Mit eIDAS 2.0 entwickelt Europa den regulatorischen Rahmen für digitale Identitäten weiter. Für Unternehmen ist das mehr als ein Compliance-Thema: Identifizierung, Signatur und Authentisierung müssen als durchgängiges Vertrauensmodell gedacht werden. Fünf Handlungsfelder zeigen, wo konkrete Vorbereitung jetzt sinnvoll ist.
eIDAS 2.0 erweitert den Rahmen für digitale Identitäten weit über das Onboarding hinaus. Unternehmen müssen Identifizierung, Signatur und Authentisierung als durchgängiges Modell aufbauen.
Mit der Entwicklung von eIDAS 2.0 ist für Unternehmen vor allem entscheidend, welche Vorbereitungen sie jetzt treffen sollten, damit digitale Identitäten später nicht nur regelkonform, sondern auch sicher, skalierbar und praxistauglich eingesetzt werden können. Genau hier liegt die eigentliche Herausforderung. Denn digitale Identität ist kein isoliertes Regulierungsthema. Sie berührt zentrale Sicherheits- und Prozessfragen zugleich: die verlässliche Identifizierung von Nutzern, die Absicherung sensibler Interaktionen, die Qualität von Authentisierungsverfahren und die Frage, wie sich Identität, Signatur und Zugriffskontrolle in durchgängige digitale Abläufe integrieren lassen.
Identifizierung, Signatur und Authentisierung wachsen zu einem durchgängigen Vertrauensmodell zusammen über den gesamten Kundenlebenszyklus hinweg: vom Onboarding über Vertragsaktionen bis hin zu wiederkehrenden Zugriffen und Freigaben. Für Unternehmen bedeutet das: Wer sich jetzt vorbereitet, sollte nicht nur einzelne Tools betrachten, sondern die eigene Identitäts- und Sicherheitsarchitektur insgesamt.
Vom Onboarding zur durchgängigen digitalen Vertrauenskett
Viele Organisationen verbinden digitale Identität noch immer primär mit dem Erstkontakt: Ident prüfen, Zugang eröffnen, Prozess abschließen. Das greift zu kurz. Denn die sicherheitsrelevanten Fragen beginnen nicht nur beim Einstieg, sondern setzen sich im gesamten weiteren Verlauf fort.
Sobald Nutzende wiederkehren, Dokumente freigeben, Verträge unterzeichnen, sensible Daten abrufen oder Rechte ausüben, stellt sich dieselbe Frage wieder: Ist die handelnde Person verlässlich identifiziert, passend authentisiert und in einen sicheren, nutzbaren Prozess eingebunden?
Wer digitale Identität nur am Anfang eines Prozesses verankert, schafft oft neue Brüche. Typische Folgen sind doppelte Prüfstrecken, uneinheitliche Authentifizierungsverfahren, unnötige Medienwechsel und zusätzlicher Supportaufwand.
Fünf Handlungsfelder, die Unternehmen jetzt priorisieren sollten:
1. Identität, Signatur und Authentisierung gemeinsam betrachten
Der erste Schritt ist kein Produktentscheid, sondern eine Architekturfrage. In vielen Unternehmen sind Identifizierung, Signatur, Freigabe und Zugangskontrolle historisch getrennt organisiert. Das mag organisatorisch nachvollziehbar sein, erschwert aber konsistente Sicherheits- und Nutzerkonzepte.
Der erste Schritt ist eine ehrliche Bestandsaufnahme:
Wo finden heute Identitätsprüfungen statt?
Welche Signaturprozesse existieren bereits?
Wie wird bei erneuten Zugriffen authentisiert?
Wo greifen diese Bausteine bisher noch nicht ineinander?
Diese Transparenz ist entscheidend. Erst wenn klar ist, wo die Brüche liegen, lassen sich belastbare Zielbilder für durchgängige digitale Vertrauensprozesse entwickeln.
2. Die stärksten Reibungspunkte in bestehenden Prozessen identifizieren
Nicht jeder Prozess muss sofort neu gebaut werden. Der bessere Ansatz ist, zuerst die Stellen mit dem höchsten operativen und sicherheitstechnischen Druck zu priorisieren. Dazu gehören meist digitale Vertragsstrecken, Onboarding-Prozesse und wiederkehrende Zugriffe auf sensible Funktionen.
Gerade dort lohnt sich ein genauer Blick auf Medienbrüche, doppelte Dateneingaben, manuelle Prüfschritte und uneinheitliche Authentisierung. Wo solche Schwachstellen auftreten, ist der Hebel für Verbesserung meist am größten. Denn dort treffen Sicherheitsanforderungen, Nutzererwartung und Prozesskosten unmittelbar aufeinander.
3. Onboarding nicht isoliert optimieren
Remote-Onboarding mit Video-Ident und biometrischer Verifikation ist in vielen regulierten Branchen längst relevant. Häufig wird dieser Schritt jedoch als abgeschlossene Anfangsstufe behandelt. Damit bleibt sein Potenzial ungenutzt.
Sinnvoller ist es, Onboarding von Anfang an als Teil einer längeren digitalen Beziehung zu betrachten. Die Frage lautet also nicht nur, wie ein Erstkontakt sicher digital abgeschlossen werden kann, sondern wie sich die dabei geschaffene verifizierte Identität später für Authentisierung, Freigaben oder Signaturprozesse sinnvoll weiterverwenden lässt.
Wer diese Anschlussfähigkeit nicht mitdenkt, schafft einen formal sauberen Einstieg, aber noch keine belastbare digitale Vertrauenskette.
4. Authentisierung aus der Passwortlogik herauslösen
Ein besonders relevanter Bereich für konkrete Vorbereitung ist die erneute Authentisierung. Viele Unternehmen arbeiten hier noch immer in Strukturen, die stark von klassischen Passwortmodellen geprägt sind. Das erzeugt bekannte Probleme: hohe Reibung für Nutzende, Sicherheitsrisiken, Supportlast und eine begrenzte Prozessqualität.
Verifizierte digitale Identitäten eröffnen hier eine strategisch relevante Alternative. Sie können helfen, Authentisierung belastbarer und benutzerfreundlicher zugleich zu gestalten. Gerade für Security-Teams ist das relevant, weil sich hier Identitätssicherheit, Zugriffsschutz und Nutzerfreundlichkeit direkt überschneiden. Nicht zuletzt deshalb gelten Identity- und Access Management heute als strategische Bausteine moderner Unternehmenssicherheit.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die praktische Konsequenz ist klar: Unternehmen sollten früh prüfen, in welchen Prozessen sich wiederkehrende Authentisierung an verifizierte Identitäten anbinden lässt, statt sie dauerhaft über getrennte Passwort- und Fallback-Strukturen zu organisieren.
5. Nicht auf den Endzustand warten
Bei regulatorischen Technologiethemen ist die Versuchung groß, auf einen vollständig ausgereiften Markt zu warten. Bei digitalen Identitäten ist das keine gute Strategie. Wer erst dann startet, wenn alle Rollen, Standards und Nutzungsmuster abschließend etabliert sind, verliert wertvolle Integrationszeit.
Sinnvoller ist es, schon jetzt in klar umrissenen Feldern anzusetzen: bei digitalen Vertragsabschlüssen mit qualifizierten elektronischen Signaturen, bei skalierbarem Remote-Onboarding und bei moderner Authentisierung auf Basis verifizierter Identitäten.
Diese Handlungsfelder verbessern nicht nur die regulatorische Zukunftsfähigkeit. Sie schaffen auch konkret robustere Abläufe, weniger Reibung und eine bessere Grundlage für spätere Skalierung.
Ob ein Unternehmen auf digitale Identitäten wirklich vorbereitet ist, zeigt sich nicht an Strategiefolien oder Ankündigungen. Sichtbar wird es an den Prozessen.
