Die Frage nach der zweifelsfreien Identifikation im digitalen Raum ist aktuell ein drängendes Problem. Immer mehr Lebensbereiche werden digitalisiert und damit wandern auch sensible Daten ins Netz, beispielsweise beim Online-Banking oder jüngst bei digitalen Impfzertifikaten. Es versteht sich von selbst, dass diese Informationen bestmöglich geschützt werden müssen. Doch wie wird das bei verschiedenen Ansätzen bewerkstelligt und worin liegen die Herausforderungen? Malte Pollmann, Chief Strategy Officer bei Utimaco, macht den Reality-Check:
Check 1: Welche Ansätze und Systeme gibt es?
Der Begriff „digitale Identität“ ist nicht scharf abgegrenzt. Im Prinzip erzeugen wir mit jeder Registrierung bei einem Online-Dienst eine neue digitale Identität. Ob diese der realen Identität eines Nutzers entspricht, ist bei vielen Anwendungen unerheblich. Die meisten Internetnutzer haben sicherlich eine E-Mail-Adresse, die nicht auf ihrem Klarnamen basiert, in Foren oder beim Online-Dating sind Pseudonyme ohnehin Standard. Über die Jahre und Jahrzehnte der Internetnutzung sammeln sich so jede Menge Kombinationen von Nutzernamen und Passwörtern an. Um dieses Chaos zu vereinfachen, gibt es verschiedene Ansätze: Passwort-Manager oder den Login über Google, Facebook etc. Damit wird beispielsweise das Google-Konto zu einer Art zentraler Online-Identität. Es gibt auch Alternativen zu den US-Konzernen auf diesem Gebiet, wie netID oder Verimi.
Nun ist das Internet heute allerdings kein reines Kommunikations- und Unterhaltungsmedium mehr, sondern es finden immer mehr (auch sensible) Bereiche des Alltags online statt. Online-Vertragsabschlüsse, -Bankgeschäfte oder digitale Patientenakten – all das bedingt eine sichere Verknüpfung von Online-Identität mit realer Identität und das ist die wirklich spannende Frage auf dem Gebiet. Wer heute beispielsweise ein Konto bei einer Online-Bank eröffnen möchte, hat meist die Wahl, seinen Personalausweis in einer Postfiliale oder via Videoanruf vorzuzeigen. Dadurch wird die Verknüpfung zwischen realer und Online-Identität vorgenommen. Als Identifikationsmittel dient der Personalausweis, dessen Integrität wiederum wird von der Bundesrepublik als Herausgeberin garantiert.
Check 2: Wer tritt als Garant einer digitalen Identität auf?
Die klassische oder analoge Identitätsprüfung beruht auf einem Dokument mit hoher Fälschungssicherheit, das von einer vertrauenswürdigen Instanz herausgegeben wird. Nun stellt sich die Frage, wer diese Rolle in der digitalen Sphäre übernimmt. Bisher gibt es viele verschiedene privatwirtschaftliche Anbieter, die ein breites Portfolio an unterschiedlichen Identitätsdienstleistungen bereitstellen, vom zentralen Login bis zu qualifizierten elektronischen Signaturen.
Die bisher häufig angewendeten Identifikationsverfahren Postident und Videoident basieren letztlich auf einer Sichtprüfung des Ausweisdokuments. Dem prüfenden Mitarbeiter obliegt die Entscheidung, ob er dieses als echt und zur jeweiligen Person passend akzeptiert. Hierbei kann es zu Fehlern kommen, beispielsweise durch Tippfehler bei der Eingabe des Namens. Besser als eine solche nachträgliche Verknüpfung wäre es, digitale und analoge Identität gemeinsam herauszugeben. Neu ist diese Idee nicht, beim Personalausweis wird sie bereits angewendet und er verfügt standardmäßig über eine Online-Funktion. Diese wird allerdings noch nicht stark genutzt. Das mag einerseits daran liegen, dass früher ein zusätzliches, vergleichsweise teures Lesegerät notwendig war. Heute kann stattdessen das Smartphone verwendet werde, dennoch bleibt eine Einschränkung: das System ist nur deutschen Staatsbürgern zugänglich. Die Problematik rund um digitale Identitäten wurde auch von der EU erkannt, die deshalb an einer gemeinsamen paneuropäischen Lösung arbeitet, die verschiedene nationale oder private eIDs ersetzen soll. Das Projekt befindet sich noch in einem frühen Stadium und über die Ausgestaltung ist noch nicht viel bekannt, außer dass es sich um eine Art Wallet handeln soll. Dort soll es dann für Nutzer die Möglichkeit geben, neben der Identität noch weitere Informationen zu hinterlegen, beispielsweise Impfnachweise für Reisen.
Check 3: Wie wird die digitale Identität abgesichert?
Die Übertragung eines analogen Identitätsnachweises in den digitalen Raum ist nur eine der Herausforderungen bei elektronischen Identitäten. Die andere ist, eIDs gegen Missbrauch und Datenlecks zu schützen. Das heißt, es muss einen einfachen Weg geben, mit dem eine prüfende Instanz feststellen kann, ob eine ihr vorgelegte eID echt ist. Hier spielt die Instanz, die die digitale Identität herausgibt und verwaltet, eine große Rolle. Ihre Integrität wird entweder dadurch garantiert, dass es sich um eine staatliche Institution handelt oder über Zertifizierungs- und Auditverfahren, wenn es sich um ein privates Unternehmen handelt. In der EU ist das beispielsweise in der eIDAS-Verordnung geregelt.
Die prüfende Instanz weiß, welche Aussteller von Zertifikaten, die die digitale Identität bestätigen, als vertrauenswürdig gelten und wird generell nur solche Zertifikate annehmen. Weiterhin ist aber noch zu klären, ob das Zertifikat echt ist. Das benötigt einen Prozess, der eine sehr hohe Fälschungssicherheit sowie einfache Überprüfbarkeit gewährleistet und automatisiert werden kann. Hier kommt asymmetrische Kryptografie ins Spiel. Das Verfahren basiert auf einem privaten und einem öffentlichen Schlüssel. Deren Zusammenhang wird über schwer umkehrbare mathematische Operationen hergestellt, wie die Multiplikation großer Primzahlen. Den öffentlichen aus dem privaten Schlüssel zu erzeugen, ist somit trivial. Aus dem öffentlichen Schlüssel auf den privaten Schlüssel zu kommen, ist dagegen nicht mit sinnvollem Aufwand möglich. Der öffentliche Schlüssel kann also für jeden verfügbar bereitgestellt werden. Passt dieser zu einem Zertifikat, das mit dem entsprechenden privaten Schlüssel erstellt wurde, gilt das Zertifikat als echt. Ein aktuelles Beispiel für die Anwendung asymmetrischer Kryptografie zur Echtheitsprüfung sind die Impfzertifikate mit QR-Code. Dieser Code wird mit einem privaten Schlüssel erstellt und der öffentliche Schlüssel zur Überprüfung kann in einer App gespeichert werden. Dadurch funktioniert das System auch offline.
Eine Achillesverse hat aber auch diesen Verfahren: Die privaten Schlüssel müssen unbedingt geheim bleiben. Egal ob private Vertrauensdienstleister oder staatliche Institutionen, wer Identitätsdienstleistungen auf Basis asymmetrischer Kryptografie anbietet, muss sicherstellen, dass die privaten Schlüssel optimal geschützt sind. Für die Erzeugung und sichere Verwahrung starker privater Schlüssel sind Hardware-Sicherheitsmodule (HSM) die ideale Wahl. Gegenüber Software-Lösungen haben sie den Vorteil, dass die Schlüssel selbst nicht in den Hauptspeicher eines Rechners eingelesen werden, was eine Kompromittierung aus der Ferne ausschließt. Die HSMs von Utimaco verfügen zudem über einen echten Zufallszahlengenerator – wichtig für die Erzeugung von Schlüsseln erster Güte.
Fazit
Man kann nicht sagen, dass eine digitale Identität per se sicher oder unsicher wäre. Vielmehr muss man verstehen, dass es unterschiedliche Anforderungen und dementsprechend stärkere oder schwächere Prüfverfahren gibt. Das ist auch in der analogen Welt nicht anders: Reserviert man einen Tisch im Restaurant, reicht in der Regel die Nennung eines Namens (ob dieser echt ist, wird niemand prüfen) als Identifikation, bei Bankgeschäften sieht es freilich anders aus. Ähnlich verhält es sich auch im digitalen Raum. Problematisch wird es dort, wenn sensible Informationen oder Transaktion mit einer unzureichenden Absicherung einhergehen. Für manche einfache Dienstleistungen mag die Identifikation über Nutzername und Passwort nach wie vor ausreichen. Geht es aber um sensible Informationen mit Bezug zur realen Welt, wie Finanz- oder Gesundheitsdaten, ist ein höheres Sicherheitsniveau angebracht. Hier wurde nur die personenbezogene Identität im digitalen Raum betrachtet, doch mit dem Siegeszug des IoT brauchen wir auch neue Lösungen, um Geräten, Dokumenten und Transaktionen eindeutige und fälschungssichere Identitäten zuzuweisen. Auf dem Gebiet der Kryptografie werden auch für dieses Problem bereits vielversprechende Ansätze entwickelt.
#Utimaco