Damit digitale Angebote und Geschäftstätigkeiten erfolgreich gelingen können, ist die Vertrauenswürdigkeit für die Sicherheit digitaler Vorgänge unabdingbar. Herkömmliche Sicherheitsmaßnahmen gehen jedoch oftmals an der Realität vorbei, da sie die Verantwortung auf die individuellen Nutzer abwälzen und gleichzeitig nicht sonderlich benutzerfreundlich sind. eIDs hingegen verbinden ein hohes Maß an Sicherheit mit großer Einfachheit in der Anwendung. Sie können zudem über die gesamte Bandbreite digitaler Dienstleistungen genutzt werden, welche einen eindeutigen Identitätsnachweis erfordern. Durch die eIDAS-Verordnung haben sie zudem einen regulatorischen Rahmen, der einen einheitlichen Standard setzt – und das in der gesamten Europäischen Union.
Die eIDAS-Verordnung und eIDs, einfach auf den Punkt gebracht
Wie wurden Identitäten online bisher authentifiziert?
Um eine Identität nachzuweisen – also sicherzustellen, dass eine Person auch wirklich ist, wer er oder sie vorgibt zu sein – gibt es verschiedene Möglichkeiten. Hier eine kleine Auswahl der gängigsten Methoden:
E-Mail:
Die E-Mail-Verifizierung wurde vor allem früher stark genutzt, rangiert aber am unteren Ende des Sicherheitsniveaus. Hier wird lediglich die Existenz einer angegebenen E-Mail-Adresse zum Zeitpunkt der Verifizierung geprüft, nicht aber die eigentliche Identität einer Person. So kann bei der E-Mail-Verifizierung eine Person zwar nachweisen, dass sie zum fraglichen Zeitpunkt Zugriff auf die betreffende E-Mail-Adresse hat. Das wiederum heißt aber nicht zwingend, dass diese Person auch rechtmäßig Inhaber oder Inhaberin dieser E-Mail-Adresse ist. Die konkrete Identität der Person bleibt also weiterhin im Dunkeln.
Passwörter:
Eine der einfachsten und immer noch weitverbreitetsten Methoden für den Identitätsnachweis ist die Authentifizierung mittels eines Passworts. Diese Art der Identitätsbestätigung ist auch heute bei vielen Online-Anbietern im Einsatz, bekannt wohl vor allem für den Login bei E-Mail-Diensten. Das Sicherheitsniveau ist zwar höher als bei der reinen E-Mail-Verifizierung, aber immer noch recht niedrig. Wieso das so ist? Mit dem Passwort haben potenzielle Angreifer oftmals eine nur niedrige Hürde, die sie überwinden müssen. Der Grund hierfür liegt auch an der schlechten Nutzerfreundlichkeit, die besonders in der Summe zu Tage tritt: Heutzutage ist es nicht außergewöhnlich, insgesamt mehrere Dutzend Passwörter verwalten zu müssen.
Für den eigenen Schutz seit Jahren die mit Abstand meistgenutzte Authentifizierungsmethode bei Nutzern: Passwörter.
Da für sehr viele Dienste heutzutage Passwörter erforderlich sind, ist nämlich echtes Passwortmanagement nötig, um die Sicherheit zu erhalten.
Wie jeder weiß, müssen starke Passwörter
- lange genug sein
- Groß- und Kleinschreibung enthalten
- Sonderzeichen beinhalten
- für jeden Dienst exklusiv verwendet werden
- regelmäßig gewechselt werden
Im Einzelfall mag dies zwar praktikabel sein, in der Summe jedoch ist es zu viel und nur die wenigsten Nutzer halten sich auch daran. In der Realität wird von vielen entweder ein und dasselbe Passwort für verschiedene Dienste verwendet oder das Passwort ist so simpel, dass es einfach erraten werden kann oder Brute-Force-Angriffen wenig entgegenzusetzen hat. Zudem gibt es online mittlerweile ganze Datenbanken mit kompromittierten Passwörtern aus vergangenen Hackerangriffen, aus welchen sich Angreifer bedienen können. Passwörter können erraten, weitergegeben und ausgespäht werden; vor allem aber ist deren Sicherheit in ganz entscheidender Weise abhängig vom Nutzer. Die Kombination aus Passwort und zweitem Faktor verbessert zwar die Sicherheit, ist aber dennoch keine Garantie, dass der authentifizierte Nutzer auch der gewünschte Nutzer ist.
Fazit: Passwörter allein können nicht die Zukunft sein, wenn es um echte Sicherheit und Benutzerfreundlichkeit geht!
