ZURÜCK

Blockchain zwischen Regulierung, Informationssicherheit und Innovation

Zuerst erschienen in der public Ausgabe 01-2022

von Steffen Schwalm



Mit dem Onlinezugangsgesetz und auch der Corona-Krise hat die Digitalisierung der öffentlichen Verwaltung Fahrt aufgenommen. Dennoch bleibt noch einiges zu tun: Wesentliche Voraussetzungen für medienbruchfreie digitale Verwaltungsleistungen sind eine sichere Identifizierung von Unternehmen und Personen, die Möglichkeit zur Einreichung und Prüfung digitaler Nachweise sowie vollständig digitale und nachweisbare Transaktionen vom Antrag bis zum Bescheid. Hinzu kommen umfangreiche Nachweispflichten für Behörden gegenüber Gerichten oder Dritten. Distributed-Ledger-Technologie (DLT), mit Blockchain¹ als ihrem bekanntesten Vertreter², könnten auch die Digitalisierung der Verwaltung und insbesondere Transaktionen mit Bürgerinnen, Bürgern und Unternehmen erheblich erleichtern. Auf Basis aktueller Standards und Regularien und mit Blick auf die in Leuchtturmprojekten entwickelten Anwendungsszenarien und Erfahrungen erreichen diese Technologien nun einen Reifegrad, der ihre Nutzung in der öffentlichen Verwaltung in greifbare Nähe rückt.

Mit ihren Kerneigenschaften wie Dezentralität, Diversifizierung der Daten und Knoten zwischen den Nutzerinnen und Nutzern sowie grundlegender Fälschungssicherheit gilt die Blockchain- Technologie schon länger als eine echte Option für eine effizientere Digitalisierung in Verwaltung und Wirtschaft. Insbesondere durch die Dezentralität hat man sich eine schnelle Abwicklung komplexer Prozesse erhofft, etwa die Automatisierung von öffentlichen Registern und Beglaubigungen sowie die Vereinfachung von Nachweispflichten³. Die Einsparung sogenannter Intermediäre, wie Notare, Banken oder staatliche Stellen, sollte die digitale Transformation beschleunigen.

Die Blockchain-Strategie der Bundesregierung (2019)⁴ hat unter anderem die Förderung konkreter Projekte und Reallabore, die Schaffung klarer Regulierungen und vor allem die Pilotierung und Evaluierung der Distributed-Ledger-Technologie für geeignete Verwaltungsleistungen auf den Weg gebracht. Ein Fokus sollte auf digitalen Identitäten, dem Aufbau einer staatlichen Blockchain-Infrastruktur, der Beteiligung an der Europäischen Blockchain-Service-Infrastruktur (EBSI) sowie Leuchtturmprojekten liegen. Dieser Artikel beschreibt die Anforderungen an eine staatlich genutzte Blockchain-Infrastruktur und digitale Identitäten sowie die Möglichkeiten und auch die Grenzen der Technologie und betrachtet den Stand ausgewählter Projekte in der Entwicklung von Standards und bei regulatorischen Vorgaben.


Digitale Identitäten und digitale Nachweise

Eine sichere Identifizierung von Bürgerinnen und Bürgern wie Unternehmen auf dem für den jeweils angefragten Service notwendigen Vertrauensniveau nach der eIDAS-Verordnung⁵ ist wesentliche Grundlage für digitale Verwaltungsleistungen. Um jedoch einen vollständig digitalen Prozess abzubilden, müssen auch die für die Leistung nötigen Nachweise elektronisch eingereicht werden können.

Digitale Nachweise, seien es Anträge, Zeugnisse, Zeichnungen etc., müssen, egal ob von Bürgerin, Bürger oder Unternehmen eingereicht oder von der Behörde aufbewahrt, die folgenden Anforderungen erfüllen:⁶

• Authentizität (Echtheit)
• Integrität (Unverändertheit)
• Nachvollziehbarkeit
• Verkehrsfähigkeit (Möglichkeit der Datenübermittlung in authentischer, integrer, nachvollziehbarer Form)

Für Behörden ist zudem die Aktenführungspflicht zu beachten, die auch die Nutzung einer Blockchain nicht aufhebt.⁷ Technisch werden Authentizität und Integrität insbesondere durch die Verwendung der sogenannten (qualifizierten) Vertrauensdienste gemäß eIDAS, also elektronische Signaturen, Siegel etc., erreicht und mittels der Bewahrungsdienste auch die langfristige Nachweisfähigkeit.<sup>8


Abbildung 1: Grundsätzliches SSI-Triangel</sup>

 

Die eID enthält jedoch nur die Kernidentität. Die Einreichung digitaler Nachweise als PDF oder Ähnliches erwies sich bisher als umständlich.⁹ Mit dem neuen Self-Sovereign-Identity-(SSI-)Paradigma werden Identität und Nachweis verbunden. Dabei werden die Identität sowie die digitalen Nachweise (sogenannte Verifiable Credentials) im Wallet, also in der digitalen Brieftasche von Bürgerin, Bürger oder Unternehmen gespeichert. SSI bildet derzeit einen vielversprechenden Ansatz zur praktischen Nutzung von DLT. Gleichzeitig bleibt jedoch festzuhalten, dass für die Umsetzung von SSI keine DLT nötig ist, vielmehr kann SSI auch auf Basis herkömmlicher Technologie wie zentralen Public-Key-Infrastrukturen und OpenID Connect umgesetzt werden.¹⁰ Erzeugt werden die Identitäten von vertrauenswürdigen Ausstellern (Issuer), geprüft durch Akzeptanzstellen (Relying Party) oder Prüfer.

