Thought Leadership
Das Management von Zulieferer-Identitäten ist fehleranfällig. Self-Sovereign Identity und digitale Wallets lösen das Problem dezentral und sicher.
Die Vernetzung globaler Lieferketten und die intensive Zusammenarbeit mit externen Dienstleistern, Zulieferern und Entwicklungspartnern stellen die IT-Infrastruktur moderner Unternehmen vor eine kontinuierliche administrative Herausforderung. Im Bereich des Identity and Access Managements (IAM) müssen Zugriffsberechtigungen für tausende externe Personen konfiguriert, überwacht und zeitnah entzogen werden. Traditionelle Ansätze stoßen hierbei zunehmend an funktionalen Grenzen.
Das Vergeben von Rechten an unternehmenseigene Ressourcen für organisationsfremde Akteure ist zeitintensiv, fehleranfällig und führt in der Praxis zu einer unkontrollierten Ausbreitung von Schatten-Zugängen. Einen technologischen Ausweg bietet das Konzept der dezentralen Identitäten, im internationalen Fachkontext als Self-Sovereign Identity (SSI) bezeichnet. Durch den Einsatz digitaler Brieftaschen verlagert sich die Verantwortung für die Verwaltung und Verifizierung von Identitätsnachweisen direkt auf die Partnerunternehmen, was die internen IT-Abteilungen maßgeblich entlastet.
Die administrativen Schwachstellen traditioneller Partnernetzwerke
Das Management externer Identitäten stützte sich in der Vergangenheit meist auf föderierte Identitätsmodelle, die auf Standards wie Security Assertion Markup Language (SAML) oder OpenID Connect basieren. Bei dieser klassischen Föderation vertraut das Zielunternehmen dem Identitätsanbieter des Partnerunternehmens. Meldet sich ein externer Mitarbeiter an, bestätigt das System des Partners dessen Identität. In der betrieblichen Realität von Multi-Zulieferer-Netzwerken zeigt dieses Modell jedoch gravierende Lücken. Es setzt voraus, dass alle beteiligten Partner über kompatible, kontinuierlich gewartete IAM-Systeme verfügen. Bei kleineren Zulieferern, Handwerksbetrieben oder spezialisierten Agenturen fehlt oft die notwendige informationstechnische Infrastruktur, um eine saubere föderierte Anbindung zu realisieren.
Das primäre Sicherheitsrisiko entsteht beim Ausscheiden von Mitarbeitern aufseiten der Partnerorganisationen. Verlässt ein externer Dienstleister sein Unternehmen, wird dessen Konto im dortigen System im Idealfall sofort gesperrt. Aufgrund mangelnder automatisierter Synchronisationsprozesse zwischen verschiedenen Firmennetzwerken bleibt die Berechtigung im Zielunternehmen jedoch häufig über Wochen oder Monate active. Diese verwaisten Konten bilden eine kritische Masse an Schatten-Zugängen, die von Cyberkriminellen für zielgerichtete Angriffe auf die Lieferkette genutzt werden können. Das interne IAM-Team des Hauptunternehmens gerät in eine permanente Überwachungsschleife, da es Zugriffsrechte verwalten muss, deren realen Beschäftigungshintergrund es selbst nicht überprüfen kann.
Das technologische Fundament von Self-Sovereign Identity
Das Prinzip von Self-Sovereign Identity bricht mit der Notwendigkeit einer zentralisierten Datenspeicherung oder direkten System-Synchronisation zwischen den Unternehmen. Die Architektur basiert auf den Standards des World Wide Web Consortiums (W3C) für dezentrale Identifikatoren (Decentralized Identifiers, DIDs) und verifizierbare Nachweise (Verifiable Credentials). Bei diesem Ansatz existiert ein klares Interaktionsdreieck aus drei Akteuren: dem Aussteller (Issuer), dem Inhaber (Holder) und dem Überprüfer (Verifier).
Ein Partnerunternehmen fungiert als Aussteller und generiert für seine Angestellten digitale Nachweise, die kryptografisch signiert sind. Diese Nachweise bestätigen beispielsweise, dass eine Person in einem aktiven Arbeitsverhältnis steht, eine bestimmte Sicherheitszertifizierung besitzt oder berechtigt ist, im Namen des Zulieferers zu agieren. Der Mitarbeiter speichert diese Nachweise als Inhaber in einer digitalen Brieftasche auf einem mobilen Endgerät oder in einem sicheren Cloud-Wallet. Möchte der Mitarbeiter nun auf das System des Hauptunternehmens zugreifen, präsentiert er den entsprechenden digitalen Nachweis. Das Hauptunternehmen agiert als Überprüfer. Es validiert lediglich die kryptografische Signatur des Nachweises gegen den öffentlichen Schlüssel des Partnerunternehmens, der in einem dezentralen Verzeichnis oder einem Vertrauensnetzwerk hinterlegt ist. Es müssen keine Passwörter übertragen und keine lokalen Benutzerkonten im klassischen Sinne angelegt werden.
