E-Identity-Initiativen – Der europäische Weg

Die zunehmende Vielfalt und Präsenz von Online-Diensten verstärken den Bedarf nach Online nutzbaren, sicheren und vertrauenswürdigen Identitäten. Die europäische e-Identity Landschaft ist historisch gewachsen und geprägt durch eine Vielzahl unterschiedlicher Initiativen. Die Änderung der gesetzlichen Rahmenbedingungen in Europa wirkt als Katalysator für die Implementierung neuer Technologien und neuer Angebote – ein Überblick zur Historie und zum aktuellen Stand.

Game Changer PSD2 – Nicht nur im Bereich Payments

Die EU-Zahlungsdiensterichtlinie PSD2 war eines der Top Themen in den Diskussionen im Banking im vergangenen Jahr. Hinreichend oft wurde das Bild vom Game Changer für die Bankenindustrie gezeichnet. Seit dem 13.01.2018 ist die Direktive in Kraft, ihre volle Wirkung wird sie jedoch erst zeitversetzt entfalten; der 13.01.2018 markiert zunächst den Beginn der „transitional periods“. Beinahe unbemerkt hat die PSD2 gemeinsam mit einigen anderen europäischen Gesetzesinitiativen jedoch die Tür zu einem weiteren Thema geöffnet, dem Thema e-Identity.

Der in der PSD2 verankerte Account Information Service (AIS) ermöglicht es Drittanbietern, mit Zustimmung des Kontoinhabers, Informationen aus dem Online Banking Account abzurufen. Abgerufen werden können dabei sowohl Daten zum Kontoinhaber, als auch Transaktionsdaten. Banken sind verpflichtet, vor Aufnahme der Kundenbeziehung die Identität ihrer Kunden zu prüfen. Entsprechend hochwertig ist der Kundendatenbestand. Die Transaktionsdaten liefern darüber hinaus wertvolle Informationen über den Kontoinhaber. Sowohl die Informationen zum Kontoinhaber, als auch die Transaktionsdaten sind von hohem Interesse für eine Reihe von Geschäftsmodellen und zahlreiche Player auf dem Markt.

So rückt auch mit der Umsetzung des AIS der PSD2 das Thema Aufbau und Ausgestaltung von e-Identity Systemen sowie die Frage, welche Rolle die Banken in diesen Systemen in der Zukunft einnehmen werden, in den Fokus. Aber zunächst ein Intro zu e-Identity generell und zur aktuell in Europa existierenden e-Identity-Landschaft.

E-Identity – Einige Eckpunkte zur Definition

Grob vereinfacht lässt sich Identität erklären als die Gesamtheit von Merkmalen, die ein Individuum ausmachen und es von anderen unterscheiden. Eine Identitätsfeststellung im rechtlichen Sinn meint hierbei die Zuordnung der amtlich registrierten Personendaten zu einer natürlichen Person und basiert auf den amtlich definierten Merkmalen zur Charakterisierung einer Person, wie beispielsweise Name, Geburtsdatum und Geschlecht. Als Mittel zur Identifizierung von Personen in diesem Verständnis von Identität dienen staatlich herausgegebene Ausweisdokumente. Die Identifizierung findet in Präsenz durch Sichtprüfung statt, elektronische Identifizierungsmittel und Verfahren für die Fernidentifizierung wurden in den letzten Jahren entwickelt.

Neben der Identität im amtlichen Sinn gibt es weitere Identitäten zur eindeutigen Charakterisierung in einem spezifischen Kontext, die On- und Offline genutzt werden. Ähnlich zur Vorstellung in einem Freundeskreis basieren die Identitäten in sozialen Netzwerken oft auf selbstdeklarierten Daten des Nutzers. Und letztlich lassen sich Nutzer im Netz aufgrund von Bewegung, Verhalten und Gerätenutzung hinreichend genau erkennen, was unter anderem für Fraud- und Risiko-Scoring sowie personalisierte Inhaltsausspielung (vor allem personalisierte Werbung) genutzt wird.

Relevant im Themenfeld e-Identity ist neben der erstmaligen Identifizierung ebenso die Authentifizierung, quasi das Wiedererkennen. Die erfolgreiche Authentifizierung ist Voraussetzung für den Zugriff auf gesicherte Bereiche, die Autorisierung, sofern vorab die Zugriffsrechte gesetzt wurden. Neben diesem Dreiklang aus Identifizieren, Authentifizieren und Autorisieren spielen die Themen digitale Signatur (Personen) und digitales Siegel (Unternehmen) zur Sicherung der Willenserklärung einer eindeutig identifizierbaren Entität insbesondere für Wirtschaftsprozesse eine Rolle.

E-Identity – Entwicklung und Ausprägungen

Die Schaffung digitaler Identitäten stand in der Vergangenheit bereits mehrfach mit unterschiedlichen Motivationen im Zentrum diverser Initiativen. Die Erhöhung des Sicherheitsniveaus und die Beschleunigung von Prozessen spielten dabei ebenso eine Rolle, wie die Senkung von Kosten und die Förderung von Innovation. So vielfältig die Motivationen, so facettenreich die Diskussion zum Thema.

Ein erster Schritt auf dem Weg zur Digitalisierung amtlicher Identitätsmittel war die Herausgabe maschinenlesbarer Ausweisdokumente. Sie stand bereits vor mehr als 10 Jahren im Fokus einer Reihe nationaler Initiativen. Rechtliche Grundlage hierfür bildete in Europa eine EU-Verordnung (EG) Nr. 2252 aus dem Jahr 2004, die in Reaktion auf die Forderungen der US-Behörden für die Einreise in die USA nach den Terroranschlägen vom 9. November erlassen wurde. Den technischen Blueprint lieferte die internationale Zivilluftfahrtbehörde ICAO mit dem Standard 9303. Mit dem Ziel, die Abfertigung von Passagieren an Flughäfen bei den Passkontrollen zu beschleunigen, wird der Standard kontinuierlich weiterentwickelt.

Mit zunehmender Dominanz der digitalen Welt ist jedoch der Wunsch nach einer im Internet nutzbaren digitalen Identität, vergleichbar zum Ausweisen vor Ort, folgerichtig. Technisch wurde diese Möglichkeit in Deutschland mit dem ab 2010 ausgegebenen elektronischen Personalausweis umgesetzt. Er kann mit Hilfe eines Lesegeräts oder einer App und der zugehörigen PIN zur Identifizierung im Netz verwendet werden. Die Nutzung des elektronischen Ausweises blieb bislang jedoch stark hinter den Erwartungen zurück. Sowohl die notwendige zusätzliche Hardware, als auch die geringe Anzahl von Anwendungsfällen wurden von Nutzern kritisiert.

Verschieden Maßnahmen sollen Abhilfe schaffen: Bund und Länder haben in den letzten Jahren eine Reihe von Initiativen gestartet, um auf der Angebotsseite Verbesserung zu schaffen und e-Government-Angebote zu implementieren. Als Haupthemmnis für die Umsetzung von eGovernment-Vorhaben erweisen sich hierbei oftmals organisatorische Fragen. So wurden seitens der Teilnehmer des Pilotvorhabens „Modellkommune E-Government“ beispielsweise Probleme in der internen Kommunikation, der Abstimmung der Behörden untereinander und der Mitarbeiterakzeptanz genannt. Trotz zahlreicher Initiativen weist der eGovernment Monitor im Dezember 2017 für Deutschland eine sinkende Nutzung von e-Government-Services aus. Zur Umkehr dieses Trends ist die Schaffung von bequem und durchgängig nutzbaren Services durch die öffentlichen Verwaltungen zwingend erforderlich. Damit eine Win-Win-Situation für Bürger und Behörden entsteht, ist die Digitalisie-rung von Prozessen und Angeboten erforderlich, die über die Elektrifizierung von Bestehendem hinausgeht.

Auf der Nutzerseite wurden im letzten Jahr zur Erhöhung der Anzahl nutzbarer Ausweisdokumente die gesetzlichen Rahmenbedingungen dahingehend geändert, dass die Online-Ausweisfunktion bei der Ausgabe neuer Personalausweise immer aktiviert ist. Um die Hürde der Notwendigkeit zusätzlicher Hardware in Form eines speziellen Lesegeräts zu senken, wurde die Möglichkeit ausgebaut, mittels der AusweisApp ein kompatibles Smartphone als Lesegerät zu verwenden.

Profiteur der geringen Akzeptanz der Online-Ausweisfunktion sind bis dahin die Anbieter von Video-Ident-Verfahren, die die Lücke zur Onlinewelt schließen. Banken, Versicherungen, Telekommunikations- und Mobilitätsdienste haben Video-Ident-Verfahren in ihre Prozesse zum Onboarden von Neukunden integriert.

