11. November 2017

Identitätskrise - wer bist du wirklich?

Identitätskrise 750x410

Digitale Identität // Eine zuverlässige digitale Identität ist zentral für eine sichere Informationsgesellschaft. Einige europäische Länder stellen für ihre Einwohner umfassende digitale Identifikationssysteme zur Verfügung. Wo steht die Schweiz und welche Instanzen könnten eine globale digitale Identität bereitstellen?

Die Hiobsbotschaften zu Identitätsdiebstahl reissen nicht ab. In den ersten acht Monaten des Jahres 2016 wurden gemäss dem Identity Theft Resource Center über 28,6 Millionen schützenswerte Personendatensätze Unberechtigten zugänglich. Diese Datenschutzverletzungen ereigneten sich bei Banken, Behörden, Schulen, in der Industrie, beim Militär und im Gesundheitsbereich. Das US-Justizdepartement hat kürzlich für das Jahr 2014 den finanziellen Schaden durch offiziell gemeldete Identitätsdiebstähle von insgesamt 17,6 Millionen US-Bürgern auf 15,4 Milliarden US-Dollar beziffert.

Digitale Identität wurde vernachlässigt

Wir leben schon seit über 30 Jahren in der «Informationsgesellschaft», und die Abhängigkeit unserer Gesellschaft und Wirtschaft von Informations- und Kommunikationstechnologien steigt mit jedem Tag weiter. Wir können heute weltweit in Sekundenbruchteilen mit Milliarden Menschen kommunizieren. Aber haben wir einem der wichtigsten Aspekte zwischenmenschlicher Interaktion – der Identität des Menschen – in der digitalen Welt genügend Beachtung geschenkt?

Wieso brauchen wir überhaupt eine zuverlässige digitale Identität? Diese ist nötig, um über das Internet sichere Transaktionen abzuwickeln, um den Zugriff auf sensitive Daten zu kontrollieren, um gesetzeskonform Zugang zu regulierten Dienstleistungen wie Bankgeschäften anzubieten oder um sicherzustellen, dass der Kommunikationspartner in der Ferne wirklich der ist, der er vorgibt zu sein – kurz, damit die digitale Gesellschaft und Wirtschaft funktionieren und wir damit die Cyber-Sicherheit in den Griff bekommen.

Stand der Dinge in Europa

Es gibt heute viele Ansätze, wie man eine zuverlässige digitale Identität schaffen und verifizieren kann. Leider hat sich bisher kein globaler Standard durchgesetzt. In Europa kocht aktuell fast jedes Land dazu sein eigenes Süppchen. Während einige noch die Zutaten rüsten, sind andere schon fertig mit dem Gericht. Belgien stellt z. B. für seine Bürger die eID aus, als Identitätskarte mit zertifikatsbasierter Online-Authentifikations- und digitaler Signaturfunktion mit Schutz durch eine PIN. Kinder bis 12 Jahre erhalten eine kids-ID, die als Reisedokument und digitaler Ausweis taugt, und dank dem «Hello Parents»-Dienst erreicht man in Notfällen über eine zentrale Notfallnummer die Eltern via hinterlegte Telefonnummern. Ausländer erhalten eine elektronische Ausländerkarte, die auch für digitale Unterschriften taugt. In Estland erlaubt es das Gesetz seit dem Jahr 2000, digital zu unterschreiben. Die ID-kaart dient als Reisedokument innerhalb der EU und unterstützt neben der digitalen Unterschrift unter anderem auch das Abstimmen übers Internet, was im Jahr 2014 bei den Parlamentswahlen ganze 31 Prozent der Bürger nutzten. Es gibt noch zahlreiche andere Projekte in der EU.

Was macht die Schweiz?

In der Schweiz fristet die SuisseID als Lösung für Identifikation, Authentifikation und elektronische Signatur ein Schattendasein. Im Zeitalter von Smartphones ist es natürlich schon fraglich, ob eine separate Chipkarte mit separatem Lesegerät überhaupt eine Zukunft hat. Die Mobile ID, die von Swisscom angeboten wird, integriert die digitale Identität und eine sichere Authentifizierungslösung direkt in die SIM-Karte, die mit den meisten gängigen Smartphones kompatibel ist. Damit kann man sich bei Internetportalen sicher anmelden. Eine PIN sorgt für zusätzlichen Schutz. Keine dieser Lösungen hat aktuell eine kritische Masse, und somit können sich Einwohner der Schweiz nicht einheitlich digital ausweisen. Das wiederum hemmt die meisten Online-Dienste, diese Authentifikationslösungen überhaupt zu integrieren.

Bodenständigkeit

In der Schweiz, wie auch global, ist die physische Postadresse nach wie vor einer der wichtigsten – und häufig stark unterschätzten – identitätsbildenden Faktoren. Die meisten Firmen und Behörden gehen davon aus, sofern Post zugestellt werden kann an eine Person X und Postadresse Y, dass diese Post dann auch wirklich nur von Person X gelesen wird. Über diesen Weg gelangen Zugangscodes, Bankkarten, Kreditkarten, PINs, Schecks etc. in die Hände der Bürger. Das Vertrauen in die Zuverlässigkeit der Zustellung und die Vertrauenswürdigkeit des Postsystems ist riesig. In der Welt gibt es aber 2 Milliarden Menschen, die kein Bankkonto haben, und Leute, die in Slums oder als Nomaden leben, haben auch keine staatlich vergebene Postadresse. Die Bankenregulierung (KYC – know your customer) verlangt u. a., dass der Kunde über eine gültige Postadresse verfügt.

