Der elektronische Personalausweis (eID) spielt im Alltag der meisten Menschen in Deutschland noch immer keine große Rolle. Nur zehn Prozent nutzen derzeit die eID. Und das, obwohl digitale IDs eine Reihe von Vorteilen mit sich bringen: Sie ermöglichen es, sich online und remote ganz bequem über digitale Geräte wie Smartphone oder Tablet auszuweisen. So werden Behördengänge erleichtert oder sogar ganz eingespart, die Authentifizierung bei Bankgeschäften beschleunigt und die Anmeldung bei digitalen Services erleichtert.

Ein Grund für die in einigen Ländern noch schleppende Akzeptanz für digitale Identitätsnachweise ist die Sorge um den Datenschutz. So nannten beispielsweise die Hälfte der Befragten einer Studie von Okta, Bedenken darüber, dass Daten nicht ausreichend geschützt sind (51 %) und die Angst vor Identitätsdiebstahl (46 %) als Hauptgründe für ihre Vorbehalte bezüglich digitaler Ausweissysteme. Diese Vorsicht der Bürgerinnen und Bürger, gepaart mit der Tatsache, dass digitale Identitäten noch nicht flächendeckend länderübergreifend genutzt werden können, verdeutlicht, dass eine einheitliche Lösung im Wirtschaftsraum EU längst überfällig war.

Der Status quo: Viele Ansätze, kein einheitliches System

Weltweit setzen bereits um die 120 Länder eine Form von elektronischen Reisepässen mit hochsicheren Merkmalen ein. Über 70 Länder planen oder entwickeln elektronische Personalausweise. In der Europäischen Union wurde bereits 2014 die eIDAS-Verordnung verabschiedet. Diese enthält verbindliche europaweit geltende Regelungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste, um elektronische Transaktionen oder das Unterzeichnen wichtiger Dokumente im europäischen Binnenmarkt zu erleichtern.

Seither haben eIDs in der EU einen gewissen Reifegrad erreicht. Die Länder, die bei der Umsetzung von eIDAS bereits am weitesten fortgeschritten sind, erlauben es beispielsweise Steuerbehörden, die elektronische Authentifizierung zu nutzen. Dazu gehören z. B. Belgien, Deutschland und Italien. In anderen großen Ländern wie Frankreich, den Niederlanden und Polen gibt es noch Handlungsbedarf, um eine nahtlose Nutzung von eIDs zu ermöglichen.

So können im Staatenverbund der EU auch erst 60 % der Bevölkerung in 14 Mitgliedstaaten ihre eIDs länderübergreifend nutzen und nur 14 % der öffentlichen Verwaltungen erlauben grenzübergreifende Authentifizierung mit einem E-Identity-System.

Bürger möchten die Kontrolle über ihre Daten behalten

Europäer sind vorsichtig, wenn es um ihre personenbezogenen Informationen geht und möchten die Kontrolle über die Daten behalten, die sie weitergeben. Die Realität sieht meist jedoch anders aus: Wir haben häufig keine Ahnung, was mit unseren Daten passiert, wenn eine Anwendung oder Website nach unseren Identitätsdaten, wie Name, Geburtsdatum oder Adresse, fragt. Wir wissen meist nicht, wie diese Informationen verwendet werden oder zu welchem Zweck.

Leider konnte auch die Einführung der eIDs, die von Regierungen oder vergleichbaren Einrichtungen ausgestellt werden, dieses Problem bisher nicht lösen. Das Konzept der Self-Sovereign Identity (SSI) zielt darauf ab, genau dies zu tun.

Self-Sovereign Identity (SSI)

Um zu verstehen, was genau Self-Sovereign Identity bedeutet, lohnt ein Blick auf die Definition von digitaler Identität: Diese ist eine Teilmenge von Attributen einer Person, mit der sie identifiziert werden kann. Je nach Kontext kann eine Person mehrere Identitäten besitzen, die sich aus unterschiedlichen Identitätsdaten zusammensetzen. So können Identitätsanbieter bzw. ID-Provider zum Beispiel eine Kombination aus Benutzername als Attribut der Identifizierung und ein Passwort zur Verifizierung der digitalen Identität verwenden.

Der Cyber-Raum wird derzeit von zentralisierten ID-Providern wie Google, Facebook oder Apple dominiert. Dieses System bedeutet eine Abhängigkeit, weil die ID-Provider eine Art Monopolstellung innehaben. Sie verwalten die Identitätsdaten bei sehr vielen IT-Diensten weltweit und können so die sensiblen personenbezogenen Daten der Nutzer z. B. für eigene ökonomische Interessen nutzen, sprich zu Werbezwecken oder um sie an Dritte zu verkaufen. Das schwächt den Datenschutz der Nutzer.

Self-Sovereign Identity ist ein Konzept, bei dem die Souveränität und der Schutz der Privatsphäre der Nutzer in den Fokus rücken. Dahinter steht die Idee einer lebenslang gleich bleibenden digitalen Identität, die untrennbar mit einer Person, Organisation oder Sache verbunden ist. Sie ist unabhängig von einer zentralen Behörde oder einem Unternehmen und kann nicht entzogen werden. Man könnte SSI auch als Grundrecht auf Identifikation verstehen, mit dem Personen die volle Kontrolle über ihre Daten erhalten, mit denen sie sich bei Websites, Services oder Anwendungen im Web ausweisen.

