Selbstsouveräne Identität (SSI): Der digitale B2B-Ausweis
Die klassische Prüfung der Identität ist aufwändig, langwierig und teuer. Das gilt nicht nur für das B2C-Geschäft: Auch im B2B-Umfeld steigt die Nachfrage nach digitaler Identifikation. Dort planen immer mehr Unternehmen den Einsatz von selbstsouveränen Identitäten (SSI). Dabei verfolgen sie das Ziel, so nicht nur Personen, sondern ganze Unternehmen, Verbände und selbst Maschinen eindeutig und wiederverwendbar auszuweisen. In der technischen Umsetzung bieten Distributed Ledger eine elegante Lösung.
von Dr. Lars A. Ludwig, Geschäftsführer & Karsten Treiber, Managing Director bei targens
Die Firmenfusion im Handelsregister online eintragen, ein neues Geschäftskonto eröffnen oder Firmenwagen leasen – wenn es um den Nachweis einer Identität geht, war in der Vergangenheit ein hoher Aufwand geradezu vorprogrammiert. Digitale Identitätsservices versprechen Abhilfe durch schnelle und kostengünstige Abwicklungen für unterschiedlichste B2B-Prozesse. Entscheidend für die Verlässlichkeit von digitalen Authentifizierungen ist die Qualität der bereitgestellten Daten – und die Bestätigung der Wahrhaftigkeit dieser Daten durch zertifizierte Unternehmen.Qualität muss stimmen
So reicht bei einem klassischen Online-Bestellvorgang für den Identifizierungsprozess meist eine Selbstauskunft und eine rudimentäre Überprüfung dieser Daten, beispielsweise über die Kontoangaben. Die Eröffnung eines Kontos hingegen benötigt schon eine höhere Qualität, zumal sie durch die Bankaufsichtsbehörde klar vorgegeben ist. Banken arbeiten nämlich üblicherweise mit Silo-Identitäten: Ein Bankinstitut identifiziert seine Kunden – ggf. über Dienstleister – selbst, und die Identität liegt ausschließlich bei dieser einen Bank vor. Bei jedem Wechsel muss der Prozess vom jeweiligen Institut erneut mit allen erforderlichen Qualitätsstufen durchlaufen werden.
Eine Wiederverwendbarkeit von Identitätsdaten bietet hingegen die föderierte Identität, wie sie online häufig zu finden ist: Anbieter halten bestimmte Identitätsdaten ihrer Nutzer, die zur Anmeldung bei Drittanbietern abgerufen und wiederverwendet werden. Die Datenqualität ist dabei aber nicht zweifelsfrei sichergestellt, und die Identitätsattribute, die hinterlegt und geteilt werden (Name, Kontaktdaten, Log-in-Daten), sind strikt von den Anbietern vorgegeben.
Attributfreiheit bei gleichzeitiger Qualitätssicherung bietet allein die dritte und derzeit begehrteste Stufe der Identitätsservices: die selbstsouveräne Identität (SSI). Hier gehören die wiederverwendbaren Identitätsdaten allein dem Ersteller.
Dafür werden die Daten einmalig aufgenommen und anschließend von Dritten bestätigt, um die benötigten Qualitätsstufen zu erreichen.”
Das Resultat ist eine Dreiecksbeziehung zwischen dem Identitätsersteller, einem Nutzer, dem die Daten freigegeben werden, und einem Prüfer, der die Daten und ihre Qualität bestätigt. Entscheidend dabei ist, dass die Datenqualität der Prüfer ebenfalls gesichert ist.
Auf den Prüfer kommt es an
Autor Dr. Lars A. Ludwig & Karsten TreiberDr. Lars A. Ludwig ist seit 2019 Geschäftsführer der targens (Website) und seit mehr als 25 Jahren Experte für Unternehmenssoftware im Finanzbereich. Mit seiner Leidenschaft für Innovation und Organisationsentwicklung wurde er im Jahr 2011 beim höchsten deutschen IT-Wettbewerb “CIO des Jahres“ prämiert.
Als Managing Director der targens verantwortet Karsten Treiber den Bereich Digital Innovation. Sein Interesse gilt den weitreichenden Veränderungen und Auswirkungen zukünftiger Technologien in der Finanzwelt. Dabei engagiert er sich als Experte in verschiedenen Organisationen zum Thema DLT und Blockchain und macht dieses als Herausgeber des Podcasts blockFUNK für jedermann greifbar.
