Self-Sovereign Identity: Datensouveränität in der digitalen Welt
Digitale Identitäten sind Dreh- und Angelpunkt des Lebens in der Online-Welt. Um Digitalisierungspotenziale zu erschließen und zugleich Daten und Identitäten der Menschen zu schützen, entwickelt die Bundesdruckerei sichere und vertrauenswürdige Infrastrukturen.
Allwissende ID-Provider
Bürger und Organisationen erbringen in verschiedenen Situationen einen digitalen Identitätsnachweis sei es beim Beantragen von Dokumenten, beim Eröffnen eines Kontos oder bei der Nutzung von Online-Diensten. Bei einer Vielfalt von Anbietern hinterlegen Nutzer ihre persönlichen Daten und weisen sich bei jedem Log-in aus.
Große ID-Provider wie etwa Apple, Facebook oder Google stellen mit dem Single Sign-on einen unkomplizierten Zugangsweg bereit: Meldet sich der Nutzer einmal an, kann er auf die Dienste weiterer Anbieter zugreifen, ohne jedes Mal erneut seine Daten einzugeben. Das ist komfortabel, doch bei jeder Transaktion der betreffenden Person im Netz ist der zentrale Provider mit im Bilde und wird zur allwissenden Instanz.
IDunion: Leitbild selbstbestimmte Identitäten
Bislang konnte sich kein internationaler Standard für digitale Identitätsnachweise durchsetzen. Um Daten und Privatsphäre besser zu schützen, arbeiten Experten weltweit an vertrauenswürdigen Infrastrukturen für das Identitätsmanagement.
Gemeinsam mit Partnern aus Privatwirtschaft und Forschung stellt die Bundesdruckerei GmbH im Förderprojekt IDunion ein ganzheitliches System für selbstbestimmte Identitäten bereit. Self-Sovereign-Identity-Netzwerke basieren auf verteilten Strukturen und stellen die Datensouveränität der Nutzer her. Das Förderprojekt umspannt Anwendungen im privatwirtschaftlichen und öffentlichen Bereich. Damit schafft es einen geeigneten Rahmen auch für die digitale Verwaltung, die durch das Onlinezugangsgesetz zusätzlichen Schub erhält. Denn ab 2022 sind deutsche Behörden verpflichtet, ihre Leistungen online bereitzustellen und dem Bürger dafür ein einheitliches Nutzerkonto anzubieten.
Self-Sovereign Identity (SSI): Datensouveränität im dezentralen System
Ziel des SSI-Ökosystems ist der sichere und datensparsame Austausch digitaler ID-Nachweise. Das Zusammenspiel zwischen Aussteller, Inhaber und verifizierender Stelle ist so konzipiert, dass der Nutzer stets die Fäden in der Hand behält. „Jede Preisgabe von Identitätsdaten erfordert seine aktive Zustimmung“, erklärt Jörg Fischer, Senior Principal bei der Bundesdruckerei GmbH. Basis des Systems ist die Distributed-Ledger-Technologie, die ähnlich einer Blockchain auf mehreren unabhängigen Knoten basiert. Für den Betrieb des Netzwerks beabsichtigt IDunion die Gründung einer Europäischen Genossenschaft, die weiteren Partnern offensteht.
Im SSI-Modell besitzt jeder Nutzer seine persönliche „Wallet“ als digitales Portemonnaie. Darin speichert und verwaltet er seine ID-Nachweise, darunter zum Beispiel Personalausweis und Führerschein, Kreditkarte und BahnCard. All diese Identitäten wurden zunächst durch die jeweiligen Aussteller wie etwa Meldebehörde oder Geldinstitut geprüft und elektronisch signiert. Will der Nutzer in einem Hotel einchecken, legt er dem Rezeptionisten ausgewählte Ausweisdaten offen. Um diese Angaben zu verifizieren, greift der Hotelmitarbeiter auf das dezentrale Netzwerk zu. Dort liegen nicht die Dokumente des Gasts selbst, sondern nur die zur Prüfung nötigen Daten. Mittels einer kryptografischen Signatur kann der Rezeptionist die Angaben verifizieren. Die Meldebehörde wird dafür nicht kontaktiert und weiß nicht, wo der Nutzer gerade Urlaub macht; Privates bleibt privat.
Multilaterale Vertrauensbeziehung
In der Umsetzung des SSI-Systems gilt es, jede einzelne Beziehung zwischen den Beteiligten mit sicheren Vertrauensmechanismen auszustatten – so will etwa ein Online-Shop sich darauf verlassen können, dass tatsächlich die Bank hinter einer Kreditkarte steht. Und der Nutzer möchte seine Daten ausschließlich dem richtigen Adressaten und nicht einem Fake-Shop gegenüber offenlegen. Auch die Wallet ist vor Manipulationen und Missbrauch zu schützen. Zur Entwicklung dieser Vertrauensmechanismen bringt die Bundesdruckerei ihre Expertise in Datenschutz und Hochsicherheit ein.
