© Alexander/AdobeStock

Self Sovereign Identity (SSI)

Das neue Gesicht des Identitätsmanagements

12/2020 – Wie kann jede Person, jedes Unternehmen und jede Maschine die Kontrolle über seine Daten im Internet behalten? Wie lässt sich das Netz sicherer und komfortabler nutzen? Die DB Systel hat dazu das Blockchain-basierte Konzept der Self Sovereign Identity erfolgreich einem ersten Test unterzogen.

Die Internet-Technologie hat unser persönliches Leben bereichert. Und es hat Unternehmen geholfen, Arbeitsabläufe und Geschäftsvorgänge effektiver zu gestalten. Aber: Im Durchschnitt verfügt jeder Deutsche inzwischen über 78 Online-Accounts. Das bedeutet nicht nur ständig Ärger mit vergessenen Passwörtern. Viele Internetnutzer haben zudem die Kontrolle über die persönlichen Daten verloren. Und für Unternehmen ist es schwierig und aufwendig, verschlüsselte Identitäten für Mitarbeiter und Kunden bereitzustellen. Zudem ist das Vertrauen in die Datensicherheit allgemein gering.

Doch wie wäre es, wenn es eine sichere Alternative zur bisher üblichen Nutzungsform des Internets gäbe? Ein zuverlässiges Verfahren, mit dem Personen und Unternehmen unkompliziert und sicher kommunizieren, konsumieren und sogar sensible Daten austauschen können? Ein System, das keine Dienste von Internetriesen wie Google oder Facebook braucht, das Onlinekriminelle chancenlos lässt und ohne Passwort auskommt?

Klingt utopisch – ist es aber nicht. Die DB Systel hat intern ein wegweisendes technisches Experiment abgeschlossen: 160 Mitarbeiter der DB Systel nutzten zwei Monate lang auf freiwilliger Basis die auf Blockchain basierende Technologie der „Self Sovereign Identity“ (SSI), der selbstbestimmten digitalen Identität. Sie ermöglicht dem Internetnutzer die Kontrolle über die Erhebung und den Gebrauch personenbezogener Daten im Netz.

© DB Systel GmbH

Die SSI stellt die nächste Evolutionsstufe des Identity Managements dar.

Claudia Plattner, CIO, DB Systel GmbH

Spielfeld des Pilotprojekts war der Login zur Projektsteuerungssoftware JIRA. „SSI stellt die nächste Evolutionsstufe des Identity Managements dar“, sagt Claudia Plattner, CIO bei DB Systel. Der alltägliche Login erfolgte über das Scannen eines QR-Codes mittels eines mobilen Endgeräts, sprich: per Handy. Zuvor hatten die Mitarbeiter sich eine digitale Brieftasche, eine Wallet-App, aus dem Internet heruntergeladen und eine Berechtigung, ein sogenanntes Credential zur JIRA-Nutzung, einmalig angefordert und erhalten. Benutzername und Passwort? Tägliche Eingabe nicht mehr notwendig!

Eine „digitale Brieftasche“ könnte viele klassische Nachweise ersetzen

© DB Systel GmbH

Die Möglichkeiten des dezentralen Konzepts von SSI-Netzwerken sind kaum zu unterschätzen. Sie könnten die Nutzung des Internets in den nächsten Jahren entscheidend verändern: Es ermöglicht, dass jeder Internetnutzer anderen Personen, Unternehmen oder Organisationen erlauben kann, Teile seiner Identität zu verifizieren. Etwa, dass der Nutzer tatsächlich Mitarbeiter eines Unternehmens ist, dass sein Hochschulabschluss echt ist, dass er ein Einkommen hat, einen Führerschein, einen Wohnort – und soeben das Geld für ein Paar Sneaker an den Onlineshop überwiesen hat.

Dezentrale Serverstrukturen für Datensicherheit

Beliebt, aber von Datenschützern kritisiert, ist das Social-Login, bei dem ein soziales Netzwerk wie Facebook seinen Nutzern anbietet, sich durch Eingabe des Facebook-Passworts die Eingabe weiterer Codes für Drittanbieter zu sparen. In einem SSI-Netzwerk behält der Nutzer hingegen die volle Kontrolle über seine Daten. Denn er gestattet anderen lediglich, unbedingt nötige Informationen über sich zu verifizieren – und nicht, diese zu besitzen und auszuwerten. Möglich macht dies die Blockchain-Technologie, auf deren dezentralen Servern mittels bestimmter digitaler Boten, den „Decentralized Identifiers“ (DID), eine Verifizierungskommunikation zwischen der SSI des Internetnutzers, dem Credential-Aussteller (etwa einer Bank oder dem Arbeitgeber) und dem Verifizierer (etwa einem Onlineshop oder Mobilitätsanbieter) angebahnt wird.

