Suchen

Digitale Identitäten Ein sicherer Generalschlüssel für Online-Dienste

| Autor / Redakteur: Frank S. Jorga / Peter Schmitz

In der Offline-Welt ist das Ausweisdokument die einzig gültige Art der Identifizierung. Völlig anders stellt sich die Situation im Netz dar: Jeder Anwender hat mittlerweile Dutzende Benutzerkonten bei unterschiedlichsten Online-Diensten. Entsprechend wäre auch hier ein „Generalschlüssel“ notwendig. Technisch und rechtlich ist dies jedoch eine enorme Herausforderung.

Firmen zum Thema

Sollen staatliche Datenbanken federführend werden bei der zentralen digitalen Identität ihrer Bürger? Welche Vor- und Nachteile hätte das?
Sollen staatliche Datenbanken federführend werden bei der zentralen digitalen Identität ihrer Bürger? Welche Vor- und Nachteile hätte das?
(Bild: gemeinfrei / Pixabay )

Durchschnittlich ist jede E-Mail-Adresse mittlerweile mit 90 Konten von Online-Diensten verknüpft, sagt Project Syndicate. Weiterhin schreibt das globale Online-Magazin, dass 25 Prozent der Nutzer mindestens einmal pro Tag ein Kennwort vergessen. Was bei Online-Shops oder Marktplätzen als lästig oder unkomfortabel verbucht werden kann, ist in sensiblen Bereichen wie dem Online-Banking wesentlich kritischer zu sehen. Doch auch hier sind vergessene oder verlorene Kennwörter die Regel. Ein Drittel aller Anrufe bei Banken hat laut Project Syndicate exakt diesen Beweggrund.

Es ist nicht verwunderlich, dass sich viele Internet-Nutzer eine zentrale Identität wünschen, mit der sie sich bei jedem Dienst zweifelsfrei authentifizieren können. In einigen Ländern - darunter die Niederlande, Estland und Schweden - existieren bereits Systeme, die eine einheitliche digitale Identität für Banken und Behörden anbieten, berichtet die Welt in ihrer Online-Ausgabe. Doch auch dieser Ansatz kann bestenfalls als Teillösung bezeichnet werden.

In Deutschland wird von staatlicher Seite der elektronische Personalausweis angeboten. Bisher können mit der „Chipkarte“ jedoch nur wenige Transaktionen abgewickelt werden. Aufgrund von Zugangshürden wie Kartenlesegeräten oder NFC, kaum ausgereiften Apps und unnötig komplizierten Prozessen ist die Initiative bis dato ein Misserfolg.

Umfassenderer Ansatz in Indien

In Indien ist der Ansatz einer zentralen digitalen Identität besonders weit fortgeschritten. Annähernd jeder Bewohner des Landes ist mit Fingerabdruck und Iris-Scan in der Datenbank „Aadhaar“ registriert. Ohne die zwölfstellige Aadhaar-Nummer ist es nicht möglich, Konten zu eröffnen, Autos zu mieten oder einen Mobilfunkvertrag abzuschließen. Auch die Behörden nutzen die Datenbank. So legen bedürftige Bürger bei staatlich subventionierten Nahrungsmittelausgaben ihren Daumen auf einen Fingerabdruck-Scanner. Ein System zeigt dann an, welche Nahrungsmittel der Familie zustehen. Auch die bargeldlose Zahlung erfolgt via Fingerabdruck.

Datenschützer sehen Aadhaar kritisch. Sie befürchten, dass Inder durch die Datenbank zu gläsernen Bürgern und Konsumenten gemacht werden. Im Jahr 2018 befasste sich daher sogar das oberste Gericht Indiens mit dem Sachverhalt. In ihrem Urteil untersagten die Höchstrichter privaten Unternehmen, die Aadhaar-Nummern im Rahmen von Vertragsabschlüssen vorzuschreiben. Die prinzipielle Rechtmäßigkeit der biometrischen Datensammlung - insbesondere im Kontext staatlicher Leistungen - stellte das Gericht hingegen nicht infrage.