Technisch kann in SSI, neben klassischen Identitäten, die auf x509 basieren, auch auf das sogenannte Verifiable-Datenmodell gesetzt werden. Dabei werden Decentralized Identifiers (DID), hier öffentliche DIDs, in einer verteilten Verifiable Data Registry gespeichert – dabei kann es sich um eine DLT/Blockchain handeln. Es wird zwischen Private DIDs, also denjenigen, die nur im Wallet der Nutzerin oder des Nutzers gespeichert sind, und Public DIDs unterschieden. Auf der Blockchain selbst werden keine personenbezogenen Daten abgelegt.

DIDs werden vom W3C spezifiziert¹¹ und befinden sich derzeit im Zustand der vorgeschlagenen Empfehlung (Proposed Recommendation). DIDs sind eine neue Art von weltweit eindeutigen Identifikatoren. Sie sollen es Anwenderinnen und Anwendern ermöglichen, ihre eigenen Identifikatoren mithilfe von Systemen zu erzeugen, denen sie vertrauen. Eine DID besteht aus drei Komponenten: Dem DID-URI-Schema-Bezeichner, dem Bezeichner für die DID-Methode und dem DID-methodenspezifischen Bezeichner. Eine DID selbst enthält keine zusätzlichen Informationen, wird aber in ein DID-Dokument aufgelöst. Ein DID-Dokument beschreibt im Kern die eigentliche Identität. Das DID-Dokument enthält die DID des DID-Subjekts (Anwender/ Identität). Darüber hinaus definiert es das kryptografische Verifikationsmaterial, das von Stellen, die mit dem DID-Subjekt interagieren, für verschiedene Zwecke benötigt wird. Dieses wird zum Beispiel für die Verifizierung digitaler Signaturen verwendet, wie sie für eine Überprüfung der ausgestellten Nachweise, für die Authentifizierung oder den Austausch vertraulicher Nachrichten erforderlich sind. Die nachstehende Grafik zeigt das Prinzip.



Abbildung 2: DID, DID-Dokument und DID-Subjekt


Als Infrastruktur für die (Public) DID kann ein Distributed Ledger verwendet werden. Digitale Nachweise mit SSI werden über Verifiable Credentials (VC) ausgestellt, das sind überprüfbare Credentials, die eine oder mehrere Angaben (Schlüssel- Wert-Paare) über Identitätsinhaber enthalten. Ein VC wird von einer ausstellenden Behörde erstellt, die die entsprechenden Informationen erfasst oder annimmt, sie auf ihre Richtigkeit überprüft und digital signiert.

Wesentliche Herausforderungen sind derzeit die mangelnde regulatorische Verbindlichkeit des Verifiable Data Models mit DID, der Verifiable Credentials sowie der verwendeten digitalen Signaturen. Hintergrund ist, dass diese die Vorgaben der eIDAS-Verordnung sowie nationaler Regelungen für Identitäten und Signaturen (z. B. Vertrauensdienstegesetz, Onlinezugangsgesetz) und den europäischen Stand der Technik momentan nicht erfüllen.^12,13

Die EU löst diese Herausforderung derzeit durch die sogenannte eIDAS Bridge¹⁴, wobei die digitalen Nachweise mit (qualifizierten) elektronischen Signaturen oder Siegeln gemäß eIDAS versehen werden.¹⁵ Mit dem neuesten Entwurf (eIDAS 2.0) ist jedoch eine Änderung absehbar, die sowohl SSI als auch DLT/Blockchain entsprechende regulatorische Sicherheit verleiht, sofern auch die die eIDAS untersetzenden technischen Vorgaben umgesetzt werden. Hinsichtlich digitaler Nachweise käme noch die Option infrage, die DLT/Blockchain als quasi unveränderliche Infrastruktur zur langfristigen Integritätssicherung der Nachweise zu verwenden.



Abbildung 3: eIDAS Bridge



Daten werden dabei gebündelt in sogenannten Blöcken gespeichert, die über Hashfunktionen sequenziell miteinander verknüpft und dadurch vor unbemerkten Veränderungen geschützt sind. Sobald Informationen in einem Block verändert werden, stimmen die Hashwerte nicht mehr überein, wodurch die Kette unterbrochen wird. Dabei könnte eine Prüfsumme über dem zu sichernden Nachweis, etwa ein Zeugnis, erzeugt und diese im Ledger abgelegt werden. Wird zum Prüfzeitpunkt erneut eine Prüfsumme für die entsprechende Datei erzeugt und stimmt dieser Hashwert mit dem in der Blockchain überein, scheint das Dokument integer zu sein. Wesentliche Herausforderung auch hier ist, dass ein Hashwert keinen digitalen Nachweis ermöglicht, denn

1. es ist unklar, wann das Dokument integer war (sog. Proof of Existence), hierzu wäre ein qualifizierter Zeitstempel notwendig, und
2. die Authentizität, also Echtheit, kann nicht nachgewiesen werden; hierzu wären eine qualifizierte elektronische Signatur oder ein Siegel notwendig.

