Digitale Identitätsprüfung, ursprünglich in Form von Videoidentifizierung für die digitale Bankkontoeröffnung konzipiert, wird heute auch über das Banking hinaus in vielen Lebensbereichen eingesetzt. So ermöglicht sie auch im Bereich Mobility, Telekommunikation und Reisen vollständig digitale Onboarding-Prozesse und Anträge. Ob das eine Kontoeröffnung bei der Traditionsbank, der Check-in im Hotelzimmer oder das Mieten eines Autos ist, digitale Identitätsprüfung in Kombination mit elektronischen Signaturen ermöglicht nahezu jeden Antragsprozess digital und rechtskonform abzubilden. Vor allem junge Kunden legen großen Wert auf digitale Onboarding-Prozesse, die hohe Nutzerfreundlichkeit und Sicherheit vereinen.
Das Internet stoppt aber nicht an Ländergrenzen – das gleiche gilt auch für die digitale Identität. Zwar gibt es innerhalb der EU einheitliche Vorschriften für Identitätsprüfungen für gewisse Industrien, wie dem Finanz- und Telekommunikationssektor, jedoch variieren die Anforderungen für die Umsetzung von Land zu Land. Diese Diskrepanz führt in der Praxis dazu, dass regulierte Dienstleistungen nur schwer in verschiedenen Ländern ausgerollt werden können. Dies resultiert letztendlich in der Fragmentierung des digitalen Binnenmarktes. Zwar arbeitet die EU an einer Harmonisierung der Identitätsprüfung in Europa, allerdings ist der Weg dorthin noch weit. In der Zwischenzeit unterscheiden sich weiterhin zahlreiche Prozesse innerhalb der EU – und das zum Teil gravierend.
Viele Lösungen, ein Ziel
In der EU gibt es eine Vielzahl von unterschiedlichen nationalen und internationalen Verfahren zur Identitätsprüfung. Dabei haben alle ein gemeinsames Ziel: Am Ende soll die Identität einer Person erfolgreich verifiziert und bestätigt werden. Da stellt sich dem Endnutzer die Frage, warum es so viele unterschiedliche Verfahren gibt. Dies lässt sich primär auf die nationalen Vorschriften der EU-Länder zurückführen. Während in Deutschland beispielsweise weiterhin die Identitätsprüfung vor Ort, sowie videobasierte Verfahren dominieren, setzen andere Länder wie Frankreich und Italien bereits verstärkt auf automatisierte Verfahren ohne Interaktion mit einer Person. Diese nationalen und teilweise industriespezifischen Unterschiede erschwert es Unternehmen, ihre Dienstleistungen europaweit auszurollen.
EU will den Weg für einen digitalen Binnenmarkt ebnen
Im Frühjahr 2021 gab die Europäische Kommission ihre Zielvorstellungen für den digitalen Wandel bis 2030 bekannt. Die „Digitale Dekade“ befasst sich dabei mit vier Kernthemen: Kompetenzen, sichere und nachhaltige Infrastruktur, digitaler Wandel in Unternehmen sowie die Digitalisierung öffentlicher Dienste. Gesteckt sind darin konkrete Ziele, wie eine digitale Grundkompetenz für 80 Prozent der Bevölkerung, flächendeckende 5G-Verfügbarkeit sowie die Nutzung von Cloud und KI in Dreiviertel der Unternehmen. Hinzu kommt, dass 80 Prozent der Bürger eine eID nutzen sollen sowie alle öffentlichen Dienste online verfügbar sind. Umgesetzt werden sollen die Ambitionen beispielsweise durch einen gemeinsamen Rechtsrahmen zur Überprüfung von Fortschritten und Schwachstellen.
Geschichte der Identitätsüberprüfung
1414 wurde der erste offizielle Reisepass in Großbritannien erfunden. Mehr als 400 Jahre später wurde der Fingerabdruck erstmals als Identitätsattribut festgelegt und weitere 90 Jahre später war Deutschland eins der ersten Länder, welches die erste „digitale Identität“ in Form des heutigen Personalausweises mit der Online-Ausweis-Funktion ausstellte. Seit den Anfängen der 2010er Jahre haben sich eine Vielzahl digitaler Lösungen entwickelt, wie etwa das Video-Identifizierungsverfahren. Etwa fünf Jahre später wurden erste KI-basierte, automatisierte Ident-Methoden eingesetzt. Die EU plant in den kommenden Jahren die sogenannte ID-Wallet voranzutreiben. Im Juni 2021 hat die EU-Kommission einen entsprechenden Entwurf zu eIDAS 2.0 vorgelegt.
Aktuelle Gesetzesgrundlage
Aktuell befindet sich die Realisierung der Ziele noch im Anfangsstadium. Bei kritischen Anwendungsfällen, wie der Kontoeröffnung oder dem Kauf einer Prepaid SIM-Karte, kommen unterschiedliche Gesetze zur Anwendung. Die EU gibt dabei beispielsweise den Rahmen für das KYC-Verfahren („Know Your Customer“) vor: Dabei geht es um den Prozess zur Überprüfung der Identität von (neuen) Kunden. So gut wie alle Unternehmen, die Zahlungen und Finanztransaktionen abwickeln, müssen diese KYC-Vorschriften einhalten – vor allem aber Banken und Finanzdienstleister. Die gesetzliche Grundlage liefern hier das deutsche Geldwäschegesetz sowie die EU-Geldwäsche-Richtlinien (Anti Money Laundering Directive, AMLD). Die aktuelle Version aus dem Jahr 2020 (5. Europäische Geldwäscherichtlinie, AMLD5) wurde an die Entwicklungen im europäischen digitalen Markt angepasst, ist in der Praxis inzwischen allerdings schon wieder veraltet. Wie andere Regulierungen kämpft sie mit der schnellen Weiterentwicklung der Digitalwirtschaft. Im Kontext der AMLD5 sind das beispielsweise Kryptowährungen und NFTs (Non-fungible Tokens), die beide nicht ausreichend abgedeckt sind.
Diese Regularien stellen also auch weiterhin eine große Herausforderung bei der Umsetzung dar. So müssen etwa alle gesetzlichen Vorschriften eingehalten werden, gleichzeitig ist auch auf eine Balance zwischen Sicherheit, Vertrauen und Nutzerfreundlichkeit zu achten. Um das zu gewährleisten, benötigt die EU grenzübergreifende Standards, die gewisse Institutionen und Unternehmen nicht nur zur Identitätsprüfung verpflichten, sondern vorschreiben, welche Art und welches Sicherheitsniveau digitaler Identitätsprüfung eingesetzt werden muss.
Fragmentierung auf Länderebene
Aktuell sind die digitalen Verfahren zur Identitätsprüfung EU-weit fragmentiert und die gesetzlichen Vorgaben werden unterschiedlich umgesetzt. In Deutschland benötigt es beispielsweise für einen GwG-konformen KYC die digitale Verifizierung per Videochat. In Frankreich hingegen, können hierfür bereits schnellere und kosteneffizienter automatisierte Verfahren eingesetzt werden. Seit 2021 können in Deutschland zwar mittlerweile auch automatisierte Verfahren eingesetzt werden, jedoch nur in Kombination mit zusätzlichen Sicherheitsschritten, wie einer Referenzüberweisung von einem Bankkonto.
Gleichzeitig können automatisierte Verfahren ohne Zusatzanforderungen für die Aktivierung von Prepaid Sim-Karten verwendet werden. Das zeigt die Fragmentierung zwischen den Industrien innerhalb Deutschlands.
Es wird schnell deutlich: Trotz einheitlicher EU-Vorschriften für KYC, variiert die jeweilige Umsetzung auf Länderebene. Die EU-Staaten entscheiden selbst, welches Verfahren sie als angemessen für eine KYC-Überprüfung erachten. Diese Unterschiede erschweren wiederrum die Verbreitung von Services innerhalb des europäischen Markts. Anbieter müssen sich immer zuerst mit der jeweiligen nationalen Gesetzgebung auseinandersetzen und unterschiedliche Methoden anbieten, anstatt einer einheitlich geregelten Vorschrift folgen zu können.
Einheitliche Mindeststufe für Identitätsnachweise dank ETSI-Standard
Einen ersten wichtigen Schritt gegen die unterschiedlichen Umsetzungen von Identitätsprüfung hat das Europäische Institut für Telekommunikationsnormen (European Telecommunications Standards Institute, ETSI) im Juli des vergangenen Jahres mit der Norm ETSI TS 119 461 unternommen. Der neue Standard definiert einheitliche Sicherheitspraktiken für verschiedene Identifizierungsmethoden. Dafür wurden die Richtlinien und Sicherheitsanforderungen für Identitätsnachweise überarbeitet und eine vereinheitlichte Mindeststufe für Identitätsnachweise (Level of Identity Proofing, LoIP) eingeführt. Diese Änderungen erhöhen das Sicherheitsniveau und die Qualitätserwartungen für die gesamte Branche.
Die Norm bildet dabei in Zusammenhang mit der eIDAS-Verordnung (electronic Identification, Authentification and trust Services) die Grundlage für die EU-weite Definition von digitalen Identitätsüberprüfungen. Sie stellt sicher, dass Bürger und Bürgerinnen sowie Unternehmen ihre nationalen elektronischen Identifizierungssysteme (eID) für den Zugang zu bestimmten Dienstleistungen nutzen können. Ziel der Verordnung ist es, den Handel innerhalb der EU durch einheitliche Standards zu erleichtern.
Digitale Identität in Europa
Anfang Juni 2021 stellte die EU die zweite Version der eIDAS-Verordnung vor, eIDAS 2.0, die einen neuen Rahmen für die digitale Identität in Europa schaffen wird. Sie soll allen EU-Bürgern und Unternehmen ermöglichen, ihre digitalen Identitäten zu speichern, wiederzuverwenden und elektronische Dokumente untereinander auszutauschen – beispielsweise den Führerschein oder eine qualifizierte elektronische Signatur (QES). Das alles soll innerhalb einer digitalen Identity Wallet stattfinden. So sollen neue Möglichkeiten für den Zugang zu öffentlichen und privaten Online-Diensten mit einer einzigen digitalen Identität geschaffen werden.
Alle EU-Bürgerinnen und Bürger können ihre Identitätsnachweise somit schnell, einfach und sicher über eine einzige Anwendung erbringen. Dieses Verfahren soll für eine größtmögliche Anzahl von Fällen wiederverwendbar sein. Außerdem soll die eIDAS 2.0 das europaweite Ausweisen über Ländergrenzen hinweg ermöglich. Der Vorgänger, eIDAS 1.0, hat eine Landschaft aus fragmentierten nationalen eID-Lösungen geschaffen. Die zweite Version der Verordnung soll die Fragmente zusammenbringen und legt vor allem Wert auf Interoperabilität.
Relevanz von Vertrauensdiensten
Ein digitales Identity Wallet soll die Nutzerfreundlichkeit erhöhen und Prozesse vereinfachen. Mithilfe der neuen Verordnung sollen sich künftig alltägliche Prozesse wie digitale Behördengänge, Nutzung verschiedener Mobility-Services oder der Einsatz von E-Rezepten verbessern lassen. Allerdings braucht dies vertrauenswürdige Anbieter von Identifizierungslösungen – sogenannte qualifizierte Vertrauensdienstanbieter (Qualified Trust Service Provider, QTSP). Diese haben sich bereits in der ersten Version der eIDAS als essenziell für eine erfolgreich Umsetzung erwiesen und darauf soll nun aufgebaut werden.
Auch hier sind die europäischen Länder bislang unterschiedlich gut aufgestellt: Während Spanien bereits über 40 gelistete Vertrauensdienstanbieter verfügt, sind es in Deutschland nur 13. Frankreich wiederum hat erst kürzlich eine neue Verordnung (Prestataires de vérification d’identité à distance, oder kurz PVID) eingeführt, die einen einheitlichen Rechtsrahmen für Anbieter von digitalen Identitätsüberprüfung schafft. Das Ziel ist es, die verschiedenen Ident-Lösungen nach ihren Sicherheitsstufen zertifizieren zu lassen, um als QTSP zugelassen zu werden.
Dabei ist die vorangehende Identitätsprüfung getrennt zu betrachten und muss nicht von einem QTSP selbst erbracht werden. Stattdessen kann ein Identity Proofing Service Provider (IPSP) die Identitätsprüfung für einen QTSP anbieten. Anbieter von Identifizierungslösungen können nach ETSI TS 119 461 dafür zertifiziert werden und somit entsprechende Lösungen für die QTSPs bereitstellen. In der Praxis ermöglicht dies eine Spezialisierung und Kombination von Anbietern, je nach Land und Anwendungsfall. So kann beispielsweise ein IPSP aus Deutschland eine passende Identitätsprüfung für eine QES durchführen und ein QTSP aus Italien im Anschluss das Vertrauenszertifikat erstellen.
Fazit
Digitale Identifizierungsverfahren werden schon lange nicht mehr nur zur Betrugsbekämpfung bei Banken eingesetzt. Die Verfahren finden Einzug in viele andere Lebensbereiche und erleichtern dort das alltägliche Leben. Werden die Landesgrenzen in der EU aber überschritten, ist das Bild nicht mehr so eindeutig – Vorschriften zu Identifizierungen werden in den jeweiligen Ländern unterschiedlich umgesetzt und behindern so den europäischen Binnenmarkt sowie die digitale Innovationskraft der Union. Die EU hat mit dem ETSI-Standard erste Schritte eingeleitet, um eine Vereinheitlichung anzustreben.
Als nächster großer Schritt steht in der EU die eIDAS 2.0-Verordnung an. Sie soll mit ihren digitalen Identity Wallets einen einheitlichen politischen und technischen Rahmen für die Zulassung von digitalen Identitäten schaffen, um die fragmentierten, nationalen Lösungen abzulösen. Denn nur mit einem einheitlichen Rahmen für ID-Wallets können wir digitale Identitäten zuverlässig auch über Ländergrenzen und den digitalen EU-Binnenmarkt hinweg sicher einsetzen. Und das wird immer wichtiger, je digitaler und vernetzter unser Leben wird.
Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.
Ein einziges IT-Problem kann ein gesamtes Unternehmen zum Stillstand bringen. Insbesondere sicherheitsrelevante Vorfälle bedrohen dabei…
Viele Sicherheitsanwendungen erkennen die absichtlich beschädigte Dokumente nicht als gefährliche Dateien. Die Hintermänner haben es…
Ab einem Alter von 10 Jahren haben die meisten ein eigenes Smartphone. Hälfte zwischen 6…
Energieeffiziente flüssigkeitsgekühlte Rechenzentren bringen wissenschaftlichen Fortschritt in Biowissenschaften und Medizin voran.
Der Manager verlässt auch das Board of Directors. Während der Suche nach einem Nachfolger leiten…