Blockchain-Identitätsmanagement: Der Auslöser einer Datensicherheitsrevolution

Von den 3 Milliarden Yahoo-E-Mail-Konten, die 2013 kompromittiert wurden, bis hin zu den Kredit- und Identitätsdaten von 143 Millionen Amerikanern, die der Kreditauskunftei Equifax (und unzähligen anderen Angriffen) gestohlen wurden, sind massive Datenschutzverletzungen nur allzu bekannt geworden.

Die Häufigkeit und Schwere dieser Angriffe, kombiniert mit dem hohen Sicherheitsniveau und der technologischen Raffinesse ihrer Opfer, hat sowohl öffentliche Empörung als auch Fragen darüber ausgelöst, ob ein ausreichender Schutz vor zukünftigen Verstößen überhaupt möglich ist. Gemalto, ein internationales Datensicherheitsunternehmen, fasst diese Stimmung in seinem Breach Level Index Report aus dem ersten Halbjahr 2017 zusammen: „Immer mehr Unternehmen akzeptieren die Tatsache, dass Sicherheitsverletzungen trotz aller Bemühungen unvermeidlich sind.“

Während Kryptowährungen und Kryptowährungsnetzwerke wie Bitcoin und Ethereum weiterhin Schlagzeilen machen, könnten die zukünftigen Anwendungen der Blockchain-Technologie letztendlich eine Reihe schädlicher Probleme lösen, die Unternehmen und Menschen gleichermaßen betreffen.

Einige haben im Aufstieg der Blockchain-Technologie eine vielversprechende zukünftige Lösung für dieses Problem gesehen. Wie ein kürzlich erschienener Artikel von Toptal Insights erklärt, bezieht sich die Blockchain-Technologie auf ein Peer-to-Peer-verteiltes, unveränderliches Informationsverzeichnis. Jeder „Informationsblock“ enthält eine vollständige und genaue Aufzeichnung jeder Transaktion, die nach der Überprüfung nicht mehr geändert werden kann und kryptografisch gesichert ist. Ein charakteristisches Merkmal dieser Technologie ist ihre verteilte Peer-to-Peer-Struktur, die theoretisch die Notwendigkeit von Vermittlern wie Yahoo oder Equifax zur Unterbringung von Daten überflüssig macht. Während Kryptowährungen und Kryptowährungsnetzwerke wie Bitcoin und Ethereum weiterhin Schlagzeilen machen, könnten die zukünftigen Anwendungen der Blockchain-Technologie letztendlich eine Reihe schädlicher Probleme lösen, die Unternehmen und Menschen gleichermaßen betreffen.

In Bezug auf den Identitätsschutz haben einige argumentiert, dass die Blockchain-Technologie potenziell die Notwendigkeit von Vermittlern beseitigen und Einzelpersonen die vollständige Kontrolle über ihre digitalen Identitäten ermöglichen kann, während andere angedeutet haben, dass Unternehmen weiterhin personenbezogene Daten verarbeiten können, aber die Blockchain-Technologie verwenden, um auf diese Daten zuzugreifen und sie zu überprüfen ohne leicht gehackte Server zu verwenden. In diesem Artikel wird jede dieser Lösungen ausführlicher untersucht, wobei der Schwerpunkt auf einem Beispiel für jeden Ansatz liegt. Dabei gewinnen wir ein Verständnis für den Ansatz, den jedes Unternehmen vorantreibt, seine Herausforderungen und seine relativen Vorzüge.

Das Problem: Zentralisierung

Um zu verstehen, wie die Blockchain-Technologie als Identitätsmanagementlösung dienen kann, ist es wichtig, zunächst auf einer grundlegenden Ebene zu verstehen, wie sich Schwächen im aktuellen System manifestiert haben.

Das Internet wurde ursprünglich als dezentralisiertes Peer-to-Peer-Netz von Verbindungen konzipiert, was bedeutet, dass jeder Benutzer mit jedem anderen Benutzer kommunizieren und sich mit ihm verbinden kann, ohne sich auf einen Vermittler verlassen zu müssen. Als das Internet jedoch zunehmend privatisiert wurde, entstanden Drittvermittler, die für die Struktur des Internets immer grundlegender wurden.

Server können (und sind, wie wir wissen) gehackt worden sein, und die Konzentration personenbezogener Daten in den Händen einer kleinen Gruppe von Unternehmen erhöht das Risiko, dass diese Angriffe andauern.

Eine kleine Gruppe von Unternehmen erlangte die Kontrolle über alles, von der Ausstellung von Website-Sicherheitszertifikaten über die Überwachung des Zugangs zum World Wide Web bis hin zur Kuratierung individueller Online-Identitäten. Diese Zentralisierung der Kontrolle ermöglichte es diesen Unternehmen, riesige Mengen an personenbezogenen Daten von allen, die das Internet nutzen, auf Servern zu sammeln. Diese Server können (und sind, wie wir wissen) gehackt worden sein, und die Konzentration personenbezogener Daten in den Händen einer kleinen Gruppe von Unternehmen erhöht das Risiko, dass solche ähnlichen Verstöße in der Zukunft auftreten.

Blockchain Identity Management: Eine theoretische Lösung

Die Blockchain-Technologie bietet eine potenzielle Lösung für das beschriebene Problem, indem sie es Menschen ermöglicht, Daten auf einer Blockchain statt auf hackbaren Servern zu speichern. Informationen, die einmal auf einer Blockchain gespeichert sind, werden kryptografisch gesichert und können nicht geändert oder gelöscht werden, wodurch massive Datenschutzverletzungen sehr schwierig, wenn nicht sogar theoretisch unmöglich werden.

Während das Speichern von Daten auf einer Blockchain als allgemeine Lösung auf hoher Ebene klar erscheint, gibt es mehrere theoretische Ansätze für die Implementierung. Eine Strategie besteht darin, die Notwendigkeit von Vermittlern zu eliminieren, indem es Einzelpersonen ermöglicht wird, ihre Identitäten und Daten direkt in einer Blockchain zu speichern, die ein Benutzer überall online bei sich trägt. Wenn die digitalen Identitäten der Benutzer kryptografisch direkt auf einer Blockchain in einem Internetbrowser gespeichert werden, müssten die Benutzer theoretisch keine sensiblen Daten mehr an Dritte weitergeben. Ein anderer Ansatz besteht darin, Benutzern zu ermöglichen, ihre persönlichen Daten in einer Blockchain zu verschlüsseln, auf die Dritte zugreifen können. Dieser Ansatz beseitigt nicht vollständig die Notwendigkeit von Vermittlern, sondern beseitigt vielmehr die Notwendigkeit für Vermittler, sensible personenbezogene Daten direkt auf ihren Servern zu speichern.

Nachfolgend finden Sie zwei Fallstudien, die diese Strategien hervorheben.

Blockstack: Aufbau eines neuen und verbesserten Internets

Im Jahr 2013 gründeten Ryan Shea und Muneeb Ali Blockstack (ursprünglich Onename-App genannt). Mithilfe der Blockchain-Technologie zielt Blockstack darauf ab, die oben genannten Sicherheitsherausforderungen zu lösen, indem der Bedarf an digitalen Vermittlern eliminiert wird und es Einzelpersonen ermöglicht wird, die volle Kontrolle über ihre Daten zu behalten. Anstatt sich auf externe Dritte zu verlassen, um Daten zu speichern, können Einzelpersonen den Browser von Blockstack verwenden, um dezentralisierte Anwendungen auszuführen, und Benutzerinformationen werden verschlüsselt und auf den persönlichen Geräten der Benutzer gespeichert.

Die umfassendere, grundlegende Mission von Blockstack ist leicht zu definieren, könnte aber kaum ehrgeiziger sein: ein neues, dezentralisiertes Internet zu schaffen. Wie das technische Whitepaper von Blockstack beginnt: „Das Internet wurde vor 40 Jahren entworfen und zeigt Alterserscheinungen.“ Blockstack zielt darauf ab, das, was wir derzeit als Internet betrachten, durch ein System zu ersetzen, das sowohl sicherer als auch tatsächlich enger an den ursprünglichen Vorstellungen der Designer des Internets ausgerichtet ist.

