Auf der Londoner Identity Week wurden in einer Reihe von Vorträgen über die Verwendung von digitalen Identitäten und Vertrauensrahmen Einzelheiten zu den Plänen für die digitale Identitätslandschaft des Vereinigten Königreichs bekannt. Untersuchungen der britischen Regierung ergaben zu ihrer Überraschung, dass die Menschen ihnen ihre Daten anvertrauen und davon ausgehen, dass die Regierung sie besser nutzt, als es in Wirklichkeit der Fall ist. Vertrauensrahmen für digitale Identitätsnachweise tragen dazu bei, die Umsetzung von Identitätsnachweisen zu gestalten, sollten aber nicht vollständig der Regierung überlassen werden, so ein Diskussionsteilnehmer, während ein anderer der Meinung ist, dass die Regulierung den Sektor florieren lassen wird.
Erstaunliches Maß an Vertrauen in den Umgang mit staatlichen Daten bisher
Natalie Jones, die nach einem Monat im Kabinettsamt des Vereinigten Königreichs für den Government Digital Service (GDS) zuständig ist, nachdem sie zuvor im Innenministerium an der digitalen ID gearbeitet hatte, erläuterte die Vision für den Dienst, der „mit der Zeit die meisten Menschen im Vereinigten Königreich betreffen wird“.
Eine einzige Anmeldung für alle Regierungsdienste über das Gov.UK-Portal sollte „einfach, zusammenhängend und personalisiert“ sein. Die Website deckt alle Aspekte der Regierung ab und hat mehr als 17,6 Millionen Nutzer pro Woche. Dennoch benötigen die Nutzer unterschiedliche Anmeldungen für verschiedene, voneinander getrennte Dienste. Jones ist der Ansicht, dass die derzeitige Nutzung frustrierend und transaktional ist und dass eine Beziehung zu den Nutzern über Jahre und Jahrzehnte hinweg aufgebaut werden muss.
Während Jones auf der Identity Week einen Vortrag hielt, berichtete ComputerWeekly.com, dass die GDS die Solid-Technologie von Inrupt, dem Startup des Internetpioniers Tim Berners-Lee, verwendet hat, um ein Proof-of-Concept für ihr One Login Single Sign-On-System zu erstellen. Die Solid-Plattform verwendet Container zur Speicherung persönlicher Daten, so genannte „Pods“, die es den Benutzern ermöglichen, granulare Berechtigungen zu erteilen.
Da ein Dutzend Regierungsbehörden an dem Gesamtplan mitarbeiten, will das Team laut Jones zwar Hindernisse beseitigen, aber keine wesentlichen Sicherheitsvorkehrungen treffen. Zu den derzeitigen Hindernissen gehört das Fehlen von Ausweisen für den Zugang zum System.
„Im Jahr 2020 besaßen 33 Prozent der Briten keinen Führerschein und 22 Prozent der erwachsenen Briten keinen Reisepass“, so Jones, „und wir wissen, dass es nicht nur der fehlende Lichtbildausweis ist, der den Menschen derzeit den Online-Zugang zu staatlichen Dienstleistungen verwehrt. Wir entwickeln Wege, um sicherzustellen, dass keine Gruppe von Nutzern zurückgelassen wird … wir werden nicht aufhören, bis wir es herausgefunden haben.“
Das Team prüft die Möglichkeit, Geburtsurkunden zu verwenden, wenn man keinen Lichtbildausweis hat, die Überprüfung am Schalter, z. B. bei der Post, die Zusammenarbeit mit Mitarbeitern von Passämtern und Sozialämtern, um ein System des Verbürgens und des „delegierten Zugangs“ zu ermöglichen, damit Eltern und Betreuer im Namen anderer handeln können. Dieser Ansatz sollte es jedem ermöglichen, Zugang zu Dienstleistungen zu erhalten, unabhängig von seinem sozioökonomischen Hintergrund, seiner Adresse oder seiner Kreditgeschichte.
Die Erprobung der Systeme mit Hilfe der Nutzerforschung hat einige interessante Ergebnisse erbracht. „Zum Beispiel vertrauen die Nutzer im Allgemeinen den Behörden – ja, auch wir waren ein wenig überrascht“, so Jones.
„Aber sie vertrauen uns, weil sie denken, dass wir ihre Daten bereits behördenübergreifend speichern – mehr als das tatsächlich der Fall ist – und sie sind damit einverstanden. Die Nutzer denken, dass die Verwaltung bereits mehr zusammenarbeitet und Daten dienststellenübergreifend austauscht.
Die Nutzer gehen davon aus, dass die Einrichtung eines Kontos bei einer Behörde bedeutet, dass sie ein Konto bei der gesamten Regierung haben. Und obwohl sie damit einverstanden sind, dass die Regierung über ihre Daten verfügt, „sagen sie uns deutlich, dass sie Sichtbarkeit und Kontrolle wollen – Kontrolle darüber, was wir besitzen und Sichtbarkeit darüber, wer und warum Daten geteilt werden“.
Jones sagte, dass diese Anforderungen ein grundlegender Teil des Aufbaus eines Systems sein werden, das für alle funktioniert: „Wir sind verpflichtet, den Nutzern Sichtbarkeit und Kontrolle über ihre Daten zu geben und darüber, wie und wann sie zwischen den Regierungsdiensten verwendet werden.“
Vertrauensrahmen für digitale Identitäten
Die britische Regierung entwickelt auch einen Vertrauensrahmen für digitale Identitäten, sowohl für die Regierung als auch für den privaten Sektor. Dabei handelt es sich um eine Reihe von Standards und Beurteilungen, die es einer Person oder Einrichtung ermöglichen, einer zertifizierten Einrichtung zu vertrauen.
