Mit der aktuellen Weiterentwicklung der europäischen Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) soll eine europaweit anerkannte und sichere digitale Identität kommen. Digitale Identitäten sind dabei schon lange gang und gäbe – vom E-Mail-Account, über Social Media bis zu digitalen Behördengängen: Die Nutzung vieler digitaler Dienste erfordert einen Identitätsnachweis. Dabei ist das Sicherheitsniveau der Identifizierung und Authentifizierung des Nutzers abhängig vom genutzten Dienst. Unternehmen, die Dienste anbieten wollen, für die digitale Identitäten notwendig sind – für Mitarbeiter, Partner und Kunden – müssen die Voraussetzungen kennen.
Eine digitale Identität stellt die digitale Repräsentation einer physischen Identität dar. Letztere kann ein Mensch sein, aber auch eine Institution, eine Maschine oder ein Server. Im Gesundheitswesen erhalten z. B. Versicherte, Ärzte, Praxen, Krankenhäuser oder Apotheken eine digitale Identität. Sie stellt in diesem Kontext eine Sammlung von Attributen in elektronischer Form dar, welche die physische Identität charakterisieren – das können z. B. Name, Adresse und Geburtsdatum sein, aber auch Benutzername oder Emailadresse. Eine digitale ID muss eindeutig sein, da sie sonst nicht zuordenbar ist; der Prozess der ursprünglichen Identifizierung wird ins Digitale übertragen – für die Erst-Identifikation benötigt es eine Registrierung; die Wiedererkennung erfolgt durch die Authentifizierung. Digitale Identitäten lassen sich in drei verschiedene Arten unterscheiden: die echte Identität, die selbstkonstruierte Identität und die anonyme Identität. Die echte Identität repräsentiert dabei die echte physische Identität; in der Regel ist eine Identifizierung durch ein Ausweisdokument während der Registrierung notwendig. Die selbstkonstruierte sowie die anonyme Identität entstehen durch die freie Angabe von Daten durch den Inhaber der Identität selbst, ohne dass diese überprüft werden. Eine anonyme Identität entsteht maßgeblich durch Pseudonyme und unwahre Angaben zur eigenen Identität.
Einsatzmöglichkeiten digitaler Identitäten
Digitale Identitäten kommen überall dort zum Einsatz, wo personalisierte digitale Dienste angeboten werden, was die Erhebung, Speicherung und Verarbeitung von Daten erfordert. Personalisierte digitale Dienste können dabei diverse Ausprägungen haben – vom Social-Media-Benutzerkonto, über Online-Accounts im E-Commerce, bis hin zu Online-Banking oder digitalen Behördengängen über eGovernment-Angebote. Dabei gehen die Einsatzmöglichkeiten der digitalen Identitäten über die reine Identifizierung und Authentifizierung des Nutzers hinaus. Der neue Personalausweis (nPA) zum Beispiel unterstützt eine datenschutzfreundliche Altersnachweisfunktion, mit der die Volljährigkeit einer Person überprüft werden kann, ohne das genaue Geburtsdatum zu kennen.
Die zunehmende Digitalisierung erschließt weitere Einsatzmöglichkeiten einer digitalen Identität: Die europäische eIDAS (Verordnung über elektronische Identifizierung und Vertrauensdienste) schafft hier einheitliche Rahmenbedingungen für die Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste über Grenzen hinweg. 2020 wurde die Überarbeitung der eIDAS-Richtlinie gestartet, sie ist derzeit noch nicht abgeschlossen. Ziel ist es, europaweit eine sichere europäische digitale Identität (European Digital Identity, kurz: EUDI) anzubieten. Die EUDI wird damit das virtuelle Pendant eines Ausweises. Sie soll als eine Wallet-Lösung eine Identifizierung und Authentifizierung des Inhabers ermöglichen, eine Überprüfung der Gültigkeit durch Dritte ermöglichen sowie die sichere Speicherung und Darstellung der Identität gewährleisten. Außerdem soll sie es erlauben, qualifizierte elektronische Signaturen zu generieren. Dieses digitale Pendant zur Unterschrift erlaubt auf digitaler Ebene rechtsgültige Vertragsabschlüsse.
Die eIDAS gibt auch vor, dass die EU-Mitgliedstaaten den Bürgern die digitale Identität zur Verfügung stellen müssen; auch die vorgesehene Akzeptanzpflicht bestimmter Branchen kann dazu beitragen, dass andere digitale Identitäten zukünftig an Relevanz verlieren. Einkäufe im Ausland oder die Abholung eines Mietwagens könnten damit vereinfacht werden, da die digitale Identität Prozesse effizienter macht. Denn digitale Dienste sind im Vergleich zu analogen Prozessen mit einer Kostenreduktion verbunden; der User profitiert stark von einer einfacheren und bequemeren Handhabung, etwa, wenn sich Behördengänge von zu Hause aus erledigen lassen.
Sicherheit und Schutz des Users
Ein Angriffsszenario, das digitale Identitäten in besonderem Maße betrifft, ist der Diebstahl in Form von Impersonation bzw. Identitätsdiebstahl. Das Schadenspotenzial reicht dabei von Persönlichkeitsverletzungen durch anonymes Mobbing, Hasskommentare oder Ähnliches auf Social Media bis zum unberechtigten Zugriff und Missbrauch von persönlichen Daten etwa bei Bankgeschäften oder vertraulichen Gesundheitsdaten. Während der analoge Personalausweis den Missbrauch durch Diebe wegen des darauf abgebildeten Fotos limitiert, sieht der Fall in der digitalen Welt anders aus. Die digitale Identität muss also besonders geschützt werden. Schutzmaßnahmen können zum Beispiel sichere Passwörter sein. Mehr Sicherheit bringt eine Mehrfaktor-Authentifizierung (MFA), bei der verschiedene Faktoren aus den Bereichen Wissen, Besitz oder Biometrie kombiniert werden. Bekannt ist dies unter anderem vom Online-Banking, wo eine Authentifizierung zum Beispiel mit Passwort (Wissen) einerseits und zusätzlicher TAN-Generierung auf einem externen Gerät (Besitz) andererseits stattfindet. Hardwaretoken, wie zertifizierte Smartcards (zum Beispiel der Personalausweis oder die elektronische Gesundheitskarte) bieten bei korrekter Verwendung ein Höchstmaß an Sicherheit.
Standardisierte Vertrauensniveaus
Das benötigte Vertrauensniveau für eine digitale Identität hängt vom Einsatzzweck und dessen Schutzbedarf ab. Nicht regulierte Bereiche, wie soziale Netzwerke oder andere Internet-Plattformen stellen häufig die Nutzerfreundlichkeit in den Vordergrund. Hier wird i. d. R. eine selbstkonstruierte Identität in Verbindung mit einer einfachen Authentifizierung wie Benutzername und Passwort zu finden sein. In regulierten Bereichen wird zunehmend auf die Anforderungen der eIDAS-VO verwiesen. Die Durchführungsverordnung (EU) 2015/1502 definiert auf gesetzlicher Ebene die Anforderungen an die Vertrauensniveaus niedrig, substanziell und hoch. Welches Niveau für einen Dienst geeignet ist, hängt auch hier vom Schutzbedarf des Dienstes und der verarbeiteten Daten ab. Neben weiteren Anforderungen und Unterschieden kann ein niedriges Vertrauensniveau bereits mit einer Ein-Faktor-Authentifizierung erreicht werden, während für ein substanzielles Vertrauensniveau mindestens eine Zwei-Faktor-Authentifizierung gefordert ist. Für das Erreichen eines hohen Vertrauensniveaus, wie es zum Beispiel beim Schutz von Gesundheitsdaten gefordert wird, müssen noch weitere Sicherheitskriterien erfüllt sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert hierfür in der Technischen Richtlinie TR-03107-1 die Verwendung von zertifizierten Hardwaretoken wie die elektronische Gesundheitskarte.
Je höher das Sicherheitsniveau, desto komplizierter und kostspieliger gestaltet sich allerdings dessen technische Umsetzung und häufig leidet auch die Nutzerfreundlichkeit. Nutzerfreundliche biometrische Verfahren, wie sie heute auf vielen smarten Endgeräten täglich verwendet werden, sind für den Nutzer komfortabel, in vielen Fällen aber nicht sehr sicher. Gleiches gilt für die Speicherung von kryptografischen Schlüsseln auf smarten Endgeräten, die als Nachweis für den Besitz bei einer Authentifizierung genutzt werden können. Die sicherere Variante, die Nutzung von zertifizierten Hardwaretoken, setzt die Produktion, Verteilung, Verwaltung und schließlich die Nutzung dieser voraus. Dies kostet viel Geld und erhöht dabei nicht den eigentlichen Nutzen. Dies trifft allerdings auch auf sämtliche Türschlösser an unseren Haus- und Wohnungstüren zu und trotzdem sind sie an jeder Tür zu finden und werden permanent genutzt.
