In den Markt für Digitale Identitäten ist in den letzten 12 Monaten Bewegung gekommen. Das ist zum großen Teil auf die verschiedenen Login-Allianzen zurückzuführen, die im vergangenen Jahr fast zeitgleich ihren Hut in den Ring geworfen haben. Für den Betrachter wird das ohnehin schon techniklastige Thema schnell unübersichtlich. Orientierung ist daher nötig. In welche Richtung entwickelt sich der Markt für die Digitale Identitäten, welche Lösungen sind dabei besonders vielsprechend und wie ist die Situation auf dem deutschen Markt zu bewerten? Welche Rolle übernehmen offene Standards dabei? Auf diese Fragen gibt Kar Illing, Leiter des Kompetenzbereichs Digital Identity für die DACH Region bei INNOPAY, Antwort.

Karl Illing, INNOPAY
  • Herr Illing, was macht INNOPAY und welche Funktion üben Sie dort aus?

INNOPAY wurde vor über 15 Jahren in Amsterdam als Innovationssschmiede mit Payment-Fokus gegründet – unser größter Meilenstein war damals die Entwicklung des Zahlverfahrens iDEAL für die niederländischen Banken, welches immer noch marktbeherrschend ist. Mittlerweile sind wir eine Management-Beratung mit über 60 Beratern und unterstützen unsere Kunden sektorübergreifend bei der digitalen Transformation, insbesondere zu Themen rund um „digitale Transaktionen“: Payment, Data Sharing und eben Digital Identity. In letzterem Gebiet führen wir mittlerweile weltweit Projekte durch – oftmals für große Stakeholder-Gruppen mit dem Ziel, gemeinschaftliche Verfahren – sog. Trust Frameworks – zu entwickeln. Ich selbst leite u.a. unseren Kompetenzbereich Digital Identity in der DACH Region aus unserem Frankfurter Büro heraus.

  • Worin unterscheiden sich Deutschland und die Niederlande hinsichtlich der Verbreitung und Akzeptanz digitaler Identitäten?

Die Niederlande sind Deutschland beim Thema digitale Identitäten doch ein Stück voraus, zumindest bei Anwendungen, die eine verifizierte Identität benötigen, wie z. B. e-Government oder Finanzangelegenheiten. Für digitale Behördengänge wird in den Niederlanden schon seit vielen Jahren das zentrale Login-Verfahren DigiD genutzt. In Deutschland stehen wir diesbezüglich ja noch ziemlich am Anfang. Seit 2016 ist auch das privatwirtschaftliche Identifikationsverfahren iDIN am Start, welches wir aufbauend auf der iDEAL-Infrastruktur entwickelt haben. Genau wie bei einer iDEAL-Zahlung logge ich mich dabei bei meiner Bank ein, und gebe, statt eines Geldtransfers, die Übertragung meiner verifizierten Identitätsdaten frei. iDIN hat sich seit seinem Start sehr erfolgreich entwickelt und ist mittlerweile nicht mehr nur bei Kreditanfragen oder Versicherungsabschlüssen im Einsatz, sondern wurde auch im Rahmen der elektronischen Steuererklärung erfolgreich pilotiert. Wichtige Erfolgsfaktoren waren und sind die eingängige (und gewohnte) User Experience und 90% userseitige Marktabdeckung ab Tag eins durch die Partizipation aller wichtiger Banken im Land. Zugegeben, dies ist in den Niederlanden etwas einfacher als in Deutschland, wo die stark zerklüftete Bankenlandschaft den kollaborativen Ansatz schwieriger macht. Das können wir ja sowohl im Payment- als auch im Identity-Umfeld beobachten. Ungeachtet dessen hat sich in unserem Nachbarland nach meinem Empfinden stärker die Einsicht durchgesetzt, dass es für den Gesamtmarkt bisweilen Sinn macht, bei infrastrukturnahen Themen gemeinsame Sache zu machen. Dies sorgt für Reichweite und Skalierbarkeit, während man sich durch Zusatzdienstleistungen wettbewerblich differenzieren kann. Diese Denkweise ist auch tief in der INNOPAY-Philosophie verankert.

  • In letzter Zeit sind einige sog. Login-Allianzen an den Start gegangen, wie Verimi, netID und YES. Wo sehen Sie die Stärken und Schwächen der Lösungen zum jetzigen Zeitpunkt?

