basiczto - stock.adobe.com
eIDAS 2.0: Die eigene IT-Architektur neu bewerten
Die digitale Identitätsprüfung ist in vielen Unternehmen bis heute kein sauber integrierter Architekturbaustein, sondern das Ergebnis historisch gewachsener Einzelentscheidungen. Das kann sich ändern.
Für Onboarding, Vertragsabschluss, Portalzugänge oder elektronische Signaturen wurden über Jahre hinweg unterschiedliche Verfahren etabliert, meist eng gekoppelt an einzelne Fachprozesse und regulatorische Anforderungen. Das funktioniert operativ, führt jedoch häufig zu heterogenen Landschaften, in denen Identität zwar verarbeitet, aber nicht als übergreifende Strukturkomponente verstanden wird.
Mit eIDAS 2.0 und die European Digital Identity Wallet (EUDI Wallet) verändert sich diese Ausgangslage. Denn damit entsteht ein europäischer Rahmen, in dem digitale Identitätsnachweise stärker standardisiert, portabel und wiederverwendbar werden sollen. Für Unternehmen ist das deshalb nicht nur ein Compliance-Thema. Es betrifft die Frage, wie Identität künftig in Anwendungen, Prozessketten und bestehende Systemlandschaften eingebunden wird.
Gerade für IT-Verantwortliche ist das relevant, da sich ein Perspektivwechsel abzeichnet: weg von der punktuellen Identifizierung in einzelnen Transaktionen, hin zu einer Identitätslogik, die über mehrere Prozesse hinweg nutzbar ist. Damit rücken Fragen in den Vordergrund, die heute oft nur am Rande behandelt werden: Wie werden externe Identitätsnachweise technisch verarbeitet? Wie verändern sich IAM-Modelle, wenn verifizierte Attribute aus standardisierten Quellen kommen? Und wie lassen sich bestehende Onboarding-, Authentifizierungs- und Signaturprozesse so integrieren, dass daraus kein weiterer Komplexitätslayer entsteht?
Gewachsene Strukturen stoßen an ihre Grenzen
In vielen Unternehmen ist die bestehende Identitätsarchitektur stark über Anwendungsfälle-getrieben. So wurde etwa für einen bestimmten regulatorischen Prozess Video-Ident eingeführt, für Kundenportale ein separates Authentifizierungsverfahren aufgebaut und für Vertragsabschlüsse ein eigener Signaturworkflow integriert. Fachlich mag das jeweils nachvollziehbar sein, technisch entstehen daraus jedoch eng gekoppelte Einzellösungen.
Die Folgen sind bekannt: Identitätsattribute liegen in mehreren Systemen vor, Schnittstellen sind proprietär auf einen Prozess zugeschnitten und Änderungen an regulatorischen Anforderungen betreffen mehrere Schichten gleichzeitig. Hinzu kommt, dass viele dieser Modelle transaktionsbezogen funktionieren. Ein Nutzer wird für einen bestimmten Vorgang identifiziert, das Ergebnis wird lokal verwendet und bei der nächsten Interaktion beginnt die Logik weitgehend erneut.
Für die IT bedeutet das einen hohen Integrationsaufwand und eine begrenzte Wiederverwendbarkeit. Neue digitale Journeys lassen sich nur mit zusätzlicher Schnittstellenlogik umsetzen und kanalübergreifende Prozesse bleiben aufwendig. Auch aus Sicht von Betrieb und Governance steigt die Last, wenn dieselben Identitätsinformationen mehrfach verarbeitet, gespeichert und protokolliert werden.
eIDAS 2.0 verändert das technische Modell
Der entscheidende Unterschied bei eIDAS 2.0 liegt nicht allein in neuen regulatorischen Vorgaben, sondern in einem anderen Grundverständnis digitaler Identität. Bislang ist die Identifizierung in vielen Unternehmen an einen konkreten Geschäftsvorfall gebunden. Künftig gewinnen standardisierte Nachweise an Bedeutung, die in unterschiedlichen Kontexten wiederverwendet werden können, ohne dass der gesamte Identifikationsprozess jedes Mal neu ausgelöst werden muss.
Mit der EUDI Wallet wird dieses Modell erstmals in einem europäischen Rahmen konkret umgesetzt. Für Unternehmen heißt das: Anwendungen verarbeiten künftig nicht mehr nur selbst erhobene oder intern gepflegte Identitätsdaten, sondern auch externe, standardisierte und kontextbezogen vorgelegte Nachweise. Diese müssen entgegengenommen, validiert, fachlich eingeordnet und in bestehende Prozess- und Berechtigungslogiken überführt werden.
Dadurch verschieben sich die Systemgrenzen. Identität ist dann nicht mehr nur ein vorgelagerter Prüfpunkt, sondern eine eigenständige Vertrauensschicht zwischen Nutzer, Anwendung und Transaktion. Genau das macht das Thema architektonisch relevant.
IAM und Onboarding müssen zusammen neu gedacht werden
Besonders deutlich wird diese Veränderung im Identity- und Access-Management. In klassischen IAM-Umgebungen stehen interne Identitäten, Rollenmodelle und Berechtigungen im Mittelpunkt. Externe Nutzer werden dagegen oft über Portallogiken, föderierte Login-Verfahren oder eigene Kundendatenmodelle angebunden. Verifizierte Identitätsnachweise mit definiertem Vertrauensniveau sind dort bislang meist kein eigenständiges Architekturobjekt.
Unter eIDAS 2.0 reicht das in vielen Fällen jedoch nicht mehr aus. Künftig muss stärker zwischen einer lokalen digitalen Identität im Unternehmen, einem extern vorgelegten Nachweis, einzelnen attestierten Attributen, dem Authentisierungsereignis und gegebenenfalls einem anschließenden Signaturvorgang unterschieden werden. Diese Trennung ist nicht nur semantisch sinnvoll. Sie wirkt sich auch direkt auf Zugriffsentscheidungen, Rollenmodelle, Prozessfreigaben und revisionssichere Nachweisführung aus.
Ähnliches gilt für Onboarding-Prozesse. Diese sind heute oft als lineare Eingangsstrecken aufgebaut: Daten erfassen, Identität prüfen, Nutzer freischalten. In einem Modell mit wiederverwendbaren Identitätsnachweisen verliert diese Logik an Trennschärfe. Denn die erstmalige Bindung einer verifizierten Identität an ein Unternehmen und die spätere Nutzung dieser Identität in weiteren Interaktionen können auseinanderfallen. Für die Architektur bedeutet das, Identität nicht mehr nur als Startpunkt einer Journey zu behandeln, sondern als dauerhaft nutzbaren Bestandteil einer übergreifenden Prozesslogik.
Die Integrationsschicht wird wichtiger
Für viele Unternehmen liegt die eigentliche Herausforderung deshalb weniger in der Einführung eines neuen Verfahrens als in dessen Integration in bestehende Landschaften. Wer digitale Identität bisher als Punktintegration umgesetzt hat, stößt schnell an Grenzen. Neue Wallet-Interaktionen, zusätzliche Nachweistypen oder veränderte regulatorische Anforderungen dürfen nicht dazu führen, dass Frontends, Workflows und Backends bei jeder Anpassung erneut umgebaut werden müssen.
Wichtiger wird deshalb eine belastbare Integrationsschicht, in der Identitätsnachweise, Authentisierung und Signaturprozesse technisch entkoppelt