Das Zukunftspotenzial digitaler Identitäten
Die Digitalisierung nimmt zu, viele ihrer Dienste erfordern eine digitale Identität und diese sind bereits weit verbreitet. Für E-Mail-Konto, Google-Konto, Apple-Konto, Personalausweis, elektronische Gesundheitskarte, Facebook, Xing, Mitarbeiterausweis, etc. hat jeder Nutzer i. d. R. jeweils eine digitale Identität. Für weitere Dienste kommen entsprechend weitere Identitäten hinzu. Im Artikel Sichere Digitale Identitäten – Für die digitale Souveränität der Bürgerinnen und Bürger auf www.behoerden-spiegel.de werden ganze 70 digitale Identitäten pro Mensch durchschnittlich genannt. Dabei können digitale und analoge Welt verschmelzen, etwa, wenn Zutrittskontrollen in Unternehmen digitalisiert sind und den Nachweis einer digitalen Identität erfordern, oder wenn in Arztpraxen die Gesundheitskarte als ID eingelesen wird.
Digitale Identitäten können maßgeblich helfen, Medienbrüche zukünftig weiter zu reduzieren. Ein Beispiel ist das viel diskutierte E-Rezept. Während die Erfassung und Ausstellung beim Arzt digital verläuft, wird das Rezept ausgedruckt und an die Apotheke übergeben. Diese muss das Rezept für Abrechnungszwecke wieder digitalisieren. Das E-Rezept sorgt dafür, dass die Apotheke die Daten digital erhält und diese einfach weiterverarbeiten kann. Somit lassen sich Prozesse optimieren und Kosten einsparen.
Unternehmen wiederum können digitale Identitäten in der Breite für Kunden und Mitarbeiter, Endkunden oder Partner nutzen. Zum Beispiel können Prozesse wie Urlaubsbeantragung über einen entsprechenden Dienst erfolgen. Nicht zu vernachlässigen sind auch denkbare Anwendungsmöglichkeiten für die Kundenbindung: Denn über digitale Dienste, die Kunden nutzen, lassen sich nicht zuletzt (anonymisierte) Informationen über Nutzer-Verhalten gewinnen – um damit das eigene Angebot optimieren zu können. Dabei müssen sich Unternehmen der verschiedenen Sicherheitsniveaus allerdings bewusst sein. Nutzerfreundlichkeit ist zwar wichtig – aber auch der digitale Schutz vor Identitäts- und Datenraub sollte nicht vergessen werden. Ist dieser nicht gewährleistet, können die Folgen gravierend sein. Ein Beratungsunternehmen wie die SRC GmbH kann hier helfen, Lösungen – kostenpflichtige wie open source – zu beleuchten, zu prüfen und die Eignung und Konformität und damit auch die Rechtssicherheit zu bewerten.
Fazit
Ohne digitale Identitäten läuft im Internet nichts – digitale Dienste erfordern initial eine Registrierung des Nutzers, je nach Art eine Identifizierung und für die Weiternutzung eine Authentifizierung. Von der Art des Dienstes und der dabei genutzten Daten hängen die Erfordernisse an die Sicherheit ab. Unternehmen, die digitale Dienste nutzen oder anbieten wollen, müssen sich deswegen über die Schutzbedarfe ihrer verarbeiteten Daten und ihrer Prozesse sowie geeigneter Gegenmaßnahmen im Klaren sein um die Anwendungspotenziale für Kunden, Partner oder Lieferanten nutzen zu können.
Autor: Nico Martens, Berater SRC Security Research & Consulting GmbH
Weitere Informationen: https://src-gmbh.de/
Fachartikel
Strategien für eine fortgeschrittene digitale Hygiene
Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen
Wie man RMM-Software mit einer Firewall absichert
Red Sifts vierteljährliche Produktveröffentlichung vom Frühjahr 2024
Konvergiert vs. Einheitlich: Was ist der Unterschied?
Studien
Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen
Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle
Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart
Neue Erkenntnisse: Trend-Report zu Bankbetrug und Finanzdelikten in Europa veröffentlicht
Studie: Rasantes API-Wachstum schafft Cybersicherheitsrisiken für Unternehmen
Whitepaper
Unter4Ohren
Datenklassifizierung: Sicherheit, Konformität und Kontrolle
Die Rolle der KI in der IT-Sicherheit
CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft
WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand
