Self-Sovereign Identity als Grundlage für universell einsetzbare digitale Identitäten

Mit zunehmender Digitalisierung von Wirtschaft und Verwaltung wächst das Angebot an digitalen Diensten. Um vertrauenswürdige Interaktionen mit solchen Diensten zu gewährleisten, müssen alle Beteiligten sicher digital identifiziert werden. Mit digitalen Identitäten können sich Personen, Organisationen oder Objekte gegenüber einem Softwaresystem ausweisen. Solche digitalen Identitäten sind im Kern eine Sammlung von verschiedenen, möglichst langlebigen Identifizierungsmerkmalen (Identitätsattributen) (Tsolkas und Schmidt 2017).

Bei der Entwicklung von digitalen Identitäten wurde zunächst pragmatisch vorgegangen. Dies führt dazu, dass Betreiber von Onlineservices und Anwendungen (Service Provider) die digitalen Identitäten ihrer Nutzer selbst verwalten müssen. Dadurch entstanden zahlreiche „Silos“ mit einer Sammlung von Identitätsmerkmalen und eigener Nutzerbasis. Die Anwender müssen in der Folge zahlreiche Nutzerkonten pflegen, deren gespeicherte Identitätsmerkmale vielfach redundant sind.

Eine Verbesserung erreicht das Modell der föderierten Identitäten, welches digitale Identitäten systemübergreifend nutzbar macht. Dabei werden zentrale Dienste, so genannte ID-Provider, eingesetzt, die Identitätsmerkmale und Authentifizierungsmethoden für die Nutzung einer Vielzahl von Anwendungen zentral bereitstellen. Somit kann der Fragmentierung der ID-Landschaft zum Preis der Zentralisierung von ID-Informationen bei einigen wenigen gewinnorientierten Unternehmen begegnet werden. Dies birgt wiederum neue Risiken. So können die ID-Provider beim Einsatz der Identitäten durch den Nutzer Daten aus unterschiedlicher Herkunft miteinander korrelieren und somit individuelle Profile von Nutzern erstellen. Diese Sammlung bietet die Grundlage sowohl für eigene wirtschaftliche Zwecke wie beispielsweise auf den Nutzer zugeschnittene Werbeanzeigen als auch für die möglicherweise unerwünschte Weitergabe persönlichen Daten an Dritte. Staatliche, elektronische Authentifizierungsmethoden versuchen die Fragmentierung der ID-Landschaft ebenfalls zu adressieren, indem sie einer Person ermöglichen, sich gegenüber einem Händler oder einer Behörde mit der eID auszuweisen. Die eID ist die elektronische Repräsentation des Personalausweises, die direkt im Ausweis eingebettet ist (BMI 2020a). Sie ist seit 2017 standardmäßig bei allen neu ausgestellten Personalausweisen aktiviert (Bundesregierung Deutschland 14.07.2017) und kann mittels geeigneter Apps, z. B. der AusweisApp2, per Smartphone ausgelesen und an einen berechtigten Anfrager übermittelt werden.

Auch Organisationen benötigen digitale Identitäten für die Kundenbetreuung, digitale Finanzverwaltung oder zum Nachweis der Rechtsform. In Deutschland übernehmen solche Registrierungen das Handelsregister, das Finanzamt, die Non-Profit Organisation GS1 Germany und andere Mitglieder der Global Legal Entity Identifier Foundation (GLEIF). Die ausgestellten Kennnummern sind jedoch nicht interoperabel. Dementsprechend ermöglicht der Handelsregistereintrag eine Identifizierung auf nationaler Ebene, während der Legal Entity Identifier (LEI) eine Identifizierung auf dem internationalen Finanzmarkt unterstützt.

