:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SSI-Blockchain-Infrastruktur Self-Sovereign Identity (SSI) auf Basis der Blockchain-Technologie
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Self-Sovereign Identity (SSI) stellt digitale Identitäten und Nachweise sicher und vertrauenswürdig auf der Basis einer modernen Blockchain-Vertrauensarchitektur für die fortschreitende Digitalisierung zur Verfügung. Das SSI-Ökosystem schafft Abhängigkeiten von Monopolisten ab und ermöglicht eine souveräne und schnellere Gestaltung der digitalen Zukunft.
Das Konzept, die Architektur und die Prinzipen von Self-Sovereign Identity (SSI) kristallisieren sich zunehmend als das Verfahren der Wahl für Unternehmen, IT-Dienstanbieter und Nutzer heraus, um digitale Identitäten und weitere verifizierbare digitale Nachweise sicher und vertrauenswürdig für die fortschreitende Digitalisierung zur Verfügung zu stellen und zu nutzen.
Derzeit dominieren zentrale ID-Provider wie Google und Facebook die Verwaltung von Identitätsdaten vieler IT-Dienste weltweit, was zu einer großen Abhängigkeit der Gesellschaft, der Unternehmen und Nutzer in Bezug auf den Fortgang der Digitalisierung führt. Außerdem nutzen sie die sensiblen, personenbezogenen Daten für eigene Werbezwecke oder stellen diese weiteren Unternehmen zur Verfügung, um damit Geld zu verdienen. Das schwächt die Privatsphäre der Nutzer und hat Folgen bezüglicher der Akzeptanz. Self-Sovereign Identity (SSI) wird helfen, diese Probleme zu lösen.
Ablauf: Self-Sovereign Identity (SSI)
Bei Self-Sovereign Identity (SSI) kontrollieren und besitzen Nutzer ihre digitalen Identitäten und weitere verifizierbare digitale Nachweise, ohne hierfür auf eine zentrale Stelle, wie etwa Facebook oder Google, angewiesen zu sein. Sie sind somit unabhängig von Dritt-Instanzen und entscheiden vollkommen eigenständig, wer welche Identitätsdaten zur Verfügung gestellt bekommt. Alle Identitätsdaten werden ausschließlich bei ihnen in der SSI-Wallet gespeichert.
Dadurch wird ein einfacher, flexibler, sicherer und vertrauenswürdiger Austausch von manipulationssicheren digitalen Nachweisen zwischen Nutzer und Anwendungen möglich.
Bei SSI spielen drei Akteure (Aussteller, Besitzer und Verifizierer) eine Rolle, die gemeinsam mit der SSI-Blockchain-Infrastruktur interagieren. Jeder dieser Akteure hat eine definierte Aufgabe.
SSI-Blockchain-Infrastruktur
Die SSI-Blockchain-Infrastruktur ist ein dezentrales Blockchain-Netzwerk mit IT-Sicherheits- und Vertrauenswürdigkeitsmechanismen, in dem Informationen der Aussteller manipulationssicher gespeichert werden. Dadurch sind die Akteure in der Lage, Echtheit, Ursprung und Unversehrtheit der digitalen Nachweise zu überprüfen, ohne dass die SSI-Blockchain die Besitzer oder die ausgestellten Nachweise kennt.
Die SSI-Blockchain-Infrastruktur hat im Vergleich zu anderen Blockchain-Anwendungen drei Besonderheiten.
1. Decentralized Identifiers (DIDs)
Die Aussteller werden in der SSI-Blockchain über die Decentralized Identifiers (DIDs) identifiziert. Decentralized Identifiers (DIDs) sind eine moderne Art von Identifier, die eine überprüfbare, dezentralisierte digitale Identität global und standardisiert ermöglichen.
Ein DID wird in folgender Form dargestellt:
Die DID ist in drei Teile aufgeteilt. Das Schema bezeichnet die DID-Ressource. Die DID-Methode referenziert die SSI-Blockchain, sodass in einem SSI-Ökosystem mehrere Blockchains parallel existieren und miteinander interagieren können. Der methodenspezifische Identifikator identifiziert den Aussteller oder andere Ressourcen in der speziellen SSI-Blockchain.
2. Hyperledger-Aries
Im SSI-Ökosystem können mehrere unterschiedliche Blockchain-Netzwerke eingebunden sein. Damit kann die Infrastruktur als SSI-Network of SSI-Networks realisiert werden. Dies schafft eine besondere Flexibilität, weniger Abhängigkeiten und eine höhere Skalierung für infrastrukturelle Anwendungen.
Dies wird durch standardisierte Protokolle wie zum Beispiel für die Übertragung von digitalen Nachweisen in Projekten wie Hyperledger-Aries definiert.
3. Nur kryptographische und Meta-Informationen der Aussteller in der SSI-Blockchain
Die öffentlichen Schlüssel der Aussteller sowie weitere Metainformationen sind bei Self-Sovereign Identity in der SSI-Blockchain verstetigt und für die Verifizierer einfach abrufbar.
Gleichzeitig können über die SSI-Blockchain anonyme Sperrregister abgebildet werden, um auf diese Weise die Gültigkeit von digitalen Nachweisen aufzuheben und somit potenzielle Risiken zu minimieren.
Die eigentlichen digitalen Nachweise oder Hashwerte davon werden nicht in der SSI-Blockchain verstetigt. Damit ist die SSI-Blockchain unabhängig von der Anzahl der ausgegebenen digitalen Nachweise.
Aussteller (Issuer)
Im SSI-Ökosystem gibt es Aussteller, die verifizierbare digitale Nachweise wie Bescheinigungen der Identität (Personalausweis, Firmen- oder Dienstausweis …), Führerscheine (Auto/Motorrad, Kräne …), Zeugnisse (Abitur, Bachelor, Master …), Bestätigungen (Teilnahmebestätigung, Impfbestätigung …) Befähigung (Approbation, Krankenpfleger, Malermeister …), Befugnisse (Amtsbefugnis, Aufenthaltsbefugnis …), Qualifikationen (Weiterbildungsnachweise, Personenzertifikate …) ausstellen. Aussteller sind z. B. Einwohnermeldeamt, Straßenverkehrsamt, Schulen- und Hochschule, Berufsverbände, Behörden, Qualifizierungsorganisation oder TÜVs. Die digitalen Nachweise werden von den Ausstellern digital unterschrieben. Dies wird in der Regel so umgesetzt, dass vom digitalen Nachweis mithilfe einer One-Way-Hashfunktionen eine kryptografische Prüfsumme berechnet und diese dann vom Aussteller digital unterschrieben wird.
Jeder, der diesen digitalen Nachweis verifizieren möchte, kann feststellen, ob die Integrität und die Authentizität des digitalen Nachweises in Ordnung ist und der Aussteller echt ist.
Die öffentlichen Schlüssel, Sperrlisten und weitere Metainformationen sind in der SSI-Blockchain verstetigt und für die Verifizierer einfach abrufbar. Die Identifizierung der SSI-Blockchain und die notwenigen Informationen geschehen mithilfe der DID des Ausstellers, die in den digitalen Nachweisen eingebunden ist.
Essenziell ist, dass die Aussteller sowohl berechtigt als auch vertrauenswürdig sind. Außerdem muss die Übertragung der verifizierbaren digitalen Nachweise zwischen dem Aussteller und Nutzer verschlüsselt erfolgen.
Verifizierer (Akzeptanzstelle)
Die Akzeptanzstellen in diesem SSI-Ökosystem benötigen verifizierbare digitale Nachweise, um die vorgelegten digitalen Nachweise in einem Prozess oder einer Anwendung (Off- oder Online) zu nutzen und weiter zu verarbeiten. Dies geschieht im Idealfall vollkommen automatisiert.
Dazu kann die Anwendung mithilfe von Informationen aus der SSI-Blockchain, die digitalen Nachweise auf Echtheit überprüfen. Die Identifikationen der SSI-Blockchain geschieht mithilfe der DID. Durch dieses Konzept ist es möglich, medienbruchfrei und vor allem abgesichert das Potenzial der Digitalisierung auszuschöpfen und neue digitale Geschäftsmodelle umzusetzen. Auch zwischen Nutzer und Anwender müssen die Nachweise verschlüsselt übertragen werden.
Das SSI-Ökosystem wird nur dann von den Nutzern akzeptiert und verwendet, wenn sie dem Vorgängen vertrauen. Dazu zählt die angemessene Nutzung und Speicherzeit von digitalen Nachweisen bei den Anwendern: Nach der Verifikation der digitalen Nachweise und der Nutzung der Inhalte werden diese gelöscht. Eine unbegrenzte Speicherung wird hinfällig und Nachweise werden nur nach Bedarf vom Nutzer autark erzeugt.
Besitzer (Holder)
Der Besitzer hat in der Regel auf seinem mobilen Endgerät eine entsprechende SSI-App (Edge-Agent), in der eine Wallet mit den digitalen Nachweisen gespeichert ist. Es ist auch möglich, als Alternative oder Ergänzung zum Edge-Agent, einen Cloud-Agent zu nutzen. Dieser ist insbesondere für Backup-Szenarien hilfreich und garantiert eine höhere Verfügbarkeit als ein mobiler Edge-Agent. Die Nutzer können alle verifizierbaren digitalen Nachweise von den entsprechenden Ausstellern anfordern und in der eigenen SSI-Wallet sicherer ablegen. Damit sind sie in der Lage, selbstbestimmt diese Nachweise den entsprechenden Anwendungen zur Verfügung zu stellen. Präsentiert wird dem Verifizierer nur der Nachweis, der explizit gefordert ist, ohne darüber hinausgehende Informationen:So wird bei einer Überprüfung der Unternehmenszugehörigkeit mit Hilfe von Zero-Knowledge-Protokollen nur die hierfür notwendige Information, also ein bestimmtes Feld im Unternehmensausweises übertragen, ohne weitere, persönliche Daten zu übermitteln.
Anwendungsbeispiele: Self-Sovereign Identity
Im Folgenden werden ein paar Anwendungsbeispiele aufgezeigt, um das Potenzial in der fortschreitenden Digitalisierung deutlich zu machen.
1. Optimierung des Prozesses einer Autovermietung
Wer schon einmal ein Auto gemietet hat, kennt die Situation, wenn wir ein Auto mieten wollen: Der Mitarbeitende des Autovermieters braucht eine gefühlte Ewigkeit, um Ausweis, Führerschein und Kreditkarte zu prüfen, kopieren und die Daten im PC zu erfassen. Mit Self-Sovereign Identity (SSI) würde dieser Vorgang erheblich vereinfacht und verkürzt: Am Schalter angekommen, wird ein QR-Code vom Kunden gescannt. Anschließend werden die digitalen Nachweise (Ausweis, Führerschein, Kreditkarte, Gutscheine …) vom Kunden freigegeben und der Autovermieter zur Verfügung gestellt, damit er diese direkt automatisiert verarbeiten kann. Anschließend kann der Mietvertrag z. B. digital signiert und die Übergabe des Autoschlüssels (als physikalischer oder digitaler Schlüssel) übergeben werden. Quasi simultan laufen die weiteren Prozesse sicher im Hintergrund ab.
2. Optimierung des Prozesses beim Hotel-Check-in
Im Hotel angekommen, wird der Gast aufgefordert, einen QR-Code zu scannen. Anschließend werden die digitalen Nachweise vom Gast freigegeben, der Personalausweis und der Unternehmensausweis. Mithilfe des Unternehmensausweises kann das Hotel die Zugehörigkeit des Gastes zu einem Unternehmen und die Lieferadresse für die Rechnung verifizieren und übernehmen. Der übliche Meldeschein wird automatisiert erstellt und weitergeleitet. Auch hier kann der Gast sehr schnell auf sein Zimmer gehen und das Hotel die Prozesse automatisiert sicher und vertrauenswürdig durchführen.
3. Optimierung der Zugangskontrolle in Unternehmen / Organisationen
Der Unternehmensausweis kann auch für die Zugangskontrolle verwendet werden. Beim Einlass wird nach der Authentifikation eines Mitarbeiters aus dem Inhalt des Unternehmensausweises die Positionen ermittelt, um die Berechtigung des Zugangs einfacher bei vielen Organisationspräsenten überprüfbar zu machen.
Zusammenfassung
Self-Sovereign Identity (SSI) stellt digitale Identitäten und weitere verifizierbare digitale Nachweise sicher und vertrauenswürdig für die fortschreitende Digitalisierung zur Verfügung, damit Nutzer selbstbestimmt ihre Daten weitergeben können. Das SSI-Ökosystem schafft Abhängigkeiten von Monopolisten ab und ermöglicht eine unabhängige Ausgestaltung der digitalen Zukunft.
Über den Autor: Norbert Pohlmann ist Professor für Cybersicherheit und Leiter des Instituts für Internet-Sicherheit - if(is) an der Westfälischen Hochschule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundesverbands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverbandes - eco.
(ID:47433221)
:quality(80)/p7i.vogel.de/wcms/f7/58/f758afe1546f1205243ad32549a2e54f/0112175009.jpeg "Die Grenzen zwischen virtueller und tatsächlicher Realität verschwimmen im Metaverse und es drohen neue Gefahren. (Bild: wacomka - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/a9/66a9aa11ad2cffce1909382d47eeef39/0104009921.jpeg "Wie geht es nach dem Flop des digitalen Führerscheins und der ID-Wallet-App weiter? Welche Konzepte dürfen Bürger in der Zukunft erwarten? (Bild: peshkov - stock.adobe.com)")