Identitätsanbieter und Identifizierungsdienstleister – was ist der Unterschied? Definition und Übersicht
BRO.vector/bigstock.com
Bei den Diskussionen über die digitale Identität werden die Bezeichnungen Identitätsanbieter und Identifizierungsdienstleister gelegentlich synonym verwendet, obwohl wir es hier mit zwei völlig verschiedenen Sachverhalten zu tun haben. Im nachfolgenden Artikel werden die beiden Begrifflichkeiten einmal geschärft, damit das Bild in diesem für die digitale Identität zentralen Bereich klarer wird.
von Rudolf Linsenbarth
Warum es hier diese Unschärfe gibt, mag auch daran liegen, dass die Frage, ob es sich hier um die Bereitstellung einer generell wiederverwendbaren Identität oder eine einmalige Identifizierungsdienstleistung handelt, manchmal nur im Anwendungskontext zu entscheiden ist.Womit ein erster wichtiger Unterscheidungspunkt genannt ist. Die Identifizierungsdienstleistung zielt auf einen einmaligen Vorgang ab, wohin gegen der Identitätsanbieter einen Service anbietet, der auf Wiederverwendung angelegt ist.
Eine reine Identifizierungsdienstleistung bietet zum Beispiel AUTHADA, ein Startup zum Auslesen des Personalausweises mittels eID-Funktion. Die vom Staat bereitgestellte digitale Identität wird ausgelesen und anderen im Auftrag des Nutzers übermittelt. Selbiges gilt auch für die Video-Ident Anbieter. Der Staat ist also der Identitätsanbieter und bietet als Identifikationsmedium den Personalausweis.
Rudolf Linsenbarth beschäftigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Linsenbarth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.Die beiden Begriffe beginnen zu verwischen, wenn ein Video-Ident Provider den identifizierten Kunden „zwischenspeichern“ und ihn bei der nächsten Identifikation aus den zuvor gespeicherten Daten wieder hervorholen würde. Ein anderer Grenzfall ist die Qualifizierte Elektronische Signatur (QES). Wenn der Kunde ein Kurzzeitzertifikat erhält, befinden wir uns im Bereich einer Identifizierungsdienstleitung. Wenn ein Vertrauensdiensteanbieter (QTSP) dagegen ein Langzeitzertifikat mit der Möglichkeit einer Wiederverwendung über einem Zeitraum von drei Jahren ausgibt, ist es angebracht, diesen QTSP als Identitätsanbieter zu bezeichnen.
Die interessante Frage ist, was kann man mit einer digitalen Identität anfangen. Die Antwort darauf ist nicht ganz einfach, denn wir haben in Deutschland nicht eine Zulassungsbehörde für digitale Identitäten, sondern gefühlt eine eigene für jeden Anwendungsfall. Jede folgt eigenen gesetzlichen Vorgaben und Interoperabilität wird kleingeschrieben!
Hier die Wichtigsten:
1. Digitaler Behördengang gemäß Online Zugangsgesetz
Aufsichtsbehörde ist das Bundesinnenministerium, diese hat auch die Hoheit über unser zentrales Ausweismedium den Personalausweis.
2. Identifizierung für Vertrauensdienste (z.B. Qualifizierte elektronische Signaturen)
Diese Dienste werden zum Beispiel benötigt, um Internet-Verträge abzuschließen, die ein Schriftformerfordernis haben. Aufsichtsbehörde für Vertrauensdienste, die Ihren Sitz in Deutschland haben, ist die Bundesnetzagentur. Bei dem Thema Identifizierung muss jedoch das Bundesamt für Sicherheit in der Informationstechnik (BSI) einbezogen werden und hat quasi ein Vetorecht bei der Zulassung von Identifizierungsdiensten.
Im Prinzip schreibt die eIDAS-Verordnung vor, dass ein Identifikationsverfahren, welches das Vertrauensniveau substanziell aus der Reihe niedrig, substanziell, hoch erreicht, den Anforderungen genügt. Nicht definiert ist, wie eine Vertrauensniveau-Zertifizierung durchgeführt werden muss oder wie eine „sonstige“ Identifizierungsmethode gemäß Artikel 24 eIDAS VO 910/2014 qualifiziert wird. Hier geht jeder EU-Staat seinen eigenen Weg. In Deutschland geschieht das über den komplexen Prozess der sogenannten Modulbestätigung. Da aber Vertrauensdienste aus anderen Ländern EU-gemäß der eID-Verordnung anerkannt werden müssen, braucht man sich mit der restriktiven deutschen Gesetzgebung nicht aufzuhalten.
3. Legitimationsprüfung in Finanzsektor (KYC)
Aufsichtsbehörde ist die BaFin, die sich dabei an die Vorgaben des Geldwäschegesetztes halten muss, hierzu gibt es auch einen Artikel aus dieser Reihe.
4. Identifizierung von Telekommunikationsteilnehmern
Aufsichtsbehörde ist wie bei den Vertrauensdiensten die Bundesnetzagentur, da aber die Identifikation den Vorgaben des Telekommunikationsgesetzes (TKG) genügen muss, werden hier andere Maßstäbe als im Paralleluniversum angelegt.
Nachfolgend eine Liste von Identitätsanbietern, die in Deutschland digitale Identitäten bereitstellen:
1. Personalausweis
Der Identitätsprovider ist der Staat, er setzt nebenbei auch die Regeln für die Anerkennung von digitalen Identitäten. Der deutsche Personalausweis ist ein sehr sicheres Identifikationsmedium mit einer maximalen Gültigkeit von 10 Jahren und hat das Vertrauensniveau hoch. Konsequenterweise ist der Personalausweis für nahezu alle Anwendungsfälle gesetzt.
Rudolf Linsenbarth
2. OPTIMOS 2.0
OPTIMOS 2.0 ist ein Projekt des Bundeswirtschaftsministeriums. Hier soll ein Ökosystem etabliert werden, das die Technologien für sichere eID-Dienste bereitstellt. Im Endeffekt geht es darum, Daten und kryptografische Schlüssel sicher auf dem Mobiltelefon zu hinterlegen. Eine Anwendung dafür könnte die mobile Identität im Smartphone sein. Abgeleitet werden soll diese digitale Identität von einer eID-Identifikation des Personalausweises. Es gilt als ausgemacht, dass diese Identität das Vertrauensniveau substanziell erhält möglicherweise sogar „hoch“. In einem vorherigen Artikel habe ich bereits erklärt, warum ich nicht glaube, dass dieses Projekt ein Erfolg werden wird. Das Projekt ist aus technologischen und wirtschaftlichen Gründen zum Scheitern verurteilt!
Was man OPTIMOS attestieren kann, es ist ein ziemlich sicheres Verfahren. Da es politisch gewollt ist, wird es von regulatorischer Seite maximalen Rückenwind erhalten.
3. Verimi
Das privatwirtschaftlich organisierte Unternehmen Verimi ist neben dem Staat einer der wenigen deutschen Anbieter von digitalen Identitäten mit dem Niveau substanziell. Parallel bietet Verimi GWG-konforme KYC-Identitäten für die Finanz- und Kreditwirtschaft an. Auch Identifizierungsdienste zur Verwendung für eIDAS-Vertrauensdienste sind Teil des Angebotes von Verimi. Damit Verimi als Identifikationsmedium im OZG auf dem Vertrauensniveau „substanziell“ verwendet werden darf, müssen die Nutzer Ihre Identität nach der Anmeldung noch einmalig per Ausweis eID bestätigen lassen.
4. Qualifizierte Elektronische Signatur (QES)
Mir ist derzeit kein Anbieter bekannt, der eine digitale Identität auf Basis einer QES anbietet. Ausstellen könnte diese aber jeder in der EU akkreditierte Vertrauensdiensteanbieter (QCert for ESig). Wer dazu gehört, findet man hier.
5. Banken
Auch wenn das Thema in letzter Zeit einige Wellen geschlagen hat, tue ich mich schwer, die Banken als Identitätsanbieter zu bezeichnen. Ein Bank-Identifikationsverfahren wie es von Klarna, Solarisbank, Swisscom und WebID angeboten wird, ist auf jeden Fall nur eine Identifizierungsdienstleistung. Anders sieht es beim yes Ökosystem aus, das gilt dann aber nur für teilnehmende Partnerbanken. Der eigentliche Provider der digitalen Identität wären aus meiner Sicht dann aber doch die Banken.
