Sprache:
Frau am Laptop

Digitale Identitäten einfach erklärt

Veröffentlicht am 29.02.2024

Immer mehr Dienstleistungen finden mittlerweile online statt. Damit zwischen Nutzenden und Anbietenden dieser Dienstleistungen Vertrauen entsteht, braucht es digitale Identitäten. Doch wie funktionieren diese genau? Welche Typen sind besonders sicher? Und was hat es mit der europäischen digitalen Identität auf sich? Das Konzept der digitalen Identität einfach erklärt.

Was ist eine digitale Identität?

Was genau die Identität eines Menschen ausmacht, ist abhängig vom Kontext und deshalb immer Interpretationssache. Auf eine Gewissheit können sich soziologisch-philosophische Debatten jedoch wahrscheinlich einigen: Die Identität eines Menschen ist einzigartig. Und um einen Menschen unverwechselbar zu machen, genügen bereits wenige physische Attribute – Körpergröße, Gesichtsbild und Fingerabdrücke –‍, aber auch persönliche Daten wie Name, Geburtstag sowie die Meldeadresse. Anhand dieser Merkmale und Daten sind wir klar identifizierbar.

„Einmal den Ausweis, bitte“, heißt es, wenn wir ein Fahrzeug anmelden, im Bürgeramt einen Antrag einreichen oder ein Bankkonto eröffnen. Doch das alles und noch viel mehr ist längst auch online möglich. Und dort, wo niemand unser Gesicht sieht oder unsere Fingerabdrücke nehmen kann, braucht es digitale Identitäten.

Die Definition von digitalen Identitäten

Die digitale Identität bringt Vertrauen in den virtuellen Raum. Sie ermöglicht einer natürlichen oder juristischen Person, bestimmte Online-Angebote zu nutzen. Dafür verknüpft die digitale Identität verschiedene elektronische Merkmale, die diese Person im Netz einzigartig machen: zum Beispiel Name, Vorname, Anschrift und Geburtsdatum. Anhand dieser Attribute kann die Person sich auf einer Plattform authentisieren und ihre Identität belegen. Damit sind sichere digitale Identitäten das Fundament einer funktionierenden Digitalwirtschaft.

Tatsächlich müssen wir unsere Identität online sogar öfter preisgeben als in der „echten Welt“. Während wir beim Kauf der neuen Jeans im Geschäft dank Bargeld anonym bleiben können, ist das im Webshop, vor allem bei der Option „auf Rechnung“, schwer möglich. Weil wir allerdings auch online in weit mehr als einem Shop einkaufen, verwundert es kaum, dass ein Europäer bzw. eine Europäerin im Jahr 2020 durchschnittlich mehr als 90 digitale Identitäten besaß. Die gelebte Praxis sah bislang so aus: Für jede Online-Plattform, deren Services sie in Anspruch nimmt, erstellt eine Person ein neues Nutzerkonto. Neue Identitätsattribute werden hinterlegt und verknüpft – eine weitere digitale Identität entsteht.

Technische Grundlagen der digitalen Identität

Mittlerweile mehren sich die Indizien, die auf ein Ende der Identitätsinflation hindeuten. Die Evolution der digitalen Identität jedenfalls ist längst im Gange. Oder anders ausgedrückt: Es gibt bequeme Lösungen, mit denen sich Datensilos durchbrechen lassen. Auch wenn nicht alle von ihnen primär das Nutzerwohl im Sinn haben.

Die klassische Silo-Identität

Um die Evolution nachzuvollziehen, lohnt zunächst der Blick auf die noch immer vorherrschende isolierte digitale Identität, auch „Silo-Identität“ genannt. Deren Anzahl pro Kopf stieg lange Zeit mit den Dienstleistungen, die man online buchen kann. Das Konzept: Für die Dienste erfolgt eine Registrierung, indem der User oder die Userin persönliche Daten wie Name, Geburtsdatum und Adresse mit einem Nutzernamen sowie dem dazugehörigen Passwort verknüpft: erst beim Online-Versandhandel, später beim heimischen ÖPNV, bei diversen Streamingdiensten und danach bei Bike- oder Carsharing-Anbietern. Das Ergebnis: Dutzende Identitäten, die nicht miteinander kompatibel sind. Sie zwingen den Inhaber oder die Inhaberin dazu, Dutzende Nutzername-Passwort-Kombinationen zu organisieren, um sich auf den gewünschten Websites authentisieren zu können.

Digitale Identitäten per Single Sign-On

Der zunehmend beliebte Ansatz des Single-Sign-On (SSO), den globale Tech-Riesen wie Google oder Meta verfolgen, löst das Nutzername-Passwort-Chaos. Der SSO-Grundgedanke: Nutzende können die digitale Identität, die sie bei einem der Großkonzerne angelegt haben, auch verwenden, um sich auf den Plattformen kleinerer Anbieter zu authentisieren. Der große Konzern fungiert in diesem Modell als ein sogenannter ID-Provider (IDP), der zwischen User bzw. Userin und dem Diensteanbieter, also der kleineren Plattform, steht. Weil alle relevanten Daten bei ihm hinterlegt sind, kann er gegenüber dem anfragenden Diensteanbieter die digitale Identität der sich authentisierenden Person bestätigen. Das ist ohne Frage bequem. Doch das Konzept untergräbt die Datensouveränität der einzelnen Person. Dazu gleich mehr.

Hoheitliche digitale Identitäten – der Staat als ID-Provider

Ohne jedes kommerzielle Interesse als Anbieter digitaler Identitäten agiert der Staat. Mit der sogenannten BundID hat das Onlinezugangsgesetz ein Nutzerkonto geschaffen, über das natürliche und juristische Personen Verwaltungsleistungen online beantragen und elektronische Dokumente von Behörden erhalten können.

Eng mit der BundID verbunden – weil hochrelevant bei der Registrierung – ist der sogenannte Online-Ausweis. Im Jahr 2010 führte Deutschland den Personalausweis mit eID-Funktion ein. Auf dem Chip der Smartcard sind alle persönlichen Daten sowie die biometrischen Merkmale gespeichert, die auch die „analoge“ Identität eines Bürgers bzw. einer Bürgerin definieren. Dadurch macht der Chip den „Perso“ zum Online-Ausweis, mit dem Bürger und Bürgerinnen ihre Identität elektronisch gegenüber öffentlichen und privatwirtschaftlichen Stellen nachweisen können. Die Rechtsgrundlage dafür schafft § 18 Personalausweisgesetz (PAuswG).

Statt ihre digitale Identität in die Hände von Plattformbetreibern und Co. zu legen, können die Deutschen die eID verwenden – und am besten immer in ihrer Brieftasche mit sich tragen. Ergänzend sind auch die Unionsbürgerkarte sowie der elektronische Aufenthaltstitel als eID, also als elektronische Identität, nutzbar.

Der Prozess verkürzt dargestellt: Eine Person registriert sich beim Serviceanbieter, indem sie sich mit ihrem Online-Ausweis identifiziert. Dafür hält sie ihren Personalausweis an ein NFC-fähiges Smartphone oder ein Karten-Lesegerät. Sie gibt dann ihre persönliche PIN ein und alle notwendigen Daten landen automatisch beim Serviceanbieter. Will die Person sich später wieder authentisieren, läuft der Prozess so einfach wie bei der Registrierung.

Eine Hand hält einen Personalausweis gegen ein NFC-fähiges Smartphone.

Eine Hand hält einen Personalausweis gegen ein NFC-fähiges Smartphone.

Die Nutzung von Silo-Identitäten und Single Sign-Ons hat im Vergleich zum Online-Ausweis noch einen Vorsprung. Immer mehr Menschen nutzen aber inzwischen die Online-Ausweisfunktion für die sichere digitale Identifizierung. Zu den Pionieren gehören derzeit neben einer Reihe von Banken beispielsweise die Bundesagentur für Arbeit die Deutsche Rentenversicherung und die Bundesregierung. Für deren KulturPass müssen sich die sich diejenigen, die im laufenden Jahr 18 Jahre alt werden, mit ihrem Online-Ausweis identifizieren und damit ihr Geburtsjahr verifizieren.

Die Smart-eID: Online-Ausweis auf dem Smartphone

Mit der Smart-eID soll der Online-Ausweis direkt aufs Smartphone kommen. Wann genau, steht aktuell noch nicht fest, das Smart-eID-Gesetz ist bereits seit September 2021 in Kraft. Das Auslesen der Karte wäre mit dem „mobilen Perso“ nicht mehr zwingend erforderlich, um die Online-Ausweisfunktion zu nutzen.

Exkurs: Vertrauensdienste und Zertifikate als Identitätsnachweise

Untrennbar mit dem Thema digitale Identitäten verbunden sind elektronische Zertifikate sowie die in der eIDAS-Verordnung der EU definierten Vertrauensdienste. Während Personenzertifikate Identitäten in der E-Mail-Kommunikation und bei Netzwerkzugriffen nachweisen, zeigen Website-Zertifikate, wer hinter einem Online-Angebot steht. Maschinenzertifikate hingegen bestätigen die Identität von Geräten und schaffen dadurch Vertrauen im Internet of Things (IOT) und in der Industrie 4.0.

Wie aussagekräftig Zertifikate sind, hängt allerdings von der Identitätsprüfung ab, die der Beantragung vorausgeht. Bei qualifizierten EV-TLS-Zertifikaten für Websites beispielsweise beinhaltet diese Prüfung eine Identifikation mit einer zeichnungsberechtigten Person oder deren Vertretung.

Vertrauensdienste wie elektronische Signaturen und Siegel gemäß eIDAS-Verordnung wiederum weisen die Identitäten von natürlichen und juristischen Personen auf Dokumenten nach. Auch hier gibt es Unterschiede. Die qualifizierte elektronische Signatur (QES) etwa ist nicht zuletzt aufgrund einer umfassenden Vorabidentifizierung derart vertrauenswürdig, dass sie der handschriftlichen Signatur in ihrer Rechtswirkung gleichgestellt ist.

Zusammenfassung: Wer hat mit digitalen Identitäten zu tun?

Die oberflächlichen Erklärungen von Silo-Identitäten, SSO und Online-Ausweis sagen bereits viel über die Beteiligten aus, die bei digitalen Identitäten relevant sind. Ein kurzer Überblick.

 

Wer hat mit digitalen Identitäten zu tun?
Isolierte Identität/Silo-Identität Single Sign-On Online-Ausweis (eID bzw. Smart-eID)
User/Userin: Die natürliche oder juristische Person nutzt die digitale Identität, um sich für Online-Services zu authentisieren. User/Userin: Die natürliche oder juristische Person nutzt die digitale Identität, um sich für Online-Services zu authentisieren. User/Userin: Die natürliche oder juristische Person nutzt die digitale Identität, um sich für Online-Services zu authentisieren (oder zu identifizieren). Sie ist im Besitz der Identität.
Serviceanbieter: Als Betreiber der Website stellt er Usern und Userinnen ihre digitalen Identitäten zur Verfügung. Er fungiert im Silo-Modell also selbst als ID-Provider Serviceanbieter: Als Betreiber der Website bietet er Usern und Userinnen Online-Dienstleistungen an. Serviceanbieter: Als Betreiber der Website bietet er Usern und Userinnen Online-Dienstleistungen an. Indem er den Online-Ausweis über verschiedene Ident-Verfahren einbindet, kann er entweder selbst den elektronischen Identitätsnachweis erbringen oder einen externen Identifizierungsdiensteanbieter die Authentifizierung (sowie bei Bedarf die Identifizierung) der Nutzenden übernehmen lassen.
ID-Provider: Ein Tech-Unternehmen übernimmt die Rolle des ID-Providers, indem es für Serviceanbieter die Identität eines Users/einer Userin bestätigt. Aussteller: Zwar wird der Online-Ausweis von der Bundesdruckerei GmbH realisiert. Die Ausstellung übernimmt jedoch die jeweilige Meldebehörde.

Sicherheit, Datenschutz und Regulierung bei digitalen Identitäten

Identitäten selbstbestimmt verwalten – das klingt gut. Aber wie sicher sind die Nachweise auf dem Smartphone? Weitaus sicherer als Nutzerdaten bei Serviceanbietern und großen Plattformbetreibern. Denn hier spielen Datenschutz und Datensouveränität eine allenfalls untergeordnete Rolle.

