Ansätze zum Management von (digitalen) Identitäten – Das kleine 1×1 der sicheren digitalen Identitäten

Die monatlich erscheinende Blogserie „das kleine 1×1 der sicheren digitalen Identitäten“ präsentiert Themenschwerpunkte rund um die Erzeugung, Verwaltung und den Einsatz digitaler Identitäten. In diesem Monat beleuchten wir die Rollen der unterschiedlichen Akteure im SDI-Ökosystem und untersuchen aktuelle Ansätze zur Erzeugung, Verwaltung und dem Einsatz digitaler Identitäten.

  1. Beim Management von Identitäten werden (wenigstens) folgende Rollen unterschieden:
    • Der Aussteller oder auch Herausgeber (Issuer) ist für das korrekte und vertrauenswürdige Erstellen von Nachweisen für Identitäten bzw. das Bestätigen der Korrektheit von behaupteten Identitätsattributen (Merkmalen) zuständig. In der realen Welt sind das z. B. Ausweiskarten (s. Punkt 2 und 3). Digital lassen sich diese in Form kryptografisch gesicherter, digitaler Nachweise repräsentieren. Issuer können natürliche Personen aber auch juristische Personen (z.B. Unternehmen) sein. 
    • Der Inhaber (Holder) empfängt diese Nachweise und verwaltet sie in einer physischen Tasche bzw. Geldbörse oder digital in einer Wallet. Der Holder hat die alleinige Verfügungsgewalt über diese Nachweise. 
    • Das Subjekt ist die Entität, auf die sich das Identitätsmerkmal bezieht. Das kann ein Objekt unter der Kontrolle des Inhabers sein oder eine Person, für die der Inhaber verantwortlich oder bevollmächtigt ist (z.B. Eltern für ihre Kinder). In vielen Fällen ist das Subjekt jedoch mit dem Inhaber identisch. 
    • Die Akzeptanzstelle (Verifier) ist eine Anwendung, ein Onlineservice oder eine Stelle in der physischen Welt, der vom Inhaber Nachweise über bestimmte ID-Merkmale anfordert, um seine Identität oder Berechtigungen zu prüfen. Der Inhaber kann selbst entscheiden, welche Nachweise er präsentiert. Während in der realen Welt die Akzeptanzstelle durch Erfahrung und Fachwissen die Echtheit eines präsentierten Nachweises prüfen muss, erfolgt dies bei Verwendung kryptografisch gesicherter, digitaler Nachweise durch kryptographische Prüfverfahren.  
  2. Akteure sind natürliche oder juristische Personen, die je nach konkreter Situation eine oder mehrere der in Punkt 56 genannten Rollen innehaben.   
  3. Es gibt verschiedene Ansätze zur Erzeugung, Verwaltung und dem Einsatz digitaler Identitäten:
    • Isolierte Identitäten
    • Föderierte Identitäten
    • Elektronischer Personalausweis und andere staatliche Identitäten (als Spezialfall)
    • Self-Sovereign Identity
  4. Das Modell der isolierten Identitäten wird häufig bei Webseiten und Onlineshops eingesetzt. Jeder Service verwaltet seine Benutzer selbst und führt Authentifizierungen selbst durch. Der Service ist damit Herausgeber und Akzeptanzstelle zugleich.
  5. Föderierte Identitäten sind zum Beispiel bei eIDAS 1.0 Teil II zwischenstaatlich definiert oder werden bei dem Deutschen Forschungsnetz umgesetzt. Ein weiteres Beispiel ist die Möglichkeit sich beispielweise mit seinem Facebook-Log-In bei verschieden Diensten anzumelden. Föderierte Identitäten ermöglichen es Nutzern durch zentralisierte Identity Provider dieselbe digitale Identität bei verschiedenen Services zu verwenden. Der Identity Provider fungiert dabei sowohl als Herausgeber und Inhaber der Identitäten eines Nutzers. Er verifiziert die Identität, wenn sich der Nutzer bei einem angeschlossenen Service anmelden will. 
  6. Beim elektronischen Personalausweis (nPA) mit elektronischer ID (eID) werden keine Identitätsdaten zentral verwaltet. Stattdessen wird eine dedizierte Infrastruktur (eID-Server) verwendet, mit der die eID-Daten vom Personalausweis zur Akzeptanzstelle übermittelt werden. Der Inhaber benötigt dazu sein elektronisches Ausweisdokument mit aktivierter eID-Funktion sowie mindestens die AusweisApp2. Service Provider müssen zur Nutzung der eID zunächst eine Berechtigung beantragen und müssen dafür einen Dienst konzipieren, der vollständig DSGVO- und eIDAS-konform ist. Anschließend können sie nur die Daten auslesen, für die eine Genehmigung vorliegt.
  7. Die Self-Sovereign-Identity (SSI), also die „selbstbestimmte Identität“, basiert auf der dezentralen Organisation von Identitätsdaten, d.h. der Unabhängigkeit eines Nutzers von einem zentralen Identity Provider. Dabei bekommt der Nutzer als Inhaber Identitätsmerkmale und Berechtigungen in Form von kryptografisch gesicherten digitalen Nachweisen („Verifiable Credentials“) durch einen Herausgeber ausgestellt und kann diese mittels einer digitalen Brieftasche („Wallet“) selbständig verwalten. Um sich gegenüber Akzeptanzstellen auszuweisen, genügt die Vorlage der geforderten Verifiable Credentials in Form von so genannten „Verifiable Presentations“ (VPs), die ohne direkten Kontakt zum Herausgeber überprüfbar sind. Mittels geeigneter Protokolle ist die flexible Übermittlung solcher Verifiable Credentials und Presentations realisierbar. Ein Verifiable Credential könnte z.B. bestätigen, dass ein Nutzer Mitarbeiter eines bestimmten Unternehmens ist, das auch Herausgeber des Credentials ist.
  8. Der Unterschied von SSI zu isolierten und föderierten Identitäten ist die vollständige Kontrolle und Verwaltung der Identitätsdaten durch den Inhaber. Vom Inhaber werden nur selbst ausgewählte Attribute an die Akzeptanzstelle weitergegeben. Die Möglichkeiten zur Korrelation von Identitätsdaten zwischen unterschiedlichen Diensten und Service Providern werden vermindert. Gleichzeitig sinkt die Attraktivität für Angriffe auf die Datenbestände von Akzeptanzstellen, da sie weniger lukrativ für Identitätsdiebstahl sind. 
  9. Auch durch SSI kann technisch nicht verhindert werden, dass Akzeptanzstellen eigene Datenbestände anlegen oder diese Informationen an Dritte weiterreichen. 

Im kommenden Monat beleuchten wir die unterschiedlichen Komponenten eines SSI-Identitätsmanagementsystems.