Von Ralf Keuper

Es ist eine der Fragen, welche Bürger, IT-Sicherheitsexperten, Management-Berater, Medienvertreter, Banker und weitere Personenkreise seit Jahren beschäftigt: Warum nur kommt die eID in Deutschland nicht ans Fliegen? Liegt es an der Technik, an den Sicherheitsanforderungen, an fehlenden Anwendungsfällen, am mangelnden Willen der Beteiligten, oder schlicht an Unvermögen? Ist auch dieses Projekt für Deutschland zu groß und zu komplex?

Sinnbildlich für den Stand der Diskussion ist ein Gesprächsverlauf auf twitter, der sich an der Frage entzündete, ob die von den Banken in Deutschland favorisierte Lösung in Gestalt der ID-Wallet und Basis-ID, bei der die Nutzerinnen und Nutzer die Souveränität über die Verwaltung ihrer Identitätsdaten haben, nicht schon gescheitert sei^[1]Streit um digitale Identitäten: Banken wollen trotz vieler Kritik an einer ID-App festhalten. In der Tat hat sich das BSI zuletzt in dem Eckpunktepapier für Self-sovereign Identities (SSI) noch einmal betont kritisch zu den Einsatzmöglichkeiten von SSI-Lösungen auf Blockchain- bzw. DLT-Basis geäußert.

Parallel dazu ist die von der (ehemaligen) Bundesregierung angestrebte Smart eID ins Stocken geraten^[2]Mehrfach verschoben: E-Perso fürs Smartphone lässt weiter auf sich warten. Indes hat die Bundesnetzagentur kurz vor Weihnachten den Weg für die Identifizierung auf dem Smartphone mittels eID frei gemacht^[3]Digitale Identität: Ausweisen mit Smartphone ab sofort möglich​. Apple musste übrigens den Start für den digitalen Führerschein auf dem Smartphone in den USA um einige Monate verschieben^[4]iPhone als digitaler Ausweis: Apple muss US-Einführung aufschieben.

Fehlender Wille und Strategie von Politik und Wirtschaft

Einer der Hauptgründe für die schleppende Akzeptanz der eID in Deutschland ist der fehlende Wille von Politik und Wirtschaft, eine gemeinsame, anwenderfreundliche Lösung auf den Markt zu bringen. Darin unterscheidet sich von Norwegen, Schweden, Finnland und Dänemark. “Im Jahr 2018 besaßen zwischen 70 und 90 Prozent der Bürger in Norwegen, Schweden, Dänemark und Finnland eine eID. Die Zahl der abgewickelten Transaktionen mit einer eID lag in Milliardenhöhe. Mittlerweile sind eIDs dort ein fester Bestandteil des Alltags. Sie werden verwendet, um auf Dienstleistungen von Banken oder Behörden zuzugreifen, um sich bei Online-Services zu registrieren und anzumelden oder um Verträge und Vereinbarungen digital zu unterschreiben. Darüber hinaus nutzen die Skandinavier ihre eID zum Registrieren bei neuen Services, zum Authentifizieren bei Käufen, zum Verwalten ihrer Krankenversicherung und quasi für alle anderen digitalen Interaktionen, bei denen eine Authentifizierung notwendig ist”^[5]Wie Finanzdienstleister jetzt von digitalen Identitäten profitieren: Das skandinavische Modell.

Davon sind wir in Deutschland und den anderen Ländern der EU noch weit entfernt. Anderes als in Skandinavien hat es hierzulande bislang keinen Schulterschluss zwischen Politik, Wirtschaft und Zivilgesellschaft gegeben. Die Banken, eigentlich prädestiniert für eine Führungsrolle, haben versucht, mit mehr oder weniger proprietären Lösungen wie Verimi und YES ihr eigenes Ding zu machen – mit sehr überschaubaren Erfolg^[6]“Skandinavische Länder wie Norwegen, Schweden, Dänemark und Finnland haben es vorgemacht, wie man individuelle, von Banken bereitgestellte eID-Systeme mit beispielloser Akzeptanz und hoher … Continue reading.

Die Politik hat es dabei belassen, die technisch ausgereifteste und sicherste Lösung bereitzustellen. Bei einer Anhörung im Bundestag räumte Jens Fromm vom IT-Dienstleistungszentrum Berlin seinerzeit ein, dass man die Nutzer nicht mitgenommen habe^[7]Anhörung über den neuen Personalausweis (nPA) im Bundestag. In Deutschland hätten wir gleich einen Mercedes hingestellt, der von der Bedienung her zu komplex ist.