Digitale Brieftaschen als dezentraler Kontrollpunkt
Der Einsatz digitaler Wallets im B2B-Kontext transformiert den Authentifizierungsprozess von einer datenintensiven Synchronisation hin zu einer mathematischen Verifizierung im Moment des Zugriffs. Die digitale Brieftasche des externen Mitarbeiters verwaltet die verifizierbaren Nachweise autark. Wenn das Hauptunternehmen den Zugriff an Bedingungen knüpft, fordert das System eine spezifische Präsentation der Nachweise an (Verifiable Presentation).
Aus Datenschutz- und Sicherheitsgründen bietet dieses Verfahren erhebliche Vorteile, da es das Prinzip der Datenminimierung nativ unterstützt. Über kryptografische Verfahren wie Zero-Knowledge-Proofs kann der Inhaber der Wallet nachweisen, dass er eine bestimmte Bedingung erfüllt, ohne die zugrundeliegenden detaillierten Daten offenzulegen. Für das Partner-IAM des Hauptunternehmens bedeutet dies eine vollständige Eliminierung der Datenhaltungspflichten für externe Nutzer.
Das System prüft beim Login lediglich die mathematische Gültigkeit des präsentierten Tokens. Ist das Arbeitsverhältnis des externen Mitarbeiters beendet, widerruft das Partnerunternehmen das Verifiable Credential in seinem eigenen System. Beim nächsten Anmeldeversuch schlägt die kryptografische Verifizierung beim Hauptunternehmen sofort fehl, da der Nachweis als ungültig signalisiert wird. Das Risiko verwaister Schatten-Zugänge wird damit architektonisch ausgeschlossen.
Praxisbeispiel: Europäisches Datennetzwerk Catena-X
Die praktische Umsetzung dezentraler Identitätsstrukturen gewinnt durch regulatorische Vorgaben und industrielle Großprojekte stark an Dynamik. Ein prägnantes Beispiel für den produktiven Einsatz im B2B-Sektor ist das europäische Datennetzwerk Catena-X, das speziell für die Automobilindustrie entwickelt wurde. Um den sicheren Datenaustausch entlang der gesamten Lieferkette zu gewährleisten, nutzt Catena-X eine auf SSI-Standards basierende Identitätsarchitektur. Tausende von Zulieferern, vom Großkonzern bis zum mittelständischen Teilehersteller, erhalten eindeutige Firmenidentitäten (Corporate DIDs) und verifizieren sich gegenseitig über digitale Nachweise. Empirische Auswertungen des Netzwerks zeigen, dass sich die Onboarding-Zeiten für neue Partnerunternehmen durch die automatisierte, dezentrale Verifizierung von Tagen auf wenige Minuten verkürzen ließen, während gleichzeitig administrative Fehler im Identitätsmanagement eliminiert wurden.
Flankiert wird diese Entwicklung durch den rechtlichen Rahmen der überarbeiteten europäischen eIDAS-2.0-Verordnung. Die Gesetzgebung verpflichtet die Mitgliedstaaten zur Bereitstellung digitaler Identitätsbrieftaschen (European Digital Identity Wallets). Diese Wallets sind explizit für den Einsatz in geschäftlichen Transaktionen und zur Verifizierung von Berufs- und Firmenattributen vorgesehen. Unternehmen können sich somit auf staatlich validierte Vertrauensinfrastrukturen stützen, um die Identität von Partnern und Dienstleistern zweifelsfrei und medienbruchfrei im digitalen Raum zu überprüfen.
Die softwareseitige Integration in bestehende Enterprise-Architekturen
Die größte Hürde für den flächendeckenden Einsatz von SSI im B2B-Bereich war lange Zeit die mangelnde Kompatibilität zu den etablierten IAM-Systemen der Unternehmen. Da klassische Verzeichnisdienste nicht für die Verarbeitung von dezentralen Identifikatoren ausgelegt sind, mussten aufwendige Brückentechnologien entwickelt werden. Mittlerweile haben sich standardisierte Schnittstellen etabliert, die eine reibungslose Integration ermöglichen.
Das entscheidende Protokoll für diesen Übergang ist OpenID Connect for Verifiable Presentations (OIDC4VP). Dieser Standard ermöglicht es traditionellen Identity Providern wie Microsoft Entra ID, Okta oder Ping Identity, digitale Brieftaschen direkt als Authentifizierungsquelle anzusprechen. Ruft ein externer Partner die Anmeldemaske des Unternehmens auf, generiert das IAM-System einen QR-Code oder einen tiefen Link, der die Anforderungen an die benötigten Nachweise enthält.
Die Wallet des Nutzers verarbeitet diese Anfrage, bündelt die geforderten Verifiable Credentials und sendet sie über das gesicherte Protokoll zurück an den Identity Provider. Das System übersetzt die kryptografische Antwort in ein standardisiertes ID-Token, das von den internen Enterprise-Anwendungen wie gewohnt verarbeitet werden kann. Das IT-Management kann somit die haptischen und sicherheitstechnischen Vorteile von Self-Sovereign Identity nutzen, ohne die bestehende Anwendungslandschaft oder die etablierten Autorisierungsregeln innerhalb des Unternehmens grundlegend verändern zu müssen.