Die Registrierung von technischen Produkten ist ein Sonderfall, denn anders als bei Personen übernimmt selten eine Behörde oder ein Konsortium die Speicherung der Identifikatoren. Ausnahmen bilden hier registrierungspflichtige Waren wie Fahrzeuge mit der Fahrzeug-Identifikationsnummer (FIN) aus der EU-Verordnung 19/2011 und Medizinprodukte mit der Unique Device Identification (UDI) aus der EU MDR2017/745. Hersteller unterhalten daher ihre eigenen Datenbanken mit den jeweiligen Kennnummern zur Identifizierung. Wenn ein Unternehmen seine Waren weltweit identifizierbar machen möchte, kann die GS1 hierfür eine zentral verwaltete Global Trade Item Number (GTIN) vergeben.

Vor dem Hintergrund der hohen Bedeutung digitaler Identitäten für die Digitalisierung der Wirtschaft soll der vorliegende Beitrag die bisherigen Herangehensweisen an den Umgang und die Verwaltung mit digitalen Identitäten bewerten und SSI als einen aussichtsreichen Lösungsweg vorstellen. Grundlage dafür sind Veröffentlichungen aus verschiedenen Quellen, vor allem Community- und Standardisierungsaktivitäten. Es ist festzustellen, dass es bislang nur wenige wissenschaftliche Arbeiten gibt, die sich insbesondere mit den neueren Entwicklungen rund um Self-Sovereign Identity und den damit verbundenen Standards des World Wide Web Consortiums (W3C) auseinandersetzen. Der vorliegende Beitrag versucht diese Lücke zu schließen. Praktiker in Wirtschaft und Verwaltung sollen damit einen Einblick in aktuelle Entwicklungen bekommen, um diese in die Gestaltung von Systemen einfließen zu lassen. Für die Wissenschaft, insbesondere die Wirtschaftsinformatik, zeigt der Beitrag den aktuellen Stand der Technik in einem zunehmend wichtigen, aber bislang wissenschaftlich zu wenig beachteten Thema.

Für eine systematische Betrachtung des Identitätsmanagements ist die Differenzierung verschiedener Rollen hilfreich. Der Herausgeber (Issuer) ist für das korrekte und vertrauenswürdige Erstellen von Identitäten bzw. dem Bestätigen der Korrektheit von behaupteten Identitätsmerkmalen zuständig. In der realen Welt sind das z. B. hoheitliche Dokumente, Urkunden oder Plastikkarten. Digital lassen sich diese in Form kryptografisch gesicherter, digitaler Nachweise repräsentieren. Der Inhaber (Holder) empfängt diese Nachweise und verwaltet sie in einer physischen Geldbörse oder digital in einer Wallet-App. Er hat die alleinige Verfügungsgewalt über diese Nachweise. Das Subjekt ist die Entität, auf die sich das Identitätsmerkmal bezieht. Das kann ein Objekt unter der Kontrolle des Inhabers sein oder eine Person, für die der Inhaber verantwortlich oder bevollmächtigt ist. In vielen Fällen ist das Subjekt jedoch mit dem Inhaber identisch. Die Akzeptanzstelle (Verifier) ist eine Anwendung, ein Onlineservice oder eine Stelle in der physischen Welt, der vom Inhaber Nachweise über bestimmte ID-Merkmale anfordert, um seine Identität oder Berechtigungen zu prüfen. Der Inhaber kann selbst entscheiden, welche Nachweise er präsentiert. Während in der realen Welt die Akzeptanzstelle durch Erfahrung und Fachwissen die Echtheit eines präsentierten Nachweises manuell prüfen muss, ist das bei Verwendung kryptografisch gesicherter, digitaler Nachweise automatisch möglich. Fälschungen sind dadurch deutlich schwieriger als bei physischen Dokumenten.

Akteure sind natürliche oder juristische Personen, die je nach konkreter Situation eine oder mehrere der genannten Rollen innehaben. Der Nutzer als natürliche Person hat in der Regel die Rolle Inhaber und meist auch Subjekt, da sich die Mehrzahl der von ihm verwalteten ID-Attribute auf ihn selbst bezieht. Auch juristische Personen (Organisationen) können Nutzer sein, da sie Teil von Rechtsgeschäften sind und eine nachweisbare Identität benötigen. Organisationen können darüber hinaus auch Betreiber von Anwendungen sein, mit denen Nutzer interagieren sollen. Je nach Ausprägung ist eine solche Anwendung Herausgeber und/oder Akzeptanzstelle. Anwendungen, die gegenüber dem Nutzer spezielle Eigenschaften nachweisen müssen, können ihrerseits auch Inhaber sein.