Wer könnte ein globales Identitätssystem schaffen?

Optimal wäre, wenn jeder Mensch ab Geburt eine standardisierte, sichere digitale Identität erhalten würde. Behörden sind prädestiniert geeignet, diese zu schaffen, weil sie bereits die Geburten erfassen und zudem schon Reisedokumente wie Pass oder Identitätskarten ausstellen. Es würden sich aber auch andere Instanzen anbieten, die ihre Kunden direkt kennen und eine weite Verbreitung haben. Hier wären insbesondere zu nennen: Strassenverkehrsamt (Führerausweise), Banken (Bankkunde), Versicherungen (Versicherungsnehmer), Telefongesellschaften (SIM-Karten), Apple (Apple ID), Google (Google Account), Facebook (Account), LinkedIn (Account), Tencent (QQ Messaging Account) etc. Interessant bei dieser Liste ist, dass grosse Internetkonzerne, insbesondere Google, LinkedIn, Facebook oder Tencent, die physische Adresse der meisten ihrer Kunden nie validiert haben und oft auch gar nicht kennen. Dennoch haben viele dieser Accounts eine grosse Glaubwürdigkeit, weil durch zahlreiche Betrugsschutzmassnahmen verhindert wird, dass betrügerische Accounts in grosser Zahl entstehen und länger unentdeckt bleiben können. Wäre es also denkbar, dass man bald statt einer physischen Postadresse nur noch die Erreichbarkeit via z. B. einen LinkedIn Account nachweisen muss?

Wer bist du wirklich?

Wie prüft man eigentlich nach, ob jemand wirklich die Identität hat, die er oder sie vorgibt? Offenbar ist das nicht so einfach, sonst gäbe es nicht derart grosse Schäden durch Identitätsdiebstahl. Prinzipiell prüft man nach, ob jemand

  1. etwas Bestimmtes weiss: z. B. Passwort, PIN
  2. etwas Bestimmtes besitzt: z. B. Schlüssel, Bankkarte
  3. ein bestimmtes Merkmal hat: z. B. Iris-Scan, Fingerabdruck
  4. sich an einem bestimmten Ort aufhält: z. B. spezieller Raum, am Flughafen
  5. etwas Bestimmtes kann: z. B. ein Musikinstrument beherrscht

Dazu gibt es über 100 verfügbare industrielle Lösungen, die einen oder mehrere solcher Tests übers Internet durchzuführen erlauben. Jeder hat seine Stärken und Schwächen. Die Industrieallianz FIDO versucht aktuell, zumindest die Schnittstelle dieser Verfahren zu vereinheitlichen, damit Online-Plattformen diese einfacher integrieren können. Ein Schritt in die richtige Richtung, aber kaum die umfassend befriedigende Lösung. Es bleibt also weiterhin spannend.

 

Mehr Lesematerial gefällig? Dieser Artikel ist in der 2017 Ausgabe des ti&m special mit dem Titel "Unsere digitale Identität" erschienen. Das ganze Magazin ist hier kostenlos als Download verfügbar.


Dr. Thomas Dübendorfer
Dr. Thomas Dübendorfer

Präsident Swiss ICT Investor Club (SICTIC)
Thomas Dübendorfer hat an der ETH Zürich in Informatik doktoriert und doziert dort seit 10 Jahren zu Informationssicherheit. Bei Google war er 7 Jahre und arbeitete auch im Silicon Valley. Er ist im Beirat von ti&m und Past President der Information Security Society Switzerland (ISSS).

Ähnliche Artikel

Glühbirne 750x410
Become a Digital Ambassador

Mehr erfahren
2018_09_bewegende software-architektur
Bewegende Software-Architektur: Wie funktioniert Architekturarbeit in agilen Vorhaben?

Heutzutage gilt agile Softwareentwicklung als Erfolgsfaktor bei besonders innovativen und zeitkritischen Projekten durch ihre schnelle Reaktionsfähigkeit auf Veränderungen im Markt. Wie aber ist es möglich, die Software-Architektur so zu gestalten, dass der vermeintliche Widerspruch Nachhaltigkeit versus Agilität, nicht nur elegant gelöst wird, sondern sogar noch zu einer besseren Architektur führt.

Mehr erfahren
Skalierung 750x410
Skalierung von Agilität im Unternehmen

Mehr erfahren
HackZurich: This Is How 565 Techies Spent the Weekend
HackZurich: This Is How 565 Techies Spent the Weekend

565 registered participants, 152 submitted projects and 20280 hours of coding – the occasion was of course Hack Zurich, Europe’s biggest hackathon and one of the most anticipated events for ambitious hackers. The rainy weekend was the perfect opportunity for hackers from all over the world to get together in the Technopark and develop innovative solutions and new apps for the sponsor’s challenges. The goal: develop an amazing prototype and maybe, even disrupt a whole industry.

Mehr erfahren
Handling the Communication Channel Shift to Social Media
How to Mine Gold: Handling the Communication Channel Shift to Social Media

Data being the gold of the 21st century is a given fact by now. Still, most companies do not have a strategy on how to handle social media data, even though it has become the main channel of client communication. To tackle this problem, we recently carried out a ti&m garage with a major Swiss bank.

Mehr erfahren