Digitale Identitäten

Identity Wallets: Vorteile und Luxusfallen

Okt 24, 2023

Dieser Artikel befasst sich mit den Vorteilen und möglichen Verpflichtungen, die wir bei der Einführung digitaler Identitätsbörsen auf uns nehmen.

Von Thomas Osinga (Tribe Lead Onboarding & Orchestration bei Signicat)

#Was sind Luxus-Fallen?

Portrait of Thomas Osinga
Thomas Osinga, Foto: Signicat

In seinem Buch Eine kurze Geschichte der Menschheit[1]Eine kurze Geschichte der Menschheit kommt Yuval Noah Harari zu dem Schluss, dass der Mensch Schwierigkeiten hat, die Nebenwirkungen neuer Technologien vorherzusagen. In einem Kapitel mit dem Titel “The Luxury Trap” (Die Luxusfalle) verwendet er die Erfindung der Landwirtschaft als frühestes Beispiel. Sie bietet den offensichtlichen Vorteil einer vorhersehbaren  Nahrungsmittelversorgung, hat aber später auch Nachteile: Um sich um ihre Ernten zu kümmern, beginnen Nomadenvölker in Siedlungen zu leben, wo sie mehr Krankheiten ausgesetzt sind, während erhöhte Geburtenraten die Nahrungsmittelüberschüsse vernichten.

Ein modernes Beispiel ist das Smartphone. Es hat uns große Vorteile gebracht, aber auch unser Verhalten auf unvorhergesehene Weise verändert: Es lenkt unsere Aufmerksamkeit ab und kann uns süchtig nach Informationen machen.

Eine kurze Geschichte der Menschheit hat mich dazu inspiriert, die Vorteile und “Luxusfallen” einer neuen Erfindung zu untersuchen: die digitale Identitätsbörse (Identity Wallet).

#Digitale Identitätsbrieftaschen

Digitale Identitätsbrieftaschen sind Apps zur Verwaltung Ihrer Identität auf Ihrem Telefon. Sie ermöglichen es Ihnen:

  • Speicherung und Weitergabe von Daten zur Personenidentifizierung (z. B. Name, Geburtsdatum)
  • Ihre (Fern-)Anwesenheit nachzuweisen (indem Sie diese über die App bestätigen)
  • andere Arten von Berechtigungsnachweisen, so genannte “Bescheinigungen”, zu speichern und zu teilen (z. B. Führerschein, Zugang zu einem Bankkonto oder Schulabschluss)
  • Transaktionen zu genehmigen oder Dokumente zu unterzeichnen.

Die Europäische Kommission hat kürzlich eine Initiative ergriffen, um die Entwicklung dieser Apps zu fördern (und zu regulieren).

#Sind Identitäts-Wallets wirklich neu?
Man könnte argumentieren, dass es Identitäts-Wallets bereits gibt: In vielen europäischen Ländern gibt es Apps, die eine Online-Identifizierung und -Authentifizierung ermöglichen, oft als elektronische Identitäten (eIDs) bezeichnet.

Das Problem bei den derzeitigen eIDs ist jedoch, dass ihre Verwendung oft auf bestimmte Bereiche beschränkt ist:

  • einen bestimmten Sektor (z. B. kann die niederländische DigiD nur im niederländischen öffentlichen Sektor verwendet werden)
  • einen begrenzten Datensatz (z. B. liefert die schwedische BankID keine Wohnanschrift)
  • Ein inländischer Markt (z. B. kann FranceConnect nur von Organisationen genutzt werden, die in Frankreich registriert sind).

Diese Einschränkungen führen zu einer Vielzahl von Lösungen für einzelne Märkte, die eindeutig vereinfacht werden müssen. Bei Signicat lösen wir dieses Problem, indem wir über eine einzige technische Plattform[2]Digital identity solutions for the full customer journey, die europaweit die umfassendste ist, Zugang zu einer breiten Palette von Identitätsquellen bieten.

Unser Erfolg unterstreicht jedoch die Notwendigkeit einer weiteren Vereinfachung.

#Worum geht es bei dem EU-Plan?