Jene Informationen, die bei einer natürlichen Person auf dem Ausweis und bei einem Unternehmen als juristische Person im Handelsregister stehen, stellen als amtliche Daten die sogenannte Kernidentität. Sie dürfen auch digital nur von zertifizierten Unternehmen in bestimmten Qualitäten gemäß der eIDAS-Verordnung bestätigt werden. Weitere Identitätsattribute wie beispielsweise ein Arbeitsverhältnis können digital erst dann verifiziert werden, wenn zuvor der Prüfer, im Beispiel also der Arbeitgeber, ganzheitlich von einem institutionellen Vertrauensdienstleister bestätigt wurde. Das aus dem Alltag bekannte Ökosystem kann nun in die digitale Sphäre übertragen werden, birgt jedoch ein Risiko: Prüfer wie Bankinstitutionen bestätigen zwar im Allgemeinen Identitäten, übernehmen aber, anders als staatliche Behörden, keine Verantwortung dafür. Doch elektronische Vertragsabschlüsse benötigen in Europa allerhöchste Datenqualität. Die Folge: Es braucht Prüfungsinstanzen, die bereit sind, Verantwortung für die Daten zu übernehmen.
Als Managing Director der targens verantwortet Karsten Treiber den Bereich Digital Innovation. Sein Interesse gilt den weitreichenden Veränderungen und Auswirkungen zukünftiger Technologien in der Finanzwelt. Dabei engagiert er sich als Experte in verschiedenen Organisationen zum Thema DLT und Blockchain und macht dieses als Herausgeber des Podcasts blockFUNK für jedermann greifbar.
Dies gilt auch für die Rechtskräftigkeit von Machine-to-Machine-Prozessen im Internet of Things: Ansätze wie Online Condition Monitoring (kontinuierliche Zustandsüberwachung) oder Predictive Maintenance (vorausschauende Wartung) bieten viele Vorteile. Doch schon der scheinbar simple, automatische Ruf einer Maschine nach einem Mechaniker für die jährliche Wartung bedarf einer rechtskräftigen digitalen Identität. Oder wenn Sensoren Temperatur und Bewegungen einer Ware während des versicherten Produkttransports überwachen, benötigen künftig alle beteiligten Agenten (Absender, Empfänger, Versicherer, Transporteure und auch die Sensoren) jeweils eine rechtskonforme Identität für den digitalen Geschäftsabschluss.
Derzeit steht man in der digitalen Zusammenarbeit von Unternehmen noch am Anfang. Das gilt vor allem dann, wenn KI-Systeme zum Einsatz kommen, die selbstständig Entscheidungen treffen. Allerdings sind erste Use Cases bereits erfolgversprechend verlaufen. Und der Aufwand lohnt sich: Sämtliche Geschäftsprozesse einer solchen Smart-Contract-Operation können nachvollziehbar und lückenlos abgebildet werden, ihre Gültigkeit wird abgesichert, und die Datenfreigabe erfolgt pro Interaktion beziehungsweise pro Geschäftsabschluss. So kann der Eigentümer einer SSI jederzeit seine Daten vom Vertragspartner zurückziehen. Dieser ist dann nur noch berechtigt, die Daten bis zum Ablauf der gesetzlichen Aufbewahrungsfrist vorzuhalten. Unterzeichnungsberechtigte Mitarbeiter und Maschinen digital zu verwalten und auszuweisen, wird deswegen schon bald ein zentrales Thema für Unternehmen.
Distributed Ledger als Basis
Die Distributed-Ledger-Technologie (DLT) bietet sich als technologische Schnittstelle für diese Form des Datenaustauschs geradezu an, weil dadurch die Interaktionen eines Geschäftsprozesses unveränderlich, aber nachvollziehbar auf einer Plattform protokolliert und den Teilnehmern zugänglich gemacht werden. Das erleichtert eine gewisse Automatisierung der Geschäftsabläufe und erzeugt das notwendige Vertrauen für eine verteilte Zusammenarbeit. In Europa müssen solche verteilten Ledger für das reguläre Business im Hintergrund von Governance-Einheiten reguliert und verantwortet werden. So können viele Unternehmen und Branchen gemeinsam in einem Netzwerk unter denselben Bedingungen miteinander agieren, ihre Identitäten weitergeben und verifizieren. Das bedeutet aber nicht, dass Kernidentitäten im Netzwerk preisgegeben werden.
Stattdessen sind die Referenzen und damit die Verifizierungen und Qualitäten der hinterlegten Attribute einsehbar.”
Aktuell ist die Umstellung aller internen Unternehmensprozesse auf DLT allerdings noch sehr aufwändig. SSI-Services der Gegenwart müssen deswegen für die derzeitige Umbruchphase technologieunabhängig gestaltet werden, um in Firmen jeder Größe einfach implementierbar zu sein. Dann steht dem digitalen B2B-Ausweis nichts mehr im Wege.Dr. Lars A. Ludwig & Karsten Treiber, targens
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/119979
Schreiben Sie einen Kommentar