Wer jemand ist, lässt sich prüfen. Ob er handeln darf, bisher nicht.

GLEIF – vLEI Authenticator

Ein Lieferant schickt eine Anfrage. Die Person ist bekannt, das Benutzerkonto aktiv, die technische Prüfung positiv. Und trotzdem fehlt die entscheidende Information: Handelt diese Person wirklich im Auftrag des Unternehmens? Und in welcher Funktion? Diese Frage bleibt in den meisten Systemen unbeantwortet – nicht weil die Antwort nicht existiert, sondern weil niemand sie prüfbar gemacht hat.

Das System kennt die Person. Das Unternehmen dahinter kennt es nicht.

Klassische IAM-Systeme (Identity und Access Management) bestätigen Identitäten. Sie sagen: Diese Person existiert, ihr Konto ist aktiv, die Authentifizierung war erfolgreich. Was sie nicht sagen: Für wen handelt diese Person? Mit welcher Vollmacht? In welcher Rolle?

Das ist kein technisches Versagen. Es ist eine strukturelle Lücke. Und sie wird überall teuer, wo Entscheidungen nicht nur von der Identität einer Person abhängen, sondern von der Legitimität ihrer Handlung.

Compliance-Prüfungen, Lieferantenonboarding, regulatorische Meldungen, Datenzugriffe über Unternehmensgrenzen hinweg: All diese Vorgänge erfordern heute manuelle Abstimmungen. Dokumente, Rückfragen, Wartezeiten. Was in Sekunden entschieden sein könnte, dauert Stunden oder Tage – weil Unternehmensidentität und Handlungsvollmacht nicht direkt prüfbar übertragbar sind.

LEI und vLEI: Unternehmensidentität wird zum Nachweis.

Der Legal Entity Identifier (LEI) ist ein globaler Standard zur eindeutigen Identifikation von Unternehmen. Er ist in Finanzmarktregulierung und Handelsrecht verankert und wird weltweit eingesetzt, um Transparenz in digitalen Transaktionen herzustellen.

Der verifiable Legal Entity Identifier (vLEI) ist die kryptografisch prüfbare digitale Version dieses Standards. Als Verifiable Credential – ein digital ausgestellter, maschinell verifizierbarer Nachweis – identifiziert der vLEI nicht nur eine Organisation. Er identifiziert auch, welche Personen befugt sind, in ihrem Namen zu handeln: als CFO, als Compliance-Beauftragter, als bevollmächtigte Vertreterin.

Der Nachweis ist kryptografisch gesichert, an GLEIF als globalem Vertrauensanker gebunden und in jeden Prozess integrierbar, der ihn braucht. Zum ersten Mal wird damit aus einer Behauptung ein Beleg.

Wie der vLEI Authenticator funktioniert.

esatus hat gemeinsam mit GLEIF den vLEI Authenticator entwickelt und in einer produktiven Unternehmensumgebung eingesetzt. Der Authenticator integriert sich in Keycloak, das weitverbreitete Open-Source-IAM-System, über dessen Service Provider Interface. Keycloak selbst wird nicht verändert. Der Authentifizierungsflow erhält eine zusätzliche Verifikationsstufe – ohne Systemumbau, ohne neue Architektur.

Wählt ein Nutzer „Login mit vLEI", übernimmt SOWL die Steuerung. SOWL ist die von esatus entwickelte Orchestrierungsschicht für Verifiable Credentials in Enterprise-Umgebungen. Sie koordiniert das Zusammenspiel zwischen Wallet, Verifier und IAM-System. Die KERIAuth Browser-Extension ruft den vLEI-Nachweis aus der Wallet des Nutzers ab. Der GLEIF vLEI Verifier prüft Echtheit und Gültigkeit entlang der KERI-Vertrauenskette. Das Ergebnis geht zurück an Keycloak, das den Zugriffstoken ausstellt.

Zugang wird nur gewährt, wenn sowohl der organisationale vLEI als auch der Rollennachweis gültig, kryptografisch signiert und auf einen autorisierten Aussteller zurückführbar sind. Aus Nutzersicht: Auswahl, Bestätigung in der Wallet, Zugang gewährt. Der Rest läuft im Hintergrund.

Was der produktive Einsatz gezeigt hat.

Die Integration in Keycloak ließ sich modular und ohne aufwändige Anpassungen umsetzen. Der Anmeldevorgang funktioniert ohne Passwort und ohne Medienbruch. Die Verifikation läuft in Sekunden. Organisationen konnten sowohl ihre Unternehmensidentität als auch die Handlungsvollmacht ihrer Mitarbeitenden verifizieren. Datenzugriffe wurden erst nach vollständiger Verifikation gewährt.
Was vorher manuelle Prüfungen erforderte – Stunden oder Tage –, läuft nun automatisiert und kryptografisch abgesichert.

SOWL als Verbindungsschicht.

SOWL übernimmt im vLEI Authenticator drei Aufgaben. Sie koordiniert den Ablauf zwischen Wallets, Verifizierern und IAM-Systemen, ohne dass Vertrauensbereiche vermischt werden. Sie stellt einheitliche Schnittstellen bereit, sodass Keycloak Verifikationsergebnisse als Authentifizierungsentscheidungen konsumieren kann. Und sie stellt sicher, dass jeder Prüfvorgang protokolliert, reproduzierbar und mit der GLEIF-Governance abgestimmt bleibt.

SOWL richtet sich am EU Architecture Reference Framework aus und unterstützt Standards wie OpenID4VCI und OpenID4VP sowie Credential-Formate wie SD-JWT und mDoc. Was im vLEI-Kontext eingesetzt wurde, ist auf künftige EUDI Wallet Integrationen übertragbar.
 

Die eigentliche Frage ist keine technische.

Viele Organisationen prüfen heute mehrfach – und trotzdem selten das Richtige. Sie wissen, wer sich einloggt. Sie wissen nicht, ob diese Person das darf, was sie tun will.

Das ist keine Schwäche einzelner Systeme. Es ist das Ergebnis einer Architekturentscheidung, die so lange als ausreichend galt, wie Transaktionen innerhalb einer Organisation stattfanden. Sobald Partner, Lieferanten oder externe Dienstleister ins Spiel kommen, reicht Identität allein nicht mehr aus.

Überall dort, wo Personen im Auftrag von Organisationen handeln und diese Vollmacht heute durch Dokumente, Rückfragen oder manuelle Bestätigungen belegt wird, stellt sich dieselbe Frage: Warum ist dieses Ergebnis kein prüfbarer Nachweis?