Um das Ausstellen, Speichern, Freigeben und Verifizieren von digitalen Identitätsmerkmalen praktisch zu realisieren, bedarf es technischer Infrastruktur und Softwarekomponenten, wie zum Beispiel die oben erwähnte digitale Wallet-App. Diese werden in der Regel von einem Hersteller oder einer Organisation bereitgestellt und im Folgenden unter der Bezeichnung „ID-Dienst“ zusammengefasst.

Aus den vorgenannten Ausführungen lassen sich Anforderungen an ein verbessertes Identitätsmanagement ableiten. Aus Sicht der Inhaber ergeben sie sich vor allem aus breiter Anwendbarkeit und Kontrolle über die eigenen Daten:

Für die Akzeptanzstellen ist vor allem wichtig, dass möglichst viele Nutzer einfach ihre Anwendung nutzen können und nicht von komplexen Registrierungsvorgängen abgeschreckt werden. Dennoch müssen Nutzer eindeutig identifiziert werden, um rechtssichere Transaktionen durchführen zu können:

Die Anbieter von ID-Diensten sind für ihren Markterfolg vor allem darauf angewiesen, eine möglichst große Attraktivität für Nutzer und Anwendungen gleichermaßen zu besitzen. Dies drückt sich in einer großen Anzahl von Akzeptanzstellen aus, d. h. Anwendungen, die eine Authentifizierung mittels des jeweiligen Dienstes unterstützen. Dies ist in direkter Wechselwirkung mit der Anzahl der Nutzer, d. h. es entsteht ein positiver Netzwerkeffekt: Je mehr Akzeptanzstellen, desto attraktiver ist der Dienst für potenzielle Nutzer, und je mehr Nutzer ein Dienst hat, desto eher ist der Betreiber einer Anwendung bereit, diesen Dienst zu unterstützen. Um dies zu erreichen, ist wie bei allen Angeboten, die einen zweiseitigen Markt als Grundlage haben, entsprechend intensives Marketing notwendig. Daneben sind für den Markterfolg auch eine hohe Usability, Vertrauenswürdigkeit, Verfügbarkeit und Sicherheit erforderlich. Die EU-Verordnung für elektronische Identifizierung, Authentifizierung und Vertrauensdienste (eIDAS) enthält verbindliche Regelungen für elektronische Transaktionen im europäischen Binnenmarkt und deckt vor allem die Bereiche „Elektronische Vertrauensdienste“ und „Elektronische Identifizierung“ ab. Für den Einsatz in regulierten Domänen wie der öffentlichen Verwaltung müssen ID-Dienste dementsprechend eine Zertifizierung nachweisen, um für das eIDAS-Vertrauensniveau „substanziell“ oder „hoch“ zugelassen zu werden (BSI 2016).

Der Vergleich der verschiedenen Ansätze findet anhand von Kriterien statt, die auf den in Abschn. 1.3 genannten Anforderungen basieren. Dabei werden die Eigenschaften der einzelnen Ansätze aus den vorherigen Ausführungen genutzt und in einer konsolidierten Darstellung aufbereitet (Tab. 1).

Insgesamt lässt sich feststellen, dass die bisherigen Ansätze die Anforderungen an das Management digitaler Identitäten nur zum Teil erfüllen. Isolierte Ansätze sind sehr verbreitet und flexibel, aber nicht standardisiert und führen zu vielen verteilten Nutzerkonten. Föderierte Identitäten reduzieren zwar diese Zahl, führen aber zu einer Abhängigkeit der Nutzer von den Identity Providern, was diesen eine große Macht verschafft (Riedel 2019). Aufgrund der Nutzung für verschiedene Anwendungen stellen sie nicht nur ein attraktives Angriffsziel für Cyber-Kriminelle dar, sondern eignen sich auch für die Korrelation von Nutzeraktivitäten zur Erstellung von Kundenprofilen (Cyphers und Gebhart 2019). Hoheitliche Identitäten wie die eID des Personalausweises sind sehr sicher und datenschutzkonform. Wegen der niedrigen Usability und des hohen Aufwands für ihre Unterstützung auf Seiten der Anwendungen ist ihre Nutzbarkeit jedoch gering (Riedel 2019). Sie werden fast ausschließlich für das E‑Government eingesetzt.

