Andreas Tölke, Head of Fintech and Digital Trust bei Swisscom, über (Identitäts-) Sicherheit im digitalen Raum
Ob aus Unachtsamkeit oder einfach nur Pech: Es passiert nicht selten, dass das Portemonnaie irgendwo liegen bleibt, aus der Tasche fällt oder sogar geklaut wird. Kaum zu glauben, dass uns ein kleines Täschchen so viel Ärger und Unannehmlichkeiten bereiten kann, da es die „Eintrittskarten“ zu unserem wertvollsten Gut beinhaltet: unsere Finanzen, unsere Krankenversorgung und unsere Identität. Diese Zugänge vor der Ausnutzung durch Dritte zu schützen und neue Ausweise und Karten zu beantragen, ist nicht nur lästig, sondern auch zeitaufwendig und kann wie im Falle von Personalausweis und Reisepass sehr teuer werden.
Da wünscht man sich doch glatt eine Möglichkeit, diese Dinge besser zu schützen und sie nicht so einfach dem Verlustrisiko auszusetzen – allein schon wegen des eigenen Seelenheils.
Dezentralisierung unserer Identität
Einige Unternehmen – zum Beispiel Swisscom – arbeiten daran, eine sichere und vertrauenswürdige, digitale Form des Portemonnaies und unserer Identitätsnachweise zu schaffen. Sogar die EU-Kommission entwickelt derzeit ein Konzept für die e-ID und das Digital Wallet.
Das Web3 eröffnet uns dahingehend viele Chancen und Möglichkeiten, dezentralisierte Konzepte wie Self-Sovereign Identiy (SSI) sicher und zuverlässig umzusetzen, damit Ownership und Kontrolle über diese Informationen bei uns bleiben.
So parktisch das Ganze klingt, bringt das Thema auch einige Fragen mit sich. Im Rahmen der Web3 Learning Journey stand Andreas Tölke von Swisscom Rede und Antwort.
Monika Jiang: Womit beschäftigen ihr euch derzeit bei Swisscom?
Andreas Tölke: Wichtiger Bestandteil unserer Arbeit ist unter anderem die Entwicklung und Bearbeitung von Digital-Trust-Konzepten. Wir wollen vertrauenswürdige Mittel und Wege schaffen, damit Anwender im virtuellen Raum sicher interagieren und Prozesse durchlaufen können, die sie bislang nur aus der analogen Welt kennen. Dies umfasst digitale Verträge, elektronische Signaturen, digitale Identitäten, Register und Zertifikate usw.
Monika Jiang: In welcher Form existiert Digital Trust bereits im Web2 und was sollte sich ändern?
Andreas Tölke: Meiner Meinung fehlt dem Web2 der Trust Layer. Natürlich gibt es Lösungen wie E-Signaturen, die Transaktionen digitalisieren und vertrauenswürdig machen. Das Web3 bietet jedoch eine Grundlage für neue Möglichkeiten wie selbstbestimmte Identitäten – Self-Sovereign Identity (SSI) – oder Konzepte, die auf einem dezentralisierten Ansatz beruhen. Das Web2 ist stark zentralisiert und es gibt intermediäre Konzerne, die Lösungen bereitstellen, denen man einfach vertrauen muss.
Monika Jiang: Mit dem Web3 würden Intermediäre wegfallen. Nach dem dezentralisierten Ansatz würde mir die vollständige Kontrolle sowohl über meine Daten als auch die Entscheidung, mit wem ich sie teile, obliegen. Wie kommt SSI da ins Spiel?
Andreas Tölke: Bei SSI handelt es sich immer noch um ein recht neues Konzept. Es findet gerade viel Bewegung auf dem Markt statt – vor allem in Hinblick auf ihre Chancen und Grenzen. Im Fokus der Diskussion steht die zugrundeliegende Technologie: Blockchain – ja oder nein? Was bedeutet Dezentralisierung in Bezug auf die Infrastruktur? Wir bei Swisscom führen eine Vielzahl von PoCs (Proof of Concept) durch, mit deren Hilfe wir mehr über die Anwendungsfelder, aber auch über die allgemeine Akzeptanz auf dem Markt lernen.
Das Konzept hinter SSI besteht darin, dass dir die Kontrolle über deine Daten obliegt und du selbst entscheiden kannst, mit wem du Informationen teilen möchtest. Nehmen wir als Beispiel den Altersnachweis: Mit deiner SSI könntest du einem Unternehmen bestätigen, dass du volljährig bist, ohne ihm das exakte Geburtsdatum übermitteln zu müssen, da diese Information bereits vom Herausgeber verifiziert wurde.
Monika Jiang: Sind die Menschen überhaupt bereit, die Verantwortung über ihre eigenen Daten und deren Sicherheit zu übernehmen? Wäre es nicht einfacher, sie in die Hände einer zentralen Organisation zu geben?
Andreas Tölke: Wenn man es genau nimmt, ist das bereits der Fall. Verlierst du zum Beispiel deinen Reisepass, dann trägst du die Verantwortung. Ein Argument gegen eine zentrale Organisation ist das Risiko von Angriffen durch Cyber-Kriminelle. Ein dezentralisierter Ansatz minimiert dieses Risiko.
Monika Jiang: Wem vertraust du am meisten im digitalen Raum und wie entscheidest du, wer vertrauenswürdig ist oder nicht?
Andreas Tölke: Es kommt darauf an, wo man lebt. Ich zum Beispiel vertraue der schweizerischen Regierung und Arbeit zur Bereitstellung einer digitalen Identität. Dennoch würde ich gerne die Kontrolle über meine Daten behalten und von Fall zu Fall selbst entscheiden, wem ich diese Informationen überlasse. Außerdem vertraue ich der Technologie dahinter, sofern sie entsprechend ordnungsgemäß entwickelt wurde – denn dies ermöglicht mir einen vertrauensvollen Umgang mit meinen Daten.
Hinweis: Die Diskussion, die im Discord Channel stattfand, wurde zum besseren Verständnis und Lesefluss editiert.