Die Zukunft digitaler Identitätsnachweise

Digitale Identität

In unserer Artikelserie »Digitale Identität« spüren wir philosophischen, alltäglichen und technischen Aspekten von Identitäten im digitalen Raum nach.

Der dritte Teil der Artikelserie »Digitale Identität« betrachtete diverse existente Möglichkeiten von Digitalen Identitäten als Instrument der Authentisierung im Internet beziehungsweise für digitale Dienste im Allgemeinen. Im Interview mit Prof. Dr. Marian Margraf und Martin Seiffert vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC setzen wir dort an und vertiefen die technologische Betrachtung. Wir sprechen mit den beiden Wissenschaftlern über den aktuellen Stand der Technologie Digitaler Identitätsnachweise sowie über mögliche zukünftige Entwicklungen.

---

Hallo Herr Margraf und Herr Seiffert. Digitale Identitäten sind ein wesentlicher Bestandteil der digitalen Transformation, insbesondere wenn es darum geht, Geschäftsprozesse zu digitalisieren. Für den Identitätsnachweis gibt es bereits verschiedene Verfahren: die klassische Nutzername-Passwort-Kombination, Single Sign-Ons, Passkeys oder die Online-Ausweisfunktion des Personalausweises. Welche dieser oder anderer Verfahren sind Ihrer Meinung nach besonders sicher und benutzerfreundlich?

Margraf: Elektronische Identitäten basieren heute zumeist auf einer Zwei-Faktor-Authentifizierung. Prinzipiell stehen drei Faktoren zur Verfügung: Wissen, zum Beispiel ein Passwort oder eine PIN, Besitz, etwa ein kryptografischer Schlüssel auf einer Chipkarte, und Biometrie, zum Beispiel die Gesichtserkennung des Smartphones. Die Kombination von zwei dieser Faktoren ist heutzutage meist eine Mindestanforderung an Sicherheit. Wie sicher ein Verfahren des Digitalen Identitätsnachweises sein muss, hängt vom Use Case ab. Benutzername-Passwort-Kombinationen sind nicht elementar unsicher, sie werden es erst in bestimmten Kontexten. Gleichzeitig setzen sich Zwei-Faktor-Authentifizierungen zusehends durch, auch wegen der Verbreitung von Authenticator-Apps. Die Online-Ausweisfunktion des Personalausweises ist ebenfalls eine sehr sichere, typische Zwei-Faktor-Lösung, die auf einer PIN und einem auf dem Sicherheitschip des Personalausweises gespeicherten geheimen Schlüssel basiert.
Informationssicherheit ist aber nicht das einzige Ziel elektronischer Identitäten, man muss auch über Privatheit sprechen. Dabei geht es vor allem darum, nur minimal nötige Mengen an Daten preiszugeben – eben nur jene, die tatsächlich für einen Dienst gebraucht werden. Geht es etwa um einen Altersnachweis, müssen keine weiteren personenbezogenen Daten außer des Alters übertragen werden. Vielleicht reicht sogar die Information das eine bestimmte Altersgrenze, z.B. 18, überschritten ist.

Seiffert: Zur Frage, welche Verfahren sicherer oder benutzerfreundlicher sind: Benutzername und Passwort sind je nach Anwendung sicher, sie stellen aber nur einen Faktor dar. Passwörter können unterschiedlich komplex sein und damit auch unterschiedliche Sicherheitsanforderungen widerspiegeln. In der Praxis wird aber nicht für jeden genutzten Online-Dienst ein sicheres Passwort gewählt. Vielmehr werden Passwörter häufig dienstübergreifend wiederholt, an unsicheren Orten notiert etc.

Passkeys sind ein Ersatz für Passwörter, stellen also eine passwortlose Technologie des digitalen Identitätsnachweises dar. Für jeden zu nutzenden Online-Dienst wird statt eines Passworts ein Schlüsselpaar bestehend aus einem privaten und einem öffentlichen Schlüssel generiert. Der private Schlüssel verbleibt bei den Nutzenden, während der öffentliche Schlüssel für die Identifizierung beim Online-Dienst gespeichert wird. Dieser private Schlüssel des*der Anwendenden basiert auf einem eigenen Authentisierungsmechanismus. In unseren mobilen Endgeräten ist das zum Beispiel Biometrie, eine PIN oder ein anderes Wissensmerkmal. Insofern sind Passkeys insgesamt deutlich sicherer: Die Schlüssel haben eine gute Komplexität und repräsentieren einen Besitzfaktor. Zusammen mit der Freischaltung des Schlüssels auf dem eigenen Endgerät durch Biometrie oder Wissen stellen Passkeys letztlich eine 2-Faktor-Authentifizierung dar. Passkeys basieren außerdem auf einer dezentralen Architektur: Die privaten Schlüssel verbleiben beim jeweiligen Nutzenden.