Die EU schafft Anreize für die nationalen Regierungen, sich stärker zu engagieren und die Verantwortung dafür zu übernehmen, online das zu tun, was sie offline tun: ihren Bürgern Identitäten auszustellen und zu schützen und ihnen die Möglichkeit zu geben, ihre Ausweise weiterzugeben, wenn dies für ihr Fortkommen im Leben erforderlich ist.

Es ist mehr als nur ein Plan. Die Spezifikationen der Wallet-Apps werden derzeit in vier Pilotprojekten getestet, von denen Signicat an zwei beteiligt ist: EWC und NOBID[3]Signicat nimmt an zwei groß angelegten EU-Pilotprojekten zur digitalen Identitätsbörse teil, wobei es im ersten Projekt eine führende Rolle spielt. Es ist zu beachten, dass das Ökosystem die Koexistenz mehrerer Apps ermöglicht.

Es ist mit Wettbewerb zu rechnen: Apple und Google arbeiten hart daran, sich ebenfalls als Anbieter von Geldbörsen zu etablieren, und der jüngste Erfolg von Apple und Google Pay zeigt, dass die Verbraucher bereit sind, Big-Tech-Unternehmen ihre Zugangsdaten anzuvertrauen.

#Die Vorteile: Komfort und Sicherheit

Das Ziel der EU-Initiative für Identitätsbrieftaschen ist es, zu einer bequemen und sicheren Gesellschaft beizutragen, sowohl online als auch offline. Lassen Sie mich die Vorteile mit ein paar Beispielen illustrieren:

  • Bequemlichkeit: Sie erhalten eine App, mit der Sie sich ausweisen können, sei es für einen öffentlichen Dienst (Abgabe der Steuererklärung), für die Arbeit (Unterzeichnung eines Vertrags im Namen einer Organisation), für einen Finanzdienst (Bestätigung einer Zahlung) oder für die Freizeit (Einchecken in einem Hotel). Die App ermöglicht es Ihnen, Anmeldeinformationen zu speichern und über viele Prozessschritte hinweg zu verwenden. So können Sie die App beispielsweise bei einer Fluggesellschaft nutzen, um (1) die Zahlung zu bestätigen, (2) das Ticket zu speichern (3) und sich beim Betreten des Flugzeugs zu identifizieren.
  • Sicherheit: Bots, gefälschte Konten oder Nachahmungsangriffe werden durch den Aufstieg der KI immer fortschrittlicher. Nehmen Sie zum Beispiel den “CEO-Betrug”, bei dem Kriminelle Sie auffordern, Geld mit der Stimme Ihres Chefs zu überweisen. Eine Identitäts-App könnte Ihnen dabei helfen, die Identität eines Absenders zu überprüfen, indem sie jeder Nachricht, jedem Anruf oder jedem Video eine “digitale Signatur” hinzufügt, die sicherstellt, dass der Absender derjenige ist, für den er sich ausgibt. Die App kann auch den Empfänger von Informationen überprüfen: Sie kann z. B. Kinder vor schädlichen Inhalten schützen, indem sie den Nachweis erbringt, dass sie “erwachsen” sind. In Frankreich wird eine solche Überprüfung zu gegebener Zeit erforderlich sein.

Ein weiterer möglicher Vorteil der EU-Wallet könnte der Schutz der Privatsphäre sein. Der Entwurf der EU-Verordnung sieht vor, dass die Wallet dem Nutzer die Kontrolle über die von ihm freigegebenen Daten gibt. Dies wird dadurch erreicht, dass vor der Weitergabe von Daten die Zustimmung des Nutzers eingeholt werden muss und die so genannte “selektive Offenlegung” unterstützt wird, die es den Nutzern ermöglicht, nur das Nötigste weiterzugeben (z. B. “Ich bin volljährig” anstelle meines Geburtsdatums). Die EU-Verordnung schränkt auch die Kontrolle des Emittenten der Brieftasche ein, was sie von den Big-Tech-Alternative abheben könnte, bei denen der Emittent die Regeln bestimmt.

#Neue Verpflichtungen

Bei solch klaren Vorteilen kann es verlockend sein, die (unbeabsichtigten) Nebenwirkungen einer Geldbörse zu ignorieren. “Eines der wenigen eisernen Gesetze der Geschichte ist, dass Luxusgüter dazu neigen, zu Notwendigkeiten zu werden und neue Verpflichtungen hervorzubringen”, schreibt Harari. Was könnten also die neuen Pflichten von Identity Wallets sein?

Ich gebe nicht vor, einen vollständigen Überblick zu haben, aber ich habe versucht, anhand von Initiativen mit ähnlichen Merkmalen (Zugang zu zentralisierten persönlichen Daten, Digitalisierung von Transaktionen) Trends zu erkennen:

#(1) Der Bedarf an weiterer Regulierung, um unerwünschte Datenweitergabe zu kommerziellen Zwecken zu vermeiden
Die Wallet-App macht persönliche Daten leichter zugänglich als je zuvor. Dies kann dazu führen, dass Unternehmen solche Daten in Situationen benötigen, in denen dies zuvor unwahrscheinlich war.

Einer der wichtigsten Grundsätze der EU-Wallet ist, dass sie den Nutzern die volle Kontrolle darüber geben soll, welche Aspekte ihrer Identität, Daten und Zertifikate sie weitergeben. Es sind jedoch Situationen denkbar, in denen die Nutzer praktisch keine andere Wahl haben, als zuzustimmen (oder einen hohen Preis für die Nichtzustimmung zu zahlen).

Das lässt mich an eine Situation in Norwegen denken. Hier gewähren die drei größten Supermärkte einen Rabatt von 10 bis 15 % auf Obst und Gemüse, wenn man beim Einkauf persönliche Daten angibt. Die Nutzung ist einfach: Ihre Zahlungskarte kann als Identifikationsmerkmal verwendet werden. Mindestens die Hälfte aller norwegischen Erwachsenen hat sich für diese Rabatte angemeldet[4]Die Zahl der erwachsenen norwegischen Bürger betrug 2022 4,3 Millionen. Das System Rema 1000 “Æ” hatte im Jahr 2022 über 2 Millionen Mitglieder, das System Kiwi “Trumf” … Continue reading.

Das Problem mit diesen Rabatten wird jedoch deutlich, wenn (zu) viele Menschen mitmachen: Die Supermärkte müssen ihre Grundpreise erhöhen, um ihre Gewinnspannen zu halten. Das Modell wird dann “umgekehrt”: Wer Obst und Gemüse zum “normalen” Preis kaufen will, muss persönliche Daten preisgeben. Anekdotische Hinweise, der Marktanteil der Supermärkte von insgesamt 75 %[5]Die drei Supermärkte Kiwi, Rema 1000 und Coop haben laut NielsenIQ zusammen einen Marktanteil von 75 % in Norwegen. und die Beliebtheit der Rabatte sind Gründe für die Annahme, dass dieses “umgekehrte” Modell für viele gesunde Norweger bereits Realität sein könnte.

Die drei größten Supermärkte gewähren einen Dauerrabatt auf Obst und Gemüse, wenn man beim Bezahlen persönliche Daten angibt.

Kurz gesagt: Opt-in garantiert keine echte freiwillige Zustimmung. Das bringt mich zu der Überzeugung, dass wir (noch mehr) Regulierung brauchen, um einen fairen und datenschutzfreundlichen Handel zu gewährleisten. Mit den neuen EU-Rechtsakten DSA und DMA gibt es erste Anzeichen für die Einführung solcher Vorschriften für große Technologieunternehmen. Das Beispiel der norwegischen Supermärkte zeigt, dass derartige Rechtsvorschriften auch für inländische Monopolisten oder Oligopolisten erforderlich sein könnten.

#(2) Ausgewogene Abwägung zwischen Risiken und Achtung der Menschenrechte. Wir wollen eine sichere Gesellschaft, und wir müssen uns vor Risiken schützen. Die Identity Wallet könnte es uns (und den Regierungen) ermöglichen, Risiken automatisch und viel detaillierter als bisher zu managen.

Ein Beispiel für ein solches detailliertes Risikomanagement sind die Vorschriften zur Bekämpfung der Geldwäsche (AML). Diese Verordnung verpflichtet Finanzdienstleister (wie Banken), die Identität und das Verhalten von Kunden zu überprüfen und verdächtige Aktivitäten an die Behörden zu melden. Auch wenn die Verordnung gute Absichten verfolgt, hat sie auch unerwünschte Nebeneffekte. Manche Menschen werden aufgrund ihrer “schwierigen” Eigenschaften als Bankkunden abgelehnt (so genanntes De-Risking), während andere aufgrund ihres Hintergrunds Schwierigkeiten haben, ihr Geld zu überweisen.

Das Problem bei dem obigen Beispiel ist, dass die Identität einer Person auf eine Reihe von Datenpunkten reduziert wird, die in die Entscheidungslogik eines Systems passen müssen, um “genehmigt” zu werden. Wenn mehr Datenpunkte über die Identitätsbörse zur Verfügung stehen, wird es dann wahrscheinlicher sein, Risiken in mehr Bereichen als heute zu mindern, z. B. im Gesundheits-, Reise- oder Bildungswesen?

Klare, an den Menschenrechten ausgerichtete Richtlinien, die Kontrolle durch die Aufsichtsbehörden (wie bei der Geldwäschebekämpfung) und ein gutes technisches Design der Wallet-App (z. B. der eindeutigen Kennung in den persönlichen Identifikationsdaten der Wallet) können zu ausgewogenen Kompromissen beitragen und eine potenzielle Profilerstellung vermeiden.

#(3) Alternative Lösungen als Schutzmaßnahme
Nicht jeder ist mit der Nutzung von Apps oder digitalen Diensten überhaupt einverstanden. Ohne Alternativen sind diese Menschen nicht in der Lage, an der Gesellschaft teilzuhaben. Alternative Lösungen stellen auch sicher, dass wir auf etwas zurückgreifen können, falls unvorhergesehene Situationen auftreten.

Ein Beispiel dafür ist der Zahlungsverkehr: Während der digitale Zahlungsverkehr auf dem Vormarsch ist, werden Vorschriften erlassen, um sicherzustellen, dass Bargeld für diejenigen, die lieber mit Bargeld bezahlen, eine praktikable Alternative bleibt. “Durchführbar” bedeutet, dass Sie nicht daran gehindert werden, wenn Sie nicht annehmen. Dies trägt zum Vertrauen in das Finanzsystem im Allgemeinen bei und verhindert, dass man in eine Zwangslage gerät.

Für Identitäts-Wallets könnten Alternativen in Form von alternativen Identifikationsmethoden und Zertifikaten bestehen bleiben.

Offene Diskussionen

Offene Diskussionen über diese (und andere) künftige Verpflichtungen werden uns helfen, “Luxusfallen” zu vermeiden, und zu einer Lösung beitragen, die Komfort und Sicherheit bietet und gleichzeitig die Menschenrechte achtet.

Wenn wir es richtig machen, werden wir mit dem Vertrauen der Nutzer belohnt, das für den Erfolg der Geldbörse entscheidend sein wird.

References

References
1 Eine kurze Geschichte der Menschheit
2 Digital identity solutions for the full customer journey
3 Signicat nimmt an zwei groß angelegten EU-Pilotprojekten zur digitalen Identitätsbörse teil
4 Die Zahl der erwachsenen norwegischen Bürger betrug 2022 4,3 Millionen. Das System Rema 1000 “Æ” hatte im Jahr 2022 über 2 Millionen Mitglieder, das System Kiwi “Trumf” hatte im Jahr 2022 2,3 Millionen aktive Mitglieder, das System Coop hatte im Jahr 2023 über 2 Millionen Mitglieder.
5 Die drei Supermärkte Kiwi, Rema 1000 und Coop haben laut NielsenIQ zusammen einen Marktanteil von 75 % in Norwegen.

Ähnliche Beiträge:

  1. Digitale Identitäten. Urbane Daten in vernetzten Städten und Regionen (Podcast)
  2. Structured Credentials for C# Developers: What is a Structured Credential? (Trusted Digital Web project)
  3. Einführung einer EUid: Stellungnahme von Bitkom
  4. Membership Service Provider (Hyperledger Fabric) als Zugangskontrollsystem für IoT-Geräte

Ähnliche Beiträge

Digitale Identitäten

Digitale ID für innovative Materialien

Apr 17, 2024 Ralf Keuper
Digitale Identitäten eID

eID als Katalysator der digitalen Ökonomie

Apr 17, 2024 Ralf Keuper
Digitale Identitäten

DID:RING: Ring Signatures using Decentralised Identifiers For Privacy-Aware Identity Proof⋆

Mrz 19, 2024 Ralf Keuper