Digitale Identitäten: So entwickeln sie sich weiter
Veröffentlicht am 02.06.2020
Der durchschnittliche Europäer hat gut 90 digitale Identitäten, Tendenz steigend. Das macht es immer schwerer, diese Identitäten sicher zu managen. Wodurch entstehen so viele digitale Identitäten und woran forschen Wissenschaftler und Industrie, um sie besser organisieren zu können?
Analoge, digitale und mobile Identitäten – worin sie sich unterscheiden
Ob Amazon-Bestellung oder Online-Banking, ob Teamkalender des Fußballvereins oder das Elster-Formular des Finanzamts: Überall da, wo man sich zunächst einmal als Nutzer registriert, um sich später wieder einloggen zu können, entsteht eine digitale Identität.
Aber wie entsteht eigentlich eine Identität?
- Allgemein ist eine Identität im Prinzip eine definierte Menge an Daten, die zu einer Person gehören. Solche Attribute können etwa Name oder Adresse, Fingerabdruck oder Augenfarbe sein.
- Bei einer hoheitlichen digitalen Identität sind diese Attribute durch eine staatliche Stelle bestätigt und etwa im Personalausweis festgehalten.
- Digitale Identitäten entstehen etwa, wenn ein Nutzer sich bei einem Online-Dienst registriert, seine persönlichen Daten angibt und mit einem Benutzernamen und Passwort verbindet. Nicht nur Personen können digitale Identitäten besitzen, sondern auch Objekte wie beispielsweise Fahrzeuge einer Autovermietung.
- Von mobiler Identität ist die Rede, wenn digitale Identitäten auch auf mobilen Endgeräten wie etwa Smartphone oder Tablet ortsunabhängig nutzbar sind.
Datensilos – schwer durchschaubar
Üblicherweise legen Nutzer bei jedem Online-Dienst, bei dem sie ihre Daten neu eingeben müssen, ein neues Konto an. Die Folge sind unzählige Datensilos, die beim jeweiligen Anbieter liegen und in denen unsere Identitätsdaten gespeichert sind. Diese Redundanz birgt Risiken – so steigt angesichts der schieren Menge an unterschiedlich gut geschützten Plattformen das Risiko des Datendiebstahls.
Banken etwa nutzen für die Identifizierung ihrer Neukunden meist das Video-Ident-Verfahren. Damit können Neukunden recht einfach per Videoanruf ein Konto eröffnen. Sie halten ihr Gesicht und ihren Ausweis in die Kamera. Der Bankmitarbeiter auf der anderen Seite entscheidet, ob sich Anrufer und Bild auf dem Personalausweis ausreichend ähnlich sehen, um als ein und dieselbe Person eingestuft zu werden. Eine weitere Identitätsprüfung ist nicht nötig. Das ist sehr bequem – doch mitunter ein Einfallstor für Betrüger. Getarnt als angebliche Bankmitarbeiter, Wohnungsvermieter oder Arbeitgeber stehlen sie die digitale Identität der Bewerber und verwenden sie für kriminelle Zwecke – etwa zur Geldwäsche oder Eröffnung von Fake-Shops. Das hat oft jahrelange unangenehme Folgen für die Opfer. Es zeigt: Nur vertrauenswürdige, sichere Identitätssysteme bilden das Fundament dafür, dass Menschen und Unternehmen effizient und sorgenfrei im Netz kommunizieren können.
Daten als Handelsware
Der Trend beim Einloggen in einen Online-Dienst geht zum „Single Sign-on“. Mit einem einmaligen Log-in melden sich Nutzer bei mehreren Anbietern gleichzeitig an und ersparen sich so eine mehrfache Dateneingabe. Dieses Feld besetzen derzeit mehrere global agierende Unternehmen wie Facebook oder Google, die sich zu dominierenden Anbietern digitaler Identitäten entwickelt haben. Die Facebook-ID wird hierzulande häufiger genutzt als die eID-Funktion des Personalausweises. Die Schattenseite aus Nutzersicht: Facebook und Co. haben sich einen zweifelhaften Ruf als Datenkraken erworben, deren Geschäftsmodell letztlich in der Zusammenführung und kommerziellen Verwertung digitaler Identitäten besteht. Die Datensouveränität des Einzelnen gerät dabei in den Hintergrund. Der Nutzer kann kaum feststellen, was mit seinen Daten geschieht, und verliert die Kontrolle über seine digitale Identität.
Einfach wie Facebook, sicher wie der Ausweis
Der Gegenentwurf sind sichere Lösungen, die auf hoheitlichen Identitäten, einem gesetzlich geregelten Kontext und einer neutralen Infrastruktur basieren. Dies schützt vor intransparenter Nutzung und Missbrauch der Daten. Mehrere Projekte in Deutschland widmen sich aktuell dem Ziel, bei digitalen Identitäten Sicherheit, Datenschutz und Nutzerzentrierung zu verbinden.
In der ersten Phase des Förderprojekts OPTIMOS wurden Smartphones zur sicheren Plattform für hochwertige Daten. In OPTIMOS 2.0 sind nun hoheitliche Dokumente in den Mittelpunkt gerückt. Das Kooperationsprojekt unter Federführung der Bundesdruckerei läuft noch bis Mitte 2020. Beteiligt sind Smartphone-Hersteller, Mobilfunkanbieter, ein Fraunhofer-Institut und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Ziel ist es, von hoheitlichen Dokumenten eine digitale Identität abzuleiten, mit der man sich in Online-Diensten sicher ausweisen kann und die ortsunabhängig nutzbar ist.
Manche hoheitlichen Dokumente haben schon eine Schnittstelle in die digitale Welt. Damit ermöglichen sie ein elektronisches Auslesen, vereinfachen Prüfprozesse und eröffnen Wege zur digitalen Verwaltung. Insbesondere die eID-Funktion des Personalausweises, auch AusweisIDent Online genannt, bietet staatlich überprüfte Daten für digitale Anwendungen.
Kernelemente der Lösung sind eine NFC-Schnittstelle für den kontaktlosen Datenaustausch sowie das sogenannte Secure Element – ein Mikrochip im Smartphone, der über kryptografische Verfahren angesprochen wird. In diesem „Hochsicherheitsbereich“ sind die Applets untergebracht, also die Software für einzelne Anwendungen. Ein weiteres Kernstück der mobilen ID ist der Trusted Service Manager (TSM): ein Hintergrundsystem, das von einer vertrauenswürdigen Einrichtung betrieben wird. Es baut die Verbindungen zum Smartphone auf und fungiert als App-Store, aus dem Nutzer sich Apps herunterladen können. Als „großer Aufpasser in der Mitte“ übernimmt der TSM das Lifecycle-Management von der Eröffnung eines Nutzerkontos über die Aktualisierung von Daten bis hin zur Stilllegung. Die wesentlichen technischen Komponenten sind bereits umgesetzt. Jetzt ist die Herausforderung, eine geeignete Plattform für den wirtschaftlichen Betrieb zu finden. Es geht also um die Frage nach einem passenden Geschäftsmodell: Wer stellt die Leistung bereit, wer bezahlt dafür?
Auch im Gesundheitssektor schaffen die Entwicklungen des OPTIMOS-2.0-Projekts neue Möglichkeiten. Das Forschungsprojekt VEGA, gefördert vom Bundesministerium für Gesundheit, will die Funktion der Online-Identifizierung und -Authentisierung der Gesundheitskarte aufs Smartphone bringen, quasi als mobile Variante der Gesundheitskarte. Damit könnten Versicherte sich etwa per Smartphone gegenüber ihrer Krankenversicherung authentisieren oder Einblick in ihre elektronischen Patientendaten nehmen. Durch die Mitwirkung von Partnern aus dem Gesundheitssektor erhält das Projektteam schnelles Feedback über die Alltagstauglichkeit.
Was im OPTIMOS-2.0-Projekt entwickelt wurde, eignet sich für mehrere Einsatzfelder. Im ONCE-Projekt werden die Ergebnisse in die Breite getragen. Digitale Identitäten beziehungsweise Berechtigungsnachweise – wie der mobile Führerschein – werden für verschiedene Dienstleistungen nutzbar gemacht, beispielsweise Autoverleih oder Hotellerie. Käme ein Geschäftsreisender am Frankfurter Flughafen an, könnte er ein Auto mieten, ohne sich am Schalter des Anbieters anzustellen. Den Autoschlüssel bekäme er auch gleich aufs Handy gespielt. Später würde er elektronisch im Hotel einchecken und hätte den Zimmerschlüssel schon auf seinem Smartphone. Unter den Partnern sind VW, Bosch, Sixt, die Hotelkette Motel One sowie IT-Anbieter.
