Digitale Identitäten in Deutschland und Europa

Digitale Nachweise sind auf dem Vormarsch, doch wo stehen wir heute wirklich und wie sieht die nahe Zukunft aus? Dieser Beitrag vermittelt umfassende Einblicke und relevante Informationen über digitale Identitäten in Deutschland.

Identitätsnachweise sind im Alltag allgegenwärtig, vom Personalausweis über Mitarbeiterausweise bis hin zu Studentenausweisen. So unterschiedlich die einzelnen Ausweise gestaltet sind, sollen sie alle einen Zweck erfüllen: die Identität einer spezifischen Person in einem bestimmten Zusammenhang nachweisen. Doch in einer Welt, in der Interkationen immer stärker digital stattfinden, wird das zunehmend zu einer Herausforderung – denn Nachweise sind heutzutage noch immer voranging physischer Natur.

Um die physischen Ausweise auch in digitalen Vorgängen zu nutzen, müssen diese zunächst „digitalisiert“ werden. Teilweise reicht bereits ein einfaches Foto oder Scan des Nachweises. Für die Eröffnung eines neuen Bankkontos hingegen ist ein Videoident-Verfahren notwendig. Für Nutzer und die prüfende Partei sind die Prozesse zumeist aufwändig und kostspielig. Gleichzeitig bergen sie diverse Sicherheitsrisiken, da viele Sicherheitsmerkmale der physischen Dokumente beim „Digitalisieren“ nur noch eingeschränkt funktionieren. Die Idee der digitalen Identitäten schließt diese Lücke.

Vertrauensbeziehungen als Basis für digitale Identitäten

Nachweise werden direkt in digitaler Form in eine Wallet (zum Beispiel als Smartphone-App) ausgestellt, dort vom Nutzer eigenständig gehalten und verwaltet. Nutzer können aus der Wallet heraus die Nachweise einer prüfenden Partei (Verifier) vorzeigen. Die Anfrage für das Teilen dieses digitalen Nachweises kann beispielsweise über einen QR-Code vom Verifier kommen. Dieser wird direkt mit der Wallet gescannt, der Nutzer entscheidet dann eigenständig über die zu teilenden Daten.

Bild 1: Rollen und Vertrauensverhältnisse für selbstbestimmte Identitäten

Digitale Identitätsnachweise sind nur als authentisch zu betrachten, wenn der Aussteller (Issuer) bekannt und vertrauenswürdig ist. Darüber hinaus möchten Nutzer auch wissen, mit wem sie ihre Identitätsdaten teilen, also wer genau der Verifier ist (Bild 1). Verifizierbare Vertrauensregister sollen hier helfen, Organisationen als seriöse Akteure in der Identitätsinfrastruktur auszuweisen. Ein Ansatz für die Umsetzung eines solchen Registers ist die Blockchain-Technologie als Basis. Dort werden Aussteller von Identitätsdaten in Issuer Registries und Empfänger von Identitätsdaten in Verifier Registries bekannt gemacht (Bild 2).

Sogenannte Widerrufsregister (Revocation Registries) dienen dazu, die Validität von einmal an den Nutzer ausgestellten Identitätsnachweisen zu widerrufen, auch wenn der Nachweis das Ablaufdatum noch nicht erreicht hat. Durch den dezentralen Ansatz können die Issuer und Verifier unmittelbar auf die dort abgelegten Informationen im Ökosystem zugreifen. Aufgrund der nachträglichen Unveränderlichkeit und der eindeutigen Zuordnung der dort abgelegten Daten eignet sich die Blockchain-Technologie für Registerimplementierungen besonders gut.

Die Dezentralisierung der Infrastruktur führt jedoch zu einer komplexen Governance: Die verschiedenen Teilnehmer nehmen unterschiedliche Rollen ein und verfügen über bestimmte Berechtigungen. Der Betrieb der Infrastruktur muss in einem Betreibermodell spezifiziert werden, das unter allen Beteiligten Zustimmung findet. Im Gegensatz zu Blockchain-basierten Ansätzen gestaltet sich die Governance-Problematik bei zentralisierten Lösungen oft einfacher. Grund dafür ist die von Beginn an klar geregelte Rollenverteilung sowie die zentral bereitgestellte und betriebene Infrastruktur. Weitere Akteure im Netzwerk treten zumeist als Nutzer, nicht jedoch als Betreiber der Vertrauensinfrastruktur selbst auf.

Zuletzt vereinfacht dieser Ansatz oftmals die Umsetzung regulatorischer Vorgaben und gewinnt darüber das benötigte Vertrauen. Instanzen wie beispielsweise die Europäische Kommission stellen in sogenannten Trusted Lists Berechtigungsinformationen zu Issuern und Verifiern bereit. Trusted Lists enthalten identifizierende Informationen zu den agierenden Institutionen wie zum Beispiel Namen und kryptografische Schlüsselinformationen.

Bild 2: Ökosystem inkl. Vertrauensregister

Öffentliche Verwaltung und Privatwirtschaft pilotieren digitale Identitäten auf EU-Ebene

Die Europäische Kommission möchte digitale Identitäten nicht nur jedem EU-Bürger verbindlich zur Verfügung stellen, etwa für den digitalen „Gang“ zum Bürgeramt, sondern auch eine standardisierte und Europa-weit interoperable Infrastruktur schaffen. Konkret sollen deutsche Nachweise auch in allen anderen EU-Ländern funktionieren und umgekehrt. Hierzu befindet sich eine entsprechende Verordnung, die eIDAS-2.0, in der Finalisierung und Verabschiedung (Stand Dezember 2023). Die Version 1.0 regelt die eID ausführlich. Diese soll hiermit um digitale, meist Wallet-basierte, Identitäten im weitesten Sinne erweitert werden. Sobald die Verordnung in Kraft getreten ist, haben die Mitgliedsstaaten 24 Monate Zeit, ihren Bürgern einen verbindlich kostenfreien Zugang zu digitalen Identitäten wie etwa dem digitalen Personalausweis oder Führerschein zu verschaffen. Das wird voraussichtlich Ende 2026 der Fall sein.

Um die Umsetzung weiter zu unterstützen, stellt die EU technische Leitlinien zur Umsetzung im Architecture and Reference Framework bereit. Dies umfasst unter anderem Spezifikationen für Schnittstellen und Protokolle zum Datenaustausch, die oben beschriebenen Vertrauensregister und Sicherheitsstandards. Eine Referenzimplementierung, sprich eine Art „Beispiel-Wallet“ soll als Basis für die Entwicklung der nationalen Infrastruktur dienen. Zudem wurde Budget für vier Large Scale Pilot Konsortien (LSP) bereitgestellt. Deren Ziel ist die Entwicklung und Pilotierung mehrerer Anwendungsfälle in Zusammenarbeit zwischen der öffentlichen Verwaltung und Privatwirtschaft.

Die LSPs sind bereits Mitte 2023 gestartet und laufen über einen Zeitraum von zwei Jahren, mit dem Ziel bis Ende 2024 einen ersten Pilotbetrieb zu erreichen. Das größte der Konsortien, POTENTIAL, wird von der französischen ANTS und dem deutschen BMI geführt. Die Anwendungsfälle konzentrieren sich unter anderem auf den digitalen Führerschein (mDL) und den digitalen Personalausweis (PID) zur Identifizierung und Authentifizierung von Bürgern für Onlineverwaltungsleistungen oder die Eröffnung von Bankkonten. Ebenfalls verprobt werden digitale Signaturen. Die weiteren Konsortien DC4EU, NOBID und EWC konzentrieren sich beispielsweise auf eine digitale Gesundheitskarte, digitale Bildungsnachweise, Identitätsnachweise für Organisationen und das Reisen sowie Wallet-basierte Zahlungen ohne Kreditkartennutzung.

Wo stehen digitale Identitäten in Deutschland?

Vor fast vierzehn Jahren hat Deutschland den Personalausweis im Scheckkartenformat mit Onlineausweisfunktion eingeführt. Ein im Personalausweis eingebauter NFC-Chip speichert die hinterlegten Daten und ermöglicht über kryptgrafisches Schlüsselmaterial nicht nur eine sichere Verbindung zum „deutschen eID-System“, sondern verifiziert auch die Daten. Die Freigabe durch den Nutzer erfolgt mittels PIN-Code.

Ein erster Schritt in Richtung digitaler Identität, doch der große Erfolg der Online-Ausweisfunktion blieb aus. Die Gründe dafür sind vielfältig: Anfänglich gestaltete sich die Nutzbarkeit und Adaption schwierig, da ein separates Kartenlesegerät erforderlich war, während es gleichzeitig an einem flächendeckenden Angebot an Diensteanbietern, die die eID-Funktion als Authentifizierungsoption anbieten, fehlte. Mittlerweile können Bürger die Onlineausweisfunktion über die AusweisApp2 und die NFC-Schnittstelle des Smartphones nutzen, auch die Nutzerführung wurde verbessert und ließen die Nutzerzahlen steigen. In Summe liegen diese jedoch weiterhin hinter den Erwartungen zurück.

Mit der Smart eID, die sich bereits seit mehreren Jahren in der Entwicklung befindet, will Deutschland eine digitale Version des Personalausweises schaffen. Ziel ist die Speicherung der Personalausweisdaten direkt auf dem Endgerät des Benutzers. Um jedoch weiterhin das Vertrauensniveau hoch zu erreichen, genügt eine software-technisch verschlüsselte Speicherung der Daten direkt auf dem Endgerät des Nutzers nicht. Vielmehr ist eine zusätzliche Absicherung auf Hardware-Basis erforderlich. Dies kann etwa über die eSIM oder ein embedded Secure Element (eSE) erfolgen – einer vom übrigen Speicher physisch eigenständige, gesicherte Speichereinheit. Die große Herausforderung ist hierbei jedoch die noch recht geringe Verbreitung dieser Optionen in den derzeit genutzten Smartphones auf dem deutschen Markt. Hinzu kommt die nötige Zusammenarbeit mit den Herstellern, um Zugriff auf diese Komponenten zu erhalten, insbesondere in Bezug auf das eSE. Mit Samsung gibt es bereits eine Kooperation für die Pilotphase. Der geplante GoLive wurde im Dezember 2023 jedoch vorerst auf unbestimmte Zeit verschoben, der Pilotbetrieb eingestellt.

Ausblick: Bis zur Umsetzung der EU digital Identity Wallet in Deutschland wird es dauern

Als Basis für die LSP-Teilnahme Deutschlands wird unter Leitung des BMI im nationalen „Wallet Projekt“ gegenwärtig eine Smartphone-Wallet für Bürger entwickelt, die schrittweise alle in Deutschland geplanten Anwendungsfälle abdecken soll. Auch wenn bereits 2024 mit ersten Tests gerechnet wird, werden Bürger die Wallet im App-Store erst voraussichtlich im Laufe des Jahres 2026 vorfinden – parallel zur Umsetzungsfrist aus der eIDAS 2.0 Verordnung.

Welche Funktionen diese Wallet dann genau unterstützen wird, ist gegenwärtig noch offen. Doch der Fokus liegt auf den Anwendungen, die das POTENTIAL Konsortium testet: PID, mDL und digitale Signatur. Die Integration der Anwendungsfälle der weiteren deutschen Beteilungen in den anderen Konsortien ist derzeit im Gespräch. Interessierte Bürger können die Entwicklung öffentlich verfolgen. Das BMI hat dafür eine Seite auf OpenCode erstellt, auf der sie sowohl Updates zur technischen Umsetzung, den Anwendungsfällen als auch den potentiellen Geschäfts- und Betreibermodellen teilen.

Zusammenfassend gesagt, es ist sowohl in Deutschland als auch der EU derzeit viel in Bewegung, um digitale Identitäten zum Leben zu erwecken. Allerdings liegt noch ein langer Weg vor uns.