Erst relativ spät hat die Bundesregierung begonnen, dem Thema eID neuen Schwung zu verleihen, wie mit dem Projekt Schaufenster Sichere Digitale Identitäten und der Smart eID. Parallel dazu sorgten Vorstöße des ehemaligen Bundesinnenministers Seehofer, die SteuerID als Personenkennziffer und BürgerID einzuführen, für weitere Irritationen^[8]Streitfall Steuer-ID als Personenkennziffer und Bürger-ID, die wiederum durch die Pläne zur Lancierung einer EUid noch zunahmen^[9]EUid kommt in großen Schritten^[10]Hinzu kommt noch die Vision eines Europäischen Ökosystems digitaler Identitäten. Die übereilte Freischaltung des digitalen Führerscheins durch die damalige Bundesregierung hat dem Konzept Selbstsouveräner Digitaler Identitäten auf DLT-Basis einen schweren Schlag versetzt^[11]ID-Wallet mit Sicherheitsmängeln.

Hektischer Aktionismus 

Der Eindruck drängt sich auf, als wollten die Banken, nachdem sie das Thema Digitale Identitäten über Jahre stiefmütterlich behandelt haben, das Konzept der SSI als letzte Chance nutzen, irgendwie noch eine halbwegs relevante Rolle in der Plattformökonomie zu spielen. Der Staat wiederum befürchtet, die Kontrolle über die Digitalen Identitäten an private Anbieter, wie Apple, abzugeben bzw. gezwungen zu sein, sie mit ihnen zu teilen.

BigTech mit Vorteilen 

Von der Planlosigkeit und den langwierigeren Abstimmungsprozessen sowohl in den Ländern selber wie auch auf EU-Ebene profitieren die großen Technologiekonzerne, welche die für die sichere mobile Identifizierung nötige Hardware und Software aus einer Hand anbieten können, wie Apple und Google. In den USA konnte Apple bereits einigen Bundesstaaten seine Kondition diktieren^[12]Staatliche Vereinbarungen offenbaren Apples Kontrolle über Mobile-ID-Programme. Vor wenigen Tagen gab die Transportation Security Administration (TSA) in den USA bekannt, dass sie ab Februar an zwei Flughäfen mobile Führerscheine akzeptieren wird, gefolgt von Standorten in zwei weiteren Staaten im März^[13]TSA Plans Phased Rollout of Mobile ID Support Starting in February.

Wettlauf der Standards 

Welche Lösung die Chance hat, in Zukunft eine relevante Rolle bei der digitalen Identifizierung zu spielen, hängt auch davon ab, welchen Standard sie unterstützt. Gute Aussichten haben Applikationen, die auf den mDL-Standard (Mobile Drivers License – ISO/IEC 18013-5) aufsetzen^[14]Digitaler Ausweisstandard mDL: Breite Unterstützung in USA erwartet. Dieser wird bereits beim EU-Impfpass, dem Führerschein und dem Reisepass eingesetzt. Die daran beteiligten 200 Länder können damit feststellen, ob ein Ausweisdokument, das ihnen präsentiert wird, echt ist.

Weitere Standards bzw. Initiativen mit einigen Erfolgsaussichten sind die Android Ready Alliance^[15]Google gründet Android Ready Alliance SE für die Verbreitung abgeleiteter Digitaler Identitäten und SAM (Secure Applications for Mobile). Daneben versuchen Initiativen wie GAIN^[16]GAIN: Ein globales, interoperables Identitätsnetzwerk unter Regie der Banken und VEON^[17]VEON bringt neuen Industriestandard für die Validierung digitaler Identitäten auf den Markt Plöcke einzuschlagen.

Vorläufiges Fazit – Digitale Identifizierung als Medienpraktik 

Die Gründe für die geringe Akzeptanz der eID sind vielfältig. Es ist für viele ein noch gewöhnungsbedürftiger Gedanke, dass die Digitale Identifizierung eine Medienpraktik ist^[18]Digitale Identifizierung als Medienpraktik.

Beim Identifizieren handelt es sich um eine ko-operative Medien- und Datenpraktik, an der stets mehr als eine Person beteiligt ist. Sie involviert von Anfang an menschliche Körper samt ihrer semiotischen Ressourcen und koppelt diese mit bürokratischen Aufschreibesystemen. Auch die neuesten digitalen Prozeduren greifen bevorzugt auf Gesichter und Fingerabdrücke zu: Biometrie versucht, den für das Identifizieren konstitutiven Abstand zwischen Konten, Körpern und Personen aufzuheben. …

Medien- und Datenpraktiken des Identifizierens konvergieren in digitalen Gegenwartskulturen, Big Data wie maschinelles Lernen sind Mittel zu diesem Zweck.

Mobile Endgeräte, wie Smartphones, entsprechen diesem Anforderungsprofil momentan am besten. Ob die eID nun besonders sicher und technologisch ausgereift ist, ist angesichts dessen zwar nicht irrelevant, aber letztlich nicht das allein entscheidende Merkmal. Um Erfolg zu haben, muss sie Bestandteil der täglichen Medienpraktik der Menschen sein und über einen Anschluss – wie mittels Standards – an die relevanten digitalen Ökosysteme verfügen. Darauf kommt es – so wichtig die rechtlichen und regulatorischen Bedingungen auch sind – letztlich an.