Der elektronische Personalausweis (eID) spielt im Alltag der meisten Menschen in Deutschland noch immer keine große Rolle. Nur zehn Prozent nutzen derzeit die eID. Und das, obwohl digitale IDs eine Reihe von Vorteilen mit sich bringen: Sie ermöglichen es, sich online und remote ganz bequem über digitale Geräte wie Smartphone oder Tablet auszuweisen. So werden Behördengänge erleichtert oder sogar ganz eingespart, die Authentifizierung bei Bankgeschäften beschleunigt und die Anmeldung bei digitalen Services erleichtert.
Ein Grund für die in einigen Ländern noch schleppende Akzeptanz für digitale Identitätsnachweise ist die Sorge um den Datenschutz. So nannten beispielsweise die Hälfte der Befragten einer Studie von Okta, Bedenken darüber, dass Daten nicht ausreichend geschützt sind (51 %) und die Angst vor Identitätsdiebstahl (46 %) als Hauptgründe für ihre Vorbehalte bezüglich digitaler Ausweissysteme. Diese Vorsicht der Bürgerinnen und Bürger, gepaart mit der Tatsache, dass digitale Identitäten noch nicht flächendeckend länderübergreifend genutzt werden können, verdeutlicht, dass eine einheitliche Lösung im Wirtschaftsraum EU längst überfällig war.
Weltweit setzen bereits um die 120 Länder eine Form von elektronischen Reisepässen mit hochsicheren Merkmalen ein. Über 70 Länder planen oder entwickeln elektronische Personalausweise. In der Europäischen Union wurde bereits 2014 die eIDAS-Verordnung verabschiedet. Diese enthält verbindliche europaweit geltende Regelungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste, um elektronische Transaktionen oder das Unterzeichnen wichtiger Dokumente im europäischen Binnenmarkt zu erleichtern.
Seither haben eIDs in der EU einen gewissen Reifegrad erreicht. Die Länder, die bei der Umsetzung von eIDAS bereits am weitesten fortgeschritten sind, erlauben es beispielsweise Steuerbehörden, die elektronische Authentifizierung zu nutzen. Dazu gehören z. B. Belgien, Deutschland und Italien. In anderen großen Ländern wie Frankreich, den Niederlanden und Polen gibt es noch Handlungsbedarf, um eine nahtlose Nutzung von eIDs zu ermöglichen.
So können im Staatenverbund der EU auch erst 60 % der Bevölkerung in 14 Mitgliedstaaten ihre eIDs länderübergreifend nutzen und nur 14 % der öffentlichen Verwaltungen erlauben grenzübergreifende Authentifizierung mit einem E-Identity-System.
Europäer sind vorsichtig, wenn es um ihre personenbezogenen Informationen geht und möchten die Kontrolle über die Daten behalten, die sie weitergeben. Die Realität sieht meist jedoch anders aus: Wir haben häufig keine Ahnung, was mit unseren Daten passiert, wenn eine Anwendung oder Website nach unseren Identitätsdaten, wie Name, Geburtsdatum oder Adresse, fragt. Wir wissen meist nicht, wie diese Informationen verwendet werden oder zu welchem Zweck.
Leider konnte auch die Einführung der eIDs, die von Regierungen oder vergleichbaren Einrichtungen ausgestellt werden, dieses Problem bisher nicht lösen. Das Konzept der Self-Sovereign Identity (SSI) zielt darauf ab, genau dies zu tun.
Um zu verstehen, was genau Self-Sovereign Identity bedeutet, lohnt ein Blick auf die Definition von digitaler Identität: Diese ist eine Teilmenge von Attributen einer Person, mit der sie identifiziert werden kann. Je nach Kontext kann eine Person mehrere Identitäten besitzen, die sich aus unterschiedlichen Identitätsdaten zusammensetzen. So können Identitätsanbieter bzw. ID-Provider zum Beispiel eine Kombination aus Benutzername als Attribut der Identifizierung und ein Passwort zur Verifizierung der digitalen Identität verwenden.
Der Cyber-Raum wird derzeit von zentralisierten ID-Providern wie Google, Facebook oder Apple dominiert. Dieses System bedeutet eine Abhängigkeit, weil die ID-Provider eine Art Monopolstellung innehaben. Sie verwalten die Identitätsdaten bei sehr vielen IT-Diensten weltweit und können so die sensiblen personenbezogenen Daten der Nutzer z. B. für eigene ökonomische Interessen nutzen, sprich zu Werbezwecken oder um sie an Dritte zu verkaufen. Das schwächt den Datenschutz der Nutzer.
