© sitthiphong/Adobe Stock

Sichere digitale Identitäten: das digitale Ich auf dem Smartphone

Redaktion BWI

E-Government, IT-Security

Wer Online-Dienste in Anspruch nimmt, besitzt bereits heute viele digitale Profile und Zugangsdaten, um sich für Transaktionen zu legitimieren. Die sind allerdings nicht universell verwendbar. Außerdem fehlt die amtliche und vertrauenswürdige Identifikation auf Basis digitaler Daten. Hier mangelt es meist an geeigneten Verfahren zur Identitätsprüfung. Für die fortschreitende Digitalisierung werden sichere digitale Identitäten daher immer mehr zur Schlüsseltechnologie. Und nicht nur Menschen, sondern auch Maschinen oder Unternehmen könnten sich mit einer sicheren digitalen Identität ausweisen. Das ist interessant im Hinblick auf die Effizienz von Prozessen, etwa in der Logistik oder der Verwaltung.

Sicherheit und Nutzerfreundlichkeit im Fokus

Ein Knackpunkt ist die Sicherheit. Müssen zur Identitätsprüfung personenbezogene oder andere sensible Daten elektronisch übertragen und bei Dritten gespeichert werden, geben Menschen oder Unternehmen die Kontrolle darüber aus der Hand. Das Risiko von Identitätsbetrug und Manipulation ist groß und eröffnet viele Möglichkeiten für Internetkriminalität. Bisher vorhandene Lösungen, die dieses Problem umgehen, sind im Alltag häufig nicht praktikabel, geschweige denn nutzerfreundlich. Ein Beispiel ist der elektronische Personalausweis (ePA), der in Deutschland seit über zehn Jahren zur Verfügung steht. Zum digitalen Einsatz brauchte es bis vor Kurzem ein eigenes Lesegerät, das die Verbindung zu einer konkreten Anwendung, beispielsweise der Rentenauskunft, erst ermöglicht. Umständlich und daher bislang kaum genutzt. Einer Umfrage der Initiative D21 zufolge kam die Funktion in der Vergangenheit nur bei sechs Prozent der Befragten zum Einsatz. Ein weiteres Hemmnis: Die Online-Funktion des Personalausweises zur Personenidentifikation reicht Behörden meist nicht aus, sie verlangen für Anträge weitere Nachweise auf Papier.

Um die Nutzung komfortabler und alltagstauglicher zu machen, liegt eine Idee nahe: Die amtliche Identifikation könnte über das Smartphone erfolgen. Einen wichtigen Schritt für eine bessere Akzeptanz des ePA hat die Bundesregierung daher jetzt angestoßen: Der Bundestag hat im Mai per Gesetz beschlossen, dass Bürger*innen ihre mit dem Personalausweis verknüpfte Identität, die sogenannte eID, direkt in ihrem Smartphone oder Tablet speichern und sich damit ausweisen können. Und auch auf europäischer Ebene soll die digitale Identität kommen, wie die Europäischen Kommission Anfang Juni vorgestellt hat.

Selbstbestimmte Verwaltung der digitalen Identität

Mit dem neuen Gesetz ist der Weg frei für viele Prozesse, die sich künftig vollständig digitalisieren lassen könnten. Die Idee dahinter: Personen können nicht nur ihre Personalausweisdaten, sondern alle sie betreffenden und von autorisierten und vertrauenswürdigen Organisationen ausgestellten Nachweise auf ihrem Smartphone verwalten, zum Beispiel Urkunden, Zeugnisse oder andere Zertifikate. Die Nutzer*innen behalten dabei die volle Datenhoheit und entscheiden selbst, ob und welche Daten sie hinterlegen und mit wem sie diese teilen.

Technisch handelt es sich um den Ansatz der Self Sovereign Identities (SSI): Der Aussteller eines digitalen Nachweises übermittelt diesen an den Halter, der ihn der eigenen Identität auf dem Smartphone hinzufügt und anlassbezogen teilt, und zwar mit einem sogenannten Verifizierer. Aussteller und Verifizierer kommen nicht direkt miteinander in Kontakt. Sie kommunizieren indirekt über ein dezentrales Netzwerk und tauschen nur Schlüsselinformationen aus, nicht aber die personenbezogenen Daten selbst.

