SoK: Self-Sovereign Digital Identities

Diese Systematisierung des Wissens zu selbstsouveränen digitalen Identitäten (SSDI) analysiert 80 Quellen, um sechs zentrale Hindernisse für die breite Einführung zu identifizieren, bewertet 12 reale Anwendungen und zeigt auf, dass Selbstsouveränität in der Praxis ein Spektrum darstellt, um die Forschung und Adoption auf diesem Gebiet voranzutreiben.

Das Wesentliche

Hier ist eine einfache, bildhafte Erklärung dieser wissenschaftlichen Arbeit auf Deutsch.

Das große Problem: Der digitale Ausweis im Tresor

Stell dir vor, dein digitaler Identitätspass (deine E-Mail, dein Bankkonto, dein Führerschein) ist wie ein wertvoller Schlüssel.

• Heute (Das alte System): Du gibst diesen Schlüssel einem riesigen, zentralen Tresor (wie Google, Facebook oder einer Bank). Sie bewahren ihn für dich auf. Das ist bequem, aber wenn die Diebe in diesen einen riesigen Tresor einbrechen, sind alle deine Schlüssel gestohlen. Das passiert ständig (Datenlecks).
• Die Vision (SSDI): Du willst den Schlüssel selbst in deiner Hosentasche tragen. Niemand sonst hat Zugriff. Du entscheidest, wem du ihn zeigst und wann. Das nennt man Selbstsouveräne Digitale Identität (SSDI).

Dieser Bericht von Sushanth Ambati und seinem Team an der Rowan University untersucht genau diese Vision. Sie fragen sich: „Warum nutzen das noch nicht alle, wenn es doch so sicher klingt?"

---

Die sechs großen Hindernisse (Die „Wand")

Die Forscher haben 80 verschiedene Quellen studiert und sechs massive Probleme gefunden, die den Weg versperren:

1. Das „Wer bist du?"-Problem (Identitätsbindung):

   • Die Metapher: Wenn du deinen eigenen Schlüssel selbst machst, wie weiß die Welt, dass du wirklich du bist und nicht ein Betrüger, der 100 verschiedene Identitäten erfindet?
   • Das Problem: In der digitalen Welt ist es leicht, sich viele Namen zu geben. Ohne eine zentrale Behörde, die deinen echten Ausweis prüft, ist es schwer zu beweisen, dass ein digitaler Schlüssel zu einer echten Person gehört.

2. Der Schlüssel im Kopf (Schlüsselverwaltung):

   • Die Metapher: Stell dir vor, du musst dir einen 24-Wörter-Satz merken, der dein ganzes Leben schützt. Wenn du ihn verlierst, ist alles weg. Wenn du ihn jemandem gibst, ist alles weg.
   • Das Problem: Für normale Menschen ist das zu kompliziert. Es gibt keinen „Passwort vergessen"-Button. Wenn du deinen digitalen Schlüssel verlierst, bist du digital tot.

3. Die komplizierte Benutzeroberfläche (Usability):

   • Die Metapher: Es ist wie der Versuch, ein Auto zu fahren, indem man die Motorteile einzeln zusammenbaut, statt einfach nur den Schlüssel zu drehen.
   • Das Problem: Die aktuellen Apps sind zu schwer zu verstehen. Niemand will sich mit Kryptografie-Details herumschlagen, wenn er sich nur ein Ticket kaufen will.

4. Das Gesetz ist verwirrt (Regulierung):

   • Die Metapher: Die Gesetze sind wie ein alter Bauplan für ein Haus mit einem großen Tresor. Sie wissen nicht, wie man ein Haus plant, in dem jeder sein eigenes Schloss hat.
   • Das Problem: Was passiert, wenn die Polizei einen Betrüger finden will? Wer haftet, wenn etwas schiefgeht? Die Gesetze (wie die DSGVO) sagen manchmal „lösche Daten", aber Blockchain (die oft genutzt wird) löscht nichts. Das passt nicht zusammen.

5. Der Henne-Ei-Effekt (Akzeptanz):

   • Die Metapher: Niemand kauft ein neues Ticket-System, wenn keine Bahnhöfe es akzeptieren. Aber keine Bahnhöfe kaufen es, wenn niemand Tickets hat.
   • Das Problem: Nutzer wollen keine eigene Identität, wenn keine Shops oder Behörden sie annehmen. Shops wollen keine eigene Identität, wenn keine Nutzer sie haben.

6. Die eine Brücke (Infrastruktur-Abhängigkeit):

   • Die Metapher: Fast alle bauen ihre Identität auf einer bestimmten Brücke (meistens einer Blockchain). Wenn diese Brücke einstürzt, fallen alle Identitäten ins Wasser.
   • Das Problem: Wir wollen dezentral sein, aber wir verlassen uns alle auf dieselbe Technologie. Wenn diese Technologie Fehler hat oder zu teuer wird, ist das ganze System gefährdet.

---

Was die Wissenschaft macht (Die Analyse)

Die Forscher haben 47 wissenschaftliche Arbeiten und 12 echte Projekte untersucht. Dabei kamen zwei schockierende Dinge ans Licht:

• Die Blockchain-Brille: Fast alle Forscher schauen nur durch die „Blockchain-Brille". Sie denken, SSDI muss Blockchain sein. Dabei gibt es vielleicht andere, bessere Wege, die niemand untersucht. Es ist, als würde jeder versuchen, ein Haus nur mit Ziegeln zu bauen, obwohl es auch Holz oder Stein gibt.
• Der „Souveränitäts-Wasch"-Effekt: Viele Firmen sagen: „Wir haben eine selbstsouveräne Identität!" Aber wenn man genauer hinsieht, kontrollieren sie immer noch alles im Hintergrund. Das nennen die Autoren „Sovereignty Washing" (Souveränität waschen) – ähnlich wie „Greenwashing", wo Firmen sich grün färben, aber nicht wirklich umweltfreundlich sind.
• Die Realität: Von den 12 großen Projekten, die sie untersucht haben, sind viele bereits gescheitert oder laufen nur noch halb. Nur wenige funktionieren wirklich so, wie es versprochen wurde.

---

Der Ausblick: Wohin geht die Reise?

Die Autoren schlagen fünf neue Richtungen vor, damit das System funktioniert:

1. Magische Beweise (Kryptografie): Statt alles zu zeigen, kann man beweisen, dass man über 18 ist, ohne das Geburtsdatum zu nennen (wie ein Zaubertrick, der die Wahrheit beweist, ohne das Geheimnis zu lüften).
2. Web3-Integration: Die Identität muss dort funktionieren, wo die Zukunft liegt (DeFi, NFTs, DAOs).
3. Maschinen-Identität: Nicht nur Menschen brauchen Identitäten, sondern auch Autos und Sensoren. Ein selbstfahrendes Auto muss sich auch selbst ausweisen können.
4. Gesetze vereinen: Die Welt muss sich auf gemeinsame Regeln einigen, damit ein digitaler Ausweis in Deutschland auch in Japan funktioniert.
5. Menschen zuerst (Usability): Wir müssen aufhören, die Technik zu bauen und dann zu fragen, wie man sie benutzt. Wir müssen zuerst fragen: „Was braucht der Mensch?" und dann die Technik danach bauen.

Fazit

Die Vision, dass jeder die volle Kontrolle über seine digitale Identität hat, ist toll und notwendig. Aber wir sind noch weit davon entfernt. Es ist wie der Bau einer neuen Stadt: Die Pläne sind da, aber die Straßen sind noch nicht asphaltiert, die Gesetze fehlen, und die Leute wissen nicht, wie man dort wohnt.

Dieser Bericht ist ein Aufruf: Wir müssen aufhören, nur über die Technik (Blockchain) zu reden, und anfangen, die echten Probleme (Sicherheit, Benutzerfreundlichkeit, Gesetze) zu lösen, damit diese Vision für alle funktioniert.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „SoK: Self-Sovereign Digital Identities" auf Deutsch:

Titel: SoK: Self-Sovereign Digital Identities (Systematisierung des Wissens)

Autoren: Sushanth Ambati, Kainat Adeel, Jack Myers, Nikolay Ivanov (Rowan University)

---

1. Problemstellung

Die digitale Identitätsverwaltung hat sich historisch von zentralisierten Systemen hin zu federierten Modellen (z. B. „Login mit Google/Facebook") entwickelt. Obwohl federierte Identitäten (FDI) die Passwortverwaltung vereinfachen, konzentrieren sie enorme Mengen personenbezogener Daten bei wenigen Unternehmen, was sie zu attraktiven Zielen für Datenlecks und Missbrauch macht.

Das Konzept der Selbstsouveränen Digitalen Identität (SSDI) verspricht eine Lösung, bei der Individuen die volle Kontrolle über ihre Identitätsdaten und -aussagen haben, ohne auf zentrale Vermittler angewiesen zu sein. Trotz dieses vielversprechenden Potenzials ist die reale Adoption von SSDI bisher gering. Es fehlt an einer systematischen Erfassung der Hindernisse, die eine breite Einführung verhindern. Bisherige Forschungsarbeiten konzentrieren sich oft isoliert auf technische Schichten (wie DIDs oder VCs) oder spezifische Anwendungsbereiche, ohne die soziotechnischen und regulatorischen Herausforderungen ganzheitlich zu betrachten.

2. Methodik

Die Autoren verfolgen eine fünfstufige Methodik zur Systematisierung des Wissens (Systematization of Knowledge - SoK):

1. Analyse bestehender Übersichten: Kritische Bewertung von acht vorherigen Surveys (2018–2023), um den aktuellen Wissensstand und Lücken zu identifizieren.
2. Identifizierung der Hauptherausforderungen: Auswertung von 80 Quellen (Forschungsarbeiten, Industrieprojekte, Standardisierungsgremien wie W3C, und zivilgesellschaftliche Initiativen), um sechs zentrale Hindernisse zu extrahieren.
3. Analyse der wissenschaftlichen Literatur: Strukturierte Untersuchung von 47 wissenschaftlichen Publikationen, die SSDI-Systeme vorschlagen oder evaluieren. Dabei wurden Infrastruktur, Kryptographie, behandelte Herausforderungen und Evaluierungsmethoden kategorisiert.
4. Bewertung realer Anwendungen: Katalogisierung und Evaluierung von 12 in Produktion befindlichen oder großflächig pilotierten SSDI-Systemen (z. B. Sovrin, EU Digital Identity Wallet, uPort) anhand von fünf Dimensionen der Selbstsouveränität.
5. Skizzierung der Forschungsfronten: Synthese der Erkenntnisse zur Identifizierung zukünftiger Forschungsrichtungen.

3. Schlüsselbeiträge und Ergebnisse

A. Die sechs Hauptherausforderungen (Challenge Taxonomy)

Das Paper identifiziert sechs fundamentale Hindernisse, die die Adoption von SSDI blockieren:

1. Identity Binding (Identitätsbindung): Das Problem, eine digitale Identität eindeutig an eine reale Entität zu binden, ohne eine zentrale Behörde. Dies birgt das Risiko von Sybil-Angriffen (Erstellung vieler falscher Identitäten).
2. Key Management & Protokolle: Nutzer müssen ihre eigenen kryptografischen Schlüssel verwalten. Dies führt zu Problemen bei der Wiederherstellung (kein „Passwort vergessen"-Button), der Sicherheit von Seed-Phrasen und einer fragmentierten Protokolllandschaft (über 100 DID-Methoden mit geringer Interoperabilität).
3. Usability (Benutzerfreundlichkeit): Die kognitive Last für Nutzer ist zu hoch. Konzepte wie selektive Offenlegung (Selective Disclosure) und Zero-Knowledge-Proofs sind für Laien unintuitiv.
4. Oversight & Regulation (Aufsicht & Regulierung): SSDI existiert in einer rechtlichen Grauzone. Konflikte mit Datenschutzgesetzen (z. B. GDPR „Recht auf Vergessenwerden" vs. Unveränderlichkeit von Blockchains) und die Schwierigkeit der Strafverfolgung ohne zentrale Datenhalter sind ungelöst.
5. Critical-Mass Adoption (Kritische Masse): Ein klassisches „Cold-Start"-Problem. Nutzer nutzen SSDI nicht, wenn keine Dienste es akzeptieren; Dienste integrieren es nicht, wenn keine Nutzer es haben.
6. Single Infrastructure Dependence (Abhängigkeit von einer Infrastruktur): Die meisten SSDI-Lösungen verlassen sich auf eine einzige Blockchain. Dies schafft ein Meta-Zentralisierungsrisiko (z. B. bei 51%-Angriffen oder Governance-Krisen der Chain) und ökonomische Hürden durch Transaktionsgebühren.