Single-Sign-Ons (SSO) wiederum sind mit zentralen Identitätsprovidern (IDP’s) verbunden. Dabei authentisiere ich mich gegenüber dem zentralen IDP. Der IDP übernimmt dann das Authentisieren zu zahlreichen Online-Diensten. SSOs werden etwa von großen Konzernen wie z.B. Google, Facebook, Apple, Microsoft oder auch Amazon angeboten. Denen müssen sowohl Nutzende als auch Dienste vertrauen. Dabei sind vor allem die Sicherheitskonzepte entscheidend, die garantieren, dass Daten und Privatsphäre nicht kompromittiert werden.

Insgesamt geht der Trend zu dezentralen Identitätsarchitekturen. Der Personalausweis und seine Ausweisfunktion sind eine solche – die Identitätsdaten und die Schlüssel zum Authentisieren sind zusammen in der Personalausweiskarte der Nutzenden gespeichert. Die Online-Ausweisfunktion bringt aber einige Anwendungsbarrieren mit sich. Man muss die Transport-PIN zum Freischalten der Online-Ausweisfunktion kennen, die benötigte Hardware stellt gewisse Anforderungen und auch die Dienste, die den Personalausweis einbinden möchten, müssen höhere Standards erfüllen.

Die geplante EUDI-Wallet zielt darauf ab, solche Barrieren weiter zu senken, die Nutzbarkeit zu steigern und trotzdem ein sicheres Identitätsmittel anzubieten.

Passkeys sind aktuell im Trend. Problematisch kann aber vor allem, wie von Ihnen bereits angesprochen, die Abhängigkeit von zentralen IDP’s im Zusammenhang mit SSOs sein. Gibt es Möglichkeiten, sich von großen internationalen Tech-Konzernen abzukoppeln?

Margraf: Verimi zum Beispiel ist ein deutscher Identity Provider, finanziert von deutschen Unternehmen. Außerdem versucht die EU, vor allem mit der angesprochenen EUDI-Wallet, Alternativen zu großen Tech-Konzernen zu etablieren. Solche Lösungen müssen dann ein bestimmtes Sicherheits- und Datenschutzniveau haben. Letztendlich können auch große US-amerikanische Unternehmen mit der Umsetzung der EUDI-Wallet beauftragt werden. Die müssen dann aber die spezifischen Anforderungen erfüllen, um sich EUDI-Wallet-konform nennen zu können.

Seiffert: Richtig, EUDI-Wallets basieren auf einer europäischen Verordnung, der eIDAS-Verordnung, die digitale Identitäten für die breite Bevölkerung zugänglich machen und dabei den digitalen Markt fair öffnen möchte. Eine überarbeitete Version der 2014er-eIDAS-Verordnung ist letztes Jahr in Kraft getreten und verpflichtet alle Mitgliedstaaten, ihren Bürgerinnen und Bürgern bis Ende 2026 eine Wallet für digitale Identitäten anzubieten, die sogenannte EUDI-Wallet.

Diese Wallets sollen hohe Anforderungen an die Privatsphäre erfüllen, wie die Unbeobachtbarkeit der Nutzenden während Transaktionen und die Unverknüpfbarkeit von einzelnen Transaktionen. Auch die Datenminimierung ist ein wichtiger Bestandteil, sodass nur notwendige Daten preisgegeben werden.
Dafür werden aktuell erfolgreiche Identitätskonzepte weiterentwickelt. Zentrale IDP’s wie Google, Facebook, Microsoft oder Apple nutzen »OpenID Connect«. Das ist ein Authentifizierungsverfahren, das relativ einfach zu integrieren ist. Im Bereich der EUDI-Wallet wird unter anderem das Protokoll »OpenID for Verifiable Credentials« eingesetzt, dass eine Art Adaption von »OpenID Connect« ist, ähnlich einfach integriert werden kann, aber einen privatsphärenfreundlicheren, dezentralen Identitätsansatz bietet.

Ist es realistisch, dass die EUDI-Wallet bis Ende 2026 tatsächlich für Nutzende im Netz anwendbar ist?

Seiffert: Mit der EUDI-Wallet hat man sich viel vorgenommen. Sie soll nicht nur eine Identifizierungsfunktion auf dem Sicherheitsniveau unseres Personalausweises bieten, sondern auch digitales Unterzeichnen und Pseudonyme ermöglichen. Außerdem sollen Berechtigungsnachweise wie zum Beispiel der Führerschein, Bildungszeugnisse oder eRezepte für Nutzende im EUDI-Wallet verfügbar gemacht werden, die dann in verschiedenen Bereichen wie Verkehr, Gesundheit, Bildung, Telekommunikation und anderen länderübergreifend einsetzbar sein sollen. Die Mitgliedstaaten, einschließlich Deutschland, sind auf einem guten Weg, ein entsprechendes Produkt rechtzeitig anzubieten. In Deutschland läuft ein Projekt, das vom Bundesinnenministerium und der »Bundesagentur für Sprunginnovationen« (SPRIND) gesteuert wird und welches wir aus Sicht der Informationssicherheit beraten. Dieses Projekt entwickelt eine Architektur für das deutsche EUDI-Ökosystem und eine erste staatliche Wallet. Ob alle Funktionen bis Ende 2026 vollumfänglich verfügbar sein werden, wird sich zeigen. Man hat sich aber auf ein iteratives Vorgehen geeinigt, um Stück für Stück sicher nutzbare und privatsphärefreundliche Funktionen zur Verfügung zu stellen.