Projekte
Pilotprojekt Ökosystem digitaler Identitäten
Die Bundesregierung startet in Zusammenarbeit mit Partnern den ersten Piloten im Ökosystem digitale Identitäten. Ziel ist der Aufbau einer Infrastruktur, die den sicheren Austausch von Nachweisen zulässt, für einen europaweiten Einsatz geeignet ist und gleichermaßen für Identitäten von Menschen, Institutionen und Dingen funktioniert. Grundlage ist die Self-Sovereign-Identity-Technologie (SSI).
Mitarbeiterinnen und Mitarbeiter der Deutschen Bahn AG, der Lufthansa AG, der Robert Bosch GmbH, sowie der BWI GmbH können per Smartphone mit einer neuen entwickelten „ID-Wallet“ in teilnehmenden Hotels einchecken. Damit startet die Bundesregierung gemeinsam mit den Partnern Steigenberger Hotels AG/Deutsche Hospitality, Motel One GmbH und Lindner Hotels AG das erste Pilotprojekt des neuen Ökosystems digitaler Identitäten. Dabei wird Geschäftsreisenden, die auf Grund ihrer Tätigkeit Reisen auch in Zeiten von Corona nicht vermeiden können, der physische Kontakt beim Check-in erspart, während gleichzeitig der erste Schritt zum voll-digitalen Hotel Check-in gegangen wird.
Die teilnehmenden Unternehmen stellen ihren Mitarbeiterinnen und Mitarbeitern einen digitalen Nachweis über die Rechnungsadresse ihrer Firma zur Verfügung. Zugleich stellt die Bundesdruckerei GmbH Nachweise basierend auf dem Personalausweis aus („Basis-ID“). Mit diesen Identitätsangaben können die Pilotteilnehmerinnen und -teilnehmer für geschäftliche Aufenthalte in Hotels einchecken und dabei zum einen die Meldeanschrift übertragen sowie zum anderen die Firmenadresse ihres Unternehmens für die Hotelrechnung angeben.
Förderprojekt IDunion
Ziel des Konsortiums IDunion ist der Aufbau eines dezentralen, vertrauenswürdigen Ökosystems für selbstbestimmte Identitäten. Dabei knüpft es an die Resultate aus Vorläuferprojekten wie Lissi (Let’s initiate self-sovereign identity) und SSI4DE an.
Das Projekt ging unter dem ursprünglichen Namen „Self-Sovereign Identity für Deutschland“ (SSI4DE) siegreich aus dem Innovationswettbewerb „Schaufenster Sichere Digitale Identitäten“ des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) hervor. Nun folgt die Umsetzung des Ökosystems für selbstbestimmte Identitäten.
Projektstart war im April 2021, die Laufzeit beträgt drei Jahre.
Besonderes Kennzeichen von IDunion ist die breite Mitwirkung hoheitlicher, privatwirtschaftlicher und anderer nicht staatlicher Akteure. Damit schlägt das Netzwerk eine Brücke zwischen den Anwendungsszenarien verschiedener Sektoren. Die Partner sind:
- Main Incubator GmbH (Commerzbank-Gruppe)
- Technische Universität Berlin, Fachgebiet Service-centric Networking und Zentraleinrichtung Campusmanagement
- Bundesdruckerei GmbH
- esatus AG – IT
- Robert Bosch GmbH
- Stadt Köln
- ING-DiBa AG
- DB Systel GmbH (Deutsche Bahn AG)
- Bank-Verlag GmbH
- Siemens AG
- GS1 Germany GmbH
- YES Payment Services GmbH (yes)
- Spherity GmbH
- Westfälische Hochschule, Institut für Internet-Sicherheit – if(is)
- Deutsche Telekom AG (DTAG)
- Telekom Innovation Laboratories
Im Jahr 2021 plant das Konsortium die Gründung einer Europäischen Genossenschaft (Societas Cooperativa Europaea, SCE). Deren Aufgabe ist der Betrieb und die Weiterentwicklung des Netzwerks sowie die Verbreiterung der Kooperation durch neue Partner.
Die Initiative steht für die Umsetzung der höchsten europäischen Datenschutzstandards – insbesondere eIDAS und DSGVO – und leistet einen wichtigen Beitrag zur digitalen Souveränität Europas.
