Sichere Identitäten: Lösungen müssen vertrauenswürdig sein

Top-Thema sichere Identifizierung

Es war eine illustre Runde von Unternehmensvertretern, die Anfang Dezember 2020 zur Videoschalte mit Bundeskanzlerin Angela Merkel geladen wurden. Das Thema: digitale Identitäten. Dabei beriet die Kanzlerin unter anderem mit den Chefs von Bahn, BMW, Commerzbank, Daimler, Deutscher Telekom, Lufthansa VW, Zalando sowie weiteren Unternehmensführern, wie Staat und Wirtschaft gemeinsam eine sichere Identifizierung von Nutzern im Netz erleichtern können, die ohne außereuropäische Anbieter auskommt.

Dieses strategisch wichtige Thema ist nach dem Weckruf in der 5G-Mobilfunkdebatte, indem Europas digitale Souveränität gestärkt werden müsse, inzwischen zur Chefsache in der Berliner Regierungszentrale geworden. Zu lange, so Merkels Anliegen, habe man die Identifizierung im Netz und der damit verbundene Datenabfluss aus Europa den amerikanischen Tech-Konzernen überlassen.

Die profitieren nämlich davon, dass zahlreiche Onlineshops oder -dienste eine Anmeldung mit den Zugangsdaten von beispielsweise Google oder Amazon gestatten. Den Nutzer freut die Bequemlichkeit, die leichtere Zugänglichkeit hingegen die Betreiberplattformen, um neue Kunden anzuziehen.

Und die Internetriesen wie Amazon oder Google verdienen mit angefallenen Daten deutscher, beziehungsweise europäischer Nutzer ebenso Geld. Diese Online-Wertschöpfung außerhalb Europas will die Bundesregierung nicht länger hinnehmen und sucht mit heimischen Unternehmen nach einer eigenen Alternative für ein europäisches Identity Management. Die Basis dafür soll der Personalausweis mit Chip sein, wie ihn die meisten Bundesbürger inzwischen besitzen. Ein Vorhaben, das von den anwesenden Firmenvertreter in der Videokonferenz einhellig unterstützt wird.

Rückblickend überrascht, dass es überhaupt eines neuen Vorstoßes beim Thema Identitätsmanagement bedurfte. Bereits 2018 wollten einige der in der Videokonferenz mit der Bundeskanzlerin vertretenen Unternehmen mit den von ihnen unterstützten Log-in-Diensten netID und Verimi ein Gegengewicht zu amerikanischen Plattformen schaffen. Bisher scheinen die deutschen Alternativen jedoch ein Akzeptanz- und Attraktivitätsproblem zu haben. Nach Einschätzungen von Marktbeobachtern ist es netID und ähnlichen Diensten wie Verimi nämlich bislang nicht gelungen, im Wettstreit mit den US-Konzernen spürbar Boden gut zu machen.

Offenbar war es den Teilnehmern der Videokonferenz auch entgangen, dass das Bundeswirtschaftsministerium 2019 den Innovationswettbewerb „Schaufenster Sichere Digitale Identitäten“ (SDI) ausgerufen hat. So haben sich neben 35 anderen Partnern aus Forschung, Wirtschaft und öffentlicher Verwaltung unter anderem Verimi und Fraunhofer AISEC mit dem gemeinsamen Konzept „Deutschland ID (DeID)“ für die Umsetzungsphase des Förderaufrufs beworben, um einen Standard für sichere, digitale Identitäten in Deutschland und Europa zu entwickeln.

Damit soll die Grundlage für eine branchenübergreifende Zusammenarbeit im Identitätsmanagement gelegt werden, die sowohl die technische, semantische und fachliche Interoperabilität, als auch Leitlinien für Datenschutz, Informationssicherheit und Benutzbarkeit beinhaltet.

Deutlich wurde, dass in der virtuellen Runde mit der Kanzlerin vor lauter Industriekapitänen die Expertise der Lösungsanbieter am Konferenztisch fehlte. Sie hätten aus der theoretischen Debatte gleich eine praktische machen können, nämlich wie sich ein solches Vorhaben auch effektiv und übrigens gleich auf der europäischen Ebene umsetzen ließe.

