Digitale Geschichten

Digitale Identität im Web 3.0: neue Selbstbestimmung?

Web 3.0 bedeutet dezentral – bedeutet, wir können auf zentrale Autoritäten verzichten. Das ist maximal disruptiv, wie wir am Beispiel Bitcoin – der Mutter aller Web 3.0 Anwendungen – sehen können. Was bedeutet das für unsere digitale Identität und wie ist diese überhaupt definiert? Spoiler: Es ist viel Luft nach oben, wenn es um Nutzerfreundlichkeit geht. Sind verteilte Strukturen auch hier die Antwort?

Um was geht es genau? 

Im Digitalen assoziieren wir mit “Identität” vor allem “identifizieren”, also ein digitales Pendant zum Personalausweis. Wir weisen nach, dass wir wirklich wir sind. Erst dann können wir einkaufen, Mails abrufen, Zugriff auf unsere Arbeitsumgebung bekommen und so weiter. Der Nachweis unserer Identität erlaubt uns den Eintritt in zugriffsgeschützte Bereiche des Internets. So weit, so trivial. 

Autorisierung im Internet ist auch in 2022 das Gegenteil von Anwender-freundlichkeit

Dieser an sich so alltägliche Vorgang im Digitalen lohnt das genauere Hinsehen, denn er zeigt mit dem Brennglas, wo es hakt. Zum einen das Offensichtliche: das Ganze ist das Gegenteil von Anwenderfreundlichkeit. So richtig sicher ist der Umgang mit unseren digitalen Berechtigungen nämlich nicht. Einer der Gründe sind die vielen Silos. Bis heute authentifizieren wir uns meist mit Mailadresse und Passwort – und zwar PRO Anwendung.

Nicht besonders effizient, gelinde gesagt. 

Die Silos sind ein Problem. Wollen wir überall das gleiche Passwort verwenden vom Blumenhändler bis zu Amazon? Wird der Shop vom Blumenhändler gehackt, ist der erste Schritt zur Übernahme anderer Accounts gemacht. Also lieber für jeden Shop ein anderes Passwort? Trotz Passwort-Save Anwendungen umständlich. Eine einfachere Handhabe versprechen die sogeannten “Federated Identities” . Apple, Google, Facebook oder Amazon bieten diese an. Wir alle kennen wohl den Dialog:

Ein Account, Zugang zu vielen anderen Anwendungen. Nutze ich selber auch. Das Problem: der Identitätsanbieter hat die Kontrolle über unsere Daten und weiß natürlich auch, wo wir uns wann anmelden. Die bekannten systemischen Schwächen des Web 2.0 fallen uns wieder vor die Füße (hier noch mehr zu diesem Thema):

Erster Schwachpunkt: Wir haben einen “Single Point of Failure”: Wird unser Account gehackt, dann haben wir ein echtes Problem. Was macht der Intermediär mit den Daten? Hält er sie sicher gegen Angriffe von außen?

Zweiter Schwachpunkt: Wir haben keine Kontrolle über unsere Daten, der Account bei Google und Co gehört uns nicht. Bei den großen Plattformen sind wir kein Kunde, sondern das Produkt

Wie müsste es sein, damit es gut ist für uns?

Wie sähe eigentlich der Idealfall aus? Wie müsste unsere digitale Identität aussehen, damit sie gut ist für uns? Um uns dieser Frage zu nähern schauen wir uns außerhalb der Informationstechnologie um: bei den Soziologen und den Psychologen. Schon auf den ersten Blick sehen wir, dass es um sehr viel mehr geht als um einen Ausweis aus Einsen und Nullen. 

Mit Identität verbinden wir ein ganzes Bündel an Informationen. Angefangen bei Geschlecht, Gewicht, Alter über Ethnie, Religion, Herkunft, Nationalität, Status und natürlich unsere Persönlichkeit. Der Facebook Skandal um Cambridge Analytica hat gezeigt, dass Facebook (und wohl nicht nur sie) von seinen Anwendern wohl die meisten dieser Informationen besitzt. Auch auf die Gefahr hin, dass ich mich wiederhole: Wir sind nicht der Kunde, sondern das Produkt. 

