Self-Sovereign Identity (SSI) ist die erste Technologie, die Nutzerinnen die alleinige Kontrolle über ihre Identität im Netz verschafft und dabei die gleiche Bequemlichkeit bietet wie Social-Logins. Auch Unternehmen bringt die Technologie Vorteile.
Zurzeit identifizieren wir uns online auf zwei Arten:
Normalerweise melden wir uns bei einem Online-Dienst – einer Website oder App – mit einer E-Mail-Adresse oder einem Benutzernamen und einem Passwort an, und teilt mit dem Dienst, den man nutzen möchte, ein paar seiner Identitätsdaten. Bei jedem Wechsel zu einem anderen Dienst muss dieses Prozedere mit einem neuen Passwort wiederholt werden. Dies hinterlässt Fragmente unserer Daten bei jedem Dienst, und zwingt uns, ein neues Passwort zu erstellen und behalten, was umständlich ist – aber aus Sicherheitsgründen unerlässlich.
Bequemer ist da die zweite Möglichkeit für Erstanmeldungen, die sogenannten Social Logins, wie zum Beispiel eine Facebook-ID, wo der gleiche Nutzername und Passwort auch für andere Dienste verwendet werden können. Mit dieser einen „föderierten Identität“ ist die Erstanmeldung ganz einfach über „Login mit …“
Der Nachteil dieser Bequemlichkeit ist, dass die eigenen persönlichen Daten – und die von Millionen anderer Nutzer:innen – von einer einzigen Firma kontrolliert werden. Hierbei entstehen sogenannte Honeypots of Data, die in der Vergangenheit immer wieder Ziel erfolgreicher Hackerangriffe geworden sind. Es gibt viele Beispiele für den Diebstahl sensibler Informationen, darunter Adressdaten, medizinische Daten, Kreditkartendaten und vieles mehr. Abgesehen davon, dass dies im Sinne des Datenschutzes nicht ideal ist, würden sich die meisten Menschen wahrscheinlich nicht wohl dabei fühlen, ein Social Login zu verwenden, um auf einen sensiblen Dienst wie ihr Bankkonto zuzugreifen.
Doch es gibt noch eine dritte Option: Self-Sovereign Identity (SSI) – manchmal auch Decentralized oder Portable Identity genannt. In einem digitalen Wallet auf dem Smartphone sind alle Referenzen hinterlegt, die Nutzer:innen benötigen, um sich im Netz selbst auszuweisen. Es bietet die gleiche Bequemlichkeit wie ein Social Login, aber Nutzer:innen haben die Kontrolle über die Daten.
„Keine Firma besitzt diese Technologie“, betont Mehran Shakeri, Leiter des Entwicklungsteams des SAP Innovation Center Network. „Das ist der erste, offene Standard für digitale Identität im Netz, wobei die Kontrolle über die eigenen Daten ausschließlich beim Individuum liegt.“
Anwendungsfreundliche Identifikationstechnologie auch für Unternehmen
Unternehmen und Organisationen können auch die SSI-Technologie verwenden. Denn auch sie haben eine Identität, die in der Regel im Handelsregister eingetragen und dadurch etabliert ist. Wenn sich beispielsweise ein Lieferant in einem Business-Netzwerk anmeldet, gibt er eine Reihe von Daten weiter, etwa die Steuernummer, die IBAN und die Adresse der Firma.
Momentan werden diese Daten nicht automatisch verifiziert. Einträge in internen Systemen müssen aufwändig über Drittanbieter verifiziert werden. Sie können inkonsistent und veraltet sein. Die Daten werden oft von einem System ins Nächste übertragen, ohne dass automatisch eine Verifizierung stattfindet.
Dieses große Problem wird gelöst, wenn das Unternehmen über eine Self-Sovereign Identity verfügt. Das digitale Wallet des Unternehmens dient dann als eine geprüfte Single Source of Truth, was die Datenverifizierung durch Dritte überflüssig macht.
Diese Möglichkeit eines „Golden Record“ für Stammdaten geht über die Unternehmensgrenzen hinaus. „Im SAP Innovation Center haben wir laufende Projekte mit dem deutschen IT-Dienstleister DATEV, mit der niederländischen Regierung und vielen anderen Kunden, um Anwendungsfälle mit SSI zu validieren“, sagt Alexander Schäfer, Leiter des SAP Innovation Center Kalifornien. „Wir sehen enormes Potenzial, wenn wir in unsere SAP-Software standardmäßig SSI integrieren.“
Zahlreiche derzeit übliche und teilweise sehr aufwändige Identifikationsverfahren würden damit überflüssig werden. Wer schon einmal ein Konto bei einer Onlinebank eröffnet hat, weiß, wie viele Schritte derzeit nötig sind, um die eigene Identität zu belegen. Mit SSI scannt man lediglich einen QR-Code mit dem Smartphone und wird über die im Wallet niedergelegten, verifizierten Referenzen identifiziert. Dieses Wallet kann auf einem Smartphone oder Laptop, beispielsweise als Browser Plug-in, hinterlegt werden. Das Wallet ist durch gängige Authentifizierungsmechanismen wie FaceID oder TouchID geschützt, die sich als sehr sicher erwiesen haben.
Vertrauenswürdige Instanzen können Referenzen vergeben
Voraussetzung für SSI ist, dass in der Wallet Referenzen hinterlegt sind, die von vertrauenswürdigen Dritten ausgestellt werden – wie ein Führerschein, MBA-Zeugnis oder eine Steuernummer. Ein leeres Wallet ist nutzlos. Vertrauenswürdige Instanzen, die über die entsprechenden Daten verfügen, können Referenzen für das digitale Wallet ausstellen, weswegen es so wichtig ist, dass diese Instanzen SSI adoptieren.
