Das Potenzial von digitalen Nachweisen aus dem Privatsektor erfolgreich getestet
Die digitale Transformation hat in den letzten Jahren erhebliche Fortschritte gemacht und die Anforderungen an den Datenschutz für Unternehmen, wie die neue Datenschutzverordnung, grundlegend verändert. In diesem Zusammenhang gewinnt auch das Konzept der Self-Sovereign Identity (SSI) zunehmend an Bedeutung.
Die digitale Transformation hat in den letzten Jahren erhebliche Fortschritte gemacht und die Anforderungen an den Datenschutz für Unternehmen, wie die neue Datenschutzverordnung, grundlegend verändert. In diesem Zusammenhang gewinnt auch das Konzept der Self-Sovereign Identity (SSI) zunehmend an Bedeutung. SSI bietet die Möglichkeit, die Identität eines Einzelnen und dessen Nachweise digital, sicher, privat und dezentral zu verwalten, wodurch die Abhängigkeit von zentralisierten Identitätsanbietern verringert wird und dadurch eine Lösung für datenschutzkonformer Umgang mit Daten von Kunden und Mitarbeitenden gewährleistet werden kann. Während SSI oft mit behördlichen E-ID-Initiativen in Verbindung gebracht wird, zeigt der Proof-of-Concept (PoC), dass auch private Unternehmen erheblich von dieser Technologie mittels verifizierbaren digitalen Nachweisen profitieren können.
Dabei sind die Anwendungen von SSI im öffentlichen und privaten Sektor synergetisch: Die zukünftige staatliche Infrastruktur für digitale Identitäten und staatliche digitale Nachweise werden eine Vielzahl von privaten Anwendungen ermöglichen, und umgekehrt werden private Anwendungen die Funktionalität und Relevanz der staatlichen Infrastruktur erweitern. Diese Synergie wird die Entwicklung von SSI-Ökosystemen weiter vorantreiben und die Akzeptanz und Verbreitung dieser innovativen Technologie beschleunigen.
Der SSI-PoC der etablierten Schweizer Unternehmen Orell Füssli und Swisscom gemeinsam mit AXA und SBB
In einem wegweisenden Schritt zur Erkundung des Potenzials von verifizierbaren digitalen Nachweisen im Privatsektor haben Orell Füssli und Swisscom gemeinsam mit AXA und SBB den ersten unternehmensübergreifenden Proof-of-Concept im Schweizer Privatsektor für Self-Sovereign Identity (SSI) erfolgreich abgeschlossen. Dies umfasste verschiedene Anwendungsfälle für Mitarbeitendenbestätigungen als digitaler Nachweis, welche auf der technischen Lösung von Orell Füssli’s Tochterfirma Procivis durchgeführt wurde.
Die Ziele des Proof-of-Concepts umfassten:
- Besseres Verständnis zu digitalen Nachweisen und ihrem Potenzial/ Mehrwert (z.B. Effizienz, Sicherheit) für das Unternehmen in ihren Business Prozessen
- Aufbau von SSI-Know-how gemeinsam mit anderen Unternehmen
- Definition der Mitarbeiterbestätigung und Abgrenzung von anderen digitalen Nachweisen anhand praktischer Use-Cases aus dem Privatsektor (PoC mit Schweiz-Fokus, internationale Fragen ausgeblendet)
- Definition der Prozesse und Schnittstellen beim Herausgeben, Einsetzen und Prüfen
- Identifikation der Möglichkeiten und Herausforderungen in Vorbereitung auf eine produktive Lösung
- Sammeln von Feedback von teilnehmenden Mitarbeitenden und Miteinbezug von internen Stakeholdern
Zunächst wurden relevante Anwendungsfälle zusammengetragen und für den PoC definiert, und im Anschluss der Pilot-Nachweis mitsamt den erforderlichen Attributen definiert.
Die vier Unternehmen gehören unterschiedlichen Branchen an, darunter Versicherungsdienstleistungen, Transport, Telekommunikation und Verlagswesen. Der PoC wurde entwickelt, um zu demonstrieren, wie digitale Nachweise am Beispiel der Mitarbeitendenbestätigung in verschiedenen Geschäftsumgebungen erfolgreich eingesetzt werden kann.
Vier verschiedene Anwendungsfälle der Mitarbeitendenbestätigung
- AXA: Das Unternehmen AXA nutzte den digitalen Nachweis, um die sichere und verifizierbare Mitarbeitendenbestätigung für den Antrag einer Zahlungsschutzversicherung via Webformular zu nutzen. Um nachzuweisen, dass der Versicherungsnehmer den Antragsvoraussetzungen entspricht (Arbeitspensum von mind. 60%), konnte der Mitarbeitende die Bestätigung eines verifizierten Arbeitgebers mittels digitaler Wallet präsentieren. AXA kann dadurch einen Versicherungsantrag unmittelbar prüfen und anbieten.
- SBB: Der PoC von SBB simuliert das Login (bzw. die Authentisierung und Autorisierung) auf das Vorgaben-Portal (V-App) der SBB, welches von SBB-Mitarbeitenden, aber auch von verschiedenen Partnerfirmen verwendet wird, um Vorgaben und Änderungen an Vorgaben aufzulisten. Der Zugang für die Partnerfirmen wurde im PoC mit dem digitalen Mitarbeitendenbestätigung realisiert und somit sichergestellt, dass diese Person wirklich für diese Partnerfirma arbeitet. Gleichzeitig werden dank den verifizierten Attributen aus der Mitarbeitendenbestätigung die Zugriffsrechte gesteuert – abhängig von der Firma und der Rolle.
