Das DIAC-Projekt: Zugangskontrolle durch das Disposable Identity Framework

Zugangskontrollsysteme werden eingesetzt, um Systemressourcen vor unangemessenem oder unerwünschtem Benutzerzugriff zu schützen.  Der Prozess der Zugriffsgewährung umfasst zwei Phasen: Autorisierung und Authentifizierung. Die Authentifizierung dient dazu, zu überprüfen, ob die Person diejenige ist, die sie vorgibt zu sein. Wenn Zugangskontrollsysteme im Zusammenhang mit physischen Geräten eingesetzt werden, beruhen sie hauptsächlich auf der Benutzeridentifizierung mit Hilfe von Smartcards (mit Chip) oder kontaktlosen Karten wie RFID. Auch biometrische Systeme wie Fingerabdrücke oder PIN-Codes kommen zum Einsatz.

Heutzutage bestehen IT-Systeme aus mehreren Cloud- und lokalen Netzwerken, viele dieser Systeme sind geografisch über die ganze Welt verteilt und können Geräte mit hoher Synchronisierungslatenz enthalten. Systeme mit hoher Verbreitung bruingen einige Datenschutz- und Sicherheitsprobleme mit sich, die z. B. durch den Verlust der Identifikationskarte, das Klonen von Karten und die Weitergabe der Zugangs-PIN an eine andere Person entstehen können. Auch die Identität des Benutzers ist bedroht, da sie und ihre Details im verteilten System bewertet werden.

In diesem Artikel stellen wir eine Lösung vor, die darauf abzielt, eine direkte Benutzerinteraktion mit der Zugangskontrolle durch ein so genanntes  Disposable Identity Framework zu vermeiden. Eine Disposable Identity ist eine kontextbezogene und temporäre Identität, die in Bezug auf Umfang, Zeit und Ort begrenzt ist. Sie ermöglicht es den Endbenutzern, spezifische und begrenzte Informationen/Zeugnisse vorzuweisen, um sich für einen Dienst, in unserem Fall die Zugangskontrolle zum Gebäude, zu validieren.

Schlüsselwörter: Daten, Zugangskontrolle, Datenschutz, Ereignisidentität, Einwegidentität

Einleitung

Die Vordenker des Organisationsmanagements sind auf Signale von Paradigmenwechseln geradezu getrimmt. Der italienische Linguist und Autor Antonio Gramsci sieht „Ungeheuer“, da das Alte noch nicht vergangen ist, das Neue aber nicht als „vornormal“ bis „normal“ aufgefasst werden kann. Der französische Mathematiker René Thom weist auf den Moment hin, in dem die Attraktoren (Anzeichen von „Erfolg“), die an die aktuelle Situation gebunden sind, an Attraktivität verlieren. Der US-Computerwissenschaftler Mark Weiser erklärt in seinem 1991 erschienenen Text „Computer for the 21st Century“ die grundlegende Natur des Wandels, indem er aufzeigt, dass der Erfolg von Ubicomp (der Begriff der 90er Jahre für #IoT) darin besteht, dass es als sichtbare Technologie im „Gewebe des täglichen Lebens“ vollständig verschwindet.

Wenn wir Governance und Technologie durch die Jahrhunderte hindurch als eine sich in den Vordergrund drängende Agentur für die Werkzeuge betrachten, die auf sichtbare Schnittstellen abgestimmt waren, wird deutlich, wie wichtig es ist, dieses verschwindende Moment vollständig zu erfassen. Denn wo ist die Klinke zur Tür? Der Drehknopf zum Einstellen von Ton, Leistung, Geschwindigkeit an der Maschine? Der Cursor auf dem Bildschirm, der einen durch virtuelle Datensätze führt? Was geschieht ontologisch mit einer architektonischen Position, wenn sie nicht mehr zwischen dem analogen und dem virtuellen digitalen Zwilling unterscheiden kann?

