1 Einführung
2 Grundbegriffe im Umgang mit digitalen Identitäten
2.1 Definition und Aufbau
2.2 Registrierung und Identifikation
2.3 Authentifizierung
2.4 Vertrauensniveaus
-
Identifikationssicherheit beschreibt, wie hoch das Vertrauen in die Übereinstimmung der behaupteten mit der tatsächlichen legalen Identität ist. Eine niedrige Identifikationssicherheit besteht bei Selbstauskünften, während die aufwändige Verifikation aller relevanten Attribute durch standardisierte Identifikationsverfahren zu einer hohen Sicherheit führt.
-
Authentifikationssicherheit bezeichnet die Wahrscheinlichkeit, dass eine Person die Verfügungsgewalt über die von ihr genutzten Credentials hat und diese gültig sind. Es wird geprüft, ob eine behauptete Identität von der zugeordneten Person eingesetzt wird. Hier kann mit Kombination verschiedener Authentifikationsfaktoren eine höhere Vertrauenswürdigkeit erreicht werden.
3 Grundmodelle des Identitätsmanagements
3.1 Isolierte und föderierte Identitäten
3.2 Selbstbestimmte Identitäten
-
Decentralized Identifier (DID) identifizieren eine Entität und verweisen u. a. auf einen öffentlichen Schlüssel zur Durchführung kryptografischer Vorgänge,
-
Verifiable Credentials (VC) dienen als signierte Datenstrukturen zur strukturierten Beschreibung von Aussagen über ein Subjekt („Claims“),
-
Wallets sind benutzerverwaltete Speicher für Schlüssel, Verbindungen, VCs und andere sensible Daten,
-
Agents sind Softwarekomponenten zum Aufbau von Beziehungen sowie dem Austausch von Daten mit anderen Akteuren unter Nutzung von Wallets sowie
-
vertrauenswürdige Register sind gemeinsam genutzte Speicher für öffentliche DIDs, Schemata sowie Widerrufe.
4 Einsatz digitaler Identitäten zur Schaffung von Vertrauen
4.1 Digitaler Nachweisaustausch
-
Integrität: Nachweise dürfen nicht verfälscht bzw. manipuliert worden sein
-
Gültigkeit: Nachweise dürfen nicht widerrufen oder abgelaufen sein
-
Authentizität: der Herausgeber des Nachweises muss korrekt sein
-
Verbindlichkeit: der Nachweis ist auf den Inhaber ausgestellt bzw. darf von ihm eingesetzt werden
4.2 Rechtsrahmen und Governance als Basis für Vertrauensentscheidungen
-
Ein Kontrollorgan erarbeitet und veröffentlicht ein Rahmenwerk mit Regeln zur Handhabung von Nachweisen eines bestimmten Typs. Diese Regeln beschreiben mindestens die Ausstellung und Verifizierung der Nachweise und legen einen primären Anwendungszweck für Nachweise des zu regelnden Typs fest, auf den sich das Rahmenwerk bezieht (Davie et al. 2019).
-
Als Subjekt wird diejenige Entität bezeichnet, auf welche sich die Inhalte eines Nachweises beziehen. Dies kann ein Gegenstand, eine natürliche oder juristische Person sein.
-
Der Inhaber verwahrt Nachweise nach der Ausstellung in seinem persönlichen Verfügungsbereich und kann diese zur Überprüfung vorweisen (Smith et al. 2020). Mittels Transfers kann ein Nachweis einem Dritten übertragen werden, welcher damit zum neuen Inhaber wird.
-
Ein durch die Governance berechtigter Herausgeber prüft die Eigenschaften des Subjekts und belegt diese durch die Ausstellung eines Nachweises (Mühle et al. 2018).
-
Eine Akzeptanzstelle verlangt zum Aufbau von Vertrauen und zur Gewährung bestimmter Rechte von Inhabern Nachweise bestimmter Herausgeber (Liu et al. 2020b).
-
Ein Modifikator ist in der Lage, die Inhalte und den Status eines Nachweises zu verändern, d. h. ihn zu entziehen oder zu entwerten.
4.3 Entstehung digitaler Ökosysteme durch interoperable Nachweise
5 Perspektiven für Forschung und Entwicklung
5.1 Aktuelle Initiativen und Projekte
-
Das POTENTIAL-Konsortium5 arbeitet am Einsatz der EUDIW für regulierte Anwendungen, u. a. Bankkonto eröffnen, SIM-Karte registrieren sowie Führerschein und e‑Rezept nutzen.
-
Das EU Digital Identity Wallet Konsortium6 fokussiert sich auf den internationalen Reiseverkehr, Hotelbuchung sowie dem Kauf und Bezahlung von Waren und Dienstleistungen.
-
Das von Banken besetzte NOBID-Konsortium7 entwickelt grenzüberschreitend einsetzbare wallet-basierten Zahlungsmitteln und deren Akzeptanz im Einzelhandel.
-
Das Digital Credentials for Europe-Konsortium8 erarbeitet Anwendungsfälle in den Bereichen Bildung und Sozialversicherung in mehreren europäischen Ländern auf Basis der EUDIW.
-
Das World Wide Web Consortium hat die Spezifikationen für „Decentralized Identifier“ und dem „Verifiable Credential Data Model“ bis zur höchsten Stufe (Recommendation) vorangetrieben.
