Digitale Identitäten werden uns dauerhaft begleiten. Der Durchschnittsbürger hätte vermutlich schon jetzt Mühe, sich alle zu merken: Egal, ob Kreditkarten, Mobiltelefone, Online-Konten, soziale Medien oder Unternehmenskonten – unsere personenbezogenen Daten sind praktisch überall gespeichert.
In gewisser Weise sind digitale Identitäten zu einem Teil des gesellschaftlichen Gefüges geworden, und es ist schwer vorstellbar, dass sie das in absehbarer Zeit nicht mehr sind. Mit der Ausbreitung von COVID-19 sind Methoden, um Menschen in großem Maßstab eindeutig zu identifizieren, zusätzlich Teil der langfristigen Pandemiebewältigung geworden.
Es gibt jedoch eine Entwicklung hinsichtlich digitaler Identitäten, die viele prognostiziert und einige bereits praktisch umgesetzt haben. Im vergangenen Jahr veröffentlichte Deloitte einen Beitrag, dazu, wie man mit einer eindeutigen digitalen Identität die Interaktionen von Bürgern und Unternehmen mit Behörden optimieren kann. Mit einem einzigen Login, ähnlich der Anmeldung beim Bankkonto, könnten Unternehmen staatliche Zuschüsse beantragen oder den Status einer Gebäudeinspektion überprüfen. Bürgerinnen und Bürger könnten über dieses Login genauso eine Busfahrkarte kaufen wie ihre Steuern bezahlen. Servicequalität und betriebliche Effizienz ließen sich gleichermaßen verbessern.
Eindeutige digitale Identitäten sind ganz offensichtlich keine Utopie, wenn Länder auf der ganzen Welt damit beginnen, dieses Modell umzusetzen. In Europa hat Estland eine Vorreiterrolle übernommen: Bürger zahlen ihre Steuern über ein vorausgefülltes Steuerformular, greifen auf ihre Krankenakte zu und wählen online. Die Europäische Union zieht mit ihrem „EU Once-Only“-Projekt nach. Ziel ist es, einen kompletten digitalen Binnenmarkt zu schaffen.
Bei eindeutigen Identitäten geht das Projekt sogar noch einen Schritt weiter: EU-Bürger profitieren nicht nur im eigenen Land von einer einzigen digitalen Identität, sondern können ihre elektronische ID nahtlos in allen anderen Staaten der Europäischen Union nutzen. Auf globaler Ebene betrachten die Vereinten Nationen digitale Identitäten als eine Möglichkeit, Menschen auf der ganzen Welt das grundlegende Menschenrecht zu gewähren, vor dem Gesetz als Person anerkannt zu werden. In der Agenda 2030 für nachhaltige Entwicklung skizzieren die Vereinten Nationen ihr Ziel, eine rechtliche Identität für alle zu schaffen.
Ein ehrgeiziges Projekt
Derzeit beschäftigen sich unterschiedliche Projekte mit der Blockchain-Technologie im Identitätsmanagement. Zugrunde liegt die Idee, dass Identitäten jederzeit und überall einsetzbar und überprüfbar sein müssen. Die Technologie soll ausreichend flexibel sein, um verschlüsselte digitale Identitäten für unterschiedliche Anwendungen zu erstellen. Und zwar, ohne einen einzigen, zentralen Identitätsspeicher. Ohne zentrales Repository ist das Risiko wesentlich geringer, dass Hacker große Mengen an Identitätsdaten aus einer einzigen Quelle stehlen, wie beispielsweise der Kundendatenbank eines Unternehmens.
Blockchain erlaubt einen Zero-Knowledge-Nachweis. Dabei handelt es sich um ein Konzept, bei dem eine Person gegenüber einer anderen Entität nachweisen kann, dass sie eine bestimmte Information kennt oder eine bestimmte Anforderung erfüllt. Dazu muss sie die eigentliche Information nicht preisgeben. Zum Beispiel kann eine Person nachweisen, dass sie über 21 Jahre alt ist, ohne ihr Geburtsdatum zu nennen. Die Person würde über einen an ihre Identität gebundenen Indikator verfügen, der genau das besagt. Nämlich, dass sie über 21 Jahre alt ist. Die verifizierende Entität muss das tatsächliche Geburtsdatum nicht kennen, sondern nur die digitale Signatur der Behörde validieren, die die Informationen ausgestellt und beglaubigt hat. Genau dazu eignet sich die Blockchain-Technologie.
