Rechtskonforme Identifizierung: Grundlagen und Standards

Bevor ich in die Details einer digitalen Identität einsteige, möchte ich zunächst die Parallelen zu einer „analogen“ Identifizierung im realen Leben ziehen. Hierbei lässt sich die Identität durch den Vergleich mit einem amtlich beglaubigten Lichtbild, wie etwa dem Personalausweis, feststellen. So geht z. B.  die Polizei bei einfachen Personenkontrollen vor. Ein dem Lichtbild-Abgleich äquivalentes Verfahren im Internet wäre Video Ident.

von Rudolf Linsenbarth

Video Ident ist zwar noch keine digitale Identität, sondern ein digitalisiertes Identifizierungs­verfahren. Prinzipiell kann man diese Identität speichern und wenn man sie mit einer starken Authentifizierung verknüpft, lässt sich daraus eine digitale Identität ableiten. Im Prinzip sind alle mir bekannten rechtswirksamen Digitale-Identitäten von einem amtlichen Ausweis abgeleitet. Auch ein Kunde, der mit Hilfe einer Girokonto-Verbindung zur Kundenidentifizierung identifiziert werden soll, ist irgendwann einmal mittelbar oder  unmittelbar durch seinen Ausweis identifiziert worden.

Mit dem im November 2010 eingeführten „neuen Personalausweis“ hat der Staat ein Identifikationsmedium geschaffen, dass auch eine direkte Online-Ausweisfunktion ermöglicht. Es ist jetzt müßig darüber zu philosophieren, warum sich dieses sichere und schnelle Identifikationsverfahren immer noch nicht durchgesetzt hat.

Betrachten wir einmal den Rechtsrahmen von digitalen Identifizierungsverfahren im praktischen Einsatz. Grundsätzlich unterliegt die Identifizierungspflicht, für unterschiedliche Anwendungen, jeweils einem eigenen Regelungsregime. Anwendungsfälle wären:

1. Identifizierung im hoheitlichen Bereich:
   Der digitale Behördengang
   Hier ist eigentlich nur der Personalausweis oder ein notifiziertes Verfahren aus einem anderen EU-Land vorgeschrieben. Für Bürger aus einem EU-Land ohne notifiziertes Verfahren wird die eID Karte eingeführt. Weiterhin ist über das Online-Zugangsgesetz OZG auch die Zulassung privater Anbieter von Identifizierungslösungen geplant.
2. Identifizierung für die Kontoeröffnung bei einer Bank: Die gesetzliche Grundlage liefert das Geldwäschegesetz (GwG). Aufsichtsführende Behörde ist hier die BaFIN.
3. Identifizierung für die Freischaltung einer Mobilfunknummer
   Hier greift das Telekommunikationsgesetz TKG Paragraph 111. Die zuständige Aufsichtsbehörde ist die Bundesnetzagentur.
4. Vertrauensdienste
   Qualifizierte elektronische Vertrauensdienste sind z.B. Signatur-, Siegel-, Zeitstempel- und Zustelldienste. Sie sind wichtige Werkzeuge auf dem Weg in eine digitale Gesellschaft. Welche Anforderungen hier an eine digitale Identifizierung gestellt werden, soll im Nachfolgenden näher beleuchtet werden.

Aufsichtsbehörde für elektronische Vertrauensdienste in Deutschland ist die Bundesnetzagentur.

 

Die von der Bundesnetzagentur beaufsichtigten elektronischen Vertrauensdiensteanbieter findet man unter dem folgenden Link. Den Überblick für alle in Europa zugelassenen Vertrauensdiensteanbieter liefert das folgende Verzeichnis. Die dort gelisteten Dienste werden gegenseitig anerkannt und sind daher auch in Deutschland rechtswirksam.

Der Verwendungsablauf eines elektronischen Vertrauensdienstes wird im folgenden Bild beschrieben

Das Bundesamt für Sicherheit in der Informationstechnik ist die deutsche öffentliche Zertifizierungsstelle. Darüber hinaus gibt es in Deutschland folgende private Zertifizierungsstellen

• TÜV Informationstechnik GmbH (Unternehmensgruppe TÜV NORD)
• T-Systems GEI GmbH (Security Consulting & Engineering)
• datenschutz cert GmbH
• SRC Security Research & Consulting GmbH

Die Anforderungen an die Identifizierung für einen Vertrauensdienst wird in der EU Verordnung Nr. 910/2014 geregelt. Konkret beschrieben in Artikel 24 „Anforderungen an qualifizierte Vertrauensdiensteanbieter“. Dort werden sinngemäß die folgende Möglichkeiten der Identifizierung gelistet:

a persönliche Anwesenheit
b aus der Ferne mit dem elektronischer Personalausweis oder einem anderen notifizierten Ausweisdokument
c durch ein Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels (z.B. die Signaturkarte des Elektronisches Abfallnachweisverfahren)
d durch sonstige Identifizierungsmethoden, die eine gleichwertige Sicherheit bieten und von einer Konformitätsbewertungsstelle bestätigt wurden

Interessant wären also die sonstigen Identifizierungsmethoden. Dafür gibt es in Deutschland eine Besonderheit, die sogenannte Modulbestätigung. Das soll eine Verkürzung für den Zertifizierungsprozess eines Vertrauensdiensteanbieters ermöglichen. Die Bundesnetzagentur führt eine Liste der Identifizierungsverfahren, die eine Modulbestätigung erhalten haben.

Eine alternative Identifizierungsmethode erhält diese Modulbestätigung von der Bundesnetzagentur nur, wenn sie vom Bundesamt für Sicherheit in der Informationstechnik BSI anerkannt ist. Das einzige Verfahren, das über eine solche Anerkennung unter bestimmten Bedingen verfügt, ist das Video-Ident-Verfahren.

(Update 21.04.2021) Mittlerweile werden auch sogenannte Auto Ident Verfahren zugelassen. Hierbei erfolgt der optische Abgleich zwischen Personalausweis und dem Gesicht seines Besitzers nur durch eine App ohne dass dafür ein Mensch in einem Call-Center benötigt wird. Details unter folgendem Link (Update Ende)

Keine deutsche Modulzertifizierung oder den Nachweis als in Deutschland anerkanntes Verfahren benötigt ein Identifizierungsdienstleister, der seine Identifizierungsdienstleistung in einem anderen EU-Land anbietet. Dann gelten nur die Kriterien der dortigen Aufsichtsbehörden. Eine auf diesem Wege erstellte Signatur ist in Deutschland auch dann rechtswirksam, wenn hierfür ein Identifizierungsverfahren verwendet worden ist, das weder das BSI noch die Bundesnetzagentur für adäquat halten.

Wir betreiben also bei den Identifizierungskomponenten der Vertrauensdiensteanbieter für eine „Identität Made in Germany“ einen hohen Aufwand. Daher ist es nur schwer verständlich, warum wir das nicht nutzen, um ein einheitliches Identifizierungs-Ökosystem aufzubauen.

Ein Identifizierungsdienstleister sollte die Modulkonformität nur einmal bestätigen müssen, um dann nach einem einheitlichen Verfahren sowohl die Identität von Mobilfunkkunden, die Identifizierung von Bankkunden gemäß GwG und die Identifizierung für die Fernsignatur von Kreditverträgen vorzunehmen.

Ich hoffe, dass hinter dem Projekt Optimos 2.0 die Idee steht, eine Digitale Identität aus einem Guss zu etablieren.Rudolf Linsenbarth