Ein Plädoyer für ein Ökosystem digitaler Identitäten
Wenn wir in Interaktion mit anderen treten, geben wir Teile unserer Identität preis, sei es gegenüber Behörden, Unternehmen oder anderen Gesprächspartnern. In der analogen Welt können wir fast jedes Attribut unserer Identität, von Namen bis zum Immobilienbesitz, mit einem Ausweis oder einem anderen Dokument beweisen. Aber wie beweisen wir im digitalen Raum, dass unsere Angaben stimmen?
In der digitalen Welt gelten im Grunde die gleichen Bedingungen wie in der analogen Welt. Sei es eine Kontoeröffnung, der Abschluss einer Versicherung oder beim Online-Shopping. Unsere Geschäftspartner benötigen von uns Informationen, damit sie wissen, mit wem sie es zu tun haben. Derzeit ist das jedoch umständlich: Wir tippen die benötigen Daten immer wieder aufs Neue ein. In der Regel erhalten wir dann einen Benutzernamen und Zugangsdaten, mit denen wir uns dann zukünftig gegenüber dem Geschäftspartner identifizieren können. Müssen wir darüber hinaus noch weitere Informationen wie Einkommen oder Immobilienbesitz nachweisen, scannen oder fotografieren wir ein Papierdokument und laden es hoch oder verschicken es per E-Mail. Die Daten werden dann von unserem Geschäftspartner verarbeitet und gespeichert.
Im Durchschnitt besitzen wir heute rund 90 solcher Profile – oder besser: “digitale Identitäten”. Das ist nicht nur aufwendig und unpraktisch. Viele dieser Zugangsdaten sind auch unsicher, Passwörter aus Geburtsdaten oder die Zahlenreihe „1234“ sind keine Seltenheit. Ein besonderes Problem für sensible Dienste wie Banking, Krankenkassen oder staatliche Dienstleistungen besteht darin, dass es derzeit keine etablierte Möglichkeit gibt, wie Kundinnen und Kunden ihre Identität volldigital, sicher und vor allem einfach nachweisen können. Gerade mit Blick auf Geldwäscheprävention und Identitätsmissbrauch ist aber genau das unerlässlich. Was fehlt, ist eine Art digitaler Personalausweis für das Internet.
Aus diesem Grund tummeln sich inzwischen zahlreiche Anbieter für Identitätsnachweise im Markt, die, gegen Bezahlung, jeweils individuelle Identitätsfeststellungen anbieten. Für die Kundinnen und Kunden heißt das dann meist, dass sie vor Abschluss eines Vertrags oder Eröffnung eines Bankkontos eine separate App herunterladen und anschließend ihren Personalausweis in verschiedenen Winkeln vor ihre Handykamera halten müssen. In der digitalen Anbahnung von Vertragsschlüssen ist das eine echte Sollbruchstelle. Etliche potenzielle Kundinnen und Kunden – nicht nur Ältere und digital wenig erfahrene Nutzerinnen und Nutzer – brechen an dieser Stelle entnervt ab.
Das Fehlen von digitalen Nachweisen ist eines der drängendsten Digitalisierungshemmnisse unserer Zeit. Für den Digitalstandort Deutschland ist dieser Zustand verheerend, weil ohne solche Nachweise viele digitale Innovationen und moderne Services gar nicht erst entstehen können. Das hat auch bedeutende volkswirtschaftliche Implikationen. So kommt eine McKinsey-Studie aus dem Jahr 2019 zu dem Ergebnis, dass die Entwicklung eines Ökosystems für digitale Nachweise in entwickelten Volkswirtschaften bis 2030 einen gesamtwirtschaftlichen Nutzen in Höhe von 3 bis 4 Prozent des BIP generieren kann.[1]
Die Lösung ist – zumindest in der Theorie – einfach. So wie den Personalausweis für die analoge Welt sollte der Staat einen digitalen Personalausweis für die Online-Welt herausgeben, der den Bürgerinnen und Bürgern online eine sichere und eindeutige Identifikation ermöglicht. Tatsächlich wurde genau das 2010 mit dem sogenannten „elektronischen Identitätsnachweis“ (eID) als Teil des neuen Personalausweises versucht. Nur leider ohne jeden Erfolg: 11 Jahre nach Einführung sagen gerade mal 9 % der deutschen Bevölkerung, dass sie die eID Funktion schon genutzt haben.[2]
Die Gründe für den Misserfolg der eID sind vielfältig. Der entscheidende Grund dürfte aber darin liegen, dass die eID an den Bedürfnissen der Endnutzer und der Wirtschaft vorbei konzipiert wurde. Ein weiterer Punkt ist die Tatsache, dass technologische Innovationen, wie zum Beispiel das Smartphone, sich schneller durchgesetzt haben, als die Fähigkeit der eID-Infrastruktur, sich dieser Entwicklung anzupassen. Erst seit Ende 2017 können Verbraucherinnen und Verbraucher die eID-Funktion mit ihrem NFC-fähigen Smartphone nutzen. Zu der Zeit hatten sich allerdings schon alternative Identifikationsmethoden wie die Videolegitimation durchgesetzt, die heute rund 70 % der Neukunden bei der ING Deutschland nutzen.
Glücklicherweise hat die digitale Sicherheitsarchitektur in den Jahren seit der Einführung des elektronischen Personalausweises enorme Fortschritte gemacht. Fortgeschrittene kryptografische Verfahren, die in ähnlicher Form beispielsweise auch hinter Kryptowährungen wie Bitcoin stehen, erlauben es heute, fälschungs- und manipulationssichere digitale Nachweise auf dem Smartphone zu speichern. Einmal eingerichtet ist keine zusätzliche Hardware mehr nötig. Das Beste daran: Diese Verfahren geben den Nutzerinnen und Nutzer die volle Kontrolle über ihre Daten. Sie entscheiden selber, wann, wie und wofür sie welche persönlichen Daten teilen.
Diese Vorteile greift das Konzept der sogenannten Self-sovereign Identity (SSI) auf. Dieses Konzept der selbstbestimmten digitalen Identitäten verfolgt den Grundsatz, dass die Inhaberinnen und Inhaber solcher SSI-Nachweise die volle Kontrolle und Hoheit über ihre Daten behalten.
SSI ermöglicht eine niedrigschwellige und sichere Nutzung digitaler Services. Die gewonnene Sicherheit auf Seiten der Anbieterinnen und Anbieter wie auch der Nutzerinnen und Nutzer ermöglicht auf diese Weise die Entwicklung ganz neuer Angebote. Die Schweiz zeigt, dass SSI der Grundstein für ein Ökosystem digitaler Nachweise – und damit für eine digitale Wirtschaft – sein kann. Der Schweizer Bundesrat hat im Dezember 2021 beschlossen, dass die künftige staatliche Schweizer eID auf dem SSI-Prinzip basieren soll.[3]
Durch SSI lassen sich u.a. fälschungs- und manipulationssichere digitale Versionen von wichtigen persönlichen Dokumenten wie Personalausweis, Führerschein, Impfpass, Geburtsurkunde oder medizinischen Rezepten erstellen. Auch sichere, passwortfreie Zugänge zu Webservices sind möglich. Im E-Commerce, im Online-Banking oder bei digitalen Behördengängen kann SSI eine eindeutige Identifikation der Nutzerinnen und Nutzer gewährleisten.
Damit Nutzerinnen und Nutzer ihre Nachweise einsetzen können, wird eine technische Infrastruktur benötigt, die man als Ökosystem für digitale Nachweise bezeichnet. Derzeit gibt es diverse Initiativen zum Aufbau von solchen Ökosystemen. Unter anderem entwickelt die ING Deutschland zusammen mit 50 weiteren Partnern aus Wirtschaft und Verwaltung das Ökosystem www.idunion.org. Ein solches SSI-Ökosystem wäre ein entscheidender Schritt zu mehr digitaler Autonomie und Souveränität der deutschen (und perspektivisch: der europäischen) Wirtschaft.
Ergänzt werden diese Initiativen durch das Projekt „Ökosystem digitaler Identitäten“ unter der Schirmherrschaft des Bundeskanzleramts. In diesem Projekt entwickeln derzeit 20 Unternehmen, u.a. auch die ING Deutschland, zusammen mit diversen Bundesministerien eine auf SSI-Grundsätzen basierende Version des digitalen Personalausweises für das Smartphone: die Basis-ID.
Einer der entscheidenden Vorteile der Basis-ID ist, dass sie ohne teures Spezialequipment auskommt und auch auf einfachen Smartphones funktioniert. Das ist wichtig, um die digitale Teilhabe breiter Schichten der Bevölkerung sicherzustellen: Die Kosten, die für die Nutzung einer digitalen Identität entstehen, haben immer auch eine soziale Komponente.
Neben der einfachen Handhabung für Kundinnen und Kunden ist die Basis-ID auch für Anbieter und Entwickler offen, vom selbständigen Programmierer bis zum Großkonzern. Durch den fortgeschrittenen Entwicklungsstatus ist es möglich, die Basis-ID relativ kurzfristig auszurollen. Als digitale Bank, die im internationalen Wettbewerb steht, wissen wir, dass der Faktor Geschwindigkeit eine entscheidende Rolle spielt, wenn es um die Akzeptanz und Verbreitung digitaler Lösungen geht. Den Luxus, jahrelang in der Theorie eine vermeintlich optimale Lösung zu entwickeln, haben wir nicht – ansonsten werden uns große internationale Tech-Konzerne zuvorkommen, die an eigenen, weniger offenen Lösungen arbeiten.
Für die Nutzung der Basis-ID bedarf es einer regulatorischen Grundlage. Der Deutsche Bundestag hat Anfang 2021 mit der Erweiterung des Geldwäschegesetzes um eine Experimentierklausel den entscheidenden Schritt in diese Richtung gemacht. Darauf aufbauend hat das Bundesfinanzministerium in den vergangenen Monaten an der dazugehörigen Verordnung gearbeitet. Leider ist es anschließend nicht zu einer Einigung zwischen den zuständigen Ministerien gekommen. Auch darüber hinaus liefen manche Entscheidungs- und Entwicklungsprozesse nicht optimal, sicherlich auch wegen der unterschiedlichen Zielvorstellungen und Prioritäten der Beteiligten. Mit der Basis-ID liegt somit eines der grundlegenden Digitalprojekte Deutschlands, entgegen dem Willen des Gesetzgebers, derzeit auf Eis.
Die neue Bundesregierung aus SPD, Grünen und FDP fordert einen digitalen Aufbruch für Deutschland. Für diesen Aufbruch ist ein marktfähiges, offenes und sicheres Ökosystem für digitale Nachweise unerlässlich. Als Finanzwirtschaft plädieren wir darum für einen Neustart in Sachen SSI-Ökosystem. Mit der Basis-ID steht ein vielversprechender Kandidat bereit. Wenn es der neuen Bundesregierung gelingt, die noch bestehenden rechtlichen und organisatorischen Hürden aus dem Weg zu räumen und die Entwicklung einer sicheren und praktikablen SSI-Lösung voranzutreiben, dann steht nicht nur der Bankenbranche in Deutschland ein echter Digitalisierungsschub bevor.
Dr. Joachim von Schorlemer
[1] McKinsey Global Institute 2019: Digital identification. A key to inclusive growth, S. vi-vii
[2] Initiative D21: eGovernment Monitor 2021