Adnovum Blog

Digitale Identitäten: Der vollständige Guide zur digitalen Identifikation

Geschrieben von Cornelia Ming Krewinkel | 12.05.2023 08:26:21

Wir leben in einer von Informationen geprägten vernetzten Welt, in der wir nur begrenzt die Kontrolle über unsere privaten Daten haben. Gemäss Umfragen ist die Mehrheit der Menschen besorgt über den Datenschutz und die mangelnde Transparenz im digitalen Universum. Das gilt besonders für digitale Identitäten.  

Diesen Bedenken wollen wir uns annehmen. Deshalb beantworten wir die ganze Palette von Fragen: Was sind digitale Identitäten? Welche Beispiele gibt es? Mit welchen Risiken und Vorteilen sind sie verbunden? Wir sagen zudem, wie es mit der E-ID in der Schweiz aussieht und was wir von digitalen Identitäten künftig zu erwarten haben. 

Noch besser: Anhand von Fakten vermitteln uns fünf Experten einen tieferen Einblick in das Thema. Wir betrachten es aus der staatlichen, technologischen, sozialen und branchenspezifischen Perspektive von Nathalie Gratzer, Bundesamt für wirtschaftliche Landesversorgung BWL, Katrin-Cécile Ziegler, Digital Economist und technische Journalistin, Christian Heimann, Bundesamt für Polizei fedpol, Urs Fischer, Health Info Net, und Olivier Pallière, Principal IAM Engineer bei Adnovum

Was ist eine digitale Identität? 

Bei einer digitalen Identität handelt es sich um die Informationen und die Daten, die eine Person in der digitalen Welt identifizieren. Anders ausgedrückt: das elektronische Abbild einer Person, mit der sie beispielsweise im Internet Services nutzt, Käufe tätigt oder sich mit Mitmenschen auf Plattformen austauscht. 

Eine digitale Identität kann sowohl persönliche Daten als auch das Online-Verhalten umfassen. 

Expertendefinition von «digitale Identität»  

Eine digitale Identität lässt sich als die digitale Präsenz einer Person definieren. Genauer: eine Reihe digital erfasster Attribute wie Name, Geburtsdatum und Geschlecht kombiniert mit den Credentials, die mit einer eindeutigen Kennung («unique identifier») verknüpft sind. 

«Mit einer digitalen Identität lässt sich eine Person identifizieren, was Transaktionen im Internet vereinfacht.»

Nathalie Gratzer
Projektleiterin Bundesamt für wirtschaftliche Landesversorgung BWL

 

 

Woraus besteht eine digitale Identität?

Eine digitale Identität dient als Credential, wenn: 

  • die Person in einem System nur eine Identität hat 
  • die Person sich bewusst ist, dass ihre Daten erfasst werden 
  • sie verifiziert und authentifiziert ist, sodass sie den Standards des öffentlichen und des privaten Sektors sowie den gesetzlichen Vorgaben entspricht 
  • die Person darauf vertrauen kann, dass ihre Daten sicher und für sie zugänglich sind 


Im Gegensatz zu einer ID in Papierform lässt sich die elektronische ID (wie die E-ID) einer Person remote über digitale Kanäle prüfen. Die digitale Identität kann Aktivitäten nachverfolgen und Informationen sammeln wie persönliche Daten, Verhalten und Interaktionen. 

Aus der Sicht einer Person ist die digitale Identität vergleichbar mit ihrer physischen Identität und ihrer Persönlichkeit. Eine Person muss deshalb ihre digitale Identität selber bestimmen und kontrollieren können, was sie davon preisgibt. 

Aus technischer Sicht umfasst eine digitale Identität sämtliche Informationen über eine Person, ein Unternehmen oder auch ein Gerät, die für die Authentisierung im Internet verwendet werden. 

Welche Arten von digitalen Identitäten gibt es? 

Je nach gewünschter Aktivität benötigt ein Nutzer eine andere ID. Zweck, Datenelemente und Anforderungen können variieren. Doch haben alle IDs eines gemeinsam: einen numerischen oder alphanumerischen Code, der als Unique Identifier dient und die Sicherheit entscheidend erhöht. 

Vier Beispiele von digitalen Identitäten, die wir in unserem Alltag nutzen: 

  • Mitarbeiter-ID 

Mit der vom Arbeitgeber ausgestellten ID erhalten Mitarbeitende Zugang zum internen Netzwerk, zum Gebäude und anderen Unternehmensressourcen. Der Arbeitgeber wiederum nutzt diese ID, um die Mitarbeiterdaten zu verwalten, den Zugriff auf Applikationen zu gewähren, die Leistung im Auge zu behalten usw.   

