DanubeTech: Wie Kontrolle über die digitale Identität möglich wird

Datenschutz – ein zentrales Thema

Ich habe Rechtswissenschaften studiert und war schon an der Gründung einer Reihe von Tech-Start-ups beteiligt. Als Berater einer Nationalratsabgeordneten zum Thema Digitalisierung hatte ich den ersten Kontakt mit DanubeTech-Gründer Markus Sabadello. Markus ist ein Pionier der Digital Identity: Seit 15 Jahren beschäftigt er sich damit, wie man sich im Netz eindeutig ausweisen kann. 

2018 hat Markus mir angeboten, mich eingehender mit dem Thema zu beschäftigen und für ihn zu arbeiten. Die Idee, selbständig etwas aufzuziehen, hat mir gefallen und so haben wir uns zusammengetan.

Digitale Identitätsnachweise

Eine Herausforderung der Digitalisierung besteht darin, dass wir zum einen persönliche Daten schützen wollen – seit die Europäischen Datenschutzverordnung in Kraft getreten ist, ist das Thema auch in der breiten Bevölkerung angekommen – und uns zum anderen etwa E-Government Lösungen wünschen, die Amtswege im Internet unkompliziert ermöglichen. Es stellt sich also die Frage, wie die persönlichen Daten zwar für diese digitalen Amtswege verfügbar gemacht werden können, aber trotzdem sicher vor Missbrauch sind.

Momentan nutzen wir in Österreich die Bürgerkarte mit der Sicherheitseinrichtung A-Trust. Diese ist, wie die meisten derzeit, eine zentrale Lösung. Das bedeutet: Ein Konsortium von Institutionen verifiziert und verwaltet die Daten, die die Bürger ihnen liefern. Natürlich versuchen diese Institutionen ihre Aufgabe möglichst korrekt zu erledigen. Aber am Ende sind es doch wieder Menschen, die Zugriff auf die Daten haben oder sehen, wer Zugriff darauf hat. 

Kontrolle über die eigene Identität 

DanubeTech geht von einem anderen Ansatz aus: Wir arbeiten also an einer Lösung, mit der jeder Bürger selbst und unabhängig von jedwedem Vermittler seine Identität und die damit verbundenen Daten erstellen, verifizieren lassen und verwalten kann. Im Fachjargon wird das Self Sovereign Identity genannt. 

Doch auch in diesem System muss es jemanden geben, der die Identität einer Person bestätigt, man braucht einen Issuer (d.h. "Aussteller") dem alle vertrauen. Unsere Lösung setzt, um das bereits beschriebene Monopol zu vermeiden, auf Decentralized Identifier, das heisst wir nutzen eine Reihe von vorhandenen, vertrauenswürdigen Informationen, die dann der User – und nur der – freigeben kann.

Möglich wird das mit Hilfe der Blockchain-Technologie. Man kann sich das in etwa so vorstellen, wie eine Buchhaltung, die von mehreren Personen geführt wird. Das heisst, ein Einziger kann nie eine Änderung vornehmen, ohne dass diese anderswo nicht registriert würde. In unserem System bewirkt diese Blockchain-Technologie, dass sämtliche vom Nutzer irgendwo abgelegten Daten lokalisierbar, aber von niemandem ausser dem User manipulierbar sind. 

Wer bestätigt die Identität?

Geeignete Issuer sind Institutionen, denen gemeinhin Vertrauen geschenkt wird, etwa Banken oder Regierungen. Sie stellen so genannte Credentials – also Beglaubigungen oder Nachweise – aus. 

Ein Beispiel: Eine Bank führt bei einem Kunden einen KYC-Check  (know your customer) durch. Sie überprüft seine Bonität und stuft ihn als kreditwürdig ein. Sie signiert dieses Credential kryptographisch und sendet es an den User. Der hinterlegt es dann in seiner Wallet, seiner digitalen Geld- bzw. Dokumentenbörse. Die nächste Bank kann dieses Credential dann als Nachweis verwenden – als zeige der User einen Ausweis her – und muss den aufwendigen KYC-Check nicht noch einmal machen. In der Verwaltung wiederum muss man, um etwa einen Pass zu beantragen, nicht jedes Mal Geburtsurkunde, Staatsbürgerschaftsnachweis und Meldezettel vorlegen, man erteilt dem Passamt einfach digital die Genehmigung, die jeweiligen Daten einmalig abzurufen.

Persönliche Daten ausgewählt zur Verfügung stellen

Der Bürger hat so also einen digitalen Ausweis, der eine Reihe von Informationen zur Verfügung stellen kann. Er hat Einblick und Einfluss darauf, wer, was, wann abruft. Und es ist sichergestellt, dass immer nur der Zugang zu jenen Informationen hergestellt wird, die gerade benötigt werden. Ein Beispiel: Wenn ich etwa für eine Förderung nachweisen muss, dass ich in Wien wohne, ist das für denjenigen, der diese Information abrufen darf, ersichtlich. Er sieht aber nicht meine genaue Adresse. Oder ich will nachweisen, dass ich über 16 bin, um in einen Club zu kommen. Dann ist nur genau das sichtbar, dass ich also über 16 Jahre alt bin, aber keine andern Informationen über mich, nicht mal das genaue Alter. 

