Mobile Identitäten: alles Wichtige mit dem Smartphone erledigen
Veröffentlicht am 10.04.2020
Mobile Banking oder Fahrkarten kaufen mit dem Smartphone – kein Problem. Doch die meisten Nutzer wollen mehr und etwa auch Angelegenheiten mit der öffentlichen Verwaltung oder ihrem Arzt bequem mobil erledigen. Damit das künftig möglich wird, braucht es Sicherheitsmechanismen auf hohem Niveau. Doch wie funktioniert das?
Komfort versus Sicherheit?
Wenn der Facharzt seinem Patienten dessen Röntgenbild übergeben will, gibt es aktuell dafür zahlreiche Varianten: Er lässt es entwickeln und ausdrucken und gibt es dem Patienten analog mit. Oder er speichert die digitale Bilddatei auf einer Disc oder einem USB-Stick und überreicht sie/ihn seinem Patienten. Manche Ärzte senden die Datei per E-Mail – nicht immer verschlüsselt – oder sie mailen einen Link zum Download der Datei aus einer Cloud. Alle Varianten haben eines gemein: Sie sind mit Aufwand verbunden. Und sind sie wirklich datenschutzkonform?
Immer mehr Bürger aber wünschen sich, den Datenaustausch mit ihren Ärzten und anderen Ansprechpartnern komfortabel online und mobil erledigen zu können. Das geht am einfachsten über das Smartphone. Das Problem dabei: Die Daten müssen hochsicher abgelegt und verschlüsselt werden und der Schlüssel zum Entschlüsseln und zum Zugriff auf die Daten muss sicher auf dem Smartphone gespeichert werden.
Vertrauen als Eintrittskarte
Ein wichtiges Element dabei ist auch, dass Nutzer in die Sicherheit der digitalen Kommunikation und den korrekten Umgang mit ihren sensiblen Daten vertrauen. Naturgemäß haben Nutzer weniger Vertrauen, wenn Daten dezentral gespeichert sind und sie nicht wissen, wer Zugriff auf ihre Daten hat. Das Vertrauen steigt, wenn sie selbst Herr der Daten sind und nachvollziehen können, wer wann Zugriff auf welche Daten hatte, und wenn sie erteilte Berechtigungen auch wieder entziehen können.
Identitätsattribute sicher aufs Smartphone übertragen
Bislang ist es üblich, die eigene Identität mit dem Personalausweis nachzuweisen. Man kann auch schon heute Identitäten ableiten. Zum Beispiel werden beim Postident-Verfahren die Ausweisdaten auf einen speziellen Coupon der Post übertragen und durch Unterschrift und Stempel signiert. Hier findet also eine Ableitung von Personalausweis zu Coupon statt. Auch wer sich bei einem Online- Diensteanbieter mit seinem elektronischen Personalausweis und der Online-Ausweisfunktion authentifiziert, leitet seine Identität ab.
Dieses Prinzip ist auch beim Smartphone nutzbar. Viele moderne Geräte besitzen bereits ein sogenanntes Secure Element (SE). Die unverwechselbaren Attribute einer Identität können aus der sicheren Quelle (z. B. dem elektronischen Personalausweis oder der elektronischen Gesundheitskarte) sicher abgeleitet, auf das mobile Gerät übertragen und an das SE gebunden werden. Der Nutzer benötigt dann nur noch sein Smartphone, um sich online auf einem hohen Sicherheitsniveau zu identifizieren (registrieren) oder zu authentifizieren (anmelden). Der Zugriff auf die ursprünglich sichere Quelle ist nicht mehr nötig.
Denkbar ist dadurch künftig etwa dieses Szenario: Wenn bislang Vater oder Mutter mit dem Kind zum Arzt gehen, muss die Gesundheitskarte des Kindes vorgelegt werden. Der begleitende Elternteil muss vorher daran denken, sie mitzunehmen. Künftig könnten die Daten von der Gesundheitskarte des Kinds auf den Smartphones beider Elternteile gespeichert werden. Vater und Mutter haben dann beim Arzt die notwendigen Informationen stets parat. Die Gesundheitskarte des Kindes könnte möglicherweise auch einfach als virtuelle Gesundheitskarte in die Smartphones der Eltern abgeleitet werden.
Sicherheitsniveau entsprechend dem Schutzbedarf
Je nach Anwendungsfall werden unterschiedliche Vertrauensniveaus (Level of Assurance) benötigt. So wird bei der Online-Kontoeröffnung nach Geldwäschegesetz ein hohes Sicherheitslevel vorausgesetzt. Dazu wird zwingend die Online-Ausweisfunktion des elektronischen Personalausweises benötigt, die nach eIDAS-Verordnung europaweit auf dem Vertrauensniveau “hoch“ notifiziert ist. Daten, die vom Personalausweis auf das Smartphone abgeleitet werden, erreichen zukünftig das Niveau „substanziell“. Das würde beispielsweise für 95 Prozent der E-Government-Anwendungen ausreichen und ermöglicht dem Nutzer eine hundertprozentige Bedienerfreundlichkeit.
Mittelfristig hohe Virtualisierung
Noch wird daran geforscht, wie man klassische Nachweisdokumente – etwa Personalausweise, Gesundheitskarten oder Führerscheine – sicher auf mobile Geräte übertragen kann. Experten gehen davon aus, dass bereits in naher Zukunft die Online-Ausweisfunktion ganz einfach auf dem Smartphone nutzbar ist - ohne, dass der Nutzer sich jedes Mal mit dem Personalausweis authentifizieren muss. Parallel werden auch Verwaltungsprozesse so ausgerichtet, dass sie mit abgeleiteten Identitäten mobil verwendet werden können.
*Quelle: Bitkom, Smartphone-Markt wächst um 3 Prozent auf 34 Milliarden Euro