Warum überhaupt eine einheitliche digitale Identität?
Es gibt einige Beispiele, die zeigen, dass eine einheitliche digitale Identität der beste Weg zur Bewältigung spezifischer Herausforderungen sein kann. Das US-Verteidigungsministerium hat beispielsweise eine Common Access Card (CAC) eingeführt. Diese Smartcard verwendet das gesamte Verteidigungsministerium für den Zugang zu sämtlichen Zweigstellen. Sie ermöglicht den physischen Zugang zu Gebäuden und kontrollierten Räumen und erlaubt den Zugriff auf Computernetzwerke und -systeme des Verteidigungsministeriums.
Das Welternährungsprogramm der Vereinten Nationen hat einen Weg gefunden, mithilfe der Blockchain-Technologie syrischen Flüchtlingen, die häufig ohne Ausweispapiere in Lagern ankommen, eine digitale Identität zu geben. Man erstellt dazu eine digitale Geldbörse, auf die Flüchtlinge Geld überweisen lassen und etwa Lebensmittel kaufen können. Das vereinfacht den Prozess der physischen Verteilung von Ressourcen. Mit der biometrischen Identifizierung können Flüchtlinge sich in den Camp-Supermärkten identifizieren und auf ihre digitale Geldbörse zugreifen.
Derzeit stellt die COVID-19-Pandemie die Centers for Disease Control and Prevention vor neue Herausforderungen. Die US-Bundesregierung hat begonnen, Standortdaten von Mobiltelefonen als digitale Ad-hoc-Identität zu verwenden, um bei der Reaktion auf Epidemien zu helfen. Die meisten Menschen verfügen über ein Mobiltelefon. Man nutzt also diese einfache Möglichkeit, um nachzuverfolgen, ob die Menschen sich an die Shelter-in-Place-Richtlinien halten oder sich im Gegenteil in Scharen versammeln. Ein Beispiel ist New York City. Dort hat man so erkannt, dass sich eine große Menschenmenge im Brooklyn Prospect Park versammelt hatte. Anhand der Informationen posteten die Behörden Warnungen, sich an das Gebot des Social Distancing zu halten, und konnten so die aktuelle Situation überwachen.
Einheitliche Identität und Datenschutz
Eine einzige, einheitliche digitale Identität schafft allerdings eine Reihe neuer Probleme gerade hinsichtlich von Datenschutz und der Wahrung von Menschenrechten. Dieselbe Technologie, die derzeit zur Nachverfolgung von Personen während der Coronavirus-Pandemie verwendet wird, kann ebenso gut missbraucht werden. Regierungsbeamte in China haben bereits damit begonnen, Gesichtserkennungssoftware zu verwenden, um Personen zu identifizieren, die im Schlafanzug vor die Tür gehen, was als unzivilisiertes Verhalten eingestuft wird. Die Bilder der Regelbrecher wurden als eine Form des Public Shaming online gestellt. Ein vergleichsweise harmloses Beispiel – verglichen mit dem Interesse eines autoritären Regimes an einer einheitlichen digitalen Identität.
Ein Beispiel für unbeabsichtigte Folgen, ist das indische Aadhaar-Programm, das größte digitale ID-Programm der Welt. Hier hat sich bereits gezeigt, dass es einem hohen Betrugsrisiko ausgesetzt ist. Es kam nachweislich zu Fällen, bei denen nicht nur Geld gestohlen wurde, sondern die Identitäten zur Eröffnung betrügerischer Konten dienten. Das größte Problem bestand aber in Systemausfällen und Ausfallzeiten, so dass die Nutzer nicht mehr auf die dringend benötigten Ressourcen zugreifen konnten. Das führte sogar zum Tod von mindestens 15 Menschen, von denen 7 keinen Zugang zu subventioniertem Getreide hatten. Eine einheitliche digitale Identität ist nur so gut wie das Vertrauen, in das System, in dem sie verwendet wird.
