Die Personal Identity und die Zukunft digitaler Interaktionen

Der Zeitpunkt ist gekommen, um unsere digitalen Kontakte mit anderen Menschen zu überdenken. Die Online-Interaktionen nehmen zu und wir verstreuen unsere persönlichen Daten über die Anwendungen und Dienste zahlreicher Unternehmen wie Brotkrumen auf einem Weg. Gleichzeitig treten immer mehr Vorschriften und technische Anforderungen auf den Plan, die das Sammeln und die Speicherung dieser Daten betreffen. Dies veranlasst die Unternehmen, ihre Systeme für das Identitäts- und Zugriffsmanagement zu überprüfen und weiterzuentwickeln, damit sie Schritt halten können. Das Blatt wendet sich, und es wird Zeit, den Menschen mehr Kontrolle über ihr eigenes digitales Selbst zu geben.

Was wäre, wenn Einzelpersonen selbst entscheiden könnten, wie und mit wem sie ihre Daten austauschen? Was, wenn diese Daten immer aktuell wären? Was wäre, wenn jede Person statt eines vereinheitlichten Kundenprofils in einem einzelnen Unternehmen, ein einziges Identitätserlebnis bei allen Unternehmen und Menschen hätte, mit der sie digital interagiert?

Die Personal Identity birgt die Antwort auf all diese Fragen. Die Personal Identity, auch als dezentrale oder selbstbestimmte Identität bezeichnet, gibt nicht so sehr den Firmen, Unternehmen oder Organisationen jeglicher Art, sondern vor allem dem Einzelnen das Recht, seine personenbezogenen Daten in Eigenregie zu kontrollieren, zu verwalten und weiterzugeben. Dieses Konzept gewinnt an Zugkraft, da immer mehr Einzelpersonen diese informationelle Selbstbestimmung über ihre persönlichen Daten fordern, und die Unternehmen den verifizierten Identitäten ihrer Kunden mehr Vertrauen schenken können. Wir bei Ping ergreifen die Initiative, um sicherzustellen, dass jeder die volle Kontrolle über seine persönlichen Daten erhält.

Das Modell der Personal Identity sieht vor, dass Einzelpersonen die identitätsbasierten Daten in einer digitalen Brieftasche auf einem Smartphone speichern, um sie zu aktualisieren und nach eigenem Ermessen mit Geschäftsbetrieben und Einzelpersonen (bis hinunter auf die Attributebene) weiterzugeben. Diese Vorgehensweise vereinfacht die sichere Preisgabe von persönlichen Daten zum Nachweis der Identität beim Online-Einkauf, bei der Beantragung eines Kredits, bei Bankgeschäften und anderen Aktivitäten. Unternehmen profitieren ebenfalls von diesem Modell, da sie mit der Personal Identity die Privatsphäre ihrer Kunden besser schützen und das Benutzererlebnis verbessern können. Außerdem erleichtert es das Sammeln persönlicher Daten.

Jahr für Jahr werden mehr alltägliche Interaktionen zwischen Menschen und Unternehmen digitalisiert, was zu einem großen Teil auf die Allgegenwart von Mobiltelefonen zurückzuführen ist. Laut den jüngsten Zahlen haben mehr als sechs Milliarden Menschen Zugang zu Smartphones. Die Pandemie verstärkte lediglich eine bereits fortschreitende Tendenz:

• 2020 wurden 64 % der neuen Girokonten über Mobilfunk oder Internet eröffnet, und nur 36 % durch Anfragen mit persönlichem Erscheinen.

   

• Die Zahl der digitalen Käufer stieg von 2014 bis 2021 sprunghaft von 1,32 Milliarden auf 2,14 Milliarden an.

   

• Es wird davon ausgegangen, dass 2024 schätzungsweise 53,3 Millionen US-Amerikaner die Online-Dating-Dienste nutzen, verglichen mit nur 44,2 Millionen im Jahr 2020.

Dennoch ist das gegenwärtige Paradigma nicht zukunftsfähig. Derzeit besitzt und verwaltet jedes Unternehmen bzw. jede Organisation einen eigenen Satz an Identitätsdaten für jeden Benutzer, der mit ihnen interagiert, basierend auf einem Benutzernamen und einem Passwort. Identitätsanbieter und Dienstanbieter müssen einander kennen und sich an eine Art von Vereinbarung (d. h. Standards) halten, die den Datenaustausch ermöglicht.

