Wie funktioniert digitale Identität? Teil 4: Wer liefert die rechtssichere Identität?

Die rechtssichere Bestätigung im Internet durch einen Identitätsanbieter setzt voraus, dass der Nutzer vorab in einem anderen, meist analogen Prozess, überprüft worden ist. Durch die Verbindung mit einem sicheren Authentifizierungsprozess entsteht eine digitale Identität.

von Rudolf Linsenbarth

Damit die rechtssichere Bestätigung ein tragfähiges Geschäftsmodell wird, müssen drei Dinge zusammenkommen:

1. Die „analoge“ Vorabidentifizierung muss möglichst preiswert sein, oder ist auf Grund anderer Geschäftstätigkeiten bereits vorhanden.

2. Das sichere Authentifizierungsverfahren muss anwendungsfreundlich und skalierbar sein.

3. Der Identitätsanbieter muss ausreichend interessante, auf die digitale Identität aufbauende Dienstleistungen anbieten und die Integration dieser Services bei den Webdiensten darf nicht zu komplex sein.

Identität: Wer kann das liefern? Sechs mögliche Anbieter …

Der elektronische Personalausweis (ePA)

Mit der Her­aus­ga­be des ePA ist der Staat, von der Reich­wei­te der grö­ß­te Iden­ti­täts­an­bie­ter in Deutsch­land. In zwei Jah­ren liegt die Ab­de­ckung bei 100%, je­den­falls theo­re­tisch. Her­aus fal­len die­je­ni­gen Bür­ger die ih­ren Aus­weis nicht freige­schal­tet ha­ben oder ih­re PIN nicht ken­nen. Nach ei­ner nicht re­prä­sen­ta­ti­ven Um­fra­ge in mei­nem Be­kann­ten­kreis schät­ze ich die Zahl der po­tenzi­el­len Nut­zer der­zeit auf un­ter 10%.

Dazu kommt als weiteres Problem, der Identifikationskanal unserer Zeit ist das Smartphone. Die Probleme auf den Android-Geräten wurden mit erscheinen der AusweisApp2 sukzessive behoben. Allerdings auf dem iPhone zieht Apple seine NFC-Blockadenummer beinhart durch. Ein Déjà-vu für alle die aus der kontaktlosen Mobile-Payment-Ecke kommen. Apple zeigt zum wiederholten Mal der gesamten Branche, wer hier die Richtung vorgibt.

Das größte Manko des elektronischen Personalausweises ist aber der Mangel an interessanten Lösungen. Das liegt nicht nur daran, dass die Webdienstanbieter dem Produkt die kalte Schulter zeigen. Eine Reihe von Aufgaben aus Teil 1 dieser Serie kann der ePA überhaupt nicht oder nur unzureichend. Verschlüsselung ist zum Beispiel noch nicht einmal angedacht. Auch das direkte Signieren von E-Mails (z.b. S/MIME) wird nicht unterstützt. Zum direkten Signieren eines PDF-Dokumentes benötigt man:

1. Ein Komfortlesegerät der Firma Rainer SCT für schlappe 160 €
2. Ein separat auf den Ausweis zu ladendes Signaturzertifikat
3. Eine zertifizierte Software, um die Signatur eines PDF durchzuführen. Was be­reits Fir­men­kun­den vor gro­ße Her­aus­for­de­run­gen stellt, ist für den End­kun­den ein knock-out Kri­te­ri­um. Dass dieser Versuch ein Schuss in den Ofen war, hat man erkannt. Das neue Paradigma ist jetzt die Fernsignatur. Die Signatur erstellt nicht mehr der Endnutzer selbst, sondern ein Dienstleister nach einer rechtssicheren Identifikation.

Allerdings stellt sich dann die Frage, ob hier als „Vorleistung“ eine Identifikation mit dem ePA notwendig ist. Die Antwort lautet nein. Damit begibt sich der ePA in den marktwirtschaftlichen Wettbewerb.

Eine weitere Chance für den ePA ist das neue Ausweisgesetz, das Anfang 2017 in Kraft getreten ist. Während vorher jeder Anwendungsfall ein eigenes Berechtigungszertifikat benötigte, gibt es jetzt die Möglichkeit, den Ausweis über einen Identifizierungs­dienste­anbieter (IDA) auslesen zu lassen. Damit wird die Technik skalierbar und für Dienstleister interessanter. Das sogenannte Vor-Ort-Auslesen könnte dem digitalen Ausweis ebenfalls Auftrieb geben.

Im Behördenumfeld ist der ePA gesetzt. Im Massengeschäft ist jedoch mit einem schweren Start zu rechnen. Als Rückfallebene bei einem Verlust der digitalen Identität ist der ePA aber ein unverzichtbarer Sicherheitsanker!

GAFA 

Eine gesetzkonforme Identifikation über die sozialen Netzwerke und hier insbesondere von den Big 4 GAFA (Google, Apple, Facebook und Amazon), halte ich nicht für sehr wahrscheinlich. Das liegt nicht am mangelnden Vertrauen der Internetnutzer, auch wenn Facebook hier gerade eine Menge Kredit verspielt. Die Verbraucher haben ein kurzes Gedächtnis und lassen sich durch gute und kostenlose Dienste schnell zurückgewinnen. Das Problem der großen US-Dienste ist vielmehr, dass man als gesetzeskonformer Identitätsanbieter seine Prozesse sehr viel transparenter gestalten muss. Daran haben die Unternehmen aus dem Silicon Valley bestimmt kein Interesse.

Die sozialen Netzwerke werden sich vorerst mit der Rolle des Authentifizierungsdienstleisters zufriedengeben. Interessant bleibt zu beobachten, welche Zusatzdienste wie einfache Adressübermittlung oder Zahlungsdienstleistungen sie mit anbieten werden. Aber auch hier besitzen nur Facebook und Google die kritische Masse. Ein Login mit Apple hat schon eine um Größenordnungen geringere Reichweite. Amazon hat das Problem, dass die meisten Online-Shops aus Wettbewerbsgründen abwinken werden. Login mit LinkedIn, Twitter, GitHub und Co. sind wegen zu kleiner Nutzerbasis oder zu spitzer Zielgruppenfokussierung chancenlos abgeschlagen.

Banken

Banken hatten die letzten 20 Jahre eine Chance, hier die Initiative zu ergreifen. Ob sie es jetzt wirklich wollen? Banken tun sich sehr schwer, Geschäftsmodelle in branchenfremden Bereichen zu entwickeln. Teilweise sind sie schon jetzt überfordert, ihr klassisches Business in die digitale Welt zu übertragen. Die Probleme der Deutschen Bank, eine ordentliche Mobile Payment App auf die Beine zu stellen, sind dabei nur die Spitze des Eisbergs.

Trotzdem sollte man die Banken noch nicht voreilig vom Zettel der möglichen Identitätsanbieter streichen. Eventuell und das ist durchaus ernst gemeint, lässt sich eine gemeinsame Identitätsdienstleistung über paydirekt realisieren.

Mobilfunkunternehmen

Auch die Telkos sind in diesem großen Poker ein Aspirant. Ihnen kommt jetzt die seit Juli 2017 geltende Identifizierungspflicht aller ihrer Kunden zu Gute. Was zunächst als lästiges Hindernis im Produktverkauf daherkommt, könnte sich eventuell in einen Vorteil wandeln.

Zudem haben die Mobilfunkunternehmen durch neue Technologien wie eSIM und IOT (Internet of Things) selbst einen hochgradigen Bedarf an digitaler Identität. Die frühzeitige Positionierung als Identitätsanbieter ermöglicht eine aktive Einflussnahme beim Setzen der Standards.

Allerdings wird der Aufbau entsprechender Datenbanken noch eine Weile dauern. Bei ihrem Ausflug ins Mobile Payment waren die Mobilfunker jedenfalls noch nicht in der Lage, ihre Vertragskunden Geldwäsche Gesetz konform zu identifizieren.

Video-Ident-Anbieter

Die Video-Ident-Anbieter haben in den letzten Jahren wahrscheinlich Identitäten im Millionenbereich verifiziert. Wenn sie diese geschickt mit einer Authentifizierung verbunden hätten, säßen sie jetzt wahrscheinlich auf einem wahren Datenschatz. Zusätzlich bieten sie bereits rechtskonforme Vertragsabschlüsse mit Unterschriftsfunktion als Dienstleistung im Netz an. Was sie aber bisher nicht hinbekommen haben, ist aus einer Video-Identifizierung ein wiederverwendbares Produkt zu bauen. Jede Video-Session bringt derzeit nur eine einmalige Wegwerf-Identität hervor.

Identitätsvermittler

Mit den Identitätsvermittlern betritt eine neue Klasse von Mitspielern die Bühne. Sie halten selber keine digitalen Identitäten und nehmen die Authentifizierung auch nicht selber vor. Sie decken aber zwei wichtige andere Funktionen ab. Zum einen sind sie Aggregatoren und fassen viele kleine Identitätsanbieter zu schlagkräftigen Einheiten zusammen. Zum anderen stellen sie die auf eine digitale Identität aufbauenden Dienste zur Verfügung.

Mir gefällt dafür übrigens der Name Identity Broker sehr gut. Für den Rest der Serie werde ich daher einheitlich englische Begriffe verwenden.

Wie eine Identität vom Identity Provider oder Identity Broker zum Webservice weitergeleitet wird und wie eine delegierte Authentifizierung funktioniert, behandelt der nächste Artikel.aj