EUre Hoheit! : Über die Bedeutung von Self-Sovereign Identities für Datensouveränität, Sicherheit und effiziente Prozesse im Umfeld der European Digital Identity (EUDI)
Ein flexibles, international sowie sicher und datenschutzfreundlich nutzbares Umfeld für digitale Identitätsdaten ist eine in der Praxis bislang unerreichte Utopie. Mit den EU-Vorgaben für den Einsatz von Self-Sovereign Identities (SSI) könnte sich das ändern und eine digitale Transformation beschleunigt werden, welche die Interessen aller Beteiligten berücksichtigen hilft.
Am 29. Februar 2024 hat das Europäische Parlament in einer finalen Abstimmung die novellierte eIDASVerordnung [1] angenommen. Den EU-Mitgliedsstaaten bleiben nun 24 Monate Zeit, um das Konzept der digitalen Identität auf nationaler Ebene rechtskonform umzusetzen (vgl. [2]). Die EU hat bereits 2023 vier große Pilotprojekte (Large-Scale Pilots, LSPs) auf den Weg gebracht, bei denen private Unternehmen und Behörden aus den EU-Mitgliedsstaaten sowie weiteren Ländern Europas derzeit gemeinsam spezifische Anwendungsfälle entwickeln und pilotieren. Beteiligt sind rund 360 Einrichtungen. Die technische Grundlage dafür ist der von der eIDAS Expert Group vorgelegte Werkzeugkasten [3], der unter anderem die am 7. März 2024 von der Europäischen Kommission vorgestellte, jüngste Version des Architecture- and Reference-Framework (ARF, [4]) umfasst. Für Sicherheitsfachleute bietet besonders das ARF einen guten Einstieg in die Absicherung von Self-Sovereign Identities (SSI), sofern diese im eigenen Unternehmen zum Einsatz kommen sollen.
Self-Sovereign Identities
SSI sind ein innovativer Ansatz, mit dem Einzelne ihre digitalen Identitäten selbst kontrollieren und verwalten können [7,8]. Im Kern belässt SSI die volle Verfügungsgewalt über persönliche Daten beim Betroffenen* und ermöglicht es ihm, diese selektiv und ohne Einschalten von Dritten/Vermittlern an vertrauenswürdige Stellen weiterzugeben. Das Konzept sorgt nicht nur für mehr Privatsphäre und Sicherheit, sondern schafft zugleich die Voraussetzungen für eine integrativere und dezentralere digitale Landschaft.
Im Gegensatz zu bisherigen Systemen, die in der Regel auf nationale Grenzen beschränkt sind und einer staatlichen Aufsicht unterliegen, funktioniert SSI auch auf globaler Ebene (vgl. [5,6,10]). Das bedeutet, dass Einzelpersonen ihre Identität geltend machen und nahtlos über Grenzen hinweg auf Dienste zugreifen können, unabhängig von geopolitischen Grenzen oder rechtlichen Beschränkungen.
Ihr technischer Ansatz verspricht, das Vertrauen und die Transparenz bei digitalen Interaktionen zu fördern: Wenn jeder Einzelne die Kontrolle über seine eigene Identität hat, verringert sich die Abhängigkeit von zentralisierten Stellen und minimiert sich das Risiko von Datenschutzverletzungen und Identitätsdiebstahl bei „Konzentratoren“. Dieser Wandel hin zu einem nutzerzentrierten Identitätsmanagement stärkt die Privatsphäre der Nutzer.
Das Konzept birgt das Potenzial, verschiedene Sektoren zu revolutionieren, darunter besonders das Finanzwesen, das Gesundheitswesen und den elektronischen Handel. Durch die Bereitstellung eines sicheren und überprüfbaren Mittels zur Identitätsüberprüfung ermöglicht SSI effizientere und zuverlässigere Transaktionen und verringert gleichzeitig die mit Identitätsüberprüfungsprozessen verbundenen Reibungsverluste. Dies wiederum kann zu Kosteneinsparungen, verbesserten Benutzererfahrungen und mehr Innovation bei der Bereitstellung von Dienstleistungen führen.
SSI soll letztlich ein sicheres, integrativeres und nutzerzentriertes digitales Ökosystem schaffen (zu Kritik an der aktuellen Entwicklung siehe etwa [11]).