Da die Zahl der Dienstanbieter, mit denen der Einzelne interagiert, stetig wächst, gelangen auch seine identitätsbezogenen Daten in die Hände mehrerer Identitätsanbieter (IdP). Sobald jedoch ein User die Geschäfte mit einem Dienstanbieter abbricht, kann der auch nicht länger auf diese Daten zugreifen, und es bleiben stellenweise personenbezogene Daten zurück, die rasch veralten.

Die Personal Identity wird die Interaktionen von Benutzern mit Unternehmen und anderen Einzelpersonen grundlegend verändern, da sie die Art und Weise revolutioniert, wie Menschen und Unternehmen Vertrauen zueinander aufbauen. Die Kunden fordern mehr Datenschutz und die Möglichkeit, die Kontrolle darüber zu behalten, was sie über sich selbst preisgeben. Gleichzeitig müssen sich sowohl Unternehmen als auch Privatpersonen sicher sein, dass der Mensch am anderen Ende der digitalen Transaktion derjenige ist, für den er sich ausgibt, und dass die von ihm bereitgestellten Informationen echt sind. 

Auf der einen Seite stehen Unternehmen, die Informationen veröffentlichen, die von Benutzern gespeichert und weitergegeben werden können. Unter Anwendung der Personal Identity entsteht keinerlei Verbindung zwischen diesen Firmen und den Unternehmen, mit denen die Benutzer diese unabhängig überprüfbaren Daten austauschen möchten. Dies verbessert den Datenschutz und stärkt die Feststellung der Identität.

Die Übergabe der Kontrolle von Identitätsdaten in die Hände von Einzelpersonen, die ihre eigenen Daten verwalten, hat bereits begonnen, und wir hier bei Ping konnten beobachten, wie sich das Benutzererlebnis dadurch verbessert. Digitale Brieftaschen sind eine bequeme, bedienerfreundliche Methode für die Speicherung und das Abrufen von personenbezogenen Informationen. Außerdem vereinfacht es die Registrierung und andere Interaktionen, da die Daten auf einem leicht zugänglichen Gerät abgelegt werden – dem Smartphone des Benutzers. Dadurch wird es für Benutzer einfacher, aktuelle Informationen abzurufen, und statt des zeitaufwändigen Vorgangs beim Suchen, Sammeln und Weitergeben von Daten, braucht er jetzt nur ein paar Male mit dem Finger zu wischen.

Die Personal Identity verringert auch die Gefahr von Betrug. Betrug lässt sich nie ganz ausschließen, da jede digitale Transaktion ein Risiko birgt, das sich aber durch eine sichere Gestaltung von Vorgängen wie der Kontoeröffnung oder Online-Registrierung eindämmen lässt. Unternehmen erhalten so größere Gewissheit über die Identität der Benutzer und über die Echtheit und Aktualität ihrer Angaben. 

Die Personal Identity verringert auch den Aufwand beim Austausch von Daten. Wir alle kennen die Statistiken über die exponentielle Zunahme der im Laufe normaler Geschäftstätigkeiten gesammelten Datenmengen. Der Wechsel der Zuständigkeit für das Speichern der persönlichen Informationen vom Unternehmen an den Einzelnen kann eine Entlastung darstellen, was die Erfüllung der technischen, gesetzlichen und Compliance-Anforderungen an die Datenspeicherung betrifft.

Im Februar dieses Jahres kündigte Ping das Projekt COVID Freedom an, im Zuge dessen den Anbietern von Impfstoffen, Unternehmen und Einzelpersonen ermöglicht werden soll, Impfungen und COVID-Testergebnisse sicher vor anderen nachzuweisen. Der kritische Aspekt der personenbezogenen Daten war ein wichtiger Ausgangspunkt, mit dem der sichere Austausch persönlicher Daten erleichtert werden sollte, und er löste das Problem des unmittelbaren Bedarfs zur sicheren Wiederöffnung von öffentlichen Einrichtungen. 

Ping unternimmt nun den nächsten Schritt auf dem Weg der Innovation digitaler Interaktionen mit der Personal Identity, indem es Unterstützung über den Impfnachweis für COVID-19 hinaus bietet. Wir haben vor kurzem zwei neue Produkte angekündigt, die den Austausch von persönlichen Daten zwischen Verbrauchern und Unternehmen und anderen Personen sicherer und effizienter gestalten:

• ShoCard ist eine digitale Brieftasche für Verbraucher, die mit dieser Hilfe ihre eigenen personenbezogenen Daten sicher speichern und weitergeben können. 

   

• PingOne for Individuals ermöglicht es Unternehmen, digitale Identitäts- und Informationskarten an ihre Benutzer auszugeben. Diese digitalen Karten sind an verifizierte Daten gebunden und werden in der ShoCard-Brieftasche gespeichert.

Bei diesem Prozess sind drei verschiedene Protagonisten involviert:

1. Emittenten. Hierbei handelt es sich um die offiziellen Quellen für verifizierbare Daten, die identitätsbezogene Informationen an Benutzer ausgeben. Ein Emittent kann beispielsweise eine Hochschule sein, die Abschriften ausstellt, ein Arbeitgeber, der offizielle Quellen für Berufswege bereitstellt, oder ein Kreditbüro, das einen Kreditverlauf offen legt. Unternehmen können den PingOne Credential Service von PingOne for Individuals nutzen, um verifizierte Anmeldedaten oder Karten zu erstellen und auszugeben, welche die Benutzer wiederum in ihrer digitalen ShoCard-Brieftasche speichern.


2. Benutzer. Dies sind Personen, die durch den Emittenten verifizierte Identitätsdaten in ihrer ShoCard-Brieftasche auf ihrem mobilen Gerät speichern, wie z. B. einen Führerschein, einen Impfpass oder eine Krankenversicherungskarte. Zum Hinzufügen der verifizierten Informationen zur digitalen Brieftasche scannt der Benutzer einen QR-Code oder klickt auf einen vom Emittenten bereitgestellten Link. Diese tragbaren Daten werden ausschließlich in der ShoCard-Brieftasche gespeichert und verlassen nie den Kontrollbereich des Benutzers. Er kann sie nach eigenem Ermessen mit beliebig vielen Personen oder Unternehmen teilen.


3. Prüfer. Dabei handelt es sich um Unternehmen oder Einzelpersonen, die eine Bestätigung für die Aussagen anderer benötigen. Dies kann zum Beispiel ein Arbeitgeber sein, der die Bestätigung eines Hochschulabschlusses benötigt, ein Gesundheitsdienstleister, der einen Versicherungsnachweis anfordert, oder ein Online-Date, das herausfinden möchte, ob es mit der richtigen Person spricht. Der Benutzer scannt einen QR-Code, um die aktuellen, verifizierten Informationen zu übermitteln, die er dem Prüfer mitteilen möchte.

Wenn Sie gerne Genaueres über diese Lösungen wissen möchten, finden Sie hier einige Informationen über die Vorgänge hinter den Kulissen.

Wenn ein Benutzer die ShoCard-App herunterlädt und installiert, erstellt er ein Profil und damit eine eindeutige Identität, die an einen privaten Schlüssel auf seinem Mobilgerät gekoppelt ist. Bei der Erstellung dieses Profils wird eine Live-Selbstaufnahme mit dem Smartphone erfasst und mit einem amtlich dokumentierten Foto abgeglichen. Wenn diese Fotos übereinstimmen, wird der Personalausweis untersucht, um eine Modifikation auszuschließen und die Konsistenz der staatlichen Ausweisnummer zu überprüfen. Dann wird das Gerät mit der Person verknüpft. Dies ist die Grundlage dafür, dass der Benutzer digitale Karten sammeln und sie in der ShoCard-Brieftasche ablegen kann. 

Benutzer erstellen anschließend über den PingOne Credential Service oder das PingOne for Individuals SDK ihre digitalen Karten (auch als „Identity Claims“ bzw. Identitätsansprüche bezeichnet) und speichern sie in ihrer ShoCard-Brieftasche. Der PingOne Credential Service ist eine No-Code-Methode für Unternehmen, um digitale Karten zu konfigurieren und auszugeben, während das 

PingOne for Individuals SDK den Unternehmen das Ausgeben und Verifizieren der Identitätsansprüche von Benutzern ermöglicht.

