© Unsplash
10.09.2021

IDunion: Alle (Identitäts-)Macht den Nutzer:innen!

IDunion: Alle (Identitäts-)Macht den Nutzer:innen!

Ausweise, biometrische Daten oder Passwörter: Menschen müssen sich in zahlreichen Situationen eindeutig identifizieren. Das IDunion Ökosystem macht den Identitätsnachweis für alle einfacher, rechtlich sicherer und transparenter.

57 Millionen Deutsche, und damit 83 Prozent der Bevölkerung, kaufen im Internet ein. Sie alle stehen vor demselben Problem: Sie müssen am Ende des Bestellvorgangs ihre Daten eingeben. Ein mühsames und langwieriges Unterfangen, erst recht, wenn bei bestimmten Bezahlmethoden zu Sicherheitszwecken eine sogenannte Zweifaktorauthentifizierung notwendig ist. Um den Prozess zu vereinfachen und schneller zu ihrem Wunschprodukt zu kommen, speichern viele ihre Bezahl-, Adress- und andere persönliche Informationen im Browser oder im Online-Shop. Dass sie damit auch die Kontrolle über ihre Daten abgeben, nehmen die meisten aus Bequemlichkeit in Kauf.

Dieses komplizierte Einkaufen, das die eigenen Daten gefährdet, soll bald ein Ende haben. Smart Check-out System heißt der Prozess basierend auf SSI. Dabei handelt es sich um eine sichere digitale Identität, in der der/die Kund:in bereits vor dem Kaufvorgang seine Daten in einer digitalen Wallet auf seinem Smartphone abgespeichert hat. Versandadressen, Zahlungsdaten oder auch Bonuskarten können einfach beim Bestellen, etwa über einen QR-Code auf der Website des Onlineshops, an den/die Verkäufer:in gesendet werden. Der Bezahlvorgang läuft automatisch im Hintergrund ab. Das Check-out wird für den/die Kund:in deutlich einfacher, und der/die Verkäufer:in kann durch digitale Nachweise wie einen digitalen Personalausweis die Daten verifizieren.

IDunion

Noch gibt es das Smart Check-out System nur auf dem Papier. Es handelt sich dabei um eine von 40 Pilotanwendungen, die im Rahmen des IDunion Ökosystems in den nächsten drei Jahren entwickelt und umgesetzt werden. Das Ziel des Konsortiums, das aus öffentlichen und privaten Institutionen unter der Führung des main incubators, der Forschungs- und Entwicklungseinheit der Commerzbank Gruppe besteht, ist der Aufbau eines offenen Ökosystems für die dezentrale Identitätsverwaltung, welches weltweit nutzbar ist und sich an europäischen Werten und Regularien orientiert. Als Basis dafür dient der Ansatz der sogenannten selbstbestimmten Identität (Self-Sovereign Identity, SSI) oder auch dezentralen Identität, die eine neue Identitätsverwaltung für alle Beteiligten – von Bürger:innen über Unternehmen bis zu Dingen – anstrebt.

