Was oder wer kann meine Identität alles sein?
Im Jahr 2017 waren in Deutschland laut ARD/ZDF-Onlinestudie 62 Millionen Nutzer im Internet aktiv. Und der jährlich erhobene D21-Digital-Index kommt auf einen historischen Höchstwert von 81 Prozent Nutzung. Nur 19 Prozent der Deutschen, also knapp 12 Millionen, nutzten im Jahr 2017 das Internet und seine Dienste dementsprechend überhaupt nicht.
Spektrum der Identitäten
In digitalen Systemen gibt es verschiedene Arten einer Identität. Diese unterschiedlichen Arten einer Identität sind nicht exklusiv und vermischen sich zum Teil miteinander.- Anonyme Identität: Die anonyme Identität auf der einen Seite des Spektrums. Ein Beispiel sind Wegwerf-Email-Adressen oder Fake-Accounts die auf Seiten zum Einsatz kommen, wo eine einmalige Identifizierung notwendig ist, aber keine Verbindung zur echten Identität einer Person hergestellt werden soll.
- Pseudonymisierte Identität: Eine pseudonymisierte kommt dann zum Einsatz, wenn sich eine Person regelmäßig immer wieder bei bestimmten Diensten authentifizieren möchte, aber keine Verbindung zur echten Identität einer Person hergestellt werden soll.
- Selbsterklärte Identität: Der Nutzer gibt alle vom Dienst geforderten Daten (Name, E-Mail, Anschrift, etc) selbst ein. Ob diese Daten korrekt sind, obliegt einzig in der Hand der handelnden Person.
- Gesellschaftlich validierte Identität: Die gesellschaftlich validierte Identität ist die Identität einer Person, die aufgrund der sozialen Bindungen mit anderen von anderen anerkannt wird und somit sozial validiert wird.
- Verifizierte Identität: Die verifizierte Identität ist entspricht der Identität einer Person in der analogen Welt. Diese“gehärtete” Identität und im digitalen Raum die gleiche Aussagekraft wie die einer Person außerhalb des Internets. Gehärtete Identitäten sind z.B. bei Abschluss von Verträgen oder Eröffnung von Bankkonten erforderlich.
Einsatzgebiete verifizierter digitaler Identitäten
Die verifizierte digitale Identität kommt immer dann zum Einsatz, wenn ein Nutzer eindeutig identifiziert werden soll. Das ist beispielsweise beim Abschluss von Verträgen z.B. bei einem Mobilfunkvertrag der Fall oder bei der Eröffnung eines Bankkontos. Auch im E-Commerce z.B. beim Kauf von Produkten mit Altersverifikation ist es notwendig, dass sich Nutzer entsprechend ausweisen:- Altersverifikation beim Kauf von Alkohol, Medikamenten oder Zigaretten
- Altersverifikation beim Glückspiel
- Altersverifikation bei Erotik-Inhalten
- Altersverifikation bei Filmen
- Abschluss von Verträgen, z.B. Mobilfunk, Lebensversicherung etc.
- Eröffnung von Bankkonten oder Kreditkarten
- Nutzung von Bürgerdiensten z.B. Ummeldung
- Online-Shopping im E-Commerce (Fraud Prevention)
eIDAS, AISP, PISP und Co.
Will man für maximale Verwirrung sorgen, sind kryptische Abkürzungen ganz wichtig. So auch bei dem Thema digitale Identität. Häufig wird bei diesem Thema die eIDAS Verordnung genannt. eIdas steht für electronic IDentification, Authentication and trust Services – eIAaTS hat sich vermutlich doof angehört. Die eIDAS gibt es schon ein paar Jahre und regelt europaweit verbindlich die Bereiche „Elektronische Identifizierung“ und „Elektronische Vertrauensdienste“. Ein AISP ist ein Account Information Service Provider und gehört zu den wesentlichen Neuerungen der PSD2. Bei den AISP handelt es sich um Dienstleister, welche Informationen von Bankkonten vollautomatisiert abfragen und in Echtzeit aggregiert, Drittanbietern zur Verfügung stellen. Dazu muss sich ein AISP den Zugang zu den Kundendaten bei den jeweiligen kontoführenden Instituten nach Erlaubnis des Kunden einholen. Ein PISP ist ein Payment Initiation Service Provider oder auch Zahlungsauslösedienst. Das hat in sofern was mit ID-Providern zu tun, als das diese auch Zahlungen auslösen könnten. So ist es denkbar, dass ein solcher Provider den Kaufabschluss im E-Commerce mit einem Klick ermöglicht.