Es ist wichtig, dass das eine Planung ist. Durch die BKamt-Projekte könnte das beeinflusst werden.
Verbindendes Element der SSI-Struktur ist die öffentliche Prüfinfrastruktur (Verifiable Data Registry). Sie enthält nicht die Nutzerdaten selbst, sondern ausschließlich Daten, die zur Verwaltung und Datenprüfung nötig sind. Die Prüfinfrastruktur besteht, ähnlich einer Blockchain, aus mehreren Knoten. Diese Knoten werden von mehreren voneinander unabhängigen Instanzen betrieben und stimmen sich über Konsensprotokolle untereinander ab. Die einzelnen Partner von IDunion sind zugleich jeweils Betreiber eines Knotens. Die dezentrale Struktur des Systems reduziert Missbrauchsrisiken und erhöht die Ausfallsicherheit.
Das Datenschema definiert für jede Art von ID-Nachweis die Struktur der zu prüfenden Daten, entsprechend den Feldern in einem Formular. Mittels privater und öffentlicher Schlüssel lassen sich Daten durch den Inhaber signieren und durch die verifizierende Gegenseite auf Echtheit überprüfen. Einen wichtigen Baustein stellen anonyme Sperrinformationen für den Widerruf erteilter Identitätsnachweise dar.
Das IDunion-Konsortium arbeitet an über 30 Anwendungsfällen – unter anderem in den Feldern Bildung und E-Government, Finanzwirtschaft, Industrie, E-Commerce, Mobility und E-Health.
IDunion setzt auf Open-Source-Anwendungen und verfolgt mit der Orientierung an den Standards des World Wide Web Consortium (W3C), der Decentralized Identity Foundation (DIF) und der Trust over IP Foundation (ToIP) das Ziel der Interoperabilität. Das im Projekt entstandene Know-how soll auch in internationale Standardisierungsprozesse einfließen.
Datensouveränität: Nutzer im Zentrum der Systeme
Mit einer Reihe weiterer Projekte engagiert sich die Bundesdruckerei in der Erforschung und Entwicklung zukunftsweisender Systeme für digitale Identitäten.
Im Förderprojekt ONCE des Bundeswirtschaftsministeriums untersuchen und implementiert die Bundesdruckerei GmbH gemeinsam mit Projektpartnern vielfältige Szenarien für mobile Dienstleistungen. Schwerpunkte sind Verwaltung, Mobilität und Hotelgewerbe.
Basis ist die im OPTIMOS-Projekt entwickelte technologische Plattform. Mittels des speziell abgesicherten „Secure Element“ im Smartphone lassen sich hoheitliche Dokumente sicher auf dem Smartphone hinterlegen. Als Hintergrundsystem der mobilen ID fungiert der Trusted Service Manager, der von einer vertrauenswürdigen Einrichtung betrieben wird.
Als neuartige Alternative rund um das Thema Datensouveränität erforscht die Bundesdruckerei GmbH wir die Technologie digitaler Berechtigungsketten. Im Innovationsprojekt „FIDES“ wird ein radikal neues Konzept des Identitäts- und Rechtemanagements entwickelt, das die Kontrolle über Daten in die Hände der verantwortlichen Nutzer legt. Im FIDES-Modell kann der Bürger seine Daten aus verschiedenen Lebenssphären in seiner persönlichen Life-Chain sicher verwalten. Ob Personalausweis oder Word-Datei, Uni-Diplom oder Versicherungsvertrag: Mit jedem Dokument ist der Nutzer als eindeutiger Rechteinhaber verknüpft. Nur er selbst kann anderen die Berechtigung zum Lesen oder Bearbeiten erteilen oder wieder entziehen. Auch über die weitere Historie seiner Berechtigungen hat der Nutzer den Überblick. So kann er steuern, wo seine Daten in Umlauf sind.
Zentrale Komponenten von FIDES sind eine Identitätsverwaltung, die sichere Speicherung von Dokumenten sowie ein intelligentes Berechtigungsmanagement. Zum Einsatz kommt dabei die Cortex-Datenbank, die Millionen Daten in Sekundenschnelle durchforstet. In mehreren Pilotprojekten, unter anderem mit der Südtiroler Informatik AG, erproben wir die Umsetzung der FIDES-Technologie.
Komplexität reduzieren: Sicherheitsgewinn im Nutzeralltag
Für das Identitäts- und Rechtemanagement entwickelt die Bundesdruckerei neue gestalterische Ansätze, die komplexe Systeme für den Nutzer verständlich machen und sich nahtlos in den Lebensalltag einfügen. Denn Nutzerfreundlichkeit ist nicht zuletzt ein ernst zu nehmender Sicherheitsfaktor.