Digitale Prozesse und Dienstleistungen

Mit der fortschreitenden Digitalisierung und der damit einhergehenden Zunahme digitaler Prozesse und Dienstleistungen in unserem privaten und beruflichen Alltag, wächst das Bedürfnis nach Sicherheit und Vertrauen im Umgang mit unseren persönlichen Daten. So bedingt die Digitalisierung immer mehr Logins und Verifizierungsvorgänge, im Rahmen derer sich die Nutzer authentifizieren müssen, wie etwa bei der Nutzung von Online-Banking, sozialen Netzwerken oder Email-Accounts. Folglich stellen die daraus resultierenden Daten-Silostrukturen große Probleme – sowohl für private als auch staatliche Akteure – dar.

Nachweis der eigenen Identität in der digitalen Welt

In der realen Welt weisen wir unsere Identität durch die Vorlage amtlicher Dokumente, wie beispielsweise den Personalausweis, nach. Um solche Dokumente vor Fälschungen und Veränderungen zu schützen, kommen unterschiedliche Sicherheitstechniken zur Anwendung. So dienen u.a. Gesichtsbild, Fingerabdruck oder bestimmte persönliche Daten zur Identifikation einer Person.

Ebenso wie in der realen Welt bedarf es auch in der digitalen sowohl bei einfachen Logins als auch bei komplexen Online-Diensten des Nachweises unserer Identität. Durch den Einsatz spezieller Software kann bei manchen Online-Angeboten die Online-Ausweisfunktion des Personalausweises genutzt werden, um Daten verschlüsselt zu übermitteln. Darüber hinaus haben sich für den Zugriff auf Apps auch biometrische Verfahren wie z.B. der Fingerabdruck oder die FaceID etabliert. Sie ermöglichen dank ihrer physischen Merkmale einen schnelleren und sicheren Zugriff, da sie schwer fälschbar sind. Solche Optionen sind jedoch längst nicht bei jedem Online-Angebot möglich.

Im Rahmen der Nutzung der unterschiedlichsten Online-Angebote hinterlässt jeder Nutzer eine Reihe digitaler Spuren in Form von Daten und besitzt damit mindestens eine, häufig jedoch mehrere verschiedene digitale Identitäten, welche unterschiedlichen Sicherheitsanforderungen entsprechen. Um die Anzahl fragmentierter digitaler Identitäten zu reduzieren und den Nutzern die Authentifizierungsvorgänge zu erleichtern, sind große Technologiekonzerne wie Google, Apple, Amazon oder Facebook dazu übergegangen universell einsetzbare digitale Identitäten für ihre Nutzer zu entwickeln. Sie dominieren damit den Markt für digitale Identitätsservices und verwerten die bei ihnen hinterlegten Daten zum Unmut der Regulierungsbehörden häufig für kommerzielle Zwecke.

Schutz und Verwaltung von digitalen Identitäten

Immer striktere Datenschutzregulierungen haben zu einem Umdenken in der Gesellschaft geführt. Der Schutz und die Verwaltung von digitalen Identitäten haben signifikant an Stellenwert gewonnen. Die Menschen möchten selbst die Kontrolle und Transparenz darüber haben, wer ihre Daten, wann und in welchem Umfang nutzen darf und die Macht über die eigenen Daten nicht mehr den großen Plattformanbietern überlassen. Das spiegelt sich auch in regulatorischen Anforderungen wider, ob durch die eIDAS-Verordnung für Vertrauensdienste, die DSGVO, PSD2 oder die ePrivacy-Verordnung.

Digitale Identitäten

Eine digitale Identität ergibt sich aus der Zusammensetzung einzelner Merkmale, die ein Nutzer über sich preisgibt oder in irgendeiner Form digitalisiert. Diese Merkmale können sehr facettenreich sein, und neben Interessen, Kaufhistorien oder Aktivitätskennzahlen in bestimmten sozialen Netzwerken auch solche Informationen beinhalten, die nicht direkt einer Person zuzuordnen sind. Die Verwaltung und Hoheit über diese Identitätsmerkmale sind dem Nutzer jedoch häufig nicht ausreichend ermöglicht und siloartig in verschiedenen Datenbanken gespeichert.

Neben einer physischen Person, wie zum Beispiel einem Mitarbeiter oder einem Kunden, können digitale Identitäten auch „Dinge“ wie z.B. Applikationen oder Maschinen repräsentieren. Unabhängig davon, ob es sich um Personen oder Maschinen handelt, müssen diese eindeutig verifizierbar sein, um Dienstleistungen und digitale Service nutzen zu können. Daten, die zu einer digitalen Identität gehören, sind z.B. Nutzername(n), Anschrift(en), Email-Adresse(n), Kontonummer(n) u.ä.. Durch die fragmentierte Speicherung solcher Daten ergibt sich das Problem siloartiger und nicht interoperabler Insellösungen verschiedener Anbieter, was einerseits zu Ineffizienzen im Umgang mit sensiblen Daten und andererseits zu bedenklichen Zuständen hinsichtlich der Verfügung und Speicherung personenbezogener Daten führt.

Die Implementierung digitaler Identitäten stellt Wirtschaft, Politik und Gesellschaft vor große Herausforderungen, da sie dem Nutzer ein Höchstmaß an Sicherheit und Benutzerfreundlichkeit bieten und die mit ihr einhergehenden Daten DSGVO konform halten und verwalten muss und zur Etablierung vertrauensvoller Interaktion beitragen soll.

Internet of Things (IoT)

Unter dem Internet of Things wird die zunehmende Vernetzung zwischen „intelligenten“ Gegenständen sowohl untereinander als auch nach außen verstanden. Ermöglicht wird dies durch die Ausstattung von beispielsweise Anlagen, Geräten oder Maschinen mit Prozessoren und integrierten Sensoren anhand derer sie sodann in der Lage sind via IP-Netz miteinander zu kommunizieren. Die verbundenen „Dinge“ müssen dabei eindeutig identifizierbar sein. Grundsätzlich bleibt der Mensch für die Steuerung der intelligenten Gegenstände zuständig, der Einfluss auf die Objekte ist jedoch limitiert. Infolge ihrer Internetfähigkeit sind die Geräte in der Lage, selbstständig zu agieren, sich an unterschiedliche Gegebenheiten anzupassen und auf bestimmte Szenarien zu reagieren. Geräte werden nicht mehr von Benutzern gesteuert. Sie kommunizieren im Sinne einer Machine-to-Machine-Kommunikation auch direkt miteinander. Sie sind dadurch in der Lage Aufgaben und Prozesse vollständig automatisiert umzusetzen.

In Bezug auf digitale Identitäten stellen sich somit besondere Herausforderungen. Denn selbst wenn Sachen nach aktuellem Rechtsverständnis über keine juristische Identität verfügen, so müssen sich die Eigentümer die Handlungen ihrer Sachen zurechnen lassen. Nicht nur die Identität des Besitzers, sondern auch die Identität der auslösenden Sache muss zweifelsfrei elektronisch nachweisbar sein, um Ende-zu-Ende-Prozesse abzusichern.

Chancen der Self-Sovereign Identities (SSI) und Blockchain-Technologie

Bei dem „Self-Sovereign Identity“-Konzept handelt es sich um eine selbstverwaltete digitale Identität. Das Besondere an dem Konzept ist, dass der Nutzer selbst im Besitz seiner persönlichen Daten ist und über einen etwaigen Fremdzugriff auf seine Daten entscheiden kann. Der Nutzer kann seine Identität in Form der eigenen SSI somit bei Bedarf im beliebigen Umfeld privat oder geschäftlich nutzen und Dritten individuell die Nutzung und Einsicht seiner Daten ermöglichen.

Eine vielversprechende technische Grundlage für SSI bildet die Blockchain-Technologie. Ihr wird eine hohe Relevanz bei der Entwicklung von robusten Identitätslösungen zugeschrieben. Denn in der Theorie können durch ihre Anwendung die Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) für Persönlichkeits- und Selbstbestimmungsrechte eines jeden Nutzers sowie Unternehmen gewährleistet werden.

Im Hinblick auf die praxisgerechte Umsetzung robuster Identitätslösungen, die eine sichere und effiziente wirtschaftliche und soziale Interaktion bieten, mangelt es noch an tiefergehender wissenschaftlicher Forschung. Durch unsere Forschung möchten wir dabei helfen, diese Lücke zu schließen, der Gesellschaft fundierte wissenschaftliche Erkenntnisse und Ergebnisse bereitstellen und den Menschen damit Teilhabe an neuen technologischen Entwicklungen ermöglichen.