  • Onlineshop-/Kunden-ID 

Kein sicherer Kauf im Internet ohne Kunden-ID. Neben der höheren Sicherheit für die Käufer bringt die Kunden-ID auch den Anbietern zahlreiche Vorteile: Sie können einfacher Daten verwalten und zum Beispiel die Transaktionen der Kunden nachverfolgen, deren Präferenzen oder demographischen Daten aufzeichnen. Die ID hilft ihnen ebenso dabei, den Kundendienst zu verbessern, Marketingkampagnen zu personalisieren oder gar Betrug zu verhindern, indem sie unübliche Muster erkennen. 

  • E-Banking-ID 

Auch hier ist Sicherheit oberstes Gebot. Die E-Banking-ID, mit der Nutzer auf Online-Bankdienstleistungen zugreifen, besteht normalerweise aus Benutzername/Passwort, Vertragsnummer sowie SMS- oder QR-Code. Sobald Kunden angemeldet sind, sehen sie ihre Kontoinformationen oder können Transaktionen durchführen, etwa Rechnungen bezahlen oder Börsengeschäfte tätigen.  

  • Behörden-ID 

Behörden gewähren Bürgern rund um die Uhr sicheren Zugriff auf ihre Online-Services. Auf diese Weise verbessern sie den öffentlichen Dienst und den Austausch mit ihren Kunden. Bürger haben beispielsweise die Möglichkeit, Dokumente online zu bestellen und sich so den aufwendigen Gang auf das Amt zu sparen. Steuerpflichtige finden zudem auf ihren Unterlagen eine persönliche ID, mit der sie die Steuererklärung elektronisch einreichen können. 

Wie funktioniert die digitale Identifikation heute? 

Wer einen digitalen Dienst nutzen will, muss sich mit seinen Credentials auf der Website des Anbieters authentisieren. Die Schritte zur Registrierung und für das Login sind in etwa so verschieden wie die jeweiligen Websites. Die Folge: Nutzer kämpfen mit unzähligen Logins und Konten, was ein echtes Ärgernis ist. 

Anbieter digitaler Dienste ermöglichen zugunsten der Benutzerfreundlichkeit oft die Authentisierung mit sozialen Profilen wie Google-, Facebook- und Apple-Login. Die Schweiz hat zudem eine e-ID initiative lanciert mit dem Ziel, den Bürgern das Leben dank einer landesweit gültigen staatlichen digitalen ID zu erleichtern.  

Schauen wir uns das Login via Social Account anhand der zwei beliebten Websites Google und Galaxus an: 

Nehmen wir an, eine Person will auf Galaxus shoppen, bis sie einen Mausarm hat. Nun kann sie entweder ein ganz neues Galaxus-Konto eröffnen oder sich via Google-Konto registrieren. Das ist möglich, weil Google die Rolle des Identity Provider (IdP) übernimmt und Galaxus jene des Service Provider, der Google vertraut.  

Der Vorteil liegt auf der Hand: Meldet sich die Person mit dem Google-Konto an, spart sie Zeit und muss nur ein Konto verwalten – eines, das im digitalen Universum vielseitig einsetzbar ist. 

Überraschung – es gibt auch einen Nachteil: Google weiss ganz genau, wie oft sich die Person bei Galaxus einloggt. Natürlich gibt es bereits Konzepte mit dem Ziel, diesen Makel auszumerzen. Eines davon ist im Kapitel «Einführung der E-ID in der Schweiz und anderen Ländern» beschrieben. 

Mitwirkende im Ökosystem digitaler Identitäten 

Damit digitale Identitäten zuverlässig funktionieren und um die Vorteile zu nutzen, die sie bieten, braucht es ein ausgewogenes Ökosystem. Grundpfeiler dieses Ökosystems sind Vertrauen, Sicherheit und Transparenz. Die wichtigsten Teilnehmer des Ökosystems:

Gesellschaft

«Gesellschaft» umfasst die Identitätsinhaber: Personen, die eine digitale Identität besitzen und sie durch das Eröffnen und Verwalten von Online-Konten und -Profilen steuern. 

Ob sich das Konzept der digitalen Identitäten auf breiter Front durchsetzt und diese Normalität werden, lässt sich möglicherweise erst in 10 bis 20 Jahren beantworten. Ein Schlüsselfaktor könnte neben der Sicherheit die Benutzerfreundlichkeit sein. 