„Vertrauen entsteht immer durch die Unabhängigkeit der Prüfer und der Prüfung des Vertrauensrahmens“, sagte Julian Ranger, Vorstandsvorsitzender und Gründer von Digi.me, einem Dienst, der es den Nutzern ermöglicht, ihre Daten und deren Weitergabe zu kontrollieren.
Der Wettbewerb unter den Prüfern hilft, die Standards zusammen mit einem Prüfungsausschuss aufrechtzuerhalten, so Ranger.
„Wir sehen oft, dass die Forderung nach einer Zertifizierung oder Bewertung erst gegen Ende der Implementierung eines Identitätsprozesses in Übereinstimmung mit dem Trust Framework kommt – fast schon aus Marketinggründen – denn ‚wenn wir den Trust-Stempel nicht haben, können wir ihn nicht verkaufen’“, sagte Ranger, „es ist eindeutig besser, diesen Prozess im Vorfeld zu beginnen und die Zertifizierungsbewertung im Hinterkopf zu haben.“
Richard Trevorah, technischer Direktor bei tScheme, einer Selbstregulierungsorganisation für elektronische Vertrauensdienste, sagte in derselben Sitzung, die britische Regierung bemühe sich um die Einführung strenger Regeln und Prozesse, die den Markt hervorbringen, den wir dann unterstützen können.
„Es ist auch wichtig, dass alle Mitglieder der Gemeinschaft an der Entwicklung [des Vertrauensrahmens] mitarbeiten … jeder, der daran beteiligt ist, sollte an der Weiterentwicklung des Vertrauensrahmens beteiligt sein“, sagte Trevorah.
Die Diskussionsteilnehmer waren sich einig, dass die Bemühungen des Vereinigten Königreichs um einen Vertrauensrahmen umfassender waren als anderswo, dass dies aber noch nicht ausreicht. Die Bemühungen der Regierung gehen mit gutem Beispiel voran und bringen die Gemeinschaft zusammen.
„Um eine möglichst breite Zustimmung zu erhalten, muss die Regierung von einer breiten Gemeinde von Interessenvertretern effektiv kontrolliert werden“, sagte Trevorah.
„Obwohl die Regierung eine wichtige Vertrauensperson ist, sollte sie nicht die alleinige Schiedsrichterin der Regeln sein, denn man muss die Akzeptanz aufrechterhalten, was bedeutet, dass man eine gute Unterstützungsstruktur von Leuten haben muss, die sich für die Einhaltung der Regeln einsetzen.
Vertrauensrahmen für einen florierenden Markt
In einer anschließenden Diskussionsrunde über den Beitrag von Vertrauensrahmen für digitale Identitäten waren sich die Diskussionsteilnehmer uneinig darüber, ob die Zukunft von Identitätssystemen zentral, dezentral oder in einer Mischung liegen sollte.
Caroline France vom britischen Ministerium für Kultur, Medien und Sport, das den Rahmen für digitale Identitäten beaufsichtigt, sagte, sie glaube, „dass es immer noch den Mythos gibt, dass jede Art von Regulierung oder Governance zwangsläufig innovationsfeindlich ist, aber im Fall der digitalen Identität glaube ich wirklich, dass das Gegenteil der Fall ist und dass effektive Governance-Strukturen dem Markt stattdessen erlauben werden, zu florieren.
„Die Herausforderung wird darin bestehen, diese innovationsfreundliche Haltung beizubehalten, vor allem, wenn sich die Technologien verändern, und es wird die Aufgabe der Verwaltungsorgane sein, diese neuen Technologien frühzeitig zu erkennen und darauf zu reagieren.
Die Öffentlichkeit muss über die Macht ihrer eigenen Daten aufgeklärt werden und lernen, die verschiedenen Rollen innerhalb der digitalen Identität zu verstehen, damit sie weiß, an wen sie sich wenden kann, wenn etwas schief läuft“, so France.
„Eine weitere Überlegung betrifft klare Zuständigkeiten“, so France, einschließlich der verschiedenen Regulierungsebenen wie Datenaufsichtsbehörden und Wettbewerbsbehörden, die es dem Einzelnen derzeit schwer machen zu wissen, an wen er sich wenden kann, „aber auch für Unternehmen ist es schlecht, wenn sie gegenüber mehreren Regulierungsbehörden mit sich überschneidenden Zuständigkeiten rechenschaftspflichtig sind.“
Da die Zahl der Betrugsfälle in Großbritannien sprunghaft ansteigt (um 30 Prozent im Jahr 2020) und die Unternehmen in der Lage sind, staatliche Datenbanken zu überprüfen, müssen sie alles in ihrer Macht Stehende tun, um diese Daten zu schützen, so France, und dass sowohl der öffentliche als auch der private Sektor eine wichtige Rolle bei der Aufdeckung von Identitätsbetrug spielen: „Vielleicht hat die Regierung die Rolle des Einberufers, aber dann hat die Industrie vielleicht eine noch größere Rolle, um sicherzustellen, dass diese schädlichen Datenströme nicht passieren und die Wirtschaft kosten.“