„Das Internet war älter als das, was wir das Web nennen … und das wurde entwickelt, um dezentralisiert zu sein“, sagt Shea. Ein kürzlich erschienener Artikel des New York Times Magazine bietet eine nützliche Erklärung der ursprünglichen Architektur des Internets. Das Internet wurde ursprünglich unter Verwendung offener Protokolle entwickelt – die Kommunikation zwischen Computern über das Internet war kostenlos und gehörte keiner zentralen Stelle.

Aber wie die New York Times beschreibt, haben die Architekten des Internets „es versäumt, einige Schlüsselelemente einzubeziehen, die sich später als entscheidend für die Zukunft der Online-Kultur erweisen würden“. Insbesondere „haben sie keinen sicheren offenen Standard geschaffen, der die menschliche Identität im Netzwerk etabliert“. Ohne einen in die Struktur des Internets integrierten Mechanismus zur Markierung der persönlichen Identität sprangen private Unternehmen ein, um diese Lücke zu füllen.

„Sogar die ursprünglichen Designer des Internets sind sich jetzt einig, dass sie bestimmte wichtige Dinge in der Kernarchitektur verpasst haben. Die meisten dieser Dinge drehen sich im Wesentlichen um Sicherheit.“

Als bestimmte Anwendungen wie Google und Facebook es den Menschen ermöglichten, online eine individuelle Identität zu etablieren und zu kommunizieren, und an Popularität gewannen, wurde das Internet zunehmend um eine kleine Gruppe mächtiger Akteure herum zentralisiert. Diese Machtkonzentration hatte offensichtliche wirtschaftliche Auswirkungen und, am relevantesten für Blockstack, einen tiefgreifenden Einfluss darauf, wie personenbezogene Daten gespeichert, übertragen und verwendet werden.

„Sogar die ursprünglichen Designer des Internets sind sich jetzt einig, dass sie bestimmte wichtige Dinge in der Kernarchitektur verpasst haben“, sagt Ali. „Die meisten dieser Dinge drehen sich im Wesentlichen um Sicherheit.“

Blockstack behebt den oben genannten Designfehler des ursprünglichen Internets, indem es die individuelle Identität direkt in den Blockstack-Browser einbaut, sodass Menschen direkt ohne die Verwendung eines Drittanbieters wie Facebook kommunizieren können. Durch sein dezentralisiertes Identitätssystem, Domainnamensystem und Speichernetzwerk zielt Blockstack darauf ab, den Menschen die volle Kontrolle über ihren digitalen Fußabdruck zu geben. Dadurch können zukünftig theoretisch massive zentralisierte Datenschutzverletzungen vermieden werden, da keine Datenspeicherung oder Kommunikation durch Dritte mehr erforderlich ist.

„In den letzten Jahren gab es viele Verstöße, und diese Verstöße sind im Laufe der Zeit größer und schwerwiegender geworden“, sagt Shea. „In den kommenden Jahren werden wir mehr von dieser Oberfläche sehen, und es wird allen sehr, sehr klar werden, dass Daten, die einmal herauskommen, nicht wieder in die Kiste zurückgelegt werden können.“

Die Blockchain-Technologie bildet die Grundlage für das Produkt und die Vision von Blockstack. Wie im oben genannten Whitepaper beschrieben, stellt die Blockchain „das Speichermedium für Operationen bereit und sorgt für Konsens über die Reihenfolge, in der die Operationen geschrieben wurden“. Blockstack verwendet speziell Bitcoin (das Netzwerk, nicht die Währung) als zugrunde liegende Blockchain, auf der der Rest der Blockstack-Architektur aufbaut. Einfach ausgedrückt ermöglicht die Blockchain-Technologie, dass das Internet von Blockstack dezentralisiert und sicher bleibt.

Eine zentrale Herausforderung, der sich Blockstack bei der Verwendung der Blockchain-Technologie gegenübersieht, ist jedoch, wie im Whitepaper beschrieben, das Risiko, dass die Blockchain unter die Kontrolle einer einzelnen Einheit geraten kann – mit anderen Worten, dass sie von dezentralisiert zu zentralisiert werden kann.

