FinanzevolutionNur wenn ich digital bin, bin ich

Ein Mann schaut auf einen Bildschirm
Digitale Identität: Wie kann man jemand eindeutig authentifizieren?
© Getty Images

Dirk Elsner (Foto: Sebastian Berger, Stuttgart)Dirk Elsner ist bei der DZ Bank Senior Manager Innovation und Digitalisierung. In dieser Kolumne äußert er seine private Meinung. 2008 hat er das private Wirtschaftsblog BlickLog gegründet, das mehrfach ausgezeichnet wurde.


Das Geschäftsmodell nahezu aller Finanzinstitutionen beruht im Grund auf einem einfachen Geschäftsmodell. Finanzinstitutionen schaffen einen Interessenausgleich zwischen denen, die Finanzierungsmittel anlegen wollen, und den Marktteilnehmern, die Finanzmittel benötigen. Trotz dieser Einfachheit hat sich die Finanzdienstleistungsbranche eine unglaublich komplizierte Begriffswelt geschaffen, so dass sich manchmal sogar Banker untereinander nicht verstehen. Zu der bestehenden Begriffswelt gesellen sich derzeit viele neue Bezeichnungen, die der digitale Wandel des Finanzsektors mit sich bringt. Ein Thema, auf dass ich in letzter Zeit häufiger stoße, läuft unter dem Titel „Identitätsmanagement“. Was zunächst trocken klingt, scheint immer mehr Fachleute unter anderem im Zusammenhang mit der gehypten Blockchain-Technologie zu elektrisieren.

Beim Thema digitale Identität verschwimmen freilich unterschiedliche Begriffssysteme, die Missverständnisse erzeugen können. Manche (so das Goethe-Institut in „Revolution für das Selbst?“) verstehen unter digitaler Identität eher die persönlichen Spuren, die wir im Netz hinterlassen. Ich nenne das kulturelle digitale Identität. Demgegenüber steht eine eher technische Erklärung: Demnach bezeichnet digitale Identität Daten, die zu einer Person gehören und zu ihrer eindeutigen Authentifizierung führen können (ich habe parallel Hintergrundinformationen dazu in meinem Blog zusammengetragen).

Wichtig ist, dass es eine digitale Identität nicht nur für Personen geben kann, sondern ebenso für Objekte, Organisationen und Dienste. Und im Zusammenhang mit Finanzdienstleistungen sind digitale Identitäten vor allem für „immaterielle Rechtsgüter“ wie Forderungen, Urkunden, Geld und so weiter wichtig. Und um diese geht es ebenfalls, wenn man sich mit der Blockchain-Technologie befasst. Die digitale Identität einer Person, eines Objekts, eines Rechts usw. kann nämlich in den Blöcken einer Blockchain (und natürlich auch in anderen Formaten) gespeichert werden.

fälschungssichere Profile von Personen

Aus einem Austausch mit Philipp Sandner, der den neuen Newsletter Blockchain Briefing herausgibt und an der Frankfurt School lehrt, habe ich gelernt, dass man innerhalb einer entsprechend konfigurierten Blockchain Identitätsdaten fälschungssicher speichern kann. Auch weitere Daten, die zu der Person gehören, können derart gesichert werden etwa die Personalausweisnummer. Hier nun entfaltet die Blockchain ihr gesamtes Potenzial, weil der Ausweis von einer Behörde herausgegeben wird. Wenn die Person nun ihre Ausweisnummer bei sich einträgt, kann die Blockchain-Technologie derart konfiguriert sein, dass die Behörde die Korrektheit der Nummer bestätigt. Auf ähnliche Weise kann eine Bankverbindung eingetragen werden, die von einer Bank bestätigt wird; oder ein Führerschein, der von der Zulassungsstelle bestätigt wird; oder der Besitzer einer Internetdomain, der von dem Domain-Registrar bestätigt wird.

Veränderungen dieser Daten sind nur durch die Person selbst möglich. Werden derartige Daten ex post manipuliert, „zerbricht“ die Blockchain, wodurch der Betrug auffliegt. Somit können also fälschungssichere Profile von Personen und vor allem Bezüge zu anderen Organisationen oder Dingen erfasst und gespeichert werden. Blockstack möchte ein derartiges System aufbauen.

Identitätsmanagement kann auch im Kleinen umgesetzt werden: etwa die Zugangsberechtigung für bestimmte Gebäude oder die temporäre Fahrerlaubnis für einen Mietwagen. Solche Ansätze gibt es schon ohne Blockchain-Technologie und sie funktionieren. Kern dieser Ansätze, sollten sie Blockchain-basiert aufgesetzt werden, wäre jedoch erstens die Fälschungssicherheit der Daten und zudem die dezentrale Arbeitsweise, die ohne eine zentrale Instanz (etwa einen zentralen Computer) auskommen kann.

Wird die Blockchain zum Rückgrat für das Identitätsmanagement?

Die interessante Frage ist nun, wer oder was könnte die technische und vertrauenswürdige Basis für eine solche digitale Identität sein. Die Single-Sign-on-Dienste von sozialen Netzwerken reichen zur Verifizierung nicht aus, denn Dienste wie Facebook oder Google prüfen die Identität ihrer Nutzer nicht anhand amtlicher Dokumente. Eine digitale Identität muss aber über einen vertrauenswürdigen Mechanismus verifiziert werden.

Bryan Yurcan fragte im American Banker, ob die Blockchain das Rückgrat eines universellen Identitätssystems sein könnte. Für manche klingt das noch nach einer Frage zu einem noch zu suchenden Problem, das keiner hat. Oder vielleicht doch? Bryan schreibt, dass Banken zunehmend ein Geschäftsmodell darin sehen, sich zu einem Wächter der digitalen Identität ihrer Kunden zu machen. Sie könnten etwa ihren Kunden einen digitalen Token bereitstellen, der das Alter in einer Bar oder beim Einkaufen bestätigt. Dazu bedarf es zwar nicht zwingend der Blockchain-Technologie. Allerdings ermöglicht es diese Technologie ebenfalls zuverlässig sichere Informationen zu verbreiten.

Meistens werden die Anwendungsfälle der Blockchain am Beispiel des Zahlungsverkehrs erklärt. Aber das Konzept (oder das Protokoll) kann allgemein zur Übertragung und Verifikation dann verwendet werden, wenn es um Dokumente oder Rechte geht. Ein Dokument oder Recht kann etwa ein Geldschein sein (verbrieft eine Forderung gegen eine Zentralbank), ein Vertrag oder ein Ausweisdokument. Nach dem Konzept der Blockchain-Technologie greifen alle auf die gleichen verifizierten Transakationsdaten zurück.

Identitätsmanagement wird in der Praxis noch komplizierter

Bryan Yurcan schreibt über Gem, einem Start-up aus Venice in Kalifornien. Es konzentriert sich darauf, für Unternehmen innerhalb der gleichen Branche, vertrauenswürdige Informationen über die Blockchain-Technologie zu teilen. Für Banken wäre es eine mögliche Lösung, die geprüften Know-Your-Customer-Anforderungen (=KYC) aus den Geldwäschevorschriften anderen Banken oder Unternehmen anzubieten, um die Legitimität des Kunden gegenüber Dritten zu beweisen (natürlich immer vorausgesetzt der Kunde möchte dies).

Andere Banken oder Unternehmen müssten also nicht noch einmal den Kunden überprüfen, sondern vertrauen der Prüfung einer anderen Bank. Banken prüfen heute ohnehin die Identität ihrer Kunden, sie könnten also diesen Service auch Dritten gegenüber anbieten und diesen Service mit Hilfe der Technologie so gestalten, dass nur die Information bereitgestellt wird, die gerade notwendig ist. Der Kunde wiederum erspart sich eine aufwendige Identifizierung, wie sie etwa in Deutschland neuerdings beim Bestellen elektronischer Zigaretten erforderlich ist. Statt seinen Ausweis zu scannen und per Mail zu senden (das ist nach heutigem Verständnis analoge Technologie) reicht eine Anfrage bei der Bank, ob der Kunde 18 Jahre oder älter ist. “Identity as a service” könnte damit ein Schlagwort für eine neue Leistung sein.

Was hier in diesem Text trotz vieler Vereinfachungen kompliziert klingt, wird in der Praxis noch viel komplizierter, weil da erfahrungsgemäß viele weitere Fragen auftauchen. Es nutzt zudem wenig, wenn eine Bank oder ein Dienstleister allein vorangeht. Das Schlüsselwort ist Zusammenarbeit.

Der Weg ist also noch weit, denn um digitales Identitätsmanagement via Blockchain-Technologie einzusetzen, müssten Finanzdienstleister ihre Infrastruktur entsprechend anpassen und mit ihren Wettbewerbern zusammenarbeiten, was sie am Beispiel des kanadischen Fintechs SecureKey bereits versuchen. Daneben haben auch Gesetzgeber und Regulatoren Voraussetzungen zu schaffen. Trotz der politischen Bekenntnisse zum digitalen Wandel sind das deutsche Rechtswesen und die Bankenregulatorik noch komplett auf analog ausgerichtet.