Seite 2: SSI mit nutzerzentriertem ID-Management

Inhaltsverzeichnis

"Man muss wachsam sein, damit es nicht zum Albtraum wird", ergänzte der Saarbrücker Rechtsinformatiker Christoph Sorge. Die eID im deutschen Personalausweis, die in die EU-Wallet integriert werden könnte, sei die datensparsamere, bereits notifizierte Variante und "schon ziemlich genial gemacht". Die "schöne Lösung", für die es aber noch zu wenig Anwendungen gebe, ersetze den sonst nötigen Identitätsprovider "durch ein vertrauenswürdiges Endgerät wie den elektronischen Personalausweis". Dieser bestätige, dass eine Person echt ist. Der Inhaber könne dann selektiv Informationen über sich herausgeben.

Standardisierungsarbeiten an einer weiterentwickelten SSI mit nutzerzentriertem ID-Management seien schon recht weit fortgeschritten, erläuterte der Professor. Unproblematisch sei es damit immer, wenn nur ein Attribut wie der Besitz eines Führerscheins bestätigt und genutzt werde. Schwieriger werde es, eine Unverknüpfbarkeit im Zusammenhang mit zwei oder mehr "Dingen" sicherzustellen und ein Pseudonym aufrechtzuerhalten. Seine größte Befürchtung sei aber, dass die EUid zum Rohrkrepierer werde und Apple, Google & Co. als Identitätsprovider reüssierten.

Einfach, hochsicher und datenschutzkonform

Die SSI sei ein "sehr intelligenter Ansatz", fand auch Arno Fiedler, Vizevorsitzender des Verbands Sichere Digitale Identität (VSDI). Diesen hätten aber neben den großen US-Internetkonzernen etwa auch Alibaba und Tencent im Blick. Er habe daher vor allem Angst, "dass chinesische Initiativen sowas entwickeln". Er forderte daher auch Kompromissbereitschaft bei den Datenschützern, um das EU-Projekt zum Start zu bringen. Dafür sei ein Zugriff auf verschiedene Register nötig, um etwa auch Dienstausweise für Polizisten oder Ärzte als Attribute einbringen zu können.

Fiedler mahnte auch dazu, zahlreiche Anwendungsbeispiele vom Smart Home und Bildung über Gesundheit und Finanzen bis zur Verwaltung zu bespielen, um die EUid für Nutzer attraktiv zu machen. Er gab zu bedenken, dass die Wallet-Architektur eigentlich schon im Dezember hätte stehen sollen. Diesen Zeitplan habe die Kommission gerissen. So sei es fraglich, ob alle Mitgliedsstaaten die digitale Brieftasche bis 2024 bereitstellen könnten.

Eine möglichst breit einsetzbare eID spiele die "alles entscheidende Rolle" bei der geplanten "Ende-zu-Ende-Digitalisierung" der Verwaltung, unterstrich der IT-Beauftragte der Bundesregierung, Markus Richter. "Wir werden nur erfolgreich sein, wenn wir eine einfach nutzbare, hochsichere und zugleich datenschutzkonforme Identitätslösung bereitstellen." Er rief dazu auf, eine "echte Koalition von allen Beteiligten" zu bilden. In Bezug auf internationale Cloud-Anbieter forderte er: "Wir müssen verhindern, dass einseitig das Thema Identitäten an die Hyperscaler geht, die Lock-in-Effekte kreieren."

Die Bundesregierung war voriges Jahr mit einer "ID Wallet" vorgeprescht, in dem Nutzer zunächst den digitalen Führerschein ablegen können sollten. Das Vorhaben scheiterte angesichts des unerwartet hohen Interesses an der App und Kritik, dass die Infrastruktur dahinter nebst der eingesetzten Blockchain-Technik angreifbar sein könnte. "Grundlegende Hausaufgaben sind nicht gemacht worden", räumte Richter ein. "Wir müssen Sicherheitsaspekte und Man-in-the-Middle-Angriffe ernst nehmen", um Identitätsklau zu verhindern. Die Initiative sei inzwischen neu in der Regierung verortet worden. Parallel gehe es darum, die Smart eID auf Handys auszurollen.

Breite Aufklärungskampagnen mit Prominenten und Influencern für den Online-Ausweis und dessen Fortentwicklungen hielt Ann Cathrin Riedel vom liberalen Netzpolitikverein Load für angebracht. Die zuständigen Ministerien seien in der Pflicht, "so etwas mitzudenken und in Budgets einzuspeisen". Sonst werde sich eine derart komplexe Technik allenfalls durchsetzen, wenn Apple und Google die Standards setzten.

(bme)