Architecture- and Reference-Framework
Die 2021 von der Europäischen Kommission entwickelte ARF-Toolbox umfasst eine technische Architektur und einen Bezugsrahmen mit einer Reihe gemeinsamer Normen und technischer Spezifikationen. Ihr Nutzen entsteht durch die Use-Cases, die als Blaupausen für die Umsetzung dienen sollen. Dazu zählen insgesamt vier technische sowie vier branchenspezifische Anwendungsfälle:
Technische Anwendungsfälle
- Identifizierung und Authentifizierung für den Zugang zu Online-Diensten
- qualifizierte elektronische Signatur
- mobiler Führerschein
- Pseudonyme
Branchenspezifische Anwendungsfälle
- Gesundheitswesen
- Bildungsnachweise und berufliche Qualifikationen
- digitale Finanzen
- digitaler Reiseausweis
Eine EUDI-Wallet-Instanz ist hierbei die auf dem Gerät eines Nutzers installierte Anwendung (Wallet-Lösung), die wiederum von einem EUDI-Wallet Anbieter bereitgestellt wird – innerhalb dieses Vertrauensmodells sind die Lebensdauer der Wallet-Lösung und des entsprechenden Wallet-Providers gleich. Eine der Hauptfunktionen der Wallet-Instanz ist die Verwaltung der Person-Identification-Data (PID) sowie sogenannter Bescheinigungen (Attestations) des Nutzers. Die PID werden von einem PID-Provider und die Bescheinigungen von Attestation-Providern ausgestellt.
Risikobasierter Ansatz
Interessant ist vor allem die Absicherung, die im Framework beschrieben wird: Orientiert an der DSGVO und den damit verbundenen Datenschutz Folgenabschätzungen (Data-Protection-Impact-Assessment, DPIA) verfolgt die Toolbox einen risikobasierten Ansatz, der vorsieht, ein gemeinsames Risikoregister zu entwickeln – dieses soll eine umfassende Liste von Sicherheits- und Datenschutzrisiken enthalten. Diese wiederum sind architekturunabhängig und bieten einen Benchmark-Überblick über die wichtigsten Risiken. Wallet-Anbieter sollen diese Risiken bewerten und geeignete Abhilfemaßnahmen vorschlagen. Die Methodik zur Durchführung der individuellen Risikobewertung bleibt dabei den Mitgliedstaaten überlassen, solange sie die im gemeinsamen Risikoregister ermittelten Risiken berücksichtigt.
Bedrohungen und Risiken spielen im Zertifizierungsprozess für EUDI-Wallets eine zentrale Rolle, da sie für die Erreichung der in der Verordnung beschriebenen Sicherheitsziele wie Datenschutz, Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Unleugbarkeit der EUDI-Wallets und der darin enthaltenen Daten von grundlegender Bedeutung sind.
Wichtig ist, dass das Verständnis der Bedrohungen und Risiken in Bezug auf die einzelnen betroffenen Assets ermöglicht, geeignete Abhilfemaßnahmen (sowie damit verbundene Zertifizierungsanforderungen oder -standards) zu bestimmen.
Im Folgenden wird ein vereinfachter Überblick über diesen Ansatz gegeben – kurz gesagt: Bedrohungen können Risiken für Assets verursachen. Bei diesen Assets handelt es sich um die in der Referenzarchitektur aufgeführten Komponenten und Elemente, einschließlich der Wallet Secure Cryptographic Application (WSCA) und des Wallet Secure Cryptographic Device (WSCD).
Bedrohungen lassen sich nach verschiedenen Bedrohungsmodellen definieren, beispielsweise nach dem STRIDE-Ansatz für Sicherheitsrisiken [12,13] sowie dem LINDDUN-Rahmen für die Modellierung von Datenschutzbedrohungen [14]. Solche Modelle ermöglichen es, Bedrohungen wie Spoofing, Manipulation, Offenlegung von Informationen oder Verknüpfung zu identifizieren und zu kategorisieren.
