Was ist eine digitale Identität?

Die digitale Identität ist ein relativ junges Konzept. Durch die rasante Digitalisierung sind viele Aspekte unseres Lebens ins Internet verlagert worden. Es geht dabei nicht nur um Online-Einkäufe. Heutzutage nutzen wir digitale Dienste, um unsere Finanzen zu verwalten oder um Versicherungen abzuschließen – bequem von zu Hause aus. In all diesen Bereichen schaffen wir unsere eigene digitale Identität, oft ohne uns dessen vollständig bewusst zu sein. Doch was bedeutet der Begriff „digitale Identität“ und warum ist eine Verifikation dieser oft unerlässlich?

Definition: Was ist eine digitale Identität?

Eine digitale Identität bietet die Möglichkeit zu überprüfen, ob eine Identität mit der Identität in der physischen Welt übereinstimmt. Damit soll sichergestellt werden, dass man es mit der richtigen Person zu tun hat.

Eine digitale Identität umfasst alle Informationen über eine Person, die in digitaler Form vorliegen. Diese Informationen ermöglichen es, die Identität einer Person zu erkennen, wenn sie zusammengeführt werden.

Was sind Beispiele von digitalen Identitäten?

Jede Person, die Anmeldedaten hat, besitzt eine digitale Identität. Diese Identität kann viele Formen annehmen, von einer Facebook- oder Onlineshop-Identität bis hin zu einer Bankidentität. Sie alle stellen die digitale Präsenz einer Person in der digitalen Welt dar. Die jeweiligen Diensteanbieter haben in unterschiedlichem Maße Kenntnis darüber, wer die reale Person hinter dieser digitalen Identität ist.

Kategorien

Digitale Identitäten können dabei verschiedene Formen annehmen und werden grundsätzlich in 3 Kategorien unterteilt:

• Isolierte digitale Identität (Silo-Identität): Hierbei handelt es sich um separate digitale Identitäten, die für jeden Dienstleister neu erstellt werden. Jeder Online-Dienst erfordert ein eigenes Konto mit individuellen Anmeldedaten, was zu einer Vielzahl von Benutzernamen und Passwörtern führen kann.
  
  
• Digitale Identität per Single Sign-On (SSO): Diese Lösung ermöglicht es Usern, sich mit einer zentralen digitalen Identität (z. B. von Google oder Facebook) bei verschiedenen Diensten anzumelden, ohne sich zahlreiche Kennwörter merken zu müssen.
  
  
• Staatliche digitale Identität: Diese besonders vertrauenswürdige Form der digitalen Identität wird vom Staat ausgestellt. Sie erfüllt hohe Sicherheitsstandards und kann für eine Vielzahl von Online-Transaktionen und -Interaktionen genutzt werden. Beispiele hierfür sind der deutsche Online-Ausweis oder die ID Austria in Österreich.
  
  

Welche Rolle spielen digitale Identitäten für Unternehmen?

Für Unternehmen, die im elektronischen Geschäftsverkehr tätig sind, ist es wichtig, zumindest grundlegende Informationen über ihre Kunden zu haben, je nach den Vorschriften und Risiken, denen das Unternehmen unterliegt. Zum Beispiel erfordert das Know-Your-Customer-Prinzip (KYC) eine Identitätsprüfung, insbesondere für Banken, um Geldwäsche und Terrorismus zu bekämpfen. Verkauft ein Unternehmen jedoch beispielsweise nur Kleidung, sind weniger Informationen über die Kunden erforderlich. In diesem Fall ist es nur wichtig, die Richtigkeit der Zahlungsdaten und der Lieferadresse zu überprüfen.

Digitale Identitäten spielen jedoch in spezifischen Industrien eine besonders wichtige Rolle. Versicherungsunternehmen nutzen beispielsweise digitale Identitäten, um Kunden zu authentifizieren und sicherzustellen, dass die richtigen Personen auf sensible Informationen und Dienstleistungen zugreifen. Das reduziert das Risiko von Versicherungsbetrug. Prozesse wie Schadensmeldung, Policenverwaltung oder gar Online-Vertragsabschlüsse können damit außerdem schneller automatisiert werden.