Wie das in der Praxis aussehen könnte, zeigt ein Pilotprojekt von Bundeskanzleramt, der BWI und anderen Partnern aus der Wirtschaft, das im Mai vorgestellt wurde: Beim „Digitalen Hotel-Check-in“ ersetzt die Identifikation per Smartphone-App für Geschäftsreisende das Ausfüllen des gesetzlich vorgeschriebenen Meldescheins. Möglich macht das die neu entwickelte „ID-Wallet“. In der App stellt die Bundesdruckerei dem Besitzer die von ihr verifizierten Daten zur Feststellung seiner Identität zur Verfügung. Diese Basis-ID ist das digitale Abbild des elektronischen Personalausweises. Im Hotel wird einfach ein QR-Code gescannt und der Check-in über das Smartphone abgewickelt. Geprüft wird dabei, ob alle nötigen in der ID-Wallet des Gastes verfügbaren Nachweise gültig sind, ohne die Nachweise selbst und ihre Inhalte im Detail zu kennen.

Öffentliche Hand und Unternehmen im Schulterschluss

Der Pilot zeigt zudem, wie ein Prozess digitalisiert werden kann, bei dem öffentliche und privatwirtschaftliche digitale Nachweise zugleich gefordert sind: Im Fall des digitalen Hotel-Check-ins bringen Geschäftsreisende in der App nicht nur ihren digitalen Ausweis in Form der Basis-ID mit, sondern im digitalen Mitarbeiternachweis auch die Rechnungsadresse ihrer Firma. Das Projekt ebnet damit den Weg, um künftig auch Behördengänge volldigital abwickeln zu können.

Der digitale Hotel-Check-in ist der erste einer Reihe von Projekten im Auftrag der Bundesregierung. Bis zu sieben weitere stehen bis Ende des Jahres im Rahmen der „Europäischen Digitale-Identitäten-Initiative“ auf dem Plan. Partner aus der Wirtschaft bringen die nötige Expertise für eine erfolgreiche Umsetzung mit. Alle Anwendungen haben eine hohe Alltagsrelevanz und damit gute Chancen, bei den Anwender*innen auf Akzeptanz zu stoßen.

Im Laufe der nächsten Monate kommt unter anderem eine Lösung für das digitale Zugangsmanagement für Gebäude, an der auch wieder die BWI beteiligt ist. Das Konzept dafür steht und die BWI hat mit ihrer Innovationseinheit innoX für das digitale Zugangsmanagement in Bundeswehrliegenschaften bereits Lösungsansätze entwickelt und erfolgreich in dem Experiment „Smart Digital Badge“ erprobt. Das Ergebnis: Die Ende-zu-Ende-Digitalisierung des Zugangsmanagements könnte mehr als 50 Prozent der Prozesskosten für die Bundeswehr und bis zu 80 Prozent der Wartezeit für Besucher*innen der Liegenschaft einsparen. Die technologische Lösung sowie die Erfahrungen aus dem Experiment setzt die BWI nun auch bei dem neuen Projekt ein und kann die so gewonnen Erkenntnisse wiederum für die Bundeswehr nutzen.

Neben den von der Bundesregierung angestoßenen Projekten ergeben sich unzählige Anwendungsfälle mit hoher Alltagsrelevanz – und damit Potenzial für Effizienzgewinne im behördlichen, wirtschaftlichen und privaten Umfeld. Darum stehen für Staat und Wirtschaft immer einfach nutzbare, alltagstaugliche und interoperable Lösungen im Fokus. So auch beim Innovationswettbewerb „Schaufenster Sichere Digitale Identitäten“, den das Bundeswirtschaftsministerium mit über 50 Millionen Euro fördert. Das erste Projekt daraus, bei dem sich die BWI als assoziierter Partner beteiligt, ist IDUnion. Dabei arbeitet ein Konsortium aus Industrie und öffentlicher Hand am Aufbau eines offenen und international kompatiblen Ökosystems für die dezentrale Identitätsverwaltung.
 

Fazit: Dass Staat und Wirtschaft das Thema digitale Identitäten mit Nachdruck zusammen vorantreiben, zeigt die immense Bedeutung für die digitale Transformation und Souveränität. Und mit der Möglichkeit, die eigene Identität auf dem Smartphone selbstbestimmt zu verwalten, kommt das Thema langfristig auch in der Mitte der Gesellschaft an – mit einem Effizienzgewinn für Bürger*innen, Staat und Wirtschaft.
 

Das könnte Sie auch interessieren: