Damit das Metaverse kein rechtsfreier digitaler Raum wird, braucht es neue Lösungen für eine digitale Identität der Nutzer. Nik Fuchs, CEO von Swisscom Trust Services AG zeigt drei grosse Herausforderungen und mögliche Lösungsansätze für neue Identifikationsverfahren.
Symbolbild: Riki 32 via Pixabay
Bereits im nächsten Jahr will die EU-Kommission Vorschläge zur Regulierung von Metaverse-Angeboten vorlegen. Dabei soll es unter anderem darum gehen, die dreidimensional erlebbare Version des Internets in Einklang mit europäischen Werten zu bringen und Monopolbildung zu verhindern. Ein zentraler Aspekt wird auch die Sicherheit in den neuen digitalen Welten sein. Um Nutzer beispielsweise vor Betrug und Mobbing zu schützen, kommt der digitalen Identität eine besondere Bedeutung zu.
1. Zwischen Klarnamenpflicht und Privatsphäre
Anti-Mobbing-Organisationen fordern bereits seit längerem eine Klarnamenpflicht für soziale Netzwerke. Durchsetzen konnte sich diese Forderung bisher allerdings nicht. Auch die Gegenseite hat gute Argumente, hat doch schliesslich die Anonymität durch Nicknames die Internetkultur entscheidend mitgestaltet. Die Anonymität des Netzes stellt zudem zumindest einen gewissen Schutz für Dissidenten in diktatorischen Regimen dar. Anonymität im Internet ist also weder eindeutig positiv noch eindeutig negativ zu beurteilen – das hängt vielmehr von der individuellen Situation ab.
Eine mögliche Lösung könnte daher eine eindeutige digitale Identität sein, die über mehrere Attribute verfügt, neben dem Klarnamen der Person, einem oder mehrerer Nicknamen, Benutzerkonten für verschiedene Angebote oder ähnliches. Durch eine solche Verknüpfung liesse sich beispielsweise verhindern, dass sich gesperrte Personen einfach mit einem neuen Konto wieder anmelden.
Mit einer Public Key Infrastructure (PKI) und mit qualifizierten Zertifikaten liesse sich ein derartiges Identitätsökosystem technisch umsetzen. Allerdings kommen dabei regulatorische Fragen auf: Wer übernimmt die Identifizierung der Nutzer und verwaltet ihre Identitäten? Wann ist diese Stelle verpflichtet, Klarnamen gegenüber Ermittlungsbehörden offenzulegen? Diese und andere Fragen muss der Gesetzgeber beim Thema Identität im Metaverse beachten und entsprechende Vorgaben ausarbeiten.
2. Datenschutz und Datenhoheit
Das Metaverse macht oft dadurch von sich reden, dass in dieser virtuellen Welt digitale Güter mit realem Geld erworben werden können. Doch auch dort werden Daten auf absehbare Zeit die wertvollste Währung bleiben. Grund genug, genau darauf zu achten, wer welche Daten erhält. Besonders kritisch ist dieser Aspekt bei den Identitätsdaten der Nutzer.
Zur Monopolvermeidung wäre es ideal, wenn die Verwaltung der Identitätsdaten nicht beim Betreiber des Metaverse liegt. Das würde nicht nur Vorteile in Sachen Datenschutz bringen, Nutzer müssten auch keine neue Identität erzeugen, um ein anderes Metaverse-Angebot zu nutzen. Heute wird bei jeder Registrierung für ein neues Online-Angebot letztlich eine neue digitale Identität erzeugt. Das ist weder sicher noch komfortabel und sollte in Zukunft vermieden werden.
Eine Alternative könnte die sogenannte Self Sovereign Identity (SSI) sein – eine selbstverwaltete digitale Identität. Diese basiert auf einem „Vertrauensdreieck“ zwischen Herausgeber, Besitzer und Prüfer. Für Ausweisdokumente gilt hier: Herausgeber ist der Staat, Besitzer ist der Bürger; Prüfer beispielsweise Polizeibeamte bei einer Kontrolle. Ein weiterer wichtiger Aspekt der SSI ist das Wallet, das digitale Äquivalent zum Portemonnaie, wo Dokumente aufbewahrt werden. Diese ID-Wallets funktionieren ähnlich wie durch Kryptowährungen und Mobile Payment bekannte Systeme. Interessant ist der Umstand, dass der Nutzer selbst entscheidet, welche Attribute seiner Identität er preisgibt, wodurch der Grundsatz der Datensparsamkeit umgesetzt wird.
3. Schnittstelle zwischen digital und analog
Hinter digitalen Identitäten stecken Verfahren der asymmetrischen Kryptografie, die prinzipiell als fälschungssicher gelten. Auf die Herausforderung im Zuge von steigender Rechenleistung reagieren Anbieter beispielsweise mit längeren Schlüsseln. Dieses System an sich anzugreifen, würde enorme technologische Ressourcen erfordern.
Einfacher wäre es, nach Hintertüren Ausschau zu halten, oder dort anzusetzen, wo die analoge und digitale Welt konvergieren. Die initiale Identifikation von neuen Nutzern ist daher ein entscheidender Aspekt bei digitalen Identitäten, den man nicht vernachlässigen darf. Um heute irgendwo ein Nutzerkonto anzulegen, genügt in der Regel eine E-Mail-Adresse, die allein praktisch keine Rückschlüsse auf eine reale Person erlaubt. Für verlässliche und prüfbare digitale Identitäten müsste eine vertrauenswürdige Identifikation erfolgen. Dies kann beispielsweise anhand eines Ausweisdokuments geschehen – sei es Face-to-Face, in einem Videocall oder mit einer Online-Ausweisfunktion. Hier liegt die Verantwortung auch auf staatlicher Stelle – der Gesetzgeber hat hier den Rahmen definiert.
Fazit
Das Metaverse verspricht eine noch immersivere Nutzererfahrung und noch stärkere Verschränkung mit dem analogen Alltag als bisherige digitale Angebote. Das erfordert auch neue belastbare Konzepte für eine digitale Identität in diesen neuen Welten. Aus technologischer Sicht kommen hier verschiedene Lösungswege in Frage. Nun liegt es beim Gesetzgeber klare Regeln vorzugeben und Verantwortliche für die Verwaltung dieser Identitäten zu benennen.
Nik Fuchs, Swisscom Trust Services
Über Swisscom Trust Services
Swisscom Trust Services ist der einzige europäische Anbieter, der eine qualifizierte elektronische Signatur in den Rechtsräumen EU (eIDAS Signaturverordnung) und Schweiz (ZertES Signaturgesetz) zur Verfügung stellt. Als führender Anbieter von Vertrauensdiensten in Europa ermöglicht Swisscom Trust Services seinen Partnern, im Rahmen der Transactional Economy, paneuropäisch digitale Innovationen durch die Bereitstellung identitätsbasierter Services, die ohne Medienbruch komplett digital ablaufen können.