B. Analyse der wissenschaftlichen Literatur

Die Analyse der 47 Papers zeigt signifikante Verzerrungen:

• Blockchain-Bias: 83 % der Arbeiten basieren auf Blockchain-Infrastrukturen. Nur 9 % untersuchen rein Peer-to-Peer-Architekturen. Dies verengt den Designraum und ignoriert alternative Vertrauensanker.
• Kryptographie: Der Fokus liegt stark auf Standard-Public-Key-Kryptographie. Fortgeschrittene Techniken wie Zero-Knowledge-Proofs (ZKP) werden nur in 17 % der Arbeiten genutzt, obwohl sie für den Datenschutz essenziell sind.
• Vernachlässigung von Usability: Nur 15 % der Arbeiten befassen sich mit der Benutzerfreundlichkeit, obwohl dies eine primäre Hürde für die Adoption ist.
• Fehlende Evaluierung: Nur 15 % der Studien bieten formale Sicherheitsbeweise, und nur 4 % führen echte Nutzerstudien durch.

C. Bewertung realer Anwendungen

Die Untersuchung von 12 Systemen (Stand Februar 2026) offenbart:

• Kein System ist vollständig selbstsouverän: Alle Systeme machen pragmatische Kompromisse.
• Spektrum der Souveränität: Selbstsouveränität ist kein binärer Zustand, sondern ein Spektrum.
  • Regierungsprojekte (z. B. EU Wallet) bieten starke Schlüsselkontrolle, aber keine permissionless-Ausstellung und erlauben Widerruf durch Dritte.
  • Kommerzielle Systeme (z. B. Ping Identity/ShoCard) zeigen oft „Sovereignty Washing" (Marketing ohne echte Dezentralisierung).
• Hohe Ausfallrate: Von den 12 untersuchten Projekten waren nur 25 % aktiv im Betrieb; ca. 42 % waren bereits eingestellt oder inaktiv.

4. Signifikanz und zukünftige Forschungsfronten

Das Paper schließt mit der Definition von fünf kritischen Forschungsfronten, die für den Erfolg von SSDI notwendig sind:

1. Privacy-Enhancing Cryptography: Weiterentwicklung und Standardisierung von ZKPs (z. B. zk-SNARKs) und Homomorpher Verschlüsselung, um Privatsphäre ohne Offenlegung von Daten zu ermöglichen.
2. Web3-Integration: Nutzung von DeFi, NFTs und DAOs als Anwendungsfelder, wobei die Volatilität und regulatorische Unsicherheit des Krypto-Marktes berücksichtigt werden muss.
3. IoT und Machine Identity: Anpassung von SSDI für Geräte (Sensoren, autonome Fahrzeuge), die keine menschliche Interaktion haben und ressourcenbeschränkt sind.
4. Regulatorische Harmonisierung: Schaffung interoperabler rechtlicher Rahmenbedingungen zwischen verschiedenen Jurisdiktionen (z. B. EU eIDAS 2.0, US-Staatsgesetze).
5. Usability-First Design: Ein Paradigmenwechsel weg von „Technologie-zuerst" hin zu nutzerzentriertem Design, einschließlich Langzeitstudien und standardisierten Usability-Benchmarks.

Fazit

Dieses Paper liefert die erste umfassende Systematisierung von SSDI. Es zeigt auf, dass die Lücke zwischen Vision und Realität nicht nur technischer Natur ist, sondern durch komplexe Wechselwirkungen von Usability, Regulierung, Ökonomie und Architektur entsteht. Die Autoren warnen vor einer einseitigen Fokussierung auf Blockchain und fordern eine disziplinübergreifende Zusammenarbeit, um SSDI von einem theoretischen Konzept in eine praktisch nutzbare, sichere und benutzerfreundliche Infrastruktur zu überführen.