Artikelserie Self-Sovereign Identity Teil III: Wie SSI Identitätsmanagement in Unternehmen verändert

von Dr. André Kudra

Das Thema Self-Sovereign Identity (SSI) erreicht derzeit hohe internationale Aufmerksamkeit. Die Vorstellung der Sovrin Foundation im vorigen Artikel und das dort beschriebene Modell der Self-Sovereign Identity, haben bereits erste konkrete und praktische Implementierungen von Hyperledger erkennen lassen. Aus dem letzten Artikel ging zusätzlich hervor, wie fehleranfällig und unkomfortabel die Verwaltung unserer digitalen Identitäten in Unternehmen sein kann. Daran anknüpfend taucht dieser Artikel nun noch tiefer in das Thema SSI ein und zeigt Vorteile auf. Ein praxisbezogener Anwendungsfall im Unternehmenskontext rundet die Artikelserie ab und stellt die Benefits des Themas SSI vor.

Ein sich herauskristallisierender Standard für SSI, der über eine Arbeitsgruppe des World Wide Web Consortium (W3C) formuliert wurde, sind die sogenannten „Decentralized Identifiers“ (DIDs). Dieser Standard wird für eine plattformunabhängige Umsetzung von digitalen Identitäten benötigt. DIDs sind ein neuartiger Identifikator-Typ für verifizierbare digitale Identitäten, die vollständig unter der Kontrolle des Eigentümers der Identität stehen. Sie sind unabhängig von einer zentralisierten Registrierungs- oder Zertifizierungsstelle oder eines Identity-Providers. Man kann diese DIDs als eine Form der Identifizierung für selbstverwaltete digitale Identität ansehen. Um weiterhin die Privatsphäre zu erhöhen und eine Korrelation von Daten zu vermeiden, besteht eine digitale Identität aus sehr vielen DIDs. Es bedarf somit keiner „höheren“ Instanz, die ein DID erst generieren und daraufhin einem Benutzer zuweisen muss. Mit DIDs existiert ein interoperables System, das ähnlich den URLs (Uniform Resource Locators) im Internet agiert und eine Identitätsschnittstelle im Web bildet, mit dem Ziel, zentrale Abhängigkeiten, bspw. zu Identity Providern, zentrale Fehlerquellen zu eliminieren.

DIDs verweisen wiederum auf DID Documents, die die Informationen enthalten, wie ein spezieller DID zu benutzen ist. In einem DID Document sind alle Metadaten enthalten, um den Besitz und die Kontrolle des dazugehörigen DID zu beweisen: Dazu gehören die kryptographischen Schlüssel (Public Keys), verschiedene Metadaten bezüglich der Erstellung des DID und ein Pointer auf eine Referenz (Endpoint). Ein Endpoint kann beispielsweise eine IP-Adresse sein, über die jede weitere Kommunikation zwischen zwei Parteien stattfindet, ohne über die Blockchain zu gehen („Off-Ledger“). Eine DID-basierte Architektur fokussiert sich darauf, die minimale Menge an Attributen, die für eine sichere Kommunikation zwischen zwei Parteien notwendig ist, zu teilen.

Die dynamische Realisierung von Zertifikaten, die mit flexiblen Inhalten bestückt in verschiedensten Szenarien einsatzfähig sind, erfolgt über sog. „Verifiable Claims“. Ein Verifiable Claim ist eine Qualifizierung, eine Errungenschaft oder eine Information über den Hintergrund einer Entität, z. B. dessen Name, Adresse oder Bankverbindung. Der Claim beschreibt Qualität und Eigenschaften dieser Entität, die deren Existenz und Einzigartigkeit etablieren. Ein Set von Verifiable Claims wird als „Verifiable Credential“ bezeichnet, ein Set von Credentials aggregiert sich zu einem Profil.

Anwendungsbeispiel

Eine tatsächliche Realisierung eines klassischen IAM-Anwendungsfalls gestaltet sich mit SSI am folgenden Beispiel:

Ein neuer Mitarbeiter benötigt Zugriff auf eine interne Web-Applikation.

Sequenzdiagramm: Realisierung von Zugriffsberechtigungen mit SSI-Credentials.

Vorteile von SSI

Sowohl Unternehmen als auch die Mitarbeiter selbst können von der Lösung profitieren. Wichtig für Entscheidungsträger ist z. B. die Möglichkeit schnell und flexibel auf Business Anforderungen zu reagieren und dabei die regulatorischen Vorgaben einzuhalten. Aus technischer Sicht ist hier beispielsweise die Effizienz- und Sicherheitssteigerung oder die Förderung von Innovationen zu nennen. Aus User-Sicht entstehen mehr Komfort und ein reduzierter Verwaltungsaufwand, sodass dieser sich voll auf die Arbeit fokussieren kann.

Im Rahmen ihres proaktiven Innovationsmanagements engagiert sich die esatus AG seit 2016 in Sachen Blockchain, insbesondere im Bereich Identitätsmanagement. Konkret setzt sie sich aktiv mit vorhandenen auf Distributed Ledger basierenden Lösungen auseinander, mit denen SSI-basiertes IAM realisiert werden kann.

Das aktuellste Projekt ist derzeit die Entwicklung einer Applikation, welche SSI ermöglicht: SeLF (https://self-ssi.com/). SeLF ermöglicht es, die selbstbestimmte Identität in eine Infrastruktur zu integrieren, ohne bestehende IT-Anwendungen, Verzeichnisse oder Managementsysteme verändern zu müssen.

Unser Autor

Dr. André Kudra verfügt über mehr als 13 Jahre Beratungserfahrung im Bereich Informationssicherheit. In seiner Karriere hatte er verschiedene Schlüsselpositionen in großen Informationssicherheitsprojekten globaler Unternehmensorganisationen inne. Er studierte Betriebswirtschaft an der European Business School (EBS) in Oestrich-Winkel und Informatik an der James Madison University (JMU) in Harrisonburg, Virginia, USA. Seine wissenschaftliche Laufbahn schloss er mit einer Promotion an der EBS ab, bei der er in einem Forschungsprojekt die Resistenz gegen IT-basierte Veränderungen im öffentlichen Sektor im Bundesland Hessen (Deutschland) untersuchte. Seit 2013 ist Dr. Kudra CIO der esatus AG, einem auf Informationssicherheit spezialisierten Beratungsunternehmen mit Sitz in der Nähe von Frankfurt im Rhein-Main-Gebiet und Niederlassungen in Hamburg und München. Die esatus AG ist als Betreiber eines sogenannten „Nodes“ einer der Founding Stewards des Sovrin Netzwerkes und Mitglied bei MyData. Dr. Kudra ist ein starker Verfechter der Self-Sovereign Identity und Mitglied des Sovrin Technical Governance Boards. Er betreibt technologische Innovationen durch praktische und forschungsorientierte Projekte, die er auf Konferenzen und durch Publikationen präsentiert. Darüber hinaus leitet er die Arbeitsgruppe „Blockchain“ des TeleTrusT – Bundesverband IT-Sicherheit e.V. Parallel dazu beteiligt er sich über das DIN – Deutsches Institut für Normung e. V. aktiv an der Blockchain Identity-Standardisierung der ISO – International Organization for Standardization.

CC BY-ND 4.0 DE

 

 

Sie dürfen:
  • Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
  • Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
  • Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
  • Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.