Self-Sovereign Identity ist ein Konzept, bei dem die Souveränität und der Schutz der Privatsphäre der Nutzer in den Fokus rücken. Dahinter steht die Idee einer lebenslang gleich bleibenden digitalen Identität, die untrennbar mit einer Person, Organisation oder Sache verbunden ist. Sie ist unabhängig von einer zentralen Behörde oder einem Unternehmen und kann nicht entzogen werden. Man könnte SSI auch als Grundrecht auf Identifikation verstehen, mit dem Personen die volle Kontrolle über ihre Daten erhalten, mit denen sie sich bei Websites, Services oder Anwendungen im Web ausweisen.
Ein Beispiel: Der Kauf bestimmter Waren erfordert ein Mindestalter. Um das nachzuweisen, muss man jedoch nicht das genaue Geburtsdatum angeben. Die Information, dass die Person bereits volljährig ist, reicht völlig aus, ohne dass weitere Details oder konkrete Dokumente geteilt werden müssen, die leicht missbraucht werden könnten.
Ein SSI-System ermöglicht Nutzern, den unkomplizierten und sicheren Zugang zu digitalen Angeboten unabhängig von Drittdiensten. Dadurch, dass die digitalen Identitäten nicht von einer zentralen Stelle verwaltet und gespeichert werden, verlagert sich das Identitäts- und Berechtigungsmanagement von einem zentralisierten bzw. föderierten Identitätssystem zu einem nutzerzentrierten Peer-to-Peer-Modell. Das gibt Personen mehr Kontrolle darüber, welche Informationen sie weitergeben, mit wem diese geteilt werden.
Die neue EU Digital Identity Wallet, ein Projekt der Europäischen Kommission, zielt darauf ab, ein einheitliches digitales Identifikationssystem in Europa durchzusetzen, das eine Self-Sovereign Identity (SSI) ermöglicht, eine Identität, die ausschließlich dem Nutzer gehört. Anfang Dezember haben sich die EU-Staaten in Brüssel auf Regeln für die persönliche digitale Brieftasche auf dem Smartphone verständigt. Sie soll bis September 2023 bereit sein und wird die Art und Weise, wie Personen in der EU ihre digitalen Identitäten nutzen und ihre digitale Sicherheit verwalten, erheblich verändern.
Die europäische digitale Identität wird jeder Person, die Anspruch auf einen amtlichen Personalausweis hat, sowie Unternehmen zur Verfügung stehen, die sich ausweisen und bestimmte Identitätsdaten bestätigen möchten. Die Idee ist, dass sie diese online und offline im öffentlichen und privaten Sektor nutzen können und steht im Einklang mit der Datenschutz-Grundverordnung (DSGVO).
Identität ist das Herzstück von eIDs und Digital Wallets. Um diese europa- oder sogar weltweit durchzusetzen, braucht es Interoperabilität und gemeinsame Standards. Ein solcher Standard ist SAML, auf der auch die EU-Implementierung von eID aufbaut. SAML ist die Abkürzung für Security Assertion Markup Language, ein XML-basiertes Framework für den Austausch von Authentifizierungsinformationen, das für die Kommunikation zwischen eID-Notes verwendet wird und Interoperabilität und grenzüberschreitende Funktionalität ermöglicht. So treibt beispielsweise Okta, als ein unabhängiger Identity-Provider, die Standardisierung aktiv voran, indem er SAML unterstützt und über ein Integrationsnetzwerk die Authentifizierung mit vertrauenswürdigen und sicheren Methoden erlaubt, z. B. die Integration mit Bank-ID in Schweden oder aber FranceConnect in Frankreich. Dabei werden zudem Normungsgremien wie ISO oder und NIST unterstützt.
Die Zukunft der Identität in Europa gehört Identity-Frameworks, die auf offenen Standards basieren, digitale Identifikatoren und überprüfbare Berechtigungsnachweise verwenden, mobiltelefonunabhängig sind und einen vertrauenswürdigen Datenaustausch ermöglichen. Genau darum geht es bei der Self-Sovereign Identity, die die neue Digital Wallet der Europäischen Kommission ermöglichen soll. Wir sehen, dass es noch einige Herausforderungen gibt, wenn es um den grenzübergreifenden Einsatz geht. Der Grundstein ist jedoch gelegt und mit offenen Standards und einer engen Zusammenarbeit von Regierungen und Wirtschaft, kommen wir dem Ziel, Bürgerinnen und Bürgern die Kontrolle über ihre digitalen Identitäten und Daten zurückzugeben, einen entscheidenden Schritt näher.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…