Dabei gibt es in Europa Hersteller im Bereich Identity Management. Wäre also nicht gleich eine europäische Lösung für digitale Identitäten der bessere Ansatz, als in nationalen Kategorien zu denken? Es sollte besser gleich um einen großen europäischen Wurf, einen „Moon Shot“ gehen, bevor digitale Kleinstaaterei bezüglich digitaler Identitäten betrieben wird.  Zuletzt war es vor allem die EU, die mit verschiedenen Initiativen eine neue Dynamik entfacht hat und für europäische Sicherheitsanbieter neue Markt- und Gestaltungschancen verspricht.

Neues Marktpotenzial durch europäische Digitalprogramme

So kündigte die EU-Kommission im September 2020 an, eine „sichere europäische digitale Identität“ vorzuschlagen. Diese Technologie sollten die Bürger nutzen können, um alles Mögliche zu tun, „vom Steuerzahlen bis zum Fahrradmieten“, so Kommissionschefin Ursula von der Leyen. Jeder Nutzer solle selbst kontrollieren können, welche Daten ausgetauscht und wie diese verwendet würden.

Dabei handelt es sich nach von der Leyens Worten um eine Alternative zu bisherigen digitalen Identitäten im Internet. „Jedes Mal, wenn eine Website uns auffordert, eine neue digitale Identität zu erstellen oder uns bequem über eine große Plattform anzumelden, haben wir in Wirklichkeit keine Ahnung, was eigentlich mit unseren Daten passiert – und das muss aufhören“, so die Forderung.

Unterstützt wird sie dabei von den EU-Staaten, die ein einheitliches System zur elektronischen Identifizierung vorantreiben wollen. Auf dem EU-Sondergipfel in Brüssel im Oktober haben die Staats- und Regierungschefs die EU-Kommission dazu aufgerufen, bis Mitte 2021 einen Rechtsrahmen für eine solche e-ID zu entwickeln. Diese solle auch eine digitale Unterschrift enthalten, damit die Menschen Kontrolle über ihre Online-Identität sowie ihre Daten haben.

Zudem solle die e-ID Zugang zu öffentlichen, privaten und grenzüberschreitenden Services ermöglichen, hieß es in den Schlussfolgerungen des EU-Gipfels. Dass jetzt schnell und vor allem europäisch gehandelt werden muss, wurde an anderer Stelle im Gipfelpapier hervorgehoben. Die Coronakrise habe noch einmal gezeigt, dass der digitale Übergang beschleunigt werden müsse.

„Mit den jüngsten politischen Vorstößen auf der EU-Ebene vom Digitalpaket über eine e-ID bis zu Gaia-X sind die Grundlagen gelegt, nun auch das Thema sichere Identitäten rasch und wirkungsvoll voranzutreiben.“

Stefan Rabben, Wallix

Dadurch könne die Wirtschaftsgrundlage der EU gestärkt, die technologische Souveränität gesichert und der „grüne Übergang“ unterstützt werden. Bis März 2021 solle die EU-Kommission einen „umfassenden Digital-Kompass“ vorlegen, der die Ambitionen bis 2030 darstellt.

Für europäische Cybersicherheits- und Digitalfirmen steckt viel Musik und neues Marktpotential in dem Gipfelbeschluss: Um schließlich digital eigenständig zu sein, ist es nun für die EU an der Zeit, einen echten digitalen Binnenmarkt schaffen, so eine weitere zentrale Forderung.

Die Fähigkeit, eigene Regeln zu bestimmen, unabhängige technologische Wahlen zu treffen und strategisch-digitale Infrastrukturen zu schaffen, müsse gestärkt werden. Auch international wolle man Regeln und Standards mitgestalten. Zudem müssten vertrauenswürdige und sichere Cloud-Anbieter geschaffen werden, damit europäische Daten in Europa gespeichert und verarbeitet werden können.

Auch an anderer Stelle wurde bereits mehr digitales Europa gefordert. So hat sich bereits 2019 die Unionsfraktion im Bundestag für die Einführung eines digitalen Euros eingesetzt, um der geplanten digitalen Weltwährung Libra von Facebook nicht alleine das Feld zu überlassen.

Und dabei hervorgehoben, dass bei der Nutzung der Blockchain-Technologie im Bereich digitale Identität Deutschland international eine führende Rolle übernehmen könne. Damit könnten Verbraucher beispielsweise den elektronischen Personalausweis leichter als bislang beim Login für sensible Anwendungen als zweiten Faktor (neben Passwort oder Fingerabdruck) verwenden.