- Swisscom: Swisscom testete die Umsetzung einer Onlinebestellung eines Smartphones mit Firmenrabatt mittels verifizierbarer Mitarbeitendenbestätigung. Die Tester, die Mitarbeitendenbestätigungen der am PoC teilnehmenden Firmen ausgestellt erhielten, konnten damit den vergünstigten Kaufprozess umgehend ohne Medienbruch simulieren.
- Orell Füssli: Orell Füssli hat für ihren Verlag-Shop einen Mitarbeitendenrabatt simuliert, wodurch Mitarbeitende von anerkannten Firmen einen Nachweis ihres Arbeitgebers für eine Reduzierung des Kaufpreises von Büchern im Onlineshop teilen können.
Resultate des PoC
- Sichere und verifizierbare digitale Identitätsnachweise: Mit SSI eröffnet sich die Möglichkeit, sich sicher und mit einer vertrauenswürdigen Methode im digitalen Raum als Mitarbeitende auszuweisen, unabhängig von einem weniger sicheren E-Mail-Konto. Bisher mussten Mitarbeitende oft auf ihre E-Mail-Konten oder physische Ausweise zurückgreifen, um ihre Identität zu verifizieren.
- Verifizierte Informationen: Ein wichtiger Vorteil von SSI ist die Verifizierbarkeit der bereitgestellten Informationen. Dies reduziert den Aufwand bei der Ausstellung und Prüfung von Identitätsnachweisen erheblich. Gleichzeitig eröffnet es neue Anwendungsmöglichkeiten, bei denen verifizierbare Informationen unmittelbar, sicher und effizient genutzt werden können, und steigert die Gesamtsicherheit.
- Technische Integration: Die technische Integration von SSI erwies sich als äusserst einfach und benutzerfreundlich. Durch die Implementierung der Procivis Lösung mittels API konnte das Identitätsmanagement nahtlos in den Arbeitsablauf integriert werden. Diese reibungslose Integration trug wesentlich zur Akzeptanz und Nutzung von SSI bei.
- Firmenübergreifende Standardisierung der Mitarbeitendenbestätigung: Damit ein digitaler Nachweis über verschiedene Firmen hinweg erfolgreich genutzt werden kann, ist eine Standardisierung Voraussetzung. Heutige Mitarbeitendenbestätigungen können von Firma zu Firma variieren und bedürfen einer manuellen Überprüfung. Als einer der ersten Meilensteine in diesem PoC war die Definition eines digitalen Nachweises mit den benötigten Attributen, die für die verschiedenen Anwendungsfälle notwendig, aber auch der Zweckmässigkeit dieser Bestätigung entsprechend waren. Für den Entwurf wurden die bereits in DIDAS als Koordinator von Wirtschaft und Forschung und Sparringpartner des Bundes in der Errichtung des gesamten E-ID-Ökosystems getätigten Arbeiten zur Mitarbeitendenbestätigung herangezogen.
- Interne Stakeholder-Aufklärung und Einbeziehung: Ein entscheidender Schritt des Projekts bestand darin, interne Stakeholder über die Vorteile von SSI aufzuklären und sie aktiv in den Prozess einzubeziehen. Die erfolgreiche Integration von verschiedenen Parteien (bspw. HR, Access Management, IT, Verkauf und Betrieb) eröffnete neue Erkenntnisse und Möglichkeiten für effiziente Prozesse innerhalb des Unternehmens und zwischen Unternehmen.
Fazit: Die Vorteile von verifizierbaren digitalen Nachweisen für den Privatsektor
Die Ergebnisse verdeutlichen, dass SSI und digitale Nachweise nicht nur im Kontext behördlicher E-ID-Initiativen relevant ist, sondern auch im Privatsektor erhebliche Vorteile bieten kann. Unternehmen können SSI nutzen, um über digitale Nachweise die Sicherheit und den Datenschutz von persönlichen Daten zu verbessern, Prozesse benutzerfreundlicher und effizienter zu gestalten und neue Anwendungsmöglichkeiten zu schaffen.
Die Privatsphäre der Benutzer bleibt gewahrt, da sie die Kontrolle über ihre eigenen Daten behalten, während die Überprüfung von Nachweisen automatisiert verifizierbar wird.
Die dezentrale Natur von SSI ermöglicht ausserdem eine hohe Interoperabilität, was das Verwenden von verifizierbaren Nachweisen über verschiedene Unternehmen hinweg erleichtert.
Unternehmen sollten bereits heute die ersten Schritte in Richtung SSI unternehmen, um die Vorteile dieser Technologie zu nutzen, bevor behördliche E-ID-Initiativen flächendeckend eingeführt werden. Die Erfahrungen dieses PoC verdeutlichen, dass verifizierbare Nachweise auch im Privatsektor eine tragende Rolle spielen kann, indem es Sicherheit, Effizienz, Datenschutz und Vertrauen auf ein neues Niveau hebt. Dazu eignen sich alle Arten von physischen Ausweisen oder Dokumenten, um sie als digitalen Nachweis auszustellen, wie beispielsweise Kundenkarten oder Versicherungsnachweise.
Als nächster Schritt wird der PoC und dessen Erkenntnisse beim E-ID Partizipationsmeeting des Bundes präsentiert.