Was ist Decentralized Identity und wie funktioniert es? | Okta
Dezentrale Identität, auch unter dem englischen Begriff der „Self-Sovereign Identity“ (SSI) bekannt, wird immer mehr zur Alternative zu heutigen zentralisierten und föderierten Infrastrukturen. Denn wie der englische Ausdruck vermuten lässt, ermöglicht die „eigenverantwortliche Identität“ es Personen, ihre Identitäten selbst zu verwalten. Dazu erhält ein Benutzer in einem dezentralen Gefüge Anmeldedaten von mehreren Herausgebern (z. B. Behörden, Bildungswesen, Arbeitgeber), die er in einer digitalen Brieftasche (engl. Wallet) speichert. Der Benutzer legt diese Zugangsdaten der entsprechenden ausstellenden Stelle vor, die seine Identität über ein Blockchain-basiertes Register verifiziert. Die Daten des Benutzers werden dabei nicht speichert. Das also ist dezentrale Identität. Doch wofür wird sie benötigt?
Für viele funktioniert das heutige Modell der persönlichen Identität (mit dem Unternehmen Identitäten auf der Grundlage der Informationen erstellen, die sie von ihren Benutzern erfassen) nicht immer zu ihren Gunsten. Unternehmen müssen vertrauliche und personenbezogene Daten von ihren Benutzern erfassen, um deren Identitäten zu authentifizieren. Doch so lange es in Unternehmen zu Datenschutzverletzungen oder falschem Umgang mit Informationen kommt, ist dieses Modell nicht im besten Interesse der Benutzer.
Die Identitäten der meisten Internetnutzer sind fragmentiert. Das bedeutet, dass sie sich bei einer Unmenge von Service-Anbietern gesondert anmelden müssen – häufig ohne eine aktive Wahl treffen zu können. Sie sind quasi entrechtet. Rund 1 Milliarde Menschen weltweit sind nicht in der Lage, ihre physische oder digitale Identität in Anspruch zu nehmen, sodass sie nicht aktiv an Leistungen der öffentlichen Hand und den grundlegendsten technischen Errungenschaften der Gesellschaft teilhaben können.
Der dezentrale Identitätsansatz befindet sich zwar noch im Anfangsstadium, verspricht Benutzern aber viel mehr Unabhängigkeit sowie besseren Schutz der Privatsphäre und treibt die digitale Transformation in Unternehmen voran. In diesem Beitrag gehen wir darauf ein, wie dezentrale Identität im Detail funktioniert, wer davon profitiert und wie es um die Entwicklung steht.
Worum es bei dezentraler Identität geht
Als zunehmend wichtiger Aspekt innerhalb der Identitäts- und Zugriffsverwaltung (engl. Identity and Access Management, IAM) hat die dezentrale Identität eigene Begriffe zur Definition der Rollen und Interaktionen innerhalb dieses Modells.
- Anmelde- oder Zugangsdaten: Angaben, mit denen sich einzelne Personen ausweisen.
- Holder/Wallet/Brieftasche: Ein Software-Repository mit entsprechenden Datenschutzmaßnahmen, in dem die Zugangsdaten für die betreffende Person gespeichert sind.
- Herausgeber: Partei, die – ähnlich einem Anbieter von Identitäten oder einem OpenID-Provider – Zugangsdaten herausgibt.
- Betreffende Person: Benutzer oder Person, die ihre Identität bestätigt/authentifiziert.
- Prüfer: Die Stelle oder der Anbieter, der die Echtheit von Zugangsdaten prüft. Der Prüfer gibt eine Präsentationsaufforderung an die Brieftasche aus. Nach Einwilligung des Benutzers zeigt sie dem Prüfer die Anmeldedaten.
Wie bei jeder IAM-Struktur greifen diese Komponenten so ineinander, dass sie den Zugriff auf kritische Daten sicher ermöglichen und gleichzeitig helfen, die Identität eines Benutzers zu verifizieren.
Dezentralisierung: die Demokratisierung von Daten und Zugriff
Um an finanziellen, politischen, sozialen und kulturellen Aktivitäten teilhaben zu können, müssen wir meist nach wie vor offizielle Ausweispapiere vorlegen, um unsere Existenz buchstäblich zu dokumentieren. Sich ausweisen zu können, bestimmt streng genommen darüber, Bürgerrechte auszuüben und Zugang zu wesentlichen Dienstleistungen zu erhalten: Bildung, Gesundheitsfürsorge, Bankwesen, Wohnen und staatliche Unterstützung. Gleichzeitig hindern Faktoren wie Vertreibung, Armut, Bürokratie und mangelnde Bildung die Menschen daran, staatliche Ausweispapiere zu erhalten, die als Grundlage für diesen Zugang dienen.
Niedrigschwelliger Zugang
Mit Systemen für dezentrale Identitäten haben es Benutzer wesentlich leichter, an diese Daten zu gelangen. Durch den Einsatz von Blockchain-basierten Kryptographie-Systemen zur Einrichtung digitaler Brieftaschen im Internet kann jeder auf diese Art digitaler Identität zugreifen. Mehr als eine Internetverbindung und ein intelligentes Gerät braucht man dafür nicht – und beides ist im Zuge der zunehmenden Digitalisierung auch in Schwellenländern immer öfter erhältlich. Daher sind Dezentralisierungsprojekte ein vielversprechendes menschenfreundliches Instrument zur Bereitstellung von digitalen Identitäten und Zugang zu Dienstleistungen.
Mehr Unabhängigkeit für Benutzer
Benutzerautonomie ist ein weiterer Bereich, in dem dezentrale Identitäten die Demokratisierung fördern. Bei der Registrierung für neue Online-Dienste müssen Benutzer in der Regel eine Vielzahl persönlicher Daten angeben, die von Unternehmen verarbeitet, weitergegeben oder an Dritte verkauft werden können. In einem dezentralen System erhalten die Benutzer stattdessen dezentrale Identifikatoren (DIDs), mit denen sie ihre Identität bei jedem Anbieter nachweisen können. Diese Anmeldedaten sind durch einen privaten Schlüssel gesichert, der nur dem Benutzer bekannt und vom jeweiligen Dienstanbieter verifizierbar ist.
Das gewährleistet zwei Dinge:
- Benutzer müssen lediglich die Informationen weitergeben, die für den Zugriff auf den jeweiligen Dienst maßgeblich und notwendig sind.
- Benutzer können sicherstellen, dass Firmen nur zum Zweck der Authentifizierung auf diese Daten zugreifen können.
Als Bonus erhalten Benutzer ein höheres Maß an Datenschutz und mehr Kontrolle über ihre persönlichen Daten. Doch wie sieht das in der Praxis aus? Hier ein Beispiel:
- Jane ist gerade frisch in die USA eingereist, hat aber noch keine beglaubigte Kopie ihres Hochschulabschlusses. Um ein konkretes Jobangebot erhalten zu können, muss sie jedoch ihr Studienfach nachweisen.
- Ihre Universität stellt ihr einen DID-Nachweis aus (in diesem Fall Janes Diplom), den sie in ihrer digitalen Brieftasche speichert.
- Mit dem DID-Nachweis kann Jane ihr Diplom potenziellen Arbeitgebern vorlegen, die dessen Echtheit unabhängig bei der ausstellenden Universität bestätigen lassen können.
Potenzielle Vorteile dezentraler Identität
Wir haben geklärt, wie eine dezentrale Identität allen Benutzern besseren Zugang zu Diensten und mehr Kontrolle über ihre Daten bietet. Darüber hinaus verändert die Dezentralisierung die Art und Weise, wie Daten gespeichert und gesichert werden – zum Vorteil von Benutzern, Unternehmen und Entwicklern gleichermaßen.
Vorteile für Benutzer
In einem dezentralen System fungiert die Brieftasche als sicherer Aufbewahrungsort für die Anmeldedaten von Benutzern. Die Zugangsdaten sind durch Verschlüsselung und Biometrie geschützt. Bei jeder Abfrage von Anmeldedaten wird die ausdrückliche Zustimmung des Benutzers verlangt. Zudem verbirgt sie alle Metadaten, die zu einer Verfolgung der Anmeldedaten genutzt werden könnten. Verschlüsselte, dezentrale Speichersysteme wie Blockchain sind von Haus aus unangreifbar, was das Risiko verringert, dass sich jemand unbefugten Zugriff verschafft, um Benutzerdaten zu stehlen oder zu Geld zu machen.
Vorteile für Unternehmen
Was Datenschutz und Sicherheit für Benutzer erhöht, verringert zugleich die Sicherheitsrisiken für Unternehmen. Für viele weltweit tätige Unternehmen gelten Vorschriften bezüglich der Art und Weise, wie sie Benutzerdaten erfassen, verarbeiten, speichern und weitergeben. Sie müssen selbst dann mit Strafen und Bußgeldern rechnen, wenn sie unwissentlich gegen die Vorschriften verstoßen oder es zu Datenschutzverletzungen kommt. Unternehmen, die von vornherein weniger Daten erfassen und speichern, vereinfachen die Einhaltung von Vorschriften und verringern das Risiko, dass Informationen missbraucht und sie zur Zielscheibe von (gezielten oder ungezielten) Cyberangriffen werden.
