Freitag, 24. März 2017

Sicheres Identitätsmanagement im Internet mit ISÆN

Von Ralf Keuper

Auf der diesjährigen CeBIT stellte das Forschungszentrum Informatik eine auf der Blockchain-Technologie basierende Lösung für die digitale Identifizierung vor. Deren Urheber ist eine Standardisierungsinitiative aus Frankreich namens ISÆN (Individual perSonal data Auditable addrEss). Diese könnte auch in Deutschland die Grundlage einer einheitlichen Identitätslösung bilden, wie in eID-System ISÆN: Erika Mustermanns Daten landen in der Blockchain berichtet wird. 

In dem Beitrag wird die Studie Sicheres Identitätsmanagement im Internet erwähnt, die sich intensiv mit dem französischen Konzept beschäftigt. 

Darin heisst es u.a.:
Die französische Standardisierungsinitiative ISÆN verfolgt das Ziel, sowohl Bürgern als auch Unternehmen einen möglichst sicheren Umgang mit personenbezogenen Daten zu ermöglichen und so den Schutz personenbezogener Daten der Bürger bei der Verarbeitung und Nutzung von Daten zu stärken.

In der vorliegenden Studie wird der Begriff ISÆN sowohl für die Standardisierungsinitiative selbst als auch für konkrete Umsetzungen und damit einhergehende Technologien verwendet.
Einige Seiten später steht dort: 
Die Standardisierungsinitiative ISÆN soll die rechtssichere Weitergabe und Verarbeitung von persönlichen Daten sowohl in kommerziellen als auch im behördlichen Umfeld erleichtern und absichern. ISÆN adressiert in erster Linie den automatischen Datenaustausch und die Verarbeitung der Daten, die Kennung kann aber natürlich auch in gedruckter Form (beispielsweise als QR-Code) verwendet werden, um beispielsweise Dokumente auszutauschen.
Kernelement ist der  SÆN-Identifier, der sich aus den folgenden Bestandteilen zusammensetzt: 
  • Code des Geburtslandes
  • Geschlecht
  • Nachname Vorname
  • Geburtsdatum
  • Postleitzahl des Geburtsortes 
  • Mobilfunknummer 
  • Gültigkeitsdauer (beispielsweise geänderte ISÆN bei Wechsel der Mobilfunknummer) 
  • biometrischer Hash oder Fingerabdruck, „Selfie“ zur Absicherung der Daten
Zum eigentlichen Verfahren: 
Wir gehen davon aus, dass sich die Ævatar- App auf dem Smartphone befindet. Der Nutzer registriert sich bei dieser durch Angabe seiner persönlichen Daten. Aus diesen Daten wird ein Hashwert gebildet, ein neuer Account in der Blockchain eingerichtet und der Hash dort gespeichert. Dieser Hashwert dient im Folgenden zur eindeutigen Identifikation (ID) des Benutzers und wird auf dem Smartphone auch als QR-Code gespeichert. Der QRCode kann in der Folge anstelle des (länglichen) Hashwerts bei einer Anfrage der Daten verwendet werden
Über die Gemeinsamkeiten und Unterschiede zwischen dem ISÆN-Identifier und der eID-Funktionalität des neuen Personalausweises:
Ähnlich der geplanten Funktionalität des ISÆN-Identifiers bietet die eID-Funktionalität des elektronischen Personalausweises die Möglichkeit der eindeutigen und universellen Identifizierung eines Nutzers. Dieses Merkmal unterscheidet den elektronischen Personalausweis von anderen Identifikationssystemen, die nur bereichsspezifisch sind und deren Verwendung außerhalb des jeweiligen Bereichs unzulässig ist. Im Gegensatz zu ISÆN wird die Identifizierung durch den Personalausweis nicht durch persönliche Daten, sondern durch kryptographische Maßnahmen erreicht.
Die Autoren halten resümierend fest:
Aus datenschutzrechtlicher Sicht muss angedacht werden, das Konzept dahingehend zu erweitern, dass eine Möglichkeit der Zuordnung von öffentlich gespeicherten Daten zu den Realdaten ausgeschlossen ist. Beispielsweise sollte die Nutzung eines entsprechenden neuen Pseudonyms für jede einzelne Transaktion in Erwägung gezogen werden, um das Risiko einer Identifizierung so gering wie möglich zu halten. Die Verwendung eines einsehbaren Speichers kann sowohl für den Dienstanbieter im Hinblick auf entsprechende Dokumentations- und Informationspflichten als auch für die betroffene Person hilfreich sein, um sich in transparenter Weise zu erkundigen, wem entsprechende Zugriffe auf Daten erteilt wurden. Dadurch könnte sich die betroffene Person gezielter an entsprechende Verantwortliche wenden, um ihre Betroffenenrechte geltend zu machen.

Keine Kommentare:

Kommentar veröffentlichen