Lassen Sie uns mit einer kurzen Definition in das Thema “digitale Identitäten” einsteigen: Überall dort, wo ich mich als Nutzer online registriere, um mich zu einem späteren Zeitpunkt wieder einloggen zu können, entsteht eine digitale Identität. Die meisten von uns haben viele von ihnen. Um genau zu sein, hat jeder EU-Bürger durchschnittlich gut 90 digitale Identitäten – Tendenz weiter steigend.
Identitätsverwaltung heute
90 digitale Identitäten, das bedeutet im Zweifelsfall: 90 Benutzernamen und 90 unterschiedliche Passwörter. Oder aber ich nutze immer das gleiche Passwort – mit den bekannten Risiken. Und es bedeutet auch: Ich gebe 90 Mal persönliche Daten manuell auf Webseiten ein. Ein Manko, das Tech-Konzerne wie z.B. Facebook, Google oder Apple längst erkannt haben. Sie ermöglichen ihren registrierten Nutzern, sich mit ihrer digitalen Identität auch auf anderen Websites anzumelden. Dies ist ohne Frage komfortabel – aber es heißt auch, dass diese Anbieter mehr über mich wissen, als es mir vielleicht lieb ist und ich vermute. Was passiert zudem, wenn der zentrale Provider ausfällt? So z.B. im Juli 2020 bei Garmin durch einen Hackerangriff geschehen. Außerdem hat das „Single-Sign-On“ der Tech-Unternehmen einen entscheidenden Pferdefuß: Es ist nicht garantiert, dass die angegebene digitale Identität auch wirklich korrekt ist.
Mehrere Initiativen rund um digitale Identitäten
Stand heute fehlt es an Lösungen, mit denen sich Personen branchenübergreifend und auf vollständig digitalem Wege ausweisen können. Begründet ist dies zum einen in einer fehlenden Standardisierung (keine technische Interoperabilität und mangelnde Akzeptanz) und zum anderen werden bereits vorhandene Identitätsdaten schlicht und ergreifend nicht genutzt. Neben infrastrukturellen Herausforderungen ist die Schaffung einer allgemein nutzbaren digitalen Identität jedoch ein zentraler Schlüssel dafür, dass Europa und Deutschland den Anschluss bei der Digitalisierung nicht verlieren. Das spiegelt sich auch in den Federation Services des europäischen Cloud-Projekts GAIA-X wider: digitale Identitäten sind hier ein integraler Bestandteil.
Anfang Juni 2021 stellte die EU-Kommission ihren Plan für eine einheitliche europäische digitale Identität (EUid) vor. Die großen Plattformbetreiber sollen diese als Login akzeptieren müssen. Verbände wie der Bitkom begrüßen diesen Vorschlag, sehen aber auch Hindernisse. So sei laut Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, der europäische Markt für eine europaweite Nutzung von Identitätsleistungen derzeit regulatorisch noch zu stark fragmentiert. Zudem brauche es ein Zusammenwirken von öffentlicher Hand und Privatwirtschaft, um das Potenzial wirklich zu heben.
Weiterlesen: Hier geht es zum Bitkom-Positionspapier „Digitale Identitäten“ [pdf] von Dezember 2020.
Bereits Ende 2020 startete die Bundesregierung eine Initiative zur Schaffung eines offenen europäischen Ökosystems digitaler Identitäten. In diesem Kontext wird das Fehlen digitaler Nachweise im Whitepaper „Ökosystem digitaler Identitäten” [pdf] als „eines der drängendsten Digitalisierungshemmnisse unserer Zeit“ bezeichnet.
Die Self Sovereign Identity
Gemeinsames Zielbild der Initiativen ist die selbstsouveräne digitale Identität (Self Sovereign Identity; SSI), die es uns erlaubt, Nachweise (z.B. meiner Identität) alleine zu verwalten und selbstbestimmt zu nutzen. Im Mittelpunkt des Prinzips steht also der Halter der digitalen Identität – sprich wir als Nutzer. Einzelne Bestandteile oder Nachweise werden von qualifizierten Ausstellern (z.B. ein Amt oder auch ein Unternehmen wie eine Bank oder eine Versicherung) ausgefertigt und verschlüsselt an den Halter ausgehändigt, welcher die Daten in seinem digitalen Wallet bereithält und die digitale Identität bei Bedarf einem Verifizierer zur Verfügung stellt und universell nutzt.
Es stellt sich die Frage: Wer werden in diesem Konzept die Trust-Anbieter sein? Wie bereits ausgeführt, garantieren die Angebote der Tech-Unternehmen nicht, dass die Nutzerdaten der digitalen Identität tatsächlich korrekt sind. Regulierte Branchen, wie z.B. Banken, sind dagegen verpflichtet, die Daten der Kunden zu verifizieren. Sie werden auf Basis staatlicher Ausweisdokumente erhoben und regelmäßig überprüft. Damit weisen sie eine hohe Qualität und Zuverlässigkeit auf und könnten als Grundlage für die Erstellung einer digitalen Identität dienen.
