Self-Sovereign Identity ist die nächste Stufe der digitalen Identität. Sowohl Unternehmen als auch Nutzern bringt SSI enorme Vorteile. Wir sagen, warum, wie SSI funktioniert und wie es unser Leben beeinflussen wird.
Gemäss Untersuchungen von McKinsey Global Institute research könnte die vollständige digitale Abdeckung mit e-ID und SSI in Ländern wie den USA und GB im Jahr 2030 einen wirtschaftlichen Wert von 3 bis 13% des BIP generieren.
Trotzdem hat beispielsweise die Schweizer Bevölkerung das E-ID-Gesetz im März 2021 abgelehnt. Von den 2’762’770 Personen, die abgestimmt haben (Beteiligung von 51,29%), sagten 64,4% «nein» und nur 35,6% «ja».
Die Schweizer Regierung nahm die Gründe für die Ablehnung als Basis, um nachzubessern. Insbesondere die Privatsphäre der Nutzer und die Verantwortung des Bundes sollen gestärkt werden. Damit gehört die Schweiz zu den wichtigsten Akteuren der SSI-Bewegung.
In diesem Blog ergründen wir das Konzept von SSI, seine Vorteile und die aktuelle Gesetzgebung in der Schweiz. Wir beleuchten die Entstehung sowie die Grundsätze von SSI und wie es sich über Branchen hinweg auswirken kann.
Am Ende haben Sie nicht nur ein umfassendes Verständnis von SSI und dessen Potenzial in der Schweiz, sondern auch davon, wie es den Umgang mit unserer digitalen Identität revolutionieren kann.
Self-Sovereign Identity (SSI) ist ein zukunftsweisendes Konzept, das in der digitalen Welt immer beliebter wird. Es ermöglicht es einer Person, ihre privaten Daten in ihrer mobilen Wallet zu speichern, und gibt ihr so die Kontrolle über die Daten zurück.
Die digitale Identität umfasst die Informationen und die Daten, die eine Person in der virtuellen Welt identifizieren. Sie besteht aus einer Reihe digital erfasster Attribute wie Name, Geburtsdatum und Geschlecht kombiniert mit den Credentials, die mit einer eindeutigen Kennung («unique identifier») verknüpft sind.
Anders ausgedrückt: das elektronische Abbild einer Person, mit der sie beispielsweise im Internet Dienste nutzt, Käufe tätigt oder sich mit Mitmenschen auf Plattformen austauscht. Eine digitale Identität kann sowohl persönliche Daten als auch das Online-Verhalten umfassen.
«Self-Sovereign Identity» oder «SSI» bezieht sich auf einen dezentralen Ansatz, bei dem eine Person nicht auf eine Drittpartei angewiesen ist. Sie kann die Informationen zu ihrer Identität mit kryptographischen Methoden sicher auf ihrem persönlichen Gerät speichern. Des Weiteren kann sie persönliche Daten gegenüber vertrauenswürdigen Stellen oder Dienstleistungsanbietern gezielt offenlegen.
SSI berücksichtigt somit die Datenschutz- und Sicherheitsbedenken, die mit den üblichen Identitätssystemen verbunden sind. Diese speichern personenbezogene Daten häufig in zentralen Datenbanken, die anfällig für Verstösse und Missbrauch sind.
Es gibt zahlreiche Gründe, weshalb digitale Identitäten für die Digitalisierung unerlässlich sind:
Authentisierung und Autorisierung
Digitale Identitäten ermöglichen es, Personen, Unternehmen oder Geräte in der virtuellen Welt zu authentisieren und zu berechtigen. Damit ist gewährleistet, dass die richtigen Personen oder Stellen auf die richtigen Ressourcen, Dienste oder Informationen zugreifen können.
Personalisierung und individuelle Anpassung
Wünscht es eine Person, kann der Anbieter das Nutzererlebnis in der digitalen Welt dank Digital Identity personalisieren. Die Verknüpfung der digitalen Identität mit der Person erlaubt es Unternehmen, Dienstleistungen, Inhalte und Empfehlungen gemäss individuellen Präferenzen, Verhaltensweisen und historischen Daten masszuschneidern.
Vertrauen und Sicherheit
Digitale Identitäten spielen eine zentrale Rolle dabei, Vertrauen aufzubauen und die Sicherheit bei elektronischen Interaktionen zu gewährleisten. Indem digitale Identifikationssysteme die Identität der Teilnehmenden prüfen, helfen sie dabei, Betrug, Identitätsdiebstahl und andere böswillige Aktivitäten zu verhindern. Damit gewährleisten sie die Sicherheit bei Kommunikation, Datenaustausch und Transaktionen.