Sobald wir die Kontrolle selber in der Hand haben, ergeben sich eine Fülle neuer Möglichkeiten

Zur Identität gehören sehr viele Informationen, es wäre schön, wenn wir diese digital verwenden könnten. Damit es gut wäre für uns, müssten wir selber bestimmen können, welche Informationen wir zu welchem Zweck über uns preisgeben. Und wir müssten die Silos überwinden: also ein digitaler Generalschlüssel für alle möglichen Anwendungen. Um bei der Analogie mit dem Auto zu bleiben: wir haben ein Fahrzeug für alle Einsatzmöglichkeiten und sitzen selber am Steuer statt nur auf dem Rücksitz. 

Wie kann das funktionieren? So:

Der Ersteller der ID stellt nur aus und speichert nicht

Wir erinnern uns: der Intermediär beim Federated Account speichert zentral unsere Daten – Accountname und Passwort. Hier nun zeigt sich der fundamentale Unterschied. 

Anstelle von Username und Passwort (symmetrische Verschlüsselung) wird ein digitales Schlüsselpaar vom Aussteller angefertigt: ein öffentlicher Schlüssel und ein privater Schlüssel, dies nennt sich asymmetrische Verschlüsselung. Keines von beiden behält der Aussteller. Den öffentlichen Schlüssel legt er in einen verteilten Ledger  – also einem Netz aus vielen verteilten Knoten, die sich gegenseitig kontrollieren und das  alle Transaktionen verwaltet – ähnlich wie in der Bitcoin Blockchain. Die einzige Ausfertigung des privaten Schlüssels geht in den Besitz des Anwenders über. Er hat sie in seiner privaten digitalen Brieftasche. 

“Bring your own identity”: Anwenderfreundliche Authentifizierung

Möchte Lisa nun online shoppen, kann der Shop-Betreiber ihren öffentlichen Schlüssel auf Korrektheit beim Aussteller überprüfen. Allerdings wird dies erst in Kombination mit dem privaten Schlüssel in der Brieftasche von Lisa sichergestellt. Mit dem gibt sie sozusagen die Einsicht ihrer Daten frei. Durch den privaten Schlüssel wird garantiert, dass es auch wirklich Lisa ist und niemand anderes, der diese Freigabe erteilt.

Passgenaue Übermittlung von Informationen

Der kurze Ausflug in die Verschlüsselung soll verdeutlichen, warum die dezentrale Identität solch ein Veränderungspotential hat. Uns gehört nun der Schlüssel, wir haben die Kontrolle. Bedeutet konkret, wir haben viel mehr Möglichkeiten. 

Nehmen wir an, ich möchte eine Flasche Wein kaufen – diesmal sogar in einem echten Geschäft. Der Verkäufer muss nur wissen, ob ich volljährig bin. Bislang musste ich meinen Personalausweis zeigen mit allen Daten, die darauf vorhanden sind. Mein genauer Geburtstag, mein Name, meine Adresse. Ziemlich viel Information, nur um eine Flasche Wein zu kaufen. Mit der dezentralen ID kann ich gezielt nur diese eine  Information übermitteln: Mein Alter >= 18. Mehr braucht der Weinhändler über mich nicht wissen.

Denken wir an das Gesundheitssystem: Wären Sie in diesem System bereit, ihre Gesundheitsdaten zu speichern? Wenn Ihr Arzt nur den Zugriff auf die Daten bekommt, die sie ihm geben? In Estland beispielsweise – dem Land, dass die digitale Gesundheitsakte schon länger in einem dezentralen System implementiert hat – ist exakt festgelegt, auf welche Informationen ein Notarzt im Falle eines Unfalles zugreifen darf. Die Freigabe erfolgt mit dem privaten Schlüssel des Patienten.

Nur von vertrauenswürdigen Institutionen verifizierte Informationen gelangen ins System

Woher wissen wir, ob die Daten korrekt sind? Können wir unsere Gesundheitsdaten fälschen, wenn wir zum Beispiel günstigere private Versicherungstarife haben wollen? Nein. Nur verifizierte Daten gelangen in das System: von unserem Hausarzt signierte Ergebnisse der letzten Blutuntersuchung, von der Bundesbehörde bestätigte Daten zu Alter, Größe, etc. – also alle Daten, die sich auf unserem Reisepass befinden.

