Selbstbestimmte Identitätsverwaltung

0
1122

Distributed-Ledger-Technologien (DLT), vor allem bekannt durch die Blockchain-Implementierung Bitcoin, sind nach wie vor ein Hype-Thema. Die teilweise verzweifelt anmutende Suche nach Einsatzfeldern für diese Technologie (“Wir haben eine Lösung und suchen noch das passende Problem!”) hat jedoch in der öffentlichen Verwaltung erste Früchte getragen. Es ist schon eine Vielzahl von Konzepten entwickelt worden, aus denen schon einige Prototypen, aber auch bereits flächentaugliche Anwendungen entstanden sind. Zu einem der interessantesten Einsatzfelder für Distributed-Ledger-Technologien in der öffentlichen Verwaltung darf die selbstbestimmte Identitätsverwaltung, vielen besser bekannt als Self Sovereign Identity (SSI), gezählt werden. Eine Zielsetzung dabei ist, das Recht auf informationelle Selbstbestimmung, also das Recht des Einzelnen, selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen, umzusetzen. Als Vertreter des Zusammenschlusses der Initiative Blockchain in der Verwaltung Deutschland (BiVD) und der Community-of-Practice Blockchain des NExT-Netzwerks haben wir für den Behörden Spiegel die Zielsetzung und den aktuellen Status hinterfragt.

Wieso beschäftigen wir uns mit Distributed-Ledger-Technologien zur Umsetzung des Gedankens einer selbstbestimmten Identitätsverwaltung?

Jeder von uns kennt die Situation, dass man Dienste gerne online über sein Smartphone in Anspruch nehmen möchte, dafür aber gegenüber dem Diensteanbieter die eigene Identität (z. B. im Form eines Personalausweises) bzw. eine Legitimation (z. B. in Form eines Führerscheins oder einer Gesundheitskarte) nachgewiesen werden muss. Stellenweise sind sogar noch weitere Dokumente, wie beispielsweise ein Ausbildungszeugnis, erforderlich. Hier bieten Distributed-Ledger- Technologien zusammen mit internationalen Entwicklungen des World Wide Web Consortiums w3c (Decentralized Identity – DID) und der Decentralized Identity Foundation medienbruchfreie Lösungen an. Neben den augenscheinlichen Einsatzfeldern in der öffentlichen Verwaltung sind Anwendungsfälle selbstbestimmter Identitätsverwaltung in der Privatwirtschaft greifbar nahe, z. B. bei IoT und Industrie 4.0, wo Credentials für Objekte durch Unternehmen, beispielsweise den Hersteller von Geräten, ausgestellt werden können. Zusammengenommen bieten sich immense Chancen für die sektorenübergreifende Digitalisierung.

Selbstbestimmte Identitätsverwaltung ist keine Aufgabe für eine einzelne Behörde. Was muss getan werden, um an dieser Stelle einen großen Schritt in der Digitalisierung nach vorne zu machen?

Erst wenn wir uns in behördenübergreifenden Szenarien bewegen, macht eine auf DID basierende Lösung für selbstbestimmte Identitäten wirklich Sinn, weil hier erst die Vorteile zum Tragen kommen. Damit übergreifende Lösungen geschaffen werden können, müssen behördenübergreifende Standards festgelegt werden, die die Interoperabilität der möglichen unterschiedlichen Ausprägungen einer Blockchain sicherstellen, sodass Identitäten lösungsübergreifend gegenseitig vollständig anerkannt werden, so eine Art “Trusted Identity”. Um den Gedanken des Single-Digital-Marktes weiter umzusetzen, müssen wir über diese Standards auf europäischer Ebene reden. Hierzu gibt es seit einiger Zeit entsprechende Arbeitskreises an denen wir beteiligt sind.

Wie funktioniert selbstbestimmte Identitätsverwaltung?

Der Bürger, aber auch juristische Personen (z. B. Firmen, Behörden, Ämter), können über eine Applikation auf mobilen Geräten ihre Identitätsdaten selbst eingeben und speichern. Diese Daten sind durch einen privaten Schlüssel im sogenannten Wallet kryptografisch gesichert. Das alleine reicht jedoch nicht: Die Identität muss durch eine dafür berechtigte Stelle verifiziert und bestätigt werden. Über den gleichen Mechanismus (Verified Credential / Verified Claims) können weitere Berechtigungen (z. B. Führerschein) oder Dokumente (z. B. Geburtsurkunde) zu der eingerichteten Identität hinzugefügt werden.
Ist dies erfolgt, kann der Bürger mit seinen Identitätsdaten überall dort digital agieren, wo zur Feststellung seiner Identität normalerweise ein Personalausweis, eine Gesundheitskarte oder ein Führerschein vorgelegt werden müsste. Darüber hinaus besteht die Möglichkeit, weitere Informationen und Dokumente zum Umfeld der Identität im Wallet zu hinterlegen, wie beispielsweise das KfZ-Kennzeichen oder ein Abschlusszeugnis.
Ein weiterer wichtiger Aspekt: Die personenbezogenen Daten und Dokumente liegen nicht in der Blockchain. DLT dient nur dazu, die signierten Hashwerte der Identitäten und der Signaturzertifikate abzulegen. Die eigentlichen Daten sind Off-Chain gespeichert und durch Verschlüsselung vor unberechtigten Zugriff abgesichert.

Welche Voraussetzungen müssen geschaffen werden, damit selbstbestimmte Identitätsverwaltung im Alltag funktioniert?

Ein wichtiges Thema dürfte hier die Schaffung eines sicheren Rechtsrahmens sein. Ebenso gilt es, die öffentliche Verwaltung und die Privatwirtschaft zu motivieren, attraktive Angebote zu schaffen. Die Entwicklung einer Applikation, des Wallets also, gestaltet sich technisch eher einfach. Für Europa insbesondere notwendig ist, dass diese neue Identitätslösung kompatibel mit den EU-Regularien (eIDAS) ist.

Welche Ansätze müssen wir verfolgen, um die selbstbestimmte Identitätsverwaltung im Markt zu etablieren?

Bürger und Unternehmen gehen immer noch sehr verhalten mit der Nutzung der eID-Funktion des Personalausweises oder einem Bürgerkonto um, weil derzeit noch wenige Angebote existieren, die genutzt werden können. Nicht anders verhält es sich mit selbstbestimmten Identitäten. Wenn nicht zeitgleich mit der Einführung benutzerfreundliche Angebote geschaffen werden, z. B. Carsharing, Kfz-Anmeldung, Anwohnerparkausweise, wird sich der Nutzen nicht entfalten können. Öffentliche Verwaltung und Privatwirtschaft müssen diese Angebote jedoch erst schaffen. Eine Voraussetzung dafür, dass dies erfolgen kann, ist die transparente Darstellung des Entwicklungspfades unseres Ansatzes. Im Rahmen der European Blockchain Partnership wird bereits an Beispielen gearbeitet.

Was sind die größten Hürden?

Eine große Hürde ist, die behördenübergreifende Zusammenarbeit zielorientiert zu betreiben und mit agilen Methoden schnell vorzeigbare Ergebnisse zu präsentieren. Die Entscheidungsfindung muss schnell sein und die Frage der notwendigen Anschubfinanzierung geklärt werden. Darüber hinaus sind die Bemühungen in Richtung eines “Single-Digital-Markets” auf europäischer Ebene mit zu betrachten. Die aktive Rolle des CIOs des Landes Nordrhein-Westfalen hat insbesondere dazu beigetragen, auch direkt an Entwicklungen der EU-Kommission beteiligt zu werden und so das Know-how direkt über BiVD und NExT weiterzugeben.

Welche Rolle spielen dabei Informationssicherheit und Datenschutz?

Das Schöne an der selbstbestimmten Identitätsverwaltung ist, dass der Datenschutz bereits eingebaut ist. Der Identitätsinhaber entscheidet, welche Daten seiner Identität er wem preisgeben möchte. Die Identitätsdaten werden – einschließlich eines lokalen Back-ups – im direkten Hoheitsbereich des Inhabers angelegt und auch dort gespeichert. Auch bei der Informationssicherheit profitieren wir bei diesem Ansatz von den Sicherheitselementen, die die Blockchain mit sich bringt.

Wenn wir drei Wünsche frei hätten, was würden wir uns wünschen?

Die Schaffung eines sicheren Rechtsrahmens, verstärkte Förderung für den Ausbau des erforderlichen Ökosystems und Implementierung einer bundesweiten Distributed-Ledger-Infrastruktur.

Was ist die Community-of-Practice?

Die Initiative Blockchain in der Verwaltung Deutschland (www.BiVD-Initiative.de) hat im Mai 2018 unter der Federführung des Ministeriums für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen die Arbeit aufgenommen. Der BiVD möchte gemeinsam mit Partnern aus Behörden von Bund, Ländern, kommunalen Dienstleistern, Partnern aus der Industrie, Start-ups und Institutionen und Initiativen in ganz Europa eine belastbare, rechtssichere und zukunftsorientierte Infrastruktur für digitale Verwaltungsdienste entwickeln. Ein wenig früher, im Januar 2018, wurde das Netzwerk Experten digitale Transformation der Verwaltung (www.NExT-Netz.de) gegründet. NExT ist ein ressortübergreifendes Netzwerk aus Vordenkenden und aktiv Gestaltenden der Digitalisierung im öffentlichen Sektor mit dem Anspruch, die digitale Transformation der Öffentlichen Verwaltung maßgeblich zu gestalten und voranzubringen. Die Aktivitäten von NExT beschränken sich nicht nur auf den Einsatz von Distributed Ledger Technologien. Die Werkstatt Neue Technologien strebt an, rund um die verschiedenen Technologien sogenannte Communities-of-Practice aufzubauen, um den Erfahrungsaustausch zu intensivieren und zu verstetigen. Der Zusammenschluss der Initiative BiVD und der Community Blockchain von NExT ist ein konsequenter Schritt, Kräfte zu bündeln und konstruktive Zusammenarbeit an konkreten Zielen vorzuleben.

Dieser Gastbeitrag wurde verfasst von Dr. Hans-Günter Gaul, IT-Direktor bei der Bundesnotarkammer und Vorstand des NExT e.V, sowie Helmut Nehrenheim , Referent beim CIO der Landesregierung Nordrhein-Westfalen im Digitalisierungsministerium NRW. Nehrenheim ist darüber hinaus Leiter der Initiative Blockchain in der Verwaltung Deutschland (BiVD).

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here