KOMMENTAR15. September 2025

EU-ID: Schöne Theorie, harte Realität. Ein Kommentar von Florian Hansemann – CEO HanseSecure

Schwerpunkt: EU-ID & Zahlungsverkehr
Florian Hansemann, CEO von HanseSecure, thematisiert die Herausforderungen der IT-Sicherheit in der Finanzbranche. Menschliches Versagen bleibt ein zentrales Risiko, das es zu minimieren gilt, um die Integrität der Systeme zu gewährleisten.
Florian Hansemann, CEO HanseSecureHansesecur

Die EU feiert eIDAS 2.0 als großen Wurf für die digitale Identität. Einheitliches Wallet, starke Authentifizierung, selektive Datenteilung – klingt alles gut. Auf dem Papier. In der Praxis lauern genug Fallstricke, um aus dem Traum schnell ein Sicherheitsdesaster zu machen.

von Florian Hansemann, CEO HanseSecure

Onboarding – die erste Sollbruchstelle

Was beim Einstieg schiefgeht, zieht sich durch. Remote-Onboarding mit schlechten Liveness-Checks? Selfie-Vergleich statt echter Prüfung? Willkommen im „Garbage in, garbage forever“. Wer es ernst meint, macht LoA High zum Muss – alles darunter ist eine Einladung an Betrüger.

Ein kompromittiertes Smartphone macht jede Kryptografie wertlos. Malware, manipulierte Apps, Supply-Chain-Fehler – die Liste ist lang.

Ohne verpflichtende Secure-Element-Nutzung und strikte Schlüsselisolierung bleibt der Schutz löchrig.”

Technisch kann man Attribute einzeln freigeben. Praktisch fordern viele Dienste mehr als nötig, koppeln IDs mit stabilen Tracking-Elementen. Nur harte Regeln und echte Kontrollen schützen hier vor Profilbildung.

Einheitliche Standards – Segen und Risiko

Gemeinsame Protokolle schaffen Interoperabilität, aber auch eine große gemeinsame Angriffsfläche. Ein Exploit in einer Standard-Komponente kann EU-weit durchschlagen. Ohne schnelle Revocation und verpflichtende Updates ist das brandgefährlich.

QR- oder NFC-Präsentationen sind bequem, aber anfällig für Relay-Angriffe. Audience- und Context-Binding müssen eingebaut werden.”

Der Kredit-Fall

Autor Florian Hansemann
Florian Hansemann ist CEO von HanseSecure (Website) und einer der Top-21 Security-Experten weltweit. Bei der Bundeswehr studierte er Raumfahrttechnik und wechselte 2013 auf eine Security-Stelle.
Ein echter Nachweis beweist, dass jemand es war – nicht, warum. Absicht ist nicht signierbar. Schutzmechanismen: Transaktionsgenaue Signaturen (Intent-Binding), starke Präsenzprüfungen, forensische Auswertung bei Verdacht und Audit-Trails, die Beweiskraft haben, ohne neue Datenschutzprobleme zu schaffen.

Damit die EU-ID wirklich ein geringes Risiko hat, braucht es fehlerfreies Onboarding, kompromisslos sichere Hardwareanker, echte Privacy-by-Default-Umsetzung, strenge Kontrolle aller Verifizierer, blitzschnelle Incident-Response und klare Haftungs- und Beweislastregeln.

Fazit

Die Technik ist da. Die Regeln sind formuliert. Doch in der Praxis ist jedes dieser Elemente für sich schon anspruchsvoll – technisch, organisatorisch und politisch. Alle müssen dauerhaft auf höchstem Niveau funktionieren, gleichzeitig, ohne Aussetzer.

ibi-Zahlungsverkehrsforum 2025
Dieses Thema finden Sie auch auf dem Zahlungsverkehrsforum am 04. und 05.12.2025 in Frankfurt. Leser des IT Finanzmagazin erhalten exklusiv Tickets mit 10 % Preisnachlass. Ticketcode: ITF-ZV-10%
Die Realität? Komplexe Lieferketten, uneinheitliche Aufsicht, wirtschaftliche Interessen und träge Prozesse machen das schwer.

Wer sich auf die EU-ID verlässt, sollte wissen: Das Konzept ist stark – Sie wird aber nur so sicher sein wie ihr schwächstes Glied – und das macht mir deutlich mehr Sorgen als die Hochglanzfolien der EU-Kommission.Florian Hansemann, Hansescecur/dk

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/231845

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert