeden Account neu gestartet werden müssen. Damit gibt der Käufer für verschiedene Online-Händler auch jeweils eine separate Anmeldung mit seinen persönlichen Daten frei. Für weitergehende digitalisierte Abläufe brauchen neben natürlichen Personen auch "Dinge" - etwa Maschinen - oder juristische Personen und Unternehmen eine eindeutig nachweisebare Identität. Beginnt man eine Recherche zu Identität stolpert man unweigerlich über die Begriffe:

  • Digitale Identität,

  • Dezentrale Identität,

  • Souveräne Identität und

  • Blockchain.

Im Folgenden werden diese definiert und zueinander ins Verhältnis gesetzt, um anschließend konkrete Anwendungsfälle zu beleuchten.

Digitale Identität: Eine Definition

Die Digitale Identität identifiziert uns eindeutig im Internet. Doch die Lösungen, die heutzutage angeboten werden, sind nicht sehr effektiv: Für jeden Service muss ein separater Login angelegt werden. In der Regel wird dieser Datensatz noch um persönliche Daten ergänzt und all das landet dann in zentralen Datensilos der verschiedenen Unternehmen. Als Bürger oder Nutzer hat man weder die Kontrolle über seine Daten und deren Verwendung, noch kann man direkt darauf zugreifen. Die Folge ist eine Splitteridentität im Netz mit redundanten Daten. Erschwerend kommt hinzu, dass die Validität von Behauptungen nur schwer zu überprüfen ist. So muss zum Beispiel für jedes Bankkonto eine Identitätsprüfung erfolgen, obwohl diese schon längst für eine andere Bank erfolgte.

Self Sovereign Identity: Selektive Datenfreigabe

Beim Schlagwort Self Sovereign Identity (SSI) geht es um die persönliche Hoheit über die eigene Identität in allen Belangen - off- sowie auch online. Es obliegt der jeweiligen Person, selbstbestimmt darüber zu verfügen, wer welche persönlichen Daten wie lange sehen oder nutzen darf. Ein aktuelles Beispiel, das die Datenhoheit berücksichtigt, ist die Corona-Warn-App:

  1. Niemand erfährt, mit wem er oder sie Kontakt hatte, da die IDs der Mobiltelefone immer zufällig sind.

  2. Jede Nutzerin und jeder Nutzer entscheidet, ob er oder sie sein Testergebnis weitergibt.

  3. Bei Veröffentlichung des Testergebnisses kann keiner der zufälligen Kontakte diese zurückverfolgen - auch hier geschützt durch die zufällige ID.

Als Gegenbeispiel zum Bedarf von SSI möchte ich Sie zu einem Gedankenexperiment einladen: Stellen Sie sich vor, Ihre 21-jährige Tochter studiert für ein Jahr in den USA. Neben dem Studium möchte sie natürlich auch ein wenig das Leben genießen und abends mit Freunden ausgehen. In vielen Bundesstaaten ist der Zutritt zu Bars oder Diskotheken allerdings aufgrund strenger Alkoholgesetze nur Menschen über 21 Jahren gestattet. Aktuell weist sie sich also beim Türsteher aus, und zwar mit ihrem US-Führerschein. Somit kann sie nicht verhindern, dass der Türsteher neben ihrem Geburtsdatum auch noch die Wohnadresse auslesen kann. Diese Informationen sollten für den Türsteher und seine Aufgabe verborgen bleiben. Alles was er benötigt ist die geprüfte und verlässliche Information "Die Person vor mir ist mindestens 21 Jahre alt."

Die beiden Beispiele zeigen die wesentlichen Vorteile einer souveränen Identität. Zusätzlich könnte man granularer festlegen, wer welche Informationen bekommt. Dieser Ansatz steht im krassen Gegensatz zu den heute üblichen Ansätzen, denn er ist dezentraler Natur: Der Nutzer verwaltet seine Daten gänzlich ohne zentrale Autorität. Die selektive Freigabe garantiert eine hohe Privatsphäre und die Hoheit über seine Daten. Die Lösung für dieses Problem könnte in der Blockchain liegen, denn das Protokoll ermöglicht eine dezentrale PKI-Infrastruktur (Public-Key-Infrastruktur) und ist damit Grundstein für eine "Self-Sovereign Identity", oder dezentrale Identität.

Decentralized Identity: Gegen den Kontrollverlust

Die Lösung für eine souveräne digitale Identität bietet die sogenannte dezentrale Identität, oder kurz DID. Sie fungiert als Universalschlüssel für sämtliche Online-Applikationen - mittels Smartphones gibt es eine Brücke in die analoge Welt. Somit entfällt die individuelle Registrierung auf jeder Webseite und die Verwaltung von Passwort und Benutzernamen gleich mit. Im Gegensatz zu den beliebten Social Logins von Facebook oder Google liegen die Daten der Nutzer eben nicht auf zentralen Servern dieser Anbieter, sondern verbleiben in voller Kontrolle des Nutzers. In vielen Situationen müssen sich die Teilnehmer einer Transaktion jedoch auf die angegebenen Informationen verlassen können. Der Autovermieter muss vor der Herausgabe des Fahrzeugschlüssel den Führerschein kontrollieren. Liegt der nur in digitaler Form vor, muss er dieser Information vertrauen können. Im digitalen Raum stellt sich folglich die Frage, wie eine valide Identität nachhaltig nachgewiesen werden kann?

Benötigt wird eine Lösung, die:

  1. gesicherte Vertrauensnachweise in Echtzeit bereitstellt und dabei leicht zu bedienen ist;

  2. manipulationssicher ist und ohne Medienbrüche auskommt;

Von einer solchen digitalen Identitätslösung könnten Versicherungen, Finanzdienstleister, Mobilität, B2B-Handel oder Automotive profitieren. Besonders interessant ist die dezentrale Identität auch für das Login bei Web-Applikationen und großen Social-Media-Plattformen. Die Decentralized Identity kann nämlich als eine Art Universal-Account für alle Webservices dienen - die Verwaltung von Passwort- und Benutzernamen entfällt. Gegenüber den derzeit beliebten Social-Login-Funktionen bietet diese Lösung den Vorteil, dass die Daten des Users nicht auf einem zentralen Server von Google, Facebook und Co. gespeichert werden. Sie verbleiben in alleiniger Kontrolle des Nutzers. Dies schützt die Privatsphäre, es ist weniger Vertrauen in dritte Parteien nötig.

Ein weiterer Vorteil: Nutzerinnen und Nutzer können für ihre DID steuern, welche Daten zur Weiterverwendung frei sind. Damit ließen sich gegenüber Plattformen wie Amazon, Facebook oder Google Regulierungsanliegen der Staaten wie der Nutzer durchsetzen: Diese Unternehmen erzielen Umsätze mit den Daten ihrer Nutzer; sie transformieren de facto ihre Kunden zum Produkt. Regulierer und Politiker weltweit versuchen diese Plattformen unter Kontrolle zu bringen, oft mit einem Fokus auf steuerlichen Aspekten. Der Schutz der Privatsphäre hinkt hinterher. Mit dezentralen Identitäten erhalten Staaten ein Mittel zum Eintreiben von Steuern und sorgen gleichzeitig für den Schutz der Daten ihrer Bürger. Dazu bräuchte es die Verpflichtung der Unternehmen, den Zugang zur Dienstleistung mit der digitalen Identität als Minimalanforderung und damit diskriminierungsfrei anzubieten. Jedes weitere Identitätsmerkmal darf natürlich angefordert werden, dafür könnte die Plattform dann zum Beispiel bezahlen müssen.

Lesetipp: US CLOUD-Act versus EU DSGVO - In der Wolke ist die Freiheit nicht grenzenfrei

Verifiable Credentials: Mit Online-Brief und -Siegel

Verifiable Credentials (VC) sind das elektronische Äquivalent zu physischen Beglaubigungen, zum Beispiel Kreditkarten, Pässe, Führerscheine, Qualifikationen und Auszeichnungen. Jedes VC hat einen Aussteller und Empfänger. Beispielsweise ist der Aussteller des Personalausweises die Kommune, also Stadtverwaltung oder Landratsamt. In der digitalen und dezentralen Identitätswelt muss selbstverständlich das Landratsamt als beglaubigte digitale Identität validiert sein. So wie heute der Personalausweis beantragt und von der Bundesdruckerei gedruckt wird, könnte in der Zukunft das Landratsamt Verifiable Credentials für die Decentralized Identity der Person (Empfänger) ausstellen. Ebenso wie heute können VCs zeitlich begrenzt sein, oder gar eingezogen werden. Im Falle einer Überprüfung könnte zum Beispiel die Polizei die DID und VC prüfen und ohne weiteres die Identität verifizieren. Diese Verflechtungen wirken im ersten Moment unter Umständen verwirrend oder gar kompliziert. Sie beschreiben jedoch am Ende lediglich automatisierte Prüfmechanismen, die heute in der analogen Welt umständlich sind.

Stellen Sie sich vor, Sie weisen sich in einer Polizeikontrolle mit einem Schriftstück aus, auf dem Ihr Name, Geburtsdatum und -ort steht. Der Polizist würde diesen Zettel nicht als Identitätsnachweis akzeptieren, trotz Unterschrift Ihrer Ehefrau. Hier benötigen Sie ein amtliches Dokument wie den Personalausweis. Dieser besitzt diverse Sicherheitsmerkmale, aus denen Prüfer Rückschlüsse zur Authentizität des Ausweises und damit Ihrer Identität ziehen. Diese Verbindlichkeit bringen Verifiable Credentials in die Online-Welt.

Decentralized Identity meets Blockchain: Anwendungsfälle

Die herausragenden Eigenschaften der Blockchain-Technologie sind:

  1. Transparenz,

  2. Unveränderbarkeit,

  3. Zeitstempel,

  4. Vertrauen ohne Zuhilfenahme eines Intermediärs.

Auf zwei Arten bietet sich das Protokoll Blockchain an: Echtheitsnachweise und Sicherungsmechanismen. Neben hoheitlichen Verifiable Credentials wie dem Personalausweis gibt es im Laufe des Lebens auch viele andere Auszeichnungen, Zeugnisse oder Zertifikate. Diese Dokumente werden irgendwo gespeichert, z.B. auf einem Handy. Mithilfe der Blockchain kann das Dokument zu jedem Zeitpunkt auf dessen Echtheit geprüft werden. Dabei vergleicht man den Hash-Wert des Dokuments in der Blockchain mit dem Hash-Wert des vorgelegten Dokuments. Sind beide Werte identisch, handelt es sich um dasselbe Dokument. Der Zeitstempel in der Blockchain und deren Unveränderbarkeit schaffen zusätzliches Vertrauen.

Der zweite Anwendungsfall ist ein simpler Sicherungsmechanismus. Die DID einer Person wird im Laufe der Zeit immer wertvoller, weil sich immer mehr Verifiable Credentials auf der Decentralized Identity sammeln, mit der die Person sich bei Webseiten oder im realen Leben ausweisen kann. Im Falle des Verlusts der Zugangsdaten - in unserem Fall der private Schlüssel - wäre es sehr mühsam, all diese Infos, Daten und Zertifikate erneut einzusammeln. Denn mit dem Verlust des Schlüssels geht auch der Zugriff auf die DID verloren und der Bürger müsste sich wie im analogen Leben beim Verlust der Geldbörse all die VCs für seine Identität neu einsammeln.

Bitcoin Wallets, also die Aufbewahrungskonten für Bitcoins, bieten für solche Fälle ein sogenanntes Multi-Signature-Verfahren an. Einfach ausgedrückt kann ein Konto hier mit mehreren Schlüsseln geöffnet und genutzt werden. Dies gilt natürlich nicht nur für den Inhalt Bitcoin, sondern könnte in unserem konkreten Fall dafür sorgen, dass eine Decentralized Identity mit zwei oder drei Ersatzschlüsseln genutzt werden könnte.

In einer zunehmend digitalen Welt ist es wichtig, dass Partner einer Transaktion sicher sein können, dass das Gegenüber ist, was es vorgibt zu sein. Dies gilt für Personen, Unternehmen aber auch für Objekte. Plötzlich ist es möglich, Abläufe voll digital zu prozessieren, ohne auf ein Fax mit einer Unterschrift zu warten.