Die Online-Ausweisfunktion des Personalausweises ist aktuell noch nicht häufig in privatwirtschaftliche Online-Prozesse integriert. Aus Nutzendensicht erfolgt die Authentisierung meist noch über gängige Verfahren wie Nutzername-Passwort-Kombinationen, SSO’s oder Passkeys. Wie wichtig ist es, privatwirtschaftliche Systeme mit der EUDI-Wallet zu verbinden?

Margraf: Das Hauptaugenmerk der eIDAS-Verordnung lag bislang auf Behörden. Wenn wir in Deutschland die Behörden und ihre Prozesse digitalisieren wollen, brauchen wir elektronische Identitäten. Eventuell könnte man die EUDI-Wallet zunächst innerhalb behördlicher Prozesse einsetzen und die Wallet-Funktionen später auch innerhalb der Industrie übernehmen.

Banken zum Beispiel haben aktuell eigene risikobasierte Lösungen. Online-Händler regeln die digitale Authentifizierung zudem meist über das Bezahlwesen. Solange jede Lösung für sich besser funktioniert als ein gemeinsames eID-Ökosystem, besteht wenig Bedarf für eine Umstellung. Die Lösungen von beispielsweise Apple oder Google sind ja nicht prinzipiell unsicher. Ein eID-Ökosystem ist dann attraktiv für den privatwirtschaftlichen Sektor, wenn Nutzbarkeit, Sicherheit und Privatsphäre zusammenkommen.

Für die Behördenkommunikation sind vertrauenswürdige, sichere elektronische Identitäten hingegen essenziell. Und das ist, was die EU derzeit vorantreibt. Aktuell ist die Identifizierung einer Person immer noch besonders herausfordernd. Wenn man zum Beispiel ein neues Bankkonto eröffnen will erfolgt dies oft noch immer über das Postident-Verfahren, was kompliziert und mit Medienbrüchen verbunden ist. Dieser anfängliche Registrierungsprozess, also die Erstinitialisierung der elektronischen Identität, bleibt noch immer eine große Herausforderung.

Seiffert: Der Auslieferungsprozess für besonders sichere digitale Identitäten ist mit hohen Hürden verbunden, um sicherzustellen das diese auch in die richtigen Hände gelangen. Der Prozess ist daher oft nicht so benutzerfreundlich, wie man es sich wünschen würde.

Die EUDI-Wallet ist aber bereits darauf ausgelegt, sowohl den öffentlichen als auch den privatwirtschaftlichen Sektor anzusprechen. Dies zeigt sich nicht zuletzt in der Gesetzgebung der eIDAS-Verordnung, welche auch größere private Organisationen verpflichte die EUDI-Wallet zu akzeptieren. Darüber hinaus laufen europäische Großprojekte zur Erprobung der Wallet in verschiedenen Branchen an denen eine Vielzahl von öffentlichen als auch privatwirtschaftlichen Organisationen teilnehmen. Man versucht also eine Integration der Privatwirtschaft schon in der Entwicklungsphase zu initiieren.

Auch der Entwicklungsprozess für die Architektur des eID-Ökosystems und der EUDI-Wallet in Deutschland ist sehr offen gestaltet. Das Architekturkonzept ist öffentlich zugänglich, jede Änderung kann transparent nachverfolgt werden. Die Industrie ist auch hier eingeladen, den Prozess zu begleiten und in Workshops sowie anderen Kanälen Wünsche und Bedenken einzubringen. Auch zivilgesellschaftliche Organisationen sind eingebunden und bringen kritische Meinungen ein. Es wird also versucht, alle möglichen Stakeholder für die EUDI-Wallet einzubinden, um ein Produkt zu schaffen, das Europa, den europäischen Bürgerinnen und Bürgern und der Wirtschaft nützt. Ziel ist es, digitale Prozesse für alle zugänglich zu machen. Diese Voraussetzungen sind deutlich besser als bei der ersten eIDAS-Verordnung, bei der bereits unser Personalausweis als notifiziertes eID-Mittel umgesetzt wurde. Das stimmt mich optimistisch, dass mehr erreicht wird als nur ein europaweites eID-System für den öffentlichen Sektor.

(rah)

---