STRATEGIE10. Dezember 2021

SSI-Positionspapier des BSI – nur alleine per Blockchain wird es schwierig …

SSI - Self Sovreign Identity
Richman-Photo/mr.travellers/bigstock.com/ITFM

Self Sovreign Identity – SSI (also die vollständige Kontrolle einer digitalen Identität durch das Subjekt, welches dadurch repräsentiert wird) hat nun auch das BSI dazu gebracht, ein Positionspapier zum Thema zu erstellen. Identity-Experte Rudolf Linsenbarth beleuchtet das Whitepaper.

von Rudolf Linsenbarth

Das Bundesamt für Sicherheit in der Informationstechnik gestaltet laut Eigenaussage Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft. Eine Einrichtung, deren Meinung zu Recht viel Gewicht hat. Von daher lohnt es sich auch, einen Blick auf das besagte Dokument zu werfen. Der exakte Titel lautet: “Eckpunktepapier für Self-sovereign Identities (SSI)”. Wer das Papier im Original lesen will, kann es hier (hier) herunterladen.

Der obige Titel hat aber auch noch eine Ergänzung und die lautet: „…  unter besonderer Berücksichtigung der Distributed-Ledger-Technologie (DLT)“

Darauf komme ich im weiteren Verlauf des Artikels noch einmal zurück. Zunächst aber will ich das grundlegende Konzept von SSI skizzieren. Zu jedem SSI-Ökosystem gehört ein Governance Framework, das Standard-Prozesse und Vorgaben wie Datenmodelle im jeweiligen Kontext regelt. Akteure bei SSI sind natürliche oder juristische Personen, mit 3 unterschiedlichen Rollen:

Autor Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Der Herausgeber (Issuer) ist für das korrekte und vertrauenswürdige Erstellen von Identitäten bzw. das Bestätigen der Korrektheit von behaupteten Identitätsmerkmalen zuständig. Dabei bekommt der Nutzer Identitätsmerkmale und Berechtigungen in Form von kryptografisch gesicherten digitalen Nachweisen („Verifiable Credentials“) ausgestellt.

Der Inhaber (Holder) empfängt diese Nachweise und verwaltet sie in einer physischen Geldbörse oder digital in einer Wallet-App. Er hat die alleinige Verfügungsgewalt über diese Nachweise.

Die Akzeptanzstelle (Verifier) ist eine Anwendung, ein Onlineservice oder eine Stelle in der physischen Welt, die vom Inhaber Nachweise über bestimmte ID-Merkmale anfordert, um seine Identität oder Berechtigungen zu prüfen. Hierzu wird ein Vertrauenswürdiges Datenregister benötigt. Es handelt sich dabei um eine öffentlich überprüfbare, manipulationssichere, verteilte Datenbank, meist in Form einer Blockchain, aber nicht darauf begrenzt.

Herzstück dieses Konzeptes ist aus meiner Sicht das vertrauenswürdige Datenregister.”

Als erstes muss einmal geklärt sein, was hier gespeichert werden soll. Sinnvollerweise werden hier nur Metadaten wie Angaben zu den verwendeten Signaturverfahren und das öffentliche Schlüsselmaterial abgelegt. Die Annahme des Eckpapiers, dass dort auch die Credentials selber gespeichert werden könnten, sollte man tunlichst streichen. Ein solcher Ansatz ist mir bisher noch nicht begegnet und ist auch nicht sinnvoll.

Das SSI Positions Papier des BSI - Herzstück ist das vertrauenswürdige Datenregister
BSI

Als nächstes stellt sich dann die Frage, ob das Datenregister neben seiner Funktion als umfassendes Claims Registry auch gleichzeitig Vertrauensanker sein soll. Wenn ja, hat das selbstverständlich Auswirkung auf deren Ausgestaltung. Der Einsatz von DLT wird dabei eher unwahrscheinlicher.

Spannend finde ich in diesem Zusammenhang, dass das BSI den Personalausweis und die zugehörige eID-Infrastruktur als eine SSI-Umsetzung ins Spiel bringt. Hatte ich bisher so noch nicht gesehen, ist aber eine mögliche Betrachtungsweise. Allerdings fehlt diesem Konzept jegliche Skalierungsmöglichkeit.

Womit wir zum Thema Vertrauensanker kommen. Wenn eine SSI den Anspruch auf eine umfassende digitale Identität erhebt, wir uns also auf einem Vertrauensniveau substanziell befinden, reicht eine DLT als wahrscheinlich nicht mehr aus.

Ich stimme dann den beiden folgenden Aussagen des Eckpunkte-Papiers zu:

  • Die Eignung eines Distributed Ledgers zur Herstellung von Vertrauen in die Akteure ist nicht ausreichend untersucht.
  • Der Einsatz zentraler Instanzen als Vertrauensanker steht nicht notwendigerweise im Widerspruch zum Konzept selbstverwalteter digitaler Identitäten.

Hier wird man auf jeden Fall eine andere Lösung als DLT finden müssen. Ob der Hotel Check-in per ID Wallet schon dazu gehört, darüber kann man aber geteilter Meinung sein. Zumindest, wenn man sich die Praxis derzeitiger Hotel Check-in’s betrachtet. Was wir aber auf jeden Fall benötigen, sind praktische Tests, um ein stabiles skalierbares Datenregister zu entwickeln.

Als letztes geht das Eckpunktepapier noch einmal auf die Verifiable Credentials, respektive deren Speicherung, ein. Hier wird noch mal darauf verwiesen, dass Speicherung in der DLT keine gute Option ist. Daran kann man getrost einen Haken machen. Bleibt also das Wallet und genau dessen Ausgestaltung ist die zweite große Aufgabe im SSI-Konzept. Wahrscheinlich wird man ziemlich schnell zur Erkenntnis gelangen, dass eine reine Software-Lösung die Sicherheitsanforderungen nicht erfüllt. Während der Versuch, die Inhalte selbst in einem Secure Element abzulegen, an Fragen der technischen Komplexität scheitern wird. In diesem Zusammenhang verweise ich zum wiederholten Mal auf das von mir äußerst kritisch betrachtete Smart-eID-Projekt hin.

Insgesamt sehe ich das BSI-Papier als einen konstruktiven Aufruf, SSI und Mobiler Ausweis noch einmal gemeinsam zu überdenken und das Beste aus beiden Welten zusammenzuführen.Rudolf Linsenbarth

Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert