STRATEGIE20. Oktober 2021

eiDAS 2.0 und der Fehlstart von ID Wallet – Interview mit Armin Bauer, CTO IDnow

eiDAS 2.0 und der Fehlstart von ID Wallet
Pe3check/bigstock.com

Das Thema digitale Identitäten im Mobile Wallet rückt derzeit aus zwei Richtungen in den Fokus. Da wären zum einen die EU-Initiative „European Identity Digital Framework“ (eIDAS 2.0) und zum anderen die verschiedenen Projekte der Bundesregierung zur Einführung eines Ausweises auf dem Smartphone.

von Rudolf Linsenbarth

Besonders im Brennpunkt steht die am 23.9. vor der Bundestagswahl veröffentlichte App „ID Wallet“. Sie musste wegen zahlreicher Probleme sofort wiedereingestellt werden. Gründe waren unter anderem:

  • Lastprobleme
  • Fehlender initialer Vertrauensaufbau im DIDComm-Protokoll
  • DNS Server mit AXFR-Protokoll und der Möglichkeit für ein Subdomain Takeover

Welche Folgen hat das für die weitere Entwicklung von mobilen Identitäten auf dem Smartphone? Wird das Konzept von Self-Sovereign Identity (SSI) dadurch in Mitleidenschaft gezogen? Wie sollten wir in Deutschland das Thema digitale mobile Identitäten umsetzen, damit dieser Teil der Digitalisierung ein Erfolg wird?

Armin Bauer, CTO IDnow IDnow

Wir fragen Armin Bauer, Co-Founder und Managing Direktor Technology bei IDnow:

Herr Bauer, Lastprobleme und ein DNS-System mit AXFR-Protokoll sind handwerkliche Fehler bei der Umsetzung. Fehlendes Vertrauen in den Austeller eines verifizierbaren Nachweises wäre dann aber doch ein grundsätzliches Problem der Architektur von ID Wallet. Ist die Kritik gerechtfertigt oder hat da jemand das Konzept von SSI nicht verstanden?

Grundsätzlich finden wir, dass der gewählte Ansatz der ID Wallet konzeptuell in die richtige Richtung geht. Digitale Identitäten sind ein Grundpfeiler der Digitalisierung und müssen zukünftig unter der Kontrolle der Bürger gespeichert werden. Wir finden es gut, dass die Regierung hier voranschreitet und auch innovativen Lösungen eine Chance gibt.

Allerdings ist die Technologie „SSI“ an sich sehr neu und im Fluss. Deshalb kann durchaus infrage gestellt werden, ob es sinnvoll ist, die Sicherheit der Identitäten aller deutschen Bürger auf einer noch so jungen Technologie aufzubauen.

So sind im verwendeten DIDcomm v1 Protokoll Sicherheitsprobleme bekannt, die noch nicht gelöst wurden. Die meisten anderen Implementierungen von Wallets nutzen hier neuere Versionen dieses Protokolls.”

Ein anderes Beispiel: Am 01. September 2021 hat die Mozilla Foundation (Hersteller des Firefox Browser) offiziell der Verabschiedung eines essenziellen Standards für das ID Wallet („Decentralized Identifiers (DIDs)“) bei der W3C aus verschiedenen Gründen widersprochen. All dies zeigt, wie unsicher diese Standards aktuell noch sind.

Die Verantwortlichen der ID Wallet hatten unter anderem das iterative Vorgehen genannt, um das Fehlschlagen zu erklären. Wir von IDnow sind auch Freunde dieses agilen Prozesses aus der Softwareentwicklung – jedoch ist es fraglich, ob dieser Ansatz der richtige ist, wenn es um die Sicherheit der Identitäten aller deutschen Bürger geht.

Genau das kontrolliert normalerweise das BSI. Uns ist es unverständlich, warum normalerweise alle Anbieter sehr genau kontrolliert und zertifiziert werden, hier dies jedoch unterlassen wurde.”

