Der Gesetzgeber verlangt von Geldinstituten, Kundendaten zu prüfen und sie aktuell zu halten. Da Legitimationsverfahren für Banken fester Bestandteil des Tagesgeschäfts sind, wird ihnen in den kommenden Jahren eine Schlüsselrolle bei der Schaffung dezentraler Identitäten zuteil. Self-sovereign identity (SSI) ist nur sicherer, wenn die Daten vorher verifiziert sind. Banken können die Aufgabe mit wenig Aufwand erfüllen und schöpfen aus ihren vorhandenen Strukturen.
Schwachstellen des aktuellen Single Sign-Ons
Jeder Internetnutzer besitzt zahlreiche Identitäten. Vom Online-Shopping über Social-Media-Kanäle bis hin zum Online-Banking: Kunden müssen sich mit einem persönlichen Login auf der Website des Dienstleisters anmelden, um ein bestimmtes Angebot nutzen zu können. Um solche Prozesse nutzerfreundlicher zu gestalten, bieten große Tech-Konzerne wie Google, Facebook oder Apple bereits einen Single Sign-On (SSO) an. Implementieren Dienstleister die entsprechende Schnittstelle in ihre Website oder App, können Anwender die Anmeldung zum Beispiel mit ihrer Google- oder Apple-ID vornehmen, ohne einen Registrierungsprozess durchlaufen zu müssen. Große Tech-Konzerne schaffen darüber hinaus gewaltige Datensilos. Internetgiganten müssen die jeweiligen Personenbezogenen Daten die in der ID hinterlegt wurden nicht verifizieren. Nutzer können sich also eine Fake-ID mit falschem Namen und Kontaktmöglichkeiten einrichten und so Drittanbieterdienste nutzen. Der SSO, wie er heute genutzt wird, ist somit für Interaktionen zwischen Unternehmen und Kunden, die etwa eine digitale Unterschrift oder zumindest eine zweifelsfreie Identifikation voraussetzen, nicht geeignet.
Physische Ausweisdokumente sind mit der SSI unnötig
Eine digitale Identität sollte dazu geeignet sein, den Nutzer zweifelsfrei zu identifizieren. Gleichzeitig setzt dies jedoch voraus, dass die personenbezogenen Daten, die es möglich machen, den Anwender zu identifizieren, in seinem Besitz verbleiben. Die in Dänemark vor einigen Jahren eingeführte NemID ist eine digitale Identität, welche diese Anforderungen weitestgehend erfüllt. 90% der Bürger in Dänemark verwenden die NemID. Entstanden ist das System unter Federführung der dänischen Regierung in enger Zusammenarbeit mit Banken und weiteren Privatunternehmen.
Die Kritik an dem System betrifft in erster Linie die kryptografische Sicherheit. Aufgrund des Erfolges der NemID haben die Verantwortlichen der Öffentlichkeit mit der MitID aber bereits einen Nachfolger präsentiert, der auch dieses Problem beseitigen soll. Die dänische digitale Identität ersetzt in der Praxis schon heute physische Ausweisdokumente ebenso wie die persönliche Unterschrift unter einem Dokument. Im Gegensatz zum elektronischen Personalausweis, der in Deutschland verwendet wird und lediglich rudimentäre Funktionen einer digitalen Identität aufweist, ist das System einfach zu bedienen, was zu deutlich mehr Akzeptanz in der Gesellschaft führt.
Banken spielen eine wichtige Rolle bei der Einführung der SSI
Der dänische Weg geht in die richtige Richtung. Dieser Weg verdeutlicht aber vor allem, dass bei der Etablierung einer digitalen Identität Legislative und Privatwirtschaft an einem Strang ziehen müssen. Insbesondere Banken werden wichtige Aufgaben erfüllen müssen. Die Self-sovereign identity erfordert die Verifizierung von Attributen, bevor anschließend verschlüsselte Zertifikate in der Blockchain hinterlegt werden. Da Banken bereits jetzt gesetzlich dazu verpflichtet sind, Kundeninformationen zu überprüfen, sind sie dafür prädestiniert, die entsprechenden Nachweise in das offene Ökosystem einzuspielen. Für Banken bietet sich so ein neues Geschäftsfeld, das leicht zu erschließen ist. Aufsichtsbehörden überwachen Geldinstitute, die strengen gesetzlichen Vorschriften unterliegen. Dies schafft Vertrauen bei den Bürgern. Gleichzeitig besitzen Banken die notwendige Infrastruktur, um Daten sicher zu übermitteln.
Ein Ökosystem dezentraler Identitäten muss offen konzipiert sein
Es gibt noch einige Hürden. Zunächst ist eine auf ausschließlich nationalstaatlicher Ebene etablierte digitale Identität nicht zielführend. Insbesondere die Vernetzung der europäischen Staaten erfordert die Schaffung offener Strukturen. Mit der EUid werden von politischer Seite bereits erste Anstrengungen unternommen, um diese Anforderung zu erfüllen, wichtig ist jedoch, dass Unternehmen stärker in diesen Prozess mit eingebunden werden. Ferner müssen branchenübergreifende Standards zur Identifikation von Personen und zum Austausch personenbezogener Daten geschaffen werden und international gültig sein. Am Ende profitieren Bürger und (Finanz-)Unternehmen gleichermaßen von der größeren Datensicherheit und vereinfachten Prozessen.