Zentrale oder Dezentrale Identitäten?

In den letzten Jahren tauchte immer häufiger der Begriff «Dezentrale Identität» in den Diskussionen um elektronische Identitäten auf. Auch im aktuell veröffentlichten «Zielbild E-ID», mit dem die Vision für eine staatliche elektronische Identität der Schweiz öffentlich diskutiert werden soll. Was versteckt sich hinter dem Begriff? Was sind die Vor- und Nachteile gegenüber einer «Zentralen Identität»?

Die Hauptunterscheidung zwischen zentralen und dezentralen Identitäten basiert auf zwei Fragen:

  • Wer erstellt die Identität eines Benutzers (Subjekt)?
  • Wer ist involviert bei der Verwendung dieser Identität?

Bei zentralen oder fremdverwalteten Identitäten wird die Identität eines Subjekts von einer fremden Instanz erstellt. Dies kann eine Organisation, eine Behörde oder ein sonstiger Dienst sein. Wichtig ist folgendes: Das Subjekt kann seine Identität nicht unabhängig von dieser Instanz einsetzen.

Eine dezentrale Identität ist eine elektronische Identität, welche nicht durch ein zentrales Identitätsmanagementsystem (IdMS) verwaltet wird und nur mittels dessen genutzt werden kann, sondern dezentral beim Benutzer, z. B. auf einem Smartphone oder in einem Browser-Plugin, gespeichert ist und ohne Intermediär verwendet werden kann.

Wir alle kennen dieses Prinzip gut aus den sozialen Netzwerken. Eine Identität von Google oder Facebook kann man bei vielen Anwendungen verwenden. Die einmal erstellte Identität wird vom Anbieter verwaltet und dieser ist in jeden Login-Vorgang involviert, auch wenn man das als Benutzer nicht unbedingt merkt. Für die Benutzer ist das praktisch, da sie eine Identität «für alles» verwenden können und nicht viele «isolierte» Identitäten, die nur bei einer Anwendung funktionieren, verwalten müssen. Der Preis für diesen Service zahlt der Benutzer meist mit seinen Daten.

Abbildung 1: Eine zentrale Identität für mehrere Organisationen

Der dezentrale oder benutzerzentrierte Ansatz verfolgt ein ganz anderes Konzept. Der Benutzer speichert seine Identitäten lokal bei sich auf seinen Geräten ab. Das kann in einer Wallet-App auf einem Smartphone oder auch in einem speziellen Browser-Plugin sein. Der Vorteil dieses Ansatzes ist, dass der Benutzer seine Identität unabhängig vom Ersteller einsetzen kann (siehe Abb.). Dieses Konzept entspricht der physischen Realität der «Brieftasche» oder dem Prinzip, welches wir sehr gut kennen: «Ausstellen-Erhalten-Besitzen-Vorzeigen-Verifizieren». Die physischen Ausweispapiere werden in einer Brieftasche aufbewahrt und bei Bedarf herausgeholt und vorgewiesen.

Abbildung 2: Entkopplung des Erstellens einer Identität und deren Verwendung

Beim dezentralen Ansatz sind somit Erstellung und Verwendung einer Identität vollständig voneinander entkoppelt. Dieser moderne Ansatz kennt zwei Facetten: Ein Subjekt kann seine Identität selbst erstellen (selbstverwaltet) oder diese von einer fremden Instanz im Voraus erhalten (selbstkontrolliert).

Bei einer selbstkontrollierten Identität wird diese in einem ersten Schritt von einem Identitätsdienst erstellt und dann dem Benutzer zur Nutzung, Kontrolle und Aufbewahrung übergeben. Der Vorteil ist, dass der Identitätsdienst nur noch beim Ausstellen (und bei der Aktualisierung) aktiv ist. Der Benutzer hat allerdings wenig Einfluss auf den Erstellungsprozess und muss diesem Identitätsdienst vollumfänglich vertrauen. Beim Zugriff auf eine Anwendung präsentiert der Benutzer dann seine Identitätsinformationen in verlangter Form (z.B. als QRCode). Die Anwendung kann im Anschluss die Herkunft und Gültigkeit der Identitätsinformationen prüfen. Je nach Ausgestaltung dieser Identitätsinformationen könnten diese auch offline verwendet werden. Bei Verlust der elektronischen Identität kann sich der Benutzer an seinen Identitätsdienst wenden, um diese wieder herzustellen oder ggf. in einem ersten Schritt revozieren zu lassen. Ein typisches Beispiel ist der deutsche nPA (neuer Personalausweis).

In Gegensatz zu den selbstkontrollierten Identitäten braucht es bei den selbstverwalteten Identitäten keinen Identitätsdienst. Dieses Konzept ist auch als «Self-Sovereign Identity» bekannt. Dabei erstellt und kontrolliert der Benutzer seine Identität(en) selbst. Das Subjekt kann sich in der Folge Attribute (einzeln oder als Gruppe) von autoritativen Quellen (Aussteller, engl. Issuer) bestätigen lassen. Dazu muss sich das Subjekt bei einem Aussteller authentisieren und seine zunächst selbstdeklarierten Eigenschaften bestätigen lassen. Das Subjekt «sammelt» so bestätigte Attribute zu seinen Identitäten, welche es dann bei Bedarf einer Anwendung in verlangter Form präsentiert. Neben grossen Vorteilen bzgl. Selbstverwaltung und Schutz der Privatsphäre hat dieses Konzept aber einige ungelöste Fragen zu Governance, Aufbewahrung und Vertrauensetablierung. Der Benutzer hat bei diesem Ansatz eine viel grössere Verantwortung, seine Identität zu verwalten und zu pflegen; bei Problemen gibt es keinen zentralen Support, der ihm Unterstützung bieten kann.

Abbildung 3: Vergleich Identitätsmanagementsysteme aus Sicht des Benutzers

Zusammenfassend kann man sagen, dass der benutzerzentriete Ansatz gerade für eine staatliche E-ID viele Vorteile bietet. Die internationale Entwicklung geht in diese Richtung, wie auch die Bestrebungen in der Europäischen Union um die EUid . Da aber das Konzept der «dezentralen Identitäten» noch nicht allgemein bekannt ist und auch die Infrastruktur erst im Aufbau begriffen ist, werden zentrale und dezentrale Identitätssysteme noch eine ganze Weile nebeneinander anzutreffen sein.

AUTOR/AUTORIN: Gerhard Hassenstein

Gerhard Hassenstein ist Dozent an der BFH Technik und Informatik.

AUTOR/AUTORIN: Annett Laube

Annett Laube leitet das Institute for Data Applications and Security (IDAS) an der BFH Technik & Informatik und ist verantwortlich für den Schwerpunkt Identität und Privatsphäre am BFH-Zentrum Digital Society.

PDF erstellen

Ähnliche Beiträge

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.