Headerbild-TQG-Digitalisierung

Die Verwaltung als Vorreiter

Digitales Identitätsmanagement mithilfe von Self-Sovereign Identities

Hans Ulrich Buhl, Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT & Kernkompetenzzentrum FIM, Augsburg und Bayreuth, Nils Urbach, Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT & Frankfurt University of Applied Sciences & Kernkompetenzzentrum FIM, Augsburg und Bayreuth und Daniela Kühne, Referentin des Bayerischen Landesamt für Steuern
Veröffentlicht in: DiALOG - DAS MAGAZIN FÜR DEN DIGITALEN WANDEL | 2021


Das Management von Identitäten gewinnt im Zeitalter der Digitalisierung aufgrund der stark ansteigenden Zahl digitaler Interaktionen zunehmend an Bedeutung. Physische Nachweise wie Personalausweise oder Führerscheine sind dabei nur schwer in die digitale Welt übertragbar. Dennoch gilt es, diese in ein digitales Identitätsmanagementsystem zu überführen. Ein Identitätsmanagementsystem beschreibt ein System, durch welches ein Nutzender in der Lage ist zu bestimmen, welche Informationen mit Dritten geteilt werden. Bisher wird die Identität im digitalen Raum oftmals durch die Kombination eines Nutzernamens und Passworts verwaltet. Allerdings führt dieser Ansatz durch die Nutzung einer Vielzahl an Online-Diensten und somit einer Masse an Kombinationen von Nutzername und Passwort zu großer Komplexität. Um diese zu umgehen, werden oft einfache Passwörter wiederholt genutzt, was wiederum die Risiken für möglichen Missbrauch erhöht. Zudem liegt das Management der Identität eines Nutzendens bei einem Dienstleister, sodass eine Löschung oder Änderungen nur durch den Anbieter/die Anbieterin möglich sind. Dies ist für den Nutzenden kaum kontrollierbar und geht mit einem zusätzlichen Missbrauchsrisiko einher. Weiterhin sind die unterschiedlichen Dienste selten untereinander interoperabel, sodass Identitäten nicht ohne Weiteres übertragen werden können.

Digitales Identitätsmanagement mithilfe von Self-Sovereign Identities

Zusammenfassend lässt sich also festhalten, dass bisher existierende Ansätze zum Management von digitalen Identitäten diverse Nachteile wie z.B. mangelnde Interoperabilität, Missbrauchsrisiken oder eine Abhängigkeit von bestimmten Parteien aufweisen.

Das Konzept der Selbst-Souveränen Identität (kurz: SSI) soll diese Herausforderungen und Probleme von existierenden digitalen Identitätsmanagementsystemen beheben. SSI soll die individuelle Kontrolle, Sicherheit und volle Portabilität digitaler Identitäten über verschiedene Dienste hinweg sicherstellen. Der Nutzende agiert als zentraler Verwalter seiner/ihrer Identität, einschließlich aller existierender Teilidentitäten. Dies ermöglicht dem Nutzenden, über alle verschiedenen Dienste hinweg die Kontrolle über seine Identität zu wahren und damit eine Autonomie in der Verwaltung dieser Dienste zu erzielen.

Die Bestandteile einer SSI-Lösung, die in ihrer Kombination das Fundament einer SSI-Architektur bilden, können in fünf Hauptartefakte aufgeteilt werden: Verifiable Credentials (VCs), Rollen (Issuer, Holder und Verifier), Identifier, Digital Wallets sowie Agents und Hubs.

Der zentrale Baustein jeder SSI-Lösung sind digitale Zertifikate (folgend engl. Credentials). Diese Credentials können entweder selbstattestierte Identitätsattribute enthalten oder solche, die durch Dritte attestiert wurden. Attestierte Credentials werden als VCs definiert (1), welche die zentralen Artefakte zum Nachweis von Identitätsattributen zwischen den zentralen Rollen einer SSI-Lösung (2) darstellen. Diese Rollen wiederum bilden im Rahmen der Issuer-Holder-Verifier-Beziehung das Grundgerüst der Interaktion. Jedes VC wird von einem Issuer erstellt, von einem Holder aufbewahrt und darin enthaltene Informationen dem Verifier in Form einer Verifiable Presentation (VP) präsentiert. Abbildung 1 zeigt die Beziehungen zwischen den einzelnen Teilnehmern auf.

Das Konzept der Selbst-Souveränen Identität (SSI) soll die Herausforderungen und Probleme von existierenden digitalen Identitätsmanagementsystemen beheben.

Um möglichst sichere Kommunikationskanäle zu gewährleisten und die Privatsphäre zu schützen, erlaubt der DID-Standard (3) den Parteien, Informationen bereitzustellen, um eine Ende-zu-Ende-verschlüsselte, bilaterale Kommunikation von verschiedenen Infrastrukturen aus aufzubauen. Somit können Blockchains standardisiert abgerufen werden und Nutzende mit ihrer Identität gegebenenfalls unter wechselnden Identifiern auftreten. Die einzelnen VCs sowie kryptographische Schlüssel werden dabei in Digital Wallets (4) aufbewahrt. Als Anknüpfungspunkte von bilateraler Kommunikation werden in diesem Zusammenhang Agents und Hubs (5) als technische Endpoints und Treuhänder für den Identifier benötigt. Diese stellen die geschützte Kommunikation zwischen einzelnen Identitäten sicher und sollten analog zu E-Mail-Servern durchgehend erreichbar sein. Diese fünf Grundbausteine (1-5) ergeben die Kernarchitektur einer technischen SSI-Lösung.