Unter den vielen Unternehmen, die diese Referenzen ausstellen können, war der deutsche IT-Dienstleister DATEV einer der ersten, der das Konzept übernommen hat. „Gemeinsam mit DATEV haben wir gezeigt, wie Self-Sovereign Identity nahtlose Geschäftsprozesse über Ökosysteme hinweg ermöglicht. Transaktionen aller Beteiligten werden digital notariell beglaubigt und an ihre kryptografisch verifizierbaren Referenzen gebunden“, sagt Alexander Schäfer. Mit einer dezentralen Identität werden die Stammdaten von Organisationen vertrauenswürdig, was sicherstellt, dass Unternehmen mit verifizierten und vertrauenswürdigen Partnern im Ökosystem kommunizieren.
Bevor wir jedoch alle diese Referenzen ausgestellt bekommen, ist es sehr wichtig, dass die SSI-Technologie breit adoptiert wird. Mehran Shakeri ist jedoch zuversichtlich, dass die Massenakzeptanz kommt. „Es gibt kaum eine Branche, die nicht davon profitieren würde“, sagt er.
SSI als Antrieb für Transparenz im Bereich des nachhaltigen Wirtschaftens
Um Apps in die Lage zu versetzten, SSI für die Kommunikation zwischen Unternehmen zu nutzen, entwickelte der SAP Innovation Center Network eine Lösung namens Decentralized Identity Management: Ein Multi-Tenant Service, der auf der SAP Business Technology Platform (SAP BTP) läuft. Dieser Service erlaubt es den Kunden, verifizierbare Referenzen herauszugeben und zu verwalten sowie ihrerseits Referenzen zu verifizieren. Dies ist die Grundlage für ein dezentrales Business-Netzwerk, in dem mehrere Parteien zusammenarbeiten und Daten austauschen.
Mehran Shakeris Team arbeitet gerade an einem Anwendungsfall zum Austausch von ESG- (Environmental, Social, Governance) Zertifikaten. „Diese Zertifikate belegen, dass ein Lieferant nachhaltig arbeitet, keine Kinderarbeit nutzt, seine Zulieferer nicht ausbeutet, und mehr.“
Aktuell kann es zeitaufwendig sein, Transparenz in der Lieferkette herzustellen, gerade was die nachhaltige Wirtschaftsweise einzelner Lieferanten angeht. Mit der SSI-Technologie wird es möglich sein, Lieferanten auf ihre Nachhaltigkeit zu prüfen, ehe man sich entscheidet, mit ihnen zusammenzuarbeiten. Dazu muss lediglich deren ESG-Zertifizierung über das digitale Wallet abgerufen werden.
SSI könnte es sogar ermöglichen, die Herkunft einzelner Bestandteile eines Produkts über die Lieferkette hinweg zu verfolgen – theoretisch bis hin zu Rohstoffen. Auch wenn noch vieles bevorsteht, um die Vision von SSI in vollem Umfang zu verwirklichen, können Kunden bereits heute von der Technologie profitieren, und zwar in einem der vielen Anwendungsfälle, die von dieser Technologie erheblich beeinflusst werden dürften. Unter anderem beim Onboarding von Lieferanten, der Stammdatenverwaltung und bei der Zusammenarbeit in der Lieferkette in den Bereichen Nachhaltigkeit und Menschenrechte.
Expertenfragen an Mehran Shakeri, Leiter des Entwicklungsteams des SAP Innovation Center Network zur sicheren Identifizierung im Netz mit Self-Sovereign Identity (SSI):
Wird SSI jemals in der Breite adoptiert werden?
Die Aussichten sind im Moment sehr gut, da viele große Unternehmen SSI und ihr Potenzial aktiv unterstützen. Auch auf Regierungsseite gibt es Projekte, darunter eIDAS (electronic IDentification, Authentication, and trust Services) in Europa, das darauf abzielt, Bürger der Europäischen Union mit einer digitalen ID auf Grundlage von SSI auszustatten. Eines der Kooperationsprojekte von SAP mit der niederländischen Regierung untersucht die Auswirkungen von SSI auf den öffentlichen Bereich. Die Einführung einer europäischen digitalen ID wäre ein enormer Adoptionstreiber.
Ist SSI eine Blockchain-basierte Technologie?
SSI ist grundsätzlich nicht mit der Blockchain-Technologie verbunden. Blockchain wird jedoch oft mit SSI in Verbindung gebracht, weil sie eine dezentrale und sichere Möglichkeit bietet, einige der wichtigsten Prinzipien von SSI umzusetzen. Mit Blockchain können dezentrale Identitätssysteme geschaffen werden, bei denen Einzelpersonen die Kontrolle über ihre Identitätsinformationen haben und diese selektiv mit anderen teilen können, ohne dass eine zentrale Behörde erforderlich ist.
Im Zusammenhang mit SSI kann Blockchain zur Aufzeichnung und Überprüfung von identitätsbezogenen Transaktionen eingesetzt werden, um Transparenz, Sicherheit und Unveränderlichkeit zu gewährleisten. Einige SSI-Implementierungen nutzen die Blockchain- oder Distributed-Ledger-Technologie, um identitätsbezogene Daten zu verankern. Aber SSI selbst ist ein breiteres Konzept, und nicht alle SSI-Systeme basieren auf Blockchain.
Ist die Interoperabilität bei SSI automatisch gegeben?
Tatsächlich muss es ein einheitliches Format für Identitätsdaten geben, auf das sich alle Industrien und Regierungen einigen. Im Moment ist das noch nicht der Fall, denn SSI befindet sich noch in der Prototypphase. Da aber große Interesse daran besteht, ist es realistisch, dass es zu dieser Einigung kommen wird.
