Ein Gespräch mit John Erik Setsaas (Foto), VP of identity and innovation bei Signicat, über die Entwicklung im Bereich der Digitalen Identizfierung innerhalb der letzten Jahrzehnte und die aktuellen Herausforderungen.
- Herr Setsaas, Sie sind seit Jahrzehnten auf dem Gebiet der digitalen Identifikation tätig – was sind für Sie die wichtigsten Meilensteine?
Beginnen wir einmal mit dem Passwort, das vor mehr als 60 Jahren eingeführt wurde. Ursprünglich diente es dazu, Zugang zu Ressourcen zu erhalten. Allmählich haben wir eine Situation erreicht, in der Passwörter für mehrere Dinge verwendet werden, was bei den Benutzern zu Verwirrung führen kann. So benötigen wir z. B. eine Kennung für den Zugang zu einem Netzwerk (WIFI-Passwort) und eine weitere für die Identifizierung (geben Sie Ihr persönliches Passwort ein, um zu beweisen, dass Sie derjenige sind, für den Sie sich ausgeben). Wir verlassen uns zu sehr auf das Passwort, weil es keine besseren Lösungen gibt, selbst 20 Jahre nachdem Bill Gates es für tot erklärt hat.
In den 90er Jahren kamen Lösungen für das Identitäts- und Zugriffsmanagement (IAM) auf den Markt. Diese wurden entwickelt, um sicherzustellen, dass die Mitarbeiter den richtigen Zugang zu den relevanten Anwendungen innerhalb einer Organisation haben.
In den frühen 2000er Jahren kamen in den skandinavischen Ländern eIDs (electronic Identities) auf, zeitgleich mit dem Start von Facebook. Diese werden oft als BankIDs bezeichnet, obwohl nur Norwegen und Schweden diesen Begriff verwenden. Dänemark nennt seine eID MitID und Finnland nutzt FTN (Finnish Trust Network). Das war der erste Schritt auf dem Weg zu einer einheitlichen, starken Authentifizierung für mehrere Services. Ursprünglich waren diese nur für Banken verfügbar, aber im Laufe der Jahre wurden sie für alle Arten von Diensten genutzt, von Regierungen über Versicherungs- und Energieunternehmen bis hin zu Telekommunikationsunternehmen und sogar Sonnenstudios.
Im Jahr 2007 kam das erste iPhone auf den Markt. Die Verwendung von öffentlichen/privaten Schlüsselpaaren ist ein wichtiger Bestandteil digitaler Zertifikate, die wiederum für die Identifizierung und Verschlüsselung wichtig sind. Die meisten Nutzer sind nicht versiert darin, die für die Verwendung digitaler Zertifikate erforderlichen Berechnungen durchzuführen. Das iPhone ermöglichte es nun endlich ein Gerät mit sich zu führen, das diese Aufgabe wirklich gut erledigt. Mittlerweile haben iPhones und andere mobile Geräte biometrische Sensoren und Kameras, die beide für die Identifizierung der Nutzer wichtig sind.
Ungefähr im Jahre 2010 kamen die sozialen Logins auf, d. h. die Nutzung von Facebook und Google zur Anmeldung bei weiteren Services. Dadurch erhielten die Nutzer eine einfache und benutzerfreundliche Möglichkeit, sich bei verschiedenen Anbietern anzumelden und zu authentifizieren. Für die Provider sozialer Medien bedeutete das eine noch bessere Kontrolle über ihre Nutzer und deren Aktivitäten.
Ich glaube, dass wir mit der Einführung der digitalen EU-Wallet am Anfang einer neuen Sichtweise auf Identitäten stehen. Zugegeben, es ist noch recht früh, aber einige von uns diskutieren schon seit einigen Jahren über datenschutzgerechte Lösungen für die Online- (und Offline-) Identifizierung. Es ist sehr interessant, dass dies auf höchster EU-Ebene angekündigt wurde und es wird nun spannend sein, die weiteren Entwicklungen zu verfolgen.
- Worauf führen Sie die unterschiedlichen Geschwindigkeiten in den Regionen der Welt bei der Einführung und Akzeptanz von universell einsetzbaren digitalen Identitäten zurück?
Es gibt mehrere Faktoren, die die Akzeptanz digitaler Identitäten beeinflussen. Skandinavien war dabei sehr erfolgreich. 95 % der Bevölkerung dort verwenden ihre eID fast täglich. Und damit dies auch hierzulande ein Erfolg wird, müssen Identitätsanbieter, Diensteanbieter und Nutzer einbezogen werden.
Die folgenden Faktoren haben zu diesem großen Erfolg beigetragen:
- Die vier skandinavischen Länder sind mit insgesamt rund 26 Millionen Einwohnern relativ klein, sodass es einfacher ist, die Akzeptanz für neue Lösungen zu bekommen.