Einhaltung von Gesetzen und Vorschriften
Digital Identity ist entscheidend für die Einhaltung rechtlicher und regulatorischer Anforderungen. Zahlreiche Länder/Gerichtsbarkeiten haben Datenschutzbestimmungen erlassen, gemäss denen Personen bei digitalen Transaktionen identifiziert und überprüft werden müssen. Digitale Identifikationssysteme unterstützen Unternehmen dabei, die Verantwortlichkeiten für den Umgang mit und den Schutz von Daten festzulegen.
Digitale Transformation und Innovation
Digitale Identitäten sind ein zentrales Element von Initiativen zur digitalen Transformation. Sie ermöglichen Unternehmen den Übergang von papierbasierten Prozessen zu digitalen Abläufen. Damit ebnen sie den Weg für neue Geschäftsmodelle wie Sharing-Economy-Plattformen und fördern Innovation und Wirtschaftswachstum.
|
«SSI ist unsichtbar für Nutzer, erlaubt es Firmen aber, nur das Minimum an persönlichen Daten von Nutzern zu speichern und deren Privatsphäre zu wahren. Zugleich macht es die Integration von zivilen und Mitarbeiter-IDs schneller und günstiger.» Hans Burger
|
|
Mit einer digitalen Identität authentisiert sich eine Person bequem. Einem Dienstleistungsanbieter verschafft sie umfassende Informationen, auch über die Gedanken, die Bedürfnisse und die Aktivitäten eines Menschen.
Deshalb ist es entscheidend, dass jede Person versteht, wie sensitiv die Daten einer digitalen Identität sind, wann welche Aktion durchgeführt wird, welche Spuren dies in einem System hinterlässt und was im Fall eines Datenverlusts- oder -diebstahls geschieht.
Was sich ebenfalls jeder bewusst sein sollte: Es ist schwierig, unsere Anforderungen – die Daten selbst zu kontrollieren – mit unseren Erwartungen – die Identität durch eine Drittpartei zu validieren – zu vereinbaren.
In der Schweiz verlagert sich die Diskussion über digitale Identitäten derzeit von den technologischen zu den politischen Aspekten, da das revidierte Datenschutzgesetz seit 1. September in Kraft ist. Mit etwas Glück erreicht die politische Diskussion einen breiteren Personenkreis, sodass Bürgerinnen und Bürger sich die notwendige digitale Kompetenz aneignen. Der Bund hat jedoch noch viel Arbeit vor sich, um auch die junge Bevölkerung – die sogenannten Digital Natives – von den Vorteilen einer E-ID zu überzeugen.
Seit im August 1991 das World Wide Web (WWW) lanciert wurde, hat sich die Art, wie wir unsere Identität nachweisen, fundamental verändert. Wagen wir eine kleine Zeitreise und beginnen bei der physischen Identität:
Traditionell haben sich physische Identitätsnachweise wie ein Reisepass entwickelt. Dabei steht das Vertrauen in den Herausgeber im Vordergrund. Dieses wird durch Sicherheitsmerkmale gewährleistet:
Mit der Lancierung des WWW entstand allmählich das Bedürfnis nach elektronischen Identitäten. Die frühen Tage waren geprägt vom Internet der «Silosysteme»:
Nun traten die «Intermediäre» auf den Plan, deren Ansatz einen Ausweg aus dem Passwort-Chaos versprach:
Nun gibt «Self-Sovereign Identity» den Nutzern die Kontrolle über ihre Daten zurück:
In der digitalen Welt – wir sprechen in diesem Zusammenhang gern von einem Ökosystem – lässt sich das Potenzial von SSI voll ausschöpfen, da die beteiligten Parteien in einer sicheren Umgebung miteinander verbunden sind. In dieser digitalen Welt sind drei Rollen definiert: Holder (Nutzer), Issuer (Aussteller) und Verifier (Prüfer).
Beim Issuer handelt es sich um eine Organisation, die Verifiable Credentials* (VC) ausstellt, z.B. eine Behörde eine Identität, eine Versicherung eine Krankenversicherungskarte oder eine Universität ein Diplom. Der Holder steht im Zentrum des SSI-Systems. Er speichert die Verifiable Credentials, z.B. Identität, Zertifikate oder private Adresse, in seiner digitalen Wallet, dem Herzstück von SSI. Der Dienstleistungsanbieter ist der Verifier. Er authentifiziert den Holder, bevor er ihm Zugang zum Angebot gewährt.
Die folgende Abbildung zeigt, wie Issuer, Holder und Verifier miteinander in Beziehung stehen:
Wir sprechen im Zusammenhang mit der digitalen Welt gern von einem Ökosystem, d.h. einem verteilten, adaptiven, offenen System mit Eigenschaften wie Selbstorganisation, Skalierbarkeit und Nachhaltigkeit, das von natürlichen Ökosystemen inspiriert ist.
*«Verifiable Credentials» gemäss W3C:
«Ein Verifiable Credential kann dieselben Informationen darstellen wie ein physischer Nachweis. Dank Technologien wie der digitalen Signatur sind Verifiable Credentials besser gegen Manipulation geschützt und vertrauenswürdiger als vergleichbare physische Nachweise.»
Die führenden Stimmen und Organisationen sind sich nicht komplett einig, was SSI genau einschliesst. Die folgenden 10 Grundsätze fassen jedoch die wichtigsten Aspekte von SSI zusammen:
Die meisten Menschen nutzen heute föderierte Identitäten, die mit Attributen verbunden und in verschiedenen Identity-Management-Systemen gespeichert sind. Dank Single Sign-on (SSO), d.h. der Authentisierung innerhalb eines föderierten Identity-Management-Systems, loggt sich der Nutzer einmal ein und erhält Zugang zu diversen IT-Systemen und Organisationen. Ein Beispiel dafür ist das Google-Login.
Pässe haben sich von einem rein physischen zu einem hybriden Identitätsnachweis entwickelt, da in den letzten Jahren neben Passwörtern und Codes auch biometrische Informationen integriert wurden.
Föderierte Identitäten und Pässe haben eines gemeinsam: Der IdP speichert die Daten der Person zentral auf seinem System, mit dem alle anderen interagieren müssen.
Genau hier kommt SSI mit seinem dezentralen Ansatz und seiner mobilen Wallet ins Spiel.
Mobile Wallets, in denen Nutzer ihre Credentials auf dem eigenen Smartphone speichern, sind das entscheidende Differenzierungsmerkmal von SSI. Damit löst SSI ein elementares Datenschutzproblem zentraler und föderierter Identity-Modelle und eröffnet zugleich neue Möglichkeiten, Identitäten und offizielle Dokumente zu verwenden.
Möglich machen es Verifiable Credentials und sogenannte Decentralized Identifiers (DIDs). Verifizierte Credentials bilden digital persönliche Informationen oder Eigenschaften ab. Sie werden von einer vertrauenswürdigen Stelle ausgegeben und lassen sich unabhängig überprüfen. Bei Decentralized Identifiers handelt es sich um eine Form von einmaligen digitalen Kennungen, die unabhängig von einer zentralen Stelle sind.
Der Holder bzw. Nutzer hat die volle Kontrolle über seine persönlichen Daten, die in der Wallet auf seinem Smartphone gespeichert sind. Wenn er die Wallet nutzt, gibt er weder seine Credentials noch seine Authentisierungsaktivitäten preis. Zudem bietet SSI dem Nutzer die Möglichkeit, Informationen gezielt bekanntzugeben, d.h. nur jene Daten, die für einen Vorgang wirklich nötig sind. Ein weiterer Vorteil für den Holder sind die Zero-Knowledge Proofs (ZKP). Denn damit kann er eine Frage mit ja oder nein beantworten, ohne Daten offenzulegen. Das bekannteste Beispiel: Der Holder beweist, dass er über 18 Jahre alt ist, ohne sein Geburtsdatum zu nennen.
Der Issuer kann mit SSI einfach Credentials erstellen und Betrug verhindern, da das ausgestellte Verifiable Credential dank fortschrittlicher Kryptographie fälschungssicher ist.
Wie der Holder profitiert auch der Verifier vom Datenschutz. Dank ZKP kann er Informationen prüfen, ohne die Daten zu erhalten. Das erleichtert die Einhaltung von Datenschutzgesetzen wie DSGVO und DSG. Das ausgestellte Credential lässt sich überdies sowohl in der virtuellen als auch in der echten Welt sicher und einfach prüfen.
Die folgende Abbildung veranschaulicht die Abläufe zwischen Issuer, Verifier und Holder:
|
|
E-ID auf Basis einer föderierten Identität |
E-ID auf Basis von SSI |
|
Datenschutz |
Daten sind beim Issuer gespeichert |
Daten sind in der mobilen Wallet des Nutzers gespeichert |
|
Unabhängigkeit |
Der Nutzer ist für die Prüfung auf eine zentrale Stelle angewiesen |
Der Nutzer gibt die Informationen direkt dem Service Provider bekannt, der als Verifier fungiert |
|
Flexibilität |
Der Nutzer muss jene Informationen bekanntgeben, die der Verifier verlangt |
Der Nutzer hat die volle Kontrolle über die Daten. Er kann Informationen selektiv preisgeben oder Fragen mit ja/nein beantworten |
SSI ist nicht nur in der digitalen, sondern auch in der echten Welt anwendbar – und zwar viel einfacher.
SSI hat das Potenzial, physische Formen der Identifikation wie Studentenausweise oder Reisepässe zu ersetzen. Dabei ginge es allerdings um viel mehr, als einfach bestehende physische Lösungen durch das digitale Gegenstück abzulösen. Der entscheidende Vorteil: Auch in der echten Welt ist es mit SSI möglich, selektiv Informationen preiszugeben und ZKP zu verwenden.
Die Knacknuss ist der Prüfprozess. Im digitalen Universum startet der Verifier den Prozess und damit ein Hin und Her zwischen ihm und dem Holder. Bei Interaktionen in der echten Welt ist ein direkterer Ansatz gefragt, d.h. ein vom Holder initiierter Vorgang:
Wichtig wäre, für die Anwendung von SSI in der realen Welt sogenannte «edge mobile wallets» zu nutzen. Bei «hosted wallets», bei denen die Daten zentralisiert werden, gehen zahlreiche der beschriebenen Vorteile verloren. Ein weiterer Vorteil von Edge Wallets: Sie erlauben künftig komplette Peer-to-Peer- (oder Offline-)Verbindungen, z.B. via Bluetooth. Damit wird es letztlich möglich, SSI in der realen Welt in viel mehr Situationen zu nutzen.
Es gibt keine bessere Möglichkeit, eine neue Technologie zu verstehen und deren potenziellen Mehrwert zu beurteilen, als repräsentative Use Cases.
Das Potenzial von SSI ist ganz offensichtlich riesig. Gemäss Erkenntnissen des McKinsey Global Institute könnte SSI der Türöffner zu Dienstleistungen von Banken, Behörden, Bildungsinstituten und vielen mehr sein. Recherchen zufolge könnte es das Wirtschaftswachstum in Grossbritannien im Jahr 2030 um 3% in die Höhe treiben. Für andere Länder dürften die Zahlen ähnlich sein.
Das neue E-ID-Gesetz wird den Weg für die Einführung einer landesweiten elektronischen Identität ebnen. Herausgegeben wird sie vom Bund, der auch die notwendige Infrastruktur betreibt. Der Weg dahin war steinig:
SSI hat das Potenzial, die digitale Identität neu zu gestalten. Ob sich das Konzept auf breiter Front durchsetzt und sein volles Potenzial entfalten kann, hängt von verschiedenen Faktoren ab wie dem technologischen Fortschritt, der Akzeptanz durch die Gesellschaft, der Nachfrage und der rechtlichen Entwicklung.
Sie verstehen nun das Konzept von SSI und dessen Vorzüge: besserer Datenschutz und stärkere Kontrolle für Nutzer, höhere Effizienz und einfachere Einhaltung der gesetzlichen Vorgaben für Unternehmen. Sie wissen ausserdem, wie es um SSI in der Schweiz steht. Das Wichtigste: Sie haben erkannt, wie sich SSI auf vielfältige Bereiche unseres Lebens auswirken kann.
Das neue Schweizer Datenschutzgesetz, das seit 1. September 2023 in Kraft ist, ebnet den Weg für die landesweite Einführung einer elektronischen Identität. Von da sind es nur noch wenige Schritte bis zu SSI.
Bei SSI handelt es sich um einen dezentralen Ansatz, mit dem Nutzer nicht von einem Drittanbieter abhängig sind. Sie speichern die Informationen zu ihrer Identität mittels kryptographischer Methoden sicher auf ihrem persönlichen Gerät.
Der Holder steht im Zentrum des SSI-Systems. Er fordert ein Verifiable Credential, z.B. Identität oder Diplom, bei einem Issuer an, üblicherweise einer Institution. Dieses Credential speichert er in seiner digitalen Wallet, dem Herzstück von SSI, und weist es dem Verifier vor, wenn er sich für einen elektronischen Service authentisiert.
Nutzer haben die volle Kontrolle über ihre persönlichen Daten. Ihre Credentials und Authentisierungsaktivitäten bleiben privat, da die Daten in der Wallet des eigenen Smartphones gespeichert sind. Dank SSI können Nutzer Informationen selektiv offenlegen oder Fragen mit ja/nein beantworten.
