Archiv Wie DLT Bankdatenverstöße beseitigen kann

08’Apr’20

Übersetzung des Nasdaq Gastartikel von Autor Jelle Millenaar, Head of Digital Identities, IOTA Foundation.

In den letzten zehn Jahren haben massive Datenschutzverletzungen die privaten Informationen von Hunderten Millionen Menschen offengelegt und ihren Wunsch nach Schutz ihrer persönlichen Daten verstärkt haben. Allein im Jahr 2019 stieg die Zahl der Verstöße gegenüber dem Vorjahr um 17%. Datenschutz-, Kredit- und Finanzsektor-Verletzungen waren 2019 verantwortlich für die Offenlegung von 61% der sensiblen Datensätze, obwohl es in diesem Jahr nur 8% der Verstöße gab.

Banken benötigen personenbezogene Daten zur Eröffnung von Bankkonten, zur Feststellung der Kreditwürdigkeit für Kredite und zur Bereitstellung anderer Finanzdienstleistungen für ihre Kunden. Know Your Customer (KYC), oder kenne deinen Kunden, ist der Prozess, den eine Bank verwendet, um die Identität ihrer Kunden zu überprüfen, ihr Bonitätsniveau einzuschätzen und potenzielle Risiken zu identifizieren. Selbst bei kleineren Banken kann das KYC-Verfahren die Banken jährlich über 100 Millionen an Ressourcen kosten. Decentralized Identity (DID) verspricht, diese Herausforderungen zu lösen, indem die Kontrolle über die persönlichen Daten wieder in die Hände des Eigentümers gelegt wird.


DID erklärt

DID, auch als Unified Identity bezeichnet, ist die digitale Repräsentation von jemandem oder etwas, welches mittels Distributed-Ledger-Technologie verifiziert werden kann. Gegenwärtig gibt es im Internet kein Vertrauen, weil man nicht überprüfen kann, ob jemand oder sogar eine Organisation diejenige ist, für die sie sich ausgibt. DID kann dieses Problem lösen, indem es verifiziert, dass eine Person oder Organisation vertrauenswürdig sind. Es gibt der Person oder Organisation auch die vollständige Kontrolle über ihre Identität in einer Weise, die nie zuvor möglich war. Abgesehen von Personen und Organisationen kann Unified Identity auch die Identität einer Sache oder eines Objekts bereitstellen, wie z.B. einer Maschine, die es Maschinen ermöglicht, direkt miteinander zu kommunizieren. Dieses neue Identitätsprotokoll schafft eine Umgebung, in der Interaktionen zwischen Menschen, Organisationen und Maschinen viel schneller und mit viel mehr Vertrauen durchgeführt werden können.


DID in Organisationen

Wenn es um Organisationen geht, interagieren Sie oft mit Organisationen online über deren Website oder über eine E-Mail, die Sie von ihnen erhalten. Aber wie können Sie erkennen, ob es sich nicht um Betrug handelt? Sehr oft kann es jemand sein, der vorgibt, von einer Organisation zu sein, um Ihre persönlichen Daten in böswilliger Absicht zu stehlen. DID stellt Organisationen einen “Public Key” zur Verfügung, der als eindeutiger Identifikator fungiert, der mit Hilfe eines Distributed Ledger verifiziert werden kann. Dies ermöglicht es auch Kunden oder Benutzern zu überprüfen, ob jede Interaktion, die Sie mit einer Organisation haben, tatsächlich von dieser Organisation stammt. Wenn Sie also eine Rechnung erhalten, wird sie mit dem Public Key der Organisation signiert, der für ihre Identität in einem Distributed Ledger, wie IOTA, registriert ist. Wenn das nicht der Fall ist, würden Sie der Rechnung einfach nicht trauen.


Die Rolle von DLT im DID

Die Distributed-Ledger-Technologie kann mehrere Rollen spielen. Die erste davon ist die Sammlung aller Identitäten an einem einzigen Ort. Wenn Sie mit jemandem oder etwas interagieren und überprüfen wollen, wer diese Person zu sein behauptet, können Sie diese an einem einzigen dezentralen Ort einsehen. Keine einzelne Person oder Entität hat die Macht über das gesamte Netzwerk, so dass die Informationen beim Benutzer bleiben (deshalb wird es dezentralisiert genannt). Dies gewährleistet einen dezentralisierten Ort, an dem all diese Identitäten zusammenkommen können. Zweitens basiert die Identität auf überprüfbaren Referenzen – Daten, aus denen sich die Identität zusammensetzt. Ein Beispiel ist eine nationale Identität; dazu gehören eine Erklärung darüber, wer Sie sind, und eine von der Regierung unterzeichnete Geburtsurkunde. Wenn eine solche Erklärung widerrufen wird, z.B. wenn die Staatsbürgerschaft entzogen wird, kann das Ledger sofort aktualisiert werden, und Sie können alte Daten, die nicht mehr korrekt sind, nicht mehr wiederverwenden.