Im Glücksspielsektor sind Betreiber gesetzlich verpflichtet, KYC-Anforderungen zu erfüllen. Digitale Identitäten spielen hier eine Schlüsselrolle bei der Altersverifikation und der Überprüfung der Identität der Spieler, um betrügerische Aktivitäten zu unterbinden.

Digitale Identitäten sind zudem entscheidend für den sicheren Zugang zu Online-Banking-Diensten. Banken sind verpflichtet, strenge Compliance-Anforderungen wie KYC- und Anti-Geldwäsche-Vorschriften einzuhalten. Daneben lassen sich Konten schneller eröffnen oder Kreditanträge online abschließen.

Im E-Commerce helfen digitale Identitäten, den Kunden sicher zu authentifizieren und Zahlungsinformationen zu schützen.

Unternehmen sollten immer sicherstellen, dass der Registrierungsprozess, die regelmäßige Authentifizierung und sämtliche Transaktionen reibungslos mit einer digitalen Identität durchgeführt werden können. Schließlich entscheidet bereits der erste Kontakt mit dem Kunden darüber, welchen Eindruck ein Unternehmen vermittelt und ob die Kundenbeziehung fortgeführt wird.  Mit einer digitalen Identität wird ein vereinfachter und kundenorientierter Prozess geschaffen, der Zeit und Kosten einspart.

Was ist eine verifizierte digitale Identität?

Digitale Identität ist ein allgemeiner Begriff für alle digitalen Informationen, die über eine Person verfügbar sind. Im Gegensatz dazu ist eine verifizierte digitale Identität ein von einem vertrauenswürdigen Dienstanbieter ausgestellter Identitätsnachweis, der eine physische Verifizierung durch Vorlage eines Identitätsdokuments wie eines Reisepasses erfordert und den hohen eIDAS-Anforderungen entspricht.

Digitale Identitäten können auf Informationen basieren, die ausschließlich vom Kunden ohne Verifizierung durch einen Dritten bereitgestellt werden, wodurch sie nicht verifiziert sind, wie z. B. ein Facebook-Konto. Es besteht jedoch auch die Möglichkeit, eine Identitätsprüfung und -Validierung durchzuführen, um eine verifizierte digitale Identität zu erhalten.

Eine Herausforderung: Jede Plattform kann aktuell ein anderes Identifizierungsverfahren verwenden. Daher gibt es sowohl auf staatlicher als auch auf EU-Ebene Bemühungen, ein einheitliches Modell zu etablieren.

Europäische digitale Identität der EU-Kommission

Im Juni 2021 hat die Europäische Kommission ihre Pläne für eine europäische digitale Identität (EUiD) für Bürgerinnen und Bürger der EU und Europa vorgestellt. Dadurch soll es möglich werden, auch außerhalb des Heimatstaates ohne Schwierigkeiten dieselben Verwaltungsvorgänge vorzunehmen, also zum Beispiel: eine Wohnung mieten, sich an einer Universität einschreiben oder ein Konto eröffnen. Grundsätzlich sollen sowohl Benutzerfreundlichkeit als auch Sicherheit bei diesem Vorhaben eine große Rolle spielen.

Gemäß der Verordnung über die europäische digitale Identität sollen bis zum Jahr 2030 mindestens 80 % der Bürger eine digitale Identität besitzen und aktiv nutzen können, um auf wichtige öffentliche Dienste zuzugreifen. Das Ziel ist es, ein vertrauenswürdiges und sicheres europäisches eID-Framework zu schaffen.

Als Grundlage dieser neuen Verordnung dient die Verordnung des Europäischen Parlaments und des Rates der EU über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS-Verordnung). Diese stammt noch aus dem Jahr 2014.

Damit Bürger Kontrolle über ihre Daten behalten, können sie in der Zukunft mithilfe von EUiD-Wallets selbst entscheiden, welche Informationen ihrer digitalen Identität weitergegeben werden. Auch sollen dadurch elektronische Signaturen ermöglicht werden. Für diese digitalen Brieftaschen soll eine Richtlinie gelten, die besagt, dass jeder Mitgliedstaat innerhalb eines Jahres nach Inkrafttreten der neuen Verordnung diese auch ausstellen muss.

Wird die digitale Identität Pflicht?

Damit EU-Bürger Kontrolle über ihre Daten behalten, können sie in der Zukunft mithilfe von EUiD-Wallets selbst entscheiden, welche Informationen ihrer digitalen Identität weitergegeben werden. Auch sollen dadurch elektronische Signaturen ermöglicht werden. Für diese digitalen Brieftaschen soll eine Richtlinie gelten, die besagt, dass jeder Mitgliedstaat innerhalb eines Jahres nach Inkrafttreten der neuen Verordnung diese auch ausstellen muss.

Die Nutzung der digitalen Identität wird für Bürgerinnen und Bürger nicht verpflichtend sein. Allerdings müssen bis 2026 alle EU-Mitgliedsstaaten ihren Bürgern eine digitale Brieftasche anbieten, die die Nutzung einer digitalen Identität ermöglicht. Auf diese Weise wird es möglich sein, sich sowohl online als auch offline innerhalb ganz Europa bei Behörden und Unternehmen mit der digitalen Identität auszuweisen und sämtliche Online-Dienste in Anspruch zu nehmen.

Was ist eine staatliche eID?

Eine staatliche eID (elektronische Identität) ist eine digitale Lösung zum Nachweis der realen Identität von Personen oder Organisationen. Sie bietet mehr Komfort und Sicherheit als herkömmliche Identitätsnachweise wie Reisepass oder Personalausweis. Gleichzeitig schafft sie das gleiche Vertrauen wie diese Dokumente. Mit einer staatlichen eID haben die Bürgerinnen und Bürger die volle Kontrolle über die Freigabe ihrer Identitätsdaten für Transaktionen, und zwar direkt von ihrem Smartphone aus. So können sie nur die für eine bestimmte Transaktion erforderlichen Identitätsinformationen preisgeben, ohne sich Gedanken darüber machen zu müssen, welche anderen Informationen übermittelt werden.

Die Kundinnen und Kunden können sich mit ihrer eID problemlos und vollständig online bei verschiedenen Diensten anmelden, ohne sich mehrere Benutzernamen und Authentifizierungsmethoden merken zu müssen. Stattdessen können sie sich auf ihre eID als standardisierte Anmeldeoption verlassen, um Zugang zu Informationen im öffentlichen und privaten Sektor zu erhalten.

Da die staatliche eID allerdings noch nicht sehr verbreitet ist, gibt es für Unternehmen auch andere Lösungen zur Identitätsverifikation ihrer Kunden. Dazu zählt zum Beispiel die automatisierte digitale Identitätsverifikation. Diese vereint gleich mehrere Vorteile: Benutzerfreundlichkeit, Effizienz und Sicherheit.

Was ist die eIDAS-Verordnung?

Die eIDAS-Verordnung steht für Electronic Identification, Authentication and Trust Services. Es handelt sich um eine EU-Verordnung, die einen rechtlichen Rahmen für die digitale Identität in der Europäischen Union schafft. Sie bietet eine gemeinsame Grundlage für alle Mitgliedsstaaten, um die grenzüberschreitende Nutzung von digitalen Identitäten zu ermöglichen und die Interoperabilität zwischen den nationalen Systemen zu fördern. Durch die eIDAS-Verordnung können Bürgerinnen und Bürger nationale eIDs für Transaktionen in anderen EU-Ländern nutzen, was die digitale Identität innerhalb der EU stärkt.

Um die gegenseitige Anerkennung der digitalen Identitäten sicherzustellen, klassifiziert die eIDAS-Verordnung Identifizierungsmittel nach ihrem Vertrauensniveau. Bei Dienstleistungen, die ein hohes Maß an Sicherheit erfordern, dürfen nur digitalen Identitäten eingesetzt werden, die ein entsprechendes hohes Vertrauensniveau aufweisen. 

Gemäß der eIDAS-Verordnung werden die Anbieter von offiziellen digitalen Identitäten, sogenannte Trust Service Provider (TSP), überprüft und können als qualifizierte Trust Service Provider (QTSP) eingestuft werden. Diese Klassifizierung erfolgt auf der Grundlage ihrer Vertrauenswürdigkeit und der Sicherheit, die sie bieten. Die eIDAS-Verordnung definiert drei unterschiedliche Vertrauensniveaus für die digitale Identität:

• Niedrig: Bei dem niedrigsten Vertrauensniveau ist das Vertrauen in die digitale Identität begrenzt. Es bestehen Beweise über die Identität des Users, wie die Kenntnis von Anmeldedaten, jedoch sind diese anfällig für Fälschungen.

• Substanziell: Ein substanzielles Vertrauensniveau verlangt strengere Verfahren zur Identitätsprüfung, bei denen offizielle Ausweisdokumente zur Verifizierung der digitalen Identität vorzulegen sind.
• Hoch: Es besteht eine eindeutige und sichere Verbindung zwischen der Person und ihrer digitalen Identität. Digitale Identitäten auf diesem Niveau werden durch vertrauenswürdige Anbieter zur Verfügung gestellt. Beispiele hierfür sind die GesundheitsID oder die BankID.

Ein elektronisches Identifizierungsmittel wird nur dann als substanziell oder hoch anerkannt, wenn der jeweilige Mitgliedsstaat dieses im Rahmen eines festgelegten Notifizierungsverfahrens auf dem entsprechenden Vertrauensniveau notifiziert hat.

Staatliche eID in der Schweiz

Auch in der Schweiz wird eine Staatliche eID voraussichtlich Anfang 2026 kommen. Nachdem das Bundesgesetzes über elektronische Identifizierungsdienste (BGEID) am 7. März 2021 abgelehnt wurde, arbeitet die Schweiz an einem neuen Konzept für eine staatliche E-ID.

Was sind die Gefahren einer digitalen Identität?

Wie bei allen sensiblen Daten besteht auch bei digitalen Identitäten die Gefahr des Diebstahls oder der Manipulation. Erlangt eine Person beispielsweise Zugang zum Passwort oder zur PIN für das Online-Banking einer anderen Person oder eines Unternehmens, kann sie sich als diese Person oder Organisation ausgeben und in deren Namen handeln.

Ein weiteres Problem besteht darin, dass die Menschen heutzutage immer mehr verschiedene digitale Identitäten auf unterschiedlichen Plattformen erstellen.

In einer Welt, in der User viele Konten auf unterschiedlichen Plattformen verwalten müssen, neigen viele dazu, dasselbe Passwort mehrfach zu verwenden. Wird eines dieser Passwörter kompromittiert und ausfindig gemacht, können Hacker potenziell auf mehrere Konten gleichzeitig zugreifen. 

Die Sicherheit dieser Konten hängt zudem entscheidend vom Prozess ab, der für das Zurücksetzen des Passworts erforderlich ist. Bei vielen Konten genügt ein Link, der an die mit dem Konto verbundene E-Mail-Adresse gesendet wird, um ein neues Passwort festzulegen. Erlangen Cyberkriminelle Zugriff auf den E-Mail-Account eines Users, können sie sich Zugang zu zahlreichen weiteren digitalen Identitäten verschaffen – sei es für Streamingdienste oder Online-Banking.

Dadurch werden sie anfälliger für Cyber-Angriffe. Ohne strenge Verfahren zur Überprüfung der Identität steigt das Risiko von Identitätsdiebstahl und Cyberkriminalität. Gleichzeitig ist die Spurensicherung im virtuellen Raum (digitale Forensik) oft schwieriger als in der physischen Welt.

Zusätzlich bestehen insbesondere bei isoliert digitalisierten Identitäten und SSO-Verfahren Bedenken bezüglich des Datenschutzes. Viele digitale Identitäten zeichnen Verhaltensdaten der Kunden auf – zum Beispiel hinsichtlich Suchverlauf, Aktivitätszeiten und Standort. Diese Daten werden häufig weiterverarbeitet oder an Dritte verkauft, sodass User im Nachhinein darauf basierende personalisierte Werbung erhalten.

Ein weiteres Problem besteht bei den digitalen Identitäten per SSO. Dort sind die gesamten Daten in den Händen eines einzigen Anbieters, was wiederum ein großes Abhängigkeitsverhältnis schafft. Verliert der User den Zugriff auf dieses Konto, etwa durch eine Löschung des ID-Providers, sind alle seine Daten und damit verbundenen Zugriffe sofort verschwunden und nicht wiederherstellbar.

Wie kann man sich vor den Gefahren digitaler Identitäten schützen?

Es gibt verschiedene Möglichkeiten, sich vor solchen Gefahren zu schützen. So sollten Unternehmen angemessene Datenschutzmaßnahmen einführen, die von der Sicherung von Mitarbeiterdaten bis hin zur datenschutzkonformen Gestaltung ihrer Online-Präsenz reichen. Auch der Abschluss einer Cyber-Versicherung für das Unternehmen kann in Betracht gezogen werden.

Eine weitere wichtige Maßnahme zur Verhinderung von Cyber-Kriminalität ist der Einsatz der Zwei-Faktor-Authentifizierung (2FA), die den Zugang zu einer digitalen Identität in zwei Schritten absichert. Dabei werden neben einem Passwort oder einer PIN eine zusätzliche Identifikation, wie ein Token, ein SMS-Code oder biometrische Merkmale erforderlich, wodurch die Kontosicherheit bedeutsam erhöht wird. 

Darüber hinaus können auch Lösungen zur Identitätsprüfung den Einsatz der digitalen Identität sicherer gestalten. Sie garantieren, dass nur befugte Personen Zugriff auf ihre digitale Identität erhalten, wodurch Identitätsdiebstahl und Missbrauch verhindert werden. Auf diese Weise stellen Unternehmen sicher, dass die digitale Identität eines Kunden tatsächlich dieser Person angehört und dass sie KYC-Anforderungen erfüllen.

Mit einem Auto-Ident-Verfahren etwa, können der Ausweis eines Users per Ausweisscan verifiziert und anschließend mit einem Selfie-Video biometrische Daten abgeglichen werden. Durch ein zuverlässiges Verifikationsverfahren wie dieses können Unternehmen sich sicher sein, wer hinter ihren Kunden steckt und dass diese dazu in der Lage sind, sich auszuweisen – für maximale Sicherheit bei der Nutzung der digitalen Identität.

Was ist digitales Identitätsmanagement?

Digitales Identitätsmanagement / Identity Management (IdM) oder Identity and Access Management (IAM) stellt sicher, dass autorisierte Mitarbeiter Zugang zu den benötigten technologischen Ressourcen erhalten, während der Zugang auf autorisierte Personen beschränkt bleibt. Es umfasst Richtlinien und Technologien, die den unternehmensweiten Prozess der Identifizierung, Authentifizierung und Autorisierung von Mitarbeitern, Personengruppen oder Softwareanwendungen regeln, einschließlich Benutzerrechten und identitätsbasierten Einschränkungen.

Ein Identitätsmanagementsystem verhindert den unberechtigten Zugriff auf Systeme und Ressourcen, schützt vor Datenexfiltration und alarmiert bei Zugriffsversuchen durch nicht autorisierte Personen oder Programme, sowohl innerhalb als auch außerhalb des Unternehmens.

Fazit

Digitale Identität und die staatliche eID spielen in unserer zunehmend digitalisierten Welt eine zentrale Rolle. Sie bieten Komfort und Effizienz, bringen aber auch Herausforderungen mit sich. Die Sicherheit digitaler Identitäten ist von entscheidender Bedeutung, da sie anfällig für Diebstahl und Missbrauch sind. Die Entwicklung und Implementierung robuster Identitätsmanagement-Lösungen sind entscheidend, um Datenschutz und Sicherheit zu gewährleisten. Gleichzeitig müssen wir sicherstellen, dass diese Technologien zugänglich und benutzerfreundlich sind, um ihre Akzeptanz und Verbreitung zu fördern. Eine intuitive Lösung, um die Identität zu überprüfen, kann hier helfen. Wir beraten Sie gerne: Kontaktieren Sie uns jetzt.

FAQ

.