«Bei der digitalen Identität geht es um Vertrauen. Wir sollten deshalb vom Staat ausgegebene Verifiable Credentials einsetzen.»

Olivier Pallière  
Principal IAM Engineer, Adnovum

 

 

Staat

Der Staat definiert die Standards und die Vorgaben für digitale Identitäten. Damit gewährleistet er, dass sie vollständig kompatibel, vertrauenswürdig, sicher und ethisch korrekt sind.  

Tech

Technologieunternehmen bieten Lösungen an für die Verwaltung digitaler Identitäten, zum Beispiel Systeme für die biometrische Authentisierung, Blockchain-basierte Identitätsplattformen oder Software für die Identitäts- und Zugriffsverwaltung. Sie sorgen dafür, dass das Herz des Ökosystems schlägt. 

Dienstleistungsanbieter

Unternehmen, die Online-Dienste anbieten, sind die Gegenparteien der Privatpersonen. Sie verwenden digitale Identitäten, um potenzielle Käufer zu authentisieren und ihnen den sicheren Zugang zum Angebot zu gewähren. Solche Anbieter umfassen beispielsweise E-Commerce- und Social-Media-Plattformen und Finanzdienstleister. 

Identitätsprüfdienste («identity verifiers») 

Identity Verifiers sind Organisationen, die die Authentizität und die Genauigkeit der Angaben einer Person prüfen, zum Beispiel Kreditauskunft-Stellen oder staatliche Behörden. 

Sind digitale Identitäten sicher? Risiken digitaler Identitäten

Werden in der digitalen Welt Prozesse eingeführt, ist es entscheidend, die ganze digitale Welt zu schützen. In der Schweiz beispielsweise sind moderne Technologien verfügbar, die die Schaffung sicherer Räume ermöglichen. 

Dennoch gibt es rund um die digitale Identität zahlreiche Fragen und Herausforderungen – die alle mit dem Kontrollverlust zusammenhängen: 

  • Werden meine Daten zentral oder dezentral gespeichert? 
    Werden digitale Identitäten zentral gespeichert, könnten sie ein attraktives Ziel für Angreifer darstellen. Muss ich mir also als Privatperson Sorgen machen, mit einer Lösegeldforderung konfrontiert zu werden? 
  • Wird mein Unique Identifier mein ganzes Leben lang derselbe bleiben? 
    Die Europäische Union hat sich jüngst gegen einen lebenslangen Unique Identifier ausgesprochen, da ein solcher mit einem Anonymitätsverlust behaftet wäre. 
  • Wird jedes Unternehmen meine digitale Identität nutzen, um mich zu authentisieren? 
    Es sind definitiv zwei Paar Stiefel, ob eine E-Commerce-Plattform, auf der jemand ein Shampoo kaufen will, nach den Credentials fragt oder ein Finanzdienstleister, der sensitive Daten verwaltet und höhere Anforderungen an die Sicherheit stellt. 
  • Wer ist für die Durchsetzung der gesetzlichen Vorgaben zuständig? 
    Liegt es in meiner Verantwortung, der Gegenpartei nur jene Informationen bekanntzugeben, die sie wirklich braucht? Oder in der Verantwortung des Anbieters? Oder jener des Staats? 

Cyberhacks

Die Sicherheit ist zweifellos eine der grössten Herausfoderungen digitaler Identitäten. Die Tausenden von Sicherheitsvorfällen, die jedes Jahr gemeldet werden, sprechen eine deutliche Sprache. Beim Angriff auf einen bekannten Passwort-Manager 2022 wurden zum Beispiel Daten von mehr als 25 Millionen Kunden gestohlen, einschliesslich verschlüsselter Passwort-Tresore.

Da die digitalen Identitäten nicht mehr verschwinden werden, lohnt es sich, einen Blick auf die damit verbundenen Risiken zu werfen: 

Das Risiko, eine digitale Identität zu nutzen 

Neben Kosteneinsparungen ist das Risiko bzw. die Senkung des Risikos einer der wichtigsten Treiber für die Einführung der digitalen Identität. 

«Es ist wichtig, zu unterscheiden zwischen dem echten Risiko, eine Identität zu nutzen, und anderen Cyberrisiken.»

Urs Fischer 
Health Info Net

 

 

Das Risiko von Sicherheitsverstössen ist so alt wie das World Wide Web selbst, das in den 1990er-Jahren live ging. Dennoch sind digitale Identitäten besonders sensitiv: Kommt es zu einem Sicherheitsverstoss, kann die Person direkt von einem Angriff betroffen sein – genau wie im richtigen Leben. 