Digitale Identitäten – mit eIDs einfach mehr Sicherheit in der digitalen Welt
Die Zukunft der sicheren Authentifizierung liegt bei den digitalen Identitäten. Eine digitale Identität umfasst einfach gesagt all das, was insgesamt an Informationen über eine Person in digitaler Form vorliegt. Über die sichere Authentifizierung ist es möglich, Vertrauen in digitale Identitäten aufzubauen; und diese Authentifizierung gelingt mithilfe von eIDs (elektronische Identitätsnachweise). Mit eIDs kann sichergestellt werden, dass sich hinter angegebenen Identitäten auch wirklich die zugehörigen Personen verbergen.
Warum sind eIDs notwendig und welche Vorteile bringen sie?
Wie diese Blogserie bereits darlegte ist es in digitalen Prozessen besonders wichtig, durch Identitätsüberprüfung Sicherheit zu gewährleisten. Da in Geschäftsbeziehungen online das Gegenüber die eigene Identität nicht physisch bestätigen kann, bedarf es eines wirksamen digitalen Nachweises. Die eID ist eine digitale Lösung, mit der Personen wie auch Organisationen ihre Identität bestätigen können und sie repräsentiert eine harte Form der Identifizierung. Nutzer können sich mit ihrer eID einfach und sicher für verschiedene digitale Dienstleistungen authentifizieren. Das hat den großen Vorteil, dass sich Nutzer pro Dienstleistung nicht länger mit jeweils Benutzernamen und dazugehörigem Passwort für ihre Authentifizierung herumplagen müssen. Die meisten Menschen sind mit der Vielzahl an unterschiedlichen Anmeldungen und Passwörtern ohnehin überfordert und suchen sich deshalb Workarounds, welche dann zu Lasten der Sicherheit gehen. Dies kann für jede Organisation sehr schnell katastrophale Konsequenzen nach sich ziehen.
Die eID hingegen ist ein Identitätsnachweis, mit der die eigene Identität in der digitalen Welt auf nutzerfreundliche Art und Weise authentifiziert wird. Sie bewegt sich auf einem deutlich höheren Sicherheitsniveau, als es bei der E-Mail-Verifizierung oder bei Passwörtern der Fall ist – gerade auch, weil das Sicherheitsniveau nicht einfach auf den individuellen Nutzer abgewälzt wird.
Bei steigender Nutzung digitaler Angebote muss der wirksame Schutz vor Identitätsmissbrauch dringend ausgebaut werden.
Wie funktionieren eIDs?
Bei der Authentifizierung mittels eID muss eine elektronische Identität, also ein Token (wie bspw. ein physischer Personalausweis) existieren, welcher von einer dritten Partei (einem Identitätsanbieter) erstellt wurde und elektronisch überprüft wird. Dieser wird dann bei der Nutzung durch Face ID, PIN oder ein Passwort freigeschaltet. Bei Freischaltung mittels Passwortes bedarf es eines Passwortes, um sich mit der eID für alle entsprechenden Geschäfte oder Transaktionen im digitalen Raum sicher ausweisen zu können. Bei der eID handelt es sich um eine eindeutige und personenbezogene Form des digitalen Identitätsnachweises, welche nicht so einfach weitergegeben, gefälscht oder erraten werden kann.
In der praktischen Anwendung der eID kann außerdem ein Zero-Trust-Modell verfolgt werden. Beispielsweise können bei Geschäftsabschlüssen alle involvierten Parteien ihre Identität digital nachweisen: Beim Nachrichten- und Datenaustausch können sich also sowohl Absenderseite als auch Empfängerseite eines Transfers mit ihrer eID authentifizieren.
Identitätsanbieter
Es gibt verschiedene zertifizierte und akkreditierte Identitätsanbieter, welche solche digitalen Identitäten ausstellen und die elektronische Identitätsprüfung bei der Nutzung der eID durchführen. In Deutschland beispielsweise sind dies auf der privatwirtschaftlichen Seite yes® und verimi, auf der staatlichen Seite die Bundesdruckerei mit dem neuen Personalausweis (nPA). Letzterer ist mit einer Online-Ausweisfunktion ausgestattet, welche standardmäßig aktiviert ist, und kann in Kombination mit der AusweisApp2 mit NFC-fähigen Smartphones benutzt werden (oder alternativ mit einem Kartenlesegerät und Computer).
Zwar schon länger verfügbar, aber leider nur 21% der Deutschen bekannt: Die Nutzung des nPAs mit dem Smartphone (Quelle: eGovernment Monitor 2021).
