24. Mai 2022 Digitale Identitäten: Elektronische Identifikation im Netz

Die digitale Identität dient zur Authentifizierung auf einer Website. Warum sie ein Kernthema der Digitalisierung ist und welche Sicherheitspotenziale sie auszeichnen, erfahren Sie im Beitrag.

Wer sich auf einer Social-Media-Plattform registriert, einen E-Mail-Account oder ein Benutzerkonto beim Online-Shopping anlegt, erstellt dabei neue digitale Identitäten. Diese dienen als Login-Schlüssel für Anwendungen und Services im virtuellen Raum und repräsentieren dabei Userinnen und User, aber auch Organisationen und Unternehmen.

In diesem Beitrag erfahren Sie, mit welchen technischen Methoden digitale Identitäten geschützt werden und worauf Userinnen und User bei der Erstellung und Verwaltung ihrer digitalen Identitäten achten können.

Was ist eine digitale Identität?

Digitale Identitäten ermöglichen Userinnen und Usern die Nutzung verschiedener Dienste und Services im Netz. Sie identifizieren die Userin oder den User in der virtuellen Welt auf ähnliche Weise wie ein amtlicher Lichtbildausweis. Zu diesem Zweck müssen bestimmte Merkmale in Form eines Datensatzes eindeutig einer Person zuordenbar sein: Als individuelles Merkmal dient im Netz häufig eine Kombination aus dem Benutzernamen (beziehungsweise der E-Mail-Adresse) und einem Passwort. Darüber hinaus können neben Apps zur Freigabe von Transaktionen auch Chipkarten, SMS, Hardware- beziehungsweise Software-Token oder biometrische Daten eine eindeutige Identifikation ermöglichen. Neben der Anmeldung auf einer Website kann die digitale Identität zur Unterzeichnung von Verträgen genutzt werden (digitale Signatur).

Wozu benötigen wir digitale Identitäten?

Prinzipiell müssen Userinnen und User für jeden informationstechnischen Service im Netz einen Login anlegen. Da mit jedem Service-Zugang auch Berechtigungen verknüpft sind, ist es notwendig, dass sich Personen und Organisationen bei Online-Diensten mit ihren Login-Daten ausweisen. Wer beispielsweise bei einem Online-Händler persönliche Informationen (Adresse, Bankdaten) hinterlegt hat, kann nach der erfolgten Anmeldung weitere Bestellungen tätigen, ohne seine Daten erneut bekanntgeben zu müssen. Bei besonders sensiblen Online-Services (Online-Banking, Finanzamt, Gesundheitsamt) gelten in der Regel höhere Sicherheitsanforderungen, wie zum Beispiel durch die Zwei-Faktor-Authentifizierung. Die eindeutige Identifikation der Userin oder des Users ist die Grundlage für unzählige Anwendungen im digitalen Raum.

Digitale Identitäten: Risiken und Problemfelder

Unternehmen speichern die Login-Daten und andere von der Userin oder dem User bekanntgegebene Informationen in eigenen Datenbanken. In der Praxis haben Nutzerinnen und Nutzer nur begrenzten Einfluss darauf, was mit diesen Angaben geschieht (ob sie etwa an Dritte weitergegeben werden). Sie vertrauen verschiedenen Anbietern ihre persönlichen Daten an und verlieren dabei häufig den Überblick.

Userinnen und User können außerdem quasi unbegrenzt viele Accounts eröffnen – theoretisch auch bei ein und demselben Anbieter, wenn sie dabei verschiedene E-Mail-Adressen verwenden. Je mehr Daten im Netz für die Schaffung neuer digitaler Identitäten hinterlegt werden, desto höher ist auch das Risiko durch ein Datenleck. Der kontinuierliche Anstieg der Cyberkriminalität hängt wesentlich mit dem Fehlen eines sicheren und einheitlichen Identitätsmanagements zusammen. Denn digitale Identitäten sind eine harte Währung für Cyberkriminelle, die mit gestohlenen Zugangsdaten einen hohen finanziellen Schaden anrichten können.

Digitale Identität: Sicherheitspotenziale bei staatlichen Anbietern

Staatlich garantierte digitale Identitäten bieten ein hohes Maß an Cybersicherheit. So gewährleistet die Mehr-Faktor-Authentifizierung (Passwort-Eingabe kombiniert mit Handy-TAN und Freigabe per Biometrie via Gesichtserkennung oder Fingerabdruck) bei behördlichen Login-Verfahren einen effektiven Schutz gegen Datenklau beziehungsweise Identitätsdiebstahl. Für vergleichbare Sicherheitsmaßnahmen im Bereich Social Login müssen Userinnen und User eigenverantwortlich eine Zwei-Faktor-Authentifizierung aktivieren. Jedoch sorgen staatlich garantierte elektronische Identitäten etwa über behördliche Registrierungsprozesse für mehr Rechtssicherheit und schützen auch die Privatsphäre besser, als das bei den großen ID-Providern des privaten Sektors der Fall ist.