Abbildung 4: Beziehung der Blöcke untereinander in einer Blockchain


Insofern wäre die DLT um die entsprechenden Mittel zu ergänzen, wie dies für die Blockchain-basierte Datenvalidierung in DIN SPEC 3104 standardisiert ist. Zudem muss mit Blick auf Aufbewahrungsfristen zwischen zwei und 100 Jahren oder auch dauerhaft für Behörden die langfristige Nachweisbarkeit sichergestellt werden. Hierzu fehlen bei Blockchains derzeit noch prüfbare Standards zum Beweiswerterhalt in DLT, wie dies in der TR-ESOR¹⁶ des BSI standardisiert ist. Selbst wenn eine Blockchain zur Integritätssicherung verwendet wird, ist damit stets eine beweissichere „Off-chain-Speicherung“¹⁷ der Dokumente im Aktenzusammenhang nötig, wie sich dies aus der Aktenführungspflicht für Behörden ergibt.¹⁸


Regulatorische Entwicklungen

Im Juni 2022 veröffentlichte die EU-Kommission den Entwurf der neuen eIDAS-Verordnung, eIDAS 2.0.¹⁹ Diese soll für alle Bürgerinnen, Bürger und Unternehmen in der EU und den EFTAStaaten eine nutzerfreundliche digitale Identität regeln, die sowohl die Kernidentität als auch digitale Nachweise umfasst. Hier ist besonders das geplante European Digital Identity Wallet (EU Digital Wallet, „Brieftasche für die europäische digitale Identität“) zu erwähnen. Dieses soll es Nutzenden ermöglichen, eine digitale Identität zu besitzen, die ihnen durch den Mitgliedsstaat dezentral in das eigene EU Digital Wallet ausgestellt wird. Derzeit ist geplant, dass jeder Mitgliedsstaat der EU – entweder selbst, durch ihn autorisiert oder anerkannt – allen Bürgerinnen und Bürgern ein EU Digital Wallet zur Verfügung stellt, einschließlich der dort gespeicherten eID sowie digitaler Nachweise. Verpflichtende Durchführungsrechtsakte, sogenannte Implementing Acts, die auf europäische Standards verweisen, sollen sechs Monate nach Inkrafttreten der eIDAS 2.0 einen einheitlichen technischen Rahmen schaffen. Jedes EU Digital Wallet wird gegen die in den Implementing Acts genannten Standards zertifiziert werden, die den EU Cybersecurity Act berücksichtigen. Es ist zudem eine Anerkennungspflicht des EU Digital Wallets für alle Mitgliedsstaaten, Unternehmen kritischer Infrastrukturen sowie marktführende Digitalunternehmen vorgesehen. Dies verspricht eine möglichst breite Einsetzbarkeit und Akzeptanz der digitalen Identität. Die Mitgliedsstaaten müssen zudem die notwendige technische Infrastruktur für das Wallet sowie die weiteren Services bereitstellen.



Abbildung 5: Vertrauensmodell in eIDAS




Neben dem EU Digital Wallet sieht die eIDAS 2.0 die verbindliche Notifizierung mindestens einer eID je Mitgliedsstaat vor. Diese wird ins EU Digital Wallet ausgestellt und soll das Vertrauensniveau (Level of Assurance/LoA) „hoch“ erfüllen. In Deutschland wäre dies aus aktueller Sicht etwa die Smart-eID. Auch für die eID-Schemes sind verbindliche Durchführungsrechtsakte geplant, die wiederum auf europäische Standards verweisen und so die Grundlage für die Notifizierung und Interoperabilität schaffen. Neben der Notifizierung staatlicher eIDs ist in eIDAS 2.0 auch die Einrichtung eines Zertifizierungsverfahrens für private Identifizierungsverfahren geplant. Dieses soll sich in der Hoheit der nationalen Cybersicherheitsbehörden befinden und auf nationalen Anforderungen beruhen, die wiederum die Vorgaben des EU Cybersecurity Acts berücksichtigen. Damit wird erstmals eine übergreifende Zertifizierung für private Identifizierungsverfahren ermöglicht, was flexible wie bedarfsgerechte Lösungen für Behörden, Unternehmen und Bürgerinnen und Bürger verspricht.

Neben dem EU Digital Wallet sowie der eID sind die qualifizierten Attestation Services zu erwähnen. Dabei handelt es sich um geplante Vertrauensdienste zur Ausstellung digitaler Nachweise (Zeugnisse, Führerschein, Handlungsberechtigungen etc.), die als Identitätseigenschaften (sog. Verifiable Credentials) dem EU Digital Wallet hinzugefügt werden können. Hierzu greifen diese neuen Vertrauensdienste auf sichere Datenquellen zu, die vom Mitgliedsstaat bereitgestellt werden – im Kern die öffentlichen Register – womit auch die Registerautomatisierung vorangetrieben wird. Damit ermöglicht eIDAS 2.0 die Verbindung der Kernidentität (eID) mit digitalen Nachweisen einschließlich des rechtssicheren Herkunftsnachweises, von wem die Attestation (z. B. ein Zeugnis) ausgestellt wurde. Nur qualifizierte Attestation Services werden Zugriff auf das EU Digital Wallet erhalten und somit bleibt die Informationssicherheit gewahrt. Auch für diese neuartigen Vertrauensdienste sieht die eIDAS 2.0 verbindliche Durchführungsrechtsakte vor, die wiederum auf europäische Standards verweisen und sechs Monate nach Inkrafttreten der eIDAS 2.0 veröffentlicht werden sollen. Die Konformitätsbewertung der qualifizierten Vertrauensdienste obliegt wie in der bestehenden eIDAS akkreditierten Konformitätsbewertungsstellen.²⁰

Als Infrastruktur für diese neue dezentrale Identität kann ein Distributed Ledger verwendet werden. Dabei ist jedoch zu beachten, dass eIDAS auch für DLT qualifizierte Vertrauensdienste vorsieht, um Sicherheit und Vertrauen herzustellen. Über das Wallet, die eID-Schemes und Attestation Services hinaus definiert die eIDAS 2.0 zudem Anforderungen an die Relying Parties, also die Akzeptanzstellen. Diesen werden zum einen eine Anzeige-, zum anderen eine Zertifizierungspflicht auferlegt, so beispielsweise eine starke (also Zwei-Faktor-)Authentisierung. Die konkreten Details werden auf europäischer Ebene oder national definiert. Des Weiteren soll es möglich sein, mit dem EU Digital Wallet qualifizierte Zertifikate für qualifizierte elektronische Signaturen zu erhalten²¹ – ein Feature, das die durchgängig digitale Abwicklung behördlicher Prozesse von Bürgerin und Bürger zur Behörde und zurück maßgeblich unterstützt.

Durch die Verbindung der digitalen Identität mit den neuen Vertrauensdiensten für digitale Nachweise (Attestations), die Nutzung öffentlicher Register, die Annahmeverpflichtung für Behörden wie Unternehmen sowie die mögliche Nutzung von DLT und damit deren Integration in das eIDAS-Vertrauensmodell wird absehbar eine sichere volldigitale Abwicklung öffentlicher Services ermöglicht. Die dezentrale Speicherung der Identitätsdaten bei Nutzerin oder Nutzer sowie die Verwendung der DLT als quasi unveränderliche Infrastruktur erhöhen zum einen die Datensouveränität der Anwenderinnen und Anwender, zum anderen die Sicherheit des Gesamtsystems. Wesentliche Voraussetzungen sind die in Entstehung befindlichen europäischen technischen Standards zur Zertifizierung der einzelnen beteiligten Dienste und Komponenten (siehe Abbildung 6).

Die eIDAS 2.0 setzt somit einen regulatorischen Rahmen für eine rechtssichere wie vertrauenswürdige selbstsouveräne digitale Identität (SSI). Die neue Regulierung und deren verbindliche europäische Standards müssen von den Behörden bei Planung von Einführung und Nutzung digitaler Zeugnisse, sowohl bei den organisatorischen als auch technischen Anforderungen, Systemdesign und Betrieb unmittelbar berücksichtigt werden.

Aktuell wird von den Mitgliedsstaaten gemeinsam mit der EU-Kommission die sogenannte eIDAS-Toolbox entwickelt, die erste konkrete technische Werkzeuge als Blaupausen enthalten soll. Die neue eIDAS-Verordnung selbst wird für etwa 2023 erwartet, womit das EU Digital Wallet im dritten oder vierten Quartal 2023 bereitstehen könnte, die übrigen Änderungen wie Vertrauensdienste für Blockchain im Jahr 2024.


Abbildung 6: DLT in eIDAS 2.0



Strategische Initiativen und Leuchtturmprojekte

Politik und Wirtschaft in Deutschland und der EU haben das Potenzial von digitalen Identitäten und digital verifizierbaren Nachweisen mit und ohne DLT erkannt. Dies zeigt sich an den verschiedenen strategischen Initiativen und den derzeitigen Entwicklungen auf Länder-, Bundes- und europäischer Ebene. Die zentrale Herausforderung besteht darin, die digitalen Anwendungen mit den digitalen Identitäten und Nachweisen zusammenzubringen und in der Breite den Nutzerinnen und Nutzern zur Verfügung zu stellen. Neben einer sicheren und datenschutzfreundlichen Ausgestaltung ist auch die Benutzbarkeit ein wesentlicher Faktor für die Akzeptanz von digitalen Nachweisen.

Mit dem „Schaufenster Sichere Digitale Identitäten“²² sollen digitale Identitätslösungen, die gleichermaßen nutzerfreundlich, vertrauenswürdig und wirtschaftlich sind, der öffentlichen Verwaltung, Wirtschaft und natürlich der Bevölkerung in Deutschland nähergebracht werden. Ziel der Schaufensterprojekte ist es, die technischen, organisatorischen und rechtlichen Grundlagen für digitale Identitätslösungen zu schaffen. Nutzerinnen und Nutzer sollen in naher Zukunft ihre digitalen Identitäten und unterschiedliche Dokumente, wie etwa Personalausweis, Führerschein oder auch Zeugnisse, in Form von digitalen Zertifikaten selbst auf ihren mobilen Endgeräten verwalten und bei Bedarf Teile davon in digitalen Transaktionen vorzeigen können. Als technische Infrastruktur werden in allen Schaufensterprojekten Distributed-Ledger-Technologie (z. B. Hyperledger Indy) verwendet. Gleichzeitig wird sowohl die Interoperabilität der verschiedenen Ledger untereinander als auch mit konventionellen und weiteren Technologien (z. B. KERI) erprobt.

