Die digitale Identität und die Zukunft des Internets
Digitale Identität, Datenschutz und digitale Selbstbestimmung rücken immer weiter in den Fokus der Aufmerksamkeit. Insbesondere beim Thema Digitale Identität hagelt es sehr heftig an Kritik. Hier entsteht sofort ein Zusammenhang zu digitaler Überwachung und dem Überwachungs-Kapitalismus.
Im Grundsatz ist diese Kritik verständlich. Unsere Identität beschreibt das, was wir sind und ist damit unwidersprüchlich ein sehr schützenswertes Gut. Wieso ist die digitale Verfügbarkeit der eigenen Identität eigentlich so wichtig? Genau wie in der der realen Welt, gehört zu unserem digitalen Leben und Wirken die Interaktionen mit anderen Menschen, Organisationen und Dingen. Solche Interaktionen erfordern stets Vertrauen in den Interaktionspartner. Egal ob durch die Prüfung des Personalausweises beim Mieten eines Autos oder die Prüfung der Abschlusszeugnisse bei der Bewerbung um einen Job, der Aufbau von Vertrauen ist immer mit dem Austausch von Informationen zur eigenen Identität verbunden.
“The ability to prove who you are is a fundamental and universal human right. Because we live in a digital era, we need a trusted and reliable way to do that both in the physical world and online.” (https://id2020.org/)
Die digital Welt ist heute tief in unser Leben verankert, die digitale Identität dagegen steckt noch in den Kinderschuhen. Auch wird die digitale Identität gern in einem Atemzug mit Dystopien wie “Minority Report” oder Orwells “1984” genannt und die zitierte ID2020-Initiative erfährt hierbei besonders viel Kritik.
„Was man zu verstehen gelernt hat, fürchtet man nicht mehr.“ (Marie Curie)
Der Aufbau von Verständnis zur digitalen Identität ist für deren Erfolg also mindestens genauso wichtig wie die technologische Entwicklung in diesem Themenkomplex. Und Komplex ist das Thema digitale Identität allemal. Es gibt nicht DIE digitale Identität, vielmehr existieren eine ganze Reihe an technologischen Ansätzen, die mehr oder weniger nah an den erwähnten Dystopien sind. Die Unterscheidung der verschiedenen Ansätze und der damit verbundenen Möglichkeiten und Risiken ist aufgrund der technischen Details heute oft nur für Tech-Experten möglich.
Veranschaulichen wir die Möglichkeiten einmal am Beispiel der schon erwähnten Miete eines Fahrzeugs. Um ein Fahrzeug zu mieten muss ich heute meinen Ausweis und meinen Führerschein bei Abholung des Mietwagens vorzeigen und so nachweisen. Damit weise ich meine Identitätsmerkmale nach — “Ich bin älter als das geforderte Mindestalter” und “Ich bin im Besitz eines entsprechenden Führerscheins”. Außerdem wird noch meine Kreditkarte verlangt, um nachzuweisen, dass ich auch im Fall eines Schadens für diesen aufkommen kann. All die geforderten Nachweise habe ich in meiner Brieftasche und kann diese der MitarbeiterIn des Vermieters “CarRent” zeigen. Diese prüft dann, ob es sich um ein Original-Dokument handelt und ob die geforderten Kriterien zutreffen (Alter, Führerschein-Klasse, Bonität). Wie würde das nun laufen, wenn ich einen digitalen Miet-Service “CarRent Digital” nutze, bei dem es keine Kontrolle durch eine Person gibt?
Verwaltung der Identitätsdaten innerhalb der digitalen Anwendung
Bei der heute wohl geläufigsten Form erfolgt die Verwaltung der digitalen Identität direkt durch den Anbieter der digitalen Anwendung. Dazu hinterlege ich meine Ausweis und Führerschein-Daten im Webportal des Anbieters. Diese werden verifiziert und durch den Anbieter selbst abgespeichert.
Für mich als Nutzer hat das den Nachteil, dass ich meine Daten bei allen Anbietern die ich nutzen möchte, hinterlegen muss. Außerdem gebe ich hier mehr Daten preis, als eigentlich erforderlich sind und muss dem Anbieter vertrauen, dass er mit diesen Daten sorgsam umgeht und vor Missbrauch schützt. Auch für den Anbieter ist das Modell nicht ganz einfach. Dieser muss sich um die sichere Verwaltung, Aktualität und Prüfung der Identitätsdaten sorgen, was risikobehaftet und kostspielig ist. Alles in allem kein besonders gutes Modell. Gerade bei großen Dienst-Anbietern (Google, Amazon, Facebook & Co) kommt noch hinzu, dass dieses die Identitätsdaten mit Verhaltensdaten (Kaufverhalten, Sozialverhalten, Bewegungsdaten) kombinieren und so den die Grundlage für eine umfassende digitale Überwachung gelegt haben.
