Wie Identität in Zukunft aussehen wird
05.09.2019
Im Internet werden immer mehr personenbezogene Daten gespeichert. Dadurch ist es leichter geworden, die Identität einer Person zu stehlen. Personenbezogene Identifikationsdaten können illegal von zentralisierten Speicherservern bezogen oder durch Social Engineering rekonstruiert werden. In unserer digitalisierten Welt können erhebliche Schäden verursacht werden, wenn eine Identität, ob für finanzielle oder gesellschaftliche Belange, fingiert wird, zum Beispiel durch den Zugriff auf Online-Konten. Das heutige System muss deshalb umgestaltet werden, um diesen modernen Bedrohungen Rechnung zu tragen.
“Was also ist Identitätsdiebstahl oder Identitätsbetrug? Grundsätzlich geht es darum, dass jemand versuchen kann, sich als Sie auszugeben, oder dass anders gesagt eine Identität von mehreren Parteien verwendet werden kann. So gesehen ist Identitätsbetrug schlicht und einfach ein Doppelausgabenproblem.” – Elizabeth M. Renieris
Die Blockchain-Technologie kann hier Abhilfe schaffen. Durch die dezentrale Identitätsspeicherung werden Datensilos vermieden, die für betrügerische Akteure sehr attraktiv sind. Die Kontrolle darüber, wann und wie Daten weitergegeben werden, liegt wieder in den Händen des Einzelnen. Das Potenzial dezentraler Identitäten (DIDs) wurde von einem Konsortium von mehr als 80 Branchenführern erkannt, die gemeinsam an der Festlegung von Standards für DIDs arbeiten. Die Umsetzung eines möglichen Identitätsstandards für die Ethereum-Blockchain wurde in Form von ERC-725 von F. Vogelsteller, dem Begründer des omnipräsenten ERC-20-Token-Standards, vorgeschlagen. ERC-725 ermöglicht selbstsouveräne Identitäten: Die Nutzer haben die alleinige Verantwortung für ihre digitalen Identitäten und können ihren Anspruch darauf nachweisen, ohne dass sie dafür einen Intermediär benötigen. Blockchains sind von ihrer Konzeption her unveränderlich (immutable). Dies ist zwar ein wesentlicher Bestandteil ihres Leistungsversprechens, stellt für Identitätsmanagementsysteme aber ein Problem dar. Identitäten sind Änderungen unterworfen – Elemente wie Wohnsitz oder Staatsbürgerschaft können sich im Lauf der Jahre ändern. Behördlich ausgestellte Ausweise verfallen nach einiger Zeit. Ein blockchainbasiertes Identitätssystem muss daher über Funktionen verfügen, die eine Aktualisierung der Angaben oder Datenpunkte zur Identität einer Person ermöglichen. Ein weiteres Thema ist Art. 17 DSGVO, in dem das “Recht auf Vergessenwerden” festgehalten ist. Die DSGVO schreibt vor, dass “betroffene Personen” von Diensten, die ihre personenbezogenen Daten erfasst haben, deren Löschung verlangen können. Blockchains jedoch vergessen nicht. Daher ist es eine grosse Herausforderung, Blockchains für das Identitätsmanagement unter Einhaltung der Vorschriften zu nutzen – denn personenbezogene Daten dürfen nicht in unverschlüsselter Form in die Blockchain eingehen. Regierungsbehörden könnten jedoch kryptographische Hashes (digitale Fingerabdrücke) der personenbezogenen Identitätsdaten bereitstellen, sie digital signieren und so die Gültigkeit des Fingerabdrucks bestätigen. Die jüngsten Vorfälle haben gezeigt, wie wichtig Datenschutz ist – mit zunehmender digitaler Präsenz wird dieses Thema immer relevanter. Die geschäftlichen Risiken bei der Speicherung personenbezogener Daten sind sichtbarer geworden, und es findet eine Trendumkehr statt von der Erhebung möglichst vieler Nutzerdaten zu so wenig wie möglich. Auch hier bietet die Kryptographie potenziell eine Lösung: Zero-Knowledge-Beweise.
