Der steinige Weg zu sicheren und Nutzer-souveränen Online-Identitäten

Beginnen wir mit einer einfachen Frage: Welche Organisation hat heute die notwendigen Informationen, um zu entscheiden, dass die Online-Identität, die sich gerade für die Nutzung eines Dienstes anmeldet, tatsächlich Sie sind? Oder genauer: Wem vertrauen Sie heute im Internet so weit, dass Sie diesem erlauben, ihre Identität gegenüber Dritten zu bestätigen?

Gehören Sie zu dem elitären, aber sehr kleinen Zirkel der Nutzer der Online-Funktionalität des neuen Personalausweises? Sehen Sie damit den Staat als vertrauenswürdigen Hüter Ihrer digitalen Identität? Doch wo können Sie diesen in Ihrer täglichen Praxis tatsächlich nutzen. Oder haben Sie eine De-Mail-Adresse, die Ihnen ein Postfach und eine sicheren E-Mail-Versanddienst gewährleistet und für die Sie Ihre Identität nachgewiesen haben? Nach einer aktuellen Studie nutzen acht Prozent aller Online-Anwender derzeit überhaupt nur De-Mail, während 35 Prozent diesen Dienst nicht einmal kennen und weitere 45 Prozent ihn für nicht relevant erachtet. In der gleichen Studie wird dokumentiert, dass derzeit nur vier Prozent aller aktiven Anwender den neuen Personalausweis (nPA) samt vollständiger Online-Ausweisfunktion – so wie es eigentlich gedacht war – nutzen.

Oder ist es doch vielmehr Ihr Account bei Google, Apple, Microsoft, Amazon, PayPal oder Facebook, der als Ihr gewohntes social login oder auch nur als notwendiges Übel zum Online-Shopping am ehesten ihre digitale Identität darstellt? Ist es auf Dauer wünschenswert, seine Identitätsdaten einem klar kommerziell orientierten Unternehmen anzuvertrauen? Oder gehören Sie eh zu der kleinen, jedoch sehr aktiven Splittergruppe, deren Mitglieder keinerlei solche Accounts benutzen und stattdessen genau dies aber sehr lautstark in den vielfältigen, endlosen Online-Foren verkünden (für die man aber üblicherweise auch einen Account benötigt)?

Doch egal zu welcher dieser oben genannten Gruppen Sie sich zurechnen, eines ist offensichtlich: Das Konzept einer sicheren Online-Identität hat sich bislang in Deutschland und auch darüber hinaus nicht nennenswert durchgesetzt.

Vertrauenswürdige Online-Identitäten

Dabei liegen die Vorzüge und in wachsendem Maße auch die Notwendigkeiten für eine solche Identität auf der Hand:  Sie bildet die Grundlage für eine vertrauenswürdige und belastbare Kommunikation zwischen Individuen und Organisationen. Um dies zu gewährleisten, sollte eine starke, sichere Online-Identität in der Kombination aus einer grundlegenden, eindeutigen Identifikation, einer robusten, sicheren Authentifizierung und einem vertrauenswürdigen Speicher für Identitäts-Daten bestehen. So kann gewährleistet werden, dass eine dauerhafte und stabile Zuordnung einer (oder mehrerer) digitaler Identitäten zu einer physikalischen Identität oder einer Organisation erzielt wird.

Der Dateneigentümer im Zentrum

Im direkten Zusammenhang zu diesem Konzept einer solchen, weitestgehend organisatorisch wie technologisch abgesicherten Identität steht das Konzept der Datensouveränität (data sovereignty): Dieses besagt in seiner grundlegenden Form, dass Individuum und Organisationen die letztendlichen Eigentümer ihrer jeweiligen Identitäts-Informationen sind und damit die vollständige Kontrolle über diese Daten und ihre Nutzung ausüben können müssen.

Die Bereitstellung dieser Informationen gegenüber einem beliebigen Dritten kann nur dann und nur auf der Basis eines eindeutigen und zweckgebundenen Einverständnisses (consent) erfolgen. Benutzer müssen steuern können, wer Zugriff auf ihre Identitätsdaten haben darf, welche persönlichen Daten Dritten genau zugänglich gemacht werden, und wann diese Privilegien zu gewähren oder zu widerrufen sind.

Vertrauen ist gut

In der Praxis wird die Rolle des souveränen Identitäts-Eigentümers (Data Owner) immer auch komplementär ergänzt um die Rolle der jeweiligen speichernden oder verarbeitenden Organisation, die als Data Processor dieser Daten diese entsprechend der souveränen Entscheidungen der Identität behandelt.

Geht es um die Gewährleistung der notwendigen Rechte in praktisch jeder Anwendungssituation, die heute online für einen Inhaber einer Identität entsteht, gibt es keine weiter reichende Grundlage für eine angemessene Behandlung dieser Informationen durch die verarbeitende Instanz, die über Vertrauen und Zusicherungen hinausgeht. Jeder Mitarbeiter, Kunde, Patient oder Nutzer eines sozialen Netzwerkes muss heute schlussendlich darauf vertrauen, dass die Verarbeitung in dem jeweiligen System seinen Anforderungen und Vorgaben bezüglich der rechtlich angemessenen und geforderten Verarbeitung seiner Identitätsdaten entsprechend erfolgen.

Kontrolle und Sanktionen

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO), oft auch im Original als EU General Data Protection Regulation (GDPR) referenziert, stellt in naher Zukunft Anforderungen an die Verarbeitung dieser Daten und damit nicht zuletzt auch an die Rolle der jeweiligen Hüter von Identitäts-Informationen, die weit über das bislang bekannte Maß hinausgehen.  Wie die Einhaltung der Vorgaben in Zukunft in der EU und in den einzelnen Mitgliedstaaten überwacht und mögliche Nicht-Konformität sanktioniert wird, ist heute noch nicht abschließend abzusehen.

In den heutigen technischen und organisatorischen Szenarien ist offensichtlich, dass der mal mehr, mal minder vertrauenswürdige Dritte, also jede speichernde Stelle vom Arbeitgeber bis hin zum sozialen Netzwerk das jeweils erreichte Niveau für die Sicherheit und Konformität selbst definiert (und dann aber auch hierfür rechenschaftspflichtig ist). Der unlängst bekannt gewordene Fall des massenhaften Identitäts-Diebstahls bei Yahoo, aber auch die regelmäßigen Sicherheitsvorfälle in Krankenhäusern zeigen exemplarisch, dass dieses Vertrauen in schöner Regelmäßigkeit auch durchaus nicht gerechtfertigt sein wird.

Vermeidung durch Technologie

Damit stellt sich die Frage, inwiefern man die Rolle des vertrauenswürdigen Dritten in ihrer Wichtigkeit verringern oder gänzlich eliminieren kann. In anderen Bereichen, insbesondere im Finanzwesen, beschäftigt man sich schon heute aktiv damit, eine beglaubigende Instanz (insbesondere Banken oder Notare als Gatekeeper) überflüssig zu machen.

Die Blockchain-Technologie, oder allgemeiner Distributed (Public) Ledger Technologien (DPL), zielen genau hierauf ab. Die Kernfunktionen von Blockchains – Dezentralisierung und Konsens auf Basis von vertrauenswürdigen Algorithmen – könnten somit die Basis einer höheren Sicherheit und Nachvollziehbarkeit darstellen. Dies können sie erreichen, indem sie unabhängig überprüfbare Nachweise für eine Handhabung auch von Identitäts-Daten entsprechend der jeweiligen Vorgaben technologisch ermöglichen. Darüber hinaus ist es möglich, zusätzlich gewünschtes Verhalten in Form von ergänzendem Code (smart contracts) hinzuzufügen.

Eine Vielzahl von Projekten, Initiativen und Produkten beschäftigt sich heute aus den oben genannten Gründen mit der Nutzung der Distributed Ledger Technologien zum Nachweis sicherer Identitäten. Eine weitreichende, nennenswerte Nutzung hat sich hierbei bislang noch nicht ergeben, wenn auch die entsprechenden technologischen Ansätze vielversprechend sind. Standardisierung, offene Protokolle und eine zügige Umsetzung in Referenzprojekten sind nun gefordert, um die technologischer Reife und die notwendige Benutzerfreundlichkeit nachweisen zu können. Die Anforderungen aus der europäischen Datenschutzgrundverordnung können und werden hierbei ein wichtiger Katalysator sein.

Der Schritt weg vom zweifelhaften Vertrauen zu einem eben doch nicht notwendigerweise vertrauenswürdigen Dritten ist hierbei nur zwangsläufig. Der Weg hin zu einer Technologie, deren Verankerung in algorithmischen Verfahren die automatisierbare Umsetzung von verteilten und maschinell nachvollziehbarem Vertrauen darstellt, vermeidet Versagen auf prozessualer Ebene und nicht zuletzt die Durchführung aufwendiger, kostspieliger und fehlerbehafteter Audits. Ein mathematischer Beweis für die Integrität und die Vertraulichkeit der sensiblen Daten einer starken Online-Identität kann hierfür eine wichtige Grundlage bieten.

Ausblick

Die Blockchain und die ihr zugrundeliegenden Technologien sind trotz des damit verbundenen Hypes beileibe kein Allheilmittel für jegliche technologische Herausforderung. Die immensen Anforderungen aber, die in sehr naher Zukunft durch aktuelle oder zukünftig anstehende Rahmenbedingungen für ein sichere Zahlungsdienste (PSD2, Payment Services Directive II der Europäischen Kommission) oder die Datenschutz-Grundverordnung an datenverarbeitende Unternehmen herangetragen werden, bedürfen einer angemessenen technologischen Lösung, die zwangsläufig weit über heute etablierte Verfahren hinausgehen müssen.

Die im Raum stehenden Sanktionen (bis zu 20 Millionen Euro oder vier Prozent des gesamten Konzernumsatzes, je nachdem, welcher Betrag größer ist), die bei einer nicht angemessenen Beachtung und Erfüllung der Anforderungen fällig werden, können sicher einen zusätzlichen Anreiz darstellen, hier sowohl organisatorisch wie technologisch aktiv zu werden. Es stellt sich hier insbesondere die Frage, wer die derzeitige technologische Herausforderung als Chance begreift, hier interoperable und vertrauenswürdige Infrastrukturen zu schaffen.

Gerade die Finanzindustrie könnte hier gestaltend aktiv werden, sind sie doch auf vielen Ebenen mit den vielbeschworenen disruptiven Herausforderungen konfrontiert. Doch nicht zuletzt werden sowohl Benutzerfreundlichkeit, Vertrauenswürdigkeit, das Maß an individueller Kontrolle und die einfache Integration in den privaten und geschäftlichen Online-Alltag für den Anwender eine entscheidende Rolle bei der Identifikation tragfähiger Lösungen spielen.