Einige Projekte wurden bereits begonnen, um das Potenzial des Konzepts SSI zu evaluieren. Hierzu zählt das Forschungsprojekt, welches von der Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT gemeinsam mit dem Bayerischen Landesamt für Steuern (BayLfSt), dem Bayerischen Staatsministerium für Digitales (StMD) und in Zusammenarbeit mit dem Technologiepartner mgm technology partners durchgeführt wurde. Insbesondere die wachsende Bedeutung von Internetplattformen bringt Herausforderungen für die Finanzverwaltung mit sich. Vor dem Hintergrund von Aufzeichnungspflichten für Betreiber elektronischer Marktplätze ist es für die Steuerverwaltung von Interesse, ein Identifikationsmerkmal für Onlinehändler zu schaffen, mit dem diese ihre steuerliche Registrierung nachweisen und welches sie an die Betreiber von Internetplattformen übergeben können.

Das Lösungsdesign des durchgeführten Projekts baut auf dem Konzept der SSI und der Blockchain-Technologie auf. Dabei wird auf Anfrage eines Onlinehandelnder nach positiver Prüfung der vorausgesetzten steuerlichen Registrierung durch Abgleich mit den hinterlegten Stammdaten im ELSTER-System durch die zuständige Finanzbehörde ein VC ausgestellt. Da es sein kann, dass ein VC deaktiviert werden muss, wird parallel ein Gültigkeitsstatus auf der Blockchain registriert. Mit Erhalt seines VCs kann der Onlinehandelnde anschließend ähnlich zum aktuellen papierbasierten Dokument die steuerliche Erfassung des Onlinehandelnden nachweisen. Hierzu erstellt der Onlinehandelnde aus seinem VC eine VP und kann so gegenüber dem Marktplatz die vorausgesetzte steuerliche Registrierung beweisen. Dies wiederum erlaubt dem Marktplatzbetreiber, die Prüfung des Beweises vorzuhalten und bei Gelegenheit der Finanzbehörde vorzulegen.

Aufbauend auf diesem Konzept ist ein entsprechender Prototyp entwickelt worden, der das System technisch umsetzt. So konnte der gesamte Ablauf von der Ausstellung bis zur Überprüfung von Steuernachweisen erfolgreich implementiert werden. Das System weist gegenüber konventionellen Identitätssystemen eine Reihe an Vorteilen auf. Die Informationsweitergabe erfolgt stets bilateral und nur unter Aktivwerden der Identitäsinhaberin / des Identitätsinhabers, in dem Fall des Onlinehändlers. Entsprechend besitzt die Identitätsinhabering / der Identitätsinhaber immer die volle Hoheit über seine Daten und kann selbst entscheiden, wer Einsicht auf welche Attribute bekommt. Weiterhin baut das SSI-System auf Open Source Software und eine Reihe von offenen Standards auf. Entsprechend kann jede Organisation ebenfalls diesen Standards folgen und Gebrauch von den ausgestellten VCs machen. Somit ist auch eine Übertragbarkeit auf zahlreiche Verfahren denkbar, in denen Nachweise von einer Organisation ausgestellt werden, eine weitere Person oder Organisation als Dateninhaber:in auftritt und im Nachweis enthaltene Eigenschaften einer interessierten Drittpartei bewiesen werden müssen. Beispielsweise kann es zukünftig möglich werden, bei Beantragung eines Kredites mit dem Personalausweis-VC den Namen und Wohnort und mit dem Steuerbescheid-VC die Höhe des Einkommens sicher und einfach zu beweisen.
Weitere Anwendungsfälle und Ausgestaltungsmöglichkeiten werden von der Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT erforscht. Langfristig soll ein SSI-Ökosystem geschaffen werden, welches viele Prozesse für Privatpersonen sowie Organisationen einfacher und sicherer gestalten soll.

Hans Ulrich Buhl, Nils Urbach, Daniela Kühne

Prof. Dr. Hans Ulrich Buhl ist wissenschaftlicher Leiter des Lehrstuhls für BWL, Wirtschaftsinformatik, Informations- & Finanzmanagement an der  Universität Augsburg sowie in der Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT & Kernkompetenzzentrum FIM, Augsburg und Bayreuth tätig.
Daniela Kühne ist Referentin des Bayerischen Landesamt für Steuern.  
Nils Urbach ist Professor für Wirtschaftsinformatik, insbesondere Digital Business und Mobilität an der Frankfurt University of Applied Sciences. Zudem ist er stellvertretender wissenschaftlicher Leiter am Kernkompetenzzentrum Finanz- & Informationsmanagement und der Projektgruppe Wirtschaftsinformatik des Fraunhofer-Instituts für Angewandte Informationstechnik FIT sowie Mitgründer und -leiter des Fraunhofer Blockchain-Labors.
Die Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT in Augsburg und Bayreuth vereint Expertise an der Schnittstelle von Finanzmanagement, Informationsmanagement und Wirtschaftsinformatik. Durch mehrjährige, inter- und multidisziplinäre Forschungsarbeit konnten im dort angesiedelten Fraunhofer Blockchain-Labor fundierte und weitreichende Kompetenzen hinsichtlich der Grundlagen und Anwendung von Blockchain und SSI aufgebaut werden.
Die Projektgruppe arbeitet intensiv mit dem Kernkompetenzzentrum Finanz- & Informationsmanagement FIM zusammen, worüber auch verschiedenste Lehraktivitäten abgedeckt werden. Hierzu zählt unter anderem der Elitenetzwerk-Studiengang Finanz- & Informationsmanagement mit der TU München, welcher vom CHE bereits fünfmal als bester deutscher Masterstudiengang ausgezeichnet wurde.
https://www.fit.fraunhofer.de/de/geschaeftsfelder/wirtschaftsinformatik

Back to top