Personen, die ihre digitale Identität nutzen, sollten sich der folgenden Risiken bewusst sein: 

  • Identitätsdiebstahl 
    Ein Angreifer kann Zugang zu persönlichen Daten erhalten oder gar die digitale Identität einer Person übernehmen. Eine mögliche Folge davon ist Finanzbetrug. 
  • Datenschutz 
    Bei der Verwendung ihrer digitalen Identität geben Nutzer persönliche Daten preis, was Bedenken bezüglich des Datenschutzes schürt. Einer Person ist vielleicht nicht immer bewusst, wer Zugang zu ihren Daten hat, wofür sie gebraucht und wie sie geschützt werden. 
  • Fehlerhafte Informationen 
    Die Daten, auf denen eine digitale Identität beruht, können fehlerhaft oder unvollständig sein. Das führt möglicherweise zu Problemen bei der Verifikation der Identität oder beim Zugang zu Dienstleistungen. 
  • Cyber-Mobbing
    Es kommt vor, dass digitale Identitätien missbraucht werden, um Menschen im Netz zu schikanieren. Dies kann insbesondere für junge Menschen eine Gefahr darstellen, die anfälliger sind für Missbrauch im Internet. 

Die neue staatlich ausgegebene E-ID wird einige dieser Risiken mildern oder eliminieren, da sie auf dem Konzept der dezentralen Self-Sovereign Identity basiert. 

Das Bewusstsein für digitale Identitäten schärfen 

Mit einer digitalen Identität authentisiert sich eine Person ganz leicht. Einem Dienstleistungsanbieter verschafft sie umfassende Informationen, auch über die Gedanken, Bedürfnisse und Aktivitäten eines Menschen. 

Das ist tatsächlich etwas unheimlich. 

Deshalb ist es nicht nur entscheidend, sichere Räume zu schaffen, sondern auch den Menschen zu vermitteln, wie sensitiv die Daten einer digitalen Identität sind. Jede Person sollte verstehen, wann welche Aktion durchgeführt wird und welche Spuren dies in einem System hinterlässt. 

Was sich ebenfalls jeder bewusst sein sollte: Es ist äusserst knifflig, unsere Anforderungen – die Daten selbst zu kontrollieren – mit unseren Erwartungen – die Identität durch eine Drittpartei zu validieren – zu vereinbaren.  

In der Schweiz verlagert sich die Diskussion über digitale Identitäten derzeit von den technologischen zu den politischen Aspekten, da der Bund an einem E-ID-Gesetz arbeitet.  Mit etwas Glück erreicht die politische Diskussion einen breiteren Personenkreis, sodass Bürgerinnen und Bürger sich die notwendige digitale Kompetenz aneignen. 

Warum sind digitale Identitäten wichtig? Vorteile und Chancen 

Dank einer digitalen Identität kann eine Person im Internet sicher kommunizieren und Transaktionen tätigen. Das hat für alle Teilnehmer im Ökosystem Vorteile: 

Komfort 

Mit einer digitalen Identität sind Dienstleistungen und Informationen im Internet mit wenigen Klicks zugänglich. Die Authentisierung erfolgt in Nullkommanichts. Es reicht, persönliche Daten wie die Kreditkartennummer beim Online-Shopping ein einziges Mal einzugeben. 

Auf B2B übertragen könnten digitale Identitäten Prozesse effizienter machen, d.h. Probleme lösen anstatt zu schaffen. 

Eine vertrauenswürdige digitale Identität 

  • eignet sich für das Onboarding anstelle von Video-Identifikation 
  • kann vertrauliche Daten empfangen 
  • kann Daten bereitstellen und somit helfen, die im System gespeicherten Daten zu verringern 

Wirtschaftlicher Nutzen 

Den grössten Vorteil bringen digitale Identitäten erfahrungsgemäss der Wirtschaft. Die skandinavischen Länder – sogenannte «digital first»-Gesellschaften – haben ihr BIP um 3–13% gesteigert. Das Potenzial für die Schweizer Wirtschaft gilt ebenfalls als enorm. 

Semantik

Mit einer digitalen Identität, die auf einem «privacy by design»-Konzept beruht, ist es möglich, die Semantik beim Datenaustausch zwischen verschiedenen Akteuren zu gewährleisten. Muss beispielsweise eine Person für eine Stellenbewerbung ihr Diplom vorlegen, kann das Unternehmen die Person nicht wegen einem schlechten Abschluss rausfiltern. 