Isolierte digitale Identitäten: Jedes Passwort ist knackbar 

Dass 90 verschiedene digitale Identitäten zu 90 unterschiedlichen Passwörtern führen, wäre eigentlich eine gute Nachricht. Dann hätten Hacker mehr Arbeit und vielleicht weniger „Lust“ auf einen Datenklau. Jedoch kommt oft beim Online-Banking dasselbe Passwort zum Einsatz wie beim Streaming und beim Versandhandel. Ob dieses Passwort durch Sonderzeichen und Co. dann zumindest ein starkes ist, steht auf einem anderen Blatt. Passwortmanager können denen, die es sich gern leicht machen, helfen. Knacken Hacker diese Tools – so geschehen Ende 2022 beim Anbieter LastPass –, dann haben sie allerdings Zugang zu sämtlichen Accounts. Ein weiteres Problem: Die meisten Passwörter lassen sich ohne viel Aufwand zurücksetzen. Daher ist jedes von ihnen gerade mal so sicher wie das Passwort des eigenen E-Mail-Accounts, wie der Digitalverband Bitkom in seinem Paper „Vertrauen stärken “ anmerkt. 

 

Zwei-Faktor-Authentisierung schafft Sicherheit 

Das zeigt: Der oder die Einzelne hat im Falle der Silo-Identität nur bedingt Kontrolle über die eigenen Daten. Sie liegen beim jeweiligen Serviceanbieter auf einem Server, über dessen Standort und Anfälligkeit für Cyberangriffe meist wenig bekannt ist. Zusätzliche Sicherheit schafft eine Zwei-Faktor-Authentisierung (2FA). Die Eingabe des Passworts reicht dann nicht mehr aus. Vielmehr ist ein zweiter Sicherheitsfaktor gefragt. Das kann neuerdings etwa ein einmaliger Bestätigungscode sein, der ans Smartphone gesandt oder telefonisch durchgegeben wurde. Auch biometrische Merkmale wie der Fingerabdruck funktionieren als zweiter Faktor, ebenso wie ein USB-Token oder – Beispiel Arztpraxis – eine Chipkarte.

 

Silo-Identitäten: Souverän geht anders

Unabhängig davon, ob 2FA oder nicht: An Silo-Identitäten haftet noch ein anderes Problem: Die im Account hinterlegten Identitätsattribute sind in vielen Fällen nicht die einzigen Daten, die die Identität eines Nutzers oder einer Nutzerin ausmachen. So begreifen viele Definitionen auch Verhaltensdaten, die der jeweilige Serviceanbieter automatisch generiert, als Teil einer digitalen Identität – Suchverläufe, Käufe, Standorte oder Zugriffszeiten etwa. „Mit diesen digitalen Identitäten machen die IT-Dienste Werbung und/oder verkaufen diese an andere Firmen“, schreibt Prof. Dr. Norbert Pohlmann, der unter anderem dem Bundesverband IT-Sicherheit vorsitzt, auf seiner Website. „Das tun sie insbesondere, wenn das Geschäftsmodell ‚Bezahlen mit persönlichen Daten‘ zur Anwendungen kommt.“

Single Sign-Ons: Abhängigkeit statt Selbstbestimmung

Dieses Geschäftsmodell ist untrennbar mit globalen Tech-Riesen verbunden. Und deren Single Sign-Ons zwingen die User und Userinnen zusätzlich in ein starkes Abhängigkeitsverhältnis. „Wenn sich der Anbieter aus irgendeinem Grund entscheidet, meinen Account zu löschen, dann sind alle Dienste weg, für die ich den Single-Single-On nutze“, erklärt zum Beispiel Helge Michael, Leiter des Projekts IDunion bei neosfer, im Interview mit der Bundesdruckerei-Gruppe

 

„Wenn sich der Anbieter aus irgendeinem Grund entscheidet, meinen Account zu löschen, dann sind alle Dienste weg, für die ich den Single-Single-On nutze.“

 

Helge Michael, Projektleiter IDunion

Die Daten pro forma auf einen anderen Account zu übertragen, ist aber ebenso wenig möglich. Als weitere Nachteile nennt Michael die Anfälligkeit zentraler Konzernserver für Hacker und Hackerinnen sowie die Datenkorrelation, die dem SSO-Anbieter Einblick gibt, was Nutzende unter ihren digitalen Identitäten auf anderen Plattformen tun. „Loggt sich ein User während der Arbeitszeit bei einer Singlebörse ein, weiß der Anbieter der Identität darüber Bescheid“, so Michael. Im SSO-Modell geben die Nutzenden die Kontrolle über ihre Daten ab, wissen nicht, was damit passiert. Sicher ist nur: Die Tech-Riesen werden sie kommerziell verwerten.

Damit sind Single Sign-Ons nach Ansicht einiger Rechtsexperten und -expertinnen auch datenschutzrechtlich problematisch. Eine explizite Einwilligung, dass Plattformbetreiber und Serviceanbieter beim SSO Daten, beispielsweise zum Nutzerverhalten, austauschen, holen die jeweiligen Websites bislang nicht immer ein.

Höchste Sicherheit durch die (Smart-)eID

Wer hoheitliche digitale Identitäten nutzt, muss sich keine Sorgen über Datensicherheit und -kontrolle machen. Bei der BundID beispielsweise werden alle Daten DSGVO-konform verwaltet. Und es steht den Nutzenden frei, sich statt mit einem Passwort mit dem Online-Ausweis einzuloggen, den sie in ihrem Portemonnaie bzw. auf ihrem Smartphone haben. Damit wären sie vollends sicher unterwegs. Der deutsche Personalausweis gilt als eines der fälschungssichersten Identitätsdokumente der Welt. Und diese Auszeichnung kann er auch im virtuellen Raum für sich reklamieren. Das Bundesministerium des Innern und für Heimat fasst auf seinem Personalausweisportal die zentralen Sicherheitsmechanismen des Online-Ausweises zusammen:

 

Eine besondere Form der Zwei-Faktor-Authentisierung: Um die hoheitliche digitale Identität einzusetzen, muss eine Person einerseits im Besitz des Personalausweises sein und andererseits ihre persönliche, selbst gewählte PIN kennen. Und während beim Zurücksetzen eines Passworts per E-Mail Cyberkriminelle im Zweifel auf das Postfach zugreifen, erfordert die Rücksetzung der persönlichen PIN – zugegeben recht traditionell – den Weg übers Bürgeramt.

