Karl Illing (INNOPAY)

In den Markt für Digi­ta­le Iden­ti­tä­ten ist in den letz­ten 12 Mona­ten Bewe­gung gekom­men. Das ist zum gro­ßen Teil auf die ver­schie­de­nen Log­in-Alli­an­zen zurück­zu­füh­ren, die im ver­gan­ge­nen Jahr fast zeit­gleich ihren Hut in den Ring gewor­fen haben. Für den Betrach­ter wird das ohne­hin schon tech­niklas­ti­ge The­ma schnell unüber­sicht­lich. Ori­en­tie­rung ist daher nötig. In wel­che Rich­tung ent­wi­ckelt sich der Markt für die Digi­ta­le Iden­ti­tä­ten, wel­che Lösun­gen sind dabei beson­ders viel­ver­spre­chend und wie ist die Situa­ti­on auf dem deut­schen Markt zu bewer­ten? Wel­che Rol­le über­neh­men offe­ne Stan­dards dabei? Auf die­se Fra­gen gibt Kar Illing (Foto), Lei­ter des Kom­pe­tenz­be­reichs Digi­tal Iden­ti­ty für die DACH Regi­on bei INNOPAY, Ant­wort.

  • Herr Illing, was macht INNOPAY und wel­che Funk­ti­on üben Sie dort aus? 

INNOPAY wur­de vor über 15 Jah­ren in Ams­ter­dam als Inno­va­ti­ons­s­schmie­de mit Pay­ment-Fokus gegrün­det – unser größ­ter Mei­len­stein war damals die Ent­wick­lung des Zahl­ver­fah­rens iDE­AL für die nie­der­län­di­schen Ban­ken, wel­ches immer noch markt­be­herr­schend ist. Mitt­ler­wei­le sind wir eine Manage­ment-Bera­tung mit über 60 Bera­tern und unter­stüt­zen unse­re Kun­den sek­tor­über­grei­fend bei der digi­ta­len Trans­for­ma­ti­on, ins­be­son­de­re zu The­men rund um „digi­ta­le Trans­ak­tio­nen“: Pay­ment, Data Sha­ring und eben Digi­tal Iden­ti­ty. In letz­te­rem Gebiet füh­ren wir mitt­ler­wei­le welt­weit Pro­jek­te durch – oft­mals für gro­ße Stake­hol­der-Grup­pen mit dem Ziel, gemein­schaft­li­che Ver­fah­ren – sog. Trust Frame­works – zu ent­wi­ckeln. Ich selbst lei­te u.a. unse­ren Kom­pe­tenz­be­reich Digi­tal Iden­ti­ty in der DACH Regi­on aus unse­rem Frank­fur­ter Büro heraus.

  • Neben Deutsch­land ist INNOPAY vor allem in den Nie­der­lan­den aktiv. Wor­in unter­schei­den sich Deutsch­land und die Nie­der­lan­de hin­sicht­lich der Ver­brei­tung und Akzep­tanz digi­ta­ler Identitäten?

Die Nie­der­lan­de sind Deutsch­land beim The­ma digi­ta­le Iden­ti­tä­ten doch ein Stück vor­aus, zumin­dest bei Anwen­dun­gen, die eine veri­fi­zier­te Iden­ti­tät benö­ti­gen, wie z. B. e‑Government oder Finanz­an­ge­le­gen­hei­ten. Für digi­ta­le Behör­den­gän­ge wird in den Nie­der­lan­den schon seit vie­len Jah­ren das zen­tra­le Log­in-Ver­fah­ren DigiD genutzt. In Deutsch­land ste­hen wir dies­be­züg­lich ja noch ziem­lich am Anfang. Seit 2016 ist auch das pri­vat­wirt­schaft­li­che Iden­ti­fi­ka­ti­ons­ver­fah­ren iDIN am Start, wel­ches wir auf­bau­end auf der iDE­AL-Infra­struk­tur ent­wi­ckelt haben. Genau wie bei einer iDE­AL-Zah­lung log­ge ich mich dabei bei mei­ner Bank ein, und gebe, statt eines Geld­trans­fers, die Über­tra­gung mei­ner veri­fi­zier­ten Iden­ti­täts­da­ten frei. iDIN hat sich seit sei­nem Start sehr erfolg­reich ent­wi­ckelt und ist mitt­ler­wei­le nicht mehr nur bei Kre­dit­an­fra­gen oder Ver­si­che­rungs­ab­schlüs­sen im Ein­satz, son­dern wur­de auch im Rah­men der elek­tro­ni­schen Steu­er­erklä­rung erfolg­reich pilo­tiert. Wich­ti­ge Erfolgs­fak­to­ren waren und sind die ein­gän­gi­ge (und gewohn­te) User Expe­ri­ence und 90% user­sei­ti­ge Markt­ab­de­ckung ab Tag eins durch die Par­ti­zi­pa­ti­on aller wich­ti­ger Ban­ken im Land. Zuge­ge­ben, dies ist in den Nie­der­lan­den etwas ein­fa­cher als in Deutsch­land, wo die stark zer­klüf­te­te Ban­ken­land­schaft den kol­la­bo­ra­ti­ven Ansatz schwie­ri­ger macht. Das kön­nen wir ja sowohl im Pay­ment- als auch im Iden­ti­ty-Umfeld beob­ach­ten. Unge­ach­tet des­sen hat sich in unse­rem Nach­bar­land nach mei­nem Emp­fin­den stär­ker die Ein­sicht durch­ge­setzt, dass es für den Gesamt­markt bis­wei­len Sinn macht, bei infra­struk­tur­na­hen The­men gemein­sa­me Sache zu machen. Dies sorgt für Reich­wei­te und Ska­lier­bar­keit, wäh­rend man sich durch Zusatz­dienst­leis­tun­gen wett­be­werb­lich dif­fe­ren­zie­ren kann. Die­se Denk­wei­se ist auch tief in der INN­O­PAY-Phi­lo­so­phie verankert.