Datenschutz 

Mit einer digitalen Identität hat eine Person die Möglichkeit, wieder selbst zu bestimmen, welche Informationen sie preisgeben will, zum Beispiel ihre volle Identität, bestimmte Details oder Attribute. Da sie die Kontrolle hat, welche persönlichen Daten verwendet und geteilt werden, und den Zugriff auf die Daten jederzeit widerrufen kann, profitiert die Person zudem von einem besseren Datenschutz. 

Effiziente Prozesse 

Die digitale Identität schafft eine Vertrauensbasis für echte digitale Prozesse, indem sie es ermöglicht, im Internet sicher, bequem und effizient Transaktionen abzuwickeln und zu kommunizieren –  was letztlich zu effizienteren Prozessen führt. 

Ein konkretes Beispiel: Bei der Aufnahme in einem Krankenhaus muss die betreffende Person zahlreiche Fragen beantworten, und zwar mehrfach. Wie ist Ihr Name? Bei welcher Krankenkasse sind Sie versichert? Was ist genau geschehen? Würden all diese Informationen digital und sogar zentral vorliegen, könnten alle Beteiligten viel Zeit sparen. 

Einführung der E-ID in der Schweiz und anderen Ländern 

Die Einführung einer staatlichen E-ID wird das Leben von Privatpersonen und Dienstleistungsanbietern zweifellos vereinfachen und die Wirtschaft ankurbeln. Die gesetzliche Verankerung ist indes zeitraubend. Ob die Bürgerinnen und Bürger die E-ID akzeptieren, bleibt abzuwarten. 

Estland, Ghana, China und die Philippinen verfügen bereits über eine staatlich ausgegebene E-ID. Die Europäische Kommission hat 2021 den eIDAS-2.0-Vorschlag präsentiert, wonach bis 2030 europaweit mindestens 80% der Menschen via digitale Identität auf wichtige öffentliche Dienste zugreifen sollen. 

In den USA hat es bereits mehrere Diskussionen und Vorschläge zur Schaffung eines landesweiten Systems für digitale Identitäten gegeben. Damit sollen Bürgerinnen und Bürger eine sichere standardisierte Möglichkeit erhalten, sich im Internet zu authentisieren und auf Dienste zuzugreifen. Beispiele solcher Vorschläge sind die National Strategy for Trusted Identities in Cyberspace (NSTIC) und die Digital Identity Act von 2019. 

Die E-ID als anerkannte Form der Identifikation 

Damit die E-ID ein Erfolg wird, muss der Aussteller zwei Dinge sicherstellen: 

  • dass die Menschen die notwendige digitale Kompetenz besitzen 
    Eine digitale Identität erhöht grundsätzlich die Sicherheit der Nutzer. Diesen sollte jedoch bewusst sein, dass sie den Vorteil preisgeben, wenn sie Passwörter wie «hallo» oder «1234» nutzen oder auf sozialen Plattformen vertrauliche Dokumente hochladen.
  • dass die Menschen wählen können, wann sie die E-ID nutzen 
    Genauso wie eine Person die Wahl hat, ob sie selbst eine Flasche Wein kauft oder einen Freund bittet, den Wein zu besorgen, sollte sie wählen können, wann sie die E-ID benutzt. 

Einführung der E-ID in der Schweiz 

Nach der Ablehnung des E-ID-Gesetzes im März 2021 arbeitete der Bund mit Hochdruck an einem neuen Vorschlag. Die ersten Ergebnisse wurden im September 2022 in einem Diskussionspapier veröffentlicht.  

Das revidierte Datenschutzgesetz (revDSG), das die Daten von Schweizer Bürgerinnen und Bürgern besser schützen will und seit September 2023 in ist, könnte ein Türöffner für die Einführung der staatlichen E-ID sein. 

Ein Schlüsselfaktor sind Verifiable Credentials (prüfbare Nachweise). Bereits heute agiert ein Verifier (Prüfstelle) als Drittpartei, die Daten erhält und sammelt. Er verfügt zudem über die gesetzliche Grundlage, um die Person zu schützen, der die Daten gehören. 

Die E-ID sollte ein eindeutiges Credential sein, mit der eine Person ihre Identität nachweisen kann. Mittelfristig sollten die Menschen erkennen, welche Vorteile Verifiable Credentials bieten und wie sie einsetzbar sind. Genauer: Mit einem Verifiable Credential können sie nicht nur ihre Identität nachweisen wie mit einem eindeutigen Credential, sondern auch Dienstleistungen in Anspruch nehmen. Voraussetzung dafür sind ein Ökosystem digitaler Credentials sowie eine passende Infrastruktur. Die staatlich ausgegebene E-ID ist der Ausgangspunkt für diesen Wandel. 