Ein Beispiel: Der Kauf bestimmter Waren erfordert ein Mindestalter. Um das nachzuweisen, muss man jedoch nicht das genaue Geburtsdatum angeben. Die Information, dass die Person bereits volljährig ist, reicht völlig aus, ohne dass weitere Details oder konkrete Dokumente geteilt werden müssen, die leicht missbraucht werden könnten.

Ein SSI-System ermöglicht Nutzern, den unkomplizierten und sicheren Zugang zu digitalen Angeboten unabhängig von Drittdiensten. Dadurch, dass die digitalen Identitäten nicht von einer zentralen Stelle verwaltet und gespeichert werden, verlagert sich das Identitäts- und Berechtigungsmanagement von einem zentralisierten bzw. föderierten Identitätssystem zu einem nutzerzentrierten Peer-to-Peer-Modell. Das gibt Personen mehr Kontrolle darüber, welche Informationen sie weitergeben, mit wem diese geteilt werden.

Eine für alle: Die EU Digital Identity Wallet

Die neue EU Digital Identity Wallet, ein Projekt der Europäischen Kommission, zielt darauf ab, ein einheitliches digitales Identifikationssystem in Europa durchzusetzen, das eine Self-Sovereign Identity (SSI) ermöglicht, eine Identität, die ausschließlich dem Nutzer gehört. Anfang Dezember haben sich die EU-Staaten in Brüssel auf Regeln für die persönliche digitale Brieftasche auf dem Smartphone verständigt. Sie soll bis September 2023 bereit sein und wird die Art und Weise, wie Personen in der EU ihre digitalen Identitäten nutzen und ihre digitale Sicherheit verwalten, erheblich verändern.

Die europäische digitale Identität wird jeder Person, die Anspruch auf einen amtlichen Personalausweis hat, sowie Unternehmen zur Verfügung stehen, die sich ausweisen und bestimmte Identitätsdaten bestätigen möchten. Die Idee ist, dass sie diese online und offline im öffentlichen und privaten Sektor nutzen können und steht im Einklang mit der Datenschutz-Grundverordnung (DSGVO).

Zusammenarbeit bei den technischen Standards

Identität ist das Herzstück von eIDs und Digital Wallets. Um diese europa- oder sogar weltweit durchzusetzen, braucht es Interoperabilität und gemeinsame Standards. Ein solcher Standard ist SAML, auf der auch die EU-Implementierung von eID aufbaut. SAML ist die Abkürzung für Security Assertion Markup Language, ein XML-basiertes Framework für den Austausch von Authentifizierungsinformationen, das für die Kommunikation zwischen eID-Notes verwendet wird und Interoperabilität und grenzüberschreitende Funktionalität ermöglicht. So treibt beispielsweise Okta, als ein unabhängiger Identity-Provider, die Standardisierung aktiv voran, indem er SAML unterstützt und über ein Integrationsnetzwerk die Authentifizierung mit vertrauenswürdigen und sicheren Methoden erlaubt, z. B. die Integration mit Bank-ID in Schweden oder aber FranceConnect in Frankreich. Dabei werden zudem Normungsgremien wie ISO oder und NIST unterstützt.

Ausblick

Die Zukunft der Identität in Europa gehört Identity-Frameworks, die auf offenen Standards basieren, digitale Identifikatoren und überprüfbare Berechtigungsnachweise verwenden, mobiltelefonunabhängig sind und einen vertrauenswürdigen Datenaustausch ermöglichen. Genau darum geht es bei der Self-Sovereign Identity, die die neue Digital Wallet der Europäischen Kommission ermöglichen soll. Wir sehen, dass es noch einige Herausforderungen gibt, wenn es um den grenzübergreifenden Einsatz geht. Der Grundstein ist jedoch gelegt und mit offenen Standards und einer engen Zusammenarbeit von Regierungen und Wirtschaft, kommen wir dem Ziel, Bürgerinnen und Bürgern die Kontrolle über ihre digitalen Identitäten und Daten zurückzugeben, einen entscheidenden Schritt näher.

ZDNet.de Redaktion

Recent Posts

Digitale Matching-Plattform für Unternehmen und IT-Freelancer

Damit IT-Freelancer und Unternehmen einfacher zueinander finden, hat der Personaldienstleister Hays die Matching-Plattform "Tribeworks" gelauncht.

3 Stunden ago

Mit ChatGPT und Dall-E richtig starten

Kostenloses Webinar der Online-Marketing-Academy am 18.7. zum Einstieg in KI-Tools.

3 Stunden ago

Podcast: Geschäftsprozesse mit generativer KI automatisieren

Wie sich unstrukturierte Daten unter anderem für die Automatisierung von Rechnungsprozessen nutzen lassen, erklärt Ruud…

4 Stunden ago

Was macht Check Point als attraktiver Arbeitgeber aus?

Kim Forsthuber von Checkpoint erklärt, wie sie zum Security-Anbieter gekommen ist und was sie an…

2 Tagen ago

Android-Malware Rafel RAT aufgedeckt

Bösartiges Tool wird für Spionage, Fernzugriff, Datenklau und Ransomware verwendet. Check Point-Sicherheitsforscher beobachten Angriffe in…

2 Tagen ago

US-Regierung verhängt Verkaufsverbot gegen Kasperskys Antivirensoftware

Es tritt bereits im Juli in Kraft. Ab Ende September wird auch der Wiederverkauf von…

2 Tagen ago