  • In letz­ter Zeit sind eini­ge sog. Log­in-Alli­an­zen an den Start gegan­gen, wie Ver­i­mi, net­ID und YES. Wo sehen Sie die Stär­ken und Schwä­chen der Lösun­gen zum jet­zi­gen Zeitpunkt? 

Zunächst muss man ja fest­hal­ten, dass sich die unter­schied­li­chen Initia­ti­ven in ihrer Ambi­ti­on und ihrem Ansatz stark von­ein­an­der unter­schei­den, auch wenn es natür­lich Über­lap­pun­gen gibt. net­ID ist zunächst ein rei­nes „Log­in-Sche­me“, aus User­sicht letzt­lich ein 1:1 Ersatz für Face­book oder Goog­le Log­in ohne veri­fi­zier­te Iden­ti­tä­ten (mal abge­se­hen von der ange­deu­te­ten Koope­ra­ti­on mit YES). Ob die deut­sche bzw. euro­päi­sche Her­kunft als USP aus­reicht, ist abzu­war­ten, ins­be­son­de­re, da ja auch hier das dekla­rier­te Ziel, getrie­ben von der ePri­va­cy-Ver­ord­nung, das Aus­spie­len von per­so­na­li­sier­ter Wer­bung ist. Ein gro­ßer Vor­teil ist ande­rer­seits die unmit­tel­ba­re Reich­wei­te auf Nut­zer­sei­te durch vor­han­de­ne Email-Kon­ten, genau­so wie die Offen­heit des Sche­mes gegen­über wei­te­ren Teil­neh­mern. Ver­i­mis Ansatz ist es, durch eine mehr­stu­fig veri­fi­zier­te Iden­ti­tät ein brei­tes Spek­trum an Anwen­dungs­fäl­len abzu­bil­den. Zudem will man von jeg­li­cher „Sekun­där­ver­wer­tung“ der Daten, z. B. für Wer­bung, strikt abse­hen. Die­se kla­re Abgren­zung gegen­über social log­ins ist sicher­lich posi­tiv. Aller­dings ist Ver­i­mi eine Platt­form, d.h. die Daten wer­den prin­zi­pi­ell zen­tra­li­siert und User müs­sen dar­auf ver­trau­en, dass Ver­i­mi die­se ent­spre­chend schüt­zen kann. Zudem bedingt der Platt­form-Ansatz, dass sich jeder neue User erst ein­mal selbst regis­trie­ren muss. Und dies tut er wie­der­um nur, wenn der Mehr­wert klar ist, also u.a. genü­gend Akzep­tanz­stel­len vor­han­den sind. Das ist eine Her­aus­for­de­rung. Die Gewin­nung von öffent­li­chen Stel­len als Akzep­tan­ten, wie in Thü­rin­gen gesche­hen, sind ein wich­ti­ger und signal­kräf­ti­ger Schritt in die­se Rich­tung. YES dage­gen ist ein Bro­ker, der die geprüf­ten Bank­iden­ti­tä­ten von Usern für ande­re Online-Diens­te ver­füg­bar macht. Dies ist im Kern ähn­lich ande­ren Bank-basier­ten Ver­fah­ren, wie eben iDIN in den Nie­der­lan­den und auch BankID in Skan­di­na­vi­en. Die Daten blei­ben dabei dezen­tral an ihrem Ursprung, näm­lich bei der jewei­li­gen Bank des Nut­zers. Im Unter­schied zu unse­ren Nach­bar­län­dern kann YES aller­dings nicht auf die Gesamt­heit der Ban­ken bau­en, auch wenn Spar­kas­sen und Volks­ban­ken für den nun wohl für Q2 anste­hen­den Launch an Bord sind. Wie gesagt, die Ansät­ze sind sehr unter­schied­lich gear­tet und ste­hen nur bedingt in Kon­kur­renz zuein­an­der. Sie alle haben Poten­zi­al, eine nach­hal­ti­ge Rol­le in der deut­schen Iden­ti­ty-Land­schaft zu spie­len, haben aber auch jeweils spe­zi­fi­sche Her­aus­for­de­run­gen zu meis­tern. Ich bin gespannt, wie sich die Situa­ti­on in den nächs­ten 2–3 Jah­ren ent­wi­ckeln wird.

  • Wäre die Eini­gung auf ein Ver­fah­ren, einen gemein­sa­men euro­päi­schen Stan­dard bei den Digi­ta­len Iden­ti­tä­ten ein geeig­ne­ter Weg, um den mehr oder weni­ger pro­prie­tä­ren Lösun­gen die nöti­ge Ska­lie­rung und Reich­wei­te zu verschaffen? 

Auf die Eini­gung auf ein gemein­sa­mes Ver­fah­ren für Euro­pa zu hof­fen wäre nicht rea­lis­tisch, und ich bin auch nicht sicher, ob es wün­schens­wert wäre. Nicht rea­lis­tisch, weil wir ja wis­sen, wie schwie­rig eine sol­che Eini­gung allei­ne schon in Deutsch­land ist. Nicht wün­schens­wert, weil jeder Markt sei­ne Eigen­hei­ten hat, ein gewis­ser Wett­be­werb gut ist und auch unter­schied­li­che User-Prä­fe­ren­zen und Anwen­dungs­fäl­le abge­deckt wer­den müs­sen. Aller­dings soll­ten wir durch­aus eine Inter­ope­ra­bi­li­tät ein­zel­ner Ver­fah­ren anstre­ben, so wie eIDAS dies für die staat­li­chen eID-Ver­fah­ren vor­sieht. Dies kann man durch ein ent­spre­chen­des Inter­ope­ra­bi­li­täts­frame­work errei­chen, wel­ches Stan­dards auf tech­ni­scher und Daten­ebe­ne fest­legt. Auch das reicht aller­dings nicht unbe­dingt aus. Tech­nisch wären z.B. die Zahl­ver­fah­ren iDE­AL, giro­pay und EPS durch­aus inter­ope­ra­bel gewe­sen, das ist dann aller­dings an ande­ren Aspek­ten geschei­tert. Unab­hän­gig hier­von glau­be ich, dass in Zukunft spe­zia­li­sier­te Iden­ti­ty-Dienst­leis­ter an Bedeu­tung gewin­nen wer­den, die die Anbin­dung von unter­schied­li­chen Iden­ti­täts­ver­fah­ren an Rely­ing Par­ties ver­ein­fa­chen, ähn­lich wie dies Pay­ment Ser­vice Pro­vi­der für Zahl­ver­fah­ren machen. Das könn­te ein Stück weit die man­geln­de Inter­ope­ra­bi­li­tät kompensieren.

  • Eini­ge Bran­chen­be­ob­ach­ter bedau­ern, dass pay­di­rekt nicht um Digi­ta­le Iden­ti­tä­ten ergänzt wur­de. Wel­che Vor­tei­le hät­te die­se Kom­bi­na­ti­on gehabt? 

Das bringt mich noch­mal zurück zu der Kom­bi­na­ti­on iDEAL/​iDIN: Nut­zung vor­han­de­ner Infra­struk­tur, ein gewohn­ter User­flow und Ein­be­zug der gesam­ten Ban­ken­sek­tors, auch wenn die Aus­gangs­po­si­ti­on eine ande­re war. Es wäre sicher­lich eine Chan­ce für die deut­schen Ban­ken gewe­sen, ein ein­heit­li­ches Ban­ken­ver­fah­ren aus eige­ner Hand anzu­bie­ten und gleich­zei­tig, das The­ma Pay­di­rekt mit einem ech­ten Mehr­wert aufzuladen.

  • Wel­che Rol­le könn­ten selbst­ver­wal­te­te digi­ta­le Iden­ti­tä­ten (Self sove­reign iden­ti­ties) auf Block­chain-Basis künf­tig übernehmen? 

Es gibt ja durch­aus unter­schied­li­che Auf­fas­sun­gen, was SSI ist oder sein soll­te. Wenn ich SSI als eine auf Block­chain basie­ren­de Infra­struk­tur defi­nie­re, die es ermög­licht, ohne eine ver­mit­teln­de Par­tei die Her­kunft bestimm­ter Iden­ti­täts­in­for­ma­tio­nen sicher zu veri­fi­zie­ren, dann kann dies in Zukunft eine gro­ße Rol­le spie­len. Dadurch kön­nen das Tei­len und Veri­fi­zie­ren von Iden­ti­tä­ten ein­fa­cher, siche­rer und „pri­va­ter“ wer­den. SSI bedeu­tet übri­gens nicht, unab­hän­gig von ver­trau­ens­wür­di­gen Drit­ten (z.B. Ban­ken) zu sein, die die Echt­heit einer Iden­ti­tät attes­tie­ren. Auch ändert es nichts an der Tat­sa­che, dass Rele­vanz nur durch eine brei­te Markt­ak­zep­tanz ent­ste­hen kann. Insel­lö­sung wer­den es also, unab­hän­gig von der ver­wen­de­ten Tech­no­lo­gie, schwer haben. Breit ange­legt und ein­ge­bet­tet in ein über­grei­fen­des Frame­work kann der SSI-Ansatz jedoch zukunfts­wei­send sein.

  • Herr Illing, bes­ten Dank für das Gespräch!

Cross­post von Iden­ti­ty Economy