In Zeiten der gelebten Individualität ist die Bestimmung des eigenen Selbst so wichtig wie nie. Diese Mentalität hat sich auch in die digitale Welt übertragen. Das individuellste eines Menschen sind hier definitiv seine personenbezogenen Daten, die wir schützen und am besten auch eigenverwalten wollen. Das ist mittlerweile auch möglich dank SSI, der Self-Sovereign Identity. Warum sie uns maximale Sicherheit bietet, lesen Sie hier.
Was bedeutet SSI?
Die Self-Sovereign Identity oder auf Deutsch auch „Selbstbestimmte Identität“ ermöglicht es Privatpersonen oder Organisationen, eine digitale Identität zu erzeugen. Das Besondere an der SSI-Technologie ist, dass Nutzer selbst über die Herausgabe ihrer Identität bestimmen können und wie viel sie von sich preisgeben möchten. Die Bundesregierung unterstützt diesen SSI-Ansatz mit der Initiative zum Aufbau eines Ökosystems digitaler Identitäten. Die Technik setzt dabei auf bereits bewährte Sicherheitsmechanismen wie zum Beispiel die 2FA (Zwei-Faktor-Authentisierung). Dieses Modell ist unter anderem gängig im Bereich des ID-Proofings, welches oftmals zum Einrichten eines Online-Bankkontos benutzt wird. Der wichtigste Grundsatz von SSI ist, dass der Mensch im Mittelpunkt steht. Er hat die volle Kontrolle und kann selbst bestimmen, wer Zugriff auf welche seiner Daten erhält.
Bausteine der selbstbestimmten Identität
Doch woraus besteht die SSI (Self-Sovereign Identity) im Detail? Drei Elemente machen den eigenständigen Umgang mit den persönlichen Daten möglich.
- Issuer
Der Issuer ist der „Herausgeber“ der Identität. Der häufigste Issuer ist hierbei der Staat, der Dokumente wie den Personalausweis oder auch die Reisepässe ausstellt. In der Theorie ist es allerdings für jedermann möglich, Nachweise zu erstellen und somit der Herausgeber von Zertifikaten zu sein. Wichtig ist daher, dass die Nachweise und deren Erstellung streng kontrolliert und reglementiert werden, damit eben nicht jeder solche Nachweise erstellen kann. Ein Beispiel für ein Dokument fernab von staatlichen Ausweisen ist unter anderem ein Hochschulzeugnis, welches auf den Akademischen Grad hinweist. Solch ein Zeugnis ist in der analogen Welt meist mit einem Siegel versehen oder weist spezielle Muster auf dem Papier auf, um die Echtheit zu verifizieren. Digital sind es die privaten kryptografischen Schlüssel, die als elementarer Bestandteil der Public Key Infrastructure den Nachweis im SSI-Ökosystem erbringen. Digitale Zertifikate, die nach diesem Prinzip funktionieren, finden heute bereits bei elektronischen Signaturen Anwendung und lassen sich leicht auf den neuen Use Case adaptieren. - Holder
Der Holder ist in der Regel der Mensch, der eine Identity Wallet besitzt. Er ist derjenige, der die zu verifizierenden Dokumente anfragt und verwaltet. In der Wallet wird der Grundgedanke der selbstbestimmten Identitätsverwaltung praktisch umgesetzt. Dies ist der Ort, an dem jeder Mensch bestimmen kann, wer welche Informationen seiner dort abgelegten Dokumente einsehen kann. Denn die digitale Wallet hält nicht nur unsere Ausweise bereit, sondern verfügt auch über viel Stauraum für andere Nachweise. Beispielsweise können Nutzer hier ihre Zeugnisse ablegen. Wenn nun ein Drittanbieter beispielsweise die Deutschnote eines Bewerbers einsehen möchte, kann dieser hergehen und ihm nur diese Note zur Einsicht freigeben, ohne die anderen Schulnoten vorweisen zu müssen. Genauso funktioniert dieser Mechanismus auch bei angeforderten Altersnachweisen beim Onlineshopping. - Verifier
Der Verifier ist, wie der Name es erahnen lässt, derjenige, der etwas verifizieren möchte. Will also zum Beispiel der neue Arbeitgeber das letzte Arbeitszeugnis sehen und überprüfen, so fragt er diese Information beim Holder an, also dem Besitzer der digitalen Wallet. Dieser hat dann also die Wahl, ob er seine Daten dem Arbeitgeber zur Verfügung stellt oder eben nicht. Dabei kommunizieren niemals der Verifier und der Issuer direkt miteinander. Der entscheidende Schritt in diesem Prozess ist die Überprüfung der digitalen Signatur des Ausstellers, die in der Regel mit einem Decentralized Identifier (DID) durchgeführt wird, der beispielsweise in einem Blockchain-Netzwerk hinterlegt sein kann.
Meine Daten gehören zu mir
Die SSI Technologie erlaubt es uns nicht nur, lediglich ausgewählte Daten an Dritte weiterzugeben, sondern steht insbesondere für die selbstbestimmte Identität. Deshalb ist auch der Speicherort der persönlichen Daten so privat wie unsere Bilder auf dem Smartphone. Alle personenbezogenen Daten werden nämlich nur dort abgespeichert – auf dem Handy. Nutzer verarbeiten ihre sensiblen Daten in ihren internen Systemen unter eigenverantwortlicher Erfüllung der Anforderungen der Datenschutzgrundverordnung (DSGVO).
Die Technik der SSI ist sicher, da jeder Nutzer seine Daten individuell verwalten kann. Grund für die Sicherheit sind nicht zuletzt die bereits sehr erprobten Technologien der Blockchain-Nutzung oder auch der asymmetrischen Kryptografie, welche beständig weiterentwickelt werden und damit immer neuen Herausforderungen trotzen können.