Volle Kontrolle bei der Datenübertragung: Nutzende können ihre Daten nur an einen Diensteanbieter übermitteln, nachdem sie ihren Perso an ein Smartphone oder einen Kartenleser gehalten und die PIN eingegeben haben. Die Kontrolle beim Auslesen verbleibt beim Inhaber oder bei der Inhaberin – selbst im Falle eines Verlusts des physischen Dokuments.

Gegenseitige Authentisierung: Bei der Nutzung der eID authentisiert sich eine Person gegenüber einer Website. Deren Betreiber authentifiziert die Person dann, stellt also anhand des Online-Ausweises ihre Echtheit fest. Doch auch der Diensteanbieter selbst weist sich gegenüber der eID aus. Erst, wenn seine Authentizität belegt ist, kann die Datenübertragung stattfinden – und zwar Ende-zu-Ende-verschlüsselt.

Die eIDAS-Verordnung und ihre Anforderungen an digitale Identitäten

Wie sicher der Online-Ausweis ist, wird auch mit Blick auf die eIDAS-Verordnung der Europäischen Union deutlich. Dieses Regelwerk für „Electronic Identification, Authentication and Trust Services“ schuf 2014 die Rahmenbedingungen für die grenzüberschreitende elektronische Identifizierung in Europa. Im Sinne des digitalen Binnenmarkts sollte es etwa der Bevölkerung in jedem Mitgliedsstaat möglich sein, für Verwaltungsprozesse oder die Eröffnung eines Bankkontos die eigene Identität komplett digital nachzuweisen. 

 

Eine Frau hält ein Tablet und sitzt am Tisch.

Eine Frau hält ein Tablet und sitzt am Tisch.

Seit 2018 können die Mitgliedsstaaten die eID-Systeme der anderen EU-Länder auf freiwilliger Basis bei der Europäischen Kommission notifizieren. Das niedrigste Vertrauensniveau gemäß eIDAS heißt „niedrig“, das mittlere „substanziell“ und das höchste „hoch“. Der Notifizierung folgt eine verpflichtende Anerkennung der eID. Deutschlands Online-Ausweisfunktion erfüllt das Vertrauensniveau „hoch“. Das bedeutet: In jedem Bereich, in dem ein Mitgliedsstaat eine elektronische Identifizierung auf dem Niveau „hoch“ oder darunter vorsieht, kann der Online-Ausweis, der elektronische Aufenthaltstitel (eAT) oder die Unionsbürgerkarte zum Einsatz kommen.

Das freiwillige Notifizierungssystem sowie der Umstand, dass viele EU-Staaten nach wie vor keine eigene eID eingeführt haben, waren indes entscheidend für eine Überarbeitung der eIDAS-Verordnung. eIDAS 2.0 verpflichtet die Mitgliedsstaaten jetzt dazu, ihren Einwohnern und Einwohnerinnen eine digitale Identität zur Verfügung zu stellen, die sich aufgrund harmonisierter Standards automatisch grenzüberschreitend nutzen lässt. Auch dazu später mehr.

Sicherheit plus: Identifizierung mit digitalen Identitäten

Die Identifizierungsregelungen der eIDAS-Verordnung fördern einen weiteren Vorteil des Online-Ausweises zutage. Denn im Gegensatz zu isolierten Identitäten und Single Sign-Ons kann man sich mit der hoheitlichen digitalen Identität nicht nur authentisieren, sondern eben auch identifizieren. In diesem Prozess muss eine Person sich eindeutig zu erkennen geben. In der „echten“ Welt muss sie dafür ein gültiges Identitätsdokument vorlegen. Anhand des Passbilds sowie der biometrischen Daten überprüft der Anbieter einer Dienstleistung, ob die Person wirklich diejenige ist, für die sie sich ausgibt. Online ließe sich die Identifizierung wie eine Art „Registrierung plus“ beschreiben. Bei der normalen Registrierung gibt eine Person nur an, wer sie ist. Bei der Identifizierung liefert sie direkt noch den Beweis für ihre Angabe. Und wie Sichtausweise (beispielsweise Personalausweis und Reisepass) in der analogen Welt ist der Online-Ausweis im virtuellen Raum das einzige „rechtlich wasserdichte“ Identifizierungsmittel.

Der Hintergrund der elektronischen Identifizierung in Deutschland

Eine elektronische Identifizierung ist dann zwingend nötig, wenn Nutzende eine besonders sensible Dienstleistung in Anspruch nehmen wollen. Eine Dienstleistung, für die eine einwandfreie Identitätsfeststellung – auch im analogen Raum – unabdingbar ist. Die Beantragung von digitalen Verwaltungsleistungen gehört dazu, genauso wie die Eröffnung eines Bankkontos, für die das Geldwäschegesetz (GwG) eine eingehende Identitätsprüfung verlangt. Wer einen neuen Mobilfunkvertrag abschließen möchte, muss sich gemäß dem Telekommunikationsgesetz (TKG) ebenfalls eindeutig identifizieren, mithilfe eines gültigen hoheitlichen (Identitäts-‍)Dokuments.

Derzeit existieren eine Handvoll Ident-Verfahren, die Diensteanbieter einbinden können, um Nutzende online zu identifizieren. Die beiden Verfahren, die auf dem Online-Ausweis basieren, sind nicht nur die bequemsten aus Nutzer- und Diensteanbietersicht, sondern auch die sichersten. Sie sind die einzigen Ident-Verfahren, die vollständig die Vorgaben des GwG, des TKG sowie der eIDAS-Verordnung erfüllen. Das in Deutschland allmählich Fahrt aufnehmende E-Government wird ebenfalls vom Online-Ausweis profitieren – ganz gleich, ob dieser auf dem Chip des Personalausweises oder direkt auf dem Smartphone gespeichert ist. 

