Standpunkt : Digitale Identitäten – lieber „made in Europe“

Digitale Identität ist ein sperriger Begriff. Dahinter verbirgt sich jedoch der Wesenskern dessen, wie wir das Internet nutzen. Ich bin, wer ich vorgebe zu sein – das muss ich gegenüber Diensten, Unternehmen oder einer Behörde offline ebenso wie online beweisen. Das geschieht mithilfe meiner digitalen Identität.

Grundsätzlich besteht die „digitale Identität“ aus zwei Komponenten: Wir unterscheiden zwischen der Identifizierung, bei der ich meine Identitätsdaten bestätigen muss, um mich zum Beispiel mit meinem Namen zu registrieren, und der Authentifizierung, wenn ich (erneuten) Einlass benötige, zum Beispiel über einen Login mit Nutzername/Passwort oder biometrische Merkmale.

Online Ausweisen nimmt zu

Die digitale Identität schafft Vertrauen und Sicherheit: Für mich selbst, da ich bequem und einfach meine Daten einsetzen und zentral verwalten kann. Und für Unternehmen, denn Sie müssen eindeutig sicherstellen, dass der Nutzer, der zum Beispiel etwas kauft, kein Betrüger ist und gestohlene Daten verwendet.

Im Internet müssen wir uns immer häufiger an vielen Stellen identifizieren: bei der Bankkonto-Eröffnung, dem Abschluss einer Versicherung, einem Car-Sharing-Anbieter, dem digitalen Behördengang. Und noch häufiger müssen wir uns authentifizieren, man denke an die vielen Logins und Passwörter, die wir mit jeder Neuanmeldung auf einer Website sammeln.

Kein einheitlicher Rechtsrahmen

Um die Nutzer vor Missbrauch ihrer Identität zu schützen, gibt es in vielen Bereichen klare Vorschriften, wie „sicher“ die Identifizierung und Authentifizierung zu erfolgen hat. Dazu gehören unter anderem der Finanzsektor, die Versicherungsbranche, der öffentliche Sektor, der Gesundheits- und der Telekommunikationssektor. Leider sind diese Regularien nicht einheitlich, sodass eine Harmonisierung oder gar eine Einigung auf übergreifend gültige „Vertrauensniveaus“ noch in weiter Ferne sind. Ein Grund dafür liegt in den verschiedenen Zuständigkeiten auf fachlicher und föderaler Ebene.

Die Barrieren bei der Identifizierung und Authentifizierung von Nutzern aus den genannten Vorschriften sind hoch. Oft sind diese Methoden zurecht sehr sicher gestaltet, aber leider umständlich und unbequem für den Nutzer, was zu hohen Abbruchquoten führt. Diese Barrieren gilt es zu reduzieren, damit digitale Dienste besser zugänglich sind. Funktionierende digitalen Identitäten sind also nicht nur ein Kernelement der Digitalisierung, sondern wirken sich nachweislich positiv auf das Wirtschaftswachstum aus. Es ist also in aller Interesse, bequeme, reichweitenstarke und vertrauenswürdige Identitätssysteme aufzubauen.

Nächster US-Player für Identitätsdienste in den Startlöchern

Mit „Anmelden mit Apple“ drängt bald ein weiterer Player aus Übersee auf diesen Markt. Es handelt sich um ein Login-Verfahren (Single Sign-on), mit dem der Nutzer sich übergreifend mit der Apple ID einloggen kann. Im Gegensatz zu Facebook und Google soll das Ganze auf besseren Datenschutz ausgelegt sein und Daten nicht an Dritte verkaufen. Klingt erst einmal gut, aber Apple wird damit auch zu einem zentralen Informationsplatz, der weiß, wer sich wo einloggt. Wird Apple beim Login halt machen? Wahrscheinlich liegen bald neben Boardkarten und Kreditkarten auch Personaldokumente in der Apple Wallet.

Apple hat sich in letzter Zeit dem Schutz der Daten verschrieben und die Bedeutung von Privatsphäre als Marketing-Tool erkannt. Es ist zu begrüßen, dass Apple den Datenschutz betont. Inwieweit das wirklich geschieht und welche Schlupflöcher z.B. aus technischer Sicht dennoch bestehen, wird sich zeigen.

Die ersten Anzeichen sprechen eine eigene Sprache: Mit „Anmelden mit Apple“ bei einem Dienst können wahlweise auch Namen und E-Mail-Adresse des Nutzers weitergeleitet werden. Möchte der Nutzer das nicht, so erzeugt Apple eine „Wegwerf“-Email. E-Mails an den Nutzer (zum Beispiel die Bestellbestätigung oder Rechnung) werden mittels der Wegwerf-Adresse über Apple an die wahre Nutzer-E-Mail-Adresse weitergeleitet. So kennt der Dienst zwar die wahre Email-Adresse nicht, aber Apple hat dafür nicht nur die Transaktionsdaten, sondern wegen fehlender Verschlüsselung auch Zugriff auf die gesamten E-Mail-Inhalte.  

Klar ist: Ob Apple die Daten nutzt oder nicht nutzt, sie liegen in den Händen eines US-Unternehmens – und außerhalb einer europäischen Regulierung.

Eine „saubere“ Identität mit der Datensouveränität beim Nutzer

Was wäre nun eine Lösung? Wir dürfen unsere Daten nicht so arglos jedem x-beliebigen Unternehmen geben. Daten sollten ausschließlich in der Hoheit des Nutzers liegen, vergleichbar mit einem Bankschließfach, bei dem nur ich den Schlüssel habe und nicht einmal die Bank. Absolutes No-Tracking der Nutzer ist wichtig in sensiblen Anwendungsbereichen wie E-Government, E-Health oder auch Finanz- und Versicherungswelt. Dort erhalten Sie auch nur über sichere Mittel und Wege Ihren Zugang.

Denn: Es geht längst um mehr als Logins, nämlich um die verifizierte digitale Identität. Hier sind US-Player noch nicht stark, denn zum Glück kann man sich dank starker EU-Regulierung mit Google und Co. noch nicht bei einer Behörde anmelden. Noch haben wir in Deutschland also einen Vorsprung.

Für die deutsche und europäische Industrie tickt jedoch die Uhr: Wenn sie nicht sehr rasch eine attraktive Alternative für Nutzer etabliert, dann werden Nutzer letztlich das nutzen, was bequem und verbreitet ist, aber eben intransparent und selbstbestimmt.

Die Lösung: Vertrauensnetzwerk für digitale Identitäten

Wir brauchen ein europäisches Netzwerk für digitale Identitäten, das auf gegenseitigem Vertrauen zwischen Nutzern, Unternehmen und Identitätsanbieter sowie gemeinsamen Standards basiert. Eine offene europäische Plattform, die andere nicht ausschließt, und branchenübergreifend funktioniert. Verimi kann diese Lösung sein – eine Plattform, die sichere Logins, das Ausweisen online mittels verifizierter Identitäten, die digitale Unterschrift sowie Bezahlvorgänge vereint.

Dirk Woywod ist seit 2018 Chief Technical Officer (CTO) bei Verimi, einem deutschen Login-Dienst, an dem sich unter anderem Axel Springer, die Allianz, die Deutsche Bank und die Postbank sowie die Deutsche Telekom beteiligen. Nach seiner Promotion in theoretischer Physik an der Technischen Universität (TU) Berlin, arbeitete er zwischen 2005 und 2009 bei McKinsey als Projektleiter IT Plattform-, Restrukturierungs- & Strategieprojekte. 2010 war er als Chief Operating Officer (COO) bei betterplace.org beschäftigt. Von 2010 bis 2018 war er in der Bundesdruckerei als Director/ VP/SVP tätig.