Zero-Knowledge-Beweise erlauben es, eine bestimmte Tatsache nachzuweisen, ohne die Tatsache selbst offenzulegen. Wie dies möglich ist, lässt sich wie folgt veranschaulichen: Nehmen Sie zwei Freunde, Peggy (die Beweiserin) und den farbenblinden Victor (der Verifizierer). Peggy hat zwei Billardkugeln, die bis auf die Farbe identisch sind: Die eine ist grün, die andere rot. Peggy möchte Victor beweisen, dass sie die beiden Kugeln unterscheiden kann, ohne ihm die Farben zu verraten. Sie gibt Victor die Kugeln, und dieser legt sie hinter seinen Rücken und zeigt dann Peggy eine Kugel. Er legt die Kugel wieder hinter seinen Rücken und wählt dann eine der beiden aus und zeigt sie ihr. Anhand der Farbe wird Peggy leicht erkennen, ob Victor die Kugeln hinter seinem Rücken vertauscht hat oder nicht. Ihre Chance, mit zufälligem Raten die richtige Antwort zu erhalten, liegt jedoch bei 50% – der Prozess muss also mehrfach wiederholt werden. Nach zehn Wiederholungen sinkt die Wahrscheinlichkeit, dass Peggy die Farbe jedes Mal zufällig erraten hat, auf <0,1%. Peggy hat dadurch mit grosser Sicherheit bewiesen, dass sie die Kugeln wirklich unterscheiden kann, ohne dass sie weitere Informationen preisgeben muss.
Zero-Knowledge-Beweise haben ein breites Anwendungsgebiet. Beispielsweise muss ein Ticketverkäufer, der Personen über 65 Jahren einen ermässigten Preis anbieten möchte, das genaue Alter seines Kunden nicht kennen, sondern er muss lediglich die Gültigkeit des Anspruchs überprüfen. Ein weiteres Beispiel wäre der Nachweis des Wohnsitzes in einem Land, in dem ein Kryptowährungsmarkt nicht erlaubt ist, ohne dass das genaue Land offengelegt werden muss. Das zugrunde liegende Blockchain-Protokoll, auf dem diese Identitätsmanagementsysteme heute oder zukünftig aufbauen werden, wird einen grossen wirtschaftlichen Realwert generieren. Dies wirft allgemein die Frage auf: Wie viel vom tatsächlichen wirtschaftlichen Wert, der durch öffentliche Blockchains generiert wird, kann durch Zahlungs- oder Nutzungs-Token erfasst werden? In einer zukünftigen Episode von Bitcoin Suisse Decrypt werden wir uns eingehender damit auseinandersetzen.
Die Widerlegung eines Blockchain-Mythos: Bitcoin kann leicht gehackt werden.
Neueinsteiger hören oft von Hacks und glauben fälschlicherweise, dass Bitcoin gehackt wurde. Dabei wurde Bitcoin noch nie gehackt. Stattdessen kommt es vor, dass zentrale Unternehmen gehackt werden, die Kryptowährungsdienste anbieten. Es gibt drei Bereiche von Hacks, die Kryptowährungen betreffen können: Exchange Wallets, Softwarefehler auf Protokollebene sowie personenbezogene Daten, die von Drittanbietern gespeichert werden. Laut Chainalysis wurden bislang Kryptowährungen im Wert von fast 2 Mrd. USD von Exchange Wallets aus gehackt. Die Ausnutzung von Smart Contracts, wie der Hack der Decentralized Autonomous Organization von 2016 und die mehrfachen Parity-Hacks von 2017, haben einen Gesamtverlust von über 4,5 Millionen Ether verursacht. Schliesslich können Benutzerdaten wie etwa Passnummern von zentralen Unternehmen durch Hacks gestohlen werden. Jüngstes Beispiel ist der Hack der Exchange Binance, wodurch die Kontodaten von 60’000 Nutzern verloren gingen. Durch Datenschutzverletzungen werden unsere personenbezogenen Daten gefährdet. 2013 wurden die Daten von drei Milliarden Accounts des Webservice-Providers Yahoo gestohlen – der grösste Unternehmens-Hack der Geschichte. Die Chase Bank, die Hotelkette Marriott und Adult Friend Finder sind nur einige der Online-Unternehmen, die Opfer von Hackerangriffen im Internet wurden. Wenn eine Kreditkartennummer gehackt wird, kann die Bank eine neue Karte mit einer neuen Nummer ausstellen. Bei Verlust eines Führerscheins wird das neu ausgestellte Ersatzdokument mit einer neuen Nummer geliefert. Sozialversicherungsnummern gelten jedoch für ein ganze Leben für die betreffende Person. 