- In diesen Ländern herrscht ein hohes Maß an Vertrauen. Die Menschen vertrauen der Regierung, der Polizei und einander. Das macht es auch einfacher, eine zentralisierte Identitätslösung einzusetzen.
- Die Bevölkerung dieser Länder ist technisch gebildet und die meisten Menschen sind es gewohnt, die neueste Technologie zu nutzen.
Und schließlich war die Zusammenarbeit zwischen öffentlichem und privatem Sektor ein wesentlicher Faktor für den Erfolg. In Norwegen hat sich die Akzeptanz von BankID stark verändert, als man sich bei der Steuerbehörde anmelden konnte, um seine Steuern zu bezahlen, seine Adresse zu ändern, ein Unternehmen zu gründen und viele andere öffentliche Dienstleistungen in Anspruch nehmen konnte. Als Bürger kann ich immer dieselbe eID verwenden, z. B. um meine Steuern zu bezahlen, mein Covid-Testergebnis abzurufen, mich bei einem neuen Stromanbieter anzumelden oder um mein Auto zu verkaufen.
Estland wird oft als eine der erfolgreichsten eID-Implementierungen hervorgehoben. Estland ist ein noch kleineres Land, aber es hat eine starke Regierung, die die eID vorantreibt und sicherstellt, dass sie für alle zugänglich ist, und sie war damit sehr erfolgreich.
Einer der Hauptgründe für die mangelnde Akzeptanz von eID in anderen Ländern ist die fehlende Berücksichtigung der menschlichen Komponente, sowohl im Hinblick auf die Benutzerfreundlichkeit als auch auf das Vertrauen. Wenn das Vertrauen gering ist, werden die Menschen aus Angst vor Überwachung nicht bereit sein, die Technologie zu nutzen. Oft mangelt es an der Kooperation zwischen öffentlichem und privatem Sektor, was dazu führt, dass die Menschen unterschiedliche eIDs für verschiedene Dienste benötigen. Und was noch erschwerend hinzu kommt ist, dass die Menschen keine schlechte Benutzererfahrung akzeptieren.
- Wie kann man verhindern, dass digitale Identifizierungslösungen gegen die Nutzer und Bürger oder gegen deren Willen eingesetzt werden?
Dies ist eine große Herausforderung in Zeiten der Aufmerksamkeitsökonomie. Social- Media-Unternehmen sowie viele andere Organisationen, wie z. B. Nachrichtendienste, verdienen ihr Geld damit, die Aufmerksamkeit ihrer Nutzer zu binden, damit sie möglichst lange auf deren Plattformen verbleiben und immer wieder zurückkehren. Zu diesem Zweck sammeln sie Informationen über Ihre Interessen und verkaufen diese dann an den Meistbietenden.
Ein weiterer Teil der Herausforderung besteht darin, dass diese Social-Media-Unternehmen Dienste anbieten, die von den Nutzern gewünscht werden, z. B., um mit Freunden und Familie in Kontakt zu bleiben, um Informationen über sich selbst mit anderen zu teilen und um die Anmeldung bei anderen Diensten zu vereinfachen. Die meisten Menschen werden Bequemlichkeit und Service immer dem Datenschutz und der Sicherheit vorziehen. Es ist wie mit gesunder Ernährung: Die meisten Menschen würden Schokolade einem Apfel vorziehen, obwohl sie wissen, dass ein Apfel gesünder ist.
Ich denke, dass gesetzliche Regulierungen eine zentrale Rolle spielen werden, um dem entgegenzuwirken. Die Datenschutz-Grundverordnung ist ein guter Anfang, aber aus Sicht der Nutzer ist dies nur ein weiteres Pop-up, das sie stört und das sie nie lesen. Was wiederum bedeutet, dass sie der Verwendung ihrer Daten zustimmen, ohne es wirklich zu wissen.
Wir müssen benutzerfreundliche, datenschutzfreundliche und sichere Lösungen für die Identifizierung bereitstellen, mit denen Sie nachweisen können, wer Sie sind und mit denen Sie die Identität desjenigen feststellen können, dem Sie Ihre Daten übermitteln. Und wir brauchen regulatorische Maßnahmen, um die Aufmerksamkeitsökonomie zu bekämpfen.
- Welche Erfolgschancen sehen Sie für Self Sovereign Identities?
Das hängt wirklich davon ab, was man unter einer souveränen Identität (oder SSI) versteht. Ich stoße oft auf Diskussionen, in denen wir feststellen, dass wir mit dem Begriff SSI unterschiedliche Dinge meinen.
Einige Leute neigen dazu, sich das so vorzustellen wie die Bitcoin-Brieftasche, die ich selbst erstelle, selbst befülle und mit Hilfe der Blockchain beweisen kann, dass die Informationen wahr sind, ohne dass eine zentrale Instanz involviert ist.