Die jeweiligen Einrichtungsprozesse einer eID variieren von Identitätsanbieter zu Identitätsanbieter, aber es ist bei vertrauenswürdigen Dienstanbietern üblich, dass Nutzer persönliche Daten (wie etwa ihren Namen, ihr Geburtsdatum oder ihre Wohnadresse) angeben und ihre Identität dann mithilfe von Dokumenten wie dem Personalausweis oder Reisepass belegen. Dies geschieht persönlich oder per Sendung in Papierform, um die strengen Anforderungen der eIDAS-Verordnung zu erfüllen.
Nach der Verifizierung der Identität des Nutzers durch den Identitätsanbieter stellt dieser die eID aus. Mit seiner eID verfügt der Nutzer nun über eine verifizierte, digitale Identität und kann sich bei der elektronischen Kommunikation und bei Transaktionen authentifizieren. Die eID ermöglicht somit die Nutzung einer sehr sicheren und einfachen Lösung für viele verschiedene Dienstleistungen. Dies schafft großen Mehrwert besonders im öffentlichen Bereich (Stichwort E-Government), für Banken sowie Einrichtungen des Gesundheitswesens, aber auch in vielen anderen Branchen. Indem vertrauenswürdige Identitätsanbieter sowie qualifizierte Trust Service Provider in Anspruch genommen werden, kann die Einrichtung und Verifizierung von eIDs zudem wirksam ausgelagert werden.
Ein einheitlicher Standard für eIDs – die eIDAS-Verordnung
Die Mitgliedsstaaten der Europäischen Union gaben 2016 den eIDs mit der eIDAS-Verordnung (electronic IDentification, Authentication and trust Services) eine standardisierte Grundlage, welche die elektronischen Ausweisfunktionen auch in der grenzüberschreitenden Nutzung regelt. Mit dem Ziel, Transaktionen in der digitalen Welt eine vergleichbare Rechtssicherheit wie denen auf Papier einzuräumen, entstand so die Voraussetzung für EU-weite Sicherheit und Nachvollziehbarkeit in digitalen Prozessen.
Seit 2018 gilt die verbindliche gegenseitige Anerkennung elektronischer Identitäten, d.h. Bürgerinnen und Bürger können ihre nationale, eIDAS-konforme eID auch in anderen Mitgliedsstaaten für öffentliche Dienstleistungen nutzen. Dies ermöglicht EU-weit digitale Prozesse und papierlose Transaktionen, die rechtsicher sind – und Dokumente müssen nicht länger auf dem Postweg ausgetauscht werden.
Die eIDAS-Verordnung führte zu einer Vielzahl nationaler Anbieter eIDAS-konformer eIDs, die alle denselben Sicherheitsstandard erfüllen und damit sicheren und digitalen Interaktionen zwischen Behörden, Unternehmen, Bürgern und Kunden den Weg bereiten.
Um sicherzustellen, dass digitale Identitäten korrekt authentifiziert werden, gibt es sogenannte Trust Service Provider (TSPs). Hier wird zwischen qualifizierten und nicht-qualifizierten TSPs unterschieden. Die eIDAS legt Anforderungen fest, was solche Anbieter erfüllen müssen, um als qualifizierter TSPs (QSTP) und somit als sicher und vertrauenswürdig zu gelten. Diese beinhalten die eingehende Überprüfung des betreffenden TSPs von behördlicher Seite. Erst wenn diese Überprüfung erfolgreich durchlaufen wurde, gilt ein TPS als qualifiziert. Ein solcher qualifizierter Trust Service Provider ist beispielsweise das Unternehmen Signicat, einer der führenden Anbieter von digitalen Identitätslösungen in Europa.
Durch eine gemeinsame Grundlage, die in allen EU-Ländern gilt, schafft eIDAS die Voraussetzung für den Erfolg von eIDs: Interoperabilität, einheitliche Standards und damit eine weite Akzeptanz. Die eIDAS-Verordnung ist somit ein wirkungsvoller Treiber für eIDs in der Europäischen Union.
- Wie wurde die eID in Ländern wie Schweden umgesetzt, wo digitale Identitätsnachweise bereits seit Jahren fest im Alltag der Menschen verankert sind?
- Lassen sich hieraus Lehren für den deutschsprachigen Raum ziehen, wie eIDs erfolgreich nach vorne gebracht werden können?
Die Antworten auf diese Fragen erfahren Sie in unserem nächsten Blogbeitrag.