Damit mobile Führerscheine nicht an Ländergrenzen oder den Endgeräten verschiedener Hersteller scheitern, werden im internationalen Standardisierungsgremium ISO neue technische Standards entwickelt. Im vergangenen Jahr trafen sich Fachleute aus aller Welt in Nebraska, USA, um die Interoperabilität ihrer Lösungen zu testen.
Vom „gläsernen Menschen“ ist im Zusammenhang mit digitalen Technologien häufig die Rede. Wer seine Daten vielen Dienstleistern anvertraut, verliert weitgehend die Kontrolle und den Überblick darüber, was damit geschieht – trotz der gesetzlichen Vorgaben zum Datenschutz. Digitale Selbstbestimmung spielt daher bei neuen Lösungen eine zentrale Rolle. Auch mehrere Projekte unter dem Stichwort „Self-Sovereign Identity“ rücken das Thema in den Vordergrund – mit Blick auf die öffentliche Verwaltung und die Privatwirtschaft. Im Projekt Lissi (Let’s Initiate Self-Sovereign Identity) wird an einer Lösung für Smartphones gearbeitet, bei der die digitalen Identitäten eines Nutzers nicht mehr in verschiedenen Datensilos bei einzelnen Anbietern gespeichert sind. Stattdessen hat der Nutzer die Fäden selbst in der Hand und kann seine Identität selbstbestimmt nutzen. Jede Preisgabe von Identitätsdaten erfordert seine aktive Zustimmung.
Beteiligt sind Partner aus der Bankenbranche, aus Industrie und Wissenschaft sowie die Deutsche Bahn. Konkret sieht die Lösung so aus: Ein Nutzer richtet ein „Wallet“ – eine elektronische Brieftasche – auf seinem Smartphone ein. Darin verwaltet er seine digitalen Identitäten, vom Ausweis über die BahnCard bis hin zur digitalen Mitgliedskarte fürs Fitnessstudio. Diese Identitäten sind von verlässlichen Herausgebern verifiziert und elektronisch signiert – im Fall der Bankkarte etwa vom Geldinstitut. Will der Nutzer beispielsweise online eine Reise buchen, präsentiert er dem Reiseunternehmen ausgewählte Identitätsdaten aus seinem Personalausweis und seiner Bankkarte. Die Gegenseite – der Reiseanbieter, bei dem die Buchung eingegangen ist – prüft die Richtigkeit der Daten anhand des kryptografisch abgesicherten Siegels der ausstellenden Parteien, in diesem Fall Bank und Bürgeramt. So weiß er: Der Kunde ist derjenige, der er zu sein vorgibt. Dazu muss das Unternehmen nicht direkt bei den ausstellenden Parteien anfragen, sondern greift lediglich auf ein öffentliches Verzeichnis zu. Mit diesem Vorgehen können die Identitätsprovider wie Bank oder Bürgeramt keine Rückschlüsse auf die einzelnen Bewegungen des Nutzers im Internet ziehen. Das öffentliche Verzeichnis – in diesem Fall die Blockchain – enthält nicht die Nutzerdaten selbst, sondern ausschließlich Daten, die für die Datenprüfung und -verwaltung nötig sind. Ein Prototyp ist bereits entwickelt. Grundidee bei diesem und ähnlichen Projekten: Selbstbestimmung für den Nutzer.
Muss ein estnischer Student extra nach Berlin kommen, nur um sich vor Semesterbeginn für ein Seminar an der Freien Universität Berlin (FU) einzuschreiben? Mit dem Elektronischen Studienausweis nicht mehr. Das Ergebnis des kürzlich abgeschlossenen Projekts ist ein Prototyp. In diesem Beispiel kann sich der Student von Estland aus mit dem Hoheitsdokument seines Lands gegenüber der FU authentisieren. Dann schickt ihm die Universität den digitalen Studienausweis zu – und los geht es mit der sicheren Nutzung digitaler Dienste.