Was wäre, wenn wir für jeden Onlinedienst, berufliche Anwendungen oder sogar im behördlichen Kontext nur einen einzigen Account bräuchten, der zudem noch ohne zentrale kontrollierende Instanz auskommt und gleichzeitig sehr sicher ist?

Jeder kennt das Szenario: Alleine für die Verwaltung von Accounts bei Facebook, Amazon, Google und vieler weiterer Onlinedienste werden eine E-Mail-Adresse und – so ist zumindest zu hoffen – ein separates Passwort benötigt. Auf diese Weise werden digitale Identitäten zur Massenware und die preisgegebenen Daten immer schwerer überschau- und handhabbar. Im beruflichen Alltag zeichnet sich ein ähnliches Bild ab. Es gilt eine kaum überschaubare Zahl an Anwendungen und Dateiablagen mit den richtigen Zugriffsrechten zu versehen und diese bei Bedarf auch zügig und sicher wieder zu entziehen. Beim Behördengang werden dann nochmals andere digitale IDs und Zugriffsberechtigungen benötigt.

Der Herausforderung, diesen regelrechten „Identity Spam“ unter Kontrolle zu bekommen, haben sich unter dem Schlagwort Identity Federation bereits diverse Anbieter angenommen. Mit Diensten wie Identity as a Service (IDaaS) wird für den Anwender ein Single-Sign-On (SSO) möglich, das die Einzelverwaltung von Accounts obsolet werden lässt. Er benötigt lediglich noch eine digitale Identität, an die seine Zugriffsrechte gekoppelt werden. Die SSO-Funktionalität setzt jedoch die Integration des IDaaS mit allen relevanten Systemen voraus. Kompatibilität, Sicherheit und Verfügbarkeit sind als kritische Erfolgsfaktoren für den operativen Betrieb zu nennen. Auch wenn diese erfüllt sind, so muss der Anwender die Hoheit über seine Daten in diesem Szenario grundsätzlich abgeben. Ein Vertrauen in den IDaaS-Anbieter, der zugleich Single Point of Failure ist, muss zwingend vom Anwender aufgebracht werden.

Ein Ansatz, der IDaaS konsequent weiterführt und bei allen Beteiligten ein Umdenken erfordert, ist Bring Your Own Identity (BYOI): Eine digitale Identität, die unter der vollständigen Kontrolle des Anwenders steht. Ohne eine zentrale kontrollierende Instanz. Mit den inhärenten Möglichkeiten, einzelne verknüpfte Informationen gezielt preiszugeben und diesen Zugriff selbstbestimmt auch wieder zu entziehen. Bring Your Own Identity ist sowohl im privaten, beruflichen wie auch im behördlichen Kontext einsetzbar.

Wie lässt sich Bring Your Own Identity realisieren?

Mit der Blockchain Technologie. Es lassen sich digitale Identitäten – IDs – mit Profilen erstellen, die in entsprechenden Attributen Informationen des Eigentümers vorhalten. Diese Informationen können von Dritten, z. B. einer autorisierten Stelle, bestätigt bzw. attestiert werden. Neben der Zuordnung von IDs zu Personen ist es auch möglich, Unternehmen, Webseiten oder Anwendungen IDs zuzuweisen. Durch entsprechende Bestätigungen und Verknüpfungen der IDs untereinander können Zugriffsberechtigungen vergeben werden. So könnte eine Anwendungs-ID einer personenbezogenen ID attestieren, dass sie diese als legitimen Nutzer betrachtet und darüber sowohl authentifizieren, als auch autorisieren. Es gibt für die Realisierung von BYOI verschiedene Lösungsansätze, wie beispielsweise Blockstack (https://blockstack.org), uPort (https://www.uport.me) oder Sovrin (https://sovrin.org). Eine flächendeckende Adaption würde maßgebliche Vorteile für Anwender und integrierende Organisationen erschließen: Sind die Hürden in punkto Kompatibilität mit den Bestandssystemen erst einmal genommen, sind kryptografische Sicherheit, hohe Verfügbarkeit aufgrund dezentraler Architektur und sogar souveräne Datenhoheit für den Anwender der Lohn.

Aktuell besteht großes Interesse, doch der unmittelbare Erfolg ist noch gehemmt

Neben der unsicheren Rechtslage in Sachen Blockchain-Technologie und den Aspekten, die die EU-Datenschutzgrundverordnung (EU-DSGVO) mit sich bringt, liegt es in der Natur der klassischen Blockchain (wie z. B. bei Bitcoin), dass prinzipiell jeder am Netzwerk teilnehmen und mitlesen kann. Dieser öffentliche Charakter ist für zahlreiche Anwendungen weniger sinnvoll und die unkontrollierbare Abhängigkeit vom gesamten Netzwerk stellt die Zukunftssicherheit auf längere Sicht in Frage. Zudem sind die derzeit verwendeten Konsensmechanismen, insbesondere Proof-of-Work, sehr energieintensiv. Im professionellen Kontext, also bei Unternehmen und Behörden, erscheint daher eine sog. Public Permissioned Blockchain eher geeignet. In dieser Blockchain – bzw. hier besser: Distributed Ledger – können alle Teilnehmer lesen, aber nur bekannte und genehmigte können schreiben, d. h. Transaktionen validieren. In einer solchen Consortium Chain bleiben Transparenz und Dezentralität nach wie vor erhalten, gleichzeitig entsteht aber eine gewisse Kontrollierbarkeit, die Nachhaltigkeit verspricht.

Fazit

Die digitale Identität via BYOI birgt für alle Beteiligten ein großes Potenzial. Offene Fragen sind lösbar. Eine grundlegende Bereitschaft, sich auf die neue Technologie einzulassen, ist jedoch zwingend erforderlich. Ein ggf. erheblicher Implementierungsaufwand in die bestehende Systemlandschaft darf nicht vernachlässigt werden – dies gilt allerdings für jede Art des IDaaS. Fatal wäre ein Verlust des privaten Schlüssels auf Seiten des Anwenders, der dem Verlust der digitalen Identität gleichkommt – sofern kein Wiederherstellungsmechanismus implementiert ist. Darüber hinaus lässt sich eine Blockchain, die systemimmanent keine zentrale Instanz hat, schwieriger regulieren, da das gesamte Netzwerk Änderungen adaptieren muss – hier bieten Consortium Chains einen Ausweg. Vieles spricht für Bring Your Own Identity mit der Blockchain – wer wagt den ersten Schritt?