Für die Verwendung digitaler Identitäten in Zeiten der COVID-19-Pandemie ist die Contact-Tracing-App „Care-19“ aus North Dakota ein warnendes Beispiel. Man fand heraus, dass die App verdeckt Standort- und Werbedaten an Dritte sendet. Ein weiteres Vertrauensproblem, wenn man bedenkt, dass laut einer kürzlich durchgeführten Studie mindestens 60 % der Bürger eine solche App herunterladen müssen, damit sie funktioniert. Dazu muss gewährleistet sein, dass personenbezogene Daten vor Missbrauch geschützt sind und dass Bürgerinnen und Bürger der App ausreichend vertrauen.
Vorteile versus Risiken
Will man digitale Identitäten weiterentwickeln, muss man die Vorteile gegen die möglichen Risiken abwägen. Der erste Schritt besteht darin, monolithische Systeme zu vermeiden, die eine zentrale Fehlerquelle aufweisen wie im indischen Aadhaar. Solche Systeme bieten ein hohes Maß an Sicherheit bei der Identifizierung eines Individuums. Sie sind aber ein zweischneidiges Schwert und können eine Überidentifizierung zur Folge haben. Genau das ist mit den Sozialversicherungsnummern und dem US-Kreditsystem bereits passiert. Die Informationen ließen sich in Gänze viel zu leicht beschaffen und missbrauchen. Eine Tatsache, die zur Grundlage für einen Branchenzweig wurde, der sich auf den Diebstahl von Identitäten und die entsprechenden Geschäftsmodelle spezialisiert hat.
Die Antwort: Kontextintegrität
Ein Schlüssel zur Lösung dieses Problems ist die von Helen Nissenbaum vorgeschlagene Kontextintegrität. Die Idee ist, dem Anforderer, basierend auf dem Kontext der Anforderung, nur die minimal erforderlichen Identitätsinformationen bereitzustellen. Zum Beispiel muss ein Gesundheitsdienstleister vielleicht das Geschlecht und das Gewicht einer Person kennen, ein Online-Händler jedoch nicht. Umgekehrt muss ein Finanzdienstleister vielleicht das zu versteuernde Einkommen einer Person kennen, um einen Kredit zu gewähren, ein Gesundheitsdienstleister hingegen nicht.
Mobiltelefone sind die erste Plattform, die diese Art von Funktionalität ermöglicht. Sie bietet die Grundlage für Contact Tracing, sie ermöglicht es heute jedem, seine Gesundheitsinformationen nicht nur zu überwachen, sondern sogar freiwillig zu teilen. Allerdings gibt es auch Bedenken. Mobiltelefone sind inzwischen für fast jeden zu einer digitalen De-facto-Identität geworden, und Unmengen persönlicher Daten werden ohne Zustimmung und Wissen der Nutzer an Dritte weitergegeben. Das muss nicht zwingend schlecht sein, wie etwa bei der Geolokalisierung durch Rettungsdienste. Es gibt allerdings keinen Grund, warum diese Informationen weiteren Dritten zugänglich sein sollten.
Um Datenschutzbedenken Rechnung zu tragen, ist es letztlich notwendig, die Idee einer selbstbestimmten Identität zusammen mit der Kontextintegrität in diesen Systemen umzusetzen. Eine Person sollte in der Lage sein, alle Aspekte ihrer Identität inne zu haben und zu überwachen. Sie sollte kontrollieren können, welche Informationen weitergegeben werden, wo diese gespeichert sind und – was am wichtigsten ist – wann sie „vergessen“ werden.
Von Individuen sollte man nicht verlangen, die Kontrolle über ihre Identität an eine einzige Organisation abzugeben. Wir sollten selbst auf Veränderungen drängen und zu den Grundlagen der Freiheit zurückkehren, die uns vor dem Zeitalter der digitalen Technologie so offensichtlich erschien – unsere Identität und wer wir sind, gehört uns und niemandem sonst. Nicht nur angesichts der aktuellen Entwicklungen sollten wir dieses Thema sehr ernst nehmen.
Bruce Esposito, One Identity, www.oneidentity.com