Mit dem „ID-Wallet“²³ sollte ein Wallet entwickelt werden, das als „digitale Brieftasche“ sowohl die elektronische Kernidentität (in Form der aus dem Personalausweis abgeleiteten Basis-ID) als auch die digitalen Nachweise der Bürgerinnen und Bürger enthalten kann. Als Infrastruktur wurde hier auf Blockchain gesetzt. Nach Sicherheitsproblemen, die im Kern allerdings nicht die DLT betrafen, steht die Wallet derzeit nicht zur Verfügung.²⁴ Das Projekt wurde organisatorisch zunächst vom BMI übernommen, der weitere Fortgang ist derzeit offen.

Das 2020 von Partnern aus verschiedenen Bildungssektoren, Wirtschaft- und Forschungsbereichen der Bundesrepublik Deutschland gegründete Netzwerk Digitale Nachweise²⁵ untersucht den Anwendungsfall von digitalen Nachweisen im Kontext der Umsetzung des OZG-Themenfeldes Bildung. Die Akteure des Netzwerkes haben es sich zum Ziel gesetzt, das Zeugniswesen zu digitalisieren und Zeugnisse zusätzlich zur Schriftform digital zu erstellen und auszugeben. Gleichzeitig sollen digitale Zeugnisse fälschungssicher und maschinenlesbar gestaltet werden, sodass der Ursprung und die Integrität der Zeugnisdaten über einen lebenslangen Zeitraum geprüft und die Zeugnisdaten automatisiert in digitale Prozesse integriert werden können. Der derzeitige Fokus der Arbeitsgruppe liegt auf dem Anwendungsfall Blockchain-verifizierbarer Schulzeugnisse. Hier wird zusätzlich zum Zeugnis in Schriftform eine digitale Zeugnis-Datei erzeugt. Mithilfe einer mathematischen Einwegfunktion wird eine Prüfsumme der Zeugnis-Datei erstellt, ein sogenannter Hashwert, der zusammen mit der Identitätskennung der ausstellenden Institution manipulationssicher in eine Blockchain geschrieben wird. Der Empfänger der Zeugnisdatei hat die Möglichkeit, mit einfachen technischen Mitteln deren Integrität zu überprüfen.²⁶

Branchenübergreifend ist die europäische Cloudinfrastruktur Gaia-X zu erwähnen. Aktuell werden die Querschnittsdienste, die sogenannten Federation Services²⁷ für die digitale Identifizierung und Authentisierung als Open-Source-Komponenten aufgebaut. Dies erfolgt unter Steuerung des eco-Verbands durch verschiedene internationale Konsortien, die gemeinsam mit Partnern die Komponente zur Bestätigung von Identitäten entwickelt. Wesentliche technologische Grundlage ist zum einen die DLT als dezentrale Infrastruktur sowie die SSI-Technologie nach W3C-Spezifikation. Ziel ist der Aufbau einer dezentralen und vertrauenswürdigen Infrastruktur zum sicheren Datenaustausch, wobei mit Umsetzung der sogenannten eIDAS-Bridge der EU-Kommission auch die regulatorische Sicherheit gewährleistet werden soll. Gaia-X bewegt sich insofern im Fahrwasser von eIDAS 2.0 sowie der internationalen DLT-Projekte. [Hinweis der Redaktion: Lesen Sie zu Gaia-X auch den Beitrag von Markus Ehm: Quo vadis, Gaia-X? (siehe Seite 50)]

Europaweit wird inzwischen in verschiedenen Projekten bzw. Arbeitsgruppen (z. B. European Blockchain Services Infrastructure (EBSI)²⁸ oder European Self-Sovereign Identity Framework (ESSIF)²⁹) auch daran gearbeitet, Nachweise nicht mehr als Dokumente zu sehen, sondern als einzelne, überprüfbare Referenzen (sogenannte Verifiable Credentials). EBSI hat bereits eine Infrastruktur aufgesetzt, die es ermöglicht, auf europäischer Ebene digitale Nachweise auf Basis von Verifiable Credentials zu verarbeiten. In diesem Zusammenhang gibt es auch einen „Diploma Use Case“, der den Europäerinnen und Europäern mehr digitale Kontrolle über ihre Bildungszertifikate geben soll. Mit GovDigital wurde von öffentlichen IT-Dienstleistern und Institutionen ein erstes privates Blockchain-Netzwerk im öffentlichen Bereich in Deutschland aufgebaut.³⁰


Informationssicherheit und Standardisierung

Wie das BSI in seiner Veröffentlichung „Blockchain sicher gestalten“ ³¹ feststellt, bestehen für DLT/Blockchain bereits verschiedene nicht unkritische Angriffsszenarien. Weiter vertieft wurde dies zuletzt auch im Kontext selbstsouveräner digitaler Identitäten: Das BSI stellt hier heraus, dass die Distributed-Ledger- Technologie aktuell noch nicht ausreichend standardisiert ist und belastbare Aussagen zur Informationssicherheit daher noch nicht ausreichend möglich sind.³²