Das Onlinezugangsgesetz (OZG) sieht den Einsatz der eID explizit vor. Mit ihr kann sich eine Person demnach auch für die BundID, das Nutzerkonto für öffentliche Verwaltungsleistungen, registrieren und später auf Wunsch authentisieren. Und zwar auf höchstem Vertrauensniveau. Die andere Variante, eine Identifizierung mit dem ELSTER-Zertifikat, erfüllt dagegen „lediglich“ die Vorgaben des Vertrauensniveaus „substanziell“. 

Mit dem Online-Ausweis für andere Identitätsnachweise identifizieren

Als notifiziertes Identifizierungsmittel nach eIDAS dient der Online-Ausweis ebenso der Beantragung von Vertrauensdiensten, die in der Verordnung definiert sind – und die ihrerseits als digitaler Identitätsnachweis auf Dokumenten dienen. Mit qualifizierten elektronischen Signaturen etwa belegen natürliche Personen ihre Identität, qualifizierte elektronische Siegel sind an juristische Personen gebunden. Angehörige des Gesundheitssektors wiederum können die eID nutzen, um sich für elektronische Heilberufsausweise (eHBA) und Praxisausweise (SMC-B) zu identifizieren.

 

Aktueller Kontext bei digitalen Identitäten

Akzeptanz digitaler Identitäten 

Der Online-Ausweis hat zweifellos Potenzial mit Blick auf die elektronische Identifizierung und Authentisierung. Eine Umfrage der Bundesdruckerei GmbH von 2020 legt zudem nahe, dass sich die Menschen in Deutschland durchaus mit einer hoheitlichen Identitätslösung anfreunden könnten. Auf die Frage, wer digitale Identitäten ausstellen sollte, nannten 49 Prozent den Staat. 8 Prozent würden ihre digitale Identität am liebsten direkt von der Europäischen Union erhalten. Auf private Anbieter aus Europa entfiel gerade einmal 1 Prozent der Stimmen. US-Unternehmen rangierten im Promillebereich.

Die Infografik illustriert Daten aus dem eGovernment MONITOR 2023.

Die Infografik illustriert Daten aus dem eGovernment MONITOR 2023.

Zugegeben: Fast ein Drittel der Befragten (29 Prozent) gab an, von keinem der genannten Anbieter eine digitale Identität beziehen zu wollen. Dennoch scheint die staatliche ID eine gewisse Akzeptanz zu genießen. Der eGovernment MONITOR 2023 bestätigt das. Hier unterstützen 53 Prozent den Gedanken einer einheitlichen Identifikationsmöglichkeit. Jede zweite Person wünscht sich dafür den Online-Ausweis. Dessen Nutzende sprechen sich sogar zu 85 Prozent für ihn aus.

Die Nutzung des Online-Ausweises

Das große Problem: Die Nutzung des Online-Ausweises hinkt seiner Akzeptanz sowie seiner Bekanntheit massiv hinterher. Im eGovernment MONITOR 2023 erklären immerhin 62 Prozent der Befragten, mit dem Begriff – mehr oder weniger – vertraut zu sein. Doch nur 14 Prozent haben die Online-Ausweisfunktion nach eigener Aussage bereits mindestens einmal genutzt. Zumindest ein Anstieg um 4 Prozent gegenüber dem Vorjahr, aber noch immer zu wenig. Nur 30 Prozent haben ihre persönliche PIN aktiviert, wodurch die digitale Identität überhaupt erst nutzbar wird. Unter den Nutzenden sticht die Generation Z mit 28 Prozent hervor, die Boomer-Jahrgänge rangieren bei nur 10 Prozent, während die Nutzerzahl in der Generation X um immerhin 6 Prozentpunkte auf 14 Prozent gewachsen ist.

Was aber hemmt die Menschen, den Online-Ausweis zu nutzen? An zu großer Komplexität scheint es jedenfalls nicht zu liegen. Nur 17 Prozent der eGovernment-MONITOR-Befragten halten das Konzept für „zu kompliziert“. Mit „sehe für mich keinen Nutzen/Vorteil darin“ antworteten ebenfalls nur 21 Prozent. Derweil machten jedoch 38 Prozent der Teilnehmenden mangelndes Wissen über die Anwendungsmöglichkeiten als Hemmnis aus. Diese Antwortmöglichkeit ist damit die Spitzenreiterin der Umfrage. Von der mangelnden Bekanntheit abgesehen, dürfte die Nutzung des Online-Ausweises auch darunter leiden, dass zurzeit noch konkrete Anwendungsfälle in der Privatwirtschaft fehlen.

Anwendungsfelder: Online-Ausweis, Smart-eID, eGK und eHBA

Wo die Online-Ausweisfunktion zur Anwendung kommt

Dabei sind die Anwendungsszenarien vielfältig. Grundsätzlich ist mit dem Online-Ausweis Folgendes möglich:

  • Identifizierung für sensible Services, zum Beispiel im Finanzwesen
  • Log-in bzw. Authentisierung, in Abgrenzung zur unsicheren Nutzername-Passwort-Kombination
  • Pseudonymer oder anonymer Log-in – Nutzende melden sich bei Diensteanbietern wie beispielsweise einem Forenbetreiber an, geben ihm allerdings nicht ihre persönlichen Daten preis 
  • Altersverifikation, etwa bei bestimmten Online-Shops oder Mediatheken bzw. Streaminganbietern
  • Formularfunktion zum Ausfüllen von Anträgen etc.

Schon heute kann man mit dem Online-Ausweis Elterngeld, BAföG oder auch Leistungen rund um die Kfz-Zulassung komplett digital beantragen. Und mindestens mittelbar verschafft er Bürgern und Bürgerinnen Zugang zu jeder weiteren Verwaltungsleistung, die gemäß OZG zu digitalisieren ist. Eben weil man sich mit der Online-Ausweisfunktion für die BundID auf höchstem Vertrauensniveau identifizieren und sie im Zusammenhang mit jenem Nutzerkonto zur Authentisierung nutzen kann. Der Registrierungsprozess beim KulturPass der Bundesregierung funktioniert nur mit der staatlichen eID.

