„Mit Google oder Facebook anmelden“, so ziemlich jeder kennt das Vorgehen, um sich für eine neue Website oder einen Online-Dienst zu registrieren. Statt eine Seite mit den immergleichen personenbezogenen Daten auszufüllen, nutzen wir diesen Shortcut, um es uns einfacher zu machen. Doch was machen diese großen Anbieter mit unseren Daten, welche werden weitergeben oder was geschieht, wenn einer dieser Anbieter ein Datenleck oder ähnliches hat? Die hier herrschende Intransparenz, streut Misstrauen und schafft den Wunsch nach einer autonomen Handhabung unserer personenbezogenen Daten. Mit der Self Sovereign Identity (SSI) soll genau das möglich werden. Doch was ist SSI? Das erklären wir in diesem Beitrag.
So funktioniert SSI / Self Sovereign Identity
Die Kontrolle über persönliche Identitätsdaten soll wieder in die Hände der Einzelpersonen gelegt werden. Dies ist der Ansatz hinter Self Sovereign Identity oder selbstbestimmter Identität. Statt uns auf zentrale Anbieter wie Google oder Facebook zu verlassen, ermöglicht SSI den Nutzern, ihre Identität autonom zu verwalten. Aber wie funktioniert das genau?
SSI hat drei Hauptakteure:
- Der Nutzer, welcher seine verifizierbaren Anmeldeinformationen kontrolliert und entscheidet, wann und wie er sie verwendet.
- Der Herausgeber: Dies ist die vertrauenswürdige Stelle, die die Anmeldeinformationen ausstellt. Zum Beispiel könnte es eine Universität sein, die Abschlusszeugnisse ausstellt.
- Der Verifizierer: Dies ist der Dienst, bei dem wir uns anmelden möchten. Er überprüft die Anmeldeinformationen und entscheidet, ob wir Zugriff erhalten.
Ohne SSI müssen wir bei jedem neuen Dienst ein neues Konto erstellen und persönliche Daten erneut eingeben. SSI ermöglicht es uns, unsere Identität nahtlos und sicher zu verwenden, ohne unsere Daten ständig zu duplizieren. Wir behalten die Kontrolle über unsere Informationen.
Insgesamt verspricht selbstbestimmte Identität eine Zukunft, in der wir unsere digitale Identität in unseren eigenen Händen halten und gleichzeitig die Sicherheit und Vertrauenswürdigkeit gewährleisten können.
Das System ohne SSI
Ohne SSI sind vor allem Single Sign-On (SSO)-Dienste beliebt. Hierbei greifen viele Menschen auf bereits bestehende Logins zurück, um Zugang zu neuen digitalen Diensten zu erhalten. Der Vorteil liegt darin, dass kein neues Passwort erstellt werden muss, und der Zugang zu verschiedenen Services erleichtert wird.
Der herkömmliche Anmeldungsprozess erfolgt über ein Anmeldeformular, in dem der Nutzer seine Anmeldeinformationen eingeben muss, die Anmeldeinformationen werden an der Server übertragen, dort mit den vorhandenen Daten abgeglichen und wenn die Daten als korrekt anerkannt werden, erhält der Nutzer Zugriff auf die Website und die Dienste.
Die Vorteile von SSO liegen darin, dass wir ein zentrales Login für verschiedene Dienste nutzen können und dies den Anmeldeprozess enorm beschleunigt. Allerdings begünstigt es die Nutzung von Fake-Accounts, da Personendaten nicht verifiziert sind. Nutzer tragen das Risiko, dass ein gehacktes Passwort alle damit verbundenen Dienste gefährdet, sowie die Datenschutzbedenken, welche durch Abgabe der Autonomie über die eigenen Daten an eine zentrale Stelle entstehen.
Umsetzung in Deutschland und der EU
Um zu verstehen, wie elektronische Identifizierung momentan funktioniert, betrachten wir, welche Regelung der Online-Ausweisfunktion zugrunde liegt.
Die eIDAS-Verordnung ist eine EU-Verordnung, die die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen regelt. Sie wurde 2014 verabschiedet und schafft den Rechtsrahmen, in welchem SSI möglich wäre
Self-Sovereign Identity (SSI) und die eIDAS-Verordnung sind zwei Ansätze zur Verwaltung digitaler Identitäten, die unterschiedliche Wege einschlagen:
eIDAS-Verordnung:
Die eIDAS-Verordnung wurde von der EU geschaffen, um einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste zu schaffen. Sie ermöglicht es Personen und Unternehmen, ihre nationalen elektronischen Identifizierungssysteme (eID) für den Zugang zu bestimmten Diensten zu nutzen. Die Verordnung zielt darauf ab, nationale eIDs durch eine europaweite Lösung zu ersetzen, um die Interoperabilität zu verbessern. Die eIDAS-Verordnung ist jedoch zentralisiert und erfordert die Zusammenarbeit von Behörden und Dienstleistern.
Self-Sovereign Identity (SSI):
SSI ist ein innovativer Ansatz, der auf Blockchain-Technologie basiert. Es ermöglicht Nutzern, ihre digitale Identität autonom zu verwalten, ohne von zentralen Anbietern abhängig zu sein. SSI setzt auf dezentrale Organisation und gibt den Nutzern die Kontrolle über ihre Identitätsinformationen.
Insgesamt sind beide Prinzipe wichtig für eine bessere digitale Identitätsverwaltung, wobei SSI besonders auf die Selbstbestimmung und Dezentralisierung abzielt. Allerdings steht SSI noch etliche rechtliche Hürden im Weg, welche die Umsetzung bisher zurückhalten.
Schwierigkeiten und Kritik von SSI
Auch wenn SSI in der Theorie ganz praktisch und in jedermanns Interesse zu sein scheint, ist die Umsetzung nicht ganz so unproblematisch wie gewünscht. Der EU liegt die Subsidiarität zugrunde. Das bedeutet eigentlich, dass der Staat nur so gering wie möglich reguliert, um größtmögliche Selbstbestimmung zu gewährleisten.
Dennoch will man gerade bei etwas mit so großer Reichweite eine Regelung schaffen, die in allen EU-Mitgliedsstaaten gültig ist. Hierfür hat die EU die eIDAS Verordnung verabschiedet. Diese ist an die Online-Ausweisfunktion gekoppelt und hat wiederum das Problem, dass Daten an einer zentralen Stelle angesammelt werden. Hierbei handelt es sich allerdings um Regierungsbehörde anstelle eines privatwirtschaftlichen Unternehmens. Eines der aktuell größten Probleme ist also, dass SSI nicht universell anerkannt wird.
Hinzu kommen rechtliche und regulatorische Schwierigkeiten. Die Komplexität der DSGVO in Europa macht es sehr schwer, SSI in der gewollten Art und Weise umzusetzen. Wie z. B. soll die Identifizierung von Datenverantwortlichen oder das Recht auf vergessen werden in einem dezentralen System eingefordert werden? Wer ist für die Sicherstellung der Informationssicherheit verantwortlich. Inwieweit sind aktuelle AGBs mit der Autonomie über personenbezogene Daten vereinbar? Oder wie sollen die unter digitalisierten vor allem kommunale aber auch nationale stark technisch unterentwickelten Einrichtungen die Nutzung gewährleisten?
Unter keinen Umständen sollte vergessen werden, dass mehr Selbstbestimmung auch mehr Verpflichtungen mit sich bringt.
SSI elektronische Identifizierung der Zukunft?
Selbstbestimmte Identität bringt viele Vorteile sowohl für Nutzer als auch für Anbieter mit sich. Die elektronische Identifikation spielt eine immer wichtigere Rolle, gerade um das Handeln unserer zunehmenden digitalen Präsenzen zu regulieren.
Der Umfang und Aufwand, einer solchen Modernisierung wie SSI sie Verspricht steht noch vor einigen Hürden, sodass die Umsetzung noch ein wenig auf sich warten lassen wird.
Bild von Microsoft Bing Image Creator powered by DALL-E3
Artikel per E-Mail verschicken