Anbieter von Identitätsdiensten in Deutschland
- Datenallianz: Ein Bündnis bestehend aus United Internet, Pro Sieben, SAT.1 und RTL haben sich auch zusammengefunden um einen Generalschlüssel für Netzwerkanwendungen zu entwickeln.
- Facebook Connect und Google Sign-In: Facebook und Google bieten ihren Nutzern die Möglichkeit an, ihr Profil zur vereinfachten Anmeldung bei anderen Webdiensten zu nutzen. Dadurch beschleunigt sich der Anmeldeprozess deutlich und vor allen bei Diensten bei denen nur eine E-Mail-Adresse und Passwort erforderlich sind entfallen weitere Schritte. Facebook bietet seit 2010 seinen Nutzer diese Möglichkeit an und kommt laut Similartech auf weltweit über 15 Millionen Webseiten die Facebook Connect einsetzen. Google kommt über 38 Millionen Webseiten weltweit.
- Gigya: Von SAP übernommen, bietet GIGYA eine Plattform für Customer Identity and Access Management (CIAM). GIGYA soll bereits digitale Beziehungen mit über 800 Millionen Kunden führen.
- giropay-ID: Mit giropay-ID können Nutzer online ihre Volljährigkeit nachweisen oder aber die Kontoverbindung online im Online-Banking ihrer teilnehmenden Bank oder Sparkasse bestätigen lassen.
- HELIX: Die Blockchain HELIX will eine sichere, rechtskonforme, selbstbestimmte Digitale Identität für Bürger und Konsumenten bieten und darüber hinaus ein effizientes Datenmanagement für Unternehmen und die öffentliche Verwaltung.
- Mobile Connect: Deutsche Mobilfunknutzer sollen die Möglichkeit bekommen, sich künftig mit dem Mobiltelefon bei gängigen Internetdiensten anzumelden. Dabei soll die Eingabe eines Benutzernamens und Passworts entfallen. Mobile Connect nutzt Open ID Connect. Mobile Connect wird von der Deutsche Telekom, Vodafone und Telefónica unterstützt. Das Verfahren soll beim Einkauf in Online-Shops und bei der Anmeldung in Internet-Portalen und Netz-Diensten eingesetzt werden.
- Nect: Das Startup Nect will auf Basis einer mobilen App ein intelligentes Identitätsmanagement mit zuverlässiger Authentifizierung bieten.
- personiq: personiq von EMVOLUTION bietet eine kundenorientierte Datenkommunikation und ein einfaches Permission- & Consent-Management für Unternehmen.
- TREATS (TRans-European AuThentication Services): Bei TREATS handelt es sich um ein Projekt, welches zum Ziel hatte (bis Ende 2017) die deutsche eID-Technologie im Sinne der eIDAS-Verordnung für eine Nutzung europaweit zu erweitern um Bürgerdienste und Servicekonten anbieten zu können.
- ThreatMatrix: Das Unternehmen ThreatMetrix bietet eine End-to-End-Plattform für digitale Identitätsdaten und Vertrauensentscheidungsfindung.
- verimi: Bei verimi handelt es sich um ein Partnerprojekt von Deutsche Bank, Daimler, here, Allianz, Bundesdruckerei, Lufthansa, Telekom, Axel Spinger und CORE. Ziel ist es, einen digitalen Generalschlüssel zu schaffen. Der Nutzer soll sich in Zukunft einen Account bei verimi anlegen können, um sich dann mit einem verimi-Login für verschiedene Dienste authentifizieren zu können.
- YES®: Ohne einen neuen Account anlegen zu müssen, können sich Nutzer mit YES® auf Basis ihres Online-Banking-Logins bei Drittanbietern anmelden, bezahlen oder Verträge abschließen. YES® ist Kontoinformations- und Zahlungsauslösedienst (AISP/PISP) und stellt Dritten, den sogenannten Relying Parties (z.B. Mobilfunkprovider, Versicherungen, E-Commerce Shops) den Dienst zur Verfügung. Unter anderem setzen die Sparkassen auf YES® als Identitätsdienst.
Fazit
Gestartet sind aktuell in Deutschland zwar irgendwie alle, aber wirklich nutzbar ist im Moment noch keiner der Dienste. Wer das Rennen am Ende macht und wie die Akzeptanz beim Nutzer aussieht, hängt von verschiedenen Faktoren ab. Auf der einen Seite von den Diensten, die einen solchen Service in ihr Angebot mit aufnehmen, also den Akzeptanzstellen und der Usability beim Kunden. Der Bedarf an der digitale Identität liegt auf der Hand: Immer mehr Dienste verlagern sich von der Offline- in die Online-Welt und damit auch Dienstleistungen die einen eindeutigen Identitätsnachweis erfordern. War bis vor wenigen Jahren noch ein Post-Ident notwendig um sich eindeutig auszuweisen, funktioniert heute schon vieles mit dem Video-Ident. Trotzdem ist diese Form der Identifikation kein wirklich digitaler Ersatz. Auch beim Video-Ident handelt es sich um eine klassische Sichtprüfung. Der Unterschied besteht einzig darin, das der Nutzer das Haus nicht verlassen muss. Ein echter digitaler Ersatz verzichtet auf diese Form der Identifikation, führt aber auch zu einem Dilemma: Der Datenhaltung und damit einhergehend die Frage welchem Dienst vertraut man seine persönlichen Daten am Ende des Tages an. Der Hack auf Equifax in den USA im September zeigt, auf traurige Art und Weise, wie brisant das Thema ist. Equifax, ein Dienst für Cybersicherheit und Liquiditätsprüfungen im Stil der SCHUFA, wurden 143 Millionen persönliche Datensätze entwendet. Die Angreifer erbeuteten dabei neben Sozialversicherungsnummern auch Namen, Geburtstage und Adressen. Will man so etwas mit seiner eigenen, digitalen Identität erleben? Sicher nicht, und deshalb ist es wichtig das die Anbieter das Thema Datenschutz auf transparente Art und Weise diskutieren. Denn was hilft es, wenn die Datenkrake nicht mehr Google, Facebook und Co. sind, sondern am Ende vor der eigenen Haustür sitzt.5 Kommentare
[…] Was oder wer kann meine Identität alles sein? Im Jahr 2017 waren in Deutschland laut ARD/ZDF-Onlinestudie 62 Millionen Nutzer im Internet aktiv. Und der jährlich erhobene D21-Digital-Index kommt auf einen historischen Höchstwert von 81 Prozent Nutzung. Artikel lesen […]
6. März 2018
Ist YES(R) tatsächlich Kontoinformations- und Zahlungsauslösedienst? Zumindest keiner der bei der BaFin als Zahlungsinstitut mit diesen Erlaubnissen gelistet wäre…
Vergessen wurde bei der Aufstellung aus meiner Sicht das POSTID Portal. Ich habe zwar keine Ahnung bei wie vielen Akzeptanzstellen ich da meine ID wirklich wiederverwenden kann… aber zu funktionieren scheint es und die dort vorhandene Identität ist definitiv „verifiziert“.
6. März 2018
[…] Was oder wer kann meine Identität alles sein? […]
9. März 2018
[…] den Staat, die alle an Teillösungen arbeiten. Der große Wurf ist aber noch nirgendwo erkennbar. Maik Klotz und Tobias Baumgarten haben bereits einige Probleme umrissen. Warum aber ein scheinbar einfaches […]
17. April 2018
Spannendes Thema – vor allem vor dem Hintergrund, dass man als Konsument keine Chance hat, zu kontrollieren, wo die eigenen Daten eigentlich hinwandern. Und vor allem vor dem Hintergrund, dass viele Dienst (gerade im E-Commerce) eigentlich keine persönlichen Daten benötigen, sondern diese einfach nur haben wollen.