Blockchain: B2B-Prozesse im Umbruch

Die Decentralized Identity wird meines Erachtens zuerst in der Geschäftswelt Fuß fassen. Viele Prozesse in aktiven Geschäftsbeziehungen zwischen Unternehmen sind heutzutage noch analog mit zeitraubenden Schleifen ausgelegt. Alleine rund um ein Kraftfahrzeug lassen sich etliche Szenarien ableiten: Zum einen könnte der digitale Zwilling des Fahrzeugs den KfZ-Brief und -Schein ersetzen. Dank Blockchain kann somit ein Fahrzeug auch nur einmal als Sicherheit für einen Leasingvertrag hinterlegt werden. Über den Prozess vom Kauf bis zur Zulassung eines geleasten Firmenfahrzeugs im komplizierten Beziehungsgeflecht zwischen Versicherung, Bank, Leasingnehmer, Leasinggeber, Fahrer und Hersteller sind viele weitere Schritte digitalisierbar. In einer Welt von eindeutigen digitalen Token, Signaturen und verifizierten Informationen können Abläufe dann fast vollständig automatisiert werden.

Über den Führerschein als Zugangsberechtigung zum Fahrzeug könnte die DID Einzug in die Welt der Konsumenten (Nutzer) finden. Vorbei die Zeiten, dass Autos losfahren würden, wenn der Fahrer keinen Führerschein besitzt. Gleichzeitig enthält der digitale Autozwilling all die Informationen zu Reparaturen, Wartung und Pflege und die symbolisch dicke Akte wäre echtes Geld beim Wiederverkauf wert. Schließlich bemisst sich der Preis eines Gebrauchtwagens anhand des allgemeinen Zustands, der gefahrenen Kilometer und der eingehaltenen Wartungsintervalle. Stempel in ein Scheckheft kann man einfach nachträglich einfügen. Dagegen tragen Zertifikate in der Blockchain immer einen Zeitstempel plus den Hash des Ursprungsobjekts - hier die Reparaturrechnung der Werkstatt - und bieten beim Wiederverkauf größere Sicherheit.

Zusammengefasst sind die drei größten Vorteile von Decentralized Identity:

  1. Souveränität: Zuerst ist hier die Souveränität über die eigene Identität und die Kontrolle über die eigenen Daten zu nennen. Emanzipierte Nutzer bewegen sich damit freier und sicherer in der digitalen Welt.

  2. Optimierungspotenzial für B2B-Prozesse: Analoge Prozesse in Systemen mit Intermediären als Kontroll- und Vertrauensinstanz sind zu langsam, um mit der Industrie 4.0 mitzuhalten. Die Anforderungen an die öffentliche Verwaltung, aber auch die Unternehmen, werden immer weiter zunehmen und eine verlässliche Identifizierung von Partnern, Daten und Informationen ist unerlässlich.

  3. Regeleinhaltung: Blockchain-Technologie kann nicht nur Transaktionsdaten mit einem Zeitstempel unveränderbar in einem großen Kassenbuch speichern, sondern auch mit dahinterliegenden Regeln (Gesetzen) einen Wertetransfer organisieren.

Ein weiteres Beispiel für einen perfekten Anwendungsfall ist die Kombination von Transaktionsdaten mit einer Bezahlung. Mittels sogenannter Smart Contracts können unterschiedliche vertragliche Abmachungen gleich mitautomatisiert werden und diese kleinen Programme lösen dann Zug um Zug die jeweiligen Verpflichtungen ein. Stellen Sie sich zum Beispiel vor, Sie buchen bei einem autonomen Auto eine Fahrt von München nach Hamburg. Einerseits hilft Ihnen die Blockchain sicherzustellen, dass das Auto ein Auto und Sie Sie sind. Gleichzeitig aber möchten Sie in Hamburg ankommen, während das Fahrzeug in Hamburg Geld erwartet. Hier fungiert ein Smart Contract als Notar, der im ersten Schritt das Geld von Ihnen einzieht und es bei Ankunft am vereinbarten Ankunftsort an das Auto auszahlt - in Echtzeit und für alle Beteiligten transparent und unbestechlich einsehbar im Kassenbuch.

Dadurch entsteht die Möglichkeit, nicht nur Probleme rund um Betrug und Prozessabbrüche nachhaltig zu adressieren, sondern mit einem erhöhten Grad an Automatisierung und digital verifizierten Informationen werden auch ganz neue Anwendungsfälle geschaffen - sicher auch in Ihrem Unternehmen. (bw)