Zuletzt hat die EU-Kommission mit der Vorstellung eines großen Digitalpakets im Dezember 2020 für einen großen Paukenschlag auf dem globalen Digitalmarkt gesorgt. Damit soll vor allem die Marktmacht von Digitalkonzernen wie Facebook oder Amazon begrenzt werden. Mit Vorschlägen für ein Gesetz über digitale Dienste Digital Services Act sowie ein Gesetz über digitale Märkte Digital Market Act (DMA) will die Brüsseler Behörde für fairere Bedingungen im Netz und so für mehr Chancen für kleinere Unternehmen sorgen. Zudem soll die Position von Verbrauchern gestärkt werden.

Als konkreter Game Changer kann sich zudem das von Deutschland und Frankreich 2019 ins Leben gerufene europäische Cloud- und Dateninfrastruktur-Projekt Gaia-X erweisen, das inzwischen auch Teil eines europäischen Wiederaufbauplans nach der Coronakrise ist.

Mit dem deutsch-französischen Ansatz können vertrauenswürdige Anbieter von Identitäts- und Zugriffsmanagement-Systemen aktiv dieses ambitionierte Projekt begleiten. Auch hier geht es darum, dass Europa nicht länger alternativlos auf die großen IT-Konzerne aus den USA und China angewiesen ist. Frankreichs Wirtschaftsminister Bruno Le Maire sagte hinsichtlich Gaia-X, in der Coronakrise sei klar geworden, wie wichtig eine sichere IT-Infrastruktur sei, auch für die Telearbeit.

Dabei dürfe man nicht von anderen Großmächten abhängig sein. „Wir sind nicht die USA, wir sind nicht China, wir sind europäische Länder mit eigenen Interessen und Werten.“ Mit Gaia-X soll eine souveräne und vertrauenswürdige europäische Dateninfrastruktur geschaffen werden, für die bestehende europäische Angebote über Open-Source-Anwendungen und offene Standards miteinander vernetzt werden.

Dies erfordert vor allem ein sicheres und standardisiertes Identitätsmanagement aus europäischer Hand. Und Gaia-X kann genauso Vorbild sein, auch das Thema digitale Identitäten gleich europäisch zu denken – ein Punkt, der in der Videokonferenz mit der Bundeskanzlerin zu kurz kam. So hob Cédric Prevost, Director of Trusted Cloud des französischen Telekommunikationsdienstleisters Orange Business Services die Bedeutung von Gaia-X auch unter einem anderen Aspekt hervor: Zuvor seien Versuche auf Landesebene gescheitert, eine souveräne Cloud zu etablieren. Das müsse man in einem sehr großen Maßstab anlegen, so wie das den Hyperscalern aus den USA und China gelungen sei. „Der europäische Maßstab ist die richtige Größenordnung, um dieses Ziel zu erreichen“, so Prevost.

Security-Produkte müssen vertrauenswürdig sein

„Damit IT-Security-Produkte auch als tatsächlich vertrauenswürdig gelten, müssen sie selbst von einer unabhängigen Instanz durchleuchtet und schließlich zertifiziert werden“, kommentiert Rainer Fahs, Chairman der renommierten IT-Security Organisation EICAR. „Dabei muss beschrieben werden, was ein Produkt genau macht und ob die Ablaufprozesse selbst auch vertrauenswürdig ablaufen.“ Damit verweist Fahs unter anderem auf das Third-Access Problem von US-amerikanischen Produkten.

Zum einen greifen mittlerweile Security-Produkte selbst Daten ab, ohne dass der Betreiber sich darüber im Klaren ist und zum anderen haben US-Behörden aufgrund ihrer unterschiedlichen Datenschutzgesetze Zugriff auf Systeme oder deren Quellcode. Gerade wenn es um den Zugriff im Zusammenhang mit kritischen Infrastrukturen geht, ist ein uneingeschränktes Vertrauen (Trustworthiness) zwingend erforderlich.

Andernfalls würde die europäische Datenschutz-Grundverordnung (DSGVO) ad absurdum geführt werden. In diesem Zusammenhang muss man sich auch politisch die Frage stellen, ob europäische Produkte – speziell in hochsensiblen und systemrelevanten Einsatzgebieten – nicht zum „First Choice“ werden müssen.

Identitätsmanagement ist ein Treiber für mehr Sicherheit

Verimi und Fraunhofer AISEC haben sich mit dem gemeinsamen Konzept Deutschland ID (DeID) das Ziel auferlegt, ein eID-Ökosystem zu schaffen, welches den hohen Sicherheitsanforderungen genügt und für den Nutzer leicht verständlich sowie einfach mit dem Smartphone genutzt werden kann.