“Die Verwendung von Unified Identity oder dezentralisierten Identitätsprotokollen wird im Finanzsektor und im öffentlichen Dienst bald alltäglich werden. Verteilte Ledger sind perfekt geeignet, um als zugrunde liegender Trust-Layer (Vertrauensschicht) bei der Validierung der Identität einer Person zu dienen”, sagte Dominik Schiener, Mitbegründer der IOTA-Stiftung.

“Es ist auch wichtig, dass diese Technologien sicher, gebührenfrei und skalierbar sind, um eine Masseneinführung zu ermöglichen. Wenn die Kontrolle wieder in die Hände des Identitätsinhabers gelegt wird, wird eine Vielzahl von Problemen gelöst, mit denen wir heute konfrontiert sind”, fügte David Sønstebø, Mitbegründer der IOTA-Stiftung, hinzu.


Bringen Sie Ihre eigene ID (BYOI) und Datenschutzvorschriften (EU: DSGVO) mit

Mit DID werden persönliche Daten, wie z.B. eine Geburtsurkunde, nicht auf irgendeinen Server hochgeladen. Stattdessen werden sie dort gespeichert, wo der Inhaber der Identität dies wünscht, wie z.B. auf einem Telefon. Als Person oder Organisation würden Sie entscheiden, wo die Daten gespeichert werden, und Sie würden entscheiden, wer wann Zugriff auf diese Daten hat. Dies halten alle Datenschutzgesetze ein und hilft Unternehmen, diese Gesetze einzuhalten. Anstatt die Informationen aller Beteiligten in einem Bank-Netzwerk speichern zu müssen, müssen sie nur wissen, wo sie sie anfordern können, wenn sie sie erneut benötigen. Wenn also ihre Datenbank gehackt wird, würden die Informationen nicht öffentlich werden, weil sie nicht im Netzwerk der Bank gespeichert sind.


Wie funktioniert es?

Stellen Sie sich dieses Szenario vor, um zu verstehen, wie die DID im wirklichen Leben funktioniert. Nehmen wir an, Sie möchten online ein Konto bei einer neuen Bank eröffnen. Zunächst begeben Sie sich an einen Ort, an dem Sie Ihre persönlichen Daten eingeben müssen. Gewöhnlich werden Sie mit einer Menge von Feldern konfrontiert, die Sie ausfüllen müssen. Wenn DID verwendet wird, gibt es eine Schaltfläche mit der Aufschrift “DID oder Unified Identity Data”.  Wenn Sie auf diese Schaltfläche klicken, erscheint ein QR-Code, den Sie mit Ihrem Telefon scannen. Über die App, in der Ihre Daten gespeichert sind, erhalten Sie eine Anfrage, die besagt, dass “[Name der Institution] Daten von Ihnen anfordert. Sind Sie damit einverstanden?”. Anschließend erhalten Sie einen Überblick darüber, welche Daten die Bank wünscht.

Wenn sie mehr Daten will, als Sie bereit sind zu liefern, können Sie ablehnen. Wenn Sie bereit sind, alle angeforderten Daten zur Verfügung zu stellen, dann klicken Sie auf Akzeptieren. Die Daten werden dann automatisch ausgefüllt. Die Bank verfügt dann über alle Informationen, die sie benötigt, um Sie als Kunden zu akzeptieren. Für die Banken sind alle Angaben bereits verifiziert und von einer vertrauenswürdigen Drittpartei unterzeichnet. Zudem weiss die Bank in Sekundenschnelle, ob sie Ihren Daten vertrauen kann.

“Der grösste Vorteil der Decentralized Identity (DID)-Technologie ist, dass sie die Kontrolle über die persönlichen Daten fest in die Hände des Eigentümers legt: des Kunden. Ein dezentralisiertes Ökosystem wird den KYC-Prozess problemloser machen – für Banken und Kunden gleichermaßen. Eine Bank zu sein, die sich an die Bedürfnisse ihrer Kunden anpasst und nicht umgekehrt. Die DE Volksbank sieht großes Potenzial im DID um seine Ambitionen weiter voranzutreiben und ihre Bankdienstleistungen nach dem Prinzip der gemeinsamen Werte zu erbringen.

