Was hat es mit dem digitalen Identitätsmanagement Self-Sovereign Identity – kurz „SSI“ auf sich? Auf welche Weise können Unternehmen hiervon profitieren? Und wie schlägt sich Deutschland in Sachen eGovernment? – Das und mehr hat Celine Zeck, wissenschaftliche Mitarbeiterin bei HK2-Rechtsanwälte, in einem Interview mit Dr. André Kudra erfahren. Kudra wird am 23. April auf dem 8. Deutschen IT-Rechtstag zu dem Thema „SSI – Authentisieren auf Distanz“ referieren.

Zeck: Herr Dr. Kudra, auf dem 8. Deutschen IT-Rechtstag, am 23. April 2021, widmen Sie sich in Ihrem Vortrag, „SSI – Authentisieren auf Distanz“, dem Thema Self-Sovereign Identity. Kurz und knapp, ohne Ihrem Vortrag zu viel vorwegzunehmen: Was ist unter der „digitalen Identität“ und „SSI“ zu verstehen? Welche Vorteile bietet SSI Unternehmen und Endnutzer*innen gegenüber herkömmlichen Identitätsnachweisen?

Kudra: Eine „digitale Identität“ ist ein Hilfsmittel für uns Menschen, mit einem Computersystem zu interagieren. Für den Computer müssen wir, besonders in der vernetzten Welt, erreichbar und wiedererkennbar sein. Eine digitale Identität wird meist angereichert mit Informationen über ihren Anwender. Im „klassischen“ Identitätsmanagement verwaltet meine digitale Identität eine – hoffentlich! – vertrauenswürdige Drittpartei. Self-Sovereign Identity, kurz SSI, stellt diese Welt auf den Kopf. Hier verwalte und kontrolliere ich sie tatsächlich selbst, eines der Grundprinzipien von „echtem“ SSI. Fakten über mich stellen mir weiterhin Drittparteien aus. Die liegen in meinem eigenen Datenspeicher, oft als „digitale Brieftasche“ – englisch „Wallet“ – bezeichnet. Ich entscheide, wer auf Anfrage welche Daten bekommt. Vollständige Kontrolle für mich als Endnutzer, DSGVO-konformes Datenhandling für Unternehmen.

Zeck: Stichwort „Datenschutz“: Inwieweit bergen das Erschaffen und Nutzen einer digitalen Identität und ein technisches Verfahren wie SSI nicht auch Risiken und Schwachstellen? Z. B. in Bezug auf digitalen Datenklau und Identitätsdiebstahl? Wie ordnen Sie die Risiken und Gefahren ein, die damit einhergehen könnten?

Kudra: Mit der tatsächlichen Kontrolle über meine digitale Identität kommt auch die Verantwortung, diese sorgsam zu handhaben. Das sind die Endanwender heute nicht gewohnt. Sie geben die Verantwortung an den Dienstleister ab und erwarten, dass dieser sich kümmert und im Fehlerfall helfen kann. Zahlreiche Systemeinbrüche, Datenlecks und Identitätsdiebstähle zeigen: Das Vertrauen ist oft unberechtigt. Bei SSI muss ich nur mir selbst vertrauen, und ich muss mich kümmern. Um die Sicherheit und Wiederherstellbarkeit meiner Wallet, die im Regelfall auf meinem Smartphone ist. Handy weg heißt erst einmal digitale Identität weg. Authentifizierung auf dem Wallet-Gerät, beispielsweise mit PIN und biometrischen Verfahren, zur Verhinderung von Missbrauch, autorisierte Fernlöschung des Gerätes sowie regelmäßige, idealerweise automatische Backups sind Pflicht. Das ist auch ein Aufruf an alle SSI-Technologiehersteller, den Nutzern Komfort und Resilienz zu liefern.

