Bye-bye Passwörter – Hallo Identität

Was ist eine sichere digitale Identität?

Eine Identität definiert eine Person, ein Unternehmen oder ein Produkt als einmalig und unverwechselbar. Für Personen wird für die Identität eine Vielzahl individueller Attribute wie zum Beispiel Name und Geburtsdatum sowie Gesichtsbild und Fingerabdruck herangezogen. Ähnliches gilt für Unternehmen oder Produkte, die durch festgelegte Attribute, wie beispielsweise einen Unternehmensregistereintrag, identifiziert werden können.

Eine sichere digitale Identität bedeutet, dass diese nicht manipuliert, gefälscht oder missbraucht werden kann. Sie stellt sicher, dass jemand tatsächlich derjenige ist, für den er sich ausgibt. Mithilfe sicherer, digitaler Identitäten wird Vertrauen zwischen Personen, Verwaltung und Unternehmen geschaffen, sodass analoge Prozesse zunehmend online stattfinden können.

So können Personen sich mithilfe von elektronischen Signaturen und der damit zusammenhängenden digitale Identität sicher sein, dass ein Dokument wirklich von der zuständigen Person unterzeichnet wurde. Zudem können sich Bürger mit digitalen Identitäten gegenüber einem Unternehmen, einer Bank oder dem Staat ausweisen. Im Kontext von Industrie 4.0 werden sichere digitale Identitäten benötigt, um beispielsweise Produktionsanlagen bei der Fernwartung eindeutig identifizieren zu können. Außerdem können Unternehmen, die digital miteinander in Kontakt stehen, sicher sein, dass es sich bei dem Wirtschaftspartner um das richtige Unternehmen handelt.

Sichere digitale Identitäten sind eine grundlegende labraussetzung für eine erfolgreiche Digitalisierung auf allen Ebenen - in Politik, Gesellschaft und Wirtschaft. Sie bilden die Basis für eine vertrauenswürdige elektronische Kommunikation und sichere digitale Geschäftsprozesse.

Anforderungen an sichere digitale Identitäten

Vertrauen ist die Grundlage für verlässliche Beziehungen und Geschäftsprozesse im digitalen Zeitalter. Sichere digitale Identitäten sorgen für dieses notwendige Vertrauen in der digitalen Welt. Sie geben Gewissheit, dass ein Mensch auch wirklich derjenige ist, für den er sich ausgibt, oder dass ein Gerät oder ein Produkt tatsächlich echt und vertrauenswürdig ist.

Um dieses Vertrauen herzustellen, müssen Identifikationslösungen gewisse Anforderungen erfüllen. Der VSDI hat diese Anforderungen identifiziert und im SVEN-Modell dargestellt. Das Modell soll Entscheidungsträgern eine Orientierung bieten, wie sichere digitale Identitäten ausgestaltet sein sollen.

Souveränität

Sichere digitale Identitäten müssen Souveränität gewährleisten. Das kann zum einen bedeuten, die Souveränität jedes einzelnen zu respektieren und die Entscheidung über die Weitergabe der Daten in die Hände der Nutzer zu legen. In einem größeren Kontext bezieht sich Souveränität aber auch auf die Souveränität von Nationen. Die Europäische Union muss in der Digitalisierung souverän bleiben. Im Kontext von sicheren digitalen Identitäten bedeutet dies, dass ein einheitliches regulatorisches Rahmenwerk in Europa für eine europäische digitale Identität geschaffen werden muss. Dabei ist auch die Einrichtung einer europäischen Cloud und einheitlicher technischer Ansätze für sichere Lösungen und Standards zwingend erforderlich.

Ganz konkret

• Identitätslösungen müssen mithilfe des „Privacy by Design"- Ansatzes konstruiert werden und die Datenschutz-Grundverordnung (DSGVO) gewährleisten, um die Souveränität der Einzelperson sicherzustellen.
• Es braucht eine grundsätzliche Schnittstellen-Interoperabilität und einen klaren Abgleich des Vertrauensniveaus, damit Identifikationslösungen in der gesamten Europäischen Union nutzbar sind.
• Die elDAS-Verordnung, die das Ziel hat, einheitliche Rahmenbedingungen für elektronischer Identifizierungsmittel zu schaffen, muss umgesetzt werden.

Vertrauenswürdigkeit

Um sichere digitale Identitäten zu schaffen, ist es unerlässlich bei der Vertrauensinfrastruktur anzusetzen. Dabei geht es um die grundlegende Ausrichtung der zugrundeliegenden Infrastruktur. Es geht z.B. um die Frage, ob die Daten zentral oder dezentral gespeichert werden. Alle darauf aufsetzenden Technologien (also einzelne Identitätslösungen) basieren dann auf dieser Vertrauersinfrastruktur. Für den VSDI müssen Vertrauensinfrastruktur und Identitätslösungen deshalb auf der Idee der Vertrauensbasis und der Verschlüsselung basieren.

Ganz konkret

• Das durch die elDAS-Verordnung geschaffene Vertrauensniveau und die Standardisierungen sollten konsequent genutzt werden.
• Bewährte Public-Key-Infrastrukturen (PKI) als Verschlüsselungssystem müssen zur Ausstellung, Verteilung und Prüfung digitaler Zertifikate genutzt werden.
• Das Potenzial dezentraler Technologien muss z.B. durch verteilte Blockchain-Technologie (via Distributed Ledger DLT) genutzt werden.

Effizienz

Mit Blick auf sichere digitale Identitäten darf auch die Effizienz solcher Lösungen nicht außer Acht gelassen werden. Es ist notwendig, dass neben Sicherheitsaspekten auch eine flexible, schnelle und effiziente Anwendbarkeit berücksichtigt wird. Dies wird entscheidend zur Akzeptanz digitaler Identitäten beitragen: sowohl bei natürlichen Personen als auch bei Unternehmen. Dabei ist es von zentraler Bedeutung, anzuerkennen, dass für verschiedene Authentifizierungsprozesse unterschiedliche Vertrauensniveaus erforderlich sind und diese entsprechend flexibel einzusetzen: Nicht jede digitale Authentifizierung erfordert die Nutzung der Online-Ausweisfunktion des hoheitlichen Ausweisdokuments und nicht jedes Dokument erfordert die Absicherung durch eine qualifizierte Signatur und einen qualifizierten Zeitstempel.

Ganz konkret

• Eine flexible Nutzung verschiedener Vertrauensniveaus für unterschiedliche Authentifizierungsprozesse muss möglich sein.
• Es muss einen einheitlichen Prozess für den Umgang mit sicheren digitalen Identitäten geben, um das Onboarding von digitalen Identitäten in Sub-Ökosysteme von Unternehmen zu vereinfachen.

Nutzerfreundlichkeit

Es ist unumgänglich, dass sichere digitale Identitäten nutzerfreundlich gestaltet werden. Die Barrieren bei der Identifizierung und Authentifizierung von Nutzern, seien es Personen oder Unternehmen, müssen möglichst klein gehalten werden. Deshalb müssen Identifikationslösungen einfach und bequem für die Nutzer sein. Das führt zu einer hohen Akzeptanz und geringen Abbuchquoten. Deshalb müssen dezentrale Datenhaltung und Selbstbestimmung im Umgang mit persönlichen Daten in der technischen Umsetzung stark gefördert werden.

Ganz konkret

• Das mobile Endgerät muss als Identity-Manager etabliert werden.
• Es braucht ein offenes Ökosystem, um einzelne Attribute einer sicheren Identität auf ein Smartphone zu übertragen. Das erfordert Standardisierung und Mindestanforderungen an die Sicherheitselemente (Secure Elements) der mobilen Endgeräte.
• Interoperabilität für einen One-for-all-Ansatz muss gewährleistet werden, sodass z.B. natürliche Personen mit einer digitalen Identität staatliche und private Dienste in unterschiedlichen Bereichen nutzen können.

Anwendungsfelder für sichere digitale Identitäten

Sichere digitale Identitäten werden in verschiedensten Bereichen angewendet. Dabei sind sie überall dort von Bedeutung, wo Vertrauen und Sicherheit über die Identität des Gegenübers – ob Mensch oder Objekt – gewährleistet sein muss. In unserem digitalen und globalen Zeitalter ist das bei so gut wie allen Beziehungen und Geschäftsprozessen der Fall.

Die Anwendungsfelder sicherer digitaler Identitäten sind deshalb sehr umfangreich. Es lassen sich allerdings sechs große Bereiche identifizieren: Health, Business, Finance, Government, Smart Home und Education. In diesen Bereichen gibt es eine Vielzahl von Prozessen, wo sichere digitale Identitäten angewendet werden.