Digitale Identität

In der Welt des Internets ist man grundsätzlich anonym und es wird akzeptiert, dass man Informationen weitergibt. Das Schöne daran ist auch sein Nachteil: Niemand weiß wirklich, wer man ist. Die digitale Identität war ein nachgelagerter Gedanke. Dies ist eine große Schwäche im Hinblick auf die Cybersicherheit und die langfristige Nachhaltigkeit der digitalen Wirtschaft. Die Sicherheit der persönlichen Daten und der Identität ist ein wichtiges Anliegen der Verbraucher. Das Mobile Ecosystem Forum (MEF) erhebt jährlich den Grad des Vertrauens und stellte kürzlich eine deutliche Kluft zwischen Erwartungen und Erfahrungen fest. Der Unterschied bei der Datensicherheit von mobilen Apps und Diensten (im Vergleich zu den Erwartungen) beträgt 27 Prozentpunkte, Dies deutet darauf hin, dass das Vertrauen zwischen Nutzern und Produkt nicht mehr gegeben ist. Die Diskrepanz beim Datenschutz ist mit einem Prozentpunkt mehr nur geringfügig größer. Die Situation sieht ernst aus.

Die Sorge um die Sicherheit und den Schutz der persönlichen Daten ist inzwischen ein Grund, eine App zu löschen (37 Prozent), sie nicht zu installieren (33 Prozent) oder einen Dienst ganz abzubrechen (29 Prozent). Weltweit gaben 59 Prozent der befragten Unternehmen Sicherheit und Betrugsprävention als Hauptgründe für die digitale Identität und Authentifizierung an. Das Ökosystem hat aktiv an der Entwicklung von Lösungen mitgewirkt, und die Verwendung biometrischer Daten setzt sich immer mehr durch, um den Proxy einer Person auf digitalem Wege mit der tatsächlichen Person zu verbinden.

Lösungen, die auf einem mobilen Gerät basieren, werden immer wichtiger. Mehr als 50 Prozent der Unternehmen nutzen diese inzwischen, von SMS-Einmalpasswörtern bis hin zu anspruchsvolleren Ansätzen wie SIM-Tausch und mobilem digitalen Identitätsnachweis. Die Bedrohungen, denen wir online ausgesetzt sind, und die Notwendigkeit, unsere Identität zu überprüfen, führen zu dramatischen Veränderungen im Umgang mit persönlichen Daten und Authentifizierung.

Die Regierungen und die Industrie reagieren darauf mit einer Reihe von Initiativen und Lösungen. Nach den Cyber-Bedrohungen ist die Einhaltung von Richtlinien die wichtigste Triebfeder für Unternehmen, sich an verschiedene organisatorische und rechtliche Anforderungen zu halten. Von den 450 weltweit befragten Unternehmen nannten etwa 22 Prozent die Einhaltung von Richtlinien als Hauptgrund für die Einführung der digitalen Authentifizierung. In einigen Ländern, darunter auch Deutschland, wird dies als wichtiger angesehen als Betrug oder Sicherheit. Diese Compliance-Anforderungen können global, regional, länderspezifisch und sogar sektoral sein. Untersuchungen von Gartner zeigen, dass 10 Prozent der Welt personenbezogene Richtlinien einhalten müssen. Dieser Anteil wird bis 2023 auf 60 Prozent ansteigen. Die Unternehmen müssen verstehen, wie sie diese Anforderungen erfüllen, verwalten und umsetzen können. Weltweit werden derzeit drei Architekturen entwickelt, die einzelne Attribute mit Datenbanken verknüpfen. Die Unterschiede zwischen ihnen bringen unterschiedliche Anwendungen und Bedrohungen mit sich. Die Biometrie ist allen dreien gemeinsam.

• Zentralisiertes Modell - wird oft von einer Regierung oder einem Konsortium von Finanzinstituten betrieben. Einzelne Informationen werden dann von der Wiege bis zur Bahre in einer zentralen Datenbank verwaltet und bieten vereinfachte Mittel zum Aufbau einer digitalen Identität für Dienstleistungen.
• Föderiertes Modell - hier wird mit einer Reihe verteilter Datenbanken gearbeitet, die sehr unterschiedliche Gruppierungen repräsentieren und bei denen die Beteiligten auf persönliche Daten in einer dieser Datenbanken zugreifen können. Das europäische eIDAS-System ist ein Beispiel, bei dem vertrauenswürdige Diensteanbieter digitale Signaturen und Identitäten ausstellen und liefern können. Mehrere Länder, darunter die Niederlande und Italien, haben dieses Modell bereits eingeführt.
• Selbstverwaltetes Identitätsmodell - bei diesem Modell gibt es keine zentrale Datenbank, sondern der Einzelne besitzt, verwaltet und kontrolliert seine Daten.

Jedes Modell muss sicherstellen, dass die von einem vertrauenswürdigen Dienstanbieter bereitgestellte digitale Identität eine starke Authentifizierung aufweist. In der Praxis zeichnet sich ein neues Modell ab, das auf drei Elementen basiert. Es handelt sich dabei um die Erstellung digitaler Berechtigungsnachweise. Ein Beispiel ist der individuelle Covid-Status. Dies würde es einer Person ermöglichen, ihre signierten und verifizierten Gesundheitsdaten zu erhalten, die dann für den Zugang zu Veranstaltungsorten oder Reisen als vertrauenswürdig gelten. Natürlich stellt sich die Frage, wie die Privatsphäre des Einzelnen gewahrt werden kann und wie die Authentifizierung in diesen Prozess passt. Es werden derzeit Standards entwickelt, die weitere Sicherheit bieten können. Darüber hinaus stellt sich die Frage der Regulierung, wie die Haftung in diesem Modell der überprüfbaren Ausweise geregelt ist und wie die Daten im Rahmen von gesetzlichen Anforderungen wie der Datenschutz-Grundverordnung kontrolliert und gehandhabt werden.

Das Mobiltelefon ist ein sehr persönlicher Zugang, der immer präsent ist und von der Masse angenommen wird: Es hat sich als Identifikationsmerkmal etabliert. Was sich abzeichnet, ist erstens eine Entwicklung hin zur gerätebasierten Technologie und zur Verwendung des Hardware-Geräts selbst, um den Benutzer zu authentifizieren und ein Ergebnis zu erzielen, wie z. B. Gesichtserkennung oder Fingerabdrücke. Zweitens kann der Mobilfunkbetreiber eine Rolle spielen, indem er die einzigartigen Eigenschaften eines Mobilgeräts und das Wissen über die SIM-Karte nutzt, wie z. B. bei Mobile Connect, das in Indien sehr erfolgreich war. Und schließlich gibt es eine beträchtliche Zunahme von Ansätzen, die weder vom Gerät noch vom Mobilfunkbetreiber abhängen.

Diese können verwendet werden, wenn ein Gerät nicht verfügbar ist, z. B. wenn es verloren geht oder sich außerhalb eines Versorgungsgebiets befindet. Eine mobile Identität (wie auch andere biometrische Daten) würde über eine Cloud-basierte Schnittstelle oder ein anderes verteiltes Authentifizierungsmittel aufrechterhalten werden.

Das Ökosystem wehrt sich gegen die Bedrohungen durch Cyberangriffe, und es werden weitere innovative Lösungen entstehen. Die Weltwirtschaft braucht Lösungen für die Herausforderungen, die die persönliche Identität und die Authentifizierung darstellen.

Diese Lösungen stützen sich auf drei Säulen: die Rolle des Einzelnen, das Vertrauen in Organisationen und die Handhabung der Online-Erfahrung. Bei der Überprüfung oder Definition einer internen Lösung müssen alle drei Aspekte berücksichtigt werden.

| Originalversion veröffentlicht in ACHEMA Inspire, Ausgabe Juli 2022/Deutsche Übersetzung durch DECHEMA Ausstellungs-GmbH |