Einführung der E-ID in der EU 

Die Europäische Union will noch einen Schritt weiter gehen als die Schweiz. Sie arbeitet an einer Bestimmung, die alle Verifiers verpflichten soll, genau zu wissen, wann sie wo und warum welche Attribute verlangen. 

«In Deutschland nutzen nur 10% der Bevölkerung die staatlich ausgegebene E-ID. Dies aufgrund dürftiger APIs und fehlender Applikationen.»

Katrin-Cécile Ziegler 
Digital Economist und technische Journalistin  

 

 

In Deutschland gibt es seit zehn Jahren eine E-ID. Allerdings wird sie nur von 10% der Bevölkerung genutzt – was an den dürftigen APIs und an fehlenden Applikationen liegt. Einer gehbehinderten Person ist es zum Beispiel nicht möglich, online eine Parkerlaubnis zu beantragen. Sie muss sich zum Amt begeben, was eine enorme oder gar unmögliche Anstrengung ist. 

Menschen in Deutschland nutzen primär Identifikationsmöglichkeiten des privaten Sektors wie Google-, Apple- oder Facebook-Konten, die sich mit zwei Klicks erstellen lassen.  

Die Zukunft der digitalen Identität 

Mit einer staatlich ausgegebenen dezentralen Identität ist es möglich, das Fundament für eine echte Digitalisierung zu schaffen. 

Die Schweiz hofft, bis 2025/26 ein Ökosystem mit zahlreichen Teilnehmern aufzubauen. Die Behördenvertreter sind sich bewusst, dass jedes technische Konzept mit Sicherheitsproblemen behaftet ist und sowohl rechtliche als auch technische Fragen aufwirft. Dennoch will die Schweiz das Projekt pragmatisch vorantreiben und hofft, dass andere Länder folgen werden. 

«Wir können Pionierarbeit leisten bei der digitalen Identität, sodass uns andere Länder vielleicht folgen.»

Christian Heimann 
Bundesamt für Polizei 

 

 

Ein Schlüsselfaktor für ein erfolgreiches Ökosystem sind Trust Spaces und Datenräume. Solche Räume ermöglichen eine sichere Zusammenarbeit sowohl zwischen Unternehmen (B2B) als auch Unternehmen und Konsumenten (B2C). Menschen werden in einem solchen Umfeld eher bereit sein, mit ihren Gegenparteien sensitive Informationen wie finanzielle oder medizinische Daten auszutauschen. Als Folge davon gestalten sich die Abläufe für alle Beteiligten effizienter.  

Die Digitalisierung geht weit darüber hinaus, ein Dokument zu scannen und in ein PDF zu konvertieren oder physische Prozesse 1:1 in die virtuelle Welt zu übertragen. Es geht darum, von Grund auf neue Prozesse einzuführen.  

Self-Sovereign Identity (SSI)

SSI hat für die Menschen bedeutende Vorteile:

  • Sie haben die volle Kontrolle über ihre persönlichen Daten, die in ihrem mobilen Portemonnaie («mobile wallet») gespeichert sind.  
  • Wenn sie die Wallet nutzen, geben sie weder ihre Credentials noch ihre Login-Aktivitäten preis. 
  • Sie sind in der Lage, Informationen gezielt preiszugeben (Konzept der selektiven Offenlegung). 

Wie muss man sich das in der realen Welt vorstellen? Will ein junger Mensch Alkohol kaufen, muss er einen Ausweis zeigen – und verrät damit seinen Namen, sein Alter und eventuell seine Adresse. 

In der digitalen Welt profitiert die Person mit SSI von Zero Knowledge Proofs (ZKP). Denn damit kann sie eine «Ja oder Nein»-Frage beantworten, ohne Daten offenzulegen. Mit anderen Worten: Die Person, die Alkohol kauft, beweist einzig, dass sie über 18 Jahre alt ist, ohne ihr Geburtsdatum zu nennen.  

In Kombination mit der Sicherheit des Smartphones verbessert SSI den Datenschutz des Nutzers enorm. SSI löst ein elementares Datenschutzproblem zentraler und föderierter Identity-Modelle. 

Aufbau eines Ökosystems 

Um die Nutzung digitaler Identitäten auf breiter Front zu fördern, braucht es ein funktionierendes Ökosystem: eine gemeinsame Infrastruktur mit gemeinsam festgelegten Regeln und vielfältigen Möglichkeiten für die unterschiedlichen Teilnehmer.  