Eine weitere Hürde stellt die Skalierung des Blockstack-Netzwerks dar. Tatsächlich hängt der Erfolg des neuen Internets von Blockstack von positiven Netzwerkeffekten ab – wie viele Menschen es nutzen und insbesondere, wie viele Anwendungen dafür entwickelt werden. Derzeit gibt es fast 15.000 Entwickler in der Blockstack-Community und über 76.000 Domainnamen wurden registriert. Blockstack wird letztendlich ein weitaus größeres Ökosystem benötigen, um sein erklärtes Ziel zu erreichen.

Blockstack hat konventionelle Risikokapitalfinanzierungen beschafft und kürzlich sein Initial Coin Offering abgeschlossen, wobei Blockstack-Token in Höhe von 50 Millionen US-Dollar akkreditierten Investoren und weitere 50 Millionen US-Dollar nicht akkreditierten Investoren zugeteilt werden, die die Möglichkeit haben, Token zu einem späteren Zeitpunkt zu kaufen. Obwohl noch in den Kinderschuhen steckend, stellt Blockstack eine potenziell revolutionäre Lösung dar, nicht nur für aktuelle Probleme im Identitätsmanagement und in der Sicherheit, sondern auch für die monopolisierte Machtstruktur des aktuellen Internets.

Civic: Eine gezielte Identitätsschutzlösung

Civic, gegründet 2016, entwickelt eine andere Blockchain-basierte Identitätsmanagementlösung. Anstatt die Notwendigkeit von Drittanbietern zu beseitigen und ein völlig neues Internet-Ökosystem zu schaffen, wie es Blockstack beabsichtigt, versucht Civic, innerhalb eines bestehenden Rahmens zu arbeiten und konzentriert sich speziell auf Identitätsmanagement und Sicherheit. Durch die Blockchain-Technologie ermöglicht Civic Einzelpersonen und Unternehmen, ihre Identität zu überprüfen, ohne diese Daten auf zentralen, angreifbaren Servern speichern zu müssen.

Ein kürzlich erschienener Forbes-Artikel erklärt diesen Prozess. Eine Einzelperson meldet sich zunächst bei der App von Civic an, die die Identität des Benutzers anhand offizieller (z. B. behördlicher) Aufzeichnungen verifiziert. Civic verschlüsselt diese Informationen dann kryptografisch und speichert sie in einer Blockchain. Von dort aus können andere Stellen, die solche personenbezogenen Daten anfordern, die von einer Person bereitgestellten Informationen mit den Informationen in der Blockchain von Civic vergleichen, wodurch die Notwendigkeit für eine Partei entfällt, sensible Daten auf einem zentralen Server zu speichern.

Vinny Lingham, CEO und Mitbegründer von Civic, erklärt diesen Prozess auch in seinem Blog, wo er häufig über Kryptowährung und die Zukunft der Blockchain-Technologie schreibt:

„Grundsätzlich validiert Civic Ihre persönlichen Daten und Ihre Identität, speichert sie auf Ihrem Mobiltelefon und nur Sie können diese Informationen sehen oder verwenden. Es wird niemals auf unseren Servern gespeichert! Das bedeutet, wenn Civic jemals gehackt werden sollte, würden Ihre Informationen niemals veröffentlicht, weil wir sie einfach nicht haben.“

Civic steht vor vielen der gleichen Hindernisse wie Blockstack: Seine Blockchain könnte letztendlich scheitern, und sein Erfolg hängt von der Benutzerakzeptanz ab. Aber welcher Ansatz verspricht mehr?

Einige bevorzugen möglicherweise die von Blockstack vorgeschlagene Lösung, da das äußerst ehrgeizige Ziel, ein völlig neues Internet zu schaffen, tiefgreifende Auswirkungen hat, die weit über den Bereich der Sicherheit oder des Identitätsmanagements hinausgehen. Blockstack bietet eine elegante Lösung für viele der dringendsten Probleme des Internets. Sein Ansatz hat das Potenzial, die Ökonomie des Internets und die Art und Weise, wie Menschen virtuell interagieren, grundlegend neu zu definieren.

