E-HEALTH-COM ist das unabhängige Fachmagazin für Gesundheitstelematik, vernetzte Medizintechnik , Telemedizin und Health-IT für Deutschland, Österreich und die Schweiz.
Mehr

Für das ePaper anmelden

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden

Anmelden

Passwort vergessen?

Top-Thema |

Digitale Identität – ein Stück zum Einlesen

Wer bin ich? In der analogen Welt ist das schnell beantwortet – mit Personalausweis, Führerschein, Gesundheits- oder EC-Karte. Im Internet beantworten sogenannte digitale Identitäten die Frage. Bislang ein Thema für IT-Ex­pert:innen. Jetzt steht die sichere digitale Identität für die breite Bevölkerung bereit. Wie die Technik funktioniert und was wir davon konkret haben.

Bild: © pickup – stock.adobe.com, 242071112, Stand.-Liz.

Kaum einem ist das bewusst: Digitale Identitäten haben wir schon sehr lange. Im Webshop was bestellt, dafür einen Account angelegt: Und zack – schon entsteht mit Nutzername und Passwort eine digitale Identität. Dasselbe tun wir für soziale Netzwerke und Messenger-Dienste und, und, und. Das sammelt sich. Hand aufs Herz: Wer blickt durch seine zahlreichen Identitäten noch durch? Die ausgedruckte und trickreich versteckte Liste: Wer hat die nicht?

Den Passwort-Dschungel lichten – Vertrauen schaffen
Der Passwort-Dschungel ist nur ein Problem der digitalen Identitäten. Ihre fehlende Sicherheit ist ein weiteres und größeres. Wer steckt hinter einer digitalen Identität? Überprüfen lässt sich das nicht. Und fantasievolle Nutzernamen wie DaisyDuck97552 machen die Sache nicht leichter. Zudem: Ob analog oder digital gespeichert, ­Zugangsdaten, E-Mail-Adressen oder Handynummern locken Kriminelle. Identitätsdiebstahl heißt das. Ha­cker:in­nen kaufen auf unsere Kosten ein. Oder geben sich übers Netz als Familienmitglieder aus. Die Masche? „Papa, mein Handy ist kaputt. Kannst Du bitte überweisen?“ „Liebe Oma, wurde beklaut, sitze im Urlaub fest. Bitte schick mir Geld.“


Digitale Identitäten sollen deswegen künftig sowohl den Passwort-Dschungel lichten als auch gleichzeitig sicher sein. Das klingt unspektakulär. Aber neben schnellen Netzen, KI oder Cloud hängt die Zukunft der Digitalisierung auch an sicheren digitalen Identitäten. Warum? Weil mangelndes Vertrauen weiterhin der größte Hemmschuh der Digitalisierung ist. Ohne Vertrauen in die digitale Identität von Käufer:in und Verkäufer:in kommt kein einziger Kauf im Internet zustande. Kein Gewerbe wird online genehmigt. Vom sicheren Zugriff auf Patientenakten ganz zu schweigen.


Das richtige Maß Security vom Turnschuh bis zur digitalen Patientenakte
Gerade die Kommunikation mit Behörden oder Gesundheitswesen fordert Vertrauen und Sicherheit. Über das richtige Maß an Sicherheit scheiden sich in Deutschland traditionell die Geister. Unstrittig ist: Nutzername-Passwort-Zugang wäre für eine Patientenakte wohl grob fahrlässig, „Krypto-Hightech-Verfahren“ für einen Turnschuh aus dem Netz dagegen Kanonen auf Spatzen. Ein völliger Schuss in den Ofen ist es, wenn die Technik zwar hochsicher, aber nicht praktikabel zu handhaben ist.


Was zu kompliziert ist, nutzt keiner. Was bequem ist, setzt sich durch. Eine einfache Erkenntnis, die EU und Mitgliedstaaten zum Nachdenken zwingt. Denn viele Anbieter:innen nutzen inzwischen die Logins von Social-Media-Plattformen. Nach dem Motto: „Du hast Dich einmal gegenüber  Netzwerk XY identifiziert – das reicht. Mit dieser digitalen Identität darfst Du daher auch bei uns rein.“  Insbesondere die bequemen ID-Leihgaben aus Übersee haben einen industriepolitisch unbequemen Haken: Unternehmen, die den Zugang zu ihren digitalen Diensten abgeben, verlieren langfristig die Kundenbeziehung. Obendrein das ungute Gefühl: Die „Datenkraken“ erstellen Nutzerprofile und verkaufen diese meistbietend an die Werbeindustrie.


EU führt europäische digitale Identität ein
Die EU treibt daher die Sorge um den Datenschutz: Kommissionspräsiden­tin Ursula von der Leyen sagt: „Jedes Mal, wenn eine Website uns auffordert, eine neue digitale Identität zu erstellen oder uns bequem über eine große Plattform anzumelden, haben wir in Wirklichkeit keine Ahnung, was mit unseren Daten geschieht.“ Die EU treibt daher sogenannte selbstsouveräne digitale Identitäten (SSI) voran. EU-Bürger:innen sollen ihre Privatsphäre selbst schützen können – und souverän entscheiden, wann sie mit wem und warum welche Daten teilen.


Die EU sieht diese Souveränität für viele bereits verloren. Und die EU-Bürger:innen wollen sie zurück. Nach Eurobarometer-Umfrage möchten 72 Prozent der Nutzer:innen wissen, wie ihre Daten bei der Nutzung von Social-Media-Accounts verarbeitet werden. 63 Prozent der EU-Bürger:innen sprechen sich demnach für einen sicheren einheitlichen elektronischen Identitätsnachweis für alle Online-Dienste aus.


Die EU-Identität auf Basis der eIDAS-Verordnung schafft Rechtsrahmen

Basis für die europäische digitale Identität ist die eIDAS-Verordnung (electronic IDentification, Authentication and Trust Services) von 2014. Damals waren nur vier Anwendungen im Fokus: E-ID (wie beim deutschen elektronischen Personalausweis), sichere digitale Zustelldienste, elektronische Signaturen und Web-Zertifikate. Weil sich die Digitalwirtschaft aber schnell dreht, war von Beginn an eine Revision von eIDAS geplant. Die EU hat Juli 2022 eine überarbeitete Verordnung vorgestellt. Die Mitgliedstaaten müssen sich jetzt dazu äußern. Ohne abgesegneten Rahmen aus Brüssel bleiben auch nationalstaatliche Projekte wie der digitale Führerschein der Bundesregierung in der Warteschleife.


Wesentliche Änderungen der neuen Verordnung sind bereits absehbar. eIDAS II zahlt stärker auf digitale Angebote der Privatwirtschaft ein. Weiterhin soll die sogenannte Erst-Identifikation künftig elektronisch laufen. Bislang war das von Angesicht zu Angesicht wie beim Haustür-Ident. Hinzu kommt die Datensparsamkeit. Digitale Dienste sollen künftig nur auf wirklich benötigte Daten zugreifen dürfen. Für einen Zigarettenkauf übers Internet etwa braucht es lediglich das Alter. Aber kein Auslesen des komplett auf dem Smartphone verfügbaren Datensatzes.


EU-Identität kommt in allen EU-Mitgliedstaaten
Der „sichere Hort“ für den elektronischen Identitätsnachweis oder andere Digitaldokumente wie Führerschein oder Geburtsurkunde wird nach Willen der EU eine digitale Brieftasche auf dem Handy. Alle Mitgliedstaaten sollen eine sogenannte „European Digital Identity Wallet“ bereitstellen. Die EU schafft die Basis dafür. Die Wallet bleibt aber in der Hoheit der einzelnen Mitgliedstaaten. Dänemark, Deutschland, Schweden und Ungarn haben bereits Lösungen für nationale elektronische Identitäten. Die Eigenkreationen sind heute untereinander noch inkompatibel. Die Wallet aus Brüssel soll künftig für alle Mitglieder funktionieren. Dieses Ziel verfolgt ebenfalls die jüngst gegründete Open Wallet Foundation. Das Unternehmen T-Systems ist dort ein Gründungsmitglied. Eine Referenz-Architektur für eine EU-Wallet steht bereits. T-Systems hat ein Konzept für eine Multi-Protokoll-Wallet erarbeitet und gemeinsam mit Verimi im Pilotversuch umgesetzt. Die EU will ihr ID-Wallet-System in mehreren EU-Ländern mit großen Feldversuchen erproben.


Das Thema Digitale Identitäten hat auch in den Medien  kritisch Fahrt aufgenommen: In der Theorie war schon länger bekannt, wie man Video-Ident-Verfahren austrickst.  Zuletzt hatten Experten auch den praktischen Beweis erbracht. Die für die Health IT in Deutschland zuständige gematik reagierte sofort und verbot die Nutzung von Video-Ident für Gesundheits-Anwendungen. Abgeschlossen ist die Diskussion nicht. Widerspruch kam u. a. vom Branchenverband Bitkom.


Viele Wege zur digitalen Identität
Digitale Identität, Video-Ident, Haustür-Ident, Post-Ident, E-Ident – die Begriffswelt zum Thema ist einigermaßen verwirrend. Daher hier eine kurze Klärung: Es gibt verschiedene Verfahren, um eine digitale Identität zu erstellen. Viele Wege führen nach Rom.

  1. Physische Ident-Verfahren (Local Ident) – sicher mit Nachteilen
    Wer Online-Dienste eines Unternehmens nutzen möchte, kann etwa eine Filiale besuchen. Und wird nach Check eines amtlichen Ausweisdokuments freigeschaltet. Identitätsdienstleister bieten diesen Service auch an Haustür oder Arbeitsplatz an. Diese Verfahren gelten als sehr sicher. Aber sie verursachen hohe Personalkosten (> 10 Euro pro Identifikation). Hinzu kommen der in COVID-Zeiten problematische physische Kontakt sowie Zeitaufwand, Mobilitätskosten, Emissionen. Online ist das alles vermeidbar.

  2. Elektronische Ident-Verfahren – sicher und einfach, wenn man die Personalausweis-PIN kennt
    Da die Sicherheit von Bild- oder Video-Verfahren umstritten ist, gilt dem elektronischen Personalausweis mit seiner kryptographisch abgesicherten Online-Funktion offenbar die Zukunft. Der Identitätsdienstleister Verimi bietet dieses ID-Verfahren und eine dazugehörige sichere digitale Brieftasche zum Abspeichern der Ausweisdaten bereits an. Diese Technologie kommt auch bei der Realisierung der Digitalen Identität der BARMER zum Einsatz.


Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat im Rahmen des Zulassungsverfahrens für interoperable Nutzerkonten des Bundesministeriums des Inneren (BMI) das Verfahren eID-Identifizierung und die Verimi-App-basierte Authentisierung mittels PIN bewertet. Anhand der eingereichten Unterlagen hatte das BSI im Jahr 2020 bestätigt, dass das Verfahren für das Vertrauensniveau „substanziell“ geeignet ist.  Das Berliner Start-up hat damit gegenwärtig ein Alleinstellungsmerkmal. T-Systems ist Gesellschafter von Ve­rimi. Verimi ist für kommende Ausschreibungen in verschiedenen Branchen ein strategischer Faktor für den Konzern.


Digitale Identitäten: Basis für künftige Anwendungen
Die digitalen Identitäten – sie kommen. Sie bieten die Chance auf einen Quantensprung in der Digitalisierung insgesamt. Und sie werden unser aller Leben vereinfachen. Sie stärken Europa – mit spannenden Anwendungen auch jenseits von Behörden oder Gesundheit. Der Zugang zu Packstationen ließe sich vereinfachen und dabei Barcode sowie manuelle Eingabe des Namens abschaffen. Sie digitalisieren Stechuhren, öffnen Büros, mieten und starten Autos. Hotelgäste checken damit ein und nutzen sie fürs Bezahlen. Denkbar und technisch möglich ist hier vieles. Und die Idee ist bereits bei den Nutzer:innen angekommen: „Sechs von zehn Deutschen wollen sich digital ausweisen“, meldete Bitkom im Juni 2022.


Der Fahrplan für die digitalen Identitäten ist in groben Zügen erkennbar. Gesetzliche Krankenkassen müssen diese bereits ab Januar 2024 anbieten. Bis dahin hatten die Anbieter Zeit, die sogenannte User Experience beim Umgang mit dem E-Personalausweis zu verbessern. Kritiker:innen sagen: Da gibt’s noch Luft nach oben. Noch zu kompliziert und noch zu wenig Anwendungsmöglichkeiten – das hatte dem elektronischen Personalausweis bislang den Erfolg verhagelt.


Fachmedien empfehlen: „Einfach mal ausprobieren“
Mit eIDAS II kommt aber der Rechtsrahmen für mehr Anwendungen. Wer einen neuen elektronischen Personalausweis hat oder beantragt, sollte daher auch die Online-Funktion freischalten. Es wird sich schon bald lohnen. Und ganz so schwer scheint das Verfahren auch nicht mehr zu sein – sagt zum Beispiel Heise. Das Medium empfiehlt: „Einfach mal ausprobieren.“ Die Fachjournalist:innen schreiben weiter: „Die alte Leier, der E-Perso sei zu kompliziert, stimmt schon länger nicht mehr. Und sie darf nicht zur selbsterfüllenden Prophezeiung werden. Das Aus für Video-Ident wäre vielleicht genau der Schubs, den der E-Perso noch braucht. Dann gäbe es endlich auch in Deutschland eine breit genutzte, sichere digitale Identität.“

 

Quellen
https://verimi.de/blog/online-ausweisen-mit-wenigen-klicks/ (mit Erklärvideo)

https://www.chip.de/downloads/Verimi-ID-Wallet-Android-App_184102919.html

https://www.heise.de/news/Kommentar-Das-Videoident-Verfahren-ist-unsicher-und-ueberfluessig-7238140.html

https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_de

https://www.bundesregierung.de/breg-de/suche/e-id-1962112

https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/eIDAS-Verordnung/Elektronische-Identifizierung/elektronische-identifizierung.html

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03107/TR-03107-1.pdf?__blob=publicationFile&v=4

https://www.security-insider.de/wie-geht-es-mit-dem-id-wallet-weiter-a-1109976/


https://www.personalausweisportal.de/Webs/PA/DE/buergerinnen-und-buerger/online-ausweisen/online-ausweisen-node.html

 

Autor

Dr. Rainer Knirsch

Deutsche Telekom AG

Kontakt: rainer.knirsch(at)telekom.de