Suchen

Decentralized Identifiers (DiDs)

Blockchain kann den Identitäts­diebstahl beenden

| Autor/ Redakteur: Sven Kniest / Peter Schmitz

Niemand hat mehr die Kontrolle über seine persönliche Identität. Geburtsdaten und Wohnadressen sind über eine einfache Google-Suche auffindbar. Eine Reise ins Dark Web zeigt, dass dort bereits eine Vielzahl von Informationen verfügbar ist, die viele für wertvoll halten. Mit Blockchain-basierten Decentralized Identifiers (DiDs) erhalten Anwender die Kontrolle über ihre Daten zurück.

Firmen zum Thema

Mit Blockchain-basierten Decentralized Identifiers (DiDs) können Anwender die komplette Kontrolle über ihre Daten und Identitäten zurückerlangen.
Mit Blockchain-basierten Decentralized Identifiers (DiDs) können Anwender die komplette Kontrolle über ihre Daten und Identitäten zurückerlangen.
(Bild: gemeinfrei / Pixabay)

Den meisten Verbrauchern war in der Vergangenheit Komfort wichtiger als Datenschutz. Sie lesen selten das Kleingedruckte oder prüfen eine Technologie umfassend, bevor sie Informationen online austauschen. Anwender möchten nicht für jedes ihrer Online-Konten ein anderes Passwort oder bei jedem Online-Einkauf die gesamten Kreditkarteninformationen neu eingeben. Stattdessen übertragen sie das Daten-Eigentum auf Dritte, seien es Unternehmen oder öffentliche Stellen. Diese Daten machen die Identität der jeweiligen Person aus. Verbraucher denken jedoch kaum darüber nach, wenn sie die Information eingeben. Jede Organisation und jede Behörde werden damit in das Identitätsmanagement-Geschäft einbezogen – egal, ob sie dies realisieren oder nicht.

Dank der Blockchain-Technologie könnte der Datenschutz wieder an Bedeutung gewinnen. Die Blockchain ist in der Lage, Informationen zu kontrollieren und Duplizierungen zu vermeiden. Damit erhalten Personen die Hoheit über ihre Daten zurück und können diese kontrollieren – egal, wo sie gespeichert sind. Die Illinois Blockchain Initiative ist ein Beispiel. Sie hat ein Pilotprojekt ins Leben gerufen, um Geburtsurkunden als Teil einer Blockchain zu speichern. Ziel ist es, digitale Identitäten zu schaffen, die der Anwender selbst kontrolliert. Sie lassen sich schnell und sicher überprüfen, ohne dass ein zentrales Repository erforderlich ist.

Eine selbst gesteuerte Identität ist nicht nur eine nette Idee. Sie macht auch Schluss mit einer Reihe von Problemen, die sich auf die Privatsphäre der Verbraucher auswirken. Dazu gehört beispielsweise auch Identitätsdiebstahl. Im vergangenen Jahr wurden allein in den Vereinigten Staaten 16,7 Millionen Menschen Opfer von Identifizierungsbetrug – seit 2016 ein Anstieg um 1,3 Millionen. Aber diese Zahlen zeigen nur die Hälfte der Geschichte. Denn oft haben die Personen selbst überhaupt keine Ahnung, dass ihre digitale Identität gefährdet ist. Zumindest nicht bis zu dem Zeitpunkt, an dem sie beispielsweise versuchen, ein Haus zu kaufen oder einen Kredit aufzunehmen. Dann gerät ihr finanzielles Leben aus den Fugen.

Ein Blockchain-Ledger erschwert Cyber-Kriminellen, sich Identitäten anzueignen und so einen verheerenden Schaden anzurichten, ohne eine offensichtliche digitale Signatur zu hinterlassen. Der Grund dafür: Jeder Block der Blockchain baut auf seinem Vorgänger auf. Die kryptographische Natur dieser Blöcke macht es extrem schwierig, die in den bestehenden Blöcken gespeicherten Informationen zu ändern. Der resultierende Datensatz ist unveränderlich, das heißt Änderungen an jedem einzelnen einer Person zugeordneten Identifikator werden protokolliert. Dieses System verhindert böswillige Handlungen der Daten-Verwalter und erschwert es letztlich, Identitäten zu stehlen.

Individuen übernehmen wieder die Verantwortung

Das unveränderliche Protokoll eines Blockchain Ledgers gewährleistet die Kontrolle über die mit einer Identität verknüpften Informationen. Sie stellt auch die Genauigkeit der Daten im Laufe der Zeit sicher. Da es kein allgemein anerkanntes digitales Äquivalent der Offline-Identität gibt – wie einen Reisepass oder einen Führerschein – erhält der Nutzer für jede einzelne Anwendung einen eindeutigen Satz von Identifikatoren. Das Ergebnis ist ein ausgedehntes Netz privater Informationen, das Anwender nur schwer im Auge behalten können. Unternehmen sind aufgrund inkonsistenter und verzögert eingesetzter Security-Maßnahmen ebenfalls nicht in der Lage, diese Daten ausreichend zu schützen.