Der Ansatz der Self-Sovereign Identity verspricht hierbei Lösungen für viele der genannten Probleme. Allerdings ist die Verbreitung derzeit noch sehr gering. Dennoch werden sowohl die Standardisierung als auch die Implementierung nutzbarer Komponenten derzeit stark vorangetrieben. Um das Verständnis für die Funktionsweise und Potenziale von SSI zu schärfen, wird im Folgenden detaillierter auf Standardisierung, Einsatz und aktuelle Aktivitäten rund um SSI eingegangen.

Für die Realisierung von SSI sind drei Bestandteile besonders relevant: (1) dezentrale Identifikatoren für beliebige Entitäten, (2) kryptografisch gesicherte Datenformate zur Beschreibung der Identitätsattribute sowie (3) ein Protokoll zur Peer-to-Peer Kommunikation zwischen den beteiligten Akteuren. Für diese drei Bestandteile sind mit Decentralized Identifiers, Verifiable Credentials und DIDcomm bereits Standardisierungsaktivitäten im Gange.

Das Zusammenspiel der Standards DID, VC und DIDcomm ermöglicht die Realisierung von SSI-Lösungen. Weltweit gibt es verschiedene Ansätze zur Umsetzung des Self-Sovereign Identity Paradigmas. So wurde das Sovrin Netzwerk von Grund auf neu entwickelt und verwendet eine neue Netzwerkinfrastruktur speziell für digitale Identitäten. Andere Lösungen, wie der DIF Sidetree oder Blockstack, bauen auf bestehende Infrastrukturen auf. Für die Schaffung von Interoperabilität von SSI-Lösungen müssen drei wesentliche Festlegungen getroffen werden (Reed und Windley 2018):

Alle identitätsbezogenen Informationen, wie Name, Besitz, Alter, etc., werden in Verifiable Credentials gespeichert. Diese Dokumente kann jeder Inhaber nach der Ausstellung in ein Wallet, in der Cloud oder auf ein privates Speichermedium unabhängig von einem zentralen ID-Provider speichern (Reed und Windley 2018). Der Inhaber kann mit einer Reihe von Credentials eine Beweiskette aufbauen, um sich damit zu identifizieren oder sein Eigentum nachzuweisen (Abb. 1). Die Vertrauenswürdigkeit hängt davon ab, welches Maß an Vertrauen die Akzeptanzstelle dem Herausgeber entgegenbringt. Folglich stellt sich die Frage: Wie kann eine Akzeptanzstelle einen solchen Nachweis verifizieren?

