Der „Verband Sichere Digitale Identität e.V.“ (VSDI) ist das bundesweite Netzwerk für Unternehmen, Hochschulen und Forschungseinrichtungen, das die Transformation von analogen zu digitalen Identitäten vorantreibt. Als Ideengeber und als Dialogplattform hat der Verband vier zentrale Anforderungen an Identitätslösungen im digitalen Zeitalter definiert. In einem Gastbeitrag stellt der Verband das sogenannte SVEN Modell vor.
Digitale Identifikationslösungen entwickeln sich in einem immer rasanteren Tempo. Sie ermöglichen es, schlanke und digitale Prozesse umzusetzen, welche zunehmend benötigt werden. Bei den vielfältigen technologischen Ansätzen und den zukünftigen Entwicklungen ist es wichtig zu definieren, welche Anforderungen sichere digitale Identitäten (SDI) erfüllen sollen.
Sichere digitale Identitäten sorgen für das notwendige Vertrauen in der digitalen Welt. Sie geben Gewissheit, dass ein Mensch auch wirklich derjenige ist, für den er sich ausgibt, oder dass eine Person, eine Organisation oder ein Gegenstand tatsächlich real und vertrauenswürdig ist. Um dieses Vertrauen zu erzeugen, müssen sichere digitale Identitäten folgende vier Anforderungen des SVEN-Modells erfülle.
Souverän
Digitale Identitäten sollen Souveränität gewährleisten. Was bedeutet das? Auf der einen Seite ist es erforderlich, die Souveränität der individuellen Person zu schützen, indem beispielsweise die Entscheidung über die Weitergabe von Daten bei dieser Person liegt. Auf der anderen Seite soll auch die Souveränität von Nationalstaaten gesichert werden, indem die hoheitliche Identität und der Umgang mit dieser weiterhin in der öffentlichen Hand liegen. Hier gilt es Europa als Technologiestandort zu stärken und Unabhängigkeit von globalen Playern zu bewahren. Es ist zielführend, Kooperationen im globalen Kontext auf Augenhöhe durchzuführen, um sinnvolle Lösungen zu garantieren. Ein wichtiger Faktor dafür ist, dass die eIDAS-Verordnung als einheitliches, regulatorisches Rahmenwerk in Europa umgesetzt wird. Durch die DSGVO und „Privacy by Design“ werden die digitalen Identitäten von Individuen geschützt.
Vertrauenswürdig
Digitale Identitäten müssen vertrauenswürdig sein. Im Fokus steht dabei, dass sich Nutzende darauf verlassen können, dass ausgestellte Identitäten echt sind und tatsächlich von anerkannten und zertifizierten Ausstellern solcher Identitäten kommen. Zudem sollen Nutzende darauf vertrauen können, dass Organisationen, mit denen sie Daten teilen, auch glaubwürdig sind. Das Fundament dafür, findet sich in der zugrundeliegenden Infrastruktur einer digitalen Identität. Dabei spielt es eine wichtige Rolle, ob die Daten zentral oder dezentral gespeichert werden. Alle darauf aufsetzenden Technologien, also einzelne Identitätslösungen, basieren dann auf dieser Vertrauensinfrastruktur. Eine eIDAS-konforme, intelligente Kombination von bewährten Public Key-Infrastrukturen (PKI) und einer dezentralen Technologie (DLT) kann optimale Voraussetzungen für sichere digitale Identitäten schaffen.
Effizient
Neben der Sicherheit digitaler Identitäten, ist eine weitere Komponente für die erfolgreiche Etablierung von Identitätslösungen unverzichtbar: Effizienz. Es ist notwendig, dass neben Sicherheitsaspekten auch eine flexible, schnelle und effiziente Anwendbarkeit berücksichtigt wird. Dies wird entscheidend zur Akzeptanz digitaler Identitäten beitragen: sowohl bei natürlichen Personen als auch bei juristischen Personen wie Unternehmen und Organisationen. Dabei ist es von zentraler Bedeutung, anzuerkennen, dass für verschiedene Authentifizierungsprozesse unterschiedliche Vertrauensniveaus erforderlich sind und diese entsprechend flexibel einzusetzen: Nicht jede digitale Authentifizierung erfordert die Nutzung der Online-Ausweisfunktion des hoheitlichen Ausweisdokuments und nicht jedes Dokument erfordert die Absicherung durch eine qualifizierte Signatur und einen qualifizierten Zeitstempel. Die Berücksichtigung unterschiedlicher Sicherheitsniveaus bei verschiedenen Anwendungen trägt maßgeblich zur Effizienz von Identitätslösungen bei.
Nutzerfreundlich
Bei der Nutzung von digitalen Identitäten ist es unverzichtbar, dass die Nutzenden im Zentrum der Umsetzung stehen. Das bedeutet, dass die Barrieren bei der Identifizierung und Authentifizierung – seien es Personen oder Unternehmen – möglichst klein gehalten werden sollen. Durch eine bequeme Umsetzung digitaler Identitäten, beispielsweise durch die Nutzung von Smartphones als Identity-Manager, kann eine hohe Akzeptanz und eine geringe Abbruchquote erreicht werden. Dafür braucht es ein offenes und interoperables Ökosystem, um einzelne Attribute einer sicheren Identität auf ein Smartphone zu übertragen. Das erfordert eine einheitliche Standardisierung und definierte Mindestanforderungen an die Sicherheitselemente der mobilen Endgeräte.
Nutzerfreundlich zu sein heißt außerdem, konkrete Anwendungen anzubieten, die den Nutzenden helfen Vorgänge zu vereinfachen. So könnten beispielsweise ärztliche Leistungen in Zukunft nach der elektronischen Identifizierung mühelos in Anspruch genommen werden, sei es die ärztliche Terminvergabe oder der Abschluss einer neuen Versicherung. Ebenso bietet das Anwendungsfeld Smart Home Nutzungsmöglichkeiten: Indem zum Beispiel smarten Geräten eine sichere digitale Identität zugewiesen wird, wird ungewolltes Eindringen von außen effizienter verhindert.
Insgesamt bietet das SVEN-Modell mit seinen unterschiedlichen Komponenten einen Rahmen für die Entwicklung von sicheren digitalen Identitäten. Dadurch werden in Zukunft Identitätslösungen für eine Vielzahl von Anwendungen nutzbar sein.
Die hier definierten Anforderungen müssen dafür in die Praxis umgesetzt werden. Daran arbeitet der Verband Sichere Digitale Identität mit seinen Mitgliedern aus Forschung und Wirtschaft. Weitere Anwendungsfelder und konkrete Beispiele finden Sie auch auf der Website des VSDI. Für eine direkte Kontaktaufnahme erreichen Sie den Verband Sichere Digitale Identität per Email unter: info@vsdi.de