Die größte Herausforderung ist das Vertrauen. Wie kann ich den Informationen vertrauen, die Sie mir geben? Ihre Informationen stammen von einem Informationsanbieter, aber woher weiß ich, dass dieser Anbieter echt ist oder dass ich ihm vertrauen kann? Und so weiter…
Um diese Fragen zu klären, brauchen wir einen vertrauenswürdigen Rahmen. Die Grundlage für eine Identität ist die Regierung, die Ihre rechtliche Identität und Ihren Personalausweis oder Reisepass ausstellt, um zu beweisen, wer Sie sind.
Wir brauchen datenschutzfreundliche Lösungen, bei denen ich die Kontrolle darüber habe, welche Informationen ich mit wem teile und bei denen ich die Identität desjenigen kenne, mit dem ich die Informationen teile. Und als Kernstück brauchen wir eine Vertrauensinfrastruktur. Die Blockchain kann Teil dieser Vertrauensinfrastruktur sein oder auch nicht, aber eine Blockchain kann niemals beweisen, dass man derjenige ist, der man vorgibt zu sein. MyData (mydata.org) ist eine der Triebkräfte für eine gerechte, nachhaltige und wohlhabende digitale Gesellschaft für alle.
- Was halten Sie von der EUid?
Das ist ein großer Schritt in die richtige Richtung. Der Schwerpunkt liegt auf dem Schutz der Privatsphäre und der Kontrolle durch den Nutzer. Sie verpflichtet die Staaten, allen Einwohnern ein digitales Identitäts-Wallet auszustellen und verlangt von öffentlichen und privaten Dienstleistern, dass sie diese als Mittel der digitalen Identifizierung akzeptieren.
Im Moment wissen wir noch nicht, wie ein digitales Identitäts-Wallet aussehen wird, aber wichtig ist, dass viele Organisationen in ganz Europa (und anderen Teilen der Welt) ihre Köpfe zusammenstecken, um datenschutzgerechte Identitätslösungen zu entwickeln. Die LSPs (Large Scale Pilots) der EU werden hoffentlich Anfang 2023 beginnen und dürften interessante Ergebnisse liefern. Parallel dazu arbeiten weitere Organisationen an diesen Themen.
Natürlich gibt es auch hier Herausforderungen, eine davon ist die mangelnde Anerkennung und Nutzung durch die Menschen. Einige Überlegungen zu diesem Thema finden Sie hier: https://www.signicat.com/de/blog/hindernisse-beim-european-digital-identity-wallet
Ist die Perfektion der Feind des „Gut genug“?
- Wie positioniert sich Signicat in diesem sich schnell verändernden Umfeld?
Signicat ist ein Qualified Trust Service Provider, der Identitätsdienste für mehr als 7.000 Unternehmen anbietet, von denen viele in mehreren Ländern tätig sind. Viele dieser Kunden sind reguliert und stellen hohe Anforderungen an ihre Lieferanten, was wiederum bedeutet, dass wir von einer Reihe von Stellen geprüft werden, um sicherzustellen, dass unseren Dienstleistungen vertraut werden kann.
Ein wichtiger Teil unseres Angebots ist die Verbindung zu mehr als 30 verschiedenen eIDs, die es unseren Kunden leicht macht, deren Kunden in vielen verschiedenen Ländern über eine API einzubinden und zu identifizieren.
Zum einen planen wir, diesen Identitäts-Hub zu erweitern, um auch Identitäts-Wallets anzubinden. Wir haben bereits das erste niederländische Wallet IRMA (I Reveal My Attributes – https://documentation.signicat.nl/knowledgebase/eid-overview/about-irma, angebunden und weitere werden hinzukommen.
In der Welt der digitalen Identitäts-Wallets werden Vertrauensdienste benötigt, um sicherzustellen, dass das Wallet der richtigen Person gehört, dass diese Person das Wallet gerade benutzt und dass die Attribute dem Wallet auf vertrauenswürdige Weise hinzugefügt werden. Wir brauchen eine vollständige Vertrauenskette.
Signicat arbeitet seit 2006 mit digitalen Identitäten und begrüßt das neue digitale Identitäts-Wallet als eine gute Lösung für die Nutzer, die Dienstanbieter und die Gesellschaft im Allgemeinen. Wir haben auch viel daran gearbeitet, gute Benutzererfahrungen zu garantieren. Unsere MobileID-Lösung, die hohe Sicherheit sowie eine angenehme Nutzererfahrung bei der Authentifizierung bietet, wird in mobilen Bankanwendungen implementiert und kann als Vorläufer der modernen mobilen Geldbörsen angesehen werden.
Zuerst erschienen auf Identity Economy