AUTHADA Blog

Digitale Identitäten - Letzte Instanz

Veröffentlicht:

Die Ausgabe von Ausweisdokumenten liegt in Deutschland traditionsgemäß in den Händen des Staates. Benötigt man im Internet-Zeitalter noch eine staatliche Instanz für die Verifikation der Digitalen Identitäten? Diese Frage wird derzeit in der Schweiz kontrovers diskutiert. Im Mittelpunkt steht dabei ein Entwurf des Bundesrates, in dem vorgesehen ist, dass private Anbieter, Identity Provider (IdP), die Ausgabe der eIDs mitsamt der Identifikation der Personen übernehmen sollen. Identity Provider benötigen, wenn sie eIDs ausstellen wollen, eine Zulassung der staatlichen Anerkennungsstelle. Vertreter der Swiss Data Alliance sind der Ansicht, dass die Bestätigung der
persönlichen Identität unter die Hoheit des Staates falle. Demgegenüber lehnt man bei ICTswitzerland den Staat als Vergabestelle der eID ab.


Ein Argument gegen private Identity Provider ist, dass auf diese Weise viele inkompatible Lösungen geschaffen würden, was dem Grundgedanken einer einheitlichen eID widerspricht. Der Staat solle daher die Ausgabe der "nackten Identität" übernehmen, während darauf aufbauende Services in die Hände privater Anbieter übergeben werden können.


In Deutschland wird diese Diskussion (noch) nicht geführt, was auch daran liegt, dass die eID mit dem nPA zwar schon recht verbreitet ist, ihr Gebrauch im Alltag jedoch, u.a. wegen fehlender Anwendungsfälle, aus Unkenntnis und/oder Sicherheitsbedenken, bislang weit hinter den Erwartungen zurück geblieben ist. Die Rolle des Staates als letzter Instanz für die Ausstellung digitaler Identitäten, so jedenfalls der Eindruck, der sich bei näherer Betrachtung aufdrängt, wird hierzulande nicht in Frage gestellt. Abgesehen davon hat sich auch noch kein privater Anbieter für diese Rolle empfohlen. Nach dem Staat wären nach Ansicht vieler Branchenbeobachter die Banken geeignete Akteure. Einige Banken, wie die UBS und Credit Suisse in der Schweiz und die Deutsche Bank mit ihrer branchenübergreifenden Datenplattform für das Single Sign On, sind dabei, sich im dem Markt für die Digitalen Identitäten zu positionieren. Weitere Banken, Unternehmen und Allianzen dürften in nächster Zeit folgen.


Vorstellbar ist, dass in Deutschland, wie in weiten Europas, sog. Third Party Provider, wie sie die Zahlungsrichtlinie PSD2 vorsieht, eine wichtige Vermittlerrolle zwischen dem Staat einerseits, und den Kunden und den Unternehmen andererseits, ausüben. Diese TPPs würden die staatliche eID in technische Lösungen überführen, die es den Nutzern/Kunden/Bürgern ermöglicht, sich jederzeit und von jedem Ort (zunächst in der EU) sicher ausweisen zu können. Das Smartphone übernimmt dabei eine entscheidende Rolle. Ergänzt wird das Angebot noch um weitere Services zur sicheren Authentifizierung wie Stimmerkennung und Qualifizierte Elektronische Signaturen (QES) wie es die eIDAS-Verordnung vorsieht.

PSD2, Open APIs und die neue Kommerzielle Revolution

Veröffentlicht: | Mehr...

Wenn die Anzeichen nicht täuschen, dann stehen wir kurz vor einer neuen Kommerziellen Revolution. Die erste große kommerzielle Revolution ereignete sich nach Aussage des französischen Historikers Jacques Le Goff zwischen dem 11. und 13. Jahrhundert. Dabei übernahmen die neu entstandenen Städte eine Schlüsselrolle. Sie waren Verkehrsknotenpunkte und Lebenszentrum in einem. Diese Funktion hat in der Digitalmoderne das Internet übernommen. Die neuen Handelsrouten, die neuen Gewürzstraßen sind die Open APIs, Programmierschnittstellen, welche bestimmte Services der Anwendungslandschaft eines Unternehmens oder einer Bank Dritten gegenüber zugänglich macht.


Weiteren Schub bekommt diese Entwicklung durch PSD2 (Payments Services Directive). Mit dieser Maßnahme verfolgen die Regulatoren das Ziel, elektronische Zahlungen sowie den Datenaustausch für die Verbraucher sicherer und komfortabler zu gestalten. Die EU-Kommission knüpft daran die Hoffnung, dass die Umsetzung der PSD2 die Bildung eines einheitlichen digitalen Markets in Europa (Digital Single Market) befördert. Betroffen sind von dieser Maßnahme neben den Verbrauchern in erster Linie Banken, Zahlungsdienstleister und Fintech-Startups. Künftig können die Verbraucher die Services von Zahlungsauslösedienstleistern und/oder Kontoinformationsdienstleistern in Anspruch nehmen, die sich zwischen Verbraucher und Banken positionieren. In gewisser Hinsicht übernehmen diese neuen Dienstleister die Funktionen, die im Mittelalter die Städte ausgeführt haben. Sie sind einerseits Verkehrsknotenpunkt und andererseits wichtiger Bestandteil des Lebenszentrums der Menschen. Um jedoch die Vorteile eines einheitlichen digitalen Marktes in Europa ausschöpfen zu können, muss das nötige Maß an Sicherheit und Vertrauen zwischen den Beteiligten (E-Commerce-Unternehmen, Banken, Fintech-Startups, Zahlungsdienstleister, Verbraucher) hergestellt werden.


Anders als in der mittelalterlichen Stadt sind sich die Geschäftspartner im Internet in den meisten Fällen nicht persönlich bekannt. Das Vertrauen muss auf andere Weise, mit den Mitteln der Informationstechnologie geschaffen werden. Identifikationstechnologien übernehmen hierbei eine Schlüsselstellung. Sie sorgen dafür, dass die Geschäftspartner sicher sein können, dass die Person, mit der sie es zu tun haben, auch tatsächlich diejenige ist, für die sie sich ausgibt. Der Regulator hat hierfür drei Authentifizierungskategorien definiert:


1. Wissen: etwas, das nur der Nutzer weiß (etwa ein Passwort oder eine PIN)
2. Besitz: etwas, das nur der Nutzer besitzt (etwa ein Token oder eine Smartcard)
3. Inhärenz: etwas, das dem Nutzer körperlich zu eigen ist (wie Gesichtserkennung oder Sprache)


Für die sichere, starke Authentifizierung bei Zahlungen im Internet sind mindestens zwei der aufgeführten Verfahren erforderlich. Künftig wird die Online-Zahlung im Internet in Europa ohne starke Authentifizierung unmöglich sein. Vorteilhaft für Kunden ebenso wie für Unternehmen und Banken ist der Rückgriff auf eine integrierte Lösung, auf eine Plattform, die alle drei Faktoren der starken Authentifizierung unterstützt, wie beispielsweise mittels des neuen Personalausweises (nPA) und Stimmerkennung. AUTHADA hat diese Entwicklung mit seiner mobilen Lösung für die Authentifizierung per nPA und der AUTHADA eVoice Recognition-Technologie antizipiert.


Die neue Kommerzielle Revolution kann kommen.