Diese Ansprüche müssen von den Emittenten mit Hilfe von Kryptographie erstellt werden, um die Daten zu zertifizieren. PingOne for Individuals und ShoCard verwenden öffentliche Ledger, um Widerruf und Änderungen von Anmeldedaten zu verwalten. Diese Plattform ist Blockchain-agnostisch. Die aktuelle Version nutzt den öffentlichen Ledger Hedera, um Anmeldedatensätze durch Verschlüsselung abzusichern. Durch die Verwaltung von Berechtigungsnachweisen in diesem öffentlichen Ledger können wir effektiver sicherstellen, dass jeder Berechtigungsnachweis fälschungssicher und geschützt ist und nur vom Schlüsselinhaber geändert werden kann. Zusätzlich ermöglicht dieser Prozess einem Emittenten, den Status des Anspruchs zu widerrufen, wenn sich etwas geändert hat. Dies spiegelt sich in der ShoCard-App wider, und jeder Prüfer kann den Status des Anspruchs, den ein Benutzer mit ihm teilt, auf Aktualität und Richtigkeit überprüfen.

Unsere Initiative „Project COVID Freedom“ hatte in erster Linie das Ziel, Privatpersonen, Unternehmen und Impfstoffanbieter den sicheren Austausch von Daten über Impfstatus und Testergebnisse zu ermöglichen. Dies ist jedoch nur ein Beispiel dafür, wie sich Personal Identity anwenden lässt, um die Weitergabe von personenbezogenen Informationen zu optimieren und abzusichern. Unternehmen nutzen die Personal Identity auf vielfältige Weise:

Global Sports Club

In diesem Szenario ist die Organisation Prüfer und Emittent in Einem. Der Sports Club hat Zugriff auf die Spielerdaten und kann die Identitäten bestätigen, wenn die Spieler auf dem Feld erscheinen, um das betrügerische Auswechseln von Spielern während der Spiele zu verhindern.

Krankenkasse

Die Krankenversicherungen stellen Informationen über Zuzahlungen, hohe Selbstbeteiligungen, Selbstbeteiligungsstatus usw. zur Verfügung, anhand derer Krankenhäuser und andere Institutionen des Gesundheitswesens (die Prüfer) den Versicherungsschutz eines Patienten erkennen können. Auf dieser Basis können Prüfer dann entscheiden, wie sie abrechnen, Geld einziehen und reagieren sollen.

Online-Ticketing-Plattform für Veranstaltungen

Der illegale Wiederverkauf von Eintrittskarten ist der Unterhaltungsindustrie seit langem ein Dorn im Auge. Zum Eindämmen dieser Praxis, wäre es möglich, die Käufer zum Zeitpunkt des Kaufs zu verifizieren, oder der Veranstalter könnte auf die Identitätsdaten des Benutzers und der Tickets zugreifen, bevor dem User der Eintritt gewährt wird. 

Die Einzelperson als Prüfer

Einzelpersonen können in verschiedenen Situationen als Prüfer fungieren, z. B. beim Online-Verkauf eines Autos. In diesen Fällen kann die Website des Datenanbieters, z. B. die Website, auf der das Auto verkauft wurde, die Informationen verifizieren. Wenn sich die Personen treffen, kann die Website eine Verifizierungs-URL bereitstellen, auf der man einen QR-Code einscannen und die Daten bestätigen kann.

Das sind nur wenige der Interaktionen, bei denen die Personal Identity voraussichtlich eine tragende Rolle spielen wird. Es gibt bereits jetzt Unternehmen, in deren Zukunftsszenarien die Personal Identity die Interaktionen mit Kunden und Mitarbeitern revolutioniert. Ping freut sich darauf, zu den Ersten zu gehören, die dem Einzelnen die Kontrolle über die Weitergabe seiner persönlichen Daten an andere zurückgeben. Hier finden Sie weitere Informationen über die Initiative der Personal Identity.