Identitätsverwaltung als Dienstleistung
Die Identitätsprüfung können auch darauf spezialisierte Identitäts-Dienstleister (bsp. veriff, ID.now, Verimi) übernehmen. Ähnlich wie schon von Bezahl-Services wie Paypal bekannt, werden Daten einmal beim Anbieter des Identitäts-Services erfasst und validiert und können dann in verschiedenen Anwendungen und Diensten genutzt werden. Für die Nutzer verspricht das einen Zugewinn an Komfort und Sicherheit. Anstatt meine Daten bei unzähligen Anbietern zu hinterlegen, mache ich das einmalig bei einem Anbieter dem ich Vertraue. Hier liegt allerdings auch das Problem dieses Ansatzes. Bevor ich einen solchen Service nutzen kann, muss ich alle notwendigen Identitätsdaten dem Anbieter des Identitäts-Service anvertrauen. Da diese Identität dann für alle meine Aktionen im Netz genutzt wird, entsteht hier mein “digitaler Schatten” der in den Datenbanken des Anbieters lebt. Auch wenn solche Anbieter Privatsphäre nach europäischen Standards versprechen und sich damit als gute Alternative zu Google und Facebook verkaufen, verfolgen sie doch im Grunde den gleichen Ansatz und stellen aus meiner Sicht nur einen schlechten Kompromiss dar.
Selbstverwaltete Identität
Das Konzept der selbstverwalteten digitalen Identitäten versprechen einen Ausweg aus dem Dilemma. Bei dem Konzept werden die Daten durch die Nutzer selbst gespeichert und verwaltet. Das geschieht in Form eines sogenannten Wallets. Das ist vergleichbar mit einer Brieftasche, in der alle meine Ausweis-und Identitätsdokumente sind. Genauso speichert die digitale Brieftasche, das Wallet, alle meine Identitätsdaten. Das Wallet befindet sich dann entweder auf meinem Handy oder einer speziellen Hardware. Dadurch habe nur ich Zugriff auf diese Daten. Wird ein Dienst genutzt der Daten benötigt, könne die Nutzer diese Daten vorzeigen und der Anbieter die Echtheit und Gültigkeit verifizieren. Und genau hier liegt das Kernproblem digitaler Daten, welches mit dem neuartigen Ansatz selbstverwalteter digitaler Identitäten gelöst werden soll. Digitale Daten sind keine Originale. Woher weiss ich, dass der Ausweis wirklich echt, der digitale Führerschein noch gültig ist und alle Daten wirklich zu der Person gehören dies sie vorgibt zu sein? Der Ansatz funktioniert über eine Dreiecksbeziehung. Eine Person (Holder) besitzt einen Führerschein und lässt sich das von dem Herausgeber des Führerscheins digital bestätigen (Issuer). Der digitale Führerschein inklusive des Stempels liegt im Wallet der Benutzer. Möchte dieser ein Fahrzeug mieten wird der digitale Führerschein dem Vermieter (Verifier) gezeigt, der dann anhand des digitalen Stempels prüfen kann, ob dieser wirklich vom vertrauensvollen Herausgeber, also dem Issuer, stammt. Verschiedene Identitätsmerkmale wie Ausweis, Führerschein, Abschlusszeugnisse können von verschiedenen Issuern herausgegeben und durch die Nutzer selbst in ihren Wallets verwaltet werden. Dieser Ansatz sorgt also für eine echte Unabhängigkeit von einzelnen Identitätsanbietern. Natürlich stellt sich dann die Frage, wer eine solche Infrastruktur schaffen soll, da hierbei ja die Möglichkeit, mit den Daten der Nutzer Geld zu verdienen, weg fällt. Die grundlegende Infrastruktur der digitalen Identität wurde deshalb insbesondere in der EU als hoheitliche Aufgabe erkannt und auch in Deutschland startet die Regierung immer mehr Initiativen, die sich dem Aufbau einer Infrastruktur für selbstverwaltete digitale Identitäten verschreiben.
Für die Nutzer digitaler Dienste ist eine Menge Wissen notwendig, um zwischen den verschiedenen Ansätzen zu unterscheiden. Und selbst mit Expertenwissen haben Anwender nicht nicht die Wahl sich für eine “gute” Identitäts-Technologie zu entscheiden — wird doch diese vom Anbieter eines digitalen Services vorgegeben. Es ist nur möglich, sich gegen eine Identitäts-Technologie, dann aber eben auch gegen den Service zu entscheiden.
Das Ende des Passwort-Webs
Eine echte Wahlmöglichkeit für den zu nutzenden Identitäts-Service ist also die Voraussetzung für mehr Selbstbestimmung und digitale Souveränität. Weg vom “Passwort-Web” hin zum Identitäts-Web. Hier stehe ich mit meiner Identität im Mittelpunkt und entscheide selbst, welche Dienste welche meiner Daten für welchen Zweck bekommen. Der Weg dahin ist noch lang. Es sind sowohl die Anbieter digitaler Services, die Anbieter von Identitäts-Technologien, als auch der Staat als Regulierer gefragt. Und nicht zuletzt digital-mündige Nutzer, die in der Lage sind die verschiedenen Ansätze und deren Auswirkungen auf den Umgang mit Identitätsdaten zu unterscheiden. Denn Fakt ist, die digitale Welt ist fest mit der digitalen Identität verbunden und die Prinzipien der Selbstverwaltung sind Voraussetzung für digitale Souveränität.