Self-Sovereign Identity: Selbstentscheidung für die Nutzenden

Im Mittelpunkt stehen die Nutzer:innen: Sie haben die Möglichkeit, eine digitale Identität zu erzeugen und zu kontrollieren. Diese kann aus selbst attestierten Daten, einer Historie von Transaktionen auf einer e-Commerce Website oder auch einer Arbeitsbescheinigung bestehen. „Jeder Europäer hat im Durchschnitt rund 90 digitale Identitäten“, weiß Helge Michael, Blockchain- und Prototyping-Experte im main incubator. Bisher wurden diese und ein damit verbundener Identifikator – beispielsweise eine E-Mail-Adresse – zentral von Technologieunternehmen bereitgestellt und somit beherrscht. Unternehmen wie Facebook bieten beispielsweise einen zentralen Nutzer:innennamen mit Passwort für die Anmeldung bei vielen verschiedenen Services an. „Aus Nutzersicht scheint dies bequem, führt allerdings dazu, dass der Nutzer die Souveränität über seine Daten verliert und sich langfristig an einen Anbieter bindet, ohne die Möglichkeit zu haben, diesen Service zukünftig zu wechseln“, sieht Michael darin ein Problem und fügt hinzu: „Zudem stellt dieser zentrale Anbieter ein begehrtes Ziel für Hackerangriffe dar.“ Anders beim beim Prinzipt der selbstbestimmten Identität: Hier speichern die Nutzer:innen ihre Daten selbst und entscheiden je nach Bedarf, wann und mit wem sie die persönlichen Informationen teilen. Digital „abgelegt“ werden die Daten lokal in einer sogenannten Wallet. Dabei handelt es sich um eine Art Geldbeutel in App-Form, die für das mobile Endgerät heruntergeladen werden kann. Mit dieser können persönliche Informationen nicht nur gespeichert, sondern auch verwaltet und geteilt werden.

Doch die beiden Wallets Lissi (Abkürzung für: "Let’s initiate Self-Sovereign Identity“) und „esatus wallet“ des Unternehmens esatus, die das IDunion-Netzwerk aktuell unterstützt, haben noch mehr zu bieten: Im Gegensatz zu bisherigen Lösungen können Nutzer:innen darüber digitale Bescheinigungen von staatlichen Institutionen empfangen. „Der Nutzer erhält einen Datensatz mit verifizierten Identitätsdaten, beispielsweise von einer Bank, diese werden auf der Wallet-App gespeichert“, gibt Helge Michael ein Beispiel, „die Identitätsdaten werden dabei von der Bank mit einer elektronischen Signatur unterschrieben. In der analogen Welt ist das wahrscheinlich am ehesten mit dem PostIdent-Verfahren zu vergleichen. Möchte sich der Nutzer bei einem anderen Service anmelden, legt er seine von der Bank verifizierten und unterschriebenen Identitätsdaten offen. Der Drittservice kann anhand der Bank-Signatur die Authentizität der Daten überprüfen.“ Diese digitalen Nachweise helfen, die Identitätsdaten zu verifizieren und so rechtssicher im Alltag einzusetzen. Sie können beispielsweise beim Abschluss einer Bestellung im Online-Shop präsentiert werden, aber auch als Arbeitsbescheinigung oder Bildungsnachweis im Bewerbungsprozess vorgelegt werden. Dabei ermöglicht die Datenwallet dem/der Anwender:in die Kontrolle darüber, welche personenbezogenen Informationen übertragen/geteilt werden sollen. Es können nämlich auch nur einzelne Identitätsattribute wie etwa der Name oder das Geburtsdatum ausgewählt und übermittelt werden. Übertragen werden die Daten ausschließlich zweckgebunden und über verschlüsselte Ende-zu-Ende-Kanäle zwischen den einzelnen Teilnehmer:innen. „Im Hintergrund läuft hierfür eine DLT-Lösung, auf der die Signaturdaten unveränderbar und fälschungssicher gespeichert werden und von jedem, der die Prüfung der Daten nachvollziehen möchte, eingesehen werden können“, so Helge Michael, „ganz wichtig ist uns, dass bei unserer Lösung keinerlei nutzerspezifische Daten auf der Blockchain gespeichert werden, sondern nur die Daten der öffentlichen Institutionen, wie zum Beispiel der Bank.“ Das verhindert eine zweckfremde Verwendung sensibler Daten. In einer Historie bereits vollzogener Datenübertragungen lässt sich zudem bequem nachvollziehen, wer, wann, wozu und mit welchen Rechten die persönlichen Informationen erhalten hat.

