Personalausweise, Mail-Adressen, Website URLs und Barcodes haben eines gemeinsam – sie sind Identifikatoren.
Was sind Identifikatoren?
Einzelpersonen und Organisationen auf der ganzen Welt verwenden Identifikatoren in verschiedenen Bereichen. Die Barcodes und Seriennummern auf Produkten, Handelsregister- und Steuernummern von Unternehmen oder auch Personalausweise, Führerscheine und Versicherungskarten im privaten Bereich.
Viele dieser Identifikatoren teilen eines: Sie liegen nicht in unserer Kontrolle. Sie werden oftmals von dritten, zentralen Entitäten erstellt, zugewiesen, widerrufen und für die Nutzung freigeschaltet (z.B. die eAusweis-Funktion im Personalausweis). Sollte so eine Entität scheitern, hat der Betroffene keine Kontrolle mehr über diese Identifikatoren und kann diese auch nicht mehr nutzen.
Bei physischen Dokumenten kommt hinzu, dass diese Identifikatoren repliziert und von Dritten missbraucht werden können – Wir kennen das als Identitätsdiebstahl. Auch hier hat die betroffene Person keine Kontrolle mehr über diese Identifikatoren. Außerdem zeigt die Zunahme von Daten-Leaks deutlich, dass zentrale Datenbanken potenzielle Gefahrenquellen für alle Nutzer:innen darstellen.1
Was sind dezentrale Identifikatoren (kurz DID)?
Dezentrale Identifikatoren sollen Organisationen und Einzelpersonen eine Möglichkeit bieten, eigene Identifikatoren zu generieren. Per kryptografischer Methoden, wie einer digitalen Signatur, kann der Besitz daran nachgewiesen und Kontrolle über den Identifikator ausgeübt werden. Dabei können sie sich auf Personen, Organisationen, Datenmodelle, Produkte oder eine Sache allgemein beziehen und vom Verantwortlichen generiert werden. DID bedeuten eine überprüfbare, dezentrale und digitale Identität.
Die Kontrolle über einen DID kann mit der physischen Sache übertragen und dann vom neuen Besitzer verwaltet werden. Dafür braucht es hier keine Erlaubnis einer dritten Entität. Durch die dezentralen Identifikatoren wird es möglich Kontrolle, Sicherheit und Auffindbarkeit zu garantieren, ohne von, den genannten, zentralen dritten Entitäten abhängig zu sein.
Aufbau von DID's
Ein dezentraler Identifikator besteht aus einer URI (Uniform Resource Identifiers), dem DID-Subjekt und dem DID-Dokument. Die DID-Dokumente enthalten zusätzliche Informationen inkl. kryptographischer Daten, über die der/ die BesitzerIn die Kontrolle über den DID nachweisen kann.
In dem DID-Subjekt zeigt sich, was durch den DID identifiziert und durch das DID-Dokument beschrieben wird. Die Entität, die sowohl den DID und das dazugehörige Dokument kontrolliert, wird als DID-Controller bezeichnet und ist oftmals identisch mit dem DID-Subjekt. Dokumente, die innerhalb eines DID mit einem DID-Subjekt verknüpft sind, ermöglichen dementsprechend vertrauenswürdige Interaktionen.2
Lesen Sie gerne bei den Use Cases der Identifikatoren weiter, um die Vorteile der Nutzung von DIDs besser zu verstehen.
Wo können diese DIDs eingesetzt werden?
Um die Ziele von dezentralen Identifikatoren zu verdeutlichen haben wir einige Beispiele mitgebracht. Allgemein können dezentrale Identifikatoren in den verschiedensten Bereichen Anwendung finden. Etwa in der Supply Chain und im Vertrieb. Auch im rechtlichen Bereich und in der Zulassung und Autorisierung sind dezentrale Identifikatoren durchaus sinnvoll.
Bei der Nachverfolgung von einzelnen Bauteilen können einzigartige, dezentrale Identifikatoren durchaus einen Mehrwert bieten. Bauteile mit einer DID, können den Prozess von der Entstehung bis zur Auslieferung und Montage aufzeichnen und nachvollziehbar speichern.
Bei dem Wechsel eines Bauteils durch ein aktuelleres Modell ist es möglich diesen DID „in Rente“ zu schicken, wobei die Historie trotz allem nachvollziehbar bleibt, da diese gespeichert und auch nach der Deaktivierung ausgelesen werden kann. Sollte das Fahrzeug verkauft werden, können dezentrale Identifikatoren angepasst und übertragen werden, hier also auf den neuen Besitzer des Fahrzeugs.
Auch Autoversicherungen können von der Nutzung von DIDs profitieren. Mithilfe von DIDs kann die Versicherung die Nutzung der Kraftfahrzeuge nachvollziehen und bei einer verantwortungsvollen Wartung und Nutzung zum Beispiel Rabatte anbieten.
DIDs müssen dabei nicht immer global gültig sein – sie können auch für bestimmte, interne Use Cases eingesetzt werden.
Die Personalabteilung kann beispielsweise für einzelne Angestellte einen DID erzeugen und der Führungskraft die Kontrolle dafür übertragen. Die Führungskraft kann dann z.B. Zutrittsrechte zum Betriebsgelände oder Rollen für die IT-Systeme als DID-Dokument anhängen, ohne von der zentralen Sicherheits- oder einer IT-Abteilung abhängig zu sein.
In besonders sensiblen Bereichen könnten zusätzliche Freigaben notwendig sein, die durch kryptographische Signaturen dargestellt werden – Dezentralität heißt eben nicht gleich Kontrollverlust.
Wenn ein:e Mitarbeiter:in die Abteilung wechselt, wird der DID an die neue Führungskraft übertragen und bei dem Verlassen des Unternehmens, kann der DID deaktiviert werden, womit automatisch alle Rechte hinfällig werden.
1 Bundesamt für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland 2020, Bonn 2020, S.20. Online: Hier.
2 Reed, Drummond; Sabadello, Markus: Decentralized identifiers, 2021
Mehr Informationen zum Thema und weitere Use Cases für dezentrale Identifikatoren finden Sie beim World Wide Web Consortium unter den zwei nachfolgenden Links: Hier oder Hier
