Digitale Identität – ein Stück zum Einlesen
Wer bin ich? In der analogen Welt ist das schnell beantwortet: Mit Personalausweis, Führerschein oder Gesundheits- oder EC-Karte. Im Internet beantworten sogenannte digitale Identitäten die Frage. Bislang ein Thema für IT-Experten. Jetzt steht die sichere digitale Identität für die breite Bevölkerung vor der Tür. Die Krankenkasse Barmer etwa führt digitale Identitäten für ihre knapp 9 Millionen Versicherten ein. Andere werden folgen. Warum die Technik kommen muss – wie sie funktioniert – und was wir davon konkret haben.
Kaum einem ist das bewusst: Digitale Identitäten haben wir schon sehr lange. Im Webshop was bestellt, dafür einen Account angelegt: Und zack – schon entsteht mit Nutzername und Passwort eine digitale Identität. Dasselbe tun wir für soziale Netzwerke und Messenger-Dienste und, und, und. Das sammelt sich. Hand aufs Herz: Wer blickt durch seine zahlreichen Identitäten noch durch? Die ausgedruckte und trickreich versteckte Liste: Wer hat die nicht?
Den Passwort-Dschungel lichten – Vertrauen schaffen
Passwort-Dschungel ist nur ein Problem digitaler Identitäten. Ihre fehlende Sicherheit ist ein weiteres und größeres. Wer steckt hinter einer digitalen Identität? Überprüfen lässt sich das nicht. Und fantasievolle Nutzernamen wie DaisyDuck97552 machen die Sache nicht leichter. Zudem: Ob analog oder digital gespeichert: Zugangsdaten, E-Mail-Adressen oder Handynummern locken Kriminelle. Identitätsdiebstahl heißt das. Hacker kaufen auf unsere Kosten ein. Oder geben sich übers Netz als Familienmitglieder aus. Die Masche: ‚Papa mein Handy ist kaputt. Kannst Du bitte überweisen?‘ ‚Liebe Oma, wurde beklaut, sitze im Urlaub fest. Bitte schick mir Geld.‘ Usw. usw.
Digitale Identitäten sollen daher künftig den Passwort-Dschungel lichten und gleichzeitig sicher sein. Das klingt unspektakulär. Aber neben schnellen Netzen, KI, oder Cloud hängt die Zukunft der Digitalisierung auch an sicheren digitalen Identitäten. Warum? Weil mangelndes Vertrauen weiterhin der größte Hemmschuh der Digitalisierung ist. Ohne Vertrauen in die digitale Identität von Käufer und Verkäufer kommt kein einziger Kauf im Internet zustande. Kein Gewerbe wird online genehmigt. Vom sicheren Zugriff auf Patientenakten ganz zu schweigen.
Das richtige Maß Security vom Turnschuh bis zur digitalen Patientenakte
Gerade die Kommunikation mit Behörden oder Gesundheitswesen fordert Vertrauen und Sicherheit. Über das richtige Maß Sicherheit scheiden sich in Deutschland traditionell die Geister. Unstrittig ist: Nutzername-Passwort-Zugang wäre für eine Patientenakte wohl grob fahrlässig. ‚Krypto-Hightech-Verfahren‘ für einen Turnschuh aus dem Netz dagegen Kanonen auf Spatzen. Und ein völliger Schuss in den Ofen, wenn die Technik hochsicher unhandlich ist.
Was zu kompliziert ist, nutzt keiner. Was bequem ist, setzt sich durch. Eine einfache Erkenntnis, die EU und Mitgliedstaaten zum Nachdenken zwingt. Denn viele Anbieter nutzen inzwischen die Logins von Social-Media-Plattformen. Nach dem Motto: ‚Du hast Dich einmal gegenüber Netzwerk XY, identifiziert – das reicht. Mit dieser digitalen Identität darfst Du daher auch bei uns rein.‘ Insbesondere die bequemen ID-Leihgaben aus Übersee haben einen industriepolitisch unbequemen Haken: Unternehmen, die den Zugang zu ihren digitalen Diensten abgeben, verlieren langfristig die Kundenbeziehung. Obendrein das ungute Gefühl: Die ‚Datenkraken erstellen Nutzerprofile und verkaufen diese meistbietend an die Werbeindustrie.
EU führt europäische digitale Identität ein
Die EU treibt daher die Sorge um den Datenschutz: Kommissionspräsidentin Ursula von der Leyen sagt: „Jedes Mal, wenn eine Website uns auffordert, eine neue digitale Identität zu erstellen oder uns bequem über eine große Plattform anzumelden, haben wir in Wirklichkeit keine Ahnung, was mit unseren Daten geschieht.“ Die EU treibt daher sogenannte selbstsouveräne digitale Identitäten (SSI) voran. EU-Bürger*innen sollen ihre Privatsphäre selbst schützen können. Und souverän entscheiden, wann sie mit wem und warum welche Daten teilen.
Die EU sieht diese Souveränität für viele bereits verloren. Und die EU-Bürger*innen wollen sie zurück. Nach Eurobarometer-Umfrage möchten 72 Prozent der Nutzer*innen wissen, wie ihre Daten bei der Nutzung von Social-Media-Accounts verarbeitet werden. 63 Prozent der EU-Bürger*innen sprechen sich danach für einen sicheren einheitlichen elektronischen Identitätsnachweis für alle Online-Dienste aus.
Die EU-Identität auf Basis der eIDAS-Verordnung schafft Rechtsrahmen
Basis für die europäische digitale Identität ist die eIDAS-Verordnung (electronic IDentification, Authentication and Trust Services) von 2014. Damals waren nur vier Anwendungen im Fokus: E-ID (wie beim deutschen elektronischen Personalausweis), sichere digitale Zustelldienste, elektronische Signaturen und Web-Zertifikate. Weil sich die Digitalwirtschaft aber schnell dreht, war von Beginn an eine Revision von eIDAS geplant. Die EU hat Juli 2022 eine überarbeitete Verordnung vorgestellt. Sie wird gegenwärtig diskutiert. Ohne abgesegneten Rahmen aus Brüssel bleiben auch nationalstaatliche Projekte wie der digitale Führerschein der Bundesregierung in der Warteschleife.
Wesentliche Änderungen der neuen Verordnung sind bereits absehbar. eIDAS II zahlt stärker auf digitale Angebote der Privatwirtschaft ein. Weiterhin soll die sogenannte Erst-Identifikation künftig elektronisch laufen. Bislang war das von Angesicht zu Angesicht wie beim Haustür-Ident geplant. Hinzu kommt die Datensparsamkeit. Digitale Dienste sollen künftig nur auf wirklich benötigte Daten zugreifen dürfen. Für einen Zigarettenkauf übers Internet etwa braucht‘s lediglich das Alter. Aber kein Auslesen des komplett auf dem Smartphone verfügbaren Datensatzes.
EU-Identität kommt in allen EU-Mitgliedstaaten
Sicherer Hort für den elektronischen Identitätsnachweis oder andere Digitaldokumente wie Führerschein oder Geburtsurkunde wird nach Willen der EU eine digitale Brieftasche auf dem Handy. Alle Mitgliedstaaten sollen eine sogenannte „European Digital Identity Wallet“ bereitstellen. Die EU schafft die Basis dafür. Die Wallet bleibt aber in der Hoheit der einzelnen Mitgliedstaaten. Dänemark, Deutschland, Schweden und Ungarn haben bereits Lösungen für nationale elektronische Identitäten. Die Eigenkreationen sind heute untereinander noch inkompatibel. Die Wallet aus Brüssel soll künftig für alle Mitglieder funktionieren. Das Ziel verfolgt ebenfalls die jüngst gegründete Open Wallet Foundation. T-Systems ist Gründungsmitglied. Eine Referenz-Architektur für eine EU-Wallet steht bereits. T-Systems hat ein Konzept für eine Multi-Protokoll-Wallet erarbeitet und gemeinsam mit Verimi im Pilotversuch umgesetzt. Die EU will ihr ID-Wallet-System in mehreren EU-Ländern mit großen Feldversuchen erproben.
Viele Wege zur digitalen Identität
Das Thema Digitale Identitäten hat auch in den Medien kritisch Fahrt aufgenommen: In der Theorie war schon länger bekannt, wie man Video-Ident-Verfahren austrickst. Zuletzt hatten Experten auch den praktischen Beweis erbracht. Die für die Health-IT in Deutschland zuständige GEMATIK reagierte sofort und verbot die Nutzung von Video-Ident für Gesundheits-Anwendungen. Abgeschlossen ist die Diskussion nicht. Widerspruch kam u.a. vom Branchenverband BITKOM.
Digitale Identität, Video-Ident, Haustür-Ident, Post-Ident, E-Ident – die Begriffswelt zum Thema ist einigermaßen verwirrend. Daher hier eine kurze Klärung: Es gibt verschiedene Verfahren, um eine digitale Identität zu erstellen. Viele Wege führen nach Rom.
Physische Ident-Verfahren (Local Ident) – sicher mit Nachteilen
Wer Online-Dienste eines Unternehmens nutzen möchte, kann etwa eine Filiale besuchen. Und wird nach Check eines amtlichen Ausweisdokuments frei geschaltet. Identitätsdienstleister bieten diesen Service auch an Haustür oder Arbeitsplatz an. Diese Verfahren gelten als sehr sicher. Aber sie verursachen hohe Personal-Kosten – oft mehr als zehn Euro pro Identifikation. Hinzu kommen der in Pandemie-Zeiten problematische physische Kontakt sowie Zeitaufwand, Mobilitätskosten, Emissionen. Online ist das alles vermeidbar.
Elektronische Ident-Verfahren – sicher und einfach, wenn man die Personalausweis-PIN kennt
Da die Sicherheit von Bild- oder Video-Verfahren umstritten ist, gilt dem elektronischen Personalausweis mit seiner kryptographisch abgesicherten Online-Funktion die Zukunft. Der Identitätsdienstleister Verimi bietet dieses ID-Verfahren und eine dazugehörige sichere digitale Brieftasche zum Abspeichern der Ausweisdaten bereits an. Diese Technologie kommt auch bei der Realisierung der Digitalen Identität der BARMER zum Einsatz.
Das BSI hat im Rahmen des Zulassungsverfahrens für interoperable Nutzerkonten des BMI das Verfahren eID-Identifizierung und die Verimi-App-basierte Authentisierung mittels PIN bewertet. Anhand der von Verimi eingereichten Unterlagen hatte das BSI 2020 bestätigt, dass das Verfahren für das Vertrauensniveau ‚substanziell‘ geeignet ist. Das Berliner Startup hat damit gegenwärtig ein Alleinstellungsmerkmal. T-System ist Gesellschafter von verimi. Verimi ist für kommende Ausschreibungen in verschiedenen Branchen ein strategischer Faktor für den Konzern.
Digitale Identitäten: Basis für künftige Anwendungen
Die digitalen Identitäten – sie kommen. Sie bieten die Chance auf einen Quantensprung in der Digitalisierung insgesamt. Und sie werden unser aller Leben vereinfachen. Sie stärken Europa. Mit spannenden Anwendungen auch jenseits Behörden oder Gesundheit. Der Zugang zu Packstationen ließe sich vereinfachen und dabei Barcode sowie manuelle Eingabe des Namens abschaffen. Sie digitalisieren Stechuhren, öffnen Büros, mieten und starten Autos. Hotelgäste checken damit ein und nutzen sie fürs Bezahlen. Denkbar und technisch möglich ist hier vieles. Und die Idee ist bereits bei den Nutzer*innen angekommen „Sechs von zehn Deutschen wollen sich digital ausweisen“ meldete BITKOM im Juni.
Der Fahrplan für die digitalen Identitäten ist in groben Zügen erkennbar. Gesetzliche Krankenkassen müssen diese bereits ab Januar 2024 anbieten. Bis dahin haben die Anbieter Zeit, die sogenannte User Experience beim Umgang mit dem E-Perso zu verbessern. Kritiker sagen: Da gibt’s noch Luft nach oben. Noch zu kompliziert und noch zu wenig Anwendungs-Möglichkeiten: das hatte dem elektronischen Personalausweis bislang den Erfolg verhagelt.
Fachmedien empfehlen: „Einfach mal ausprobieren“
Mit eIDAS II kommt aber der Rechtsrahmen für mehr Anwendungen. Wer einen neuen elektronischen Personalausweis hat oder beantragt, sollte daher auch bald die Onlinefunktion freischalten. Es wird sich schon bald lohnen. Und ganz so schwer scheint das Verfahren auch nicht mehr zu sein – sagt zum Beispiel Heise. Das Medium empfiehlt: „Einfach mal ausprobieren.“ Die Fachjournalisten schreiben weiter:
„Die alte Leier, der E-Perso sei zu kompliziert, stimmt schon länger nicht mehr. Und sie darf nicht zur selbsterfüllenden Prophezeiung werden. Das Aus für Videoident wäre vielleicht genau der Schubs, den der E-Perso noch braucht. Dann gäbe es endlich auch in Deutschland eine breit genutzte, sichere digitale Identität.“
Zum ThemaEinfach erklärt: Digitale Identität: Was ist das?
Medieninformation: Gesundheitskarte und Personalausweis auf dem Smartphone
Youtube: Digitale Identitäten im Überblick | Episode 134 | Telekom Netz - Der Podcast
Facebook: Telekom Netzpodcast | Digitale Identitäten
T-Systems: Identity Management und Security
Cyber Security: Identitäts- und Zugriffsschutz
Digital Schutzpaket
Informationen zum Anschreiben: "Ihre Daten wurden gestohlen und sind im Internet einsehbar"
Quellen
https://verimi.de/blog/online-ausweisen-mit-wenigen-klicks/ (mit Erklärvideo)
https://www.chip.de/downloads/Verimi-ID-Wallet-Android-App_184102919.html
https://www.heise.de/news/Kommentar-Das-Videoident-Verfahren-ist-unsicher-und-ueberfluessig-7238140.html
https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_de
https://www.bundesregierung.de/breg-de/suche/e-id-1962112
https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/eIDAS-Verordnung/Elektronische-Identifizierung/elektronische-identifizierung.html
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03107/TR-03107-1.pdf?__blob=publicationFile&v=4
https://www.security-insider.de/wie-geht-es-mit-dem-id-wallet-weiter-a-1109976/
https://www.personalausweisportal.de/Webs/PA/DE/buergerinnen-und-buerger/online-ausweisen/online-ausweisen-node.html