Damit der Verifizierer die Informationen auf Echtheit überprüfen kann, werden mit Übergabe des Nachweises an den Halter auch passende Schlüssel (Public Keys) im SSI Netzwerk hinterlegt. Diese Schlüssel erlauben es dem Verifizierer dann die Echtheit der Informationen zweifelsfrei zu überprüfen.

Wichtig: Außer DIDs liegt nichts auf der Blockchain-Infrastruktur. Die DIDs enthalten lediglich einen Satz an technischen Informationen, zum Beispiel den zum Abschluss des „Datengeschäfts“ notwendigen öffentlichen Schlüssel, den „Public Key“, sowie den Hinweis, welcher Kommunikationsweg zur Verifizierung der Informationen im Endgerät des Halters genutzt werden muss. Nutzerdaten werden hier nicht gespeichert.

Mit SSI besser wirtschaften

Doch die SSI-Informationstechnologie sei weit mehr als nur eine Möglichkeit, datengeschützt online shoppen zu gehen, weiß Claudia Plattner: „Das Interesse der DB an SSI ist ganz klar auch wirtschaftlich begründet.“ SSI eigne sich hervorragend, um Kunden, Partner und Institutionen zu identifizieren – datensparsam und vom Konzept her DSGVO-konform. SSI ermöglicht es, BahnCards fälschungssicher zu machen, mit anderen Unternehmen nachweissicher Reiseketten zu organisieren oder Zertifikate für Gleisbauer auszustellen.

Digitale Nachweise für Menschen, Institutionen und Dinge – für alle Facetten der Identität

© DB Systel GmbH

„Außerdem müssen sich ja auch Dinge gegenseitig identifizieren“, sagt Claudia Plattner. „Wenn ein Zug in einen Bahnhof einfährt, wird dieser Vorgang abgerechnet. Oder ein Zug will seine Wartung nachweisen.“ Auch das kann via SSI bewerkstelligt werden. Die SSI wirkt an dieser Stelle wie ein Personalausweis des Zuges – und im Internet of Things könnte der Bahnhof so die Existenz von Sicherheitszertifikaten fälschungssicher nachfragen.

Die DB Blockchain Plattform

DB Systel bietet ab 2021 mit der „DB Blockchain Plattform as a Service“ (BPaaS) die IT-Infrastruktur und das Hosting von Cloud-basierten Blockchain-Lösungen an. Zukünftige Blockchain Services im Bahnkontext, wie zum Beispiel die Umsetzung von Self Sovereign Identity (SSI), können somit auf dieser Blockchain IT-Landschaft bereitgestellt werden. Der Zugriff auf die bahngerechte Blockchain-Infrastruktur ist für Konzernkunden schnell und einfach. Das zentrale Plattformangebot berücksichtigt den Datenschutz (EU-DGSVO konform) und stellt den stabilen Betrieb aller Blockchain-Anwendungen sicher.

Doch wie relevant wird SSI werden – und wann? „Erste lokale Einsätze könnten schon bis Ende nächsten Jahres möglich sein“, sagt Matthias Felder, Product Owner für Blockchain Customer Experience bei DB Systel. Anders sieht es bei konzernübergreifenden Vorhaben und beim Zusammenspiel von Unternehmen aus. „Es gibt weltweit zahlreiche privatwirtschaftliche Projekte und Initiativen, auch staatlicherseits. Ich sehe SSI flächendeckend in zehn Jahren im Einsatz“, prognostiziert Claudia Plattner.

© DB Systel GmbH

Erste lokale Einsätze könnten schon bis Ende nächsten Jahres möglich sein.

Matthias Felder, PO Blockchain Customer Experience, DB Systel GmbH

In diesem Zusammenhang ist die DB Systel für den DB-Konzern im Industrie-Konsortium „SSI für Deutschland“ (SSI4DE) aktiv, das vom Bundesministerium für Wirtschaft und Energie gefördert wird. SSI4DE hat im August 2020 ein dezentrales Blockchain-Testnetzwerk für digitale Identitäten gestartet – das Fundament eines datensicheren Ökosystems für Wirtschaft, Verwaltung und Bürger. Es soll dem Austausch unterschiedlichster Informationen dienen – von Meldedaten, Zertifikaten über Eintrittskarten und Fahrscheine bis hin zu klassischen Logins.

Auf EU-Ebene ist geplant, dass bereits 2022 ein Blockchain-basierte Identität in Form eines „Wallets“ vorliegt, in dem dann Ausweise oder Gesundheitskarten gespeichert werden können. „Alles deutet darauf hin, dass dieses Thema wahnsinnig an Fahrt gewinnen wird“, ist Claudia überzeugt. „Ich persönlich bin sehr glücklich darüber, dass DB Systel an etwas sehr Großem mitarbeitet und zeigt, dass SSI praxistauglich ist. Technologie kann das Leben einfacher und besser machen.“