Längst nicht für jede Interaktion im Internet ist die Prüfung der amtlichen Identität erforderlich. Die digitalen Identitäten mit der höchsten Verbreitung im Netz beruhen auf vom Nutzer selbst deklarierten Attributen, wie Name, Anschrift und Geburtsdatum. Diese Identitäten dienen zur Nutzung von sozialen Netzwerken, Informationsportalen, das Einkaufen im Netz, die Buchung von Tickets und vielem mehr. Für Unternehmen sind sie ein zentraler Punkt der Kundeninteraktion geworden. Wesentlich aus Unternehmenssicht ist die Erhaltung und Nutzung des Kundenkontaktpunktes, um kundenzentriert neue Produkte und Services zu entwickeln und umzusetzen. Unternehmen haben aus diesem Grund bereits vor geraumer Zeit begonnen, eigene Kundenbindungsprogramme und Portale aufzusetzen. Für die Kunden führte das im Ergebnis zu einer Vielzahl von ID’s und Kundenkarten. Die Unternehmen kämpfen parallel um die Aufmerksamkeit ihrer Kunden und das Wissen über die Kunden. Primäres Ziel der Unternehmen ist es, digitale Ökosysteme aufzubauen.

Die Anbieter mit den höchsten Nutzerzahlen im Netz sind internationale Technologiekonzerne. Sie erreichen Nutzerzahlen und Interaktionsfrequenzen, die die anderer Angebote um ein Vielfaches übersteigen und haben sich zu Superknoten im Netz entwickelt. Ihre Geschäftsmodelle sind in der Data Economy beheimatet, der Wert für den Betreiber entsteht aus der Interaktion der Nutzer und der gewonnenen Daten. Nach langer Zeit der Dominanz der in den USA beheimateten GAFA’s haben Anbieter aus China aufgeschlossen. Die chinesische Suchmaschine Baidu, die für das B im Akronym BAT steht, erreicht in der Alexa Website-Statistik mittlerweile Platz 4 der beliebtesten Websites weltweit. In der Anzahl der verlinkten Websites ist jedoch noch ein deutlicher Abstand zu den GAFA’s sichtbar. Ein europäisches Unternehmen mit vergleichbarer Nutzerstatistik findet sich zum gegenwärtigen Zeitpunkt nicht. Die Geschäftsmodelle der Data Economy werden aktuell in breitem Umfang disku-tiert. Ein Teil der Diskussion bildet sich rings um die EU-DSGVO ab. Sie zielt darauf, die Rechte der Nutzer zu stärken und die Informationspflichten für Unternehmen zu erhöhen.

Die europäische e-Identity-Landschaft

Mit dem Ziel der Etablierung eines e-Identity-Systems für die digitale Welt sind in den europäischen Ländern eine Reihe von Initiativen entstanden. Die nachstehende Infografik gibt einen Überblick über die Vielzahl der existierenden Initiativen in Europa.

Überblick europäischer e-Identity-Initiativen und -Systeme / Stand Januar 2018

So unterschiedlich die Motivation der Initiatoren und die nationalen Gegebenheiten, so vielfältig zeigt sich aktuell auch die Landkarte der europäischen ID-Initiativen. Die Initiativen sind zu einem überwiegenden Teil national ausgerichtet. Als Anwendungsbereich nehmen sie primär öffentliche Dienste und ausgewählte Branchen, wie Banking oder Telekommunikation in den Fokus. Damit orientieren diese Lösungen auf Identitäten mit einem hohen Grad an Sicherheit, dass die Identitätsmerkmale der digitalen Identität mit den amtlich registrierten Merkmalen übereinstimmen. Hierbei unterscheiden sie sich jedoch in Bezug auf Initiatoren, Architektur und erreichte Benutzererfahrung. Nachstehend ein paar kurze Schlaglichter auf einige Initiativen:

  • Deutschland: Deutschland hat als erster EU-Mitgliedsstaat im letzten Jahr die eIDAS-Notifizierung abgeschlossen, die Online-Ausweisfunktion wird ab September 2018 europaweit zur elektronischen Identifizierung im digitalen Verwaltungsverfahren anerkannt. Damit ist als erstes System in Europa im Rahmen der eIDAS ein staatliches System notifiziert worden. Darüber sind beispielsweise mit der Login-Allianz um United Internet, verimi und YES private Initiativen aktiv, die eine e-Identity Lösung auf dem deutschen Markt platzieren wollen. Und auch Angebote auf Blockchain-Basis existieren: Das Frankfurter Unternehmen Blockchain HELIX zum Beispiel hat mit HELIX Alpha Ende 2017 eine Demoversion live gestellt.
  • Schweden: Bereits seit 2003 existiert in Schweden eine e-Identity-Lösung, die unter dem Namen BankID bekannt ist. Verwalter dieses e-Identity-Systems ist ein Zusammenschluss schwedischer Banken. Das System bietet softwarebasierte und kartenbasierte Lösungen für die Nutzung von Webdiensten und das elektronische Signieren. Die BankID ermöglicht den Nutzern den Zugriff auf Behördenportale und e-Commerce-Shops.
  • Schweiz: Die Schweiz hat im letzten Jahr mit einer Reihe von Blockchain-Projekten von sich reden gemacht. So sind nicht nur im Crypto Valley Zug, sondern auch in Schaffhausen e-Identity-Lösungen auf Blockchain-Basis im kommunalen Einsatz. Für die landesweite Nutzung einer digitalen Identität bei Behörden und Unternehmen dagegen wurde im Mai 2017 SwissID als Angebot eines Joint Ventures von Post und SBB angekündigt. Die Namensrechte des seit 2010 existierenden Systems SuisseID wurden durch das Joint Venture übernommen. Der Investorenkreis ist mittlerweile durch Banken, Versicherungen und Telekommunikationsanbieter erweitert worden, die Initiative will in Bezug auf den Austausch der Identitätsdaten mit dem Staat zusammenarbeiten.

Rechtsrahmen – Europaweite Harmonisierung

Zahlreiche Gesetze und Verordnungen, die Einfluss auf die Ausgestaltung von e-Identity-Systemen haben, sind in Europa aktuell in Neuordnung. Ein wichtiges Puzzlestück auf dem Weg zu einem einheitlichen digitalen Binnenmarkt wird durch die eIDAS gesetzt. Sie beinhaltet Regelungen zur elektronischen Identifizierung und zu elektronischen Vertrauensdiensten mit dem Ziel, die Interoperabilität der Identifizierungssysteme in Europa herzustellen.

Die PSD2 wird mit der Möglichkeit des Zugriffs auf Daten aus den Onlinebanking-Systemen neuen Angeboten Vorschub geben. Banken kommt aufgrund ihrer Vertrauensstellung und der Tatsache, dass sie Daten hosten und diese im Auftrag ihrer Kunden für Drittdienstleister zugänglich machen, eine Sonderrolle in der Gestaltung der Systeme zu.

Die europäische Datenschutzgrundverordnung (EU-DSGVO), die ab 25. Mai 2018 in Kraft tritt, regelt die Verarbeitung personenbezogener Daten durch Unternehmen und Verwaltungen und ist damit für das Thema e-Identity und für nahezu alle Unternehmen und Verwaltungen von Relevanz. Durch die Anwendung des Marktortprinzips gelten die Regelungen der EU-DSGVO auch für außereuropäische Unternehmen, wenn sie die betreffenden Leistungen in Europa anbieten.

Der Spezialfall der Verarbeitung von Daten, die im Zuge der elektronischen Kommunikation anfallen, wird im Rahmen der e-Privacy-Verordnung geregelt. Sie war im letzten Jahr unter anderem aufgrund der Regelungen zum Online und Offline Tracking und der Zustimmungspflicht zur Verarbeitung von Daten Gegenstand zahlreicher Diskussionen. Ursprünglich sollte die e-Privacy wie die EU-DSGVO zum 25. Mai 2018 in Kraft treten; aktuell wird jedoch eine Verabschiedung im Jahr 2018 mit einer Übergangsphase für die Umsetzung der Vorschriften avisiert.

Ausblick

Aktuell ist die Anbieterlandschaft für e-Identity-Systeme in Europa durch eine große Anzahl und Bandbreite von Anbietern gekennzeichnet. Initiatoren, Geschäftsmodelle und technische Basis differieren. Zu Rolle der staatlichen Institutionen, sowie zur Rolle und Beteiligung potentieller privatwirtschaftlicher Trustgeber, wie Banken, existieren unterschiedliche Konzepte. Darüber hinaus existieren und entstehen aktuell international eine Reihe von Initiativen und Playern, die das Potential haben, die Entwicklung der e-Identity-Landschaft in Europa zu beeinflussen; indirekt durch ihr Beispiel oder direkt durch ihr Tätigwerden auf dem europäischen Markt.