Dezentrale Identität als Fundament für eine digitale Gesellschaft

Ihr ahnt, mit einer dezentral verwalteten Identität haben wir eine ganze Fülle an neuen Möglichkeiten, denn wir haben eine vertrauenslose Technologie. Je mehr Teilnehmer, je besser.

Die Schattenseiten

Gibt es auch Nachteile? Klar, wo gibt es die nicht? Ihr könnt es Euch denken: Dieses System bedeutet Eigenverantwortung für meine Wallet. Wer meinen privaten Schlüssel hat, der hat Zugriff auf meine digitale Identität. Ein großes Sicherheits-Manko, das man mit einer zwei- Faktor Authentifizierung verkleinern könnte. Wenn ich den privaten Schlüssel verliere, habe ich ebenfalls ein Problem. Vielleicht kennt ihr die Geschichten von Bitcoin Besitzern, die ihr Laptop mit dem privaten Schlüssel entsorgt haben und für immer den Zugang zu ihren Kryptos verloren haben. Auch hier gibt es mittlerweile Recovery Seeds, anhand derer der private Schlüssel wiederhergestellt werden kann. Es bleibt spannend, wie sich die Technologie weiterentwickelt. 

Dezentrale Systeme sind nicht die Lösung für alles, aber eine neue Option

Genau an dieser Stelle erkennen wir: zentrale Systeme haben ihre Berechtigung. Wer kennt nicht die Erleichterung, wenn wie bei Verlust unserer Kreditkarte bei der Bank anrufen können und die Karte gesperrt haben. Diese Autorität gibt es bei verteilten Systemen nicht. 

Die ID-Wallet der Bundesregierung zeigt, wie es nicht geht

Ach ja, und nur weil der Begriff „distributed Ledger“ fällt, ist dies kein Grund, sorglos private Daten zu hinterlegen, auch wenn die App von der Bundesregierung stammt. Erinnert Ihr Euch an die ID-Wallet, die Minister Scheuer stolz im September 2021 der Öffentlichkeit präsentiert hatte? Diese war erschreckend stümperhaft implementiert. Kurz gesagt war es möglich, von der Bundesdruckerei signierte persönliche Informationen abzufangen und zu speichern, weil die Identität derjenigen, die meine Daten abfragen, nicht verifiziert wird. Es können also unbekannte Dritte meine von einer Bundesbehörde zertifzierten Daten abgreifen. Das ist so, also würde eine weitere echte Kopie meines Personalausweises in Umlauf geraten, mit der jeder meine Identität annehmen kann. Ein katastrophaler Vertrauensverlust (weitere Details dazu hier), der beim allgemeinen Skeptizismus allem Digitalen gegenüber wohl nur schwer wieder gut gemacht werden kann.

Erfolgreiche Blockchain Projekte beginnen nicht mit Technologie, sondern mit einer lebendigen Community

Woran ist es gescheitert? Vielleicht an mangelnder Beteiligung verschiedener Gruppen, z.B, aus der Forschung zum Thema und sowie der fehlenden Einhaltung internationaler Standards. Gerade verteilte Systeme leben von der Expertise der beteiligten Stakeholder, ein hierarchischer Ansatz = Einbeziehung weniger Gruppen macht hier noch weniger Sinn.

Heißt aber nicht, dass dezentrale Lösungen grundsätzlich kein neuer Ansatz zur Rückgewinnung unserer Souveränität sein können.

Web 3.0 Technologien zwingen uns, über viele Dinge nachzudenken, die wir bislang kritiklos hingenommen haben – zum Beispiel zentrale Autoritäten. Nachdenken heißt, differenzieren: Wo macht zentrale Datenspeicherung Sinn, wo nicht? Wie kann ein Zusammenspiel beider Systeme aussehen? Schwarz oder weiß ich nicht die Lösung, genausowenig wie Bitcoin weder die Lösung für alles noch Teufelszeug ist. Verständnis ist der Schlüssel für eine bessere Zukunft.

Digitalisierung verändert. Alles.