Sicherheit und Datenschutz sind zwar eng miteinander verbunden, haben aber einen unterschiedlichen Ausgangspunkt: Der Sicherheitsgedanke zielt auf den Schutz der Assets ab, während der Datenschutz auf die Sicherung persönlicher Daten des Nutzers ausgerichtet ist. Die getrennte Modellierung von Sicherheitsbedrohungen sowie Risiken für den Datenschutz versucht, ein Systemmodell zu erstellen, um Bedrohungen systematisch für jede Systemkomponente zu identifizieren und die Analyse auf Bedrohungskategorien zu stützen. Dies trägt dazu bei, Bedrohungen zu mindern – etwa durch entsprechende Zertifizierungsanforderungen.
Mithilfe des Bedrohungsmodells lassen sich Datenschutz- und Sicherheitsrisiken ableiten und Einblicke in potenzielle Risiken innerhalb des Systems gewinnen. Das Ergebnis des Bedrohungsmodells wird eine Liste von Sicherheits- und Datenschutzrisiken sein, die es wiederum ermöglicht, eine geeignete Behandlung zu ermitteln – beispielsweise durch Abschwächung (Mitigation) oder Akzeptanz. Ein gemeinsamer minimaler Satz von Risiken wird so letztlich die Grundlage für das Risikoregister bilden, das von den Mitgliedstaaten als Maßstab für die Bewertung der Sicherheit ihrer nationalen Systeme für die vorübergehende Zertifizierung Verwendung finden wird.
Hoheitliche und privatwirtschaftliche Nutzung
Behörden stehen bei ihren Interaktionen mit Bürgern vor einer großen Herausforderung: Einzelne Behörden haben zwar nur begrenzte Kontaktpunkte mit Bürgern, aber insgesamt haben Bürger regelmäßig mit verschiedenen staatlichen Stellen zu tun. Eine fehlende Interoperabilität zwischen unterschiedlichen Behörden stellt jedoch eine enorme Hürde für Bürger dar, wenn sie für verschiedene Dienstleistungen mehrere Identitätsnachweise erbringen müssen.
Mit SSI behält jeder Einzelne die Kontrolle über seine persönlichen Daten und der vorgegebene Rahmen ermöglicht gleichzeitig eine nahtlose Interaktion mit diversen Behörden (und auch der Privatwirtschaft). Aus Sicht der staatlichen Institutionen rationalisieren die Interoperabilitätsvorteile von SSI die Prozesse, da nur noch eine Identitätsbescheinigung für den Zugang zu verschiedenen Stellen erforderlich ist, was überdies die mit zentralisierten Systemen verbundenen Datenschutzbedenken abschwächt.
In der Europäischen Union schafft das ratifizierte eIDAS v2.0 die Voraussetzungen für den beschriebenen Einsatz. Die Auswirkungen sind weitreichend: Von Behörden ausgestellte elektronische Identitäten (bzw. „Bescheinigungen“) sind ein Eckpfeiler der Technologie, der nicht nur die Interaktion der Bürger mit Behörden neugestaltet, sondern auch in die Interaktion mit Dritten hineinreicht: Mit einer staatlich ausgestellten Identität könnte ein Nutzer ein Bankkonto eröffnen, einen Telefonvertrag abschließen oder unzählige Online-Transaktionen nahtlos und sicher durchführen.
SSI ermöglicht die Erstellung von Berechtigungsnachweisen, die den rechtmäßigen Zugang zu bestimmten Dienstleistungen bestätigen – zum Beispiel für Mitgliedschaften in Fitnessstudios oder Konzertkarten. Solche Berechtigungsnachweise erweitern Identitätsinformationen etwa um persönliche Gesundheitsdaten, Rezeptinformationen und Körpermaße. Für das Online-Shopping birgt das beispielsweise – nach entsprechender Freigabe der Daten durch den Nutzer – das Potenzial, dem Käufer die richtigen Kleidergrößen vorzuschlagen, ohne dass dieser diese Informationen in einer Maske in einem Online-Shop eingeben müsste.
Die Einführung von SSI stellt einen Paradigmenwechsel dar, wie Behörden mit Bürgern interagieren und wie Einzelpersonen mit dem öffentlichen und privaten Sektor zusammenarbeiten. Durch die Implementierung dieser transformativen Technologie können alle Seiten von einer höheren Effizienz, verbesserter Sicherheit und einem nahtloseren digitalen Ökosystem profitieren.
Digitalisierung und Vertrauen
Das Streben nach Digitalisierung stellt sowohl Behörden als auch Firmen vor gewaltige Herausforderungen – Budgets und Fachpersonal werden umfangreichen Projekten zugewiesen, um konkrete Anwendungsfälle zu lösen. Die Bedeutung der SSI geht jedoch über die Identitätsüberprüfung hinaus: Sie umfasst die nahtlose digitale Nutzung von Berechtigungsnachweisen ohne zwischengeschaltete Unterbrechungen. Jede Dateneinheit eines „Ausweises“ wird von seinem Aussteller authentifiziert, was ihm ein ähnliches Maß an Glaubwürdigkeit verleiht, wie es traditionelle Papierdokumente besitzen (z. B. Reisepässe, Mitglieds- oder nicht Firmenausweise). Folglich müssen Empfänger nicht die Informationen selbst, sondern lediglich die Authentizität der ausstellenden Stelle überprüfen. Dieser doppelte Vorteil erhöht die Datenqualität im Vergleich zu vom Benutzer ausgefüllten Formularen und macht eine manuelle, ausgelagerte oder automatisierte Überprüfung überflüssig, was Prozesse vereinfacht und Kosten senkt.
Die sich entwickelnde Landschaft überprüfbarer Bescheinigungen wirft allerdings interessante Fragen zur rechtlichen Haftung auf. Da die Emittenten die Integrität ihrer Nachweise sicherstellen müssen, werden zumindest dort Sorgfaltsprüfungen unumgänglich sein. Dieser Wandel wird das Entstehen von Ökosystemen fördern, die eigene Standards für Datenqualität und Vertrauenswürdigkeit aufweisen. Diese Standards werden dann als Maßstab für die Bewertung des Vertrauens durch Dritte dienen und den Grad der Zuverlässigkeit eines „Ausweises“ (bzw. seines Ausstellers) signalisieren.
Entscheidend ist, dass SSI keine inhärenten Beschränkungen aufweisen, die den Nachweis auf nationale Gerichtsbarkeiten oder bestimmte Ökosysteme beschränken! Diese Flexibilität ist eine der Stärken der SSI, wodurch sie aufgrund ihres Interoperabilitätsprinzips weltweit einsetzbar sind. SSI sollen geografische Beschränkungen überwinden und nahtlose Interaktionen und Transaktionen auf internationaler Ebene ermöglichen. In dem Maße, in dem Akteure aus allen Sektoren diese transformative Technologie annehmen, hat SSI das Potenzial, die digitale Interaktion zu revolutionieren und eine besser vernetzte und effizientere globale Landschaft zu fördern.
Technische Absicherung
Verifizierbare Berechtigungsnachweise sind kryptografisch signiert, was jeden Versuch erkennbar macht, die in einem verifizierbaren Berechtigungsnachweis enthaltenen Daten zu verändern (Manipulationssicherheit). Kryptografische Signaturen bieten zudem die Möglichkeit, Aussteller von verifizierbaren Berechtigungsnachweisen eindeutig zu identifizieren und somit die Vertrauenswürdigkeit der Daten zu bewerten.
Digitale Signaturen, wie sie auf Dokumenten oder in X.509-Zertifikaten verwendet werden, lassen sich prinzipiell auch nutzen, um die Aktivitäten unterzeichnender Parteien nachzuverfolgen. Um zu verhindern, dass Empfänger verifizierter Berechtigungsnachweise digitale Signaturen verwenden, um die Eigentümer verifizierter Berechtigungsnachweise über verschiedene Anwendungsfälle hinweg zu verfolgen, unterstützt SSI kryptografische Algorithmen, die diese Schwachstelle beseitigen und eine Unverknüpfbarkeit der Daten garantieren. Es ist jedoch immer noch möglich, Einzelpersonen auf der Grundlage von Informationen, die sie mit Empfängern teilen, zu verfolgen – in bestimmten Anwendungsfällen lässt sich das schlichtweg nicht vermeiden.
