Die monatlich erscheinende Blogserie „das kleine 1×1 der sicheren digitalen Identitäten“ präsentiert Themenschwerpunkte rund um die Erzeugung, Verwaltung und den Einsatz digitaler Identitäten. Im Fokus diesen Monat: Welche Technologien stehen auf aktuellen Smartphones für den Einsatz mit digitalen Identitäten zur Verfügung?
Ein herkömmliches Smartphone beherrscht heutzutage unterschiedliche Technologien zum kabellosen Austausch von Informationen. Was sind die Vor- und Nachteile von Mobilfunk, WLAN, Bluetooth, NFC und QR-Codes, was sind ihre Einsatzmöglichkeiten und wo sind diese Technologien heute bereits im Einsatz?
- Die sich in den letzten Jahren ändernden Anforderungen im Zusammenhang mit dem Einsatz digitaler Identitäten (Stichwort Selbstbestimmte Identität bzw. Self-Sovereign Identity, kurz: SSI), kombiniert mit der täglich steigenden Nutzerzahl von Smartphones, erfordern neue Überlegungen zur sicheren Herausgabe, Nutzung und Sperrung digitaler Identitäten.
- Moderne Smartphones nutzen grundsätzlich verschiedene Kommunikationstechnologien:
- Mobilfunktechnik (Stichwort 3G, LTE, 5G) ermöglicht die Nutzung von Datendiensten und damit eine direkte Internetanbindung des Smartphones in einem Umkreis mehrerer Kilometer von einem Sendemast des Netzbetreibers.
- WLAN (Wireless Local Area Network) ermöglicht eine Funkverbindung mit einer Reichweite von 30 m – 100 m zu einem lokalen WLAN-HotSpot und damit indirekt eine Internetanbindung des Smartphones. Zum Beispiel können Smartphones einiger Hersteller per WLAN mit anderen Geräten (z.B. Fernseher) verbunden werden.
- Bluetooth ermöglicht Funkverbindungen über mehrere Meter. Es kann genutzt werden, um diverse Verbindungen herzustellen, z.B. für Audio/Video aber auch zur Anbindung von Peripheriegeräten, wie externen Smartcards oder Token.
- NFC (Near Field Communication) ist ein Kommunikationsprotokoll, das kontaktlose Transaktionen über mehrere Zentimeter ermöglicht, indem es eine drahtlose Kurzstrecken-Kommunikation zwischen zwei technischen Geräten mit einer Frequenz von 13,56 MHz herstellt, zum Beispiel zwischen einem Mobiltelefon und einem Terminal. Es bietet einen hohen Komfort und eine einfache Bedienung, da keine weiteren Konfigurationsschritte erforderlich sind, um eine Sitzung zum Datenaustausch zu initiieren.
- QR-Codes (QR steht für „Quick Response“) ermöglichen die einseitige Übernahme und Verarbeitung von Informationen durch das Smartphone. Sie sind mit den auf Produktverpackungen üblichen Strichcodes verwandt. Im Gegensatz zu diesen besteht ein QR-Code jedoch aus einem wenige Zentimeter großen Quadrat, in dem die Informationen wie beispielsweise Webadressen („deep links“), Telefonnummern, SMS, freie Texte (z.B. Gutscheincodes) oder Verknüpfungen zu anderen Apps in weißen und schwarzen Bildpunkten codiert werden. Jedes Smartphones kann mit einer entsprechenden App und mit Hilfe seiner Kamera QR-Codes scannen und verarbeiten. QR-Codes verbinden somit die physische und digitale Welt, stellen aber keine bidirektionale Kommunikationsmöglichkeit dar.
- NFC ähnelt WLAN, Bluetooth und anderen Formen von Funktechniken, da sie auf dem Prinzip der Informationsübertragung über Funkwellen beruhen. NFC verwendet jedoch einen anderen Standard für die drahtlose Datenkommunikation, was bedeutet, dass die Geräte besondere Spezifikationen einhalten müssen, damit sie korrekt miteinander kommunizieren können
- NFC wurde entwickelt, um eine sicherere, auf kurze Distanz und implizit gepaarte Kommunikation zu ermöglichen. Ein wichtiger Aspekt der NFC-Technologie ist ihre inhärente Sicherheit aufgrund der sehr kurzen Reichweite, die sie z.B. für das kontaktlose Bezahlen geeignet macht. Bei der NFC-Kommunikation wird die Kommunikation gestartet, wenn man zwei Geräte sehr nahe aneinander bringt, und wenn man die Geräte über eine bestimmte Grenze hinaus trennt, wird die Kommunikation sofort beendet. Dies ermöglicht einen schnellen Kommunikationsaufbau ohne aufwendige Nutzerinteraktionen.
- Im Gegensatz zu NFC ist für das Scannen und Verarbeiten eines QR-Codes immer die Interaktion mit dem Nutzer notwendig. Beispielsweise muss der Nutzer den QR-Code mit der Kamera des Smartphones erfassen
- Bei der Nutzung eines NFC-Mobiltelefons mit Secure Element simuliert das Smartphone dem Lesegerät (z. B. einem Point-of-Sale oder POS-Terminal) gegenüber eine herkömmliche Kredit-/Debitkarte. Die Schnittstelle des Lesegerätes muss dazu nicht angepasst werden.
- Aus technischer Sicht können bei der Nutzung digitaler Identitäten grundsätzlich die gleichen Sicherheitskomponenten wie beim mobilen Zahlen verwendet werden. Dabei sind allerdings die teilweise unterschiedlichen Schutzbedarfe und der notwendige Vertrauensstatus zu berücksichtigen (vgl. Punkt 14 und 15).
- Für Smartphones werden im Umfeld des mobilen Zahlens bisher drei verschiedene Sicherheitskomponenten diskutiert, um schützenswerte Daten wie Kartennummer, Hauptkontonummer und andere Zahlungsinformationen zu speichern und sicher zu kommunizieren. Diese beruhen entweder auf einem
- sicheren Hardware-Element, Secure Element (SE) genannt,
- einer Software mit Host Card Emulation (HCE) oder einem
- Trusted Execution Environment (TEE).
In dem kommenden Monat wird es darum gehen, was das Secure-Element eines Smartphones ist, warum es Potenzial für die Umsetzung von sicheren digitalen Identitäten bietet und was der Technologie noch im Weg steht.