In welchem Umfang und wie schnell eine Konsolidierung der europäischen Anbieterlandschaft stattfinden wird, lässt sich zum gegenwärtigen Zeitpunkt nicht mit Bestimmtheit sagen. Dass es jedoch in diesem Jahr Veränderungen auf diesem Markt geben wird, ist sicher.

 

Quellen

  1. Alexa Website Ranking global, abgerufen am 21.01.2018, Link
  2. Amtsblatt der Europäischen Union, Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, Link
  3. Amtsblatt der Europäischen Union, Verordnung (EG) Nr. 2252/2004 des Rates vom 13. Dezember 2004 über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten, Link
  4. BankID Website, Link
  5. Die Bundesregierung, Digitale Verwaltung 2020, Pilotvorhaben „Modellkommune E-Government“ 2014 – 2016, Link
  6. Europäische Kommission, Abschluss der Notifizierung des elektronischen Identitätsnachweises durch Deutschland als erstes EU Mitgliedsland, 27.09.2017 Link
  7. European Banking Authority (EBA), EBA opinion addressed to competent authorities on the transition from the existing Payment Services Directive (PSD1) to the revised Directive (PSD2), 19th December 2017, Link
  8. Helix Alpha Website, abgerufen am 21.01.2018, Link
  9. ICAO, Standard 9303 der ICAO – machine readable travel documents, 2009, Link
  10. Initiative D21 e. V., fortiss GmbH, eGovernment Monitor 2017, Link
  11. Kanton Schaffhausen, Schaffhauser eID+ Website, abgerufen am 21.01.2018, Link
  12. Swiss ID Website, abgerufen am 21.01.2018, Link
  13. uport, Zug ID: Exploring the First Publicly Verified Blockchain Identity, abgerufen am 21.01.2018, Link
  14. verimi Website, abgerufen am 21.01.2018, Link
  15. YES Website, abgerufen am 21.01.2018, Link

4 Kommentare

  • Die staatlichen Identifizierungslösungen müssen lt E-IDAS bis 2020 harmonisiert sein bzw jede dieser Lösungen Innerhalt aller Mitgliedsstaaten akzeptiert werden. Nebenbei gibt es auch die ganz wichtigen Initiativen der EU-Kommission zum Thema "Geo-Blocking", um nationale Barrieren abzubauen. Die europäischen Banken haben parallel dazu das E-ID Thema seit 10 Jahren auf der Agenda - aber bisher auch noch keine Standards in den Bereichen E-Payment, E-Mandate etc... geschafft.Zuletzt auch noch eine kleine Ergänzung für mein Land Österreich: wir haben den Bankenstandard E-ID seit 5 Jahren im Einsatz: http://eservice.stuzza.at/de/kundenservice/e-identifikation-e-id.html - basiert auf auf ISO20022-Normen. Das Trust-Center "A-Trust" war einer der ersten Anbieter von Sicheren Signaturen und steht hinter der österreichischen Bürgerkarte und Handysignatur.
    • Andrea Müller
      Herzlichen Dank für den Hinweis, wir nehmen die Lösungen mit auf. Und haben mit dem Verweis auf die STUZZA gleich noch etwas mehr auf dem Zettel ...
  • Das Darmstädter Cybersecurity Startup AUTHADA GmbH erhielt am 23. Januar 2018 als erstes Unternehmen die Zertifizierung für ihre mobile Identifizierungslösung als eID-Core auf Basis der technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dieser eID-Core ist elementarer Bestandteil der von AUTHADA angebotenen Identifizierungslösungen und ermöglicht die mobile Identifizierung von Kunden innerhalb weniger Sekunden. Die im neuen Personalausweis (nPA) verschlüsselt gespeicherten hoheitlichen Stammdaten werden über einen SDK oder eine Standalone-App gesetzeskonform ausgelesen und übermittelt. Der Auslesevorgang kann über ein handelsübliches Smartphone oder Notebook als auch Terminal erfolgen. Die Voraussetzung dafür ist eine Near Field Communication (NFC) Schnittstelle im verwendeten Device. Damit sparen sich User die mühsamen Identifikationswege von PostIdent und Videolegitimation, während B2B-Kunden neben vollautomatisierten und hoch skalierbaren Customer Onboarding- und KYC- Prozessen von der Konformität zu den regulatorischen Anforderungen wie dem Geldwäschegesetz, der DSGVO, der PSD2 und eIDAS profitieren.

Schreibe einen Kommentar