Anforderungen an sichere digitale Identitäten
Vertrauen ist die Grundlage für verlässliche Beziehungen und Geschäftsprozesse im digitalen Zeitalter. Sichere digitale Identitäten sorgen für dieses notwendige Vertrauen in der digitalen Welt. Sie geben Gewissheit, dass ein Mensch auch wirklich derjenige ist, für den er sich ausgibt, oder dass ein Gerät oder ein Produkt tatsächlich echt und vertrauenswürdig ist.
Um dieses Vertrauen herzustellen, müssen Identifikationslösungen gewisse Anforderungen erfüllen. Der VSDI hat diese Anforderungen identifiziert und im SVEN-Modell dargestellt. Das Modell soll Entscheidungsträgern eine Orientierung bieten, wie sichere digitale Identitäten ausgestaltet sein sollen.
Das SVEN-Modell des VSDI macht die vier zentralen Anforderungen an sichere digitale Identitäten deutlich: Sie müssen Souveränität gewährleisten sowie vertrauenswürdig, effizient und nutzerfreundlich sein.
Souverän
Sichere digitale Identitäten müssen Souveränität gewährleisten. Das kann zum einen bedeuten, die Souveränität jedes einzelnen zu respektieren und die Entscheidung über die Weitergabe der Daten in die Hände der Nutzer zu legen. In einem größeren Kontext bezieht sich Souveränität aber auch auf die Souveränität von Nationen. Die Europäische Union muss in der Digitalisierung souverän bleiben. Im Kontext von sicheren digitalen Identitäten bedeutet dies, dass ein einheitliches regulatorisches Rahmenwerk in Europa für eine europäische digitale Identität geschaffen werden muss. Dabei ist auch die Einrichtung einer europäischen Cloud und einheitlicher technischer Ansätze für sichere Lösungen und Standards zwingend erforderlich.
- Identitätslösungen müssen mithilfe des „Privacy by Design“-Ansatzes konstruiert werden und die Datenschutz-Grundverordnung (DSGVO) gewährleisten, um die Souveränität der Einzelperson sicherzustellen.
- Es braucht eine grundsätzliche Schnittstellen-Interoperabilität und einen klaren Abgleich des Vertrauensniveaus, damit Identifikationslösungen in der gesamten Europäischen Union nutzbar sind.
- Die eIDAS-Verordnung, die das Ziel hat, einheitliche Rahmenbedingungen für elektronischer Identifizierungsmittel zu schaffen, muss umgesetzt werden.
Vertrauenswürdig
Um sichere digitale Identitäten zu schaffen, ist es unerlässlich bei der Vertrauensinfrastruktur anzusetzen. Dabei geht es um die grundlegende Ausrichtung der zugrundeliegenden Infrastruktur. Es geht z.B. um die Frage, ob die Daten zentral oder dezentral gespeichert werden. Alle darauf aufsetzenden Technologien (also einzelne Identitätslösungen) basieren dann auf dieser Vertrauensinfrastruktur. Für den VSDI müssen Vertrauensinfrastruktur und Identitätslösungen deshalb auf der Idee der Vertrauensbasis und der Verschlüsselung basieren.
- Das durch die eIDAS-Verordnung geschaffene Vertrauensniveau und die Standardisierungen sollten konsequent genutzt werden.
- Bewährte Public-Key-Infrastrukturen (PKI) als Verschlüsselungssystem müssen zur Ausstellung, Verteilung und Prüfung digitaler Zertifikate genutzt werden.
- Das Potenzial dezentraler Technologien muss z.B. durch verteilte Blockchain-Technologie (via Distributed Ledger DLT) genutzt werden.
Effizient
Mit Blick auf sichere digitale Identitäten darf auch die Effizienz solcher Lösungen nicht außer Acht gelassen werden. Es ist notwendig, dass neben Sicherheitsaspekten auch eine flexible, schnelle und effiziente Anwendbarkeit berücksichtigt wird. Dies wird entscheidend zur Akzeptanz digitaler Identitäten beitragen: sowohl bei natürlichen Personen als auch bei Unternehmen. Dabei ist es von zentraler Bedeutung, anzuerkennen, dass für verschiedene Authentifizierungsprozesse unterschiedliche Vertrauensniveaus erforderlich sind und diese entsprechend flexibel einzusetzen: Nicht jede digitale Authentifizierung erfordert die Nutzung der Online-Ausweisfunktion des hoheitlichen Ausweisdokuments und nicht jedes Dokument erfordert die Absicherung durch eine qualifizierte Signatur und einen qualifizierten Zeitstempel.
- Eine flexible Nutzung verschiedener Vertrauensniveaus für unterschiedliche Authentifizierungsprozesse muss möglich sein.
- Es muss einen einheitlichen Prozess für den Umgang mit sicheren digitalen Identitäten geben, um das Onboarding von digitalen Identitäten in Sub-Ökosysteme von Unternehmen zu vereinfachen.
Nutzerfreundlich
Es ist unumgänglich, dass sichere digitale Identitäten nutzerfreundlich gestaltet werden. Die Barrieren bei der Identifizierung und Authentifizierung von Nutzern, seien es Personen oder Unternehmen, müssen möglichst klein gehalten werden. Deshalb müssen Identifikationslösungen einfach und bequem für die Nutzer sein. Das führt zu einer hohen Akzeptanz und geringen Abbuchquoten. Deshalb müssen dezentrale Datenhaltung und Selbstbestimmung im Umgang mit persönlichen Daten in der technischen Umsetzung stark gefördert werden.
- Das mobile Endgerät muss als Identity-Manager etabliert werden.
- Es braucht ein offenes Ökosystem, um einzelne Attribute einer sicheren Identität auf ein Smartphone zu übertragen. Das erfordert Standardisierung und Mindestanforderungen an die Sicherheitselemente (Secure Elements) der mobilen Endgeräte.
- Interoperabilität für einen One-for-all-Ansatz muss gewährleistet werden, sodass z.B. natürliche Personen mit einer digitalen Identität staatliche und private Dienste in unterschiedlichen Bereichen nutzen können.
Ansprechpartner
Haben Sie Fragen zu unserem Verband oder einer Mitgliedschaft? Oder möchten Sie einen Experten des Verbands als Redner für Ihren Event gewinnen?
Dann sprechen Sie gerne unseren Geschäftsführer Christian Wilke an:
E-Mail:
info(at)vsdi.de
Telefon:
+49 (0) 30-2515 077