SSI ist im echten Leben in jedem Szenario anwendbar, wo es um die Prüfung der Identität und die Authentisierung geht: z.B. beim Zugang zu E-Gov-Diensten wie Abstimmungen oder der Beantragung eines neuen Reisepasses, bei der Kontrolle über die eigene Krankenakte, der Anmeldung für ein Examen an der Uni oder der digitalen Vertragsunterzeichnung.
SSI ermöglicht es, öffentliche Identifikatoren auf einer Blockchain zu speichern. Eine Blockchain ist zwar keine Voraussetzung für SSI, aber eine übliche Art der Implementation, da sie die SSI-Grundsätze wie Dezentralisierung, Unveränderbarkeit und Sicherheit unterstützt.
|
Swiss Digital Identity and Data Sovereignity Association (DIDAS) |
DIDAS will zur einer digitalen Schweiz mit mehr Datenschutz beitragen. Sie setzt sich für globale Standards ein und schafft ein SSI-Ökosystem mit Anspruchgruppen aus zahlreichen Branchen. |
|
Digitale Identität |
Die Informationen, die eine Person in der digitalen Welt identifizieren, d.h. das elektronische Abbild einer Person, mit der sie beispielsweise im Internet Services nutzt, Käufe tätigt oder sich mit Mitmenschen auf Plattformen austauscht. |
|
Decentralized Identifier (DID) |
Dezentrale Identifikatoren sind global eindeutige Identifikatoren. Sie bestehen aus einem String mit Buchstaben und Zahlen und dienen auf einer Blockchain und firmenunabhängig als Identifikationsadresse. |
|
European Blockchain Services Infrastructure (EBSI) |
Die EBSI ist eine von der EU entwickelte Blockchain-basierte Infrastruktur, um sichere Vertrauensdienste anzubieten und die Umsetzung von SSI-Grundsätzen zu unterstützen. |
|
electronic Identification, Authentication, and Trust Services (eIDAS) |
Die eIDAS-Verordnung bildet den rechtlichen Rahmen für die elektronische Identifikation und Vertrauensdienste in der EU. Sie fördert die grenzüberschreitende Anerkennung elektronischer Identitäten und unterstützt sichere digitale Transaktionen. |
|
Holder |
Der Holder steht im Zentrum der digitalen Welt. Er fordert ein Verifiable Credential bei einer Institution an und weist es dem Verifier vor, um auf einen elektronischen Service zuzugreifen. |
|
Identity Provider (IdP) |
Ein IdP verwaltet die primären Authentisierungs-Credentials des Teilnehmers und stellt basierend auf diesen Nachweisen Assertions aus. |
|
Issuer |
Der Issuer ist jene Partei in der digitalen Welt, die die Verifiable Credentials ausstellt – üblicherweise eine Institution wie eine Behörde, ein Versicherer oder eine Universität. |
|
Least Privileged Access (LPA) |
LPA ist ein Sicherheitskonzept, das auf der Idee gründet, die Zugangsrechte von Nutzern oder Berechtigungen auf das für die Erfüllung einer Aufgabe notwendige Minimum zu beschränken. |
|
Level of Assurance (LoA) |
LoA bezeichnet den Grad des Vertrauens in die angegebene Identität einer Person: Wie sicher kann ein Dienstleister sein, dass die Person, die eine bestimmte E-ID zur Authentisierung verwendet, die Person ist, die sie vorgibt zu sein. |
|
Mobile Wallet |
In einer mobilen Wallet speichern Nutzer sicher digitale Zahlungsmethoden wie Kredit- und Debitkarten oder Kryptowährungen, aber auch Dokumente wie den Führerschein, die so jederzeit verfügbar sind. |
|
Relying Party |
Eine Partei, die sich auf die Sicherheit und Authentizität eines Schlüssels oder Schlüsselpaars stützt, um einen kryptographischen Schutz anzuwenden und diesen aufzuheben oder zu überprüfen. |
|
Self-Sovereign Identity (SSI) |
SSI bezeichnet einen dezentralen Ansatz, bei dem Nutzer nicht auf einen Drittanbieter angewiesen sind und ihre Identitätsinformationen sicher auf ihrem persönlichen Gerät speichern können. |
|
Selektive Offenlegung |
Der Nutzer legt nur jene Daten offen, die er für angemessen hält bzw. die notwendig sind. |
|
Verifiable Credential (VC) |
Ein Verifiable Credential ist ein fälschungssicherer Berechtigungsnachweis, dessen Urheberschaft kryptographisch verifizierbar ist. |
|
Verifier |
Der Verifier authentifiziert den Holder anhand von dessen Verifiable Credentials, bevor er ihm Zugang zum Angebot gewährt. |
|
Zero-Knowledge Proof (ZKP) |
Der Holder kann eine Frage mit ja oder nein beantworten. |