STRATEGIE12. Januar 2022

Bitte Nachbessern! Zehn Anforderungen an eine gute digitale Identität

Macht es endlich richtig! 10 Anforderungen an eine digitale Identität - von Rudolf Linsenbarth
Rudolf Linsenbarth

Eigentlich sollte 2021 das Jahr für die digitale Identität werden. Gesehen haben wir in Deutschland aber nur das Scheitern von zwei Projekten. Was lief schief – und was sich ändern muss, damit es künftig besser funktioniert? 10 Tipps

von Rudolf Linsenbarth

Am 23. September – nur wenige Tage vor der Bundestagswahl – wurde ID Wallet veröffentlicht. Der App war anzumerken, dass sie unter Zeitdruck auf die Bühne geschoben worden war. Trotz einiger innovativer Ansätze musste sie wegen offensichtlicher Mängel sofort wieder eingestellt werden.

Die zwei­te App hat es noch nicht ein­mal bis zur Ziel­li­nie ge­schafft. Ins­ge­samt wur­den drei Start­ter­mi­ne ge­ris­sen. Die Pro­jekt­part­ner Samsung, Bun­des­dru­cke­rei, Te­le­kom und das Bun­des­in­nen­mi­nis­te­ri­um nann­ten zu­erst Ju­ni, dann Sep­tem­ber und schlie­ß­lich De­zem­ber 2021 als Start für die so­ge­nann­te Smart eID.
Ein Scheitern mit Ansage!

Digitale Identität per Smart ID ... ein Scheitern mit Ansage!Im Bundesinnenministerium ist die Smart eID als einzige Variante für die digitale Identität gesetzt! Den Nachweis, dass diese Vorgehensweise skaliert, ist man allerdings schuldig geblieben. Derzeit funktioniert das Konzept auch nur, weil man mit einem enormen Aufwand ein einziges Smartphone, das Samsung S20, dafür ertüchtigt hat.

Dabei drängt die Zeit. Die EU Kommission fordert die Mitgliedstaaten auf, bis September 2022 ein gemeinsames Instrumentarium für EUid-Brieftaschen zu schaffen und unverzüglich mit den erforderlichen Vorarbeiten zu beginnen. In der Ausgestaltung gibt es für die einzelnen Staaten aber einen großen Spielraum. Genau in diese Gestaltungslücke drängen jetzt neue Mitspieler. Die Banken haben ihr Interesse über ein Positionspapier bereits bekundet. Aber auch Unternehmen, die bereits Identifizierungsdienstleistungen anbieten oder Startups, die sich in diversen SSI Projekten engagieren, sind mögliche Kandidaten. Ich kann mir dazu gut vorstellen, dass die Mobilfunkunternehmen ebenfalls ihren Hut in den Ring schmeißen werden.

Wie soll es jetzt weitergehen?

Das BSI hat in seinem Positionspapier zu SSI respektive ID Wallet leider nur auf das vertrauenswürdige Datenregister abgezielt und erklärt, warum die Blockchain hier nicht verwendet werden sollte. Das greift zu kurz, SSI ist mehr als nur eine ID mit Metadaten in einer öffentlichen Datenbank!

Für ein Gelingen sind meiner Meinung nach die folgenden 10 Punkte unabdingbar:

1. Identity Wallet – Angebote im Wettbewerb

eyeemudo/bigstock.com

Im Unterschied zur Bundesregierung hat die EZB bereits erkannt, dass ein Frontend besser von Unternehmen gebaut wird, die bereits Kundenkontakte haben. Die Wallet App für den digitalen Euro soll daher von den Geschäftsbanken kommen und nicht durch die EZB bereitgestellt werden.
Dasselbe gilt für eine Mobile ID App. Erst der Wettbewerb wird hier zu neuen und innovativen Lösungen führen. Das bedeutet aber nicht, dass der Staat darauf verzichten muss, Rahmenbedingungen vorzugeben.

2. Regeln für die „abgeleitete“ digitale ID
Die Identitätsvergabe ist und bleibt eine staatliche Monopolaufgabe. Manifestiert wird das vor allem durch den Personalausweis. Eine digitale Identität ist nur eine Ableitung davon. Genau deshalb sind als erstes konkrete Vorgaben zu machen. Darf eine digitale Identität beispielsweise nur direkt vom Personalausweis per eID-Funktion übertragen werden oder kann dafür auch ein früher gespeicherter Identifizierungsvorgang verwendet werden und welche Anforderungen werden an diesen Identifizierungsvorgang gestellt? Ist hier auch eine persönliche Vor-Ort-Identifizierung zugelassen oder ein Video-Ident-Verfahren?
Als nächstes kommt die Frage nach der Gültigkeitsdauer einer mobilen digitalen Identität. Ein Personalausweis hat eine Gültigkeitsdauer von maximal 10 Jahren. Welchen Zeitraum wählt man für eine digitale Identität?

3. Bündelung der Ressourcen an einer Stelle
Derzeit sind mindestens 3 Stellen bei der Entwicklung der digitalen Identität eingebunden. Die Smart eID wird vom Innenministerium aus gesteuert, ID Wallet aus dem Bundeskanzleramt und schließlich gibt es im Wirtschaftsministerium noch das Projekt „Schaufenster Sichere Digitale Identitäten“.
Damit eine digitale Identität in so unterschiedlichen Anwendungen wie Geldwäschegesetz, Telekommunikationsgesetz, Vertrauensdiensten und Onlinezugangsgesetz zum Einsatz kommt, wäre die Bündelung bei einer dieser drei Projektstellen sinnvoll. Schaut man zudem auf die Namensgebung der Ministerien der neuen Bundesregierung, könnte die Verantwortung für die digitale Identität auch beim Bundesministerium für Digitales und Verkehr (BMDV) liegen.

Nicht alles muss für die digitale Identität in das "Secure Element" - sondern nur die wichtigen Daten!
Es müssen nicht alle Daten im “Secure Element” untergebracht werden: Beim Payment wird es genutzt, um nur die Kartendaten darin zu speichern.VISA

4. Hardwarebasierte Sicherheit
Die Sicherheit der digitalen Identität steigt, wenn das dafür notwendige Schlüsselmaterial auf Hardware-Komponenten des Smartphones wie z.B. dem Trusted Execution Environment (TEE) gespeichert ist. Dass die komplette Anwendung selbst in einem Secure Element gespeichert werden muss, erschließt sich mir dabei aber nicht!
Die vom Bundesinnenministerium gewollte Speicherung der eID in einem Secure Element wird wahrscheinlich aus denselben Gründen scheitern wie die Mobile-Payment-Konzepte mit ihren TSM-Infrastrukturen.

5. Zentraler Vertrauensanker vom Staat
Digitale Identitäten im regulierten Bereich müssen zuverlässig auf ihre Echtheit überprüft werden können. Die ID ist im SSI-Konzept der verifizierbare digitale Nachweis, dessen Metadaten im vertrauenswürdigen Datenregister abgelegt werden. Der eigentliche Vertrauensanker für die Echtheit muss aber eine zentrale PKI sein, die von staatlicher Seite bereitgestellt wird.

Autor Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
6. Ein Ökosystem vertrauenswürdiger Datenregister
Das vertrauenswürdige Datenregister ist also nicht der Vertrauensanker, sondern liefert nur den Link dorthin. Darüber hinaus verhilft es der Identity Wallet zu einer Vielzahl von weiteren Anwendungen. Ob am Ende des Tages eine Blockchain oder eine andere Datenbank effizienter ist, ist sekundär. Auf jeden Fall sprechen wir hier nicht von einer Public Blockchain analog zum Bitcoin. Das staatliche Plazet in Form des Vertrauensankers bekommen selbstverständlich nur die Datenregister, deren Governance Frameworks bestimmte Anforderungen erfüllen. Diese Datenregister müssen nicht auf Landesgrenzen beschränkt sein, sondern können auch in einen europäischen Kontext eingebettet werden.

7. Echte Self Sovereign Identity (SSI)
Selbstverständlich muss bei Identifizierungsvorgang auch der Verifier überprüft werden können. Trotzdem bedeutet Self Sovereign Identity auch, dass man sich gegenüber jemanden identifizieren kann, der selber nicht verifizierbar ist.
Analogie aus der realen Welt ist zum Beispiel das Vorzeigen des Ausweises gegenüber jemand den ich nicht kenne. Nur auf diese Art und Weise sind auch niederschwellige Angebote, wie das automatische Ausfüllen von Adressdaten in einem Onlineshop möglich.
Es gibt ja auch keine Forderungen, dass ein Nutzer SSL-Webseiten nicht mehr betreten darf, bei denen das Zertifikat abgelaufen oder ungültig ist. Entscheidend ist, dass dem Nutzer jederzeit angezeigt wird, welche Risiken er gerade eingeht.

8. Single Sign On (SSO)
Die starke Authentifizierung ohne Passwörter (Single Sign ON) ist eine der Funktionen, die mit einer mobilen digitalen Identität im Prinzip sehr einfach umgesetzt werden kann. Ich erwähne das hier nur, damit dieser Anwendungsfall nicht vergessen wird.

9. Die eindeutige Personenkennziffer
Vielleicht erinnern sich noch einige Leser an die Volkszählung aus den 80ern. Das Volkszählungsurteil hat uns zwar das Grundrecht auf informationelle Selbstbestimmung gebracht. Eine weitere Folge davon ist aber, dass wir in unserem Ausweis keine eindeutige Personenkennziffer haben. In einer digitalen Welt ein großes Problem. Niemand, der seinen Ausweis wechselt, und bei dem sich gleichzeitig weitere Parameter wie Adresse und Nachname ändern, ist digital wiedererkennbar. Dieses Problem hat der Staat auch schon bei der Digitalisierung seiner Verwaltungsvorgänge im Rahmen des Online-Zugangsgesetzes erkannt.

johannes86 / BigStock

Hilfsweise soll jetzt dafür die Steuer ID eingesetzt werden. Meiner Meinung nach wird diese Vorgehensweise ohne umfassende Gesetzesanpassung vom Verfassungsgericht kassiert. Einfacher wäre es, mit der digitalen Identität eine Personenkennziffer zu schaffen, die gleichzeitig datensparsam ist und nur dann verwendet wird, wenn der souveräne Bürger dem Einsatz ausdrücklich zustimmt.

10. Agil Vorgehen und mehr Mut Neues auszuprobieren
Seit über 10 Jahren warten wir auf den Durchbruch beim digitalen Personalausweis. Jetzt soll es also die digitale Identität richten und die Verantwortlichen gehen das Thema an, als ob wir es uns leisten könnten, noch einmal 10 Jahre auf einen Erfolg zu warten.
So groß die handwerklichen Fehler um ID Wallet auch gewesen sein mögen, der Ansatz war grundsätzlich richtig. Neben der Möglichkeit, endlich eine digitale Identität aus einem Guss zu bekommen, wurde hier auch das Potenzial für niederschwellige Identity-Angebote sichtbar, die wir mit dem Smart eID Konzept niemals erreichen können!
Alleine dafür lohnt sich der Neustart von ID Wallet gerne auch im Wettbewerb zur Smart eID!Rudolf Linsenbarth

Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert