Sichere digitale Identitäten (SDI) sind wesentliche Impulsgeber für die erfolgreiche Verlagerung von Geschäftsprozessen in die digitale Welt. Dies betrifft sowohl Wirtschaft als auch Verwaltung. So müssen in der Verwaltung nach dem Onlinezugangsgesetz bis 2022 Verwaltungsleistungen von Bund und Ländern auch online angeboten werden. Grundlage hierfür bilden auch digitale Identitäten, damit sich Bürger*innen sicher gegenüber Behörden bzw. Service Providern authentisieren können. Weitere Stakeholder eines SDI-Ökosystems sind neben den Nutzer*innen Identity Provider, die SDI ausgeben und verwalten und Service Provider, die ihre Nutzer*innen mittels der SDI authentifizieren.
Noch existieren Hürden bei Nutzer*innen und Providern
Aktuell existieren jedoch noch viele Herausforderungen, die dafür sorgen, dass SDI kaum genutzt werden. Aus Sicht der Nutzer*innen sind dies, neben fehlenden Anwendungen, vor allem der in der Regel nicht medienbruchfreie Registrierungsprozess. Dann gibt es das Problem, dass sichere digitale Identitäten noch nicht sehr häufig genutzt werden. Die Zurückhaltung liegt an Bedenken hinsichtlich des Datenschutzes, z. B. wenn zentrale Identity Provider das Verhalten der Nutzer:innen auswerten. Allerdings zeigen Untersuchungen, dass diese Probleme kaum mehr eine Rolle spielen, sobald Anwendungen existieren, die einen echten Mehrwert für die Nutzer*innen bieten.
Auf Seiten der Identity Provider gehören zu den Hürden ebenfalls fehlende Anwendungen – dies ist insbesondere ein ökonomischer Aspekt – und die Unsicherheit, wie konkret SDI sicherheitstechnisch umgesetzt werden können. Letzteres trifft gerade in Hinblick auf den Einsatz von SDI im E-Government zu. Hier definiert die Durchführungsverordnung 2015/1502 zwar abstrakt Mindestanforderungen an die Sicherheit solcher SDI. Jedoch fehlen konkrete Umsetzungsempfehlungen.
Auch Service Provider, die ihre Nutzer*innen sicher authentifizieren müssen, stehen vor Herausforderungen. Ähnlich wie auf Seiten der Nutzer*innen bestehen Bedenken hinsichtlich der Auswertung des Nutzungsverhaltens beim Service Provider durch einen zentralen Identity Provider, da dies auch Rückschlüsse auf den Erfolg des Services (z.B. Akzeptanz, Nutzungshäufigkeit) ermöglicht. Ein weiteres Problem ist, dass es aktuell keine etablierten Identity Provider gibt bzw. unklar ist, ob sich die Bestehenden auf dem Markt durchsetzen können. Aus diesem Grund setzen Service Provider häufig ihr Identitätsmanagement eigenständig um., Das ist üblicherweise mit hohen Kosten, aber auch mit zum Teil unsicheren Lösungen verbunden, da nicht alle Service Provider Expertise auf diesem Gebiet haben.
Lösungsansätze aus der angewandten Cybersicherheits-Forschung
Mit dem Innovationswettbewerb „Schaufenster sichere digitale Identitäten“ fördert das Bundesministerium für Wirtschaft und Energie (BMWi) Projekte, die die oben genannten Herausforderungen angehen sollen. Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC ist aktuell an drei dieser Projekte beteiligt und verantwortet hier die folgenden Aufgaben.
- Medienbruchfreier Registrierungsprozess: Registrierungsprozesse zum Erhalt von SDI sind meist mit viel Aufwand auf Seiten der Nutzer*innen verbunden (z. B. persönliches Erscheinen und Identifizierung über hoheitliche Dokumente). Ziel muss es daher sein, Lösungen zu erarbeiten, die einen sicheren medienbruchfreien Registrierungsprozess ermöglichen, damit Nutzer*innen ihre SDI unmittelbar verwenden können. Hier bietet es sich an, elektronische Identitäten wie z. B. Bank-Accounts oder Accounts bei Mobilfunkprovidern zu nutzen oder geeignet zu kombinieren, die bereits bei den Nutzer*innen vorhanden sind. Auch staatlich herausgegebene Lösungen, wie Online-Ausweisfunktion und DE-Mail, können genutzt werden, um ein hohes Sicherheitsniveau für die Erstregistrierung umsetzen zu können.
- Benutzbarkeit: Eines der wesentlichen Probleme bei der Entwicklung von IT-Systemen ist, dass die Bedürfnisse, Kenntnisse und Fähigkeiten der angedachten Nutzer*innen nicht schon zu Beginn, sondern im besten Fall erst am Ende der Konzeptionsphase berücksichtigt werden – oft jedoch überhaupt nicht. Heute ist es im Softwareentwicklungsprozess in der Regel üblich, zunächst die Sicherheitsziele („Was muss geschützt werden?“) und daraus abgeleitet das Sicherheitsmodell („Wie soll geschützt werden?“) festzulegen. Da das gewählte Sicherheitsmodell aber bereits wesentliche Teile des Funktionsumfangs und der möglichen Interaktionsabläufe beeinflusst, führt dies in der Regel zu deutlichen Schwächen hinsichtlich der Benutzbarkeit. Eine Möglichkeit, Nutzer*innen schon zu Beginn der Konzeption einzubeziehen, ist, Methoden aus dem Design Thinking zu verwenden. Beim Design Thinking erarbeitet ein in der Regel interdisziplinäres Team neue innovative Lösungen für Problemstellungen, wobei die Nutzer*innen in allen Schritten einbezogen werden.
- E-Government 2.0: Aus Sicht der Nutzer*innen ist es nicht ausreichend, zukünftig mittels einer SDI rechtsverbindlich Anträge einzureichen. Vielmehr muss es auch möglich sein, den Bearbeitungsstatus regelmäßig einsehen zu können und einzelne Dokumente nachzureichen. Hierzu müssen aber die Verwaltungsvorgänge innerhalb der Behörden digitalisiert und die IT-Systeme entsprechend angepasst werden.
- Erarbeitung konkreter Umsetzungsempfehlungen: Sowohl für die SDI als auch für Lösungen der Service Provider müssen konkrete technische Umsetzungsempfehlungen für verschiedene Sicherheitsniveaus erarbeitet, umgesetzt und hinsichtlich Sicherheit und Datenschutz evaluiert werden. Dabei soll, soweit möglich, auf Sicherheitsfunktionen zurückgegriffen werden, die heutige Endgeräte, wie z. B. Computer, Tablets und Smartphones, bereits zur Verfügung stellen. Dies ermöglichteine einfache Umsetzung und vor allem die Nutzung von SDI ohne zusätzliche technische Komponenten.
- Sicherheit und Datenschutz: SDI und auch das zu entwickelnde Ökosystem müssen sicher sein und die Privatsphäre der Nutzer*innen respektieren. Neben den hierfür klassischen Lösungen müssen auch zukunftsfähige Ansätze entwickelt werden, die insbesondere resistent gegen Quantencomputer sind. Sicherheitsfunktionen müssen so umgesetzt werden, dass sie zukünftig, wenn nötig, einfach und schnell gegen Quantencomputer-resistente ausgetauscht werden können (Kryptoagilität). Hinsichtlich des Datenschutzes sollen Lösungen erarbeitet werden, die es ermöglichen, das Verhalten der Nutzer*innen datenschutzfreundlich auszuwerten und so Mehrwerte für alle Zielgruppen (Nutzer*innen, Identity Provider und Service Provider) zu erzielen. Eine Möglichkeit, dies wie beschrieben umzusetzen, sind Methoden des Differential Privacy, die es z. B. ermöglichen, statistische Informationen allgemein zugänglich zu machen und dabei gleichzeitig die Privatsphäre einzelner Datensätze zu wahren.