Dieses Problem wird durch die Decentralized Identifiers mit den zugehörigen DID-Dokumenten gelöst. Sie dienen zum einen zur Identifizierung einer Identität und fungieren zum anderen als Ressourcenbezeichner für die angesprochenen DID-Dokumente. Beide sind unabhängig von ID-Providern und unterliegen der vollen Kontrolle des Erstellers. Durch die Verbindungen zwischen DIDs und die Beschreibung der Besitztümer, Authentifizierungs- und Autorisierungsdaten in Verifiable Credentials ist unter anderem eine Umleitung einer Public-DID zu einem Cloud-Agent oder eine direkte Peer-to-Peer-Verbindung ohne Zwischenhändler möglich. Wenn zum Beispiel ein Nutzer seine Eigentumsverhältnisse gegenüber Dritten nachweisen soll, so können diese die Echtheit der vom Nutzer bereitgestellten Credentials nicht verifizieren. Externe Speicher können die benötigten Informationen zur Verifizierung bereitstellen. Wie an der Rolle der Identity Provider im föderierten Modell gezeigt wurde, können zentralisierte Systeme keine Unabhängigkeit bei der Identitätsverwaltung herstellen. Daher werden in SSI-Systemen auf der untersten Ebene Identitätsregister verwendet (vgl. Abb. 1), um dezentralisierte Identifikatoren zu registrieren. Für diese werden in den meisten Implementierungen Distributed-Ledger-Technologie (DLT)-Ansätze verwendet (van Bokkem et al. 2019). Die Unveränderlichkeit (Immutabilität) der Transaktionen bei DLT-basierten Registern erlaubt die Etablierung einer gemeinsamen Vertrauensbasis, ohne eine zentrale Autorität oder Behörde einsetzen zu müssen (Steele und Sporny 2021). Darauf folgt die Schicht der Kommunikationsprotokolle, welche einen grundlegenden dezentralisierten Austausch von Nachrichten erlauben. Dazu lässt sich auch der standardisierte Austausch überprüfbarer Nachweise (VCs) zählen, welcher im Kern des SSI-Ökosystems steht. Innerhalb der Schicht des Nachweisaustauschs werden kontextspezifische Identitätssysteme definiert, welche etwa in Geschäftsnetzwerken oder in Interaktion mit staatlichen Behörden entstehen (Abb. 4).

Zu jedem SSI-Ökosystem gehört ein Governance Framework, das Standard-Prozesse und Vorgaben wie Datenmodelle im jeweiligen Kontext regelt. Dabei müssen sich die Beteiligten im Vorfeld des Systemaufbaus auf eines solches Regelwerk einigen, um reibungslose Interaktionen zu gewährleisten. Während die Verwendung kryptografisch abgesicherter Informationen Vertrauen herstellen kann, sind Rollenverteilungen und die Festlegung bestimmter Geschäftsregeln Aktivitäten, welche auch unter dem Paradigma SSI in jedem Kontext separat abgestimmt werden müssen. Ein wichtiger Punkt zur gegenseitigen Abstimmung auf der Ebene der Governance sind klar definierte Prozesse, denn die Interoperabilität von Identitäten allein genügt nicht, um interoperable Geschäftsprozesse zu realisieren. Die „Trust Over IP Foundation“ erarbeitet eine Framework-Schablone, die bei der Entwicklung anderer Self-Sovereign-Identity-Systeme helfen soll, unterschiedliche Aspekte für die Beeinflussung in Technologie und Rechtesystem zu beachten. Das Framework ist dabei in vier Ebenen (Layer Stack) unterteilt. Die zugrundeliegenden Richtlinien der Ebenen können sich dabei je nach Nutzung, Geschäftsmodell, Rechtsmodell und technischer Architektur von denen einer Organisation oder zwischen Organisationen unterscheiden (Davie et al. 2019; Hardman 2020a).

Föderierte und isolierte Identitäten mit den dazugehörigen Identitätsmanagementsystemen waren bislang die Basis für neue Soft- und Hardwareprodukte. Durch Self-Sovereign Identity werden nicht nur neue Technologien, sondern auch ein komplett neues Paradigma zur Datenverwaltung eingeführt. Durch die Umorientierung in der Datenverwaltung und die fehlenden Erfahrungen benötigen die Entwickler, Herausgeber, Inhaber und Akzeptanzstellen mehr Zeit, um neue Produkte als auch neue Geschäftsmodelle auf den Markt zu bringen oder diese zu akzeptieren. Entsprechend entstehen daher bei der Planung an dieser Stelle oftmals Diskussionen über fehlende technische Standards oder regulatorische Hürden, wie die DSGVO und eIDAS (Doerk et al. 2020).

Im Kern ist es erforderlich, dass grundlegend neue Geschäftskonzepte, Prozesse sowie Kooperationen entstehen. Im direkten Vergleich mit dem Aufwand, den Organisationen benötigen, um eine dezentrale Verwaltung umzusetzen, könnten einige Marktteilnehmer zurückschrecken. Denn alle Beteiligten müssen die Einsatzbereiche für eine Dezentralisierung individuell prüfen. Hierbei gilt es zunächst zu klären, welches Problem von SSI gelöst und welcher Mehrwert erreicht werden soll. Des Weiteren sollten Organisationen die Verantwortung des Betriebs der Blockchain-Knoten an mehrere Netzteilnehmer verteilen. Was bei großen Konzernen ein geringeres Problem darstellt, ist bei kleinen oder mittelständischen Unternehmen schwierig umsetzbar. Konkurrierende Unternehmen dürfen keine Möglichkeit erhalten, die Daten zu manipulieren oder Transaktionen zu behindern. Damit stellt sich die Frage: Wohin einzelne Knoten verteilen und wer ist für die Objektregistrierung verantwortlich? Zudem können für Blockchain-Konsortien länderübergreifende Einrichtungsprozesse als Hürden mit sich bringen. Folglich müssen auch außerhalb von Softwareentwicklungen neue Partnerschaften entstehen, die Verwaltungsarbeiten übernehmen. Schlussendlich müssen Entwickler ebenso Konzepte für Prozesse zur Verbesserung der Selbstverantwortlichkeit der Nutzer, Bedienungsfreundlichkeit und Skalierbarkeit schaffen.

Obwohl Blockchain-Entwickler wie Hyperledger oder MultiChain einige Problematiken reduziert haben und Intermediäre den Prozess der Konsensbildung für eine gemeinsame Governance beschleunigen und gegebenenfalls die Verwaltung der Knoten übernehmen, sprechen sowohl die GS1 Germany als auch Greenspan davon, dass Organisationen immer noch stark zur Dezentralisierung motiviert werden müssen. Bisher waren die beiden wesentlichen Triebkräfte das Misstrauen gegenüber anderen Organisationen und die Notwendigkeit zur Umsetzung von Regularien (Compliance). Zum einen möchte niemand von einer zentralen Behörde abhängig sein oder seine Daten einem Konkurrenten anvertrauen und zum anderen erfordern gerade globale Standards oder Regularien eine effektive Zusammenarbeit. (Greenspan 13.05.2019; Uhde 2018). Die Regelung der MDR2017/745 wird sowohl in Europa als auch in ähnlicher Weise in den Vereinigten Staaten umgesetzt. Jedoch übernehmen in der EU zentrale Behörden die Überwachung, in den USA nicht. Die Food and Drug Administration (FDA) legt lediglich die Regularien fest, für die jeweilige Umsetzung sind anschließende die Konzerne auf sich gestellt. Da niemand die eigenen Daten einem Konkurrenten anvertrauen möchte und diese Regularien wiederum einen gemeinsamen Mittelweg erfordern, müssen sie eine ähnliche dezentrale Lösung entwickeln (Greenspan 13.05.2019).

In Literatur finden sich vor allem technische Hürden. Allen voran die unzureichende Netzinfrastruktur im Bereich Internet und Mobilfunk. In einer dezentralen Verwaltung benötigen alle Nutzer Mobilfunkgeräte mit einer Anbindung an das Internet. In Europa ist jedoch die Netzabdeckung nicht flächendeckend. Während Unternehmen ihren Mitarbeitern die Möglichkeit bieten, die Geräte in das WLAN-Netz einzubinden, sind z. B. die Fahrer der Logistikunternehmen auf den Mobilfunk angewiesen. Aus technischer Sicht steht einem Gastzugang in ein WLAN-Netz nichts im Weg, grundsätzlich verbieten viele Unternehmen aus Sicherheitsgründen externe Mobilgeräte oder die notwendigen Freigabeprozeduren sind im Vergleich zum Nutzen zu aufwändig (Freda 2019).