Volle Kontrolle und DSGVO-konform

Was Bürger:innen volle Datenkontrolle über ihre sensiblen, persönlichen Informationen gibt und den Zugang zu Dienstleistungen erleichtert, hat auch für Unternehmen enorme Vorteile: Da diese selbständig die Identitäten der Geschäftsbeziehungen überprüfen können, wird der Identitätsbetrug weitestgehend unterbunden. Auch Institutionen wie Behörden oder Bürgerämter können ihre Bürger:innen eindeutig identifizieren und einen einfachen Zugang zu ihren Dienstleistungen und Systemen bereitstellen. Das spart Zeit, Kosten und Verwaltungsaufwand. Dass die Speicherung der personenbezogenen Daten durch den/die Nutzer:in selbst erfolgt, entspricht außerdem dem europäischen Rechtsrahmen: IDunion hält sowohl die Anforderung der Datenschutz-Grundverordnung (DSGVO) ein, die als gesetzliche Grundlage für den Umgang mit personenbezogenen Daten dient. Zudem ist sie konform mit der eIDAS-Verordnung, die den wichtigsten Rahmen für das Vertrauen in die elektronische Identifizierung in der EU bildet. Das wiederum kommt Unternehmen und Institutionen zugute, kann doch so die Wahrscheinlichkeit von Datenschutzverstößen oder Bußgeldern gering gehalten werden.

Die Vorteile dieser neuen Art des Identitätsnachweises scheinen zu überzeugen: Zum Start des Projekts 2020 waren knapp 20 Partner an IDunion beteiligt. Heute arbeiten fast 40 namhafte Unternehmen und Institutionen im Netzwerk zusammen. Dazu zählen der Bank-Verlag, die Bundesdruckerei, DB Systel, die Deutsche Telekom, esatus, GS1 Germany, ING-DiBa, Main Incubator, Robert Bosch, Siemens, die Stadt Köln, Spherity, die Technische Universität Berlin, das Institut für Internet-Sicherheit (Westfälische Hochschule) und YES Payment Services. Des Weiteren wird das Netzwerk von assoziierten Partnern unterstützt, unter denen sich neben der Deutschen Post, dem Bundesamt für Migration und Flüchtlinge auch die Berliner Senatsverwaltung für Wirtschaft, Energie und Betriebe und Berlin Partner befinden.

Vom „Schaufenster zu einem der „führenden und sichersten Identitätsnetzwerke Europas“

Seit letztem Jahr wird IDunion vom Bundesministerium für Wirtschaft und Energie (BMWi) im Rahmen des Innovationswettbewerbs „Schaufenster Sichere Digitale Identitäten“ gefördert. „Wir sehen zunehmend, dass amerikanische Plattformen mehr und mehr Identifikationslösungen in den Markt drücken. Ich finde es wichtig, dass es auf dem Smartphone eine vom Staat abgesicherte Möglichkeit der Identifizierung gibt, die insbesondere auch ohne kommerzielle Hintergedanken in Bezug auf Nutzerdaten funktioniert. Vorhaben des Staates haben in der Vergangenheit zu wenig Nutzerorientierung gezeigt und waren zu kompliziert“, erklärt Thomas Jarzombek, Beauftragter des BMWi für die digitale Wirtschaft und Start-ups in einer Pressemitteilung, „insbesondere müssen wir ein Angebot schaffen, dass auch von Unternehmen mit genutzt wird und einen festen Platz im Alltag der Menschen erreicht.“ IDunion wird zugetraut, ein solches Angebot zu schaffen: Das Konsortium ging als erstes von drei Schaufensterprojekten Anfang April 2021 in die Umsetzungsphase. Finanziert mit einem Fördervolumen von 15,6 Millionen Euro möchte es in den nächsten drei Jahren sein ambitioniertes Ziel erreichen: Eines der führenden und sichersten Identitätsnetzwerke in Europa aufzubauen.

