Warum vertrauen Sie einem Arzt, der Sie in einem Krankenhaus behandelt?
Die Geschichte hinter diesem Vertrauen sieht folgendermaßen aus: Die Regierung akkreditiert eine Universität. Diese akkreditierte Universität verleiht der Person einen medizinischen Abschluss. Eine von der Regierung autorisierte Ärztekammer prüft diesen Abschluss und erteilt eine Zulassung zur Ausübung des Berufs. Ein Krankenhaus überprüft diese Zulassung und gewährt dem Arzt die Berechtigung, bestimmte Eingriffe in dieser Einrichtung durchzuführen. Dann vertrauen Sie, der Patient, der Person im weißen Kittel, dass sie Sie operiert.
Die unsichtbaren Vertrauenskette, die die Welt zusammenhalten
Was Sie gerade gelesen haben, ist eine Vertrauenskette. Diese Vertrauenskette sind allgegenwärtig und bleiben oft unbemerkt.
Jede Vertrauenskette beginnt mit einer Instanz an der Spitze, der alle vertrauen. Dieser Ausgangspunkt wird als Vertrauenswurzel bezeichnet. Jedes Glied hängt dann vom vorherigen ab. Wenn die Universität ihre Akkreditierung verliert, werden die von ihr verliehenen Abschlüsse fragwürdig. Wenn die Zulassung abläuft, entfallen die Krankenhausberechtigungen. Die Kette reißt von oben nach unten.
In der Praxis vertrauen Sie dem weißen Kittel. Aber implizit vertrauen Sie darauf, dass das Krankenhaus die Zulassung überprüft hat, die Kammer den Abschluss, die Regierung die Universität und so weiter. Sie überprüfen das letzte Glied und gehen davon aus, dass die Kette hält.
Das Problem mit Papier
Obwohl diese Vertrauensketten die Zivilisation zusammenhalten, sind sie überraschend fragil. Sie basieren größtenteils auf Papierkram, regelmäßigen Prüfungen und der Annahme, dass jedes Glied ordnungsgemäß überprüft wurde, bevor eine Berechtigung ausgestellt wurde. Ein Teil dieses Papierkrams ist mittlerweile digital, aber ein signiertes PDF schützt das Dokument, nicht die dahinterliegende Kette. Man kann immer noch nicht überprüfen, wer den Unterzeichner autorisiert hat oder ob diese Autorisierung noch gültig ist. Prüfungen und menschliche Sorgfalt bei der Ausstellung werden immer notwendig sein.
Was wäre aber, wenn jedes Glied so einfach zu überprüfen wäre wie das Überprüfen einer grünen Ampel? Was wäre, wenn nach der Ausstellung einer Berechtigung jeder die gesamte Kette in Millisekunden überprüfen könnte, ohne jemanden anrufen zu müssen, ohne Papierkram zu jagen, ohne sich zu fragen, ob die Kette noch intakt ist?
Genau dieses Problem wollte die GLEIF mit dem verifizierbaren Legal Entity Identifier (vLEI) lösen.
Was der vLEI leistet
Der vLEI ist ein System für kryptografisch überprüfbare Organisationsidentität. Er ermöglicht es Organisationen und den sie vertretenden Personen, ihre Identität auf eine Weise nachzuweisen, die jeder Prüfer unabhängig bestätigen kann, ohne sich zum Zeitpunkt der Überprüfung auf eine zentrale Behörde verlassen zu müssen. Der vLEI verknüpft die Identität von Organisationen in der realen Welt durch eine sorgfältig konzipierte Kette von Berechtigungsnachweisen. Jeder Berechtigungsnachweis in der vLEI-Kette wird von einer Stelle ausgestellt, die ihrerseits von der darüberliegenden Ebene geprüft und akkreditiert wurde, wodurch eine Hierarchie entsteht, die auf einer einzigen globalen Vertrauensbasis beruht: der GLEIF.
„Kryptografisch überprüfbar“ bedeutet, dass die mit einem vLEI verbundene organisatorische Identität nicht gefälscht, manipuliert oder von der ausstellenden Stelle geleugnet werden kann. Sie kann jedoch vom Aussteller absichtlich widerrufen werden, wenn sich die Umstände ändern. Dies bietet eine Sicherheit, die von keiner anderen Methode der organisatorischen Authentifizierung erreicht wird.
Ein praktisches Beispiel
Betrachten wir folgendes Szenario: Ein Unternehmen möchte mit der Regierung einen Vertrag über ein öffentliches Infrastrukturprojekt abschließen. Der Beschaffungsbeauftragte muss eine einfache Frage beantworten: Ist die Person, die diesen Vertrag unterzeichnet, dazu befugt?
Verfolgen wir die Kette: Ein Handelsregister trägt das Unternehmen ein. Der Vorstand des Unternehmens fasst einen Beschluss, der bestimmte Führungskräfte ermächtigt, im Namen des Unternehmens zu handeln. Der CEO unterzeichnet den Vertrag. Da der CEO jedoch nicht an jeder Interaktion im Rahmen des Projekts beteiligt sein kann, delegiert er die Befugnis für die tägliche Arbeit an diesem spezifischen Projekt an den VP of Operations. Der Beschaffungsbeauftragte muss nun all dies überprüfen: Existiert das Unternehmen? Ist der CEO tatsächlich der CEO? Hat der VP die Befugnis für dieses konkrete Geschäft? Ist die Befugnisübertragung noch gültig?
Heute umfasst diese Überprüfung notariell beglaubigte Dokumente, Apostillen, beglaubigte Übersetzungen, Anrufe bei Registern und die Überprüfung von Vorstandsprotokollen durch Anwälte. Das kann Wochen dauern. Mit dem vLEI überprüft der Beschaffungsbeauftragte die gesamte Kette in Sekundenschnelle, kryptografisch und ohne jemanden anrufen zu müssen.
Die Existenz des Unternehmens, die Rolle des CEO und die dem VP für dieses spezifische Projekt übertragene Befugnis: Jedes dieser Elemente wird zu einer überprüfbaren Berechtigung, die kryptografisch miteinander verknüpft und bis zurück zur GLEIF als globaler Vertrauenswurzel rückverfolgbar ist. Keine Telefonate. Kein Papierkram. Keine Vermutungen. Nur überprüfbares Vertrauen.
Im nächsten Artikel dieser Reihe werden wir die vLEI-Kette öffnen und jedes Glied im Detail durchgehen: Wer stellt welche Berechtigung aus, an wen und warum hält die Struktur zusammen?
Falls Sie einen Blogbeitrag kommentieren möchten, besuchen Sie zum Posten Ihres Kommentars bitte die Blog-Funktion auf der englischsprachigen GLEIF-Website. Bitte identifizieren Sie sich mit Ihrem Vor- und Nachnamen. Ihr Name erscheint neben Ihrem Kommentar. Die E-Mail-Adresse wird nicht veröffentlicht. Bitte beachten Sie, dass Sie sich durch Zugriff auf oder Beiträge zum Diskussionsforum verpflichten, die Bedingungen der GLEIF-Blogging-Richtlinie einzuhalten. Lesen Sie sich diese daher sorgfältig durch.
Esteban Garcia ist technischer Berater bei der Global Legal Entity Identifier Foundation (GLEIF). Er arbeitet an der technischen Implementierung des verifizierbaren Legal Entity Identifier (vLEI)-Ökosystems, mit Schwerpunkt auf Identitätssystemen und deren praktischen Anwendungen für Organisationen weltweit. Er schreibt über Vertrauen, Identität und die Infrastruktur, die sichere digitale Interaktionen möglich macht.
