Bei einer dezentralen digitalen Identität (DDI) handelt es sich um neuen einen Ansatz für die Speicherung und Verwaltung von personenbezogenen Informationen und Nutzerdaten online. Typische Beispiele für die Informationen und Daten, aus denen sich eine dezentrale digitale Identität zusammensetzt, sind Nutzernamen und Passwörter, Sozialversicherungs- und Steuernummern oder Transaktionshistorien.

So funktionieren dezentrale digitale Identitäten
Üblicherweise würde, wie es bei den meisten Organisationen ohne dezentrale Identitäten der Fall ist, ein bestimmter Satz von Informationen und Daten von der ausgebenden oder für sie verantwortlichen Stelle gespeichert und verwaltet werden. Die Person selbst erhält lediglich Zugriff auf die eigenen Informationen und Daten. Ein Beispiel für dieses Modell wären beispielsweise ein Onlinebanking-Konto oder ein Depot bei einer Fondsbank – die relevanten Daten und Informationen sind auf den Servern der Banken gespeichert und der Kunde greift auf diese Daten per Anmeldung über ein Onlineportal zu, das von der Bank oder Fondsbank für diesen spezifischen Zweck zur Verfügung gestellt wird. In diesem Modell ist die Organisation, die die Daten herausgibt, also gleichzeitig die prüfende beziehungsweise verifizierende Stelle.

Beim DDI-Ansatz würde die Speicherung und Verwaltung der Daten nicht auf den Servern der Banken stattfinden, sondern verschlüsselt auf dem beziehungsweise den Endgerät(en) der Nutzer in sogenannten Wallets, digitalen Brieftaschen. Die Banken erfassen die Informationen und Daten lediglich zu Beginn und stellen den Nutzern darauf basierend ein Set an verifizierbaren Nachweisen (Verifiable Credentials, VCs) aus, die jedoch dann nicht mehr bei der Bank selbst gespeichert werden. Gemeinsam mit vielen weiteren VCs anderer VC-ausstellender Organisationen entsteht so die digitale Identität der Endnutzer in ihren Wallets, deren Bestandteile – die einzelnen VCs – sich immer wieder für Prüfungs- und Verifizierungsverfahren verwenden lassen.

Die Prüfung beziehungsweise Verifizierung erfolgt in diesem Modell nicht zwischen der VC-ausstellenden und der VC-prüfenden Organisation, sondern zwischen Endnutzer und VC-prüfender Organisation, die punktuell die benötigten Informationen von den Endnutzer anfragen – beispielsweise ein Autoverleih, der wissen möchte, ob ein hinreichend gedecktes Bankkonto vorhanden ist. Notwendig für das Funktionieren des Modells ist selbstverständlich, dass sowohl die ausstellenden als auch die prüfenden Organisationen den Endnutzern die dafür notwendige technische Infrastruktur und die entsprechenden Schnittstellen zur Verfügung stellen, um sicherzustellen, dass der gesamte Prozess sicher, effizient und nutzerfreundlich funktioniert.

Aktuell sind DDI-Modelle noch auf wenige, spezialisierte Anwendungsfälle beschränkt. Eine der wichtigsten ist wohl die US-amerikanische Initiative, mit der Mobile Driver’s License einen sicheren, digitalen Führerschein zu schaffen, der sich in Echtzeit und datenschutzkonform abfragen lässt und übergreifend mit den unterschiedlichen Systemen und Standards in den einzelnen US-Bundesstaaten kompatibel ist. Eine ähnliche Initiative in Europa ist die Europäische Digitale Identität (EU Digital Identity Wallet), mit der sich EU-Bürger EU-weit für öffentliche oder private Dienstleistungen ausweisen oder bestimmte persönliche Informationen nachweisen können.

Sowohl Nutzer als auch Organisationen profitieren
Die meisten Organisationen stehen dem Gedanken, die unmittelbare Kontrolle über ihre wertvollen Nutzerdaten aufzugeben, vermutlich eher skeptisch bis ablehnend gegenüber, aber tatsächlich bietet der DDI-Ansatz eine ganze Reihe an Vorteilen – sowohl für Nutzer als auch für Organisationen. Zudem hält er Lösungen für verschiedene Herausforderungen und Probleme vor, mit denen sich Organisationen momentan bei der Speicherung und Verwaltung von Nutzerdaten konfrontiert sehen.

Für Nutzer sind die Vorteile bereits auf den ersten Blick ersichtlich: Sie erhalten die volle Kontrolle über ihre Informationen und Daten zurück und können diese verwenden, ohne dafür auf die Infrastruktur der ursprünglich ausstellenden Organisation angewiesen zu sein. Dies beugt sowohl der zunehmenden Verwendung und dem Weiterverkauf von Nutzerdaten zu Werbezwecken vor und sorgt gleichzeitig dafür, dass eine den Nutzer nicht wohlgesonnene Organisation ihnen nicht den Zugang zu ihrer digitalen Identität verweigern kann. Dieser Ansatz bietet dementsprechend ein noch nicht dagewesenes Niveau an Datenschutz und Privatsphäre und ermöglicht es, Daten ausschließlich dann und in dem Maß zu teilen, das Nutzer für notwendig erachten.

Für Organisationen selbst bietet ein DDI-Ansatz nach einer anfänglichen Phase der Investition und Implementierung erhebliches Potenzial zur Reduzierung von Kosten- und Personalaufwänden: Serverkapazitäten werden frei und sorgen damit für Energieeinsparungen, Fachkräfte lassen sich dank ausgelagerter und verschlankter Verwaltungs-, Prüfungs- und Verifizierungsprozesse in anderen Bereichen einsetzen und die Einhaltung von rechtlichen wie auch Compliance-Vorgaben wird erleichtert, da weniger personenbezogene Daten und Nutzerinformationen verarbeitet werden müssen.

Der letzte dieser Punkte ist zudem auch sicherheitsrelevant, denn für Cyberkriminelle werden Organisationen, bei denen es keine Mengen an potenziell wertvollen und weiterverwendbaren Daten mehr zu erbeuten gibt, zunehmend uninteressant als Angriffsziel. Szenarien, in denen aufgrund einer einzelnen Sicherheitslücke direkt Tausende oder Millionen von Nutzerkonten potenziell kompromittiert sind und für die im Zweifelsfall eine einzelne Organisation die rechtlichen und wirtschaftlichen Folgen tragen muss, gehören so der Vergangenheit an.

Auch bei dezentralen digitalen Identitäten gilt: Sicherheit geht vor
Die Absicherung der Endnutzerdaten ist dementsprechend ein wichtiger Aspekt, der bei der Gestaltung und Implementierung von DDI-Modellen unbedingt Beachtung finden sollte. Grundsätzlich sollte eine möglichst nahtlose Ende-zu-Ende-Verschlüsselung der Daten stattfinden. Damit lässt sich bereits ein potenzieller Risikofaktor – der Datentransfer während Prüfungs- und Verifizierungsprozessen – effektiv reduzieren.

Um die Sicherheit der Daten auf den Endnutzergeräten selbst zu gewährleisten, werden Technologien wie Künstliche Intelligenz und Machine Learning eine wesentliche Rolle spielen, in Verbindung mit modernen, passwortlosen Sicherheitsmethoden wie biometrischen Token oder Multifaktor-Authentifizierung. Da jedoch ein einmal entsperrtes Endgerät auch von Unbefugten genutzt werden kann, die dann potenziell Zugang zu der hinterlegten digitalen Identität erhalten, wird es in Zukunft umso wichtiger werden, zusätzliche KI- und ML-gestützte Sicherheitsebenen einzubauen, die beispielsweise das Nutzerverhalten analysieren, um zu erkennen, wenn das Endgerät von Unbefugten verwendet wird, die sich anders verhalten als die tatsächlichen Nutzer.

