Digitales Ich

Warum sind die Anforderungen an Digitale Identitäten so besonders?

Bruns: Je nach Bedarf und Anforderung an verlässlichem und vertrauenswürdigem Handeln unterscheidet sich das „digitale Ich“ vom „analogen Ich“. In der analogen Welt zeigen wir unseren Personalausweis oder Reisepass vor und wissen, dass niemand anderes sich einfach für uns ausgeben kann. Beim „digitalen Ich“ kommen neue Herausforderungen hinzu. Je nach Anwendungsbereich habe ich unterschiedliche Identitäten, die meist mit unterschiedlichen persönlichen Daten gekoppelt sind. Das sind bei einer ID für ein Shopping-Portal andere als beispielsweise bei einer ID für einen Social Media-Account.

Wohnung und Auto ummelden oder ein neues Konto eröffnen – dafür muss ich mich aber im Netz zweifelsfrei identifizieren. Wie kann das einfach, aber sicher funktionieren?

Bruns: Ein staatliches eID-Schema ins Internet zu bringen, war die Idee hinter der Einführung der Online-Ausweisfunktion, die seit dem 1.11.2010 auf dem Personalausweis, seit 2011 auf dem elektronischen Aufenthaltstitel sowie seit 2021 auf der neuen eID-Karte für Unionsbürger:innen ausgegeben wird. Mit dem Online-Ausweis einher ging die Einführung einer gesamten Infrastruktur, damit sichergestellt werden kann, dass a) nur vom Staat ausdrücklich genehmigte Organisationen und Unternehmen die auf dem Chip des Ausweises enthaltenen Daten auslesen können und b) die Daten mittels sicherer Software sowohl auf Seiten der Nutzer:innen als auch auf Seiten der auslesenden Organisationen für eine sichere Übertragung sorgen. Das gehört für mich in einer zunehmend digitalen Welt genauso zur Infrastrukturleistung des Staates wie Autobahnen und Schulen.

Was braucht es für die digitale Identifikation?

Bruns: Das ist eine zweigeteilte Antwort: Was sich zunächst kompliziert anhört, ist für Nutzende aber ganz einfach: die AusweisApp des Bundes auf dem Smartphone installieren, den Personalausweis ans Gerät halten, eine PIN eingeben, fertig.

Unternehmen haben verschiedene Möglichkeiten, sich an die eID-Infrastruktur anzubinden. Ein Beispiel ist die Nutzung eines Identifizierungsdienstes wie AusweisIDent. Das ist ein Dienst, den wir gemeinsam mit der Bundesdruckerei-Tochter d-trust entwickelt haben und anbieten. AusweisIDent ist eine schnelle und einfache Möglichkeit zur Integration des Online-Ausweises, die keinen großen Aufwand auf Unternehmensseite erfordert und in vorhandene Systeme integriert werden kann.

Darüber hinaus können Unternehmen, die sehr hohe Identifizierungsquoten haben, auch einen eigenen eID-Server betreiben oder diesen as a Service einkaufen. Da wir an der Entwicklung der eID-Infrastruktur im Auftrag von Bund und allen 16 Bundesländern maßgeblich beteiligt waren und sind, bieten wir alle drei Möglichkeiten an.

Welche Rolle spielt dabei Kryptografie?

Bruns: Die Identitätsdaten aus dem Online-Ausweis werden natürlich nicht ohne Schutzmaßnahmen übertragen, sondern über einen verschlüsselten Kanal.

Kann Digitalisierung ohne Kryptografie überhaupt funktionieren?

Scheld: Das ist eigentlich undenkbar. Die Vergangenheit hat gezeigt, dass rein organisatorische Maßnahmen zur Sicherheit ungenügend sind. Bedenkt man die „Verwundbarkeit“ von Systemen und Daten durch Cyberangriffe, dann überrascht die Antwort nicht. Vertrauen in Identitäten, Daten und Systeme kann nur entstehen, wenn diese ohne jeden Zweifel bestehen. Das fängt bei entsprechenden Zertifikaten, die den Herausgeber eine Webseite identifizieren, schon an. Eine nicht durch ein Zertifikat verschlüsselte Webseite wird als „unsicher“ angezeigt und man würde dort wahrscheinlich keinen Account eröffnen und seine Bankdaten hinterlegen.

Sind kryptografisch behandelte Daten wirklich verlässlicher?

Scheld: Immer mehr Daten und Dokumente entstehen elektronisch und werden elektronisch übermittelt. Diesen fehlen gegenüber dem Papier jedoch wichtige Eigenschaften wie Integrität und Authentizität. Sprich: Als Empfänger kann ich zunächst nicht feststellen, ob die erhaltenen Daten manipuliert wurden oder diese wirklich vom angegebenen Absender stammen. Um diese forensischen Nachweise herzustellen, werden kryptografische Mittel benutzt.

Das klingt kompliziert …

Scheld: Ja und nein. Ja: Die Technologie dahinter ist es sicherlich und deshalb gibt es bei Unternehmen wie unserem Kryptografie-Expert:innen. Aber: Unsere Software-Entwicklung hat auch das Ziel, Nutzenden den Umgang mit entsprechenden Software-Anwendungen so einfach wie möglich zu machen. Anwendende sollen sich mit der Komplexität, die mit IT-Sicherheit einhergeht, überhaupt nicht beschäftigen, sondern mit den ihnen vertrauten Systemen arbeiten können.

Konkret: Die Integrität und Authentizität von Dokumenten und Daten wird durch digitale Signaturen und/oder Siegel hergestellt. Diese basieren auf einem Kryptografie-Verfahren, welches mittels Schlüsselpaaren die nicht abstreitbare Urheberschaft sowie die Nichtveränderbarkeit eines Dokumentes oder Datensatzes nachweist. Nutzende können diese Schlüsselpaare auf unterschiedlichen Vertrauensniveaus einsetzen, die wiederum – und hier schließt sich der Kreis – von der Güte der Identität abhängen.

Ein anderes Modell, das wir gerade an den Start bringen, ist die Unterschrift mittels Online-Banking. Meiner Bank gegenüber habe ich mich bei der Kontoeröffnung ausgewiesen. Das kann genutzt werden, um eine rechtsverbindliche Signatur zu erzeugen. Nutzende brauchen dafür lediglich die ihnen bekannten Mittel ihres Online-Bankings und können so direkt in verbindliche elektronische Prozesse einsteigen. So kann Digitalisierung einfach und sicher zugleich gelingen.

Treffen Sie uns auf unserer Jahrestagung am 9. und 10. Mai 2023 in Berlin.