Darüber hinaus können sich Deutsche mit ihrem Online-Ausweis für die digitale Rentenübersicht bei der Deutschen Rentenversicherung Bund identifizieren und authentisieren. Auch die Pronova BKK hat die digitale Identität eingebunden, damit sich Versicherte für den Webservice der Krankenkasse identifizieren können. Im Bereich der Privatwirtschaft bieten beispielsweise die ING und die comdirect Neukunden und Neukundinnen die Identifizierung mittels Online-Ausweis an, um Depots und Girokonten zu eröffnen. 

Dass Serviceanbieter daran interessiert sind, die hoheitliche eID einzubinden, zeigt das Projekt AusweisIDent Easy von Governikus und D-Trust, dem Vertrauensdiensteanbieter der Bundesdruckerei-Gruppe. Die Partner boten Unternehmen, Behörden und Bildungseinrichtungen 100 Testpakete ihres Diensts AusweisIDent, die innerhalb von drei Monaten vergriffen waren. Möglicherweise werden also in der nächsten Umfrage weniger Menschen konkrete Use Cases für den Online-Ausweis vermissen. Insbesondere die handliche Smart-eID könnte zu einer Zunahme der Anwendungen führen und Usability-bedingte Nutzungshürden abbauen.

 

Digitale Identitäten fürs Gesundheitswesen

Schon jetzt können sich Menschen mittels Online-Ausweis für spezielle Webservices ihrer Krankenversicherung anmelden. Dank dem Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPMG) soll bald noch mehr möglich sein. Grund dafür ist die GesundheitsID, die ab 2024 alle Versicherten für sich erstellen können. Der sechsstellige Code wird der Anmeldung für verschiedene digitale Anwendungen dienen, darunter das Herzstück der Telematikinfrastruktur (TI), die elektronische Patientenakte (ePA), sowie das E-Rezept.

Die Identifizierung soll mittels elektronischer Gesundheitskarte – die in Kürze aufs Smartphone kommt – und der dazugehörenden PIN erfolgen. Die Techniker Krankenkasse setzt hingegen zusätzlich auf die Online-Ausweisfunktion. „Mit der Online-Ausweisfunktion des Personalausweises existiert in Deutschland bereits ein sicheres Verfahren, um sich digital zu identifizieren“, sagt der TK-Vorstandsvorsitzende Dr. Jens Baas. „Es ist unnötig kompliziert für Versicherte, wenn sie für Gesundheitsanwendungen den separaten Prozess mit Versichertenkarte und PIN verwenden sollen. Daher bieten wir auch die Anmeldung mit dem Personalausweis an.“

eHBA und SMC-B: Identitäten für Berufsgruppen und Institutionen

Ärzte und Ärztinnen sowie andere Mitarbeitende des Gesundheitswesens müssen ebenso auf TI-Anwendungen wie die elektronische Patientenakte (ePA) zugreifen. Vorausgesetzt, die Versicherten berechtigen sie dazu. Dafür nutzen sie ihren elektronischen Heilberufsausweis (eHBA), mit dem sie sich in der Telematikinfrastruktur als Angehörige ihres Berufs ausweisen und – dank QES – Dokumente wie den elektronischen Arztbrief, das E-Rezept oder den E Medikationsplan bearbeiten können. Die Identität ihrer Institution weisen Ärzte, Ärztinnen und Co. mit dem Praxisausweis nach, der sogenannten SMC-B. eHBA und SMC-B bieten weitere digitale Identitäten im Gesundheitswesen.

Noch sind beide Ausweise als Chipkarte erhältlich – bei der D-Trust GmbH sogar nach elektronischer Identifizierung mit dem Online-Ausweis. Im Rahmen der von der gematik konzipierten TI 2.0 sollen die Berufs- und Institutionsausweise jedoch mittelfristig virtuell verfügbar sein. Das Institutionszertifikat SM-B von D-Trust, das sich zunächst an Krankenkassen, Kassen(zahn)ärztliche Vereinigungen und andere Organisationen richtet, bietet eine komplett hardwareunabhängige Authentisierungsmöglichkeit.

Wie sieht die Zukunft der digitalen Identitäten aus?

Egal ob als Karte oder Zertifikat: eHBA und Praxisausweis weiten die Perspektive auf das Thema digitale Identitäten. Jedenfalls definiert sich eine Person über mehr als ihren Namen, ihre Adresse oder ihre biometrischen Merkmale. Zur Identität gehören auch berufsbezogene Attribute wie Bildungsabschlüsse oder womit man sein Geld verdient. Mit ihrem eHBA und der SMC-B können Ärztinnen und Physiotherapeuten eine dieser Facetten sogar explizit in der TI belegen. Die Szenarien, in denen elektronische Nachweise Prozesse digitalisieren können, reichen indes weit über den Gesundheitssektor hinaus. Dessen war sich auch die Europäische Kommission bewusst, als sie 2021 einen Vorschlag für eine Reform der eIDAS-Verordnung erarbeitete.

Die EUDI-Wallet als europäische digitale Identität

In der Form, die Kommission, EU-Parlament und Rat der Europäischen Union im Trilogverfahren am 8. November 2023 beschlossen haben, trifft eIDAS 2.0 zwei wegweisende Regelungen für eine europäische digitale Identität (EUDI). Die erste sieht neue Vertrauensdienste vor, zum Beispiel die qualifizierte elektronische Attestierung von Attributen (QEAA). Das Prinzip kurz erklärt: Eine zuverlässige Institution validiert digital, dass eine natürliche oder juristische Person eine bestimmte Eigenschaft – ein sogenanntes Attribut – erfüllt. 

Als „staatlich autorisierte Primärquelle“ könnte etwa das Zentrale Fahrzeugregister des Kraftfahrt-Bundesamts (KBA) einem Menschen elektronisch attestieren, dass er zum Führen eines Pkw berechtigt ist. Attribute aus anderen „Primärquellen“, beispielsweise Hochschulabschlüsse, könnte ein qualifizierter Vertrauensdiensteanbieter bestätigen. QEAA sind also nichts anderes als digitalisierte Nachweise und Berechtigungen. 

Womit die zweite entscheidende eIDAS-2.0-Regelung in den Fokus rückt. Denn die QEAA sollen am Ende gesichert in der EUDI-Wallet (EUDIW) vorliegen. Diese digitale Brieftasche muss jeder EU-Mitgliedsstaat seiner Bevölkerung bis voraussichtlich Ende 2026 zur Verfügung stellen. Die EUDIW bündelt wichtige Nachweise, ist grenzübergreifend einsetzbar und basiert auf Personal ID Data (PID), deren Grundlage in Deutschland aller Voraussicht nach die Online-Ausweisfunktion legt. Smartphone-Besitzer und -Besitzerinnen können dank der europäischen digitalen Identität Basismerkmale, aber eben auch Berufszugehörigkeiten, Berechtigungen oder Abschlüsse in Sekundenschnelle bei Diensteanbietern nachweisen. 

Wer sich zum Beispiel auf eine Stelle bewirbt, könnte über die Wallet ein Hochschul- oder Berufsschulzeugnis sowie möglicherweise Zertifikate von Fortbildungen einreichen. Wer einen Mietwagen buchen möchte, reicht einen direkt vom KBA attestierten digitalen Führerschein ein. Und wer sich in der Telematikinfrastruktur anmelden muss, um auf die ePA zuzugreifen, braucht in naher Zukunft wahrscheinlich keine Chipkarte mehr in ein Terminal stecken. Kurz: Die EUDIW erleichtert viele Online-Dienstleistungen und ermöglicht volldigitale Prozesse. 

 

Das Ökosystem rund um die europäische digitale Identität

Das Ökosystem rund um die europäische digitale Identität
Institution Funktion
Nutzer/Nutzerin Eine natürliche oder juristische Person als Inhaber oder Inhaberin der EUDI-Wallet.
PID-Provider Ein staatlicher Anbieter stellt einer Person deren Personal ID Data (PID) bereit. Die PID sind nichts anderes als die Basisidentität dieser Person und dürften in Deutschland über die Online-Ausweisfunktion erstellt werden.
Staatlich autorisierte Primärquelle Eine staatliche Stelle bzw. ein staatliches Register, die bzw. das einen bestimmten Nachweis in der analogen Welt ausgibt und eine elektronische Attestierung von Attributen (EAA) in der Wallet speichern kann, wenn sie in der EU notifiziert wird. EAA von staatlich autorisierten Primärquellen haben automatisch die Wirkung des ursprünglichen Nachweises.
Nicht staatlich autorisierte Primärquelle Eine zuverlässige Quelle, die einen bestimmten Nachweis in der analogen Welt ausgeben würde, deren EAA jedoch keine Beweiskraft auf QEAA-Niveau hat. Nicht staatlich autorisierte Primärquellen können öffentliche und privatwirtschaftliche Einrichtungen sein.
Qualifizierter Vertrauensdiensteanbieter Die qualifizierten Vertrauensdienste stehen auf der eIDAS-Trusted-List des jeweiligen EU-Mitgliedsstaats. QEAA werden von den dort gelisteten Vertrauensdiensteanbietern herausgegeben.
Verifier/Relying Party Der Diensteanbieter, bei dem sich ein Nutzer bzw. eine Nutzerin authentisieren kann oder ein Attribut vorzeigen will.

Datenhoheit bleibt bei den Bürgern und Bürgerinnen 

Die EUDI-Wallet macht den Austausch von Identitäts- und Attributsdaten aber bequemer und vertrauenswürdiger. Alle personenbezogenen Daten sind in einer geschützten Umgebung auf dem Smartphone oder Tablet gespeichert. Die Bürger und Bürgerinnen behalten die Kontrolle über ihre Daten und entscheiden selbst, welche Informationen sie mit wem teilen. Das Prinzip der Datenminimierung garantiert zudem, dass nur unbedingt notwendige Informationen geteilt werden. Darüber hinaus stellt die Zertifizierung nach eIDAS sicher, dass die EUDI-Wallet höchsten Sicherheitsansprüchen genügt. Um als Identifizierungsmittel in einem Mitgliedsstaat anerkannt zu werden, muss die EUDI-Wallet nach dem höchsten Vertrauensniveau gemäß eIDAS zertifiziert sein. Im Grunde lässt sie sich damit als selbstbestimmte digitale Identität bezeichnen. Ihr Ökosystem funktioniert grundsätzlich wie das einer Self-Sovereign Identity (SSI).

Im Sinne der Selbstbestimmung ist, dass die großen Digitalkonzerne, die der Digital Markets Act der EU als „Gatekeeper“ aufführt, die Wallet akzeptieren müssen. Und laut Patrick von Braunmühl, Leiter Public Affairs der Bundesdruckerei GmbH, muss die Wallet mit SSO konkurrieren können, um akzeptiert zu werden: „So unbeliebt Behördengänge auch sind – wirklich viele von ihnen müssen Bürger und Bürgerinnen pro Jahr nicht bewältigen.“ Ein reiner E-Government-Einsatz der EUDI sei da zu wenig. „Gelingt es jedoch, die ID-Wallet ähnlich nutzbar zu machen wie einen Single Sign-On, sieht die Sache anders aus“, so von Braunmühl. „Dann fällt das Argument der Datensouveränität wirklich ins Gewicht und die Menschen würden die staatlich autorisierte Lösung nutzen.“

„Jetzt ist es wichtig, dass die nationalen Identitätslösungen interoperabel umgesetzt werden. Es muss außerdem schon an die Implementierung gedacht werden: Hier müssen die Weichen gestellt und ermöglicht werden, dass sowohl Verwaltungen als auch private Unternehmen die eID-Lösungen ab Start der Wallet auch wirklich akzeptieren. Nur so können wir eine breite Nutzung von sicheren digitalen Identitäten ermöglichen.“

Christian Wilke, Geschäftsführer des Verbands Sichere Digitale Identität, zum Vorschlag der EU-Kommission zu eIDAS 2.0 (2021)

Wallet-Prototyp im Test

Wie genau die EUDI aussehen könnte, ist derzeit noch in der Konzeption. Mit der European Blockchain Services Infrastructure (EBSI) existiert eine gemeinsam von den Mitgliedsstaaten betriebene Distributed-Ledger-Lösung. Allerdings veröffentlichte eine Expertengruppe der EU und der Mitgliedsstaaten unabhängig davon eine Toolbox für die technologische Infrastruktur, das Architecture and Reference Framework (ARF). Aus dieser Toolbox leiten sich die technischen Vorgaben ab, innerhalb derer die Wallets der Mitgliedsstaaten entstehen sollen. Sie gelten auch für einen Wallet-Prototyp, an dem derzeit im Auftrag der EU-Kommission gearbeitet wird.