Heute verlagern sich Entitäten, die vorübergehend durch den Begriff der psychologisch „ganzen“, administrativ nummerierten (Sozialversicherung, Pass, Telefon…), sozioökonomisch verantwortlichen und ethisch rechenschaftspflichtigen „Person“ gefüllt wurden, von „besetzt“ wieder in die „Leere“. Das macht alle Instrumente, die auf einer dieser Ebenen funktionierten, allmählich wirkungslos. Die Handlungsfähigkeit auf jeder Ebene (architektonisch, ethisch/moralisch, wirtschaftlich, Wohlbefinden und Politik…) verlagert sich auf die darunter liegende Ebene: die Menge der Attribute, Eigenschaften, Merkmale, die wir als Ereignis-Identitäten diskutieren können.

Über das Wesen der Ereignis-Identität

In unserer heutigen hybriden Welt reagieren und agieren vernetzte Artefakte in Echtzeit mit Echtzeit-Datenströmen, die aus automatisierten Informationssystemen stammen. Entscheidungen werden meist zu schnell getroffen, als dass der Mensch eingreifen könnte. Dies führt zu einer neuen Herangehensweise an Ursache und Wirkung und zu einer neuen Art der Bewertung des ersten, was der Mensch tut, nämlich der Frage, wer die Verantwortung dafür trägt.

Nehmen wir folgendes Beispiel. Ein vernetztes selbstfahrendes Auto stößt mit einer Person zusammen, prallt gegen einen Felsen und fällt ins Wasser. In Workshops, die im Rahmen des Next Generation Internet-Projekts (NGI Forward, https://research.ngi.eu) stattfanden, wurde ein Szenario entwickelt, in dem sowohl das Auto, als auch die Person, der Felsen und das Wasser eine temporäre Identität erhielten. Eine „Ereignis-Identität“, die eine Kombination dieser Identitäten ist, bildet nun die Grundlage, auf der Haftung, Verantwortlichkeit und schließlich irgendeine Form der Zahlung entweder gefordert oder geleistet werden.  Solche Ereignis-Identitäten sind Kombinationen aus realen Ereignissen, abgeleitetem Verhalten und Kontexten aus umgebenden Quellen (Kameras, Sensoren, Wearables) und proaktiven Szenarien, die rein in virtueller (nicht verkörperter) Analytik kombiniert mit KI-Fähigkeiten existieren.

Es wird deutlich, dass in dieser hybriden Welt der Begriff der Identität, wie er im Alltag verwendet wird – ein volles, abgerundetes Leben zu haben, in alen Situationen konsequent diese eine Person zu sein, immer identifizierbar zu sein, etc. – nicht mehr relevant und produktiv ist. Wir schlagen daher einen zeitgemäßeren Identitätsbegriff vor: die Instant-Identität.

Vom Wesen der Instant-Identität

Instant-Identitäten sind temporäre, attributbasierte Identitäten, die in jeden intelligenten Vertrag zwischen einem Empfänger und einem Anbieter integrierbar sind. Ein digitaler kontextbasierter Austausch von Daten, der verallgemeinerbar ist, also eine digitale Identitäts-Internetschicht kann auf jeden bestehenden Kommunikationsdienst angewendet werden. Das gesamte Ökosystem, in dem Einweg-Identitäten funktionieren würden, erfordert eine ähnliche Vertrauensinfrastruktur, bei der die Kombination aus nahtloser Konnektivität und personalisierter Unterstützung nicht auf einer kontinuierlichen Echtzeit-Verfolgung identifizierter Nutzer beruht.

Stattdessen wird mit attributbasierten relationalen Identitäten gearbeitet, die für jede einzelne Interaktion zwischen Nutzer und Dienst (oder Objekt und Dienst) erzeugt und unmittelbar danach entsorgt werden. Mit Instant-Identitäten können neue Anwendungen zu diesem Ökosystem hinzugefügt werden, wobei eine strikt attributbasierte Lösung verwendet wird, die keine vollständige Offenlegung (der Identität) erfordert. Nötig sind nur das Alter, die Fähigkeit, für den Dienst zu bezahlen, sowie die Einhaltung der gesetzlichen Vorschriften in Bezug auf Versicherung und Rechenschaftspflicht. Digitale Dienste können authentifizierten Nutzern zur Verfügung gestellt werden, ohne dass ein einziger vollständiger Satz von Identifikationsdaten weitergegeben werden muss.