Aber der relativ begrenzte, zielgerichtete Umfang des Ziels von Civic kann für andere den gleichen oder noch größeren Reiz haben. Civic zielt nicht darauf ab, die Architektur des Internets vollständig zu ändern oder zu ersetzen. Wenn man dieses Ziel verwirft und sich stattdessen auf das spezifische Problem des Identitätsmanagements konzentriert – ein kompliziertes, ehrgeiziges Thema für sich, aber eines, das enger ist als die Schaffung eines neuen Internets –, mögen einige argumentieren, dass Civic bessere Chancen hat, das zu erreichen, was es hat machen Sie sich auf den Weg.

Das Wachstum und die Entwicklung dieses Bereichs – und die bloße Tatsache, dass es diese potenziellen Lösungen gibt – sollte denjenigen von uns, die sich mit der Sicherheit unserer privaten Daten befassen, ein Gefühl der Hoffnung auf eine bessere Zukunft im Identitätsschutz geben.

Die Frage, welcher Ansatz letztlich erfolgreicher sein wird, bleibt ungeklärt. Dennoch sollten das Wachstum und die Entwicklung dieses Bereichs – und die bloße Tatsache, dass diese potenziellen Lösungen existieren – diejenigen von uns, die sich mit der Sicherheit unserer privaten Daten befassen, ein Gefühl der Hoffnung auf eine bessere Zukunft des Identitätsschutzes geben.

Die Bedeutung von Token

Blockstack und Civic bieten jeweils Identitätsmanagementlösungen an, die auf der Verwendung von Blockchain-Technologie basieren, um personenbezogene Daten zu dezentralisieren und zu sichern. Beide verwenden auch Token (ihre eigenen Kryptowährungen), um die Nutzung ihrer Plattformen zu fördern und Anreize zu schaffen. Im Fall von Blockstack verbrauchen Entwickler Token beim Erstellen von Anwendungen im Blockstack-Netzwerk, und Benutzer verbrauchen Token beim Registrieren von Blockstack-Benutzernamen. Für Civic können Benutzer Token für die Nutzung der Civic-App erhalten.

Diese Token dienten als Finanzierungsquelle für jedes Unternehmen – bisher 50 Millionen US-Dollar für Blockstack (auf das zugegriffen werden kann, sobald eine Reihe von Wachstumsmeilensteinen erreicht sind) und 33 Millionen US-Dollar für Civic. Aber da Regulierungsbehörden und ganze Länder hart gegen den Handel mit Kryptowährungen vorgehen, bleibt die volle Auswirkung auf Projekte wie Blockstack und Civic eine offene Frage.

Wie Muneeb Ali in einem Interview im Dezember 2017 feststellte, blieb die Securities Exchange Commission (SEC) während des jüngsten Kryptowährungswahnsinns weitgehend am Rande: „Ich habe tatsächlich das Gefühl, dass die SEC in diesem Bereich sehr klug vorgeht … sie beobachten nur aktiv , und alle Schritte, die sie bisher unternommen haben … scheinen tatsächlich das Richtige zu sein “, sagte Ali.

Das regulatorische Umfeld bleibt jedoch ungewiss, und die Möglichkeit, dass Token in Zukunft möglicherweise nicht so frei gehandelt werden, stellt ein potenzielles Risiko dar, das für Unternehmen wie Blockstack und Civic nicht ignoriert werden sollte.

Dennoch sollte dieses Risiko die Erforschung des Blockchain-basierten Identitätsmanagements nicht behindern. Es ist natürlich wichtig zu beachten, dass die Blockchain-Technologie kein Allheilmittel ist. Wie Ali in dem zuvor erwähnten Interview sagte, funktioniert die Blockchain-Technologie in einigen Arten von Anwendungen sehr gut und kann in anderen völlig unangemessen sein. Datensicherheit und Identitätsmanagement sind Anwendungsfälle, die für diese Technologie gut geeignet sind, und Bereiche, die in Zukunft dringend verbessert werden müssen.