Mit den Corona-Hilfen für Unternehmen sollten die wirtschaftlichen Folgen der Pandemie schnell und unbürokratisch abgefedert werden. Eine digitale Einreichung sollte die Abwicklung beschleunigen. Es gab jedoch auch zahlreiche Betrugsfälle, in denen finanzielle Hilfen für nicht existierende Unternehmen beantragt und teilweise auch ausgezahlt wurden. Einige dieser Auszahlungen wurden gestoppt – mit wiederum fatalen Folgen für tatsächlich unterstützungsbedürftige Unternehmen.
Dieser „Supergau“ bei den Corona-Hilfen führt unweigerlich zu Fragen wie: Wie können Transaktionen sicher, nutzerfreundlich und schnell umgesetzt werden? Wie löst eigentlich Europa diese Herausforderung? Und wie wird mit weiteren absehbaren Anwendungsfällen, wie zum Beispiel Impfzertifikaten, umgegangen, bei denen ebenfalls ein hohes Betrugsrisiko besteht?
Digitale Identitäten sind der Schlüssel für vertrauenswürdige digitale Transaktionen. Sowohl bei Kontakten zwischen Behörden und Unternehmen als auch zwischen Unternehmen selbst, ermöglichen digitale Identitäten die Verifizierung von Unternehmen (Existiert die Musterfirma?), in deren Namen agierende Personen (Existiert die angegebene Person Max Mustermann?) sowie deren Handlungsberechtigung (Darf Max Mustermann im Namen der Musterfirma handeln?).
Unternehmenskonto: Zu wenig, zu spät?
Gemäß Onlinezugangsgesetz sollen Bund, Länder und Kommunen ihre Verwaltungsleistungen bis 2022 vollständig digital anbieten. Hierfür wird mit Nutzerkonten für Unternehmen (und für Bürgerinnen und Bürger) eine entsprechende Infrastruktur geschaffen. Sie sollen Unternehmen Zugang zu digitalen Verwaltungsleistungen wie beispielsweise Corona-Hilfen ermöglichen. Ein guter Ansatz – die Nutzerkonten lagen zum Zeitpunkt der Corona-Hilfen jedoch nicht vor. Zu Anfang Juni wurden die Unternehmenskonten in den ersten Bundesländern gestartet.
Als Nachteil lässt sich die einzig mögliche Identifizierung per Elster bezeichnen sowie die Nutzung einzig für E-Government-Anwendungen. Mit Blick auf bestehende Unternehmensidentitäten wird mit den Unternehmenskonten ein weiteres System geschaffen und so Komplexität erhöht, statt jede digitale Identität einer juristischen Person zuzulassen, nur abhängig vom notwendigen Vertrauensniveau.
Neben dem dadurch erhöhten Betrugsrisiko, zeigen sich unter Pandemiebedingungen weitere Nachteile der mangelnden Digitalisierung in der öffentlichen Verwaltung. Nicht vollständig digitale behördliche Antragsprozesse bis hin zu hybrider Aktenführung führen zu langen Bearbeitungszeiten und erschweren während den Lockdowns nicht nur die Kontaktvermeidung, sondern auch die Arbeitsfähigkeit ganzer Industriezweige.
Seit September 2014 schafft die sogenannte eIDAS-Verordnung in der EU eine verbindliche Grundlage für sichere digitale, lokale und mobile Identitäten, elektronische Unterschriften und Siegel – und damit für effiziente und vertrauenswürdige digitale Transaktionen, die auch in Jahrzehnten noch nachweisbar sind.
Warum nicht nutzen, was es schon gibt?
Aus Anwendersicht sind Corona-Hilfen, eine Genehmigung oder eine andere Leistung einer Behörde nur ein „digitaler Anwendungsfall“ von vielen. Nutzer:innen gehen davon aus, dass das Verfahren wie beim Online-Einkauf, der Nutzung von Shared-Mobility-Angeboten oder dem Abschließen eines digitalen Versicherungsvertrags funktioniert.
Sofern Nutzer:innen über keine digitale Identität verfügen, gilt es, eine solche auszustellen, und zwar in einem möglichst nutzerfreundlichen Verfahren. Dies könnte beispielsweise durch die aus anderen Branchen wie Banken, Versicherungen oder dem Gesundheitswesen bekannten Identifizierungsdienstleister erfolgen. Die Identitätsdaten können dann sowohl zentral als auch dezentral gespeichert werden. Entscheidend dabei ist ausschließlich das sogenannte notwendige Vertrauensniveau für den gewünschten Service.
Corona-Hilfen: So würde der Prozess mit digitalen Identitäten aussehen
Die Erzeugung, Prüfung und Bestätigung sicherer digitaler Identitäten sowohl juristischer als auch natürlicher Personen bis hin zu deren Handlungsberechtigungen müsste also durch einen bedarfsgerechten, nutzerfreundlichen sowie vertrauenswürdigen Identitätsservice erfolgen. Als eine Art „vertrauenswürdiger Dritter“ bestätigt er diese Identität gegenüber Behörden und Unternehmen. Hinzu kommt die elektronische Unterschrift oder Siegel für Anträge oder Verträge für Unternehmen sowie Behörden. Damit können nicht nur effizient Rechts- wie Sicherheitsrisiken minimiert sondern auch ein volldigitaler Geschäftsprozess zwischen Staat und Unternehmen realisiert werden.
Ein vertrauenswürdiger Dritter erzeugt die digitale Identität des Unternehmens sowie der handlungsberechtigten Person, zum Beispiel des Prokuristen, inklusive der Handlungsvollmachten. Die so erzeugte digitale Identität stellt der Service den Nutzer:innen im Mobiltelefon sicher zur Verfügung. Im nächsten Schritt wird ein qualifiziertes Zertifikat für die elektronische Unterschrift erstellt. So kann der Prokurist den Antrag unterschreiben und einreichen. Die Behörde kann diese Unterschrift mit jeder handelsüblichen Prüfsoftware kontrollieren, den Antrag bearbeiten und dann die Transaktion tätigen.
Die Anwender:innen entscheiden, wem sie welche Daten zur Verfügung stellen. Die personenbezogenen Daten liegen also rein dezentral bei den Nutzer:innen. Auf diese Weise können sehr leicht auch ein digitaler Impfpass, Testzertifikate oder andere digitale Nachweise abgebildet werden. Um dies zu ermöglichen, bedarf es sowohl entsprechender rechtlicher Grundlagen die mit eIDAS 2.0 zumindest auf europäischer Ebene in Vorbereitung sind sowie technischer Standards, die in den nationalen wie internationalen Standardisierungsgremien aktuell entwickelt werden.
Steffen Schwalm ist Principal Consultant Identity & Trust bei dem IT- und Beratungsunternehmen Msg. Hauptsächlich beschäftigt er sich mit digitalen Identitäten, elektronischen Vertrauensdiensten und beweissicherer Langzeitspeicherung.