E-ID: So funktioniert der Ausweis auf dem Handy
In Deutschland geht die Einführung der neuen elektronischen Identität gerade in die heiße Phase: Am 1. September ist das Gesetz zur Einführung eines elektronischen Identitätsnachweises mit einem mobilen Endgerät (Smart-eID-Gesetz) in Kraft getreten. Damit ist die gesetzliche Grundlage geschaffen, sodass der Online-Ausweis – anders als bisher – direkt im Smartphone gespeichert werden kann. Die dafür notwendigen Daten werden einmalig vom Chip des Ausweisdokuments auf das Mobilfunkgerät übertragen und sind fortan in Sekundenschnelle verfügbar. Während es fürs Ausweisen im Internet bisher nötig war, die Ausweis-Chipkarte jedes Mal aufs Neue mit dem Smartphone oder einem Kartenlesegerät auszulesen, entfällt diese Hürde zukünftig; der gesamte Prozess dauert damit nur noch etwa halb so lang.
Die Datensicherheit wird dabei großgeschrieben – dafür sorgt der Anforderungskatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Im Fokus steht die Hardware der Smartphones, denn insbesondere ältere Modelle erfüllen nicht die notwendigen Voraussetzungen zum Schutz der Identitätsdaten. Als Projektpartner des BSI begleitet Samsung die Einführung der Smart-eID; Nutzer des Modells Galaxy S haben schon ab Dezember die Möglichkeit, den neuen Login zu nutzen. Bereits in der ersten Jahreshälfte 2022 soll die Mehrzahl der im Handel verfügbaren Smartphones die Funktion ebenfalls unterstützen.
Der Stand in der Schweiz
Ursprünglich sollten in der Schweiz Privatunternehmen im Auftrag des Staats die Herausgabe der E-ID übernehmen. Dieses Konzept ist aber nach dem negativen Votum in der am 7. März 2021 abgehaltenen Volksabstimmung vom Tisch. Die Gegner der Lösung hatten vor allem kritisiert, dass der Staat damit ohne Not eine hoheitliche Aufgabe in private Hände abgeben wolle. Künftig soll die Vergabe der E-ID in der Zuständigkeit des Staates verbleiben.
Die Diskussion um eine alternative Lösung soll bis Ende 2021 abgeschlossen sein. Der Bundesrat hat am 26. Mai 2021 ein Fachgremium aus Vertretern des Justiz- und Polizeidepartements, des Finanzdepartements und der Bundeskanzlei damit beauftragt, ein Grobkonzept für den zukünftigen elektronischen Identitätsnachweis auszuarbeiten. Als Grundlage für eine öffentliche Konsultation am 14. Oktober hat das Bundesamt für Justiz das Dokument „Zielbild E-ID“ vorgelegt. Dieses zeigt auf, welche technischen und internationalen Diskussionen zurzeit im Gang sind und welcher Systemumfang denkbar ist.
Staatliche E-ID oder staatlicher Aufbewahrungsort?
Das Dokument „E-ID-Zielbild“ unterscheidet zwischen verschiedenen möglichen Ambitionsniveaus eines E-ID-„Ökosystems“. Sie sind nicht mit jeder Technologie zu erreichen; deshalb sollte schon zu Beginn geklärt werden, welches Ambitionsniveau angestrebt wird.
- Das Ambitionsniveau 1 ist ein rein digital nutzbarer Identitätsausweis mit Login-Funktionalität, welcher vom Bund ausgestellt wird. Die Erfahrungen aus anderen Ländern zeigen jedoch, dass sich diese limitierte Funktionalität in der Praxis nur schwer etablieren lässt.
- Im Ambitionsniveau 2 bildet die E-ID darüber hinaus die Basis für viele weitere staatlich regulierte Ausweise, etwa den Führerausweis.
- Das Ambitionsniveau 3 umfasst eine Vielzahl digitaler Nachweise, die sich mit der E-ID verknüpfen lassen, aber auch unabhängig von ihr sein könnten. Aufbewahrt werden diese Nachweise dezentral in einer „elektronischen Wallet“ auf dem Smartphone des Nutzers. Als Instanz zur Beglaubigung der Nachweise dient eine staatliche Stelle, sodass die Vertrauenswürdigkeit der geteilten Informationen stets gesichert ist.
Zur Umsetzung dieser Ambitionsniveaus stehen derzeit im Wesentlichen drei Modelle zur Diskussion, die sowohl bei ihren Grundvoraussetzungen (etwa der zentralen oder dezentralen Datenspeicherung) als auch in der technischen Umsetzung jeweils anderen Ansätzen folgen:
1. Variante: Public-Key-Infrastruktur (PKI)
Im Rahmen der PKI-Lösung stellt der Staat ein signiertes Zertifikat als E-ID aus, welches anschließend von den Benutzerinnen und Benutzern in einer Zertifikats-App verwaltet wird. Das Verfahren basiert auf asymmetrischer Verschlüsselung und bietet einen sicheren und vertraulichen Datenaustausch mithilfe eines kryptographischen Schlüsselpaars. Der User hat bei diesem Ansatz die volle Kontrolle darüber, wo sich seine E-ID-Daten befinden und wem er sie zur Verfügung stellt. Darüber hinaus lässt sich das Verfahren mit langjährig erprobten und stark verbreiteten Technologien umsetzen, ist also sowohl sicher als auch mit geringen technischen Hürden für die Anwender verbunden. Im Vergleich zum SSI-Ansatz (siehe Punkt 3) ist PKI aber weniger datensparsam, da zur Identitätsbestätigung jedes Mal die gesamte E-ID an den Prüfer übergeben werden muss.
2. Variante: Der zentrale IdP-Ansatz
Eine zweite Variante besteht darin, dass der Staat einen Identitätsprovider (IdP) zur Verfügung stellt. Die elektronischen Identitäten werden hierbei in einer zentralen Datenbank gespeichert. Anwender können auf diese Identität mit einem gesicherten Login zugreifen und sich so ausweisen. Dieser Ansatz war in der Schweiz zunächst favorisiert worden, wurde aber von der Bevölkerung abgelehnt, da sie die Mitwirkung staatlich anerkannter, aber privatwirtschaftlicher Identitätsprovider mehrheitlich kritisch sah.
3. Variante: Die selbstbestimmte digitale Identität (SSI)
Bei der dritten möglichen Variante handelt es sich um die sogenannte Self-Sovereign Identity (SSI), also eine selbstbestimmte digitale Identität. Wie der Name bereits andeutet, verwalten die Nutzer bei diesem Modell ihre digitalen Identitäten eigenverantwortlich. Persönliche Daten wie Name, Vorname oder Geburtsdatum werden in einer elektronischen Brieftasche, der sogenannten Wallet, auf dem Mobiltelefon hinterlegt. Beglaubigt sind diese „Verified Credentials“ von einer vertrauenswürdigen Institution – im SSI-Modell wird dafür eine staatliche Stelle zwischengeschaltet. Damit diese Bestätigung reibungslos funktioniert, muss der Staat eine entsprechende digitale Infrastruktur aufbauen – dies könnte der Bund beispielsweise in Zusammenarbeit mit den einzelnen Kantonen umsetzen.
SSI bietet für den Nutzer den Vorteil, dass er jedes Mal aufs Neue entscheiden kann, welche seiner Verified Credentials er zur Verfügung stellt. Übersendet werden dann nur diejenigen Daten, die zum Abschluss der jeweiligen geschäftlichen oder behördlichen Transaktion notwendig sind – so wird auch der Forderung von Datenschützern nach Datensparsamkeit Genüge getan.
Welches Verfahren in der Schweiz zum Zuge kommt, muss im weiteren Verlauf des Gesetzgebungsverfahrens zwar noch geklärt werden – doch dass eine E-ID-Lösung kommen wird, steht für Stephan Schweizer außer Frage. „Wer beispielsweise heute online ein Bankkonto eröffnet, muss seine Identität mit einem ID-Scan oder einem Videochat beweisen. Aus Benutzersicht müssen diese Prozesse mehrfach, beispielsweise für jede Bankbeziehung, durchlaufen werden. Außerdem sind solche Prozesse auch aus Sicht des Bankinstituts relativ teuer“, so Schweizer. „Deshalb wäre eine staatliche E-ID basierend auf SSI für Banken attraktiv. Sie liefert eine gesetzeskonforme Basisidentität und bietet dadurch ein sehr großes Sparpotenzial. Zudem ist die elektronische Identität auch für den Bürger schneller und einfacher zu handhaben als etwa eine Video-Identifikation. Grundsätzlich lassen sich diese Überlegungen auf viele Wirtschaftsbereiche sowie auf die Verwaltung übertragen.“
Nevis Security AG
Birmensdorferstrasse 94
CH8003 Zurich
Telefon: +49 (89) 8038684
http://www.nevis.net
LEWIS Communications GmbH
Telefon: +49 (211) 882476-07
E-Mail: nevis-security@teamlewis.com