Banken als ideale Trust-Anbieter
So überrascht es nicht, dass der Bundesverband deutscher Banken (BdB) Finanzinstituten im Positionspapier „Digitale Identitäten – Schritte auf dem Weg zu einem ID-Ökosystem“ nahelegt, das Portfolio auf Dienstleistungen rund um digitale Identitäten auszuweiten. Alleine durch den Pool an authentifizierten Girokonten-Inhabern verfügen sie über einen umfassenden Bestand an verifizierten digitalen Identitäten:
- Banken sind gesetzlich verpflichtet, die digitale Identität ihrer Kunden zu überprüfen – und zwar nach verbindlichen und gleichbleibenden Standards, die von BaFin und Bundesbank überwacht werden – kein anderer Sektor wird so stark beaufsichtigt und muss derart viele Identifikations- und Ausweispflichten beachten. Ein gutes Beispiel dafür ist der KYC-Prozess beim Onboarding neuer Kunden.
- Banken verfügen über sichere und hochverfügbare Kanäle für die Kunde-Bank-Kommunikation sowie sichere Authentifizierungsverfahren für digitale Identitäten. Letztere werden von den meisten Kunden regelmäßig gebraucht, d.h., sie sind mit der Nutzung vertraut.
- Banken genießen hohes Kundenvertrauen, wenn es um den Schutz und die Sicherheit von Daten geht.
Dänemark & Schweden als Vorreiter
Hindernisse beseitigen
Wie die Beispiele Dänemark und Schweden zeigen, ist ein Ökosystem digitaler Identitäten dann erfolgreich, wenn öffentlicher und privatwirtschaftlicher Sektor Hand in Hand arbeiten. Damit Finanzinstitute ihren Kunden Dienstleistungen auf Grundlage digitaler Identitäten anbieten können, ist allerdings zunächst die Anpassung der rechtlichen und technischen Rahmenbedingungen notwendig – und auch die Banken selbst haben noch die eine oder andere Hausaufgabe zu erledigen.
Rechtliche Rahmenbedingungen
Eine digitale Identität muss, damit sie für den Nutzer attraktiv ist und ihr Potenzial voll entfalten kann,
- über einzelne Sektoren hinweg nutzbar sein,
- auf einheitlichen Standards aufbauen und
- von allen Behörden anerkannt werden.
Das bedeutet, die Anforderungen an den Identifizierungsprozess müssen einheitlich sein – sowohl mit Blick auf sektorspezifische Anforderungen als auch zwischen nationaler und europäischer Ebene. Darüber hinaus muss Rechtssicherheit im Verhältnis von Aussteller und Verifizierer der digitalen Identität hergestellt werden.
Technische Rahmenbedingungen
Zentral für digitale Identitäten ist die Interoperabilität der Daten zwischen einzelnen Identitätsanbietern und internationalen Netzwerken. Diese ist aktuell noch nicht gegeben, da jeder Anbieter mit eigenen Schnittstellen und Rahmenwerken arbeitet.
Bankinterne Rahmenbedingungen
Wie ich bereits eingangs schrieb, müssen Banken, um digitale Identitäten als Geschäftsmodell für sich zu erschließen – und das ist ein Knackpunkt – aber auch „offen“ sein. Das beinhaltet Bedenken, Kunden durch die Weitergabe von Daten an die Konkurrenz zu verlieren, zu überwinden. Zusätzlich müssen die eingesetzten Informationstechnologien eine vollständige Offenheit ermöglichen und zwar über den aktuellen Scope der Diskussion, der sich auf PSD2 oder Banking APIs fokussiert, hinaus. Die Zukunft heißt „Full Open Banking“ und umfasst zehn Dimensionen:
In diesem konkreten Fall werden mehr oder weniger alle zehn Bereiche angesprochen, um die aus digitalen Identitäten resultierenden neuen Opportunitäten nutzen zu können. So kann sich die Bank vom Verkäufer eines Finanzproduktes zum zentralen Dienstleister weiterentwickeln: Ihre Services bilden für den Nutzer die vertrauenswürdige und sichere Verbindung bzw. Plattform in die digitale Welt. Im Gegenzug haben Banken die Chance, viel mehr über ihre Kunden zu erfahren, da sie dann nicht nur Zahlungstransaktionen sehen, sondern auch, wo die digitale Identität genutzt wurde.
Potenziale der digitalen Identitäten nutzen
Nicht nur auf privater Ebene, sondern auch im geschäftlichen Kontext eröffnen digitale Identitäten enorme Einsparpotenziale. So z.B. im Lieferantenmanagement bei der Aufnahme neuer Lieferanten oder im Kontext von IoT-Anwendungen. Die Frage ist nun, ob Banken die Chance, sich als Plattformanbieter für digitale Identitäten zu etablieren und eine Vorreiterrolle einzunehmen nutzen, oder die großen Tech-Konzerne an sich vorbeiziehen lassen.
Bildquelle: Shutterstock