Nutzbringende und sichere digitale Identitäten für alle Lebensbereiche und ihre Eigenschaften

Digitale Identitäten begleiten uns tagtäglich. Die technischen Möglichkeiten sind sehr vielgestaltig. Wie können digitale Identitäten einerseits eine sichere Identifizierung fürs eGovernment und eHealth ermöglichen und andererseits auch den Schutz der Privatsphäre garantieren?

Digitale Identitäten ermöglichen den Zugang zur digitalen Gesellschaft. Sie repräsentieren Personen, Organisationen und Objekte in der digitalen Welt und werden in immer mehr Lebensbereichen verwendet. Jeder von uns hat so – bewusst oder unbewusst –  digitale Repräsentationen seiner Person für verschiedenen Zwecke. Sei es die Cumulus-Karte der Migros, der SwissPass der SBB oder die SIM-Karte im Mobilgerät, all diese digitalen Identitäten begleiten uns täglich.

Digitale Identitäten sind sehr vielgestaltig. Das Spektrum aus technischer Sicht reicht von Benutzername/Passwort Kombinationen und Smartcards über biometrische Identifikationsmittel bis zu hardwarebasierten Zertifikaten, wie z.B. der SuisseID.

Welche Eigenschaften sollte eine digitale Identität haben?
Eine digitale Identität sollte nutzbringend sein. Sie ist ein Hilfsmittel, um bestimmte Funktionalitäten in der digitalen Welt ausführen zu können. So kann man mit einer digitalen Identität beweisen, wer man ist und so bestimmte Online-Dienste verwenden. Man kann Dokumente oder Daten – analog zu einer handschriftlichen Unterschrift – digital signieren. Mit anderen, eher passiven Identitäten, kann man Vergünstigungen aus Bonusprogrammen einsammeln oder andere Leistungen der realen Welt, wie zum Beispiel Benutzung des ÖV, in Anspruch nehmen.

Für einige Anwendungen in der digitalen Welt, wie z.B. im eGovernment, muss man sicher sein, wer hinter einer digitalen Identität steckt. Identitäten, wie die SuisseID, können als digitaler Ausweis verwendet werden. Dazu müssen die verwendeten Identitäten sicher und vertrauenswürdig sein. Bei einer Identität, die auf einer SuisseID beruht, kann man 100% sicher sein, dass man es mit der entsprechenden Person zu tun hat. Das Vertrauen in die SuisseID basiert zum einen auf einem zertifizierten Registrierungsprozess, bei dem man persönlich anwesend sein muss, und zum anderen auf der Sicherheit der verwendeten Technologien. So wird mit einem Hardware-Token, dem SuisseID-Stick, verhindert, dass die SuisseID-Identität gestohlen werden kann. Nur wer den Stick und die passende PIN besitzt, kann die SuisseID benutzen. Man spricht hier von einer 2-Faktoren-Authentifizierung.

Das höchste Vertrauensniveau geniesst eine staatlich anerkannte elektronische Identität. Hier übernimmt der Staat die Verantwortung für die Registrierung, die meist an die Beantragung eines Ausweisdokuments, zum Beispiel Identitätskarte oder Reisepass, gekoppelt ist.
Aber das hohe Vertrauen und die Sicherheit einer digitalen Identität haben ihren Preis: höhere Kosten sowie eine komplizierte Handhabung und ein aufwendiger Registrierungsprozess. Daraus resultiert meistens eine schlechte Benutzerakzeptanz. Deshalb sollte beim Einsatz von digitalen Identitäten immer die Benutzerfreundlichkeit gegen die Sicherheitsanforderungen abgewogen werden. Zum Beispiel kann bei einem Online-Abonnement einer Tageszeitung auf eine hohe Sicherheit verzichtet werden, da das Schadenspotential gering ist.

Ohne Schutz der Privatsphäre geht es nicht
Die Datensammelwut einiger Diensteanbieter im Internet und verschiedene Hackerangriffe auf Kundendaten in den letzten Monaten, lassen den Wunsch nach Schutz der Privatsphäre und Anonymität erstarken. Zumal es heute sehr schwer, und zum Teil fast unmöglich ist, einmal preisgegebene Daten wieder aus der digitalen Welt zu entfernen. Eine gute digitale Identität ermöglicht es daher auch, sich anonym oder pseudonym in der digitalen Welt zu bewegen. Bei diesen Verfahren werden die wahre Identität einer Person verborgen und nur die Eigenschaften, preisgegeben, die für die Nutzung eines Services essentiell notwendig sind, wie zum Beispiel das Alter. So kann man den Zugriff auf ungeeignete Inhalte für Minderjährige kontrollieren, ohne deren Namen oder Geschlecht zu kennen. Die Preisgabe der Identität (oder von Teilen davon) bzw. Wahrung von Anonymität bleibt somit eine Entscheidung der Person selbst.

Eine digitale Identität reicht nicht aus

Die verschiedenen möglichen Eigenschaften digitaler Identitäten machen klar, dass mehrere Identitäten für die verschiedenen Anwendungsbereiche benötigt werden.

Im eGovernment und auch im eHealth ist es wichtig, die Bürger und Bürgerinnen, bzw. Patienten und Patientinnen eindeutig zu identifizieren, um Verwechslungen auszuschliessen. Nur eine staatlich anerkannte digitale Identität oder Identitäten auf ähnlich hoher Vertrauensstufe, wie z.B. die SuisseID oder die geplante Versichertenkarte, die auch über einen eindeutigen Identifikator verfügt, machen das möglich.

In anderen Bereichen, wo das Schadenspotential geringer ist, kann man auch einfachere elektronische Identitäten, wie sie z.B. von Google oder Facebook bereitgestellt werden, verwenden. Diese kostenlosen Identitäten beruhen zumeist auf einer Selbstregistrierung mit Email- oder SMS-Bestätigung. Die zur Verfügung gestellten Personenattribute sind zumeist selbst deklariert. Hier sollten sich Benutzer und Server-Anbieter gleichermassen über die Gefahren und Risiken klar werden.

AUTOR/AUTORIN: Annett Laube

Annett Laube leitet das Institute for Data Applications and Security (IDAS) an der BFH Technik & Informatik und ist verantwortlich für den Schwerpunkt Identität und Privatsphäre am BFH-Zentrum Digital Society.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

1 Antwort
  1. Lutz R.
    Lutz R. sagte:

    ich denke, es ist wichtig, dass auch in der Bevölkerung verstanden wird, das mehrere Identitäten nötig sind, um einen gewissen Schutz der Privatsphäre zu erreichen. Die Vernetzung von Applikationen und damit Lebensbereichen gibt zunehmend mehr Information preis als die Daten in den Applikationen selbst.

    Antworten

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.