Autor Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
So ein Fehlstart diskreditiert das SSI Wallet Konzept als technische Grundlage für eine staatlich anerkannte digitale Identität. Was wäre Ihrer Meinung nach die beste Architektur für digitale Identitäten.

Grundsätzlich gehen die Ideen wie u.a. Zugang, Einverständnis und Transparenz, die hinter SSI stecken, in die richtige Richtung. Allerdings sollte der Staat hier nicht selbst als Software-Entwickler auftreten, sondern die Rahmenbedienungen für einen freien Wettbewerb schaffen. Nur so ist es möglich, auf die schnell ändernden technischen Rahmenbedienungen ausreichend flexibel zu reagieren.

Deshalb kann es für den Erfolg dieser jungen Technologie nicht förderlich sein, wenn der Staat versucht, im Rahmen einer „Public Private Partnership“ sich auf eine einzige Technologie festzulegen.

Stattdessen sollte der Ansatz eines Zertifizierungsrahmen gewählt werden, wie es auch bereits sehr erfolgreich durch andere Staaten gemacht wird.”

Neben dem Blockchain-basierten Ansatz, den die ID Wallet nutzt, gibt es auch andere Ansätze – wie beispielsweise OpenID Connect – welche seit Jahren im Einsatz sind und von anderen Ländern erfolgreich eingesetzt werden. Hier sollte der Staat sich technologieneutral verhalten und nicht ausschließlich auf die Blockchain setzen.

Als einfaches Beispiel: Der aktuell gewählte Ansatz des Konsortiums wäre so, als ob der Staat selbst anfangen würde, Autos zu bauen. Das Ergebnis können wir uns vermutlich alle vorstellen. Stattdessen macht der Staat Vorgaben, was genau ein Auto erfüllen muss, um auf den deutschen Straßen zugelassen zu werden, und überlässt dann den Bau der Autos BMW, Porsche, VW und Mercedes. Zusätzlich werden bei Autos auch verschiedene Technologien zugelassen, so dass es Autos mit Benzin, Diesel, Wasserstoff oder rein elektrisch gibt. 

Armin Bauer, Managing Director Technology IDnow
Armin Bauer ist Co-Founder und Managing Director Technology bei IDnow (Website). Seit der Grün­dung von ID­now im Jahr 2014 hat Bau­er die Be­rei­che Tech­no­lo­gie und Re­gu­la­to­rik des Un­ter­neh­mens auf­ge­baut, das sich zu ei­nem wich­ti­gen An­bie­ter von Iden­ti­fi­zie­rungs­dienst­leis­tun­gen in ei­ni­gen der am stärks­ten re­gu­lier­ten Bran­chen welt­weit ent­wi­ckelt hat. Zu die­sen re­gu­lier­ten Bran­chen ge­hö­ren un­ter an­de­rem das Bank- und Fi­nanz­we­sen, Mo­bi­li­tät oder Te­le­kom­mu­ni­ka­ti­on. Ar­min Bau­er ist ein Ex­per­te auf dem Ge­biet der Di­gi­ta­li­sie­rung, Tech­no­lo­gie und di­gi­ta­len Iden­ti­tä­ten so­wie eu­ro­päi­sche Re­gu­la­to­rik. Er ist Mit­glied in meh­re­ren Ar­beits­grup­pen wie ETSI, FI­DO Al­li­an­ce, W3C und Hy­per­led­ger. Ar­min Bau­er be­rät au­ßer­dem glo­ba­le und eu­ro­päi­sche Or­ga­ni­sa­tio­nen für di­gi­ta­le Iden­ti­tä­ten so­wie na­tio­na­le Re­gu­lie­rungs­be­hör­den in Eu­ro­pa, Groß­bri­tan­ni­en und dem Na­hen Os­ten in Fra­gen zu Tech­no­lo­gie und In­no­va­ti­on. Er stu­dier­te Elek­tro­tech­nik an der TU Mün­chen und Ma­nage­ment am “Cen­ter for Di­gi­tal Tech­no­lo­gy and Ma­nage­ment”. Vor der Grün­dung von ID­now war Ar­min auch Mit­be­grün­der von Amiando (Xing Events).
Das Scheitern von ID Wallet ist natürlich Wasser auf die Mühlen der Befürworter von Smart eID. Werden wir mit diesem Ansatz bessere und sicherere digitale Identitäten bekommen?

Smart eID ist eine gute Verbesserung und Weiterentwicklung der Online-Ausweisfunktion, auch wenn es bis dato kein ID Wallet im Sinne der eIDAS darstellt.

Wir sehen die Zukunft des ID Wallets in dem Entwurf der eIDAS 2.0 der EU-Kommission, welcher aus unserer Sicht in eine gute Richtung geht. Wichtig ist hier, eine Technologie-Neutralität und einen offenen und transparenten Wettbewerb zuzulassen.”

Deswegen ist es essenziell, sich nicht zu früh auf eine einzige Technologie festzulegen. Stattdessen muss es Raum für Innovationen geben.

Mittlerweile gibt es auch Kritik an der Tatsache, dass Entwicklung und Betrieb an ein privates Unternehmen vergeben worden ist (Link). Allerdings sind Digitalisierungsprojekte, die im staatlichen Auftrag vorangetrieben werden, siehe Smart eID, auch kein Garant für einen Erfolg.

Entscheidend ist nicht das „ob“ sondern das „wie“. In der Tat lief die Vergabe an eine „System Vertrieb Alexander GmbH (SVA)“ (siehe hier) intransparent und vergabetechnisch fragwürdig. Ich als deutscher Bürger habe ein persönliches Interesse daran zu erfahren, warum die Entwicklung einer so essenziellen sicherheitsrelevanten Funktion wie eines eID Wallets durch dieses Unternehmen durchgeführt wurde und nach welchen Kriterien dieses Unternehmen ausgewählt wurde.

Wir rufen die Regierung hier auf, ein transparentes und offenes Verfahren zu schaffen, welches klare Vorgaben macht und einen freien Wettbewerb schafft und welcher ermöglicht, dass verschiedene ID Wallets entwickelt werden können, welche entweder Blockchain-basiert sind oder auf anderen Technologien.”

Schauen wir jetzt einmal auf eIDAS 2.0. Die Richtlinie für eine europäische digitale Identität (Euid) soll Ende 2022 verabschiedet werden. Genau ein Jahr später muss der deutsche Staat seinen Bürgern ein Wallet zur Verfügung stellen. Ist das beim jetzigen Tempo überhaupt machbar?

Natürlich ist die Zielvorgabe in dem Rahmen, wie sie die EU hier vorgibt, sehr ambitioniert. Wir finden es aber gut, dass hier solch sportliche Ziele gesetzt werden.

Wichtig ist es jetzt, ordentliche Standards und Zertifizierungsrahmen zu definieren und weitere Schnellschüsse in der Implementierung zu vermeiden.”

Außerdem gilt es, alle wichtigen Experten aus den jeweiligen Bereichen der Privatwirtschaft für die weitere Ausarbeitung mit einzubeziehen und die gemeinsamen Kräfte zu mobilisieren. Nur gemeinsam mit den Experten im Markt kann eine zufriedenstellende Umsetzung gelingen.

Generell sollte jedoch die Sicherheit nicht der Geschwindigkeit geopfert werden.”

Da hier die Basis für ein sicherheitskritisches System gelegt wird, sollten die Standards offen und unter Einbeziehung aller Parteien wie der Mitgliedsstaaten, Privatwirtschaft, Verbänden und Experten geschehen.

Herr Bauer, vielen Dank für das Gespräch.Rudolf Linsenbarth

Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert