Digitale Identität
In unserer Artikelserie »Digitale Identität« spüren wir philosophischen, alltäglichen und technischen Aspekten von Identitäten im digitalen Raum nach.
Im zweiten Teil der Artikelserie »Digitale Identität« haben wir uns der Verlagerung von Identitätsbildung ins Digitale angenommen. Denn, so mussten wir feststellen: In digitalen Räumen interagieren Individuen fast immer auch mit soziokulturellen Kontexten und produzieren dabei ihre Identität. Das legt aber nicht nur Gutes offen: Gerade in den Sozialen Medien können gesellschaftlich stigmatisierte oder strafrechtlich relevante Neigungen von Personen oft ungestört ausgelebt werden. Für marginalisierte Menschen werden viele Online-Plattformen damit zum ungeschützten Raum. Der dritte Teil unserer Artikelserie beschäftigt sich nun mit den Möglichkeiten von Digitalen Identitäten als Instrument der Authentisierung im Netz.
Digitale Identitätsnachweise
Im Kontext des Digitalen Wandels heißt es oft, »Digitale Identitäten« würden die Basis digitaler Transformation bilden, egal ob im Privaten, in der Wirtschaft, ganz besonders aber in der Verwaltung. Was genau eine »Digitale Identität« sein soll, wird in diesem Zug meist nicht hinreichend erklärt. Doch auch hier hilft abermals die Differenzierung in eine der beiden wesentlichen Bedeutungsdimensionen von Identität.
Die klassische »Digitale Identität« ähnelt eher dem Identitätsprinzip, das uns in der formalen Logik begegnet. Denn »Digitale Identität«, auch »Elektronische Identität«, bezeichnet einen digitalen Identitätsnachweis, mit dessen Hilfe sich Personen online ausweisen können. So soll sichergestellt werden, dass eine digital agierende Person mit der physisch existierenden Person übereinstimmt – letztlich also wieder einmal »identisch« ist. Im Normalfall soll nur diese eine, spezifische und einzigartige natürliche Person Zugangsberechtigung zu einem angeforderten digitalen Dienst erhalten. Aber von vorne: Wie entsteht diese Digitale Identität überhaupt, wie weist sich eine Person konkret aus und wie wird die Übereinstimmung geprüft? Hier gilt es vorerst, in drei wesentliche, häufig durcheinandergebrachte Begriffe zu unterscheiden.
Von Identifizierung, Authentisierung und Authentifizierung
Am Anfang einer jeden Digitalen Identität steht die Identifizierung, die die Erstellung einer solchen bezeichnet. Ganz basal kann das zum Beispiel die Verknüpfung einzigartiger Identitätsmerkmale wie Name, Geburtsdatum und Adresse mit einem Nutzernamen und dem zugehörigen Passwort sein. Eine deutlich sicherere Art der Identifizierung wäre die Verknüpfung von Identitätsmerkmalen mit einem biometrischen Merkmal, zum Beispiel einem Fingerabdruck, oder der Besitz eines behördlich ausgestellten Personalausweises mit Online-Ausweisfunktion.
Möchte ich mich nun bei einem digitalen Dienst anmelden, muss ich mich authentisieren, sprich, meine Identität nachweisen. Das kann mittels Wissens, zum Beispiel über mein Passwort, durch meinen Fingerabdruck oder die Nutzung der Online-Ausweisfunktion des Personalausweises geschehen.
Im letzten Schritt muss der Provider des digitalen Dienstes meine Identität noch technisch prüfen, im Fachjargon Authentifizierung genannt. Hierbei wird verifiziert, ob die von mir erbrachten Nachweise über meine Identität tatsächlich den in der Identifizierung hinterlegten Daten entsprechen.
Wie war nochmal mein Passwort?
Ein Mensch besitzt im digitalen Raum meist nicht nur eine Identität, sondern etliche dutzend, wenn nicht gar hunderte. Die Bundesdruckerei spricht in diesem Zusammenhang sogar von einer regelrechten Identitätsinflation. Denn die meisten digitalen Dienste operieren (noch) mit isolierten digitalen Identitäten. Ob Onlinehandel, Streamingdienste, Bike- oder Carsharing, ob Programme auf dem Laptop, Apps auf dem Smartphone oder Smart-TV – für jede Anwendung müssen sich Nutzer*innen im Vorfeld registrieren. Das heißt konkret: eine neue isolierte Digitale Identität, auch »Silo-Identität« genannt, erstellen. Möchten sie eine digitale Dienstleistung dann nutzen, müssen sie sich dafür anmelden, oder besser: authentisieren. Und schon beginnt das allseits bekannte Chaos: Passwort suchen, »Ups, vergessen und nirgendwo notiert«, Passwort zurücksetzen, ein neues setzen, mal wieder nicht notieren… Ja, die Organisation solcher dutzenden bis hunderten Digitalen Identitäten, meist Nutzername-Passwort Kombinationen, fordert einiges an Mühen ab – trotz der Möglichkeit von Passwort-Managern.
Ansätze, ein solches Durcheinander zu vereinfachen, gibt es mehrere. Passkeys sind einer davon und beschreiben ein Verfahren, das passwortloses Anmelden ermöglichen soll. Die isolierte Silo-Identität, die für die Nutzung eines bestimmten Online-Dienstes erstellt werden muss, bleibt dabei weiterhin existent. Anstelle einer Anmeldung mit Benutzername und Passwort tritt allerdings der Login mit einem Fingerabdruck oder Gesichtsscan. Der Vorteil daran: Passkeys sind sicherer und vereinfachen gleichzeitig den Prozess der Authentisierung für die Nutzer*innen um ein Vielfaches – denn für eine Anmeldung bei einem Dienst benötigt man kein Passwort mehr, das vergessen oder von Dritten abgegriffen werden kann. Letztere, also gezielte »Pishing«-Angriffe (»Passwort-Fishing«), werden durch Passkeys sogar verunmöglicht. Schließlich operiert ein Passkey nicht nur mit der Authentisierung über den Fingerabdruck oder Gesichtsscan. Vielmehr läuft ein komplexes, kryptografisches Verfahren im Hintergrund ab, das einen auf dem eigenen Gerät gespeicherten, geheimen Schlüssel mit einem beim Onlinedienst hinterlegten öffentlichen Schlüssel abgleicht. Die Anmeldung mit Fingerabdruck oder Gesicht ist also nur das sichtbare, weitaus kleinere Frontend – im Hintergrund vollzieht sich ein weitaus umfassenderer Authentisierungsprozess.
Mit einem Klick zum Datenschutzproblem
Globale Tech-Riesen wie Google, Facebook/Meta oder Apple bieten zudem sogenannte »Single-Sign-Ons«, kurz »SSO‘s«, an. Der Gedanke dahinter scheint zunächst simpel und nachvollziehbar: Nutzende können die Digitale Identität, die oft ohnehin bereits bei einem der großen Dienstleister angelegt wurde, verwenden, um sich auf den Plattformen anderer Online-Dienstleister zu authentisieren. Genannte Großkonzerne fungieren dabei als sogenannter ID-Provider, die eine Digitale Identität einer zu authentisierenden Person auf der Grundlage der bei ihnen bereits hinterlegten Daten bestätigen. Problematisch ist der SSO-Ansatz vor allem deshalb, weil er die Datensouveränität der Nutzer*innen unterminiert. Denn die sollen eigentlich über die Verwendung ihrer Daten umfassend informiert werden, um dann in der Lage zu sein, autonom zu entscheiden, welche Daten verarbeitet und weitergereicht werden. Dieses Maß an Transparenz und Kontrolle über personenbezogene Daten ist beim SSO-Ansatz aber nicht gegeben. Denn der SSO-Anbieter hat prinzipiell jederzeit Einsicht darin, was Nutzende mit der weitergereichten Digitalen Identität auf anderen Plattformen tun. Zumal oft nicht ersichtlich wird, ob und in welchem Umfang Online-Dienstleister und SSO-Provider Daten austauschen, etwa zum Nutzer*innenverhalten. Explizite Einwilligungen dafür holen die Online-Dienstleister meist nicht ein, weswegen Rechtsexpert*innen das »Single-Sign-On«-Verfahren oft als datenschutzrechtlich problematisch bewerten. Noch dazu bringen sich Nutzende in ein starkes Abhängigkeitsverhältnis zu den entsprechenden großen Tech-Konzernen. Wird etwa der Account gelöscht, verschwinden mit ihm auch alle SSO’s für andere Dienste.
Eine Zukunft ohne Passwort-Wirrwarr
Dennoch gibt es sie: Verfahren, die die abermalige Erstellung einer Silo-Identität prinzipiell zu umgehen ermöglichen und dabei datenschutzkonform im Sinne der Datenschutzgrundverordnung (»DSGVO«) sind. Die Online-Ausweisfunktion des Personalausweises etwa ist ein solcher datenschutzfreundlicher elektronischer Identitätsnachweis. Dreh- und Angelpunkt ist hierbei ein kleiner Chip, der physisch im Ausweisdokument platziert ist und auf dem staatlich beglaubigte Personendaten zur Identifizierung einer Person gespeichert sind. Im Fall einer solchen hoheitlichen Digitalen Identität fungiert also der Staat als ID-Provider für digitale Dienste. Zur Authentisierung mittels der Online-Ausweisfunktion ist lediglich ein NFC-fähiges Smartphone mit einer geeigneten App notwendig, das die auf dem Chip gespeicherten personenbezogenen Daten ausliest und an den zu nutzenden, einer Anmeldung bedürftigen Dienst übermittelt. Besonders hierbei ist, dass sich stets beide Seiten ausweisen. Nutzer*innen können also genau nachvollziehen, an wen ihre Daten übermittelt wurden.
Größtes Manko des Online-Ausweisens ist aber vor allem, dass es bis dato noch an konkreten privatwirtschaftlichen Anwendungsmöglichkeiten mangelt. Aktuell ist der Einsatz der Online-Ausweisfunktion vor allem auf behördliche Verwaltungsdienstleistungen, zur Legitimationsprüfung bei Finanzdienstleistern, zur Altersbestätigung in Online-Shops und einigen weiteren Use-Cases beschränkt. Silo-Identitäten oder SSO’s können also noch nicht vollends abgelöst werden. Und so lässt eine Zukunft ohne Passwort-Wirrwarr noch ein wenig auf sich warten – in der Zwischenzeit können Passkeys Abhilfe schaffen.
Im nächsten Teil unserer Artikelserie sprechen wir mit Prof. Dr. Marian Margraf und Martin Seiffert vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC über den aktuellen Stand der Technologie Digitaler Identitätsnachweise sowie über mögliche zukünftige Entwicklungen.
(rah)