Davon abgesehen kämpft Aadhaar immer wieder mit Datenpannen. Zwar ist noch kein Hacker in die zentrale Datenbank eingedrungen, ein IT-Experte entdeckte unlängst jedoch eine öffentlich zugängliche Website des Staates. Diese listete tausende Bürger samt der Medikamente, die sie zuletzt erworben hatten.

Welche Rolle spielen private Anbieter von Login- und Identitätslösungen?

Neben staatlichen Stellen existieren eine Reihe privater Anbietergruppen, die sich mit digitalen Identitäten auseinandersetzen. Zu nennen sind beispielsweise Facebook, Google, Apple und Amazon. Diese Tech-Giganten stellen Login-Buttons bereit, so dass sich Nutzer nicht all ihre Zugangsdaten für unterschiedliche Dienste merken müssen. In puncto Datenschutz und Datensicherheit kann dies im Sinne der Anwender jedoch nicht die Optimallösung sein.

Als weitere Anbieter sind Mobilfunkunternehmen und Banken für den Geschäftsbereich digitaler Identitäten prädestiniert. Sie schöpfen ihr Potenzial jedoch nicht aus. Bislang müssen Neukunden ihre Identität mittels PostIdent oder Video-Identifikation belegen.

Die dritte, relativ junge Gruppe besteht aus Anbietern, die sich rein auf digitale Identitäten spezialisiert haben. Zu nennen sind beispielsweiseVerimi, Re:claim ID und WebID. Die Dienstleister unterscheiden sich in ihrem Ansatz und haben individuelle Stärken. Verimi möchte sich mit einem Ersatz für die Login-Buttons von Google und Facebook positionieren - mit dem Unterschied, dass sich dahinter eine verifizierte Identität verbirgt. Re:claim stammt vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) und soll ebenfalls eine Alternative zu den großen Login-Anbietern darstellen. Im Fokus steht bei diesem Konzept zusätzlich die Datensparsamkeit.

WebID hat sich hingegen auf elektronische Identifikationsdienstleistungen und digitale Vertragsabschlüsse spezialisiert. Das Unternehmen hat im Rahmen dieser Services bereits einen umfangreichen Bestand an Identitäten aufgebaut. Mittlerweile sind die Identitäten von fast 4 Millionen Personen in Deutschland mit deren Einverständnis in der WebID-Datenbank gespeichert. Die grundlegende Idee des Anbieters ist es, dass Nutzer bei Bedarf auf ihre gespeicherte „True Identity“ zurückgreifen können, wodurch ihnen aufwendigere Identifikationsverfahren erspart bleiben. Laut Unternehmen hat zudem der Schutz der Informationen höchste Priorität. Es sei stets gewährleistet, dass Nutzer ausschließlich auf ihre eigenen Daten zugreifen können.

Staatliche Datenbanken sollten sich öffnen

Wir sehen, dass sich zahlreiche Anbieter mit digitalen Identitäten und Identifikationsverfahren auseinandersetzen. Die Eingangsfrage ist damit aber noch nicht beantwortet: Wie lässt sich ein „Generalschlüssel“ für Online-Dienste realisieren? Und ist das überhaupt möglich?

Klar ist, dass nicht ein einzelner Anbieter das gesamte Vertrauen erhalten kann. Allein die Machtposition, die für Technologie-Konzerne hierdurch entstünde, wird dies verhindern. Vom Vertrauensaspekt ausgehend müsste die Federführung bei staatlichen Datenbanken liegen. Diese sollten für Kunden zugänglich gemacht werden, um nicht nur behördliche Aspekte, sondern eine allgemeingültige „Netz-Identität“ zu realisieren. Wie dies technisch und rechtlich zu lösen ist, muss jedoch erst evaluiert werden.

Allerdings ist bereits heute festzuhalten, dass staatliche Datenbanken aufgrund von Vorschriften und Regulierungen nicht alle Daten komplett zur Verfügung stellen können. Daher wird es auch in Zukunft private Anbieter geben. Im Sinne der Nutzer werden diese jedoch stärker kooperieren müssen, als bisher. Hier wird die zentrale Herausforderung in der hochsicheren Vernetzung liegen.

Über den Autor: Frank S. Jorga ist Co-CEO der WebID und für die strategische Ausrichtung sowie die weltweite Expansion der WebID verantwortlich.

(ID:46309120)