Ein Gespräch mit John Erik Set­saas (Foto), VP of iden­ti­ty and inno­va­ti­on bei Signi­cat, über die Ent­wick­lung im Bereich der Digi­ta­len Iden­tiz­fie­rung inner­halb der letz­ten Jahr­zehn­te und die aktu­el­len Herausforderungen. 

• Herr Set­saas, Sie sind seit Jahr­zehn­ten auf dem Gebiet der digi­ta­len Iden­ti­fi­ka­ti­on tätig – was sind für Sie die wich­tigs­ten Meilensteine?

Begin­nen wir ein­mal mit dem Pass­wort, das vor mehr als 60 Jah­ren ein­ge­führt wur­de. Ursprüng­lich dien­te es dazu, Zugang zu Res­sour­cen zu erhal­ten. All­mäh­lich haben wir eine Situa­ti­on erreicht, in der Pass­wör­ter für meh­re­re Din­ge ver­wen­det wer­den, was bei den Benut­zern zu Ver­wir­rung füh­ren kann.  So benö­ti­gen wir z. B. eine Ken­nung für den Zugang zu einem Netz­werk (WIFI-Pass­wort) und eine wei­te­re für die Iden­ti­fi­zie­rung (geben Sie Ihr per­sön­li­ches Pass­wort ein, um zu bewei­sen, dass Sie der­je­ni­ge sind, für den Sie sich aus­ge­ben). Wir ver­las­sen uns zu sehr auf das Pass­wort, weil es kei­ne bes­se­ren Lösun­gen gibt, selbst 20 Jah­re nach­dem Bill Gates es für tot erklärt hat.

In den 90^er Jah­ren kamen Lösun­gen für das Iden­ti­täts- und Zugriffs­ma­nage­ment (IAM) auf den Markt. Die­se wur­den ent­wi­ckelt, um sicher­zu­stel­len, dass die Mit­ar­bei­ter den rich­ti­gen Zugang zu den rele­van­ten Anwen­dun­gen inner­halb einer Orga­ni­sa­ti­on haben.

In den frü­hen 2000^er Jah­ren kamen in den skan­di­na­vi­schen Län­dern eIDs (elec­tro­nic Iden­ti­ties) auf, zeit­gleich mit dem Start von Face­book. Die­se wer­den oft als BankIDs bezeich­net, obwohl nur Nor­we­gen und Schwe­den die­sen Begriff ver­wen­den. Däne­mark nennt sei­ne eID Mit­ID und Finn­land nutzt FTN (Fin­nish Trust Net­work). Das war der ers­te Schritt auf dem Weg zu einer ein­heit­li­chen, star­ken Authen­ti­fi­zie­rung für meh­re­re Ser­vices. Ursprüng­lich waren die­se nur für Ban­ken ver­füg­bar, aber im Lau­fe der Jah­re wur­den sie für alle Arten von Diens­ten genutzt, von Regie­run­gen über Ver­si­che­rungs- und Ener­gie­un­ter­neh­men bis hin zu Tele­kom­mu­ni­ka­ti­ons­un­ter­neh­men und sogar Sonnenstudios.

Im Jahr 2007 kam das ers­te iPho­ne auf den Markt. Die Ver­wen­dung von öffentlichen/​privaten Schlüs­sel­paa­ren ist ein wich­ti­ger Bestand­teil digi­ta­ler Zer­ti­fi­ka­te, die wie­der­um für die Iden­ti­fi­zie­rung und Ver­schlüs­se­lung wich­tig sind. Die meis­ten Nut­zer sind nicht ver­siert dar­in, die für die Ver­wen­dung digi­ta­ler Zer­ti­fi­ka­te erfor­der­li­chen Berech­nun­gen durch­zu­füh­ren. Das iPho­ne ermög­lich­te es nun end­lich ein Gerät mit sich zu füh­ren, das die­se Auf­ga­be wirk­lich gut erle­digt. Mitt­ler­wei­le haben iPho­nes und ande­re mobi­le Gerä­te bio­me­tri­sche Sen­so­ren und Kame­ras, die bei­de für die Iden­ti­fi­zie­rung der Nut­zer wich­tig sind.