Ebenso traten in einigen Pilotprojekten zuletzt Sicherheitsvorfälle auf. So wurde die ID-Wallet der Bundesregierung wenige Tage nach der Bereitstellung im App-Store wieder offline genommen. Hintergrund waren von Sicherheitsforschern des Chaos Computer Club identifizierte Schwachstellen, die es ermöglichten, personenbezogene Daten an unverifizierte Relying Parties weiterzugeben.³³ Ähnliches zeigte sich beim Projekt digitale Zeugnisse.³⁴ Auch hier wurden Sicherheitslücken identifiziert, sodass das System vorübergehend vom Netz genommen werden musste. Auch wenn in beiden Fällen die Blockchain nicht direkt betroffen war, zeigten sich in der Praxis Probleme bei der Anwendung innovativer Technologien in der Praxis.

Mit der DIN TS 31648 liegt seit 2021 ein erster von einem interdisziplinären Expertenteam unter Beteiligung des BSI entwickelter Standard zur Nutzung von Blockchain für vertrauenswürdige, also nachweispflichtige Transaktionen vor. Die Spezifikation beinhaltet als Checkliste dedizierte fachliche wie technische Kriterien, die von anwendenden Organisationen oder Betreibern eines DLT-Netzwerks zu erfüllen sind. Jedem Kriterium sind konkrete Ergebnisdokumente zugeordnet, die eine einfache Prüfung durch Auditoren ermöglichen. Im Kern fordert die DIN TS 31648 die Ergänzung von DLT um sichere digitale Identitäten und Vertrauensdienste gemäß eIDAS, um ein Mindestmaß an Vertrauenswürdigkeit der „on-chain“ abgewickelten Transaktionen bzw. „On-chain“-Daten zu erreichen, wie dies auch vom IT-Planungsrat in seinem Papier 2020 gefordert wurde.³⁵ Zudem enthält der Standard konkrete Maßgaben zur Informationssicherheit und langfristigen Nachweisbarkeit der Daten und Transaktionen in Blockchains.

Abgesehen von der DIN TS 31648 steht die Blockchain-Standardisierung hinsichtlich Informationssicherheit und Nachweisfähigkeit in Europa aktuell noch am Anfang. Im Kontext der Neufassung der eIDAS-Verordnung haben sich erste Arbeitsgruppen in den für Europa maßgeblichen Gremien ETSI und CEN gegründet, an denen auch der Autor beteiligt ist. Diese werden die technischen Vorgaben entwickeln, die infolge der absehbaren Durchführungsrechtsakte der eIDAS 2.0 regulatorisch verbindlich werden. Ein ähnliches Bild zeigt sich auch außerhalb Europas, wo aktuell zunächst der Status quo möglicher Lösungsansätze in DLT eruiert wird. Erste Ergebnisse werden jedoch frühestens in ein bis zwei Jahren vorliegen und erst mit den absehbaren Implementing Acts der eIDAS 2.0 (für ETSI/CEN) ihre volle Wirksamkeit entfalten.

Insofern wäre die Nutzung der DLT für digitale Verwaltungsleistungen vor Inbetriebnahme zumindest kritisch zu prüfen und Alternativen oder Kombinationen mit bestehenden Technologien wie zentralen Public-Key-Infrastrukturen, digitalen Identitäten und Vertrauensdiensten in Betracht zu ziehen.


Fazit und Ausblick

Der dezentrale und verteilte Charakter der Blockchain sowie ihre kryptografischen Eigenschaften, die eine de facto Unveränderbarkeit per Design beinhalten, bergen erhebliche Chancen vor allem für organisationsübergreifende Transaktionen wie sie etwa im Kryptoverwahrgeschäft für Banken oder Kryptowährungen der Fall sind. Vor allem als dezentrale Infrastruktur für europäische selbstsouveräne digitale Identitäten verspricht die Technologie eine hohe Verfügbarkeit und Effizienz im Vergleich zu klassischen Technologien. Die anfängliche Hoffnung, mit DLT zentrale Intermediäre wie Notare, Prüfbehörden etc., also die sogenannten vertrauenswürdigen Dritten, einsparen zu können, hat sich bislang als trügerisch erwiesen.

Kein System ist aus sich selbst heraus vertrauenswürdig. Vertrauenswürdigkeit kann nur durch Nachweis von Authentizität, Integrität, Nachvollziehbarkeit und (bei Daten) Verkehrsfähigkeit gegenüber unabhängigen Dritten erreicht werden.^36,37 Aktuell mangelt es der Blockchain-Technologie noch an regulatorisch akzeptierten und technisch standardisierten Mechanismen, um in nachweispflichtigen Anwendungsbereichen wie der öffentlichen Verwaltung umfassend eingesetzt zu werden. Gleichzeitig lassen sich die bislang in der Verwaltung fokussierten Anwendungen wie SSI oder digitale Nachweise auch mit herkömmlicher Technologie vor allem hinsichtlich Sicherheit und Vertrauenswürdigkeit leichter umsetzen.

Mit der Neufassung der eIDAS-Verordnung wird diese regulatorische und technische Lücke für Blockchain absehbar geschlossen, wobei auch eIDAS 2.0 Distributed-Ledger-Technologie nicht zwingend vorschreibt.

Die EU schafft mit der europäischen Blockchain-Service-Infrastruktur ein europaweites Blockchain-Netzwerk und testet aktuell erste Anwendungsfälle. Gleiches erfolgt mit den Schaufensterprojekten des BMWK, den Federation Services in GAIA-X sowie den Pilotprojekten zu digitalen Nachweisen. Bis zum Inkrafttreten der neuen eIDAS 2.0-Verordnung gilt es insofern, in Forschungs- und Entwicklungsprojekten die neue Technologie vor allem hinsichtlich Informationssicherheit und Nachweisfähigkeit der Transaktionen und Daten weiterzuentwickeln. Darüber hinaus müssen die europäischen Standards geschaffen werden, die die eIDAS 2.0 untersetzen. Eine möglichst breite Beteiligung deutscher Expertinnen und Experten ist hier wünschenswert. 



¹ Die Begriffe Blockchain und DLT werden im Beitrag synonym behandelt.
² Siehe auch: Steffen Schwalm: Blockchains erobern die öffentliche Verwaltung, https://www.msg.group/public-magazin-beitrag/blockchains-erobern-die-oeffentliche-verwaltung (abgerufen am 08.04.2022).
³ Korte et al.: Criteria for trustworthy digital transactions – Blockchain/ DLT between eIDAS, GDPR, Data and Evidence Preservation. OpenIdentity Summit 2020. Lecture Notes in Informatics (LNI). Proceedings. Bonn, 2020, S. 49-60.
⁴ https://www.bmwi.de/Redaktion/DE/Publikationen/Digitale-Welt/blockchain-strategie.html (abgerufen am 07.04.2022).
⁵ Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG. eIDAS, 2014.
⁶ Weber et al.: Records Management nach ISO 15489. Einführung und Anleitung. Beuth Verlag, Berlin, 2018.
⁷ Bundesministerium des Innern (Hrsg): Organisationskonzept elektronische Verwaltungsarbeit. Berlin, 2012.
⁸ Details zu eIDAS finden sich in Schwalm, Steffen: Sicherheit und Effizienz durch selbstsouveräne digitale Identitäten, https://www.msg.group/public-magazin-beitrag/effiziente-digitale-verwaltungsleistungen-durch-selbstsouveraene-digitale-identitaeten (abgerufen am 08.04.2022).
⁹ Whitepaper Einsatz der SSI-Technologie bei der Implementierung der OZG-Nutzerkonten. IT-Planungsrat (Hrsg.), Berlin 2022.
¹⁰ Alamillo et al.: Self-Sovereign-Identity & eIDAS: a contradiction? Challenges and chances of eIDAS 2.0. European Review of Digital Administration & Law. 2022.4.
¹¹ https://www.w3.org/TR/did-core/ (abgerufen am 07.04.2022).
¹² Korte et al.: Records Management and Long-Term Preservation of Evidence in DLT. In: Roßnagel, H., Schunck, C. H. & Mödersheim, S. (Hrsg.), Open Identity Summit 2021. Bonn: Gesellschaft für Informatik e. V. (S. 131–142).
¹³ Eckpunktepapier für Self-sovereign Identities (SSI) unter besonderer Berücksichtigung der Distributed-Ledger-Technologie (DLT). Bundesamt für Sicherheit in der Informationstechnik, 2021.
¹⁴ https://joinup.ec.europa.eu/collection/ssi-eidas-bridge/document/ssi-eidas-bridge-use-cases-and-technical-specifications (abgerufen am 07.04.2022).
¹⁵ Ignacio Alamillo: SSI eIDAS Legal Report. How eIDAS can legally support digital identity and trustworthy DLT-based transactions in the Digital Single Market, Brussels 2020.
¹⁶ BSI: Beweiswerterhaltung kryptographisch signierter Dokumente (TR-ESOR), TR-03125, V1.2.2, 2021.
¹⁷ Vgl. DINTS31648: Kriterien für vertrauenswürdige Transaktionen– Records Management und Beweiswerterhaltung in Distributed Ledger Technologien und Blockchain. 2021. WEITERE QUELLEN: Anke et al.: Self-Sovereign Identity as the Basis for Universally Applicable Digital Identities. HMD Praxis der Wirtschaftsinformatik, 58, S. 247–270 (2021). Bressem, Heuermann: Positionspapier Nationales E-Government Kompetenzzentrum e. V., Berlin, 2021. ISO 22739:2020. Blockchain and distributed ledger technologies — Vocabulary. ISO WD/TR 24332. Information and documentation — Blockchain and DLT in relation to authoritative records, records systems, and records management Schallbruch et al.: Digitale Brieftaschen für sichere digitale Identitäten. Europäisches Vorhaben für Digital Identity Wallets. In: Datensicherheit und Datenschutz (DuD), Heft 1/2022, S. 12–17. Kudra et al.: Ein digitaler Vertrauensraum für Identitäten und Dienste – Europa ist auf dem richtigen Weg Ein Impuls. In: Datenschutz und Datensicherheit und Datenschutz (DuD), Heft 1/2022, S. 9–11. Sedlmeir et al.: Digital Identities and Verifiable Credentials. Business & Information Systems Engineering 5/2021. Quo vadis, Digitalisierung? | .public 01-22 | 49
¹⁸ Vgl. Bundesministerium des Innern (Hrsg): Organisationskonzept elektronische Verwaltungsarbeit, Berlin 2012; Korte et al.: Criteria for trustworthy digital transactions – Blockchain/ DLT between eIDAS, GDPR, Data and Evidence Preservation. OpenIdentity Summit 2020. Lecture Notes in Informatics (LNI). Proceedings. Bonn, 2020, S. 49–60; Korte et al.: Records Management and Long-Term Preservation of Evidence in DLT. In: Roßnagel, H., Schunck, C. H. & Mödersheim, S. (Hrsg.), Open Identity Summit 2021. Bonn: Gesellschaft für Informatik e. V. (S. 131 -142).
¹⁹ Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung eines Rahmens für eine europäische digitale Identität. COM(2021) 281 final.
²⁰ ETSI EN 319 403 Electronic Signatures and Infrastructures (ESI). Trust Service Provider Conformity Assessment – Requirements for conformity assessment bodies assessing Trust Service Providers.
²¹ Kudra et al.: Self-Sovereign-Identity in Deutschland. In: Datensicherheit und Datenschutz (DuD), Heft 1/2022, S. 22–26, s. https://security-advisors.msg.group/images/article/Ein_digitaler_Vertrauensraum_Schwalm_etal.pdf (abgerufen am 11.04.2022).
²² https://www.digitale-technologien.de/DT/Navigation/DE/ProgrammeProjekte/AktuelleTechnologieprogramme/Sichere_Digitale_Identitaeten/sichere_digitale_ident.html (abgerufen am 07.04.2022). Auch msg ist als assoziierter Partner im Konsortium ID Union beteiligt.
²³ https://www.bundesregierung.de/breg-de/suche/digitale-identitaeten-1916234 (abgerufen am 07.04.2022).
²⁴ https://fragdenstaat.de/anfrage/id-wallet-des-bundeskanzleramts-ein-projekt-der-bundesregierung-datenschutzrechtliche-aspekte/#nachricht-643462 (abgerufen am 07.04.2022).
²⁵ http://netzwerkdigitalenachweise.de/ (abgerufen am 07.04.2022).
²⁶ https://www.iit-berlin.de/wp-content/uploads/2021/03/Digitale-Bildungsnachweise-2021.pdf (abgerufen am 07.04.2022).
²⁷ https://gaia-x.eu/what-is-gaia-x/federation-services (abgerufen am 07.04.2022).
²⁸ https://ec.europa.eu/digital-building-blocks/wikis/display/CEFDIGITAL/EBSI (abgerufen am 07.04.2022).
²⁹ https://ec.europa.eu/digital-building-blocks/wikis/pages/viewpage.action?pageId=379913698 (abgerufen am 07.04.2022).
³⁰ https://www.govdigital.de/ (abgerufen am 07.04.2022).
³¹ https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Blockchain_Analyse.pdf (abgerufen am 11.04.2022).
³² Eckpunktepapier für Self-sovereign Identities (SSI) unter besonderer Berücksichtigung der Distributed-Ledger-Technologie (DLT). Bundesamt für Sicherheit in der Informationstechnik. 2021
³³ https://fragdenstaat.de/anfrage/id-wallet-des-bundeskanzleramts-ein-projekt-der-bundesregierung-datenschutzrechtliche-aspekte/#nachricht-643462 (abgerufen am 07.04.2022).
³⁴ https://www.heise.de/news/Schlechtes-Zeugnis-fuer-Zeugnisse-in-der-Blockchain-6370807.html (abgerufen am 07.04.2022).
³⁵ Sachstandsbericht Koordinierungsprojekt „Blockchain“ Teil 1: Neues Verwaltungs-Ökosystem des IT-Planungsrats. IT-Planungsrat. Berlin, 2020.
³⁶ Federal Office for Information Security (BSI): Towards Secure Blockchains. Concepts, Requirements, Assessments, 2019.
³⁷ Korte et al.: Vertrauenswürdiges E-Government – Anforderungen und Lösungen zur beweiswerterhaltenden Langzeitspeicherung, 2018.

Weitere Quellen:
Anke et al.: Self-Sovereign Identity as the Basis for Universally Applicable Digital Identities. HMD Praxis der Wirtschaftsinformatik, 58, S. 247–270 (2021).
Bressem, Heuermann: Positionspapier Nationales E-Government Kompetenzzentrum e. V., Berlin, 2021.
ISO 22739:2020. Blockchain and distributed ledger technologies — Vocabulary.
ISO WD/TR 24332. Information and documentation — Blockchain and DLT in relation to authoritative records, records systems, and records management Schallbruch et al.: Digitale Brieftaschen für sichere digitale Identitäten. Europäisches Vorhaben für Digital Identity Wallets. In: Datensicherheit und Datenschutz (DuD), Heft 1/2022, S. 12–17.
Kudra et al.: Ein digitaler Vertrauensraum für Identitäten und Dienste – Europa ist auf dem richtigen Weg Ein Impuls. In: Datenschutz und Datensicherheit und Datenschutz (DuD), Heft 1/2022, S. 9–11.
Sedlmeir et al.: Digital Identities and Verifiable Credentials. Business & Information Systems Engineering 5/2021.