Die sogenannte selektive Offenlegung durch den Betroffenen erfolgt ebenfalls mithilfe fortschrittlicher Kryptografie: So können Dateneigentümer bei jeder Transaktion entscheiden, welche der auf den verifizierbaren Berechtigungsnachweisen in ihrem Wallet gespeicherten Daten sie freigeben wollen und welche nicht freigegeben werden sollen. Bestimmte Implementierungen unterstützen auch „Null-Wissen-Beweise“ (Zero-Knowledge-Proofs): Auf der Grundlage von Informationen, die in den verifizierbaren Berechtigungsnachweisen enthalten sind (z. B. das Geburtsdatum), ist es damit möglich, abgeleitete Informationen offenzulegen (dass z. B. Volljährigkeit gegeben ist), ohne jedoch die zugrunde liegenden Daten selbst zu offenbaren.
Fazit
Der Einsatz von SSI liefert eine vielversprechende Lösung, die traditionelle Limitierungen überschreitet, indem sie dem Einzelnen die Kontrolle über seine digitalen Identitätsdaten gibt und die Interoperabilität über Grenzen hinweg fördert. Die Technologie birgt zudem großes Potenzial für die Rationalisierung von Prozessen, eine Verbesserung der Sicherheit sowie die Förderung des Vertrauens in digitale Transaktionen.
Das von der EU entworfene ARF bietet Fachleuten einen guten ersten Ansatzpunkt, um sich über die Absicherung von SSI im Hinblick auf Sicherheitsrisiken und Datenschutz vorzubereiten.
Michael Doujak ist Product Manager bei Airlock.
Literatur
[1] Europäische Union, Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität, in: Amtsblatt der Europäischen Union Reihe L, 30. April 2024, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1183
[2] Bundesministerium des Innern und für Heimat, Die eIDAS-Verordnung, EUDI-Wallet(s) und ihre Bedeutung für europäische digitale Identitäten, undatiert
[3] European Commission, EU Digital Identity Wallet, Technical specifications, undatiert, https://ec.europa.eu/digital-buildingblocks/sites/display/EUDIGITALIDENTITYWALLET/Technical+Specifications
[4] EUDI Wallet, European Digital Identity Wallet Architecture and Reference Framework, undatiert, https://eu-digital-identity-wallet.github.io/eudi-doc-architecture-and-reference-framework/latest/arf/
[5] Clemens Wanko, Neue Regeln für Vertrauensdienste, EU-Verordnung eIDAS vereinheitlicht elektronische Signaturen, <kes> 2014#6, S. 60
[6] Guido Frank, Elektronische Vertrauensdienste und Identifizierungsmittel europaweit nutzen, eIDAS-Verordnung schafft einheitliche Rahmenbedingungen, BSIForum/<kes> 2017#1, S. 52
[7] André Kudra, Self-Sovereign Identity (SSI), Identity- & Access-Management mithilfe von Blockchain-Verfahren, <kes> 2020#2, S. 65
[8] Norbert Pohlmann, Self-Sovereign Identity (SSI), Auf dem Weg in ein souveränes europäisches Ökosystem für Identitätsdaten, <kes> 2021#4, S. 62
[9] Rainer W. Gerling, Irrungen und Verwirrungen, Warum ist Signieren eigentlich so schwer?, <kes> 2023#2, S. 54
[10] Kim Nguyen, EU-weite Identität fürs Internet, Wie mit der EUid eine Art digitaler Schengen-Raum entsteht, <kes> 2023#2, S. 60
[11] Daniel Leisegang, EUDI-Wallet: Eine Brieftasche voller Schlupflöcher, netzpolitik.org, Juni 2024, https://netzpolitik.org/2024/eudi-wallet-eine-brieftasche-voller-schlupfloecher/
[12] Microsoft Learn, The STRIDE Threat Model, Dezember 2009, https://learn.microsoft.com/en-us/previous-versions/commerce-server/ee823878(v=cs.20)?redirectedfrom=MSDN
[13] Larry Conklin et al., STRIDE, in: Threat Modeling Process, Open Worldwide Application Security Project (OWASP) Community Pages, undatiert, https://owasp.org/www-community/Threat_Modeling_Process#stride
[14] DistriNet Research Unit KU Leuven, LINDDUN Privacy Threat Modeling, undatiert, https://linddun.org