Die innovative Identity Lösung

Teil I der Artikelserie Self-Sovereign Identity: Die innovative Identity Lösung

von Dr. André Kudra

Digitalisierung benötigt verlässliche Standards, um nachhaltig, zukunftsweisend und auch zukunftssicher ausgestaltet werden zu können. Eine Schlüsselfunktionalität ist die der digitalen Identität. Die Möglichkeit, sich online als Mensch, Organisation, Gerät oder andere technische Instanz eindeutig auszuweisen, ist unabdingbar. Aber – wie zuvor bereits ausgeführt – mit den gegenwärtigen technischen Ansätzen nur unzureichend gelöst. Der konzeptionelle Lösungsvorschlag der esatus AG proklamiert daher eine selbstverwaltete digitale Identität – ein Konzept, das inzwischen als „Self-Sovereign Identity“ (SSI) Bekanntheit erlangt hat. Bei SSI steht der Nutzer der digitalen Identität im Mittelpunkt, denn er selbst ist im Besitz seiner persönlichen Daten und entscheidet über den Fremdzugriff. „Bring Your Own Identity“ (BYOI) bezeichnet hierbei die Idee und das Ziel, diese eigene Identität bei Bedarf in beliebigem Umfeld, sei es privat oder geschäftlich, zum Online-Shopping oder in behördlichem Kontext, nutzen zu können.

Abbildung 1: Nutzerzentriertes Identitätsmanagement mit SSI

Bestehende Konzepte wie „Public Key Infrastructure“ (PKI) werden nicht verworfen, sondern den sich abzeichnenden Herausforderungen angepasst und im Sinne einer „Decentralized PKI“ (DPKI) weiterentwickelt. An die Stelle von Key-Servern, die der Speicherung und dem Abruf von Public Keys dienen, tritt eine Blockchain. Auf zentrale Instanzen kann hier verzichtet werden, da der Nutzer, der selbst seinen privaten Schlüssel kontrolliert, seine Zertifikate eigenhändig ausstellt und die Blockchain als hochverfügbare Revocation List fungiert. Ferner können Wiederherstellungsmechanismen für verlorene Private Keys und Kerneigenschaften der Blockchain-Technologie, wie eindeutige Nachweisbarkeit und Unveränderlichkeit von Transaktionen, im Sinne der Identity-Lösung umgesetzt werden.

Aktuelle Relevanz von SSI

Die Lösung verbreiteter Problemstellungen rund um die digitale Identität wird von der Fachwelt als ein Schlüsselfaktor der Digitalisierung angesehen. Dazu hat insbesondere das Konzept der Self-Sovereign Identity mit seinen „Decentralized Identifiers“ (DIDs) als Kernbestandteil eine hohe internationale Aufmerksamkeit und ein signifikantes Momentum erlangt. Fachlicher Austausch, Meinungsbildung und Konsensfindung der globalen Identity Community erfolgen über verschiedene Gremien und Plattformen und nehmen stark zu.

Die tatsächliche praktische, technische Realisierung erfolgt über kollaborative Open Source Initiativen, wie insbesondere Hyperledger (https://www.hyperledger.org). Hyperledger wird getragen von The Linux Foundation (https://www.linuxfoundation.org) und hat zahlreiche prominente Mitglieder. Vereinigt in Hyperledger sind Unternehmensgrößen wie IBM, Intel, CISCO, SAP, accenture, American Express, Airbus, Deutsche Bank, Daimler, Fujitsu sowie Hitachi. Zielsetzung ist die Förderung der Anwendung von Blockchain-Technologien über die Grenzen von Industriesilos hinweg. Zahlreiche leitende Funktionsinhaber aus der Finanzwelt und dem Bankwesen sowie Unternehmen der Bereiche Internet of Things, Supply Chain Management, Produktion und Technologie sind Hyperledger-Befürworter.

Im Identitätskontext besonders hervorzuheben ist Hyperledger Indy, mit dem ein speziell für dezentralisiertes Identitätsmanagement vorgesehenes Distributed Ledger geschaffen wird. Indy beinhaltet Werkzeuge, Bibliotheken und wiederverwendbare Komponenten für die Erzeugung und Anwendung von unabhängigen digitalen Identitäten, die in interoperablen Blockchains oder anderen Distributed Ledgers verankert sind. Besondere Beachtung finden dabei Aspekte wie Performanz, Skalierbarkeit, Vertrauensmodelle und Privatsphäre.

Teil II der Artikelserie stellt das Sovrin Netzwerk als eine produktiv nutzbare Inkarnation von Hyperledger Indy vor und zeigt auf, welche Limitationen aktuelle IAM-Lösungskonzepte mit sich bringen.

Die Artikelserie

Unser Autor

Dr. André Kudra verfügt über mehr als 13 Jahre Beratungserfahrung im Bereich Informationssicherheit. In seiner Karriere hatte er verschiedene Schlüsselpositionen in großen Informationssicherheitsprojekten globaler Unternehmensorganisationen inne. Er studierte Betriebswirtschaft an der European Business School (EBS) in Oestrich-Winkel und Informatik an der James Madison University (JMU) in Harrisonburg, Virginia, USA. Seine wissenschaftliche Laufbahn schloss er mit einer Promotion an der EBS ab, bei der er in einem Forschungsprojekt die Resistenz gegen IT-basierte Veränderungen im öffentlichen Sektor im Bundesland Hessen (Deutschland) untersuchte. Seit 2013 ist Dr. Kudra CIO der esatus AG, einem auf Informationssicherheit spezialisierten Beratungsunternehmen mit Sitz in der Nähe von Frankfurt im Rhein-Main-Gebiet und Niederlassungen in Hamburg und München. Die esatus AG ist als Betreiber eines sogenannten „Nodes“ einer der Founding Stewards des Sovrin Netzwerkes und Mitglied bei MyData. Dr. Kudra ist ein starker Verfechter der Self-Sovereign Identity und Mitglied des Sovrin Technical Governance Boards. Er betreibt technologische Innovationen durch praktische und forschungsorientierte Projekte, die er auf Konferenzen und durch Publikationen präsentiert. Darüber hinaus leitet er die Arbeitsgruppe „Blockchain“ des TeleTrusT – Bundesverband IT-Sicherheit e.V. Parallel dazu beteiligt er sich über das DIN – Deutsches Institut für Normung e. V. aktiv an der Blockchain Identity-Standardisierung der ISO – International Organization for Standardization.

https://www.esatus.com/

CC BY-ND 4.0 DE

Sie dürfen:

Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.

Unter den folgenden Bedingungen:

Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.

Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.