Instant-Identitäten können damit als e-ID fungieren, die sowohl die Anonymität des Identitätsinhabers – die Fähigkeit zur Unkenntlichmachung – als auch die Möglichkeit der zuverlässigen Identifizierung und Überprüfung der Identität einer Person gewährleisten kann.

Vorteil niedrigerer Datenmengen

Instant-Identitäten sind damit auch ein weiterer Schritt in Richtung minimaler Datenverarbeitung: Die Menge der verarbeiteten Identitätsdaten sollte angemessen, relevant und auf das für die Zwecke notwendige Maß beschränkt sein, wie es die GDPR-Verordnung vorschreibt. Sie sind temporäre, attributbasierte Identitäten, die in einen intelligenten Vertrag (in der weiten Definition des Begriffs) zwischen einem Empfänger und einem Anbieter eines Dienstes integriert sind. Ermöglicht durch eine Self-Sovereign Identity (SSI)-Architektur können Instant-Identitäten zudem anonymisierte, nahezu in Echtzeit arbeitende, fälschungssichere und überprüfbare Identitätsinformationen liefern.

Darüber hinaus kann eine Instant-Identität auch mit einer „offiziellen Identität“ verknüpft sein und sich dadurch von umfassenderen Konzepten persönlicher und sozialer Identitäten unterscheiden, die für inoffizielle Zwecke relevant sein können (z. B. unregulierte kommerzielle oder soziale Peer-to-Peer-Interaktionen in Person oder im Internet). Mit anderen Worten: Es besteht immer die Möglichkeit, einen Instant-Identitätsnachweis (Disposable Proof of Identity, DPI) an eine amtliche Identität anzugleichen; auf Wunsch kann ein solcher Identitätsnachweis explizit mit einer amtlichen Identität (nationaler Personalausweis, eIDAS eID, Online-Pass) über eine „verifizierbare Präsentation“ verknüpft werden.

Von der Möglichkeit neuer Werte und Ansprüche

Instant-Identitäten ermöglichen es Entwicklern von Mobil- oder Webanwendungen, ein neuartiges, selbstverwaltetes Identitäts- und Datenschutz-Framework einzusetzen, das in erster Linie darauf abzielt, das Vertrauen in digitale Dienste wiederherzustellen, indem es für mehr Transparenz, dezentrale Identitäts- und Datenkontrolle sowie integrierte Mechanismen zur Einhaltung der Allgemeinen Datenschutzverordnung (GDPR) sorgt. Mit einer Benutzeroberfläche, die die Verwaltung mehrerer selbstsouveräner Identitäten, datenschutzrechtlicher Einwilligungen, digitaler Autorisierungen und damit verbundener datengesteuerter Transaktionen ermöglicht, besteht der zusätzliche Vorteil von Einweg-Identitäten darin, dass sie auch überprüfbare Daten wie das Foto des Eigentümers, offizielle oder sogar biometrische Identifikatoren enthalten können, um Identitätsmissbrauch proaktiver zu verhindern. Instant-Identitäten sind für fortgeschrittene dezentralisierte Datenschutzvereinbarungen konzipiert, die durch einen sicheren digitalen Vertrag auch zeit-, zweck- und kontextgebunden sein können; mit Verifizierungsfunktionen, die auf fälschungssicheren Technologien basieren.

Das hiermit skizzierte Rahmenwerke führt somit den Begriff der „Instant-Identität“ in einer Welt ein, in der die Eigenschaften des uns Bekannten – Menschen, Tiere, Objekte und damit auch Protokolle, Formate und Prozesse – fließend werden und sich zu neuen Einheiten vermischen. Die Entkopplung der Identität durch das Denken in „Ansprüchen“ (kombinierte Einweg-Identitäten von Objekten und Wesen) eröffnet ein neues Feld von Werten und Dienstleistungen. Im Fall von selbstfahrenden Autos könnte diese Denkweise dafür stehen, dass die Haftung nicht mit realen Personenidentitäten, sondern mit „Berechtigungen“ begründet wird, d. h. mit einer beliebigen Kombination aus einem bestimmten Fahrer (mit Punkten in einem Pass und bestimmten Merkmalen) und einem bestimmten Auto. Diese Argumentation lässt sich im Grunde auf jeden Dienst im Netz übertragen.

