Neu ist das Konzept der Self Sovereign Identities (SSI) nicht. Allerdings gewinnt es durch Gesetzesinitiativen rund um die Datensouveränität an Bedeutung. CISOs sollten sich rechtzeitig mit dem Thema Self Sovereign Identities (SSI) befassen. Dieser Beitrag soll helfen. Foto: Mameraman – shutterstock.comNicht nur das Department of Homeland Security in den USA gehört zu den Verfechtern von SSI-Technologien. Entsprechende Initiativen und Gesetzgebungsverfahren laufen zeitgleich auch in der EU auf Hochtouren. Laut aktuellem Planungshorizont sollen die Vorgaben für einschlägige E-ID-Konzepte auf Basis von SSI sowohl in den Ländern der Europäischen Union wie auch in der Schweiz bis spätestens 2026 verbindlich in Kraft treten. Der folgende Überblick soll CISOs bei der Planung ihrer SSI-Projekte unterstützen.Status Quo bei eIDAS2 und EUDI-WalletEinen entscheidenden Meilenstein verzeichnen derzeit die E-ID- und SSI-bezogenen Aktivitäten der Europäischen Union. Am 29. Februar 2024 hat das Europäische Parlament in einer finalen Abstimmung die novellierte eIDAS-Verodnung angenommen. Mit dem formellen Akt beim EU-Ministerrat wurde das EUDI-Wallet beschlossen. Den EU-Mitgliedsstaaten bleiben 24 Monate Zeit, das Konzept der digitalen Identität auf nationaler Ebene umzusetzen. Um die zugrundeliegenden technischen Spezifikationen schon im Vorfeld auf Herz und Nieren prüfen zu können, hat die EU bereits 2023 vier grosse Pilotprojekte (Large Scale Pilots – LSP) auf den Weg gebracht. Dabei entwickeln und pilotieren private Unternehmen und Behörden aus den EU-Mitgliedsstaaten sowie weiteren Länder Europas in Zusammenarbeit derzeit spezifische Anwendungsfälle. Beteiligt sind rund 360 Einrichtungen. Technologische Grundlage ist der von der eIDAS Expert Group vorgelegte Werkzeugkasten, der unter anderem die am 7. März 2024 von der Europäischen Kommission vorgestellte, jüngste Version des “Architecture and Reference Framework (ARF)” umfasst.Die Anwendungsfälle sind zahlreich. Use Cases finden sich beim Zugang zu öffentlichen Diensten oder Sozialversicherungsleistungen, Bankgeschäften, Mobilfunkfragen, Führerscheinnachweisen, Vertragsunterzeichnungen, Rezeptverschreibungen, Reisevoraussetzungen, Bildungszertifikaten, Zahlungsabwicklungen oder klassischen Authentifizierungsfragen bei der Internetnutzung. Sie möchten regelmäßig über alles Wichtige rund um Cybersicherheit informiert werden? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider wissen sollten.Was ermöglicht SSI?Identitätsdaten selbst verwalten und die Hoheit über deren Verwendung behalten, dies ermöglicht das SSI-Konzept. Mit verifizierten Berechtigungsnachweisen (Verifiable Credentials, VC) können Benutzer, kryptografisch verifizierte Informationen vorlegen. Dies geschieht, ohne dabei unnötige Details offenlegen zu müssen und ohne, dass diese von einer zentralen Behörde nachverfolgt werden können. SSI stellt sicher, dass Anwender ihre ausdrückliche Zustimmung zur Freigabe von Daten erteilen. Digitale Signaturen, wie sie auf Dokumenten oder in X.509-Zertifikaten verwendet werden, lassen sich einsetzen, um die Aktivitäten der unterzeichnenden Partner nachzuverfolgen. Kryptographische Algorithmen verhindern, dass Dritte die digitale Signaturen von verifizierten Berechtigungsnachweisen ausnutzen. Andernfalls wäre denkbar, dass die Eigentümer der verifizierten Berechtigungsnachweise über verschiedene Anwendungsfälle und Services hinweg ausgespäht werden. Dadurch könnte ihnen erheblicher Schaden entstehen. SSI unterstützt aus diesem Grund kryptografische Algorithmen, die diese Schwachstelle beseitigen und die Unverknüpfbarkeit der Daten garantieren. Einzelpersonen können allerdings auf der Grundlage von Informationen, die sie mit Empfängern teilen, immer noch identifiziert werden.Wie gelingt die Absicherung?Verifizierbare Berechtigungsnachweise sind kryptografisch signiert. Jeder Versuch, die in einem verifizierbaren Berechtigungsnachweis enthaltenen Daten zu verändern, wird sofort erkannt und damit manipulationssicher. Kryptografische Signaturen bieten auch die Möglichkeit, die Aussteller von verifizierbaren Berechtigungsnachweisen eindeutig zu identifizieren und somit die Vertrauenswürdigkeit der Daten zu bewerten. Die selektive Offenlegung erfolgt mit fortschrittlicher Kryptografie. Eigentümer können bei jeder Transaktion entscheiden, welche der auf den verifizierbaren Berechtigungsnachweisen gespeicherten Daten freigegeben und welche nicht freigegeben werden sollen. Bestimmte Implementierungen unterstützen auch den Null-Wissen-Beweis (engl. Zero-Knowledge Proof). Auf der Grundlage von Informationen, die in den verifizierbaren Berechtigungsnachweisen enthalten sind, wie das Geburtsdatum, ist es möglich, abgeleitete Informationen offenzulegen. Bei einem Anwendungsfall kann dies der Nachweis sein, dass die Eigentümer über 18 Jahre alt sind. Dieser Nachweis erfolgt jedoch ohne die zugrundeliegenden Daten offenzulegen, sie bleiben weiterhin geschützt.FazitDer dezentrale Ansatz von SSI ermöglicht eine höhere Datensouveränität jedes Einzelnen. Behörden müssen dieses Konzept bis 2026 auf den Weg bringen. Daraus ergeben sich eine Reihe von Möglichkeiten für Firmen, sich schon heute mit der Technologie zu beschäftigen. CISOs sollten sich jetzt auf die digialen Wallets vorbereiten, um die darin enthaltenen digitalen Informationen abzusichern. Darüber hinaus gilt es in Projekte frühzeitig einzusteigen, um bei sicherheitsrelevanten Entscheidungen angehört zu werden. (jm) SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren