Digitale Identitäten: Mehr Sicherheit für das Digitale-Ich

Foto: CC0 1.0, Pixabay User harishs und geralt | Montage
Foto: CC0 1.0, Pixabay User harishs und geralt | Montage
Veröffentlicht am 30.10.2020

Foto: CC0 1.0, Pixabay User harishs und geralt | Montage
Digitale Identitäten sind Teil unseres Alltags und jedes Mal, wenn wir uns bei einem Onlinedienst anmelden, schaffen wir neue. Das erschwert den Überblick zu behalten und birgt Sicherheitsrisiken. Kann eine europäische digitale Identität Abhilfe schaffen?

Der Oktober stand im Zeichen der digitalen Sicherheit. Mit dem europäischen Aktionsmonat zur Cybersicherheit (ECSM) will die Europäische Union Bürger*innen und Unternehmen für einen verantwortungsbewussten Umgang im Internet sensibilisieren. Das wollen wir zum Anlass nehmen, uns näher mit digitalen Identitäten zu beschäftigen. Diese sind essenziell für die digitale Vernetzung. Denn durch verlässliche und sichere elektronische Identitäten lassen sich Personen oder Objekte virtuell repräsentieren und von Computern eindeutig identifizieren.

Was ist eine digitale Identität?

In der analogen Welt nutzen wir Führerschein, Pass und Personalausweis um unsere Identität gegenüber Banken, Unternehmen, Versicherungen oder dem Staat zu bestätigen. Im Internet greifen wir in den meisten Fällen auf Benutzernamen, Mailadressen und Passwörter zurück. Hinzu kommen Chipkarten, digitale Token oder biometrische Daten. Wer sich also auf einer Online-Plattform einloggt, identifiziert sich mit dem Nutzernamen und bestätigt die eigene Identität anschließend mit dem Passwort. Das System ordnet das korrekte Passwort der Person zu und authentifiziert sie so. Dies ist der Nachweis der Echtheit der Person – eine verifizierte digitale Identität.

Sicherheit Datenschutz
Foto: CC0 1.0, Pixabay / JanBaby / Ausschnitt bearbeitet

Je nachdem, wo wir uns anmelden wollen, sind wir mit verschiedenen und unterschiedlich sicheren Verfahren zur Authentifizierung konfrontiert. Dies hängt oftmals mit rechtlichen Vorgaben zusammen, die wiederum darauf basieren, wie sensibel die Daten sind, auf die man durch die Authentifizierung Zugang erhält, oder wie wichtig die schnelle und zweifelsfreie Identifikation ist. Bei sozialen Netzwerken und den meisten E-Commerce-Portalen reichen beispielsweise Nutzername und Kennwort. Beim Online-Banking ist mittlerweile die Zwei-Faktor-Authentifizierung Standard – bei der man oftmals einen weiteren Pin per SMS oder App erhält.

Zusätzlich verlangen Banken, Versicherungen oder Carsharing-Anbieter, dass man seine digitale Identität durch eine Mischung aus Online- und Offline-Verfahren verifiziert, wenn man ein neues Konto anlegt. Dies erfolgt beispielsweise über ein Videotelefonat, das dazu dient, die Person und ihre hinterlegten Daten mit dem Bild und den Informationen auf ihrem Personalausweis abzugleichen.

Herausforderung für Sicherheit und Datenschutz

Die Herausforderung resultiert daraus, dass wir alle immer mehr digitale Identitäten erschaffen, um uns bei den verschiedensten Netzwerken und Dienstleistern anzumelden. Dies führt zum einen dazu, dass viele Menschen trotz Hilfsmitteln – wie einem digitalen Schlüsselbund – an vielen Stellen dieselben Kombinationen aus Mailadresse und Passwort nutzen. Das erleichtert einem zwar das Leben, erhöht aber zugleich die Gefahren im Falle eines Identitätsmissbrauchs. Zum anderen wissen nur wenige Menschen, wie die Dienstleister persönliche Informationen weiterverarbeiten, da wohl auch nur wenige bei jeder Anmeldung die Geschäftsbedingungen und Datenschutzerklärungen lesen.

Abhilfe schaffen könnten einheitliche digitale Pendants des analogen „Persos“. „Einzelne Attribute des Personalausweises sollen künftig geschützt, beispielsweise auf ein Smartphone, übertragen werden und sich als sogenannte abgeleitete Identität mobil nutzen lassen“, schreibt die zuständige Bundesdruckerei. So können sich Anwender auch ohne Ausweis authentifizieren. In diese Richtung wird aber nicht nur in Deutschland gedacht und gearbeitet – auch auf europäischer Ebene gibt es entsprechende Bestrebungen.

Eine europäische digitale Identität

In ihrer diesjährigen Rede zur Lage der Union erklärte EU-Kommissionspräsidentin Ursula von der Leyen die nächsten zehn Jahre zur „digitalen Dekade“ für Europa. Ziel sind der Aufbau eines gemeinsamen Datenraums, einer europäischen Cloud und eine sichere europäische digitale Identität. „Jedes Mal, wenn eine Website uns auffordert, eine neue digitale Identität zu erstellen oder uns bequem über eine große Plattform anzumelden, haben wir in Wirklichkeit keine Ahnung, was eigentlich mit unseren Daten passiert – und das muss aufhören“, unterstrich die Kommissionschefin.

Foto: CC0 1.0, Pixabay User plusplus und janjf93 | Montage

Im ersten Quartal 2021 will die Kommission daher einen Legislativvorschlag für „eine vertrauenswürdige und sichere europäische eID“ vorlegen. Mit dieser sollen die Bürger*innen der Union europaweit Aufgaben erledigen und Online-Dienste in Anspruch nehmen können. Darüber hinaus sollen sie die Nutzung ihrer Daten durch Online-Dienste besser kontrollieren können. Bisher gibt es die EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen (eIDAS-Verordnung). Ihr Ziel ist aber keine einheitliche europäische digitale Identität, sondern Interoperabilität zwischen den nationalen Systemen – wie bei der Online-Ausweisfunktion in Deutschland.

Mobiler Personalausweis

Die Funktionalität des deutschen Online-Ausweises ist auf einige Verwaltungsdienstleistungen begrenzt. Darüber hinaus wird ein Kartenlesegerät benötigt, um ihn zu nutzen. Eine Strategie für elektronische Identitäten in Deutschland fehlt bisher noch. Die Bundesregierung fördert im Rahmen der Blockchain-Strategie aber einzelne Projekte mit Millionensummen. Beispielsweise das Schaufenster Digitale Identitäten, das Ansätze für neue interoperable ID-Ökosysteme auszeichnet und in Modellregionen erprobt. Um die Nutzung von E-Commerce- und E-Government-Lösungen sicherer zu machen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Basis der eIDAS-Verordnung außerdem einen Sicherheitskatalog für digitale Identitäten entwickelt. Dieser soll helfen, Missbrauch wie Identitätsdiebstahl, Fälschungen oder die missbräuchliche Verwendung persönlicher Daten zu verhindern.

Serie „Digitale Identitäten“

Teil 2: Der Perso auf dem Smartphone

Schlagworte

Empfehlung der Redaktion