6. Bürgerkonten
Das Bürgerkonto dient dazu, die Verwaltungsakte im Rahmen des Online Zugangsgesetzes (OZG) zu vereinfachen. Es geht auf die eID-Strategie zurück, die der IT-Planungsrat 2013 verabschiedet hat. Ziel ist es, möglichst viele staatliche Online-Dienste gebündelt zu nutzen, ohne sich für jeden Service neu identifizieren zu müssen.
Unterschieden wird zwischen zwei Identifizierungsebenen. Wer sich nur per Benutzername und Passwort registriert hat, kann auch nur einen Teil der Verwaltungsdienstleistungen nutzen. Erst nachdem eine Verifikation des Bürgerkontos mittels eID-Funktion des Ausweises erfolgt ist, stehen sämtliche Online-Dienste zur Verfügung.
Ein Bürgerkonto gilt derzeit noch nur für das jeweilige Bundesland. Für Leistungen des Bundes ist ein separates Bürgerkonto notwendig. Eine Interoperabilität ist für 2021 angestrebt.
Bürgerkonten dürfen zwar für Online-Verwaltungsakte eingesetzt werden, erreichen aber auf Grund einer fehlenden, sicheren 2-Faktor-Authentifizierung und der notwendigen Prozesse nach BSI-TR-03107 nicht das Vertrauensniveau substanziell. Selbst dann nicht, wenn sie per eID-Funktion eine abgeleitete digitale Identität des Personalausweises sind. Deshalb muss bei jedem Anwendungsfall immer die eID-Funktion des Personalausweises verwendet werden.
7. Elster ID
Die Elster ID oder genauer die Elster Zertifikatsdatei könnte man als die digitale Identität der Finanzämter bezeichnen. Sie ist eine Alternative, um seine Steuerklärung statt mit dem elektronischen Personalausweis oder einer Signaturkarte einzureichen. Herausgegeben wird die Elster ID vom Bayerischen Landesamt für Steuern. Betrachtet man die Ansprüche, die das BSI an das Vertrauensniveau „substanziell“ üblicherweise stellt, dürfte die Elster ID dieses Niveau definitiv nicht erreichen.
Der Gesetzgeber hat aber der Elster ID, befristet auf 3 Jahre bis zum 30. Juni 2023, das Niveau „substanziell“ per Beschluss verliehen. In der Folge wird die ID für Anmeldungen gemäß dem Onlinezugangsgesetz zugelassen.
8. SkIDentity
Skidentity ist ein Dienst für das Identitätsmanagement, durch den der Personalausweis mit Online-Ausweisfunktion und ähnliche europäische Ausweise über standardisierte Protokolle in Anwendungen integriert werden können. Aus den Kartendaten des Personalausweises werden abgeleitete elektronische Identitäten gebildet. Diese können für eine starke pseudonyme Authentisierung oder den selbstbestimmten Identitätsnachweis bei einem Online-Dienst verwendet werden. Hinsichtlich des Einsatzes im regulierten Bereich unterliegen die von SkIDentity abgeleiteten Identitäten aber den selben Einschränkungen wie die Bürgerkonten.
9. Identitäten der Zahlungsdienstleister
Neben Banken könnten auch Zahlungsdienstleister wie PayPal oder Amazon eine digitale Identität liefern. Dabei ist zu berücksichtigen, dass die dort erhobenen Daten nicht gegen einen amtlichen Ausweis geprüft worden sind. Trotzdem können sie in gewissen Grenzen wie einer Risikoanalyse von der Wirtschaft genutzt werden. Es ist zum Beispiel bei Amazon in Bezug auf die Adressen von einer guten Datenqualität auszugehen, da die Nutzer ein großes Interesse am Empfang der Pakete haben.
10. Identitäten von sozialen Netzwerken
Ob die Datenqualität in den sozialen Netzwerke wie Apple, Facebook, Google und Co. da mithalten kann, lässt sich nicht beurteilen, da sie durchweg auf freiwilliger Selbstauskunft beruhen. Social Logins sollte man daher als das begreifen, wofür sie derzeit hauptsächlich genutzt werden, ein Single Sign On (SSO).
11. Self Sovereign Identity (SSI)
SSI, nicht zu verwechseln mit dem obigen SSO, gilt derzeit als „Hot Topic“ in der Identity-Branche. Die Blockchain oder genauer gesagt die Distributed-Ledger-Technologie gilt vielen als die neue Verheißung, um digitale Identitäten unter echter Kontrolle der Nutzer zu verwalten.
| OZG | Signatur | KYC | TKG | |
| Personalausweis | ✓ | ✓ | ✓ | ✓ |
| OPTIMOS 2.0 | ✓ 1) | ✓ 1) | ✓ 1) | ✓ 1) |
| Verimi | ✓ 6) * | ✓ | ✓ | ✓ |
| QES | – | ✓ | ✓ 4) | ? |
| Banken | – | ✓ 3) | ✓ 5) | ? |
| Bürgerkonten | ✓ 2) | – | – | – |
| Elster ID | ✓ * | – | – | – |
| SkIDentity | ✓ 2) | ✓ 2) | ✓ 2) | ✓ 2) |
| Social Login | – | – | – | – |
| SSI | SSI selbst stellt keine digitalen Identitäten, sondern diese sind in den Wallets der zugehörigen Infrastruktur als Issuer Claims der Credential Provider, unter alleiniger Kontrolle des Nutzers. Sollten die so gespeicherten Identitäten den obigen Erfordernissen entsprechen, können sie auch für diese Einsatzzwecke genutzt werden. | |||
1) Das Vertrauensniveau für Optimos 2.0 ist noch nicht festgelegt, aber als ein politisch gewolltes Projekt wird es die maximal mögliche Unterstützung erhalten
2) Bei diesen digitalen Identitäten ist für Verfahren ab dem Vertrauensniveau substanziell immer gleichzeitig auch eine eID-Ausweis Legitimation erforderlich
3) Nicht für Vertrauensdiensteanbieter, die ihren Sitz in Deutschland haben
4) Die QES kann in Deutschland nur für KYC verwendet werden, wenn dazu auch eine Referenzüberweisung durchgeführt wird
5) Die Bankidentät muss erst bei einem Vertrauensdiensteanbieter, der seinen Sitz nicht in Deutschland hat, in eine QES „transformiert“ werden und kann dann zusammen mit einer Referenzüberweisung für eine KYC-Identifizierung verwendet werden
6) Wenn das Verimi Konto einmalig mit einer eID-Ausweis Identifizierung legitimiert worden ist, hat es auf Grund seiner 2FA Authentifizierung danach auch eigenständig das Vertrauensniveau substanziell
* Die KFZ Zulassung benötigt das Vertrauensniveau hoch und kann daher nur im Zusammenhang mit Verfahren verwendet werden, die auch den Personalausweis in der Identifikationstrecke einsetzen.
Fazit
Betrachtet man die Entwicklungen in anderen Ländern der EU hängt Deutschland bei den digitalen Identitäten der allgemeinen Entwicklung hinterher. Es wird einseitig auf den sicheren Ausweis gesetzt. Dieser kommt aber seit über 10 Jahren nicht von der Stelle. Eine Besserung ist nicht in Sicht. Den Glauben, das durch Optimos 2.0 alles besser würde, kann ich nicht teilen.
Die Vielfältigkeit von digitalen Identitäten in Europa findet man gebündelt auf der Notifizierungstabelle der EU. Die Notifizierung ist die gegenseitige Anerkennung von eID-Systemen durch die einzelnen Mitgliedsstaaten. Das hier auch Systeme aus der Privatwirtschaft zum Tragen kommen, zeigen zum Beispiel Dänemark mit der NemID und Italien mit der SPID.
Vielleicht gelingt es ja über den SSI-Ansatz, eine Brücke in diese Richtung zu schlagen. Dazu kommt einer der nächsten Artikel in dieser Identity-Reihe. Vorab aber schon einmal die Ankündigung für eine Diskussion zum Thema auf Clubhouse. Rudolf Linsenbarth
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/118035
Schreiben Sie einen Kommentar