Identitätskrise - wer bist du wirklich?

Von Dr. Thomas Dübendorfer - 3. November 2017

Digitale Identität // Eine zuverlässige digitale Identität ist zentral für eine sichere Informationsgesellschaft. Einige europäische Länder stellen für ihre Einwohner umfassende digitale Identifikationssysteme zur Verfügung. Wo steht die Schweiz und welche Instanzen könnten eine globale digitale Identität bereitstellen?

Die Hiobsbotschaften zu Identitätsdiebstahl reissen nicht ab. In den ersten acht Monaten des Jahres 2016 wurden gemäss dem Identity Theft Resource Center über 28,6 Millionen schützenswerte Personendatensätze Unberechtigten zugänglich. Diese Datenschutzverletzungen ereigneten sich bei Banken, Behörden, Schulen, in der Industrie, beim Militär und im Gesundheitsbereich. Das US-Justizdepartement hat kürzlich für das Jahr 2014 den finanziellen Schaden durch offiziell gemeldete Identitätsdiebstähle von insgesamt 17,6 Millionen US-Bürgern auf 15,4 Milliarden US-Dollar beziffert.

Digitale Identität wurde vernachlässigt

Wir leben schon seit über 30 Jahren in der «Informationsgesellschaft», und die Abhängigkeit unserer Gesellschaft und Wirtschaft von Informations- und Kommunikationstechnologien steigt mit jedem Tag weiter. Wir können heute weltweit in Sekundenbruchteilen mit Milliarden Menschen kommunizieren. Aber haben wir einem der wichtigsten Aspekte zwischenmenschlicher Interaktion – der Identität des Menschen – in der digitalen Welt genügend Beachtung geschenkt?

Wieso brauchen wir überhaupt eine zuverlässige digitale Identität? Diese ist nötig, um über das Internet sichere Transaktionen abzuwickeln, um den Zugriff auf sensitive Daten zu kontrollieren, um gesetzeskonform Zugang zu regulierten Dienstleistungen wie Bankgeschäften anzubieten oder um sicherzustellen, dass der Kommunikationspartner in der Ferne wirklich der ist, der er vorgibt zu sein – kurz, damit die digitale Gesellschaft und Wirtschaft funktionieren und wir damit die Cyber-Sicherheit in den Griff bekommen.

Stand der Dinge in Europa

Es gibt heute viele Ansätze, wie man eine zuverlässige digitale Identität schaffen und verifizieren kann. Leider hat sich bisher kein globaler Standard durchgesetzt. In Europa kocht aktuell fast jedes Land dazu sein eigenes Süppchen. Während einige noch die Zutaten rüsten, sind andere schon fertig mit dem Gericht. Belgien stellt z. B. für seine Bürger die eID aus, als Identitätskarte mit zertifikatsbasierter Online-Authentifikations- und digitaler Signaturfunktion mit Schutz durch eine PIN. Kinder bis 12 Jahre erhalten eine kids-ID, die als Reisedokument und digitaler Ausweis taugt, und dank dem «Hello Parents»-Dienst erreicht man in Notfällen über eine zentrale Notfallnummer die Eltern via hinterlegte Telefonnummern. Ausländer erhalten eine elektronische Ausländerkarte, die auch für digitale Unterschriften taugt. In Estland erlaubt es das Gesetz seit dem Jahr 2000, digital zu unterschreiben. Die ID-kaart dient als Reisedokument innerhalb der EU und unterstützt neben der digitalen Unterschrift unter anderem auch das Abstimmen übers Internet, was im Jahr 2014 bei den Parlamentswahlen ganze 31 Prozent der Bürger nutzten. Es gibt noch zahlreiche andere Projekte in der EU.

Was macht die Schweiz?

In der Schweiz fristet die SuisseID als Lösung für Identifikation, Authentifikation und elektronische Signatur ein Schattendasein. Im Zeitalter von Smartphones ist es natürlich schon fraglich, ob eine separate Chipkarte mit separatem Lesegerät überhaupt eine Zukunft hat. Die Mobile ID, die von Swisscom angeboten wird, integriert die digitale Identität und eine sichere Authentifizierungslösung direkt in die SIM-Karte, die mit den meisten gängigen Smartphones kompatibel ist. Damit kann man sich bei Internetportalen sicher anmelden. Eine PIN sorgt für zusätzlichen Schutz. Keine dieser Lösungen hat aktuell eine kritische Masse, und somit können sich Einwohner der Schweiz nicht einheitlich digital ausweisen. Das wiederum hemmt die meisten Online-Dienste, diese Authentifikationslösungen überhaupt zu integrieren.

Bodenständigkeit

In der Schweiz, wie auch global, ist die physische Postadresse nach wie vor einer der wichtigsten – und häufig stark unterschätzten – identitätsbildenden Faktoren. Die meisten Firmen und Behörden gehen davon aus, sofern Post zugestellt werden kann an eine Person X und Postadresse Y, dass diese Post dann auch wirklich nur von Person X gelesen wird. Über diesen Weg gelangen Zugangscodes, Bankkarten, Kreditkarten, PINs, Schecks etc. in die Hände der Bürger. Das Vertrauen in die Zuverlässigkeit der Zustellung und die Vertrauenswürdigkeit des Postsystems ist riesig. In der Welt gibt es aber 2 Milliarden Menschen, die kein Bankkonto haben, und Leute, die in Slums oder als Nomaden leben, haben auch keine staatlich vergebene Postadresse. Die Bankenregulierung (KYC – know your customer) verlangt u. a., dass der Kunde über eine gültige Postadresse verfügt.

Wer könnte ein globales Identitätssystem schaffen?

Optimal wäre, wenn jeder Mensch ab Geburt eine standardisierte, sichere digitale Identität erhalten würde. Behörden sind prädestiniert geeignet, diese zu schaffen, weil sie bereits die Geburten erfassen und zudem schon Reisedokumente wie Pass oder Identitätskarten ausstellen. Es würden sich aber auch andere Instanzen anbieten, die ihre Kunden direkt kennen und eine weite Verbreitung haben. Hier wären insbesondere zu nennen: Strassenverkehrsamt (Führerausweise), Banken (Bankkunde), Versicherungen (Versicherungsnehmer), Telefongesellschaften (SIM-Karten), Apple (Apple ID), Google (Google Account), Facebook (Account), LinkedIn (Account), Tencent (QQ Messaging Account) etc. Interessant bei dieser Liste ist, dass grosse Internetkonzerne, insbesondere Google, LinkedIn, Facebook oder Tencent, die physische Adresse der meisten ihrer Kunden nie validiert haben und oft auch gar nicht kennen. Dennoch haben viele dieser Accounts eine grosse Glaubwürdigkeit, weil durch zahlreiche Betrugsschutzmassnahmen verhindert wird, dass betrügerische Accounts in grosser Zahl entstehen und länger unentdeckt bleiben können. Wäre es also denkbar, dass man bald statt einer physischen Postadresse nur noch die Erreichbarkeit via z. B. einen LinkedIn Account nachweisen muss?

Wer bist du wirklich?

Wie prüft man eigentlich nach, ob jemand wirklich die Identität hat, die er oder sie vorgibt? Offenbar ist das nicht so einfach, sonst gäbe es nicht derart grosse Schäden durch Identitätsdiebstahl. Prinzipiell prüft man nach, ob jemand

  1. etwas Bestimmtes weiss: z. B. Passwort, PIN
  2. etwas Bestimmtes besitzt: z. B. Schlüssel, Bankkarte
  3. ein bestimmtes Merkmal hat: z. B. Iris-Scan, Fingerabdruck
  4. sich an einem bestimmten Ort aufhält: z. B. spezieller Raum, am Flughafen
  5. etwas Bestimmtes kann: z. B. ein Musikinstrument beherrscht

Dazu gibt es über 100 verfügbare industrielle Lösungen, die einen oder mehrere solcher Tests übers Internet durchzuführen erlauben. Jeder hat seine Stärken und Schwächen. Die Industrieallianz FIDO versucht aktuell, zumindest die Schnittstelle dieser Verfahren zu vereinheitlichen, damit Online-Plattformen diese einfacher integrieren können. Ein Schritt in die richtige Richtung, aber kaum die umfassend befriedigende Lösung. Es bleibt also weiterhin spannend.

 

Mehr Lesematerial gefällig? Dieser Artikel ist in der 2017 Ausgabe des ti&m special mit dem Titel "Unsere digitale Identität" erschienen. Das ganze Magazin ist hier kostenlos als Download verfügbar.
 

  • Dr. Thomas Dübendorfer

    Präsident Swiss ICT Investor Club (SICTIC)
    Thomas Dübendorfer hat an der ETH Zürich in Informatik doktoriert und doziert dort seit 10 Jahren zu Informationssicherheit. Bei Google war er 7 Jahre und arbeitete auch im Silicon Valley. Er ist im Beirat von ti&m und Past President der Information Security Society Switzerland (ISSS).

Kommentieren

* Erforderliche Angaben