DLT im öffentlichen Sektor Chancen und Hindernisse von Blockchain & Co

Anbieter zum Thema

msg systems ag

procilon GmbH

Governikus GmbH & Co. KG

Fujitsu Technology Solutions GmbH

Blockchain und Distributed-Ledger-Technologien (DLT) sind Technologien, die einen hohen Reifegrad erreicht haben. Doch gerade im Umfeld der öffentlichen Verwaltung sind auch regulatorische Vorgaben und Nachweispflichten zu beachten.

Bitcoin, Blockchain und Distributed-Ledger-Technologien (DLT) sind über ihren anfänglichen Hype hinausgewachsen und dabei, sich in der Wirtschaftswelt zu etablieren. Bei DLT handelt es sich im Wesentlichen um ein dezentrales, verteiltes Netzwerk technischer Knoten zum gemeinsamen Austausch von Daten und Transaktionen. Die geläufigere Technologie „Blockchain“ ist eine spezielle Kategorie davon, welche sich in sequenziellen Blöcken organisiert. Ihre Integrität ist über Hashketten abgesichert. Der entscheidende Vorteil dieser zukunftsweisenden Technologie liegt in der Dezentralisierung von Daten und in den Knoten als Verbindungsstelle zwischen den Nutzern. Diese Eigenschaften tragen zu einer grundlegenden Fälschungssicherheit sowie zu einem zuverlässigen Datentransfer bei. Durch Verzicht auf eine zentrale Instanz, die die Kommunikation steuert, verwaltet und das Netzwerk betreibt, erhofft man sich außerdem eine schnelle Abwicklung komplexer Prozesse, zum Beispiel bei Beglaubigungen oder Nachweispflichten. Dadurch lassen sich völlig neue Geschäftsmodelle erschließen. Das bekannteste Beispiel, durch das sich die Blockchain-Technologie einen Namen gemacht hat, sind Finanz-Transaktionen. Doch DLT bietet für nahezu alle Branchen interessante Optionen, die für eine effizientere Digitalisierung sorgen.

Chancen und Hindernisse für öffentliche Behörden

Das gilt auch für den öffentlichen Sektor, indem beispielsweise jegliche Prozesse des Identitätsmanagements durch DLT revolutioniert werden könnten. Allerdings unterliegt die öffentliche Verwaltung umfassenden regulatorischen Vorgaben zur Digitalisierung sowie zur Dokumentation und zum Nachweis ihrer Prozesse. So lautet beispielsweise eine wesentliche Rahmenbedingung des vertrauenswürdigen eGovernments, dass klare Verantwortlichkeiten und Richtlinien für die Prozessabwicklung sowie ein Nachweis über behördliche Entscheidungsprozesse gegenüber Dritten etabliert sind. Daraus ergibt sich ein Spannungsfeld zwischen Chancen und regulatorischen Vorgaben, durch das sich DLT, wie jede neue Technologie, in den bestehenden regulatorischen und technischen Rahmen integrieren müssen.

Zu den Regulatorien zählt, dass für jede Datentransaktion Vertrauenswürdigkeit gegeben sein muss. Diese wird nur durch den Nachweis von Authentizität, also der eindeutigen Zuweisbarkeit zum Absender, sowie Integrität und Zuverlässigkeit im Sinne von Unveränderlichkeit und Nachvollziehbarkeit geschäftsrelevanter Aufzeichnungen und Transaktionen erreicht. Eine wesentliche Voraussetzung dafür ist, dass sich alle am Prozess beteiligten, natürlichen oder juristischen Personen eindeutig identifizieren lassen und die Zuweisbarkeit von Transaktionen und Unterlagen zum Aussteller nicht abstreitbar ist. Hinzu kommt die Gewährleistung der Verfügbarkeit behördlicher Unterlagen: Gegenüber Gerichten, Prüfbehörden und anderen Dritten müssen die geltenden Aufbewahrungsfristen eingehalten werden. Zudem steht der Schutz sensibler und personenbezogener Daten durch die Wahrung der Vertraulichkeit natürlich auch hier an erster Stelle.

Wie kann Blockchain eingesetzt werden?

All diese Voraussetzungen zu erfüllen, stellt bislang noch ein großes Hindernis für Blockchain im öffentlichen Sektor dar. Allerdings wird auch in diesem Bereich immer deutlicher, welche Vorteile der Einsatz von DLT mit sich bringen würde: Dazu gehören zum Beispiel eine verbesserte Performance und Skalierbarkeit sowie die Abbildung eines verteilten Netzwerks für behörden- und unternehmensübergreifende Transaktionen. Zudem lassen sich DLT um fehlende Punkte, wie eine eindeutige Identifizierung und Zuweisbarkeit von Transaktionen oder der Vertraulichkeit, einfach ergänzen, indem bekannte Lösungen integriert werden.

So gibt es schon einige Fälle, in denen Blockchain auch im öffentlichen Bereich bereits getestet und genutzt wird. Gerade in Hinblick auf den Themenschwerpunkt digitale Identitäten bietet sie großes Potenzial. Denn mithilfe von Selbst-Souveränen-Identitäten (SSI) liefert DLT hier einen entscheidenden Mehrwert gegenüber bestehenden Technologien. SSI bedeutet, dass eine Person in der Lage ist, den Besitz der eigenen Identitätsdaten wiederzuerlangen und außerdem zu kontrollieren, wer Zugang zu ihren Informationen hat. Die zur Nachweisführung wichtige Identifizierung einer natürlichen oder juristischen Person muss dabei auf einem sicheren und zugelassenen Weg unter Verwendung eines anerkannten Identifizierungssystems, zum Beispiel einem elektronischen Personalausweis, erfolgen und ein angemessenes Vertrauensniveau gemäß der eIDAS-Verordnung umfassen.

Die eIDAS-Verordnung ist ein EU-Standard, der die elektronische Identifizierung und Vertrauensdienste zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen für elektronische Transaktionen im EU-Binnenmarkt regelt. Da die eIDAS technologieoffen ist, kann sie auch ohne weiteres für DLT angewendet werden. So lassen sich nach demselben Prinzip der SSI auch qualifizierte Signaturen und Siegel gemäß der eIDAS-Verordnung mit Blockchain bewerkstelligen. Aus Datenschutzgründen werden nur anonymisierte oder pseudonymisierte Informationen in der SSI abgelegt; die eigentlichen Identitätsdaten bleiben weiterhin sicher bei der verantwortlichen Institution gespeichert. Der Nutzer oder Besitzer der SSI kann dann beispielsweise über einen Token der Blockchain seine Identitätsdaten für beliebige Dienste unlimitiert freigeben – oder aber blockieren.

Die DLT überwacht dabei sowohl die Fristen für eine Berechtigung als auch jeden Zugriff selbst. So gewinnen Bürger und Unternehmen Souveränität über ihre Identitätsdaten und können SSI für verschiedene behördliche Dienste auf allen Verwaltungsebenen oder auch für private Services einsetzen. Der große Vorteil dieser Technologie ist, dass eine permanente Re-Identifizierung vermieden wird, was besonders nutzerfreundlich ist.

Dieses Konzept wird auf europäischer Ebene bereits aufgegriffen und teilweise auch schon erprobt. Konkrete Anwendungsfälle über eGovernment und Smart City bis hin zu Mobility und Industrie 4.0 wurden aktuell im interdisziplinären Konsortium EMIL im „Schaufenster Sichere Digitale Identitäten“ konzipiert. Das Konsortium mit 13 Partnern aus Kommunen, Forschung, Industrie, IT &Startups bewirbt sich derzeit, gemeinsam mit anderen Konsortien um die Umsetzung, die im April 2021 beginnen soll.

Diese Prozesse werden durch qualifizierte und elektronische Zeitstempel unterstützt, die außerdem den Nachweis des Zeitpunkts einer Transaktion gewährleisten. Elektronische Signaturen, Zeitstempel und Siegel lassen sich gemäß eIDAS ganz einfach in DLT integrieren. Zwei Varianten davon sind europaweit sogar schon im Einsatz. Behörden, die Blockchain-Technologien in diesem Bereich nutzen, haben den Vorteil, dass die Nachweispflicht beim Anbieter liegt. Das bedeutet: Im Fehlerfall ist nicht die Behörde selbst in der Verantwortung.

Datenschutz und IT-Sicherheit als große Hürde

Es gibt allerdings auch einige erhebliche Herausforderungen in Bezug auf DLT im öffentlichen Bereich, zum Beispiel die Anforderungen an den Datenschutz. Gemäß Datenschutzgrundverordnung (DSGVO) müssen bestimmte Rechte des Betroffenen, um dessen personenbezogene Daten es geht, gewahrt werden. Dazu gehören unter anderem das Recht auf Berichtigung (Art. 16), das Recht auf Löschung der Informationen (Art. 17) sowie das Recht auf Datenübertragbarkeit. Die Einhaltung dieser Rechte ist für den Einsatz von DLT kritisch zu bewerten. Das liegt vor allem an den mangelnden Funktionen zur Veränderung und Löschung von Daten. Aus diesem Grund müssen personenbezogene Daten Off-Chain geführt werden. Bei einer Off-Chain-Speicherung bleiben die eigentlichen Nutzdaten wie bisher in der vorhandenen Geschäftsanwendung abgelegt.

Ein weiteres Manko ist die fehlende Angriffsstabilität. So gelten Daten in DLT zwar als weitestgehend manipulationssicher – sicher vor Hackerangriffen sind sie aber trotzdem nicht, zumal die Manipulationssicherheit auch nur dann besteht, wenn die Hash-Absicherung periodisch erneuert wird. Maßnahmen zur Langzeitstabilität der eingesetzten kryptografischen Verfahren fehlen. Deshalb müssen Institutionen, die auf diese Technologie zurückgreifen wollen, ein verfahrensbezogenes Sicherheitskonzept erstellen, in dem klare Richtlinien, Rollen und Verantwortlichkeiten sowie Sicherheitsmaßnahmen definiert werden.

Das erfordert eine „Private Permissioned“ DLT, mit Zugriffsrechten nur für ausgewählte Teilnehmer, um die Verantwortlichkeit für die Datenverarbeitung eindeutig zu definieren. Dabei erfolgt ein Zugriff auf die Daten mit individuellen Zutrittsberechtigungen, für die sich Nutzer registrieren müssen. Diese Blockchain könnte etwa von einem behördlichen Konsortium betrieben werden, während mit einer Off-Chain-Speicherung alle geschäftlichen Aufzeichnungen gespeichert werden. So bleiben Sicherheitsregularien bestehen, während trotzdem gleichzeitig auf die Vorteile der Blockchain zurückgegriffen wird.

Blockchain ausreichend ausgereift für Einsatz im öffentlichen Bereich?

Auch wenn diese Herausforderungen hinsichtlich Datenschutz und IT-Security von großer Bedeutung sind, täuscht dies nicht über die Reihe an Vorteilen hinweg. Insbesondere bei hochkomplexen Prozessen lassen sich diese Vorteile ausspielen und sorgen für eine hohe Effizienz. Angesichts der umfassenden und langfristigen Dokumentations- und Nachweispflichten sowie dem Schutz personenbezogener Daten ist es jedoch empfehlenswert, sich im öffentlichen Bereich zunächst auf drei elementare Punkte zu konzentrieren: Digitale Identitäten und Vertrauensdienste, Datenschutz sowie Informationssicherheit und Langzeitstabilität.

(ID:47043904)