Gute Vorbereitung bedeutet, dass Identitätsprüfung, Authentisierung und vertrauensrelevante Aktionen nicht länger isoliert nebeneinanderstehen. Sie bedeutet auch, dass Sicherheitsanforderungen nicht gegen Nutzerfreundlichkeit ausgespielt werden, sondern in einem konsistenten Ablauf zusammengeführt werden. Und sie zeigt sich dort, wo aus einzelnen Compliance-Maßnahmen ein belastbares Modell für wiederkehrende digitale Interaktionen entsteht.
eIDAS 2.0 ist deshalb nicht nur ein regulatorischer Rahmen. Für Unternehmen ist die Verordnung vor allem ein Anlass, die eigene Identitätsarchitektur operativ zu überprüfen. Die entscheidende Frage ist nicht mehr, ob digitale Identitäten kommen. Entscheidend ist, welche Prozesse schon heute so vorbereitet werden, dass daraus später sichere, effiziente und praxistaugliche Anwendungen entstehen.
Über den Autor: Dr. Heinrich Grave ist Managing Director DACH bei Evrotrust Technologies. Dr. Grave ist ausgewiesener Experte für digitale Identitäten, KYC-Prozesse und digitale Geschäftsmodelle. Er besitzt langjährige operative und strategische Erfahrung in der digitalen Transformation von Geschäfts- und IT-Organisationen. Der promovierte Jurist und ausgebildete Banker hat mehr als 20 Jahre Erfahrung in digitaler Transformation, Strategieentwicklung und dem Management komplexer technologischer Initiativen – in der Finanzbranche, im FinTech-Umfeld sowie als Berater.
:quality(80)/p7i.vogel.de/wcms/18/24/18246d42f0c53419f72d4af091c8f011/0132054456v1.jpeg "Im Rahmen von Zero Trust steht nicht mehr die reine Authentifizierung im Vordergrund, sondern die Frage, wie Vertrauen eingesetzt und begrenzt wird. (Bild: Airlock)")
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e3/e1/e3e162359f9abc781fde4aca3ef895a5/0131996062v2.jpeg "Die Gogs-Lücke CVE-2026-52806 gibt jedem angemeldeten Konto RCE auf dem Server. Ein öffentlicher Metasploit-Exploit automatisiert den Angriff, Version 0.14.3 schließt sie. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b9/c3/b9c3e8e20d0783a4141978150c30d7c4/0131995003v2.jpeg "Datendiebstähle bleiben Opfern wochenlang verborgen, obwohl ihre Daten in Hacking-Foren kursieren. DSGVO und Sammelklagen schaffen Anreize, Betroffene möglichst spät zu informieren. (Bild: © janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/01/dd01783838c0602f0e3a6b67ed3836ea/0132022225v2.jpeg "Bewährtes Duo in neuer Gesellschaft: (v. l. n. r.) Constantin von Reden und Robert Mallinson werden die Geschäftsführer von Rohde & Schwarz Networks and Cybersecurity. (Bild: Rohde & Schwarz)")
:quality(80)/p7i.vogel.de/wcms/eb/ca/ebcaee9c0bc7b5f3c00eb8759d6a2342/0131904576v1.jpeg "Autonome KI-Agenten erzeugen hochprivilegierten Datenverkehr, den klassische Sicherheitswerkzeuge kaum nachvollziehen können. Zscaler will diese Lücke mit Zero-Trust-Kontrollen für Agenten schließen. (Bild: Zscaler)")
:quality(80)/p7i.vogel.de/wcms/7f/f7/7ff7cb47382628b2b7a10e3a13e7eed4/0132017356v2.jpeg "Cyberattacken nehmen in Deutschland zu. Leider nutzen die Hacker verstärkt die Mittel der künstlichen Intelligenz, weshalb sie noch schwerer zu stoppen sind. Dagegen will die Regierung etwas tun. Außerdem gab es kürzlich einen schönen Erfolg gegen diese Art der Kriminalität ... (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/87/af870dceba71f676a57aff96bacc9247/0131994344v2.jpeg "SearchLeak verschafft Cyberkriminellen per Klick Zugriff auf Postfach, Kalender und Microsoft-365-Dateien. Klassische Phishing-Filter erkennen den Angriff nicht, weil er über einen echten Microsoft-Link erfolgt. (Bild: © ภาคภูมิ ปัจจังคะตา - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/ef/e7ef3de359cc67fd1633fb2bbde612bc/0131901892v1.jpeg "Unternehmen, die heute anfangen, ihre Anwendungsbereitstellung zu standardisieren und zu automatisieren, werden sich in wenigen Jahren einen erheblichen Vorsprung in Sachen Effizienz, Sicherheit und Compliance erarbeiten. (Bild: © Finkenherd - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/a2/f3a229a81b509f0a52d836b25a640278/0131998141v2.jpeg "BIMI soll E-Mail-Empfängern per Logo mehr Vertrauen geben. Doch Lookalike-Domains mit täuschend ähnlichen Namen können dieses Vertrauen missbrauchen. (Bild: © lisha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/ae/e8ae4b1bc5540360158f3ba9d58b163c/0131999340v2.jpeg "eIDAS 2.0 erweitert den Rahmen für digitale Identitäten weit über das Onboarding hinaus. Unternehmen müssen Identifizierung, Signatur und Authentisierung als durchgängiges Modell aufbauen. (Bild: © Kritsadee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/af/c6afa20e5d0aadf0fa9d005c6ec6f8fc/0132014709v1.jpeg "Active Directory ist ein attraktives Angreiferzähl. Ein lückenloses AD-Auditing ist somit eine kritische Voraussetzung für einen effektiven Schutz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/71/9e/719efb4d53e053af044548f9aa843de7/0125603899v2.jpeg "Mit der Erneuerung der eIDAS-Verordnung kommen neue Arten von Vertrauensdiensten hinzu, die aller Voraussicht nach zu einem höheren Reifegrad des Marktes führen werden. (Bild: © denizbayram - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f3/ec/f3ec2afa661360dca8ec76c12398b839/0131058290v2.jpeg "Ab dem 2. Januar 2027 können EU-Bürgerinnen und -Bürger mit der EUDI Wallet ihre Identität und amtliche Nachweise, zum Beispiel Ausweis und Führerschein, sicher auf dem Smartphone verwalten, sich europaweit bei digitalen Diensten anmelden und Verträge sowie Rechnungen rechtssicher elektronisch unterschreiben. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/91/6b91bf745cfb0bb24264ca4332729e82/0131347588v1.jpeg "Die European Digital Identity Wallet ist eine digitale Brieftasche, die von der Europäischen Union eingeführt wird. Sie kann unter anderem digitale Dokumente wie den Personalausweis und Führerschein speichern, digitale Zahlungen freigeben und Verträge elektronisch unterschreiben. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/95/0795e8ee2c5493f136bd924aeba3dbfa/0131416504v1.jpeg "Die geplante EUDI-Wallet soll künftig digitale Ausweise und weitere Nachweise sicher auf dem Smartphone bündeln. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0e/77/0e7755d3244b65ac9dcf77251d1f5246/0131519002v1.jpeg "Die EU-Verordnung eIDAS 2.0 schafft zwar einen standartisierten Rahmen für digitale Identitäten, wird von Unternehmen aber als komplex und teuer empfunden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0e/77/0e7755d3244b65ac9dcf77251d1f5246/0131519002v1.jpeg "Die EU-Verordnung eIDAS 2.0 schafft zwar einen standartisierten Rahmen für digitale Identitäten, wird von Unternehmen aber als komplex und teuer empfunden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/79/84/7984dcecfb585d1c23ec50a86f339809/0128484939v1.jpeg "Generative KI kann heute nicht nur Texte, sondern auch Logos, Siegel und Unterschriften täuschend echt nachbilden und gefährdet so die Integrität sensibler Dokumente. (Bild: © Alexander - stock.adobe.com)")