11. November 2017

Identitätskrise - wer bist du wirklich?

Identitätskrise 750x410

Digitale Identität // Eine zuverlässige digitale Identität ist zentral für eine sichere Informationsgesellschaft. Einige europäische Länder stellen für ihre Einwohner umfassende digitale Identifikationssysteme zur Verfügung. Wo steht die Schweiz und welche Instanzen könnten eine globale digitale Identität bereitstellen?

Die Hiobsbotschaften zu Identitätsdiebstahl reissen nicht ab. In den ersten acht Monaten des Jahres 2016 wurden gemäss dem Identity Theft Resource Center über 28,6 Millionen schützenswerte Personendatensätze Unberechtigten zugänglich. Diese Datenschutzverletzungen ereigneten sich bei Banken, Behörden, Schulen, in der Industrie, beim Militär und im Gesundheitsbereich. Das US-Justizdepartement hat kürzlich für das Jahr 2014 den finanziellen Schaden durch offiziell gemeldete Identitätsdiebstähle von insgesamt 17,6 Millionen US-Bürgern auf 15,4 Milliarden US-Dollar beziffert.

Digitale Identität wurde vernachlässigt

Wir leben schon seit über 30 Jahren in der «Informationsgesellschaft», und die Abhängigkeit unserer Gesellschaft und Wirtschaft von Informations- und Kommunikationstechnologien steigt mit jedem Tag weiter. Wir können heute weltweit in Sekundenbruchteilen mit Milliarden Menschen kommunizieren. Aber haben wir einem der wichtigsten Aspekte zwischenmenschlicher Interaktion – der Identität des Menschen – in der digitalen Welt genügend Beachtung geschenkt?

Wieso brauchen wir überhaupt eine zuverlässige digitale Identität? Diese ist nötig, um über das Internet sichere Transaktionen abzuwickeln, um den Zugriff auf sensitive Daten zu kontrollieren, um gesetzeskonform Zugang zu regulierten Dienstleistungen wie Bankgeschäften anzubieten oder um sicherzustellen, dass der Kommunikationspartner in der Ferne wirklich der ist, der er vorgibt zu sein – kurz, damit die digitale Gesellschaft und Wirtschaft funktionieren und wir damit die Cyber-Sicherheit in den Griff bekommen.

Stand der Dinge in Europa

Es gibt heute viele Ansätze, wie man eine zuverlässige digitale Identität schaffen und verifizieren kann. Leider hat sich bisher kein globaler Standard durchgesetzt. In Europa kocht aktuell fast jedes Land dazu sein eigenes Süppchen. Während einige noch die Zutaten rüsten, sind andere schon fertig mit dem Gericht. Belgien stellt z. B. für seine Bürger die eID aus, als Identitätskarte mit zertifikatsbasierter Online-Authentifikations- und digitaler Signaturfunktion mit Schutz durch eine PIN. Kinder bis 12 Jahre erhalten eine kids-ID, die als Reisedokument und digitaler Ausweis taugt, und dank dem «Hello Parents»-Dienst erreicht man in Notfällen über eine zentrale Notfallnummer die Eltern via hinterlegte Telefonnummern. Ausländer erhalten eine elektronische Ausländerkarte, die auch für digitale Unterschriften taugt. In Estland erlaubt es das Gesetz seit dem Jahr 2000, digital zu unterschreiben. Die ID-kaart dient als Reisedokument innerhalb der EU und unterstützt neben der digitalen Unterschrift unter anderem auch das Abstimmen übers Internet, was im Jahr 2014 bei den Parlamentswahlen ganze 31 Prozent der Bürger nutzten. Es gibt noch zahlreiche andere Projekte in der EU.

Was macht die Schweiz?

In der Schweiz fristet die SuisseID als Lösung für Identifikation, Authentifikation und elektronische Signatur ein Schattendasein. Im Zeitalter von Smartphones ist es natürlich schon fraglich, ob eine separate Chipkarte mit separatem Lesegerät überhaupt eine Zukunft hat. Die Mobile ID, die von Swisscom angeboten wird, integriert die digitale Identität und eine sichere Authentifizierungslösung direkt in die SIM-Karte, die mit den meisten gängigen Smartphones kompatibel ist. Damit kann man sich bei Internetportalen sicher anmelden. Eine PIN sorgt für zusätzlichen Schutz. Keine dieser Lösungen hat aktuell eine kritische Masse, und somit können sich Einwohner der Schweiz nicht einheitlich digital ausweisen. Das wiederum hemmt die meisten Online-Dienste, diese Authentifikationslösungen überhaupt zu integrieren.

Bodenständigkeit

In der Schweiz, wie auch global, ist die physische Postadresse nach wie vor einer der wichtigsten – und häufig stark unterschätzten – identitätsbildenden Faktoren. Die meisten Firmen und Behörden gehen davon aus, sofern Post zugestellt werden kann an eine Person X und Postadresse Y, dass diese Post dann auch wirklich nur von Person X gelesen wird. Über diesen Weg gelangen Zugangscodes, Bankkarten, Kreditkarten, PINs, Schecks etc. in die Hände der Bürger. Das Vertrauen in die Zuverlässigkeit der Zustellung und die Vertrauenswürdigkeit des Postsystems ist riesig. In der Welt gibt es aber 2 Milliarden Menschen, die kein Bankkonto haben, und Leute, die in Slums oder als Nomaden leben, haben auch keine staatlich vergebene Postadresse. Die Bankenregulierung (KYC – know your customer) verlangt u. a., dass der Kunde über eine gültige Postadresse verfügt.

Wer könnte ein globales Identitätssystem schaffen?

Optimal wäre, wenn jeder Mensch ab Geburt eine standardisierte, sichere digitale Identität erhalten würde. Behörden sind prädestiniert geeignet, diese zu schaffen, weil sie bereits die Geburten erfassen und zudem schon Reisedokumente wie Pass oder Identitätskarten ausstellen. Es würden sich aber auch andere Instanzen anbieten, die ihre Kunden direkt kennen und eine weite Verbreitung haben. Hier wären insbesondere zu nennen: Strassenverkehrsamt (Führerausweise), Banken (Bankkunde), Versicherungen (Versicherungsnehmer), Telefongesellschaften (SIM-Karten), Apple (Apple ID), Google (Google Account), Facebook (Account), LinkedIn (Account), Tencent (QQ Messaging Account) etc. Interessant bei dieser Liste ist, dass grosse Internetkonzerne, insbesondere Google, LinkedIn, Facebook oder Tencent, die physische Adresse der meisten ihrer Kunden nie validiert haben und oft auch gar nicht kennen. Dennoch haben viele dieser Accounts eine grosse Glaubwürdigkeit, weil durch zahlreiche Betrugsschutzmassnahmen verhindert wird, dass betrügerische Accounts in grosser Zahl entstehen und länger unentdeckt bleiben können. Wäre es also denkbar, dass man bald statt einer physischen Postadresse nur noch die Erreichbarkeit via z. B. einen LinkedIn Account nachweisen muss?

Wer bist du wirklich?

Wie prüft man eigentlich nach, ob jemand wirklich die Identität hat, die er oder sie vorgibt? Offenbar ist das nicht so einfach, sonst gäbe es nicht derart grosse Schäden durch Identitätsdiebstahl. Prinzipiell prüft man nach, ob jemand

  1. etwas Bestimmtes weiss: z. B. Passwort, PIN
  2. etwas Bestimmtes besitzt: z. B. Schlüssel, Bankkarte
  3. ein bestimmtes Merkmal hat: z. B. Iris-Scan, Fingerabdruck
  4. sich an einem bestimmten Ort aufhält: z. B. spezieller Raum, am Flughafen
  5. etwas Bestimmtes kann: z. B. ein Musikinstrument beherrscht

Dazu gibt es über 100 verfügbare industrielle Lösungen, die einen oder mehrere solcher Tests übers Internet durchzuführen erlauben. Jeder hat seine Stärken und Schwächen. Die Industrieallianz FIDO versucht aktuell, zumindest die Schnittstelle dieser Verfahren zu vereinheitlichen, damit Online-Plattformen diese einfacher integrieren können. Ein Schritt in die richtige Richtung, aber kaum die umfassend befriedigende Lösung. Es bleibt also weiterhin spannend.

 

Mehr Lesematerial gefällig? Dieser Artikel ist in der 2017 Ausgabe des ti&m special mit dem Titel "Unsere digitale Identität" erschienen. Das ganze Magazin ist hier kostenlos als Download verfügbar.


Dr. Thomas Dübendorfer
Dr. Thomas Dübendorfer

Präsident Swiss ICT Investor Club (SICTIC)
Thomas Dübendorfer hat an der ETH Zürich in Informatik doktoriert und doziert dort seit 10 Jahren zu Informationssicherheit. Bei Google war er 7 Jahre und arbeitete auch im Silicon Valley. Er ist im Beirat von ti&m und Past President der Information Security Society Switzerland (ISSS).

Ähnliche Artikel

mind reader 750x410
Are you a mind reader?

Are millennial men the right target group for a Pampers marketing campaign? Of course - if they have children. Anticipating what the customer wants is like mind reading. This is now possible by analyzing customer behavior and situations.

Mehr erfahren
Lazy Angular: Writing Scalable AngularJS Apps
Lazy Angular: Writing Scalable AngularJS Apps

There are two major issues I have faced in the past few years, when writing AngularJS applications, and I have seen numerous other teams fighting the same battles. Out of these experiences the “Lazy Angular” approach came to life. It gives us a project structure which works for both, large and small applications. And it enables us to keep a somewhat consistent load time as new features come to life and our app grows.

Mehr erfahren
2017_06_Rimle-Postauto
Autonome Postautos: unterwegs mit der Zukunft

Autonome Fahrzeuge // Die autonomen Postautos haben keinen Fahrer und können dank ihrer leistungsfähigen Sensoren problemlos navigieren. Zum ersten Mal testet ein Unternehmen diese Technologie in der Schweiz im öffentlichen Raum.

Mehr erfahren
SAM 750x410
Meet SAM, the Secure Artificial Intelligent Messenger

Back in November, we told you about the very first ti&m code camp, where our employees were tasked with finding innovative solutions to several technical challenges. In today’s interview, we have decided to speak with the winning team about “SAM”, their artificial intelligence application, and find out more about how the solution was built, how accurate it is and what their plans for the future are.

Mehr erfahren
I do not love you
I do not love you

For most readers, the title above probably has a strong negative connotation. What if instead of "you", the name of a company was used? The statement still has the same negative connotation, but an opinion of a customer regarding a company might be even more sensitive – at least from a sales point of view. Such public reviews constitute important sources of information for both prospective clients and companies alike. How can one identify, ideally in an automated way, such polarised opinions in the vastness of today’s cyberspace?

Mehr erfahren