STRATEGIE12. Mai 2020

Rechtskonforme Identifizierung: Grundlagen und Standards

Identifizierung per eIDAS
Pe3check/bigstock.com

Bevor ich in die Details einer digitalen Identität einsteige, möchte ich zunächst die Parallelen zu einer „analogen“ Identifizierung im realen Leben ziehen. Hierbei lässt sich die Identität durch den Vergleich mit einem amtlich beglaubigten Lichtbild, wie etwa dem Personalausweis, feststellen. So geht z. B.  die Polizei bei einfachen Personenkontrollen vor. Ein dem Lichtbild-Abgleich äquivalentes Verfahren im Internet wäre Video Ident.

von Rudolf Linsenbarth

Video Ident ist zwar noch keine digitale Identität, sondern ein digitalisiertes Identifizierungs­verfahren. Prinzipiell kann man diese Identität speichern und wenn man sie mit einer starken Authentifizierung verknüpft, lässt sich daraus eine digitale Identität ableiten. Im Prinzip sind alle mir bekannten rechtswirksamen Digitale-Identitäten von einem amtlichen Ausweis abgeleitet. Auch ein Kunde, der mit Hilfe einer Girokonto-Verbindung zur Kundenidentifizierung identifiziert werden soll, ist irgendwann einmal mittelbar oder  unmittelbar durch seinen Ausweis identifiziert worden.

Mit dem im November 2010 eingeführten „neuen Personalausweis“ hat der Staat ein Identifikationsmedium geschaffen, dass auch eine direkte Online-Ausweisfunktion ermöglicht. Es ist jetzt müßig darüber zu philosophieren, warum sich dieses sichere und schnelle Identifikationsverfahren immer noch nicht durchgesetzt hat.

Rudolf Linsenbarth
Experte für Digitale Identität und Identifizierung: Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Betrachten wir einmal den Rechtsrahmen von digitalen Identifizierungsverfahren im praktischen Einsatz. Grundsätzlich unterliegt die Identifizierungspflicht, für unterschiedliche Anwendungen, jeweils einem eigenen Regelungsregime. Anwendungsfälle wären:

  1. Identifizierung im hoheitlichen Bereich:
    Der digitale Behördengang

    Hier ist eigentlich nur der Personalausweis oder ein notifiziertes Verfahren aus einem anderen EU-Land vorgeschrieben. Für Bürger aus einem EU-Land ohne notifiziertes Verfahren wird die eID Karte eingeführt. Weiterhin ist über das Online-Zugangsgesetz OZG auch die Zulassung privater Anbieter von Identifizierungslösungen geplant.
  2. Identifizierung für die Kontoeröffnung bei einer Bank: Die gesetzliche Grundlage liefert das Geldwäschegesetz (GwG). Aufsichtsführende Behörde ist hier die BaFIN.
  3. Identifizierung für die Freischaltung einer Mobilfunknummer
    Hier greift das Telekommunikationsgesetz TKG Paragraph 111. Die zuständige Aufsichtsbehörde ist die Bundesnetzagentur.
  4. Vertrauensdienste
    Qualifizierte elektronische Vertrauensdienste sind z.B. Signatur-, Siegel-, Zeitstempel- und Zustelldienste. Sie sind wichtige Werkzeuge auf dem Weg in eine digitale Gesellschaft. Welche Anforderungen hier an eine digitale Identifizierung gestellt werden, soll im Nachfolgenden näher beleuchtet werden.

Aufsichtsbehörde für elektronische Vertrauensdienste in Deutschland ist die Bundesnetzagentur.

Bundesnetzagentur als Aufischtsbehörde für Vertrauensdiensteanbieter<q>Bundesnetzagentur
Bundesnetzagentur als Aufsichtsbehörde für VertrauensdiensteanbieterBundesnetzagentur

 

Die von der Bundesnetzagentur beaufsichtigten elektronischen Vertrauensdiensteanbieter findet man unter dem folgenden Link. Den Überblick für alle in Europa zugelassenen Vertrauensdiensteanbieter liefert das folgende Verzeichnis. Die dort gelisteten Dienste werden gegenseitig anerkannt und sind daher auch in Deutschland rechtswirksam.

Der Verwendungsablauf eines elektronischen Vertrauensdienstes wird im folgenden Bild beschrieben

Identifizierung : Nutzung eines elektronischen Vertrauensdienstes<q>Bundesnetzagentur
Nutzung eines elektronischen VertrauensdienstesBundesnetzagentur

Das Bundesamt für Sicherheit in der Informationstechnik ist die deutsche öffentliche Zertifizierungsstelle. Darüber hinaus gibt es in Deutschland folgende private Zertifizierungsstellen

  • TÜV Informationstechnik GmbH (Unternehmensgruppe TÜV NORD)
  • T-Systems GEI GmbH (Security Consulting & Engineering)
  • datenschutz cert GmbH
  • SRC Security Research & Consulting GmbH

Die Anforderungen an die Identifizierung für einen Vertrauensdienst wird in der EU Verordnung Nr. 910/2014 geregelt. Konkret beschrieben in Artikel 24 „Anforderungen an qualifizierte Vertrauensdiensteanbieter“. Dort werden sinngemäß die folgende Möglichkeiten der Identifizierung gelistet:

a persönliche Anwesenheit
b aus der Ferne mit dem elektronischer Personalausweis oder einem anderen notifizierten Ausweisdokument
c durch ein Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels (z.B. die Signaturkarte des Elektronisches Abfallnachweisverfahren)
d durch sonstige Identifizierungsmethoden, die eine gleichwertige Sicherheit bieten und von einer Konformitätsbewertungsstelle bestätigt wurden

Interessant wären also die sonstigen Identifizierungsmethoden. Dafür gibt es in Deutschland eine Besonderheit, die sogenannte Modulbestätigung. Das soll eine Verkürzung für den Zertifizierungsprozess eines Vertrauensdiensteanbieters ermöglichen. Die Bundesnetzagentur führt eine Liste der Identifizierungsverfahren, die eine Modulbestätigung erhalten haben.

Eine alternative Identifizierungsmethode erhält diese Modulbestätigung von der Bundesnetzagentur nur, wenn sie vom Bundesamt für Sicherheit in der Informationstechnik BSI anerkannt ist. Das einzige Verfahren, das über eine solche Anerkennung unter bestimmten Bedingen verfügt, ist das Video-Ident-Verfahren.

Keine deutsche Modulzertifizierung oder den Nachweis als in Deutschland anerkanntes Verfahren benötigt ein Identifizierungsdienstleister, der seine Identifizierungsdienstleistung in einem anderen EU-Land anbietet. Dann gelten nur die Kriterien der dortigen Aufsichtsbehörden. Eine auf diesem Wege erstellte Signatur ist in Deutschland auch dann rechtswirksam, wenn hierfür ein Identifizierungsverfahren verwendet worden ist, das weder das BSI noch die Bundesnetzagentur für adäquat halten.

Wir betreiben also bei den Identifizierungskomponenten der Vertrauensdiensteanbieter für eine „Identität Made in Germany“ einen hohen Aufwand. Daher ist es nur schwer verständlich, warum wir das nicht nutzen, um ein einheitliches Identifizierungs-Ökosystem aufzubauen.

Ein Identifizierungsdienstleister sollte die Modulkonformität nur einmal bestätigen müssen, um dann nach einem einheitlichen Verfahren sowohl die Identität von Mobilfunkkunden, die Identifizierung von Bankkunden gemäß GwG und die Identifizierung für die Fernsignatur von Kreditverträgen vorzunehmen.

Ich hoffe, dass hinter dem Projekt Optimos 2.0 die Idee steht, eine Digitale Identität aus einem Guss zu etablieren.Rudolf Linsenbarth

Digitale Identität in Deutschland Status 2020 - die Übersicht
Interviews
Frank S. Jorga (Geschäftsführer der WebID)
„Ich würde jede Wette darauf eingehen, dass VideoIdent noch in 10 Jahren am Markt ist.“
Marco Schmid & Andreas Vollmert (Swisscom Trust Services)
Trust Services: „Deutschland hat eine sehr stark auf Smartcards ausgerichtete Sichtweise“
Roland Adrian (Verimi CEO)
Bequemlichkeit siegt, auch bei der digitalen Identität
Dr. Michael Roland (Post-Doc am Institut für Netzwerke und Sicherheit, Johannes Kepler Universität Linz)
„Das Öffnen der NFC-Schnittstelle würde die Bedienung von Apple Pay verschlechtern!“
Dr. Matthias Schwan (Bundesdruckerei)
Der mobile Personalausweis kommt! Das Identity-Interview
Hans-Peter Kraus und Dr. Matthias Schwan (Bank Verlag)
Bank-Verlag im Interview: eID wird zukünftig eine größere Rolle spielen
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben. Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.
NameEndkunden GwG KYCVideoIDeIDSSIBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxxx (high)Website
eemaID StandardardisierungWebsite
europeantrustassociationID StandardardisierungWebsite
giropayAltersverifikationWebsite
ID4meID StandardardisierungWebsite
Identifyxxx (substantial)Website
identity Trust Managementxxx (high)Website
IDENTO.ONExWebsite
IDENTTxxx (substantial)Video- und Selfservice-IdentifizierungWebsite
IDnowxxx (substantial)Website
IDUnion LissixID Union ist die Blockchain LISSI ist eine WalletWebsite
iSignthisID Check/FraudWebsite
JolocomxWebsite
majorel (ehem. Arvato)xxx (substantial)Website
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
NectVerifikation von AusweisenWebsite
OPTIMOS 2.0ID PlattformWebsite
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Verify-Uxxx (substantial)Website
Verimixx (substantial)Website
WebIDxxx (substantial)Website
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern. Ich habe dabei die folgenden Kohorten identifiziert. Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt. Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas. Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben. Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot. Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“. Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus, dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt. Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.
NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DashlanexWebsite
easy LoginxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
HID GlobalxxWebsite
IDEExWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanx + HWxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst. Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich. Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet. Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.
NameConsulting Zertifizierung
Vertrauensdienst
PKI
SoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
AdobexSignatur Softw.Website
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
BankverlagxVertrauensdienst / QESWebsite
BSIxConsulting/ZertifizierungWebsite
BundesdruckereixVertrauensdienst / QESWebsite
Ca-CertxTrustcenterWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DocuSignxSignatur Softw.Website
D-TrustxTrustcenter
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GlobalSignxSignatur LösungenWebsite
GovernikusxeID ServerWebsite
IntarsysxSignatur Softw.Website
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
NamiralxVertrauensdienst / QESWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SiganturitxSignatur Softw.Website
SRC GmbHxConsulting/ZertifizierungWebsite
S-TrustxTrustcenterWebsite
Swisscom Trust ServicesxVertrauensdienst / QESWebsite
TelesecxTrustcenterWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxIdentity ConsultingWebsite
xitrustxSignatur LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.
NameLink
aidientWebsite
authenteqWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
PXL VisionWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
VERIFAIWebsite
veriffWebsite
yptokeyWebsite
 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/106259 
 
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (7 Stimmen, Durchschnitt: 4,71 von maximal 5)
Loading...

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

„Ich würde jede Wette darauf eingehen, dass VideoIdent noch in 10 Jahren am Markt ist.“ – Frank S. Jorga, WebID

WebID gewinnt den Prozess gegen IDnow – und schließt parallel eine tiefe Partnerschaft mit Authada. Im Interview wirbt Frank S. Jorga (Geschäftsführer der WebID) für...

Schließen