Zeck: Die Erneuerung bestehender IT-Strukturen und die Umsetzung von SSI in Unternehmen dürfte doch einen eher umfassenden Zeit- und Kostenaufwand bedeuten. Wie können sich auch kleine und mittlere Unternehmen sowie Startups diese Umstrukturierungen leisten? Inwieweit wirken sich diese Technologien auf die wirtschaftliche Wettbewerbsfähigkeit von Unternehmen aus?

Kudra: SSI hat eindeutig positive Auswirkungen auf die Wettbewerbsfähigkeit jeglicher Unternehmen, ob groß oder klein. SSI verwenden heißt Komplexität abbauen. Davon können Großunternehmen besonders profitieren. Kleinere Unternehmen sparen sich den althergebrachten Weg und nehmen den Technologiesprung direkt mit. Denn die SSI-Integration in bestehende IT-Strukturen ist deutlich einfacher, als viele erwarten würden. Optimal geeignet für SSI ist zum Beispiel die faktenbasierte Anmeldung an Systemen, die ein Unternehmen für seinen Geschäftsbetrieb betreibt. Die IT-Landschaft „spricht“ heute schon Standardprotokolle dafür. Da ist es ein Leichtes, zwischen SSI und der Bestandswelt zu übersetzen. Der Anwender weist mit Daten aus seiner Wallet nach, dass er Mitarbeiter des Unternehmens – oder eines Partners – ist, Systemanmeldung erledigt. Tatsächlich gibt es schon fertige Produkte dafür. Die Erneuerung muss dabei nicht schlagartig sein, SSI kann zunächst als Alternative parallel mitlaufen. Und weitergedacht: Mit SSI können Daten sicher und vertrauenswürdig ohne vorherige Schnittstellenvereinbarung ausgetauscht werden. Perfekt für jegliche Digitalisierungsvorhaben.

Zeck: An welcher Stelle sehen Sie den größten Handlungsbedarf in Sachen Digitalisierung und der Umsetzung digitaler Innovationen wie z. B. SSI und warum, in der Politik, bei den IT-Herstellern oder den Anwendern in der Industrie und im Dienstleistungssektor?

Kudra: Ich bin derzeit äußerst zufrieden mit den Signalen, die uns die deutsche Politik für digitale Innovationen, die digitale Identität und ganz speziell für SSI sendet. Ein SSI-Pilot wurde auf höchster politischer Ebene im Dezember 2020 angestoßen und ist in vollem Gange. Das hätte man nicht besser machen können, der globale SSI-Tross kommt jetzt gerade so richtig in Bewegung. In anderen Digitalisierungsbereichen hätte man sicher schon früher anfangen können. Bei den IT-Herstellern heißt es jetzt: Ganz schnell SSI-Readiness herstellen! Da haben viele noch etwas zu tun. SSI-fähige IT-Produkte werden zukünftig deutlich mehr nachgefragt sein. Ganz besonders die Hersteller von klassischen Identitätslösungen haben bisher weitgehend die Augen zugemacht, schlichtweg „gemauert“. Mit komplexen, verwobenen Systemen, deren Wartung der Kunde dauerhaft bezahlen muss, lässt sich eben gut Geld verdienen. Das ist nun definitiv nicht mehr zeitgemäß. Davon haben die Anwenderunternehmen sofort etwas: Komplexitätsreduktion gleich Kostensenkung. SSI-Fähigkeit wird nicht nur gerne gesehen sein, sondern könnte schon bald ein entscheidendes Kaufkriterium sein.

Zeck: Sie haben zum Thema „Widerstand gegen Veränderungen in der deutschen öffentlichen Verwaltung“ promoviert. Blickt man auf das Verwaltungsabkommen vom 29. Januar 2021 von Bund und Ländern, nach welchem die Länder zusätzliche 1,4 Milliarden EUR für die Digitalisierung der Verwaltung bekommen sollen, scheint es, als würde dieser Widerstand langsam bröckeln. Worin sehen Sie die Ursache für diesen Umbruch? Und wie stehen die Chancen, dass sich in diesem Zuge auch SSI in der Verwaltung und den Behörden etablieren wird?

Kudra: Die Promotion ist in der Tat schon eine Weile her, die Urkunde trägt das schöne Datum 4. Juli 2006. Seitdem ist sicher einiges passiert und Veränderungswille ist erkennbar, zumindest politischer. Das Verwaltungsabkommen zur Umsetzung des Onlinezugangsgesetzes ist ein deutlicher Schritt in die richtige Richtung, der sehr spät kommt. Ich bediene mich eines geflügelten Wortes aus der Verwaltung: „Der Vorgang muss die nötige Schwere erlangen.“ Tatsächlich musste der Druck scheinbar erst richtig groß werden, gewissermaßen schmerzhaft. Die deutsche Bürokratie ist verlässlich aber äußerst aufwändig, das empfindet man nicht gerade als Standortvorteil. Das hat vor allem etwas mit gewachsenen Strukturen in Verwaltungsorganisation und -IT zu tun. Da kann man im Zweifelsfall Millionen und Milliarden an Euro allokieren und die Beharrlichkeit obsiegt trotzdem. Begrüßen würde ich vor allem die echte und ernstgemeinte Durchsetzung des „Einer für Alle“-Prinzips. Wenn nur ein Land ein IT-Verfahren entwickelt und die anderen Länder es nutzen, werden zumindest die ständigen Mehrfachausgaben zur Lösung des gleichen Problems unterbunden. SSI könnte ein starker unterstützender Faktor sein. SSI-Komponenten können wunderbar modular zur Verwendung für alle Verwaltungsorganisationen verfügbar gemacht werden. Integrieren kann sie dann jeder sukzessiv, nach seiner eigenen Geschwindigkeit.

Zeck: Im internationalen Vergleich – welches Land sehen Sie als Vorreiter in Sachen Digitalisierung, eGovernment und speziell SSI? Wo kann sich Deutschland hier evtl. was abgucken?

Kudra: Zu Digitalisierung und eGovernment in Deutschland: Da geht eindeutig noch mehr. Ich zitiere illustrativ ein paar Eckdaten aus aktuellen Studien der EU-Kommission von 2020: Digitalisierung auf Rang 12 gemäß Index für die digitale Wirtschaft und Gesellschaft (DESI). Der eGovernment Benchmark sagt in den Kernindikatoren „Durchdringung“, d. h. aktive Nutzung der eGovernment-Dienste durch die Bürger, und „Digitalisierung“, also dem Grad der echten digitalen Integration der Dienste: Estland, Spanien, Litauen, Lettland sind „Outperformer“. Österreich, Dänemark, Frankreich, Portugal sind in einem „Outperformer“, im anderen „On Track“. Deutschland ist in beidem „Underperformer“. Das sagt praktisch alles, und so fühlt es sich ja auch an. Bei SSI sieht es anders aus, da schaut man international gerade sehr gespannt darauf, was in Deutschland passiert. Andere Länder wie Spanien, Italien, Finnland, Österreich und die Niederlande sind auch sehr aktiv, genauso wie die EU-Initiative European Blockchain Services Infrastructure (EBSI). Begrüßenswert wäre eine integrative europäische Klammer, die allen etwas bringt. Deutschland könnte darin jetzt schnell eine echte SSI-Vorreiterrolle einnehmen, die sich auch positiv auf Digitalisierung allgemein und eGovernment auswirkt.

Zeck: Blockchain ist die technische Grundlage für SSI. Welche Möglichkeiten und Chancen bietet Blockchain bzgl. der fortschreitenden Digitalisierung? Wie ordnen Sie Blockchain zukunftsbezogen ein?

Kudra: Eins vorweggeschickt: Der ganze Themenkomplex „Blockchain“ hat für eine gewisse Zeit ungesunde, stellenweise quasi-religiöse Züge angenommen, von denen ich mich eindeutig distanziere. Auch viele der radikalsten Blockchain-Jünger haben zwischenzeitlich erkannt, dass Blockchain nicht die Lösung für alle Probleme ist. Bei SSI muss man ins Detail schauen, woher der Blockchain-Gedanke rührt. Die zugrundeliegende Technologie beruht auf einem verteilten System – dem Distributed Ledger – mit einem hochgradig effizienten Synchronisationsmechanismus für die gespeicherten Daten. Das hat nichts mit energievernichtenden Blockchains zu tun, die man aus der Kryptowährungswelt kennt. Bei denen kann man, zumindest ich, nicht guten Gewissens von Zukunftsfähigkeit reden. Heute gängige SSI-Verfahren benutzen ihr Knotennetzwerk als hochverfügbaren und performanten Datenspeicher für die Bereitstellung der vertrauensstiftenden Daten, alle ohne jeglichen Personenbezug. SSI ist ein immenser Digitalisierungs-Beschleuniger und stärkt drastisch die Position der Nutzer bzw. Bürger. Unter der Voraussetzung, dass alle SSI-Grundsätze wie Interoperabilität, Dezentralisierung, Beteiligung, Portabilität, Sicherheit, Überprüfbarkeit und Authentizität eingehalten werden.

Zeck: Mit Blick auf die Pandemie – inwieweit denken Sie, hat sich die Bedeutung der Blockchain-Technologie und darauf basierender technischer Innovationen seit dem letzten Jahr geändert?

Kudra: Auch, wenn es einige gerne so verkaufen würden: Die Pandemie darf man keinesfalls als Treiber für den Blockchain-Einsatz interpretieren. Da möchte ich gerne ein klarer Gegenpol zu dem „Blockchain ohne Sinn und Verstand“-Paradigma sein. Was uns die Pandemie zeigt: Es gibt dringenden Bedarf für Privatsphäre-wahrende und komfortabel nutzbare IT-Systeme, die über Organisations- und Ländergrenzen hinweg funktionieren. Wir nehmen deutlich wahr, dass die Alleingänge in einer vernetzten und physisch praktisch überall erreichbaren Welt an ihrer Grenze sind. Ein integrativer und verteilter Ansatz schafft Abhilfe, aber das heißt nicht immer gleich „Blockchain“. SSI stellt auf der Grundlage eines dezentralen Fundaments einen technischen Werkzeugkasten bereit, bei dem der Nutzer im Mittelpunkt steht und die Kontrolle über „seine“ Daten hat. SSI ermöglicht organisations- und länderübergreifende vertrauenswürdige Datennutzung, etwa für Testnachweise. Die eindeutige Interpretation der Daten – die SSI-Welt redet von „semantischer Interoperabilität“ – sowie Vertrauen in die Aussteller der Daten sind die Schlüsselfaktoren. Die technischen Herausforderungen sind da, aber vordergründig geht es um anderes.

Zeck: Als IT-Experte widmen Sie sich technologischen Innovationen und forschungsorientierten Projekten. Von SSI mal abgesehen – Auf welches spannende Projekt wollen Sie sich als nächstes fokussieren?

Kudra: Als Top-Thema haben wir in meinem Unternehmen „Secure Platform“ auf die Agenda gesetzt. Abseits der Software-Pfade geht es hier um Hardware, um auf Sicherheit optimierte technische Komponenten und Systeme. Ich vermisse bei IT-Produkten des täglichen Gebrauchs, das können Server oder Endgeräte sein, ein belebtes Ökosystem europäischer Hersteller. Hier sollte durch politisches Einwirken perspektivisch eine Änderung herbeigeführt werden, die Ansätze sind dazu schon da. Mein Unternehmen wird definitiv passende Konzepte und Produkte beisteuern. Das Innovationsmanagement ist bei uns glücklicherweise schon lange verankert. Dafür verantwortlich zu sein betrachte ich als Privileg. Die Verantwortung nehme ich gerne, mit viel Bedacht sowie permanenter Rückkopplung wahr. Secure Platform fand intern und extern starken Zuspruch. Daher sind wir auch hier motiviert und engagiert bei der Sache.

Zeck: Ich danke Ihnen herzlich für das Interview und Ihre Zeit.