Bei der Erstellung einer digitalen Identität wenden österreichische Behörden ein spezielles Verschlüsselungsverfahren an: Mittels Triple-DES-Algorithmus wird die Melderegisterzahl (ZMR-Zahl) einer in Österreich gemeldeten Person zu einer sogenannten Stammzahl verschlüsselt. Der geheime Schlüssel, der aus der Stammzahl die ZMR-Zahl einer Bürgerin oder eines Bürgers errechnen kann, ist nur der Stammzahlenregisterbehörde bekannt. Mit einer nicht umkehrbaren Einwegfunktion (Hash-Funktion SHA-1) wird aus der Stammzahl eine weitere Kennzahl (das „bereichsspezifische Personenkennzeichen“; bPK) generiert, die bei E-Government-Prozessen zur Identifikation von Personen verwendet wird.

Weitere Vorteile von staatlich garantierten elektronischen Identitäten sind zum Beispiel:

• selbstbestimmte und sichere Weitergabe eigener Daten (Attribute) an Dritte
• hohe Datenaktualität der bereitgestellten Attribute aus den staatlichen Registern
• technische und rechtliche Rahmenbedingungen für digitalen Ausweis am Smartphone sind vorhanden
• bei verschiedenen virtuellen Behördengängen einsetzbar (zum Beispiel Verkehrsamt, Sozialversicherung, Finanzamt)

Self-Sovereign Identity (SSI): Ein Exkurs

Self-Sovereign Identity (SSI; „selbstbestimmte Identität“) ist ein Konzept, nach dem Userinnen und User die vollständige Kontrolle über ihre digitale Identität innehaben. Identitätsnachweise, Zertifikate und andere überprüfbare Informationen zur Person werden dabei in einer Wallet-App (digitale Brieftasche) auf dem eigenen mobilen Endgerät gespeichert. Die digitalen Nachweise stammen dabei von Behörden, Institutionen oder Unternehmen. Neben sehr hohen Sicherheitsstandards räumt das Konzept den Bürgerinnen und Bürgern Datenhoheit ein: Die Inhaberin oder der Inhaber einer selbstbestimmten Identität entscheidet darüber, wer bestimmte Daten zu welchem Zweck einsehen darf.

Die Grundidee des SSI-Ansatzes ist der Austausch von digitalen Nachweisen beziehungsweise verifizierten Identitätsdaten. Drei unterschiedliche Akteure sind daran beteiligt: die ID-Inhaberin beziehungsweise der ID-Inhaber (Holder), die ausstellende Instanz (Issuer) und die jeweilige Identitätsempfängerin beziehungsweise der Identitätsempfänger (Verifier). Zunächst muss der digitale Nachweis durch den Issuer verifiziert werden – beispielsweise eine behördliche Einrichtung oder eine Hochschule. Der digitale Nachweis für den Führerschein oder ein Abschlusszeugnis wird nun im Wallet abgespeichert. Die ausstellende Organisation kann auch weitere Informationen zur Legitimation des digitalen Nachweises in einem öffentlichen DLT-Netzwerk (Distributed-Ledger-Technologie zur dezentralen Datenspeicherung, zum Beispiel Blockchain) ablegen. Dabei werden keine persönlichen Daten gesammelt, da das Netzwerk stattdessen verschiedene Metainformationen beziehungsweise einen kryptografischen Schlüssel (Decentralized Identifier; DID) speichert. Dieser kryptografische Schlüssel dient als Grundlage für die Authentifikation und den Austausch von digitalen Nachweisen (Verifiable Credential; VC).

Eine dezentrale Public-Key-Infrastruktur (PKI; Infrastruktur für öffentliche Schlüssel) ermöglicht daher die selbstbestimmte und granulare Freigabe von persönlichen Daten. Inhaberinnen und Inhaber einer ID können bei Bedarf bestimmte Daten mit Organisationen oder behördlichen Institutionen teilen, ohne dass eine dritte (unbefugte) Partei davon erfährt. Diese Art der Identitätsverwaltung sichert einzelnen Userinnen und Usern ein Höchstmaß an Datensouveränität. Da keine zentralen Datenbanken existieren, die gehackt werden können, wird mit dieser Technologie auch das Risiko des Identitätsdiebstahls wesentlich reduziert.