Wallets müssen hohe Sicherheitsanforderungen erfüllen, damit Angreifer keine Möglichkeit erhalten, unbemerkt Agents, Off-Chain Storages oder Blockchains zu übernehmen. Gleichzeitig müssen sie dem Nutzer komfortabel Zugänge zu unterschiedlichen Blockchain-Netzwerken bieten. Auch die flexible Verwaltung von Credentials und Präsentationen sowie deren Inhalten ist ein essenzieller Bestandteil. Dieser Umstand geht einher mit einem weiteren oft genannten Punkt, dem partiellen Kontrollverlust. Nutzer sind ab diesem Zeitpunkt selbst für die Daten verantwortlich und müssen technologisch sowie pädagogisch sensibilisiert werden. Aktuelle Demo-Wallets bieten oftmals nur eine Akzeptieren-Abbruch-Funktion. Die ist zwar einfach zu verstehen, jedoch vermittelt sie dem Nutzer nicht das Gefühl von Kontrolle. Folglich ist diese Funktion eher vergleichbar mit den Lizenzbestimmungen von Software oder Cookie-Informationen und baut nicht genügend Vertrauen auf.

Eine weitere technische Hürde ist die Datenverfügbarkeit. Organisationen sind gewohnt, beliebig auf Informationen zuzugreifen. Mit einer dezentralen Aufbewahrung samt Erlaubniseinforderung werden die gewohnten Arbeitsprozesse unterbunden. Dies führt vor allem zum Problem, wenn sich der Service Provider in einer anderen Zeitzone befindet als der Dateninhaber. Hierbei können Identity Hubs oder entsprechend konfigurierte Agents Abhilfe schaffen, um auf Basis von Regeln selbständig Freigaben zu erteilen.

Eine weitere Hürde ist das öffentliche Marketing. Self-Sovereign Identity soll dem Nutzer die Kontrolle über seine Daten wiedergeben. In Kombination mit der Komplexität der Blockchains ist es ratsam, diese Nutzer frühzeitig in derartige Projekte zu integrieren (Wunsch 2018). Beispielsweise ermöglicht die CEF Digital es zwar allen Mitgliedsländern des European Blockchain Partnerships, an verschiedenen Tests zur EBSI teilzunehmen, jedoch bewerben die EU oder die jeweiligen Mitgliedsländer die Plattform nicht (CEF Digital 2020c). Europa sollte seine Bemühungen zur eigenen digitalen Souveränität bewerben und die Erkenntnisse somit auch für andere Interessengruppen, wie für Journalisten und die breite Öffentlichkeit, zugänglich machen (Courcelas et al. 2020). In der Vergangenheit berichteten öffentlich-rechtliche Medien von den Bestrebungen aus der Privatwirtschaft. Die Dokumentarfilme stellen die Vorteile der Blockchain-Technologie nur einseitig dar (Prinzler 2019). Die Autoren behandeln darin oftmals nur überblicksmäßig den wirtschaftlichen Nutzen, während die Vorteile für die Nutzer oder Self-Sovereign Identity als Thematik keine Beachtung fanden. Eine umfangreiche Berichterstattung kann die Vorurteile in der Öffentlichkeit reduzieren und infolgedessen die Akzeptanz des neuen Identitätsmanagements fördern.

Wie in Abschn. 2.2 gezeigt, sind föderierte Identitäten weit verbreitet und in vielen Organisationen fest verankert. Vor allem die populärsten werden jedoch zunehmend zum Angriffsziel für Cyber-Kriminelle (Pohlmann 2019b; Bleich 15.02.2019), die mit den gestohlenen Identitätsdaten u. a. im Darknet Handel betreiben (Ries 18.10.2019). Hierdurch steigen die Kosten für die Systemsicherheit, ohne einen länger andauernden Mehrwert zu erhalten. Des Weiteren müssen sie regelmäßig die Nutzer zwingen, sich neue schwierigere Passwörter zu merken. Mit der eID wollte die Europäische Union eine echte Alternative schaffen. Hohe Onboarding-Hürden, ungleichmäßige Ausübung verschiedener Regularien in den Mitgliedsstaaten und eine schlechte Usability machten diese Hoffnungen jedoch weitgehend zunichte.