Im Idealfall verfügt das Ökosystem über offene und standardisierte Schnittstellen, eine untereinander abgestimmte Governance, weder bürokratische noch andere hemmende Regeln und erlaubt die praktische, automatisierte Aktualisierung der Daten digitaler Identitäten. 

Damit die Menschen dem Ökosystem beitreten, muss es

  • einfache, transparente und leicht verständliche Interaktionen ermöglichen
  • das Vertrauen sicherstellen in das System, die Teilnehmer und die Qualität der Daten 
  • kostenlos und ohne zusätzliche Geräte nutzbar sein
  • für niedrige Eintrittshürden sorgen

In sensitiven Bereichen wie dem Gesundheitswesen sind persönliche und berufliche Aspekte eng verwoben. Denken wir an einen Arzt, der seine Fähigkeit, etwas zu tun, beweisen muss. Das veranschaulicht die Nutzung digitaler Identitäten im beruflichen Umfeld.

Im B2B-Umfeld stehen die Chancen ausgezeichnet, Ökosysteme zu etablieren, die die Nutzung oder die vermehrte Nutzung digitaler Identitäten fördern. Dass jemand seine Identität nachweisen muss, ist kein alltäglicher Fall. Dass ein Prozess auf geprüften Identitäten beruht, hingegen schon. 

Der Bund bildet das Potenzial von Ökosystemen anhand von drei Ambitions-Niveaus ab:

Die E-ID als Chance, den öffentlichen Dienst zu verbessern

Eine staatlich ausgegebene E-ID hat das Potenzial, diverse Aspekte des öffentlichen Diensts zu verbessern:

Erreichbarkeit: Mit einer E-ID nutzen Bürgerinnen und Bürger den öffentlichen Dienst online und müssen sich nicht mehr in jedem Fall auf das Amt begeben. Damit ist der öffentliche Dienst auch für Personen mit eingeschränkter Mobilität oder an abgelegenen Orten besser zugänglich.

Effizienz: Mit einer E-ID authentisieren sich Bürgerinnen und Bürgern rasch und bequem. So werden immer weniger zeitliche und andere Ressourcen für die manuelle Prüfung benötigt.

Sicherheit: Eine E-ID bietet ein höheres Mass an Sicherheit als herkömmliche Identifikationsmethoden wie physische Papiere oder Passwörter. Das hilft, Betrug vorzubeugen und sensitive persönliche Daten zu schützen.

Kosteneffizienz: Mit der E-ID sinken die Verwaltungskosten des öffentlichen Diensts. Dank digitaler Prozesse braucht es immer weniger physische Dokumente und manuelle Schritte für die Verifikation.

Digitale Portemonnaies («digital wallets»)

Digitale Wallets sind entscheidend für die Akzeptanz der E-ID. Sie geben einer Person die volle Kontrolle über ihre Daten und geben weder deren Credentials noch Loginaktivitäten preis.

Gemäss Schweizer Gesetz sollte eine Person die Wahl haben, wo sie ihre E-ID nach der Verifizierung in einem Onboarding-Prozess speichern will: in der staatlichen, der privaten oder der Wallet eines Drittanbieters. 

Der aktuelle Gesetzesvorschlag definiert nicht, ob die E-ID Wallet nur als Mobile- oder auch als Web-Version verfügbar sein wird. Das Hauptziel besteht darin zu gewährleisten, dass Bürgerinnen und Bürger ihre Verifiable Credentials zuverlässig und in einer vom Staat anerkannten Weise speichern, schützen und präsentieren können. Derzeit ist geplant, die Digital Wallet zunächst als Mobile-Version bereitzustellen.

Verifikation via Social-Media-Konten und Nicknames 

Die Authentisierung mit einem Social-Media-Konto wie Google, Facebook oder Apple ist heute äusserst bequem und daher Standard. Zum Schutz ihrer Privatsphäre und ihrer persönlichen Daten nutzen heute zahlreiche Menschen Profile mit Nickname, wenn sie mit anderen kommunizieren.

Könnte die staatlich ausgegebene E-ID als sogenannter Trust Anchor für das Pseudonym einer Person im Internet dienen? Diese Möglichkeit könnte helfen, das Ökosystem auszubauen und die Verbreitung von Falschinformationen im Web einzudämmen, die ein echtes Problem darstellen in den sozialen Medien. 

Nein, denn der Hauptzweck der E-ID ist es, eine Person zu identifizieren und nicht, einen «Know your customer»-Prozess mit vereinfachter Identifikation wie Face-to-Face oder Video-Identifikation bereitzustellen. 