Nachteile herkömmlicher Zugangskontrolle …

Gegenwärtig basieren Zugangskontrollsysteme hauptsächlich auf der Benutzeridentifizierung mit Smart Cards (mit Chip) oder kontaktlosen Karten (RFID). In anderen Fällen werden biometrische Systeme wie Fingerabdrücke oder PIN-Codes verwendet. Diese Identifizierungssysteme sind jedoch mit Datenschutz- und Sicherheitsproblemen behaftet: Benutzerauthentifizierung in einem Zugangskontrollsystem, z. B. Verlust der Karte, Datenverletzungen, Klonen von Karten, Weitergabe der Zugangs-PIN an eine andere Person usw.

… und Vorteile der DIAC-Lösung

In diesem Zusammenhang zielt unsere DIAC Lösung darauf ab, die meisten der Probleme zu lösen, die die derzeitigen Zugangskontrollsysteme haben, indem innovative Lösungen verwendet werden und die direkte Interaktion des Benutzers mit der Zugangskontrolle durch das Disposable Identity Framework vermieden wird. Eine Einweg-Identität ist eine kontextbezogene und temporäre Identität, die in Bezug auf Umfang, Zeit und Ort begrenzt ist und es den Endbenutzern ermöglicht, spezifische und begrenzte Informationen/Zeugnisse vorzulegen, um sich für einen Dienst, in unserem Fall die Zugangskontrolle zum Gebäude, zu validieren.

DIAC bietet eine dienstorientierte Struktur in intelligenten Gebäudeumgebungen, um Endnutzer zu identifizieren und zu registrieren. Hierzu weist DIAC ihnen eine sichere Einweg-ID zu, die auf kryptografischen Root-IDs und kontextbezogenen Fingerabdrücken basiert. Endnutzer können sich für eine sichere, aber datenschutzfreundliche Identifizierung registrieren (begrenzt und ausschließlich auf den Kontext bezogen). Die Attribute der Instant-IDs werden auf belastbaren verteilten Ledgern durch intelligente Verträge gespeichert. Die Identifizierung kann mit einem Smartphone durchgeführt werden. Wir befassen uns mit der Zugangskontrolle durch ein Gerät, das Anmeldeinformationen benötigt, und mit der Infrastruktur für die Bereitstellung der Disposable ID. Unser Ansatz überwindet die Nachteile der derzeitigen Zugangskontrollsysteme, bei denen die Zugangsberechtigung für Einzelpersonen und auf unbestimmte Zeit erteilt wird. Er stellt auch sicher, dass der Aussteller die Einhaltung der GDPR einschränkt, indem er zu viele irrelevante Daten sammelt und im Falle von Datenschutzverletzungen weniger angreifbar ist.

Fazit

Das am schwierigsten zu begreifende Konzept in dieser digitalen Transition ist der relativ (halb-)autonome Blick auf das Netzwerk selbst. Dieses Netz ist eine Mischung aus Cloud- und Edge-Diensten (Datenspeicherung auf dem Gerät), wobei die KI in Alltagsgegenständen (Wearables, Waschmaschinen, Autos) läuft. Für dieses Netzwerk sind alle seine Nutzer „Entitäten“, die Maschinen, Menschen und Prozesse sein können (Vorlagen mit vordefinierten Szenarien). Damit wird letztlich deutlich, dass „Identität“ im Sinne von Einzelidentitäten kein relevantes und produktives Konzept mehr ist. Nicht zuletzt ist DIAC ein Projekt, an dem asvin mit https://odins.es/ als Teil des https://securit-project.eu/ Rahmens arbeitet.