Identität und die Rolle der Blockchain

Unternehmen, die eine Public Blockchain wie Ethereum nutzen wollen, benötigen häufig persönliche Daten ihrer Nutzer. Je nach Anwendung sind das zum Beispiel die Emailadresse, die Wohnadresse oder die Fahrberechtigung – als Beispiele. Dieser Beitrag soll veranschaulichen,

• was eine Identität ist, und
• wie die Prüfung der eingegebenen Daten auf Validität automatisiert während eines Registrierungsprozesse durchgeführt werden kann.

Das Konzept Identität

In Soziologie, Psychologie und Philosophie werden der Begriff Identität und der Begriff „Ich“ vorrangig als Entwicklungsprozess und nicht als etwas Starres angesehen. Nach europäischen Recht wird eine natürliche Person durch die Zuordnung von einem oder mehreren Elementen ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität identifiziert (Art. 2 Buchst. a der Richtlinie 95/46/EG).

Validität der identifizierenden Elemente

Eine Person identifiziert sich gegenüber einer anderen Person oder Organisation, indem sie eines oder mehrere dieser Elemente preisgibt. Nun kann jeder behaupten, eine bestimmte Eigenschaft zu besitzen.

Die Validität der Daten wird dabei erst durch die Zertifizierung eines außenstehenden, vertrauenswürdige Dritten bestätigt. Ein gängiges Beispiel ist die Beglaubigung eines Ausweis-Dokuments durch eine staatlichen Stelle.

Das lässt sich an einem einfachen Beispiel verdeutlichen. Wenn ich das Angebot eines Carsharing-Unternehmens nutzen möchte, benötigt der Carsharing-Anbieter eine Information darüber, ob ich fahrberechtigt bin. Die eigene Aussage wird hier nicht ausreichen. Erst durch Vorlegen eines gültigen Führerscheins vertraut mir das Unternehmen, dass ich fahrberechtigt bin.

Wir verlassen uns auf die Echtheit von Identifikationspapieren, da diese sehr schwer zu fälschen sind. Deswegen besitzen Ausweisdokumente mittlerweile sehr komplizierte Sicherheitsmerkmale, zum Beispiel Hologramme.

Dennoch ist es nicht unmöglich, diese zu fälschen. Im Darknet lassen sich glaubhafte Fälschungen für aktuelle niederländische Führerscheine für 400€ bestellen. Der alte deutsche Personalausweis, der bis 2010 ausgestellt wurde und eine Gültigkeit von zehn Jahren besitzt, kann laut Aussagen der Händler perfekt gefälscht werden.

Varianten von Ausweisdokumenten für das gleiche Element

Neben dem Fälschen von Ausweisdokumenten erschwert die Varianz von Dokumenten, die das gleiche Element identifizieren, den Vorgang der Identifikation.

Ein Kollege wurde in Thailand beim Rollerfahren angehalten. Seine Fahrberechtigung wurde geprüft, indem er seinen Führerschein vorzeigen sollte. Der Kollege zeigte natürlich seinen deutschen Führerschein. Der Polizist schlug daraufhin in einem Ordner nach, in dem Führerscheine verschiedener Länder abgebildet waren. Der Polizist prüfte, ob der Führerschein des Kollegen dem Bild in seinem Ordner entsprach und ließ ihn anschließend weiterfahren. Die Vielfalt von legalen Dokumenten erschwert die internationale Prüfung auf Validität enorm.

Das Identitätsmanagement im Ökosystem Ethereum

Das Peer-to-Peer-Netzwerk der Ethereum-Blockchain bildet ein Ökosystem (siehe hier). Es besteht aus Kernelementen wie “Smart Contracts”, verteilter Datenspeicherung und der verschlüsselten Kommunikation zwischen verschiedenen Endpunkten.

Startups und Konzerne, die die Vorteile der Blockchain nutzen wollen, stoßen häufig auf das Problem, dass eine Person und deren Merkmale nicht genau einem Wallet zugeordnet werden können.

Beispielsweise kann selbst ein CarSharing Unternehmen, das seine gesamten IT-Infrastrukturprozesse über die Blockchain abgebildet hat, den Prozess der Identifikation nicht vollständig automatisieren. Der Führerschein muss immer noch händisch vorgezeigt werden.

Die Projekte “uPort” und “Civic” haben sich daher zur Aufgabe gemacht, einen dezentralisierten Service zur Bereitstellung und Absicherung von Identitätsinformationen in Echtzeit für Ethereum zu schaffen. Hierbei wird eine Identität über einen Smart Contract auf der Blockchain repräsentiert. Diesem Smart Contract können Attribute zugewiesen und durch Dritte zertifiziert werden.

Identitäten und deren (zum Teil zertifizierte) zugehörige Attribute können anschließend über einen sicheren Kommunikationskanal weitergegeben werden. Für die Praxis bedeutet das, dass der komplette Registrierungsprozess für das CarSharing-Unternehmen nun automatisiert werden kann, sofern das Unternehmen den Standards von uPort beziehungsweise Civic folgt.

Der Standard für Identität

Die Gefahr lauert in Einzellösungen. Implementiert und nutzt jeder nun seine eigene Identitätslösung, so können zwei Probleme auftreten: Zum einen kann sich der Nutzer bei einer entsprechenden Anwendung nicht automatisiert anmelden, weil die Person die benötigte Identitätslösung nicht unterstützt; oder es kommen erhöhte Implementierungskosten auf das Projekt zu.

Das World Wide Web Consortium (W3C), welches auch Standards wie HTML, CSS, PNG, SVG, RDF, SOAP und vielen weiteren entwickelte hat kürzlich einen Standard für Decentralized Identifier und Verifiable Credentials vorgestellt. Details hierzu finden sich im Blogbeitrag unseres Kollegen Harald auf medium.com.

Self Sovereign Identity (SSI)

Der Begriff SSI beschreibt die digitale Bewegung, die erkennt, dass eine Person ihre Identität besitzen und kontrollieren sollte, ohne dass die Verwaltungsbehörden eingreifen. SSI ermöglicht es den Menschen, in der digitalen Welt mit derselben Freiheit und Vertrauensfähigkeit zu interagieren, wie sie es in der Offline-Welt tun.

Fazit

Angenommen eine Public Blockchain wie Ethereum setzt sich global durch und beinhaltet einen Identitätsstandard, so können sehr viele Prozesse komplett automatisiert werden.

Angefangen bei Registrierungsprozessen aus dem oben skizzierten CarSharing-Beispiel oder bei Versicherungen, bis hin zu zum Beispiel automatisierten Asylverfahren in der aktuellen Flüchtlingsdebatte.

Jeder wäre selbst für die Pflege der eigenen, digitalen Identität verantwortlich und gefälschte, beziehungsweise nicht lesbare Ausweisdokumente anderer Länder würden der Vergangenheit angehören. Zusätzlich können bestimmte Attribute einer Identität z.B. nach einem Hacker-Angriff selbstständig gesperrt werden, um so Identitätsdiebstahl nachhaltig zu verhindern. Ein Traumszenario? Vielleicht. So oder so ist es bis dahin ist es noch ein weiter Weg.

---

Über den Autor