Fakten-Check: Verimi und der Personalausweis im Smartphone
Verimi
Verimi bringt den Personalausweis auf das iPhone, hieß es in einer Pressemitteilung des Unternehmens vom 10.11.2020. Hier kam sofort die Frage auf, ob das nun mit der Optimos-Lösung beim Samsung S20 gleichzusetzen wäre. Außerdem verwunderte der Hinweis in einer früheren Meldung auf Heise-Online, dass die Ausweisdaten im Secure Element des iPhone gespeichert werden. Hat Apple anderen Unternehmen jetzt den Zugriff auf das „Allerheiligste“ gestattet? So klang es zunächst. Der Artikel auf Heise-Online ist mittlerweile korrigiert und Rudolf Linsenbarth machte sich auf die Spurensuche, was es jetzt wirklich Neues bei Verimi gibt.
von Rudolf Linsenbarth
In meinem Interview mit dem Verimi Geschäftsführer Roland Adrian hatte ich damals gefragt, warum ich am iPhone meine Identität immer noch nicht per NFC-Schnittstelle verifizieren kann, obwohl Apple diese Funktionalität ja bereits im Herbst 2019 freigegeben hatte. Herr Adrian verwies damals darauf, dass man hier von der Bereitstellung eines entsprechenden SDK abhängig sei und dieses aber dann schnellstmöglich eingebunden wird.
Genau das ist jetzt geschehen.
Vielleicht um der Meldung ein wenig mehr Schwung zu verleihen, hatte man dann die Meldung mit dieser Aufmerksamkeit erregenden Überschrift versehen.”
Was die Speicherung im iPhone anbelangt, gilt diese nur für die privaten Schlüssel, mit der die Verimi-Identitätsdaten in der Cloud abgesichert werden. Die Bedeutung für Verimi liegt darin, dass diese sichere Key-Ablage eine von mehreren möglichen Voraussetzungen ist, das Vertrauensniveau “substantial” zu erlangen.
Autor Rudolf Linsenbarth
Rudolf Linsenbarth beschäftigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Linsenbarth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Genau das wird für eine Reihe von wirtschaftlich interessanten Geschäftsvorfällen benötigt. Des weiteren akklamiert Verimi für sich zum Beispiel, auf Grund der sicheren Key-Speicherung der einzige in Deutschland für die öffentliche Verwaltung zugelassene Identitätsanbieter mit dem Vertrauensniveau “substantial” zu sein. Der Faktencheck hierzu wird noch nachgeliefert.
Ich halte übrigens den Streit für müßig, ob für eine Mobile Identität der komplette Personalausweis auf dem Smartphone gespeichert werden muss, oder nur die Keys für eine Cloud-Identität. Entscheidend ist doch, was man am Ende mit der mobilen Identität machen kann. Genau hier fehlt es an einer durchgängigen Regelung in Deutschland, da jede Aufsichtsbehörde für ihren jeweiligen Anwendungsfall ein eigenes Regelungsregime aufgestellt hat. Persönlich sehe ich in der Speicherung der Ausweisdaten auf dem Secure Element eine Sackgasse, die auf Grund vielfältiger Partikularinteressen zum Scheitern verurteilt ist.
In der Praxis gibt es auch gute Gründe, die eher gegen eine lokale Ablage der Originär-Daten sprechen. Dies betrifft zum Beispiel die UX und Recovery bei Device-Verlust und Device-Wechsel.
Wichtiger wäre endlich zu klären, ob der Personalausweis das einzige Medium ist, von dem eine mobile Identität abgeleitet werden kann und für welchen Gültigkeitszeitraum das Bestand hat. Wie das technische Setup aussehen muss, damit eine solche Identität in allen Anwendungsfällen vom Behördengang, über Vertrauensdienste, Telekomunikation bis Bankgeschäft, anerkannt wird. Zum Schluss sollten noch die Schnittstellen definiert werden, über die der Austausch einer solchen Identität erfolgt. Wenn der Staat dabei unbedingt noch etwas Anderes als den bewährten Industrie Standard OpenID Connect haben möchte, dann kann man auch noch einen eID-Service für Cloud-Identitäten dazwischenziehen.
Aber bewegen sollte man sich endlich, statt darauf zu warten, dass die derzeitigen Lösungen irgendwann auch vom Bürger angenommen werden. Denn eines ist sicher, der Markt wartet nicht, und wer zu spät kommt, den bestraft das Leben!”
Rudolf Linsenbarth
Digitale Identität in Deutschland Status - die Übersicht
Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.
Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.
Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.
Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.
Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.
Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.
Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.
In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.
In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.
Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.
Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.
Rudolf Linsenbarth beschäftigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Linsenbarth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Schreiben Sie einen Kommentar