Self-Sovereign Identity in der Digitalen Transformation

Stark, stärker, Blockchain?

| Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

Kunden sollten über ihre Daten und Informationen bestimmen können, ohne technisch allzu sehr an die Kette gelegt zu werden.
Kunden sollten über ihre Daten und Informationen bestimmen können, ohne technisch allzu sehr an die Kette gelegt zu werden. (Bild: succo - Pixabay.com / CC0)

Im digitalen Kundenkontakt müssen Unternehmen und Behörden für Datenschutz und eine vertrauensvolle Interaktion sorgen. Eignen sich Blockchain-basierte Verfahren, um Nutzern die volle Hoheit und Kontrolle über die von ihnen eingegebenen Daten und Informationen zu geben?

Kurz vor Inkrafttreten der neuen EU-Richtlinie GDPR (General Data Protection Regulation) im Mai 2018 machen sich Anbieter von Online-Produkten und Services vermehrt Gedanken darüber, wie sie mit sensitiven Daten umgehen. Die Richtlinie liefert den rechtlichen Rahmen für die persönliche Informationshoheit und fordert von allen Organisationen verantwortliches und sicheres Speichern von Daten.

Heute können Anwender hierbei lediglich den Anbietern vertrauen, die häufig mit genau diesen Daten einen Großteil ihrer Einnahmen erzielen. Die bei einem Online-Dienst eingepflegten Identitätsinformationen gehören in der Regel nicht den Nutzern, sondern dem Anbieter, der dann auch über ihre weitere Verwendung bestimmen kann. Zudem stellt sich die Frage, wie sicher diese Informationen bei dem Unternehmen bzw. dessen Rechenzentrums- oder Cloud-Provider abgelegt sind.

Vertrauen stellt aber schon heute ein zentrales Element im Kampf um Kunden dar. Wie können Anbieter eindeutig nachweisen, dass sie den in sie gesetzten Optimismus tatsächlich verdienen?

Eine Möglichkeit hierzu könnte dezentralisierte Blockchain-Technologie mit mathematischen Konsensalgorithmen bieten, durch die – im Idealfall - keine „vertrauenswürdigen“ Instanzen als Mittler mehr notwendig sind. Zudem kann sie auch jeder Privatmensch relativ problemlos für Online-Transaktionen nutzen.

Kann eine Blockchain das Vertrauen stärken?

Die wohl grundlegendste Herausforderung in diesem Kontext ist aber die Frage, woher der Nachweis kommt, dass es sich bei einer Person in der Blockkette tatsächlich um diese Person handelt. Habe ich es als Anwender oder Anbieter tatsächlich mit der digitalen Identität zu tun, von der ich es annehme? Woher nehme ich dieses Grundvertrauen?

Ich weiß im Zusammenhang mit der Blockchain, dass eine Transaktion stattgefunden hat, gewiss. Aber bin ich mir auch wirklich sicher, dass sie von der erwarteten Person ausgeführt wurde oder verbirgt sich dahinter nicht vielleicht doch jemand ganz anderes? Um wirklich zu sicher zu sein, muss die Person auf der anderen Seite letztlich so viele Details von sich preisgeben, dass man kaum noch von einer Self-Sovereign Identity sprechen kann.

Zur Absicherung müsste alternativ doch wieder eine dritte vertrauenswürdige Distanz hinzukommen, dann ließe sich jedoch allenfalls von einer nutzerzentrierten Identität sprechen, nicht mehr von einer selbstbestimmten. Blockchains alleine können also zumindest bislang weder das Identitäts- noch das Authentifizierungsproblem vollständig lösen.

Eine starke Ergänzung könnten Smart Contracts sein. Mit ihrer Hilfe könnten die an einer Transaktion beteiligten Parteien etwa vorab vertraglich festlegen, welche Attribute (Geburtsdatum, Vor- und Nachname etc.) wer mit wem wie lange und zu welchem Zweck teilt. Meist würde etwa das Alter anstelle des genauen Geburtsdatums völlig ausreichen.

Dies würde Identitätsdiebstahl vorbeugen und ließe sich auf Basis von Standards relativ leicht implementieren. Das Ergebnis wäre zudem ein klarer Win-Win:

  • Die Nutzer wären in der Lage, ihre Daten autonom zu schützen, indem sie ihren Gebrauch einschränken und kontrollieren. Wer von Anfang an nur so viele Daten eingibt, wie tatsächlich nötig und gleichzeitig so wenig wie möglich (Minimal-Disclosure-Prinzip), kann auf das heutige, kompliziert zu realisierende, „Recht zu vergessen“ sicher verzichten.
  • Die Anbieter auf der anderen Seite bekämen für diesen begrenzten Einsatz ausreichend Informationen über ihre Kunden und könnten ohne die heutigen massiven Streuverluste Werbung gezielt schalten und den Platz dafür teuer verkaufen. Sie haben also durch den „Kontrollverlust“ nichts zu verlieren. Zudem könnten sie im Falle einer Datenpanne auch leichter Schäden begrenzen und so unter Umständen immense Kosten sparen.

Noch keine Komplettlösung in Sicht

Aufgrund der hohen Komplexität des Themas „Menschliche Identitäten“ im digitalen Kontext existiert bislang keine Einzellösung, die alle Anforderungen an einen zuverlässigen Speicher für starke digitale Online-Identitäten erfüllen kann, der Nutzern gleichzeitig die volle Datenhoheit gibt. Fraglich ist auch, ob es eine solche Lösung je geben wird. Nationale Gesetze erschweren ihre Realisierung in der internationalen Online-Welt zusätzlich.

Ergänzendes zum Thema
 
Starke Online-Identität

Die wichtigsten Kriterien für den Erfolg werden Benutzerfreundlichkeit und die Adoption der Lösung durch einflussreiche Online-Dienste sein. In der Bedienerfreundlichkeit liegt jedoch auch eine Gefahr: Je einfacher es Anwender haben, sich bei einem Dienst anzumelden, desto eher lassen sie häufig Bedenken in Bezug auf den Datenschutz und die Datensicherheit außer Acht.

Martin Kuppinger: „Oft verbreitet sich ein kommerzieller Service umso schneller, je weniger aufwändig die Sicherheitsvorkehrungen für die Nutzer sind.“
Martin Kuppinger: „Oft verbreitet sich ein kommerzieller Service umso schneller, je weniger aufwändig die Sicherheitsvorkehrungen für die Nutzer sind.“ (Bild: KuppingerCole)

Oft verbreitet sich ein kommerzieller Service umso schneller, je weniger technologisch aufwändig die Sicherheitsvorkehrungen für die Nutzer sind. Darauf müssen Lösungen für Sovereign Identities eine geeignete Antwort liefern, um nicht nur technikaffine Experten, sondern auch ein Massenpublikum anzusprechen und auf breiter Ebene Einsatz zu finden.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44292378 / Compliance und Datenschutz )