2017 hat das US-amerikanische Kreditbüro Equifax die Sozialversicherungsnummern von rund 143 Millionen Amerikanern offengelegt. Gestohlene Sozialversicherungsnummern ermöglichen es Dieben, Milliarden an staatlichen Beihilfen und Leistungen abzuzweigen, über betrügerische Hypotheken und Kredite Geld von Banken aufzunehmen oder die Besteuerung zu umgehen, indem das Arbeitseinkommen den Sozialversicherungsnummern anderer Personen zugewiesen wird. Finanzielle Verluste stellen, wenn es um Social Security Hacks geht, nicht einmal die grösste Bedrohung dar. Unsere gesamte Demokratie hängt von der Speicherung unserer persönlichen Identifikationsnummern ab, da in den meisten Ländern die Wählerausweise an Personen mit gültigen Sozialversicherungsnummern geknüpft sind. Auf staatlicher Ebene wurden über 130 Fälle von Wahlbetrug gemeldet – gefälschte Stimmzettel haben folglich Auswirkungen auf die Demokratie weltweit. Laut einem Bericht der Stanford University aus dem Jahr 2018 befassen sich nur acht Prozent der aktuellen Blockchain-Projekte mit digitaler Identität. Das Haupthindernis ist folgendes: Wir haben noch immer nicht herausgefunden, wie man eine Blockchain aufbaut, die überprüfen kann, ob reale Daten wie die Identität von Personen auch wirklich wahr sind. Die Speicherung personenbezogener Daten der registrierten Wähler reicht nicht aus, um dem Wahlbetrug Einhalt zu gebieten. Wissenschaftler versuchen Beweise zu generieren, sogenannte Turing Impossible Proofs, die von Menschen leicht validiert werden können, die aber für künstliche Intelligenz nur schwer zu durchschauen sind. Dadurch soll verhindert werden, dass Bots mit gefälschten Identitäten ungültige Stimmen abgeben. Eine weitere Möglichkeit ist die Randomisierung. Wie Santiago Siri von der Democracy Earth Foundation erklärt, setzten die Griechen eine Randomisierungstechnik namens Kleroterion ein, um die Korruption einzudämmen. Durch die zufällige Auswahl von Amtsträgern für einen Zeitraum von einem Jahr wurde es schwierig, das Netzwerk zu bestechen, um ein bestimmtes Ergebnis zu erzielen. Theoretisch könnte ein ähnliches System auch auf die Knoten angewendet werden, in denen die Daten zur Identität jedes Wählers gespeichert sind. In einem dritten Forschungsbereich zur sicheren digitalen Speicherung der Identität jedes Menschen wird versucht, die Sozialversicherungsnummern ganz wegzulassen, da Sozialversicherungsnummern von Natur aus leicht zu hacken und zu fälschen sind. Glen Weyl, Nationalökonom bei Microsoft, lädt uns ein, auf philosophischer Ebene neu über Identität nachzudenken. Laut Weyl kann eine Person auch lediglich als Informationsmenge betrachtet werden, und die Fragmente dieser Informationen sind auf diejenigen Menschen verteilt, mit denen wir zusammenleben, so etwa Familienanhehörige, Freunde und Kollegen. Der Geburtstag meiner Mutter ist beispielsweise auch das Geburtsdatum meiner Mutter. Dieses eine Datum verbindet zwei Personen. Auf diese Weise konstitutierte sich vor der Vergabe von Sozialversicherungsnummern durch zentrale Organisationen das, was wir Identität nennen.
Viele Kulturen verknüpften den Namen einer Person mit dem Namen ihrer Eltern, wie Stepanovich, also Sohn von Stepan in slawischen Sprachen, und Anderssen, also Sohn von Anders in germanischen Sprachen. Je komplexer der Datensatz, mit dem wir die Identität einer Person abbilden, desto schwieriger ist es, diesen zu fälschen oder zu stehlen. Beispielsweise können GPS-Koordinaten von Mobiltelefonen, die Namen von Lehrern aus der ersten Klasse oder der Heimatort verwendet werden, um eine solide persönliche Identität aufzubauen. Verschiedene Unternehmen versuchen, Oracles zu generieren, die mit Smart Contracts arbeiten, um einige der Probleme von Blockchains der ersten Generation zu lösen. Können Blockchains Auswirkungen für die ganze Gesellschaft und nicht nur für die Finanzwelt haben? Das wissen wir noch immer nicht. Derzeit werden 29 Kryptowährungen im Bereich digitale Identitäten gehandelt. Die Marktkapitalisierung beträgt insgesamt 193,92 Mio. USD mit einer 7-tägigen Sektorrendite von -12,77%.