Ein Dienstleistungsanbieter möchte wissen, ob es sich beim Nutzer um eine echte Person handelt und ob die Person sich schon einmal angemeldet hat.

Quo vadis, digitale Identität? 

Zahlreiche Menschen stehen der digitalen Identität nach wie vor skeptisch gegenüber. Betrachtet man die Risiken wie Identitätsdiebstahl oder mangelnden Datenschutz, ist das verständlich. Es ist indes entscheidend zu verstehen, dass digitale Identität nicht gleich digitale Identität ist:

  • Bei der digitalen Identität, wie wir sie heute kennen, etwa die Google, Microsoft oder Facebook ID, handelt es sich um eine allgemeine elektronische Identität, die wir im Internet nutzen.
  • Eine dezentrale Identität, auch Self-Sovereign Identity (SSI) genannt, verwendet digitale Identifikatoren (digital identifiers) und Verifiable Credentials, die unabhängig sind, dem Nutzer gehören und einen sicheren Datenaustausch ermöglichen.
  • Eine staatlich ausgegebene Identität wie die Schweizer E-ID basiert auf SSI und ist gesetzlich verankert, was ein Maximum an Vertrauen und Sicherheit schafft.

Die kommende Schweizer E-ID ist ein Schritt in die richtige Richtung zur richtigen Zeit. Sie verbindet die Vorteile einer dezentralen Identität mit den Nutzervorteilen wie Datenschutz, Sicherheit und Vertrauen.  

FAQ

  • Was sind Beispiele digitaler Identitäten? 

Die gegenwärtig gebräuchlichsten Arten digitaler IDs sind die Arbeitgeber-ID, die Zugang zu Unternehmensräumlichkeiten, -ressourcen und -netzwerken verschafft; IDs für Online-Shops, die Transaktionen im elektronischen Einzelhandel vereinfachen und sicherer machen; IDs im E-Banking, die mit erweiterten Sicherheitsmassnahmen versehen sind; und schliesslich staatliche IDs, die Bürgerinnen und Bürger sicheren Zugriff auf Online-Services gewähren. 

  • Was ist ein System zur digitalen Identifikation? 

Ein System zur digitalen Identifikation dient dem Zweck, Benutzende, Geräte und Organisationen bei ihren Aktivitäten online zu identifizieren. Dies geschieht durch Soft- und Hardware, die persönliche Daten wie Name, Geburtstag und biometrische Daten sammelt, speichert und verifiziert. 

  • Welche Methoden der digitalen Identifikation gibt es? 

Die Kombination von Benutzername und Passwort bleibt eine der meistverbreiteten Methoden der digitalen Identifikation, zusammen mit technischen Massnahmen, die ein Gerät identifizieren, wie dessen IP-Adresse und Cookies. Beispiele für Methoden, die etwas mehr Sicherheit bieten, sind die Zwei-Faktor-Authentifizierung, biometrische Authentifizierung, Single Sign-on (SSO), OAuth sowie selbstbestimmte Identitäten mit Digital Wallets. 

  • Was ist die Verifizierung digitaler Identitäten? 

Bei der Verifizierung einer digitalen Identität wird mit verschiedenen Technologien sichergestellt, dass eine Person oder Organisation auch rechtmässige Eigentümerin der präsentierten digitalen Identität ist. Dieser Prozess ist von entscheidender Bedeutung, um sichere Online-Aktivitäten zu gewährleisten und unerwünschte Vorkommnisse wie Betrug und Identitätsdiebstahl zu vermeiden. 

  • Wofür werden digitale Identitäten eingesetzt? 

Die Anwendungen digitaler Identitäten reichen von der Authentifizierung und Bevollmächtigung von Benutzenden für den Zugriff auf Informationen und Ressourcen bis hin zur Optimierung des elektronischen Handels und Bereitstellung einer personalisierten Online-Erfahrung. Darüber hinaus spielen digitale Identitäten bei Massnahmen in der Cybersicherheit und bei der Einhaltung gesetzlicher Vorgaben im Datenschutz eine wichtige Rolle.  

  • Aus welchen Informationen besteht meine digitale Identität? 

Einerseits besteht eine digitale Identität aus personenbezogenen Daten wie Name, Geburtstag, Wohnort, E-Mail-Adresse usw. Andererseits beinhaltet sie verhaltensbezogenen Daten, d.h. die Informationen über die Online-Aktivitäten, etwa den Browser-Verlauf, Suchanfragen, Interaktionen in den sozialen Medien und die Einkaufshistorie.