Solche im Hintergrund laufenden Sicherheitskonzepte sind nicht nur effizient in der Prävention von unbefugtem Zugriff, sondern auch für die Nutzer keine zusätzliche Hürde. Als Referenzpunkt sollten Organisationen dafür insbesondere die FIDO2-Standards zur Webauthentifizierung beachten. Dabei handelt es sich um ein Set an Standards zur Steigerung von Interoperabilität und Sicherheit bei der Nutzung verschiedener Authentifizierungsmethoden. Entwickelt wurden sie von der nichtkommerziellen FIDO-Allianz, einem Zusammenschluss verschiedener multinationaler Unternehmen. Die Standards werden bereits von Apple, Google und Microsoft unterstützt und in ihre Produkte integriert. Die FIDO2-Standards bilden eine ideale Basis, auf der sich für die Endnutzer möglichst sichere und gleichzeitig möglichst unkomplizierte Authentifizierungs- und Identitätsprozesse schaffen lassen.

Außerdem nötig: Ein Umdenken und Überzeugungsarbeit
Die größten Herausforderungen, die es bei der breiten Adoption von DDI-Modellen noch zu überwinden gilt, sind nicht sicherheitstechnischer, sondern organisatorischer und psychologischer Natur. Dieses Konzept erfordert einerseits, dass Organisationen ihre identitätsbezogenen Prozesse und viele der Prozesse, die darauf aufbauen, beispielsweise die Art und Weise wie sie Produkte und Dienstleistungen anbieten, neu aufsetzen. Gleichzeitig ist auch ein Umdenken dahingehend nötig, welchen Wert personenbezogene Daten und die Verarbeitung dieser für das eigene Geschäftsmodell haben und wie es in Zukunft mit weniger davon funktionieren kann.

Nicht zuletzt wird es auch bei den Endnutzern ein gewisses Maß an Skepsis zu überwinden geben, das jede größere technische Neuerung mit sich bringt. Dabei gilt: Je größer der Einfluss auf den Alltag, desto größer die Bedenken – und im Falle von DDI wird der Einfluss auf den Alltag signifikant sein. Die einfachste Methode, um diese Bedenken nach und nach abzubauen, ist sicherzustellen, dass DDI sicher und fehlerfrei funktioniert, tatsächlichen Mehrwert bietet und für Endnutzer mit geringstmöglicher zusätzlicher Komplexität einhergeht. Das bedeutet, dass DDI-Implementierungen sorgfältig, nahtlos und mit ständigem Blick auf die Nutzererfahrung durchgeführt werden müssen. Der Sinn dieser Modelle ist, den digitalen Fußabdruck Einzelner zu minimieren – und bei jedem DDI-Projekt sollte dies auch weiterhin der Leitgedanke sein, an dem sich Design und Implementierung ausrichten.

Fazit
Dezentrale Ansätze zur Speicherung und Verwaltung von digitalen Identitäten, bei der die Endnutzer ihre personenbezogenen Informationen und Nutzerdaten auf ihren Endgeräten vorhalten, statt auf den Servern von Organisationen, bieten für alle Beteiligten Vorteile. Die Nutzer erhalten ein höheres Maß an Kontrolle über ihre Daten, während Organisationen von Kosteneinsparungen und verschlankten Prozessen profitieren – und weniger attraktiv für Cyberangriffe werden. Notwendig für den Erfolg dieser Ansätze sind eine möglichst nahtlose Ende-zu-Ende-Verschlüsselung, weitere passwortlose Sicherheitsebenen wie Multifaktor-Authentifizierung – idealerweise gestützt durch KI und Machine Learning – sowie Überzeugungsarbeit, um auf allen Seiten die noch vorhandene Skepsis gegenüber diesem neuen Modell der digitalen Identität abzubauen.

Detlev Riecke, Regional Vice President Central Europe bei Ping Identity