Die nächsten Schritte stehen bereits fest: Noch in diesem Jahr soll die Gründung einer Europäischen Genossenschaft (Societas Cooperative Europaea S.C.E.) für IDunion vollzogen werden. Darüber hinaus möchte das Netzwerk ein umfangreiches Rahmenwerk für sichere digitale Interaktionen aufbauen und so das Vertrauen in die zugrundeliegende Technologie weiter fördern. Um die Glaubwürdigkeit zu erhöhen, setzt das Netzwerk außerdem von Anfang an auf Open-Source-Software und standardisierte Datenformate. „Wir orientieren uns an internationalen Standards des World Wide Web Consortium (W3C), der Decentralized Identity Foundation (DIF) und der Trust over IP Foundation (ToIP). Ziel ist es, somit auch eine bestmögliche Interoperabilität mit anderen SSI-Netzwerken zu gewährleisten“, heißt es auf der Website. Des Weiteren arbeiten die Partner zusammen an der Konzeption und Umsetzung von sicherheitsrelevanten Aspekten. Die innerhalb des Konsortiums entwickelten Wallets und sonstigen Software-Anwendungen sollen zudem weiter ausgebaut werden, um eine optimale Nutzererfahrung und größere Verbreitung zu gewährleisten.

Wie die SSI-Technologie flächendeckend und einfach in den Alltag zu integrieren ist, wird IDunion an konkreten Anwendungsfällen in den Modellregionen Berlin und Köln erproben. Sie sind in die folgenden Bereiche untergliedert: Bildung, E-Commerce, Mobility, E-Government, E-Health, Finanzwirtschaft, Identity & Access Management (IAM) und Industry/IoT. Neben dem Smart Check-out System zählen dazu etwa ein Digitaler Mitarbeiter:innen-Ausweis, um Passwörter im Büroalltag simpel zurücksetzen zu können. Statt beim Vergessen des Passworts den IT-Support anrufen zu müssen, sollen die Passwörter künftig selbstständig und ohne die Hilfe Dritter zurückgesetzt werden können. Die digitale Speicherung von Nachweisen, eine integrierte Ausweisfunktion und hinterlegte Berechtigungsinformationen machen es möglich. Insbesondere für große Unternehmen bietet die Lösung enormes Einsparpotenzial, zeigen doch Studien, dass Mitarbeitende im Schnitt einmal pro Jahr ein Passwort vergessen. Bei 20.000 Mitarbeitenden fallen dadurch statistisch jährlich einige tausend Arbeitsstunden an, die Mitarbeitende etwa in der Warteschleife von Support-Hotlines verbringen.

Fokus Berlin: Digitaler Studi-Ausweis

Ein spezielles Projekt wird bei einem weiteren Projektpartner von IDunion, der Technischen Universität Berlin, ausgerollt: Der Digitale Studi-Ausweis soll Berechtigungen wie Studierendenausweis, Semesterticket, Bibliotheksausweis, Mensakarte oder Zugangsdaten zur Prüfungsplattform an einem digitalen Ort vereinen. Die Nutzung von verifierten Nachweisen sollen für Sicherheit und einfache Handhabung sorgen. Da ein Nachweis auch ein verifiziertes Lichtbild bzw. das Lichtbild des Personalausweises mit beinhalten kann, können diese auch für Sichtprüfungen zum Einsatz kommen. Das ist beispielsweise in einer Klausur besonders nützlich: Die Studierenden müssen hier nachweisen, dass sie die Nachweise besitzen und an diese gebunden sind. „Praxistauglichkeit und einfache Handhabung der validen Authentifizierung sind ein wesentliches Anliegen“, erklärt Prof. Dr. Axel Küpper, Leiter des Fachgebiets Service-centric Networking (SNET) an der TU Berlin die Ziele des Projekts. Wenn das SSI-System das Leben der Studierenden an der TU Berlin erleichtert, wird es in einem zweiten Schritt auf andere Berliner Bildungseinrichtungen erweitert werden. Eine Übertragung auf andere Städte und Hochschulen in Deutschland oder sogar weltweit ist dann nur eine Frage der Zeit…

Diese Beiträge könnten Sie auch interessieren

© iStock / Galeanu Mihai
18 Aug 2021
Energiewende per Blockchain: So feilen Berliner Start-ups an der dezentralen Zukunft des Strommarkts

Kaum ein anderer Bereich bietet momentan so viele praktische Anwendungsfälle für die Blockchain wie der Energiesektor.