Das bedeutet, dass unsere Interessengruppen – alle vier von ihnen – den gleichen Mehrwert erhalten müssen: Kunden, Gesellschaft, Mitarbeiter und unsere Aktionäre”, so Michiel Sollet, Innovationsmanager, De Volksbank.

DID kann auch neue Einnahmemodelle für Finanzinstitutionen ermöglichen. Da die Kunden ihr DID-Profil zunächst mit verifizierten Daten erstellen müssten, bräuchten sie vertrauenswürdige Behörden, die sie bei diesem Prozess unterstützen. Die Banken haben bereits einen KYC-Prozess für ihre Kunden abgeschlossen, so dass sie als eine angesehene Autorität angesehen werden können, die in der Lage ist, die Daten für Kunden, die ihre DIDs erstellen, zu verifizieren. Diese DIDs könnten dann von Kunden bei anderen Finanzinstitutionen oder zur Inanspruchnahme anderer Dienstleistungen verwendet werden.


Vorteile für Finanzinstitutionen

Finanzinstitute können leicht GDPR-konform werden, indem sie DID verwenden, da es die Verantwortung für die Daten der Kunden reduziert. Der Kunde speichert und kontrolliert den Zugriff auf seine persönlichen Daten, so dass Banken nicht mehr das Risiko von Datenschutzverletzungen haben. Zweitens können Banken die langwierigen Registrierungsprozesse abschaffen und so Zeit und die Millionen, die jedes Jahr für KYC-Prozesse ausgegeben werden, einsparen. Kundendaten können sofort überprüft werden. Es gibt keine Wartezeit und kein Risiko mehr, da den Daten vertraut werden kann, so dass der Kunde nicht länger Zeit mit der Eingabe sich wiederholender Informationen verbringen muss.

Banken können den Kunden ein einfacheres und schnelleres On-Boarding bieten, was zu einer besseren Benutzerfreundlichkeit führt. Die Anmeldung beim Service oder auf der Website kann auf einen einzigen Knopfdruck reduziert werden.


Wie sieht die Zukunft aus?

Die Einhaltung von Datenschutzgesetzen und der anhaltende Kampf gegen das Hacken von Datenbanken ist jetzt und auch in Zukunft ein echtes Problem. In den kommenden Jahren wird die Verantwortung für die Speicherung persönlicher Daten nicht mehr bei den Finanzinstitutionen liegen.  Dezentralisierte ID wird die Struktur des Vertrauens in Daten verändern und es den Banken ermöglichen, den Kunden rundum bessere Benutzerfreundlichkeit zu bieten.

Darüber hinaus werden die DID-Standards weithin akzeptiert und übernommen werden. Insbesondere kollaborative Gruppen, wie die von der Eclipse Foundation geleitete Tangle EE-Arbeitsgruppe, konzentrieren sich auf die Entwicklung von Standards rund um den Einsatz der Distributed-Ledger-Technologie für DID. In naher Zukunft ist mit einer weiteren Standardisierung dieser Technologie zu rechnen.

“Eine vertrauenswürdige DID ist absolut notwendig – nicht nur eine gute Idee – für eine funktionierende industrielle IoT-Lösung.  Die Quelle Ihrer Daten zu kennen und zu wissen, dass Ihre Empfänger Ihren Daten vertrauen, sind absolute Voraussetzungen für ein unhackbares System.  Aber das ist schwer (oder unmöglich) in einer Welt, in der Sie unstandardisierte Lösungen von verschiedenen Anbietern haben”, sagte Richard Soley, CEO der Object Management Group. “Glücklicherweise müssen sich die Benutzer zwischen den Bemühungen der Object Management Group im Jahr 2020, die IoT-orientierten IOTA Tangle-Protokolle zu standardisieren, und den von der Eclipse Foundation geleiteten Bemühungen, Open Source im TangleEE-Projekt zu implementieren, nicht entscheiden – sie werden Zugang zu breit unterstützten Standards haben, die bereits in Open Source verfügbar sind.  Das ist eine absolut entscheidende Komponente für die DID”.


Quellen

https://www.nasdaq.com/articles/how-distributed-ledger-technology-can-eliminate-bank-data-breaches-2020-04-08?amp