Wenn nur die notwendigen Anmeldedaten von Benutzern angefordert werden, um deren Identitäten zu überprüfen – und zwar in einem System, in dem die Benutzer der Freigabe von Anmeldedaten immer erst ausdrücklich zustimmen –, schafft dies außerdem ein neues Maß an Vertrauen und Transparenz zwischen Unternehmen und Benutzern.
Vorteile für Entwickler
Entwicklern ebnet die dezentrale Identität den Weg zu besseren Standards beim App-Design, da Passwörter oder strenge Authentifizierungsprozesse überflüssig werden. Dadurch können Entwickler komfortablere und ansprechendere Benutzererfahrungen schaffen, die durch die Teilnahme an einem offenen standardbasierten System noch bereichert werden. Auf diese Weise lassen sich mit dezentraler Identität neue Bündnisse bilden, mit denen die Partner freigegebene Daten sicher übermitteln und effizientere Benutzerdienste anbieten können.
Die Beteiligten
Bei der dezentralen Identität handelt es sich zwar noch um relatives Neuland, doch einige der weltweit führenden Unternehmen zeigen bereits das Potenzial für mehr Vertrauen und Demokratisierung. Darunter sind große Namen wie Microsoft, IBM und SecureKey, aber auch Startups wie Evernym.
Im Hintergrund arbeiten derweil bereits zahlreiche Unternehmen daran, Standards für die dezentrale Identität zu entwickeln. Federführende Akteure sind:
- Decentralized Identity Foundation (DIF): Die Drehscheibe für alle Entwicklungen, Diskussionen und die Verwaltung von Initiativen, die auf die Schaffung eines offenen, standardbasierten Ökosystems für dezentrale Identitäten abzielen.
- World Wide Web Consortium (W3C): Seit Anfang des Jahrtausends ein Anbieter von offenen Standards, mit Schwerpunkt auf der Entwicklung von Browsern und Interoperabilität.
- Internet Engineering Task Force (IETF): Die für die Standardisierung der Kerntechnologien des Internets, einschließlich der Hauptinternetprotokollsuite, zuständige Organisation.
- Hyperledger: Der Teil der Linux Foundation-Community, der sich der Entwicklung von Frameworks, Tools und Bibliotheken für den Einsatz von dezentralen Ledgern und Blockchains widmet.
Die Zukunft der dezentralen Identität ist noch unklar
Noch steckt die dezentrale Identität in den Kinderschuhen. Unternehmen beschäftigen sich aktuell vor allem mit der Frage, wie sie diese Technologie in großem Umfang bereitstellen und dabei die gesetzlichen Vorgaben berücksichtigen können. Sicher ist indes, dass Identitäten für die Entwicklung dezentraler Architekturen eine entscheidende Rolle spielen werden.
Täglich kommen neue Anwendungsfälle hinzu. Hier einige Beispiele:
Personal
Für Mitarbeiter von Unternehmen bietet die dezentrale Identität die Möglichkeit, vollständig auf Passwörter zu verzichten, indem sie mit föderierten Identitätsinfrastrukturen verbunden wird. So können Unternehmen beispielsweise zur Rolle und Abteilung einer Person passende digitale Berechtigungsnachweise ausstellen, die in der digitalen Brieftasche des Mitarbeiters gespeichert werden. Identitätsanbieter verifizieren diese Daten, um eine einmalige Anmeldung (Single Sign-On) für die benötigten Tools zu ermöglichen. Ein weiterer Anwendungsfall für Mitarbeiter könnten DIDs sein, mit denen Daten auf digitale Ausweise aufgespielt werden, um entsprechenden Zugang zu physischen Orten zu gewähren. Allein diese wenigen unternehmensinternen Szenarien zeigen mögliche Ansätze für Experimente mit der neuen Technologie.
Kundenanmeldungen
Der Einsatz von dezentraler Identität in Kundenszenarien liegt noch weiter in der Zukunft. Wir haben noch nicht viele Proof-of-Concepts in diesem Bereich gesehen. Bislang besteht das größte Hindernis darin, Anwendungen Verbindungen mit Anbietern dezentraler Identitäten zu ermöglichen. Das würde eine erhebliche Umgestaltung unserer derzeitigen Verbraucherlandschaft erfordern. Eine Lösung könnten Social Logins sein, da Social-Media-Plattformen ihre große Kundenbasis bereits unterstützen, indem sie Identitäten zusammenführen und die Anmeldung bei anderen Anwendungen vereinfachen.
Da die Branche weiterhin Proof-of-Concepts für dezentrale Identitäten für staatliche Stellen, das Gesundheitswesen, den Finanzbereich und mehr entwickelt, wachsen die Möglichkeiten für dezentrale Identitäten weiter. Es bleibt also spannend.