Der Ansatz von Self-Sovereign Identity hat einen neuen Impuls in diese Problematik gebracht. So erlaubt der in diesem Umfeld entstandene W3C-Standard DID den Aufbau einer Peer-to-Peer-Verbindung, die Kommunikations- und die Systemsicherheit zwischen beiden Partnern nachhaltig verbessert. Aber auch andere Inhalte, wie eine Governance, könnten dazu beitragen, dass Nutzer ein größeres Vertrauen zu Service Provider aufbauen. Sollte es dennoch zu illegalen Netzwerkzugriffen kommen, so ermöglichen die neuen Standards ein weiteres Vordringen zu verhindern. Selbst wenn Angreifer an Teilinformationen gelangen oder sich Zugriff mit DID-Spoofing verschaffen wollen, können sie keinen nennenswerten Schaden anrichten. Die DID-to-DID-Kommunikation mit den zugehörigen Public Keys sorgt bereits für ein hohes Sicherheitsniveau, welches durch spezielle Definitionen, mehrere Credentials oder verschlüsselte Inhalte verstärkt werden kann. Überdies ist es unwahrscheinlich, dass die meisten Nutzer einen Status als Trust Anchor besitzen und somit keine Credentials über den privaten Gebrauch hinaus ausstellen können.

Weiterhin führt das föderierte ID-Management zu einem Verdrängungswettbewerb durch die großen Plattformen, die durch Netzwerkeffekte ihre Marktmacht ausbauen und Nutzer in zunehmende Abhängigkeiten bringen. Dies trifft insbesondere dann zu, wenn sie wie Google, Microsoft, Apple oder Facebook keine reinen ID-Provider sind, sondern eigene Inhalte und Services anbieten. Damit sind Nutzer gezwungen, digitale Identitäten dieser Provider zu nutzen und begeben sich damit in deren Abhängigkeit, wenn sie ihre IDs bei anderen Services verwenden. Ein aktuelles Beispiel ist die Blockade von Apple für die Nutzung seiner ID beim Spieleanbieter Epic Games (Kwan 10.09.2020). Mit einer dezentralen Verwaltung in Verifiable Credentials könnte Apple zwar immer noch den Zugang zu den Spielen sperren, jedoch hätte Epic Games einen größeren Handlungsspielraum, um seinen Kunden alternative Lösungen anzubieten. So kann das Unternehmen weiterhin den Credentials vertrauen, auch wenn sie von Apple als „nicht mehr vertrauenswürdig“ markiert wurden. Im Regelfall müssten sich jetzt staatliche Stellen mit der Problematik auseinandersetzen und neue Gesetze schaffen. Bei einer korrekten Anwendung von Self-Sovereign Identity sind jedoch keinerlei Änderungen in Gesetzestexten erforderlich. Folglich sollte es keine regulatorischen Hürden geben neue nutzerfreundliche Services anzubieten.

Ferner kann SSI zu einer Demokratisierung der digitalen Identitäten beitragen, da die Identifier (DIDs) sowie die ausgetauschten Nachweise (VCs) unter der Kontrolle des Nutzers stehen. Er ist damit in der Lage, seine Identität gegenüber Dritten unabhängig von staatlichen Stellen und Wirtschaftsunternehmen nachzuweisen. Die Übermittlung von Daten an Dritte unterliegt ebenso ausschließlich der Kontrolle des Nutzers. Die damit entstehende Datensouveränität realisiert das Prinzip der informationellen Selbstbestimmung, die Datenschutzgesetzgebungen zugrunde liegt. Auch für die Betreiber von Onlinediensten und Anwendungen (Service Provider) bringt dieser Ansatz Vorteile. Sie müssen sich nun nicht mehr von einem oder mehreren spezifischen ID-Providern abhängig machen, sondern müssen nur den Herausgebern von ID-Merkmalen vertrauen. Mit welcher Software ein Nutzer seine Identitätsmerkmale durch VCs zugänglich macht, ist unerheblich. Damit kann eine größere Vielfalt kompatibler Dienste in Koexistenz bestehen.