Aber nicht nur unter Souveränitätsaspekten muss gehandelt werden, sondern auch im Bereich der Cybersicherheit. Mit der Coronapandemie und mit ihr die Verlagerung des Geschäftsbetriebs in den Remote-Modus, sprich ins Home-Office, haben sich solche Einfallstore immens vergrößert.

Die Angriffsvektoren haben drastisch zugenommen und Cyberkriminelle profitieren in Zeiten von Corona von größeren Angriffsflächen. Die verstärkte Nutzung von Smartphones (einschließlich Zugang zu sicheren mobilen Anwendungen) für virtuelle Konferenzen, Dokumentenaustausch etc. macht es Cyberkriminellen dabei noch einfacher. Erschwerend kommt hinzu, dass der Diebstahl digitaler Identitäten für betrügerische Zwecke deutlich zugenommen hat, wie erst die Sonderauswertung Cybercrime in Zeiten der Coronapandemie des Bundeskriminalamtes konstatierte. Und dieses Problem ist kein rein deutsches, sondern ein europäisches, was wiederum die eigene digitale Souveränität untergräbt

Die jüngsten Ransomware-Attacken auf Krankenhäuser, etwa auf die Uniklinik Düsseldorf, haben erneut unter Beweis gestellt, welche Wucht mittlerweile Gefahren aus dem Cyberraum haben und inzwischen auch Menschenleben gefährden können.

So plant etwa die französische Regierung, in den kommenden drei Jahren mit einem 1,6 Milliarden Euro schweren Finanzpaket, um im Zuge eines „Cyborg Acceleration“-Plans die digitale Transformation im französischen Gesundheitswesen zu beschleunigen und sicherer zu machen.

Auch Deutschland zieht hier nach und unterstützt seine Krankenhäuser mit einem jüngst beschlossenen Investitionspaket von rund vier Milliarden Euro. Mit der Einführung der Telematikinfrastruktur (TI) wird die Vernetzung alle Akteure des Gesundheitswesens im Bereich der gesetzlichen Krankenversicherung vorangetrieben. Ziel ist es, den sektoren- und systemübergreifenden sowie sicheren Austausch von Informationen zu gewährleisten.

Die TI ist ein geschlossenes Netz, zu dem nur registrierte Nutzer (Personen oder Institutionen) mit einem elektronischen Heilberufs- und Praxisausweis Zugang erhalten. Seit 2011 gibt es beispielsweise schon die elektronische Gesundheitskarte (eGk) und 2016 trat das Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen, das sogenannte E-Health-Gesetz in Kraft. Seit letztem Jahr regelt das Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation die Anbindung an die TI verpflichtend. Aus dem gleichen Jahr stammt das Gesetz zum Schutz der elektronischen Patientendaten in der Telematik Infrastruktur.

Umfangreiche Informationen zu all diesen Initiativen stellt die Bundesregierung auf dieser Website zur Verfügung: Gefördert werden unter anderem Investitionen in Notfallkapazitäten und digitale Infrastruktur, darunter Patientenportale, elektronische Dokumentation von Pflege- und Behandlungsleistungen, digitales Medikationsmanagement, Maßnahmen zur IT-Sicherheit sowie telemedizinische Netzwerkstrukturen.

Gleich europäisch denken

Die von Bundeskanzlerin Merkel initiierte Videokonferenz war durchaus richtig, um das Thema digitale Identitäten auf der Prioritätenliste nach oben zu schieben. Noch besser wäre es gewesen, wenn die Teilnehmer gleich auf die europäische Karte gesetzt und die Expertise der Lösungsanbieter an den Tisch geholt hätten.

Mit den jüngsten politischen Vorstößen auf der EU-Ebene vom Digitalpaket über eine e-ID bis zu Gaia-X sind die Grundlagen gelegt, nun auch das Thema sichere Identitäten rasch und wirkungsvoll voranzutreiben. Es ist nun die Aufgabe für Politik und Wirtschaft, Europas rund 500-Millionen starke Bevölkerung zu einem „heavy user“ einer europäischen digitalen Identität zu machen – ein Weg hierfür können vertrauensvolle Sicherheitslösungen sein.

Über den Autor:
Stefan Rabben ist Area Sales Director DACH and Eastern Europe bei Wallix.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.