Zunächst muss man ja festhalten, dass sich die unterschiedlichen Initiativen in ihrer Ambition und ihrem Ansatz stark voneinander unterscheiden, auch wenn es natürlich Überlappungen gibt. netID ist zunächst ein reines „Login-Scheme“, aus Usersicht letztlich ein 1:1 Ersatz für Facebook oder Google Login ohne verifizierte Identitäten (mal abgesehen von der angedeuteten Kooperation mit YES). Ob die deutsche bzw. europäische Herkunft als USP ausreicht, ist abzuwarten, insbesondere, da ja auch hier das deklarierte Ziel, getrieben von der ePrivacy-Verordnung, das Ausspielen von personalisierter Werbung ist. Ein großer Vorteil ist andererseits die unmittelbare Reichweite auf Nutzerseite durch vorhandene Email-Konten, genauso wie die Offenheit des Schemes gegenüber weiteren Teilnehmern. Verimis Ansatz ist es, durch eine mehrstufig verifizierte Identität ein breites Spektrum an Anwendungsfällen abzubilden. Zudem will man von jeglicher „Sekundärverwertung“ der Daten, z. B. für Werbung, strikt absehen. Diese klare Abgrenzung gegenüber social logins ist sicherlich positiv. Allerdings ist Verimi eine Plattform, d.h. die Daten werden prinzipiell zentralisiert und User müssen darauf vertrauen, dass Verimi diese entsprechend schützen kann. Zudem bedingt der Plattform-Ansatz, dass sich jeder neue User erst einmal selbst registrieren muss. Und dies tut er wiederum nur, wenn der Mehrwert klar ist, also u.a. genügend Akzeptanzstellen vorhanden sind. Das ist eine Herausforderung. Die Gewinnung von öffentlichen Stellen als Akzeptanten, wie in Thüringen geschehen, sind ein wichtiger und signalkräftiger Schritt in diese Richtung. YES dagegen ist ein Broker, der die geprüften Bankidentitäten von Usern für andere Online-Dienste verfügbar macht. Dies ist im Kern ähnlich anderen Bank-basierten Verfahren, wie eben iDIN in den Niederlanden und auch BankID in Skandinavien. Die Daten bleiben dabei dezentral an ihrem Ursprung, nämlich bei der jeweiligen Bank des Nutzers. Im Unterschied zu unseren Nachbarländern kann YES allerdings nicht auf die Gesamtheit der Banken bauen, auch wenn Sparkassen und Volksbanken für den nun wohl für Q2 anstehenden Launch an Bord sind. Wie gesagt, die Ansätze sind sehr unterschiedlich geartet und stehen nur bedingt in Konkurrenz zueinander. Sie alle haben Potenzial, eine nachhaltige Rolle in der deutschen Identity-Landschaft zu spielen, haben aber auch jeweils spezifische Herausforderungen zu meistern. Ich bin gespannt, wie sich die Situation in den nächsten 2-3 Jahren entwickeln wird.

  • Wäre die Einigung auf ein Verfahren, einen gemeinsamen europäischen Standard bei den Digitalen Identitäten ein geeigneter Weg, um den mehr oder weniger proprietären Lösungen die nötige Skalierung und Reichweite zu verschaffen?

Auf die Einigung auf ein gemeinsames Verfahren für Europa zu hoffen wäre nicht realistisch, und ich bin auch nicht sicher, ob es wünschenswert wäre. Nicht realistisch, weil wir ja wissen, wie schwierig eine solche Einigung alleine schon in Deutschland ist. Nicht wünschenswert, weil jeder Markt seine Eigenheiten hat, ein gewisser Wettbewerb gut ist und auch unterschiedliche User-Präferenzen und Anwendungsfälle abgedeckt werden müssen. Allerdings sollten wir durchaus eine Interoperabilität einzelner Verfahren anstreben, so wie eIDAS dies für die staatlichen eID-Verfahren vorsieht. Dies kann man durch ein entsprechendes Interoperabilitätsframework erreichen, welches Standards auf technischer und Datenebene festlegt. Auch das reicht allerdings nicht unbedingt aus. Technisch wären z.B. die Zahlverfahren iDEAL, giropay und EPS durchaus interoperabel gewesen, das ist dann allerdings an anderen Aspekten gescheitert. Unabhängig hiervon glaube ich, dass in Zukunft spezialisierte Identity-Dienstleister an Bedeutung gewinnen werden, die die Anbindung von unterschiedlichen Identitätsverfahren an Relying Parties vereinfachen, ähnlich wie dies Payment Service Provider für Zahlverfahren machen. Das könnte ein Stück weit die mangelnde Interoperabilität kompensieren.

  • Einige Branchenbeobachter bedauern, dass paydirekt nicht um Digitale Identitäten ergänzt wurde. Welche Vorteile hätte diese Kombination gehabt?

Das bringt mich nochmal zurück zu der Kombination iDEAL/iDIN: Nutzung vorhandener Infrastruktur, ein gewohnter Userflow und Einbezug der gesamten Bankensektors, auch wenn die Ausgangsposition eine andere war. Es wäre sicherlich eine Chance für die deutschen Banken gewesen, ein einheitliches Bankenverfahren aus eigener Hand anzubieten und gleichzeitig, das Thema Paydirekt mit einem echten Mehrwert aufzuladen.

  • Welche Rolle könnten selbstverwaltete digitale Identitäten (Self sovereign identities) auf Blockchain-Basis künftig übernehmen?

Es gibt ja durchaus unterschiedliche Auffassungen, was SSI ist oder sein sollte. Wenn ich SSI als eine auf Blockchain basierende Infrastruktur definiere, die es ermöglicht, ohne eine vermittelnde Partei die Herkunft bestimmter Identitätsinformationen sicher zu verifizieren, dann kann dies in Zukunft eine große Rolle spielen. Dadurch können das Teilen und Verifizieren von Identitäten einfacher, sicherer und „privater“ werden. SSI bedeutet übrigens nicht, unabhängig von vertrauenswürdigen Dritten (z.B. Banken) zu sein, die die Echtheit einer Identität attestieren. Auch ändert es nichts an der Tatsache, dass Relevanz nur durch eine breite Marktakzeptanz entstehen kann. Insellösung werden es also, unabhängig von der verwendeten Technologie, schwer haben. Breit angelegt und eingebettet in ein übergreifendes Framework kann der SSI-Ansatz jedoch zukunftsweisend sein.

  • Herr Illing, besten Dank für das Gespräch!