Mit Blockchain-basierten Decentralized Identifiers (DiDs) erhalten Anwender die komplette Kontrolle über ihre Daten zurück. Im Grunde genommen sind DiDs geheime URLs (Uniform Resource Locator), die in einem Blockchain Ledger gespeichert sind. Jeder DiD ist einem unterschiedlichen Teil der Benutzer-Identität zugeordnet – zum Beispiel dem Namen, Geburtsdatum oder der Sozialversicherungsnummer. Eine digitale Wallet-App auf dem Smartphone oder Desktop ermöglicht Usern, Dritten einen zeitlich begrenzten Zugriff auf die DiDs ihrer Wahl zu gewähren. Wenn sie sich beispielsweise heute für eine neue App anmelden, müssen Sie in der Regel Namen, E-Mail-Adresse und andere Informationen angeben. Mit DiDs ist der Prozess schneller und sicherer: Die App zeigt einen QR-Code an, dieser wird eingescannt und die digitale Wallet-App übermittelt automatisch die benötigten DiDs über die Blockchain. Danach kann der Nutzer auf die App zugreifen.

Darüber hinaus gibt es Teile der Identität, die sich verändern. Dazu gehören beispielsweise Telefonnummern, Berufsbezeichnungen und Privatadressen. Sie erschweren die Privatsphäre des Einzelnen zusätzlich, da ein einzelner Identifikator zu verschiedenen Zeiten mit mehr als einer Person in Verbindung gebracht werden kann. Durch die Änderung des Namens nach einer Hochzeit müssen zum Beispiel eine Reihe offizieller Dokumente aktualisiert werden, darunter Reisepass, Führerschein, Social Media-Konten, Bankkonten, Krankenkasse. Dies alles zu ändern, kann Monate dauern. Mit DiDs lässt sich der gesamte Prozess beschleunigen. Sobald die entsprechende DiD aktualisiert ist, haben die darauf zugreifenden Dienste automatisch die aktualisierten Informationen. Damit wird Fehlinformationen vorgebeugt, der gesamte Prozess läuft automatisiert und zügig ab.

Jede innovative Technologie benötigt genügend Zeit, um akzeptiert und breit genutzt zu werden. TCP/IP, das Konzept sowie die Kommunikationsprotokolle hinter dem Internet, gab es bereits seit 30 Jahren, bevor die Technologie die Retail- und Transport-Branchen komplett veränderte. Die Idee souveräner Identitäten, die als Teil der Blockchain gespeichert werden, ist sicherlich sehr vielversprechend. Allerdings steckt die Technologie noch in den Kinderschuhen. Welchen Anreiz haben Unternehmen, um die Kontrolle über die Identitätsdaten ihrer Kunden aufzugeben? Über die Blockchain vom Nutzer selbst verwaltete Identitäten sind nicht im besten Interesse von Organisationen – sie wollen die Informationen nutzen, um darauf aufbauend neue Produkte und Services zu entwickeln. Es muss daher einen unabhängigen Anbieter geben, der einen Blockchain-Ledger für die Identität aufbaut.

Bevor sich dies jedoch in die Realität umsetzen lässt, gibt es andere technische Herausforderungen zu lösen. Erstens: Ist es wirklich möglich, dass sich die Daten nicht verändern lassen? Theoretisch ist die Blockchain unveränderlich und würde die Rolle einer kritischen Infrastruktur übernehmen. Diese Idee erfordert allerdings noch intensive Tests, bevor sie unter realen Konditionen umgesetzt werden kann. Ein weiterer Punkt, den Anwender, Unternehmen und Behörden klären müssen: Wie lassen sich die physischen und digitalen Identitäten sicher und präzise verknüpfen? Da die Blockchain rein in der digitalen Welt existiert, lässt sich die physische Identität des Nutzers nicht überprüfen und somit gewährleisten. Unternehmen tragen somit die Last, beides zu überprüfen, zu verknüpfen und zu steuern.

Diese Herausforderungen zeigen, dass eine starke Datenschutz-Infrastruktur dringend notwendig ist. Ein wichtiger Bestandteil davon ist die Regulierung. Da es noch keinen rechtlichen Präzedenzfall gibt, müssten die an einem Blockchain-basierten Identitäts-Ökosystem beteiligten Organisationen das Risiko, die Unsicherheit und eine unbegrenzte Haftung übernehmen. Diese Voraussetzung könnte das Engagement aller Beteiligten deutlich verringern. Notwendig ist eine vertrauenswürdige Instanz, die einige rechtliche Regeln etabliert und deren Durchsetzung kontrolliert. Dazu sollten beispielsweise Regularien rund um die Funktionsweise, Infrastruktur, um die physische und digitale Welt zu verknüpfen, sowie Security-Maßnahmen gehören, damit Verbraucher einen grundlegenden Schutz genießen. Werden diese Dinge beachtet und realisiert, ist Datenschutz der Standard – und kein Relikt aus der Vergangenheit.

Über den Autor: Sven Kniest ist Regional Vice President und Country Manager DACH bei Okta.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46266417)