Unge­fähr im Jah­re 2010 kamen die sozia­len Log­ins auf, d. h. die Nut­zung von Face­book und Goog­le zur Anmel­dung bei wei­te­ren Ser­vices. Dadurch erhiel­ten die Nut­zer eine ein­fa­che und benut­zer­freund­li­che Mög­lich­keit, sich bei ver­schie­de­nen Anbie­tern anzu­mel­den und zu authen­ti­fi­zie­ren. Für die Pro­vi­der sozia­ler Medi­en bedeu­te­te das eine noch bes­se­re Kon­trol­le über ihre Nut­zer und deren Aktivitäten.

Ich glau­be, dass wir mit der Ein­füh­rung der digi­ta­len EU-Wal­let am Anfang einer neu­en Sicht­wei­se auf Iden­ti­tä­ten ste­hen. Zuge­ge­ben, es ist noch recht früh, aber eini­ge von uns dis­ku­tie­ren schon seit eini­gen Jah­ren über daten­schutz­ge­rech­te Lösun­gen für die Online- (und Off­line-) Iden­ti­fi­zie­rung. Es ist sehr inter­es­sant, dass dies auf höchs­ter EU-Ebe­ne ange­kün­digt wur­de und es wird nun span­nend sein, die wei­te­ren Ent­wick­lun­gen zu verfolgen.

• Wor­auf füh­ren Sie die unter­schied­li­chen Geschwin­dig­kei­ten in den Regio­nen der Welt bei der Ein­füh­rung und Akzep­tanz von uni­ver­sell ein­setz­ba­ren digi­ta­len Iden­ti­tä­ten zurück?

Es gibt meh­re­re Fak­to­ren, die die Akzep­tanz digi­ta­ler Iden­ti­tä­ten beein­flus­sen. Skan­di­na­vi­en war dabei sehr erfolg­reich. 95 % der Bevöl­ke­rung dort ver­wen­den ihre eID fast täg­lich. Und damit dies auch hier­zu­lan­de ein Erfolg wird, müs­sen Iden­ti­täts­an­bie­ter, Diens­te­an­bie­ter und Nut­zer ein­be­zo­gen werden.

Die fol­gen­den Fak­to­ren haben zu die­sem gro­ßen Erfolg beigetragen:

1. Die vier skan­di­na­vi­schen Län­der sind mit ins­ge­samt rund 26 Mil­lio­nen Ein­woh­nern rela­tiv klein, sodass es ein­fa­cher ist, die Akzep­tanz für neue Lösun­gen zu bekommen.
2. In die­sen Län­dern herrscht ein hohes Maß an Ver­trau­en. Die Men­schen ver­trau­en der Regie­rung, der Poli­zei und ein­an­der. Das macht es auch ein­fa­cher, eine zen­tra­li­sier­te Iden­ti­täts­lö­sung einzusetzen.
3. Die Bevöl­ke­rung die­ser Län­der ist tech­nisch gebil­det und die meis­ten Men­schen sind es gewohnt, die neu­es­te Tech­no­lo­gie zu nutzen.

Und schließ­lich war die Zusam­men­ar­beit zwi­schen öffent­li­chem und pri­va­tem Sek­tor ein wesent­li­cher Fak­tor für den Erfolg. In Nor­we­gen hat sich die Akzep­tanz von BankID stark ver­än­dert, als man sich bei der Steu­er­be­hör­de anmel­den konn­te, um sei­ne Steu­ern zu bezah­len, sei­ne Adres­se zu ändern, ein Unter­neh­men zu grün­den und vie­le ande­re öffent­li­che Dienst­leis­tun­gen in Anspruch neh­men konn­te. Als Bür­ger kann ich immer die­sel­be eID ver­wen­den, z. B. um mei­ne Steu­ern zu bezah­len, mein Covid-Test­ergeb­nis abzu­ru­fen, mich bei einem neu­en Strom­an­bie­ter anzu­mel­den oder um mein Auto zu verkaufen.

Est­land wird oft als eine der erfolg­reichs­ten eID-Imple­men­tie­run­gen her­vor­ge­ho­ben. Est­land ist ein noch klei­ne­res Land, aber es hat eine star­ke Regie­rung, die die eID vor­an­treibt und sicher­stellt, dass sie für alle zugäng­lich ist, und sie war damit sehr erfolgreich.

Einer der Haupt­grün­de für die man­geln­de Akzep­tanz von eID in ande­ren Län­dern ist die feh­len­de Berück­sich­ti­gung der mensch­li­chen Kom­po­nen­te, sowohl im Hin­blick auf die Benut­zer­freund­lich­keit als auch auf das Ver­trau­en. Wenn das Ver­trau­en gering ist, wer­den die Men­schen aus Angst vor Über­wa­chung nicht bereit sein, die Tech­no­lo­gie zu nut­zen. Oft man­gelt es an der Koope­ra­ti­on zwi­schen öffent­li­chem und pri­va­tem Sek­tor, was dazu führt, dass die Men­schen unter­schied­li­che eIDs für ver­schie­de­ne Diens­te benö­ti­gen. Und was noch erschwe­rend hin­zu kommt ist, dass die Men­schen kei­ne schlech­te Benut­zer­er­fah­rung akzeptieren.

• Wie kann man ver­hin­dern, dass digi­ta­le Iden­ti­fi­zie­rungs­lö­sun­gen gegen die Nut­zer und Bür­ger oder gegen deren Wil­len ein­ge­setzt werden?

Dies ist eine gro­ße Her­aus­for­de­rung in Zei­ten der Auf­merk­sam­keits­öko­no­mie. Social- Media-Unter­neh­men sowie vie­le ande­re Orga­ni­sa­tio­nen, wie z. B. Nach­rich­ten­diens­te, ver­die­nen ihr Geld damit, die Auf­merk­sam­keit ihrer Nut­zer zu bin­den, damit sie mög­lichst lan­ge auf deren Platt­for­men ver­blei­ben und immer wie­der zurück­keh­ren. Zu die­sem Zweck sam­meln sie Infor­ma­tio­nen über Ihre Inter­es­sen und ver­kau­fen die­se dann an den Meistbietenden.
Ein wei­te­rer Teil der Her­aus­for­de­rung besteht dar­in, dass die­se Social-Media-Unter­neh­men Diens­te anbie­ten, die von den Nut­zern gewünscht wer­den, z. B., um mit Freun­den und Fami­lie in Kon­takt zu blei­ben, um Infor­ma­tio­nen über sich selbst mit ande­ren zu tei­len und um die Anmel­dung bei ande­ren Diens­ten zu ver­ein­fa­chen. Die meis­ten Men­schen wer­den Bequem­lich­keit und Ser­vice immer dem Daten­schutz und der Sicher­heit vor­zie­hen. Es ist wie mit gesun­der Ernäh­rung: Die meis­ten Men­schen wür­den Scho­ko­la­de einem Apfel vor­zie­hen, obwohl sie wis­sen, dass ein Apfel gesün­der ist.

Ich den­ke, dass gesetz­li­che Regu­lie­run­gen eine zen­tra­le Rol­le spie­len wer­den, um dem ent­ge­gen­zu­wir­ken. Die Daten­schutz-Grund­ver­ord­nung ist ein guter Anfang, aber aus Sicht der Nut­zer ist dies nur ein wei­te­res Pop-up, das sie stört und das sie nie lesen. Was wie­der­um bedeu­tet, dass sie der Ver­wen­dung ihrer Daten zustim­men, ohne es wirk­lich zu wissen.

Wir müs­sen benut­zer­freund­li­che, daten­schutz­freund­li­che und siche­re Lösun­gen für die Iden­ti­fi­zie­rung bereit­stel­len, mit denen Sie nach­wei­sen kön­nen, wer Sie sind und mit denen Sie die Iden­ti­tät des­je­ni­gen fest­stel­len kön­nen, dem Sie Ihre Daten über­mit­teln. Und wir brau­chen regu­la­to­ri­sche Maß­nah­men, um die Auf­merk­sam­keits­öko­no­mie zu bekämpfen.

• Wel­che Erfolgs­chan­cen sehen Sie für Self Sove­reign Identities?

Das hängt wirk­lich davon ab, was man unter einer sou­ve­rä­nen Iden­ti­tät (oder SSI) ver­steht. Ich sto­ße oft auf Dis­kus­sio­nen, in denen wir fest­stel­len, dass wir mit dem Begriff SSI unter­schied­li­che Din­ge meinen.
Eini­ge Leu­te nei­gen dazu, sich das so vor­zu­stel­len wie die Bit­co­in-Brief­ta­sche, die ich selbst erstel­le, selbst befül­le und mit Hil­fe der Block­chain bewei­sen kann, dass die Infor­ma­tio­nen wahr sind, ohne dass eine zen­tra­le Instanz invol­viert ist.

Die größ­te Her­aus­for­de­rung ist das Ver­trau­en. Wie kann ich den Infor­ma­tio­nen ver­trau­en, die Sie mir geben? Ihre Infor­ma­tio­nen stam­men von einem Infor­ma­ti­ons­an­bie­ter, aber woher weiß ich, dass die­ser Anbie­ter echt ist oder dass ich ihm ver­trau­en kann? Und so weiter…

Um die­se Fra­gen zu klä­ren, brau­chen wir einen ver­trau­ens­wür­di­gen Rah­men. Die Grund­la­ge für eine Iden­ti­tät ist die Regie­rung, die Ihre recht­li­che Iden­ti­tät und Ihren Per­so­nal­aus­weis oder Rei­se­pass aus­stellt, um zu bewei­sen, wer Sie sind.

Wir brau­chen daten­schutz­freund­li­che Lösun­gen, bei denen ich die Kon­trol­le dar­über habe, wel­che Infor­ma­tio­nen ich mit wem tei­le und bei denen ich die Iden­ti­tät des­je­ni­gen ken­ne, mit dem ich die Infor­ma­tio­nen tei­le. Und als Kern­stück brau­chen wir eine Ver­trau­ens­in­fra­struk­tur. Die Block­chain kann Teil die­ser Ver­trau­ens­in­fra­struk­tur sein oder auch nicht, aber eine Block­chain kann nie­mals bewei­sen, dass man der­je­ni­ge ist, der man vor­gibt zu sein. MyDa­ta (mydata.org) ist eine der Trieb­kräf­te für eine gerech­te, nach­hal­ti­ge und wohl­ha­ben­de digi­ta­le Gesell­schaft für alle.

• Was hal­ten Sie von der EUid?

Das ist ein gro­ßer Schritt in die rich­ti­ge Rich­tung. Der Schwer­punkt liegt auf dem Schutz der Pri­vat­sphä­re und der Kon­trol­le durch den Nut­zer. Sie ver­pflich­tet die Staa­ten, allen Ein­woh­nern ein digi­ta­les Iden­ti­täts-Wal­let aus­zu­stel­len und ver­langt von öffent­li­chen und pri­va­ten Dienst­leis­tern, dass sie die­se als Mit­tel der digi­ta­len Iden­ti­fi­zie­rung akzeptieren.

Im Moment wis­sen wir noch nicht, wie ein digi­ta­les Iden­ti­täts-Wal­let aus­se­hen wird, aber wich­tig ist, dass vie­le Orga­ni­sa­tio­nen in ganz Euro­pa (und ande­ren Tei­len der Welt) ihre Köp­fe zusam­men­ste­cken, um daten­schutz­ge­rech­te Iden­ti­täts­lö­sun­gen zu ent­wi­ckeln. Die LSPs (Lar­ge Sca­le Pilots) der EU wer­den hof­fent­lich Anfang 2023 begin­nen und dürf­ten inter­es­san­te Ergeb­nis­se lie­fern. Par­al­lel dazu arbei­ten wei­te­re Orga­ni­sa­tio­nen an die­sen Themen.

Natür­lich gibt es auch hier Her­aus­for­de­run­gen, eine davon ist die man­geln­de Aner­ken­nung und Nut­zung durch die Men­schen. Eini­ge Über­le­gun­gen zu die­sem The­ma fin­den Sie hier: https://www.signicat.com/de/blog/hindernisse-beim-european-digital-identity-wallet
Ist die Per­fek­ti­on der Feind des „Gut genug“?

• Wie posi­tio­niert sich Signi­cat in die­sem sich schnell ver­än­dern­den Umfeld?

Signi­cat ist ein Qua­li­fied Trust Ser­vice Pro­vi­der, der Iden­ti­täts­diens­te für mehr als 7.000 Unter­neh­men anbie­tet, von denen vie­le in meh­re­ren Län­dern tätig sind. Vie­le die­ser Kun­den sind regu­liert und stel­len hohe Anfor­de­run­gen an ihre Lie­fe­ran­ten, was wie­der­um bedeu­tet, dass wir von einer Rei­he von Stel­len geprüft wer­den, um sicher­zu­stel­len, dass unse­ren Dienst­leis­tun­gen ver­traut wer­den kann.
Ein wich­ti­ger Teil unse­res Ange­bots ist die Ver­bin­dung zu mehr als 30 ver­schie­de­nen eIDs, die es unse­ren Kun­den leicht macht, deren Kun­den in vie­len ver­schie­de­nen Län­dern über eine API ein­zu­bin­den und zu identifizieren.

Zum einen pla­nen wir, die­sen Iden­ti­täts-Hub zu erwei­tern, um auch Iden­ti­täts-Wal­lets anzu­bin­den. Wir haben bereits das ers­te nie­der­län­di­sche Wal­let IRMA (I Reve­al My Attri­bu­tes – https://documentation.signicat.nl/knowledgebase/eid-overview/about-irma, ange­bun­den und wei­te­re wer­den hinzukommen.

In der Welt der digi­ta­len Iden­ti­täts-Wal­lets wer­den Ver­trau­ens­diens­te benö­tigt, um sicher­zu­stel­len, dass das Wal­let der rich­ti­gen Per­son gehört, dass die­se Per­son das Wal­let gera­de benutzt und dass die Attri­bu­te dem Wal­let auf ver­trau­ens­wür­di­ge Wei­se hin­zu­ge­fügt wer­den. Wir brau­chen eine voll­stän­di­ge Vertrauenskette.

Signi­cat arbei­tet seit 2006 mit digi­ta­len Iden­ti­tä­ten und begrüßt das neue digi­ta­le Iden­ti­täts-Wal­let als eine gute Lösung für die Nut­zer, die Dienst­an­bie­ter und die Gesell­schaft im All­ge­mei­nen. Wir haben auch viel dar­an gear­bei­tet, gute Benut­zer­er­fah­run­gen zu garan­tie­ren. Unse­re MobileID-Lösung, die hohe Sicher­heit sowie eine ange­neh­me Nut­zer­er­fah­rung bei der Authen­ti­fi­zie­rung bie­tet, wird in mobi­len Bank­an­wen­dun­gen imple­men­tiert und kann als Vor­läu­fer der moder­nen mobi­len Geld­bör­sen ange­se­hen werden.

Zuerst erschie­nen auf Iden­ti­ty Economy