-
Die Decentralized Identity Foundation arbeitet u. a. an der Standardisierung von Protokollen für den Nachrichtenaustausch auf Basis einer einheitlichen Methodik namens „DIDcomm“.
-
Ziel der Open Wallet Foundation ist die Entwicklung einer einheitlichen Open Source Engine für sichere Wallets, die zur Interoperabilität der darauf basierenden Wallet-Lösungen sowie zur Senkung der Entwicklungskosten beitragen soll. Vorbilder sind Browser Engines wie Webkit.
-
Die OpenID-Foundation entwickelt ein Protokoll zur Erzeugung und Überprüfung von Verifiable Credentials (OpenID4VC) sowie der Nutzung von Wallets als (Self-Issued) Identity Provider.
5.2 Herausforderungen für die Wirtschaftsinformatik
-
Service System Transformation: Dienstleistungen in Wirtschaft und Verwaltung müssen angepasst werden, um von den Vorteilen digitaler Nachweise zu profitieren. Für diese Transformation sind Methoden und Werkzeugen erforderlich. Grundlage für deren Entwicklung können Beispiele für SSI-basierte Anwendungsszenarien sein (Feulner et al. 2022; Richter und Anke 2021). Auch die Bewertung von Auswirkungen dieser Veränderungen im Hinblick auf Ziele der Betroffenen ist bislang kaum systematisch untersucht (Jürgenssen et al. 2022).
-
Business Process Management: Die Koordination der Leistungserbringung durch mehrere Akteure wird mit Hilfe von Geschäftsprozessen beschrieben, die sich ebenfalls durch den Einsatz digitaler Nachweise verändern. Hier wären u. a. Aspekte geeigneter Werkzeuge und Modellierungssprachen sowie die Rolle von Vertrauen und Unsicherheit in Prozessen zu betrachten (Müller et al. 2020).
-
Usability: Der Umgang mit digitalen Identitäten in einer Wallet ist für die meisten Menschen noch sehr ungewohnt. Daher müssen solche Systeme mit einer hohen Gebrauchstauglichkeit gestaltet werden, die bislang noch nicht ausreichend gegeben ist (Sartor et al. 2022). Zudem sind Sicherheitskonzepte erforderlich, die vor unbedachtem Übermitteln von Daten an Dritte ohne klar erkennbare Notwendigkeit und Zweck warnen. Mechanismen der Usable Security bzw. Usable Privacy können dabei unterstützen, derartige Risiken besser zu erkennen.
-
Technologieakzeptanz: Die von digitalen Identitäten gewünschten Effekte treten nur dann ein, wenn die damit verbundene Technik auch eingesetzt wird. Dafür sind Fragen des Mehrwerts, einfachen Nutzbarkeit und Nutzungsabsicht relevant, die in Technologieakzeptanzmodellen systematisiert werden (Guggenberger et al. 2022).
-
Privacy: Aus Sicht der Nutzenden ist die Offenlegung ihrer Identität und die damit verbundene Bereitstellung von Daten oft nicht gewünscht. Die Sammlung und Auswertung von personenbezogenen Daten von großen Unternehmen für die eigene Wertschöpfung, z. B. im zielgerichteten Marketing wird von vielen Menschen skeptisch gesehen (Beduschi 2021).
-
Service Ecosystems: Sowohl an der Entwicklung als auch an der Leistungserbringung von Dienstleistungen im Zusammenhang mit digitalen Identitäten sind zahlreiche Akteure beteiligt. Service Ecosystems erlauben die Analyse solcher Strukturen und die Gestaltung einer geeigneten Governance (Laatikainen et al. 2021a).
-
Digitale Ethik: Beim Entwurf von Identitätssystemen sind nicht nur menschzentrierte Prinzipien zur formulieren, sondern auch die Technik zu verwenden, die deren Erfüllung bestmöglich erreichen lässt (Ishmaev 2020). Dies umfasst z. B. die Berücksichtigung von technischen Fähigkeiten und Möglichkeiten aller Nutzenden. Damit wird eine wichtige Voraussetzung für die Akzeptanz solcher Systeme geschaffen. Grundlage dafür ist eine entsprechende Orientierung an geeigneten Werten, die wiederum Ausdruck einer bestimmten Weltanschauung sind (Whitley und Schoemaker 2022).
-
Dezentrales Vertrauen: Eine Herausforderung im Umgang mit dezentralen Identitäten ist die Schaffung von technischem Vertrauen und dessen Verbindung mit geeigneter Governance. Es gilt zu klären, mit welchen technischen Mitteln Akzeptanzstellen die Vertrauenswürdigkeit von Herausgebern prüfen können. Dafür wurden bereits Blockchains (Liu et al. 2020a), Trustlists oder der Domain Name Service (Jeyakumar et al. 2022) vorgeschlagen.
-
Geschäftsmodelle: Dienste und Komponenten für den Umgang mit digitalen Identitäten umfassen Identity Provider, Wallet-Anbieter, Betreiber von Registern sowie Dienste für das Ausstellen von elektronischen Signaturen und Siegeln sowie für die Bestätigung von Attributen. Diese müssen für Anwendungen in Wirtschaft und Verwaltung attraktiv sein und gleichermaßen sicher bereitgestellt werden. Dafür sind nachhaltige Betriebskonzepte und Geschäftsmodelle erforderlich (Kubach und Sellung 2021).