Das Bundesministerium des Innern und für Heimat (BMI) hat auf Basis der Toolbox bereits einen Architektur- und Entwicklungsprozess für einen eigenen Prototyp der deutschen EUDI-Wallet gestartet. Den ersten Schritt machte man mit einem Konsultationsprozess, an dem sich Verbände, Unternehmen, Wissenschaft, die Verwaltung sowie zivilgesellschaftliche Organisationen beteiligten. Die komplette Entwicklung soll maximal transparent sein und ist über die Plattform Open CoDE jederzeit einsehbar.

Parallel laufen europaweit vier große Pilotprojekte, die sogenannten Large-Scale Pilots (LSPs), die unterschiedliche grenzüberschreitende Use Cases testen sollen. Mehr als 250 private Unternehmen und Behörden in 25 Mitgliedsstaaten sowie in Norwegen, Island und der Ukraine erproben die Wallet-Anwendung in den LSPs in grenzüberschreitenden Versuchen.

Digitale Identitäten als Verbandsangelegenheit 

Die European Digital Identity (EUDI) ist ein Meilenstein für die Zukunft digitaler Identitäten in Europa. Aber angesichts unterschiedlicher Technologien und einer Vielzahl von Interessengruppen lässt sich ein linearer Weg zu einem dominierenden Ökosystem derzeit nicht vorzeichnen. Absolute Gewissheit gibt es unter Experten und Expertinnen nur, was den Mehrwert digitaler Identitäten für den Binnenmarkt und das Vertrauen im digitalen Raum an sich angeht. Und gerade, weil dieser Mehrwert so immens ist, braucht es starke Initiativen, die das Thema vorantreiben. Mit seinem „Arbeitskreis Digitale Identitäten“ könnte der Branchenverband Bitkom eine wichtige Rolle spielen. Das Gremium, in dessen Vorstand die D-Trust GmbH vertreten ist, möchte nicht nur die Unternehmen und die Politik sensibilisieren. Es will ebenso eine Harmonisierung von Regularien fördern und die Debatte rund um digitale Identitäten technologieoffen halten.

Ein weiteres Gremium ist der Verband Sichere Digitale Identität (VSDI), der auch den legislativen Prozess rund um die europäische ID-Wallet eng begleitete. Wie der Bitkom-Arbeitskreis setzt sich der VSDI beim Thema digitale Identitäten für eine enge Zusammenarbeit zwischen Staat und Wirtschaft ein. Die erste von insgesamt fünf Kernbotschaften ist jedoch viel grundsätzlicherer Natur. So habe „jeder Mensch in unserer zunehmend digitalen Welt ein Recht auf sichere digitale Identitäten“. Dem ist nichts hinzuzufügen.

Häufig gestellte Fragen zur digitalen Identität

Ob Online-Banking, soziale Netzwerke oder digitale Behördengänge: Um online auf Services zugreifen zu können, müssen Personen auch in der digitalen Welt eindeutig ihre Identität belegen. Dazu benötigen sie eine digitale Identität. Sie entsteht, sobald sich ein Nutzer oder eine Nutzerin online für eine Anwendung registriert oder identifiziert, um sich später wieder einloggen zu können.

Eine digitale Identität kann persönliche Daten wie Benutzername und Meldeadresse oder biometrische Daten umfassen – je nach Angebot kommen verschiedene Verfahren zum Einsatz, mit denen eine Person ihre Identität nachweist. Eine physische Person hat in der virtuellen Welt somit meist mehrere digitale Identitäten, die unterschiedlichen Sicherheitsanforderungen entsprechen.

Die EUDI geht auf die Revision der eIDAS-Verordnung zurück. Diese verpflichtet die Mitgliedsstaaten, natürlichen und juristischen Personen eine ID-Wallet zur Verfügung zu stellen, mit der diese sich grenzüberschreitend für digitale Verwaltungsleistungen, aber auch Angebote der Privatwirtschaft online ausweisen können. Kern der Wallet sind die Personal ID Data (PID), eine Art Basisidentität, die in Deutschland wahrscheinlich über die Online-Ausweisfunktion erstellt wird. Neben den PID soll die elektronische Brieftasche jedoch weitere Nachweise enthalten, zum Beispiel den mobilen Führerschein oder verschiedene Zeugnisse.

Sobald die eIDAS-2.0-Verordnung in Kraft tritt, haben die Mitgliedsstaaten zweieinhalb Jahre Zeit, ihre EUDI-Wallets einzuführen. Aktuell ist von einer Verabschiedung im Frühjahr 2024 auszugehen.

In Deutschland gibt es mehrere Möglichkeiten, sich rein digital zu identifizieren. Die einzigen Verfahren, die alle Anforderungen der eIDAS-Verordnung an den sicheren elektronischen Identitätsnachweis erfüllen, basieren auf der Online-Ausweisfunktion bzw. eID-Funktion des Personalausweises, der Unionsbürgerkarte oder des elektronischen Aufenthaltstitels. Die konkreten Ident-Verfahren sind der eID-Service sowie AusweisIDent.

Allzu oft werden die drei Begriffe Identifizierung, Authentisierung und Authentifizierung mit Blick auf digitale Identitäten gleichgesetzt. Allerdings gibt es gewaltige Unterschiede. Die Identifizierung steht am Anfang einer digitalen Identität und dient deren Erstellung. Die Person zeigt dem Anbieter eines Diensts einwandfrei, wer sie ist, etwas indem sie ihm ihren Online-Ausweis präsentiert. Das Authentisieren entspricht dagegen dem klassischen Log-in, meint also den Prozess an sich. Die bereits identifizierte Person weist ihre Identität durch Wissen (zum Beispiel über ein Passwort), durch biometrische Merkmale (zum Beispiel über einen Fingerabdruck) oder durch den Besitz eines Online-Ausweises bzw. -Nachweises nach. Die Authentifizierung wiederum meint die technische Prüfung und findet beim Anbieter eines Diensts statt, der verifiziert, ob die Person wirklich echt ist.

Artikel
Podcast
Artikel