Dieses Prinzip nennt man Minimal Selective Data Disclosure. Demnach werden jeweils nur jene Informationen preisgegeben, die notwendig sind und die der Nutzer freigibt. 

Erste Versuche in der Praxis

Derzeit arbeiten wir an einigen Projekten. Eines davon ist ein Konsortium von großen Unternehmen diverser Branchen hier in Österreich. Die Aufgabestellung lautet: Wie kann man Credentials von einer Institution, etwa einer Bank zu einer anderen, oder beispielsweise einer Versicherung übertragen, ohne Formulare auszufüllen oder Passwörter anzugeben. 

Bei diesem Prozess entsteht – neben dem sicheren und unkomplizierten Ablauf von Geschäftsfällen – auch noch ein Wert, der sich monetarisieren ließe. Das ist wichtig, um die neue Technologie zu finanzieren und eine Alternative zum Datenhandel für Werbezwecke zu schaffen, bei dem noch dazu die Datenqualität meist zu wünschen übrig lässt und der Datenschutz oft auf der Strecke bleibt.

In unserem System hat jeder Beteiligte einen Nutzen: 

• Der Kunde, weil er sich das mühsame Eingeben von Daten erspart, 
• die Daten anfragende Organisation, weil sie sich auf die Daten verlassen kann und keine zusätzlichen Kosten für die Erfassung anfallen 
• und schließlich die ausstellende Organisation, weil sie den Vorgang monetarisieren kann, also dem Kunden einen Betrag für das Zur-Verfügung-Stellen der Daten verrechnen kann.  

Sichere Geschäfte, vertrauenswürdige Instanz

Es sind vor allem Regierungen, die mit öffentlichen Ausschreibungen die Entwicklung dieser Technologie vorantreiben, und Banken, die sie finanzieren. Wie auch Notare und weitere in Finanz- und Grundstücksgeschäften involvierten Stellen tragen sie seit einigen Jahren deutlich höhere Verantwortung im Kampf gegen Schwarzgeldgeschäfte. Sie sind also an möglichst lückenlosen, verlässlichen Informationen über ihre Geschäftspartner interessiert, sonst könnte es sie teuer zu stehen kommen.

Andrerseits werden die Gesetze zum Schutz persönlicher Daten immer strenger, und die Gefahren des „gläsernen Menschen“ werden den Kunden zunehmend bewusst. Eine Zwickmühle also für all jene, die hohe Standards hinsichtlich Sicherheit und Privatsphäre erfüllen müssen.

%MEDIUM-RECTANGLES%

Die Blockchain-Technologie schafft Sicherheit

Die dezentrale Blockchain-Technologie löst diesen Wiederspruch und bringt dem Nutzer sogar noch zusätzliche Vorteile:

• Der Nutzer kann seine Identität rasch und einfach verifizieren, indem er dem Anfragenden einen Token (also eine Berechtigung) aushändigt. Mit diesem Token bekommt der Anfragende die gewünschte Information – und zwar nur diese. 
• Die Gefahr der missbräuchlichen Verwendung von Daten wird so radikal minimiert. Der Anfragende erhält ja nur Zugang zu ganz bestimmten Daten und nicht auf eine Datenbank, wo alles verknüpft ist. 

Kontrolle über?s Mobiltelephon

Für die Wallet haben wir eine App entwickelt. So hat der Nutzer über sein Mobiltelephon immer die Kontrolle über alle Abläufe, sogar über den Ort, wo die Daten gespeichert werden. Der Nutzer könnte also im Nu den virtuellen „Safe“, in dem er seine Daten aufbewahrt, an einen anderen, beliebigen Ort verschieben. 

Uns ist aber auch ganz wichtig, dass klar ist, dass der Staat dabei seine Bedeutung nicht verliert. Für die meisten ist er doch die wichtigste vertrauenswürdige Instanz. In unserem Ökosystem haben daher Credentials von staatlichen Institutionen einen besonderen Wert. 

Mittels Credentials von staatlichen oder anderen Stellen, die als vertrauenswürdig gelten, kann man so seine Identität einfach, unkompliziert und fälschungssicher nachweisen. Als Tool reicht das Mobiltelephon: Über die App erteilt man Zugangserlaubnis und kann  jederzeit verwalten, wer was wann zu sehen bekommt. Die Nutzung der Technologie ist also nicht nur bequem, sie bringt auch einen bedeutenden Zuwachs an Sicherheit und Privatsphäre.