Wenn zwei sich streiten freut sich der Dritte. Nach den beiden Analysen der Kollegen Jochen Siegert und Rafael Otero, was ein Sign in with Apple für den Markt bedeutet – oder eben nicht, schauen wir jetzt einmal auf die Funktionsweise von “Sign in with Apple”. Das “Sign in with Apple” nicht das Ende der Fahnenstange ist sondern der Anfang einer echten digitalen Identität haben wir schon einmal angerissen, gehen aber noch einen Schritt weiter und schauen mal auf die eingereichten Patente der letzten Monate.
Nicht nur die Ankündigung, einen 999 USD teuren Displayständer für das 5.000 USD teure Display als Zubehör anzubieten, sorgte für eine Überraschung, auch der Dienst “Sign with Apple” sorgte für Diskussionen. Nicht zuletzt bei uns im Team, was am am Ende zu zwei unterschiedlichen Sichtweisen und Artikeln führte, einer Abstimmung und zu dem Ergebnis das Rafael für einen Monat ein iPhone nutzen muss. Zeit also etwas Licht ins Dunkel zu bringen und mal zu schauen wie der Dienst am Ende funktionieren wird.
“Sign In with Apple” ist zunächst einmal eine Anforderung an Entwickler, dass diese Sign In with Apple implementieren müssen, wann immer auch ein anderes Single-Sign-On Verfahren wie zum Beispiel “Login with Google” oder “Facebook Connect” implementiert ist. In aller Klarheit: Sign In with Apple ist obligatorisch, nicht optional. Des einen Freud, des anderen Leid.
Was für den Nutzer gut scheinen mag, sorgt bei den Entwickler nicht zwangsläufig für Freudensprünge, da Nutzer mehr Kontrolle über ihre Daten bekommen und die Entwickler eben nicht. Trotzdem bietet Sign In with Apple auch für Entwickler Vorteile, wie eine Zwei-Faktor-Authentifizierung, die Erkennung von Betrug und der Möglichkeit, einen schnellen und reibungslosen Einstieg in der entwickelten App zu ermöglichen.
Der Nutzer hat die gleichen Vorteile wie bei anderen Single-Sign-On Diensten auch, mit dem Unterschied, das außer dem Namen nichts weitergegeben wird. Keine Profil-Informationen und auf Wunsch nicht einmal die echte E-Mail Adresse.
Ob “Sign in with Apple” tatsächlich ein Gamechanger im Markt der Single-Sign-On Systeme wird, ist offen. Aller Marktmacht zum Trotz hat Apple auch immer mal wieder daneben gelegen (siehe Ping).
Sign In with Apple im Detail
Bei einem Sign In with Apple erhält der Entwickler prinzipiell nur den Namen des Benutzers, der mit seiner Apple-ID verknüpft ist. Darüber hinaus kann die echte E-Mail Adresse weitergeben werden oder eine von Apple zufällig generierte E-Mail die mit der echten E-Mail verknüpft wird. Zusätzlich übermittelt Apple einen sogenannten “unique stable identifier”, eine eineindeutige, pseudonymisierte Kennung.
Nutzer müssen sich nicht bei Sign In with Apple anmelden, d.h. Nutzer ohne Social Account bekommen künftig einen Single-Sign-On Lösung ohne bei einem sozialen Netzwerk wie Facebook, Twitter oder Google angemeldet zu sein.
Auch funktioniert Sign In with Apple auf allen iOS Geräten wie iPhone, iPad, Mac, Apple TV oder der Apple Watch und auch auf Android Geräten. Letzteres über einen Umweg, denn Apple bietet dazu Sign In with Apple JS – einer auf JavaScript basierten Möglichkeit Sign In with Apple auch auf anderen Geräten zu nutzen. Komfortabel ist das allerdings nicht, denn das ganze funktioniert dann über eine Webansicht.
Bestehende Logins werden erkannt, soll heißen: hat sich ein Nutzer bereits mit einer E-Mail bei einem Dienst angemeldet, dann merkt Apple das, da Sign In with Apple mit dem iCloud-Schlüsselbund verbunden ist.
Da Apple die Möglichkeit bietet eine Art Trashmail zu generieren, die Anstelle der echten Mail an den Dienst weitergeleitet wird kommt es zur Frage ob Apple diese lesen kann? Erstens: Apple routet die E-Mails nur an den Nutzer, ist aber kein E-Mail Hoster. Denkbar wäre natürlich das Apple über einen Proxy die Mails lesen kann. Das wäre dann aber ohnehin eine Einbahnstraße. Im wahrsten Sinne des Wortes: Apple würde nur die Mails lesen können, die an den Nutzer gehen (Marketing Newsletter, Mailings, etc), nicht aber die ausgehenden Mails. Neben der Tatsache, dass Apple das verneint wäre der Erkenntnissgewinn gering und wenig brauchbar.
Entwickler können bis zu 10 Domänen registrieren über die sie mit den Nutzern kommunizieren können. Nicht mal die Trashmails könnten an Dritte weitergegeben werden. Über den Weg können Unternehmen nicht mal illegal E-Mails untereinander teilen. Ein zusätzlicher Schutz gegen Spam, sofern er denn über die E-Mail kommt.
Sign In with Apple = digitale Identität?
Digitale Identitäten muss man als Spektrum betrachten. Das fängt an bei einer anonymen E-Mail und geht bis zur verifizierten und gehärteten Identität. Legt man also diese Definition zu Grunde, bietet Apple sehr wohl eine Form der digitalen Identität, wenngleich auch nur einen Teil des Spektrums. Das reicht natürlich nicht aus um einen rechtssicheren Vertrag mit Sign In with Apple abzuschließen oder für einen KYC-Prozess einer Bank. Noch nicht. Denn vor knapp einem Jahr hat Apple das Patent Nummer 20180225662 eingereicht.
„Digitale Identitäten muss man als Spektrum betrachten. Das reicht von einer anonymen E-Mail bis hin zur verifizierten und gehärteten Identität.“
Und das beschreibt die Ablösung von Ausweisdaten, wie wir sie kennen. Oder so etwas wie Apple Pay nur für Identitäten, mit dem Unterschied, dass es keine Banken gibt die den Spielverderber spielen können. Im Detail beschreibt das Patent einen „Dokumentenimport in ein sicheres Element“. Damit könnten Ausweisdaten, Führerschein oder Sozialversicherungsdaten in den gesicherten Bereich des iPhones abgelegt werden und dann Dritten z.B. Mobilfunkprovidern oder Banken zugänglich gemacht werden. Damit bräuchte es keinen Ident-Service mehr.
Egal ob Video-Ident oder andere noch nicht gestartete Identity Dienste. Auch wenn nicht alle Patente immer Anwendung finden, kann man schon heute Teile davon sehen. Viele Universiäten digitalisieren bereits die Studentenausweise und legen diese in der Apple Wallet ab, welche dann über NFC Zugang zur Universität gewährt. Auch Japan hat angekündigt das iPhone zu nutzen um z.B. die My Numbers Card auszulesen.
Zusammenfassung
Sign In with Apple kann der Anfang eines größeren Identitäts-Dienstes werden. Was am Ende umgesetzt wird und wohin die Entwicklung tatsächlich geht ist natürlich offen, aber es mehren sich die Anzeichen das “noch mehr” kommen könnte. Angefangen hat alles mit iOS 6 im Jahr 2012 und der Digitalsierung der Boardkarten in der Apple Wallet. Damals hätte niemand gedacht, das alle Fluggesellschaften diesen Dienst unterstützen. Heute wissen wir es besser. Mit Apple Pay ging es weiter, Loyalty geht auch schon und nun kommt “Sign In with Apple”, ein weiterer Baustein in der Evolution digitaler Identitäten. Dazu kommt die Öffnung der NFC-Schnittstelle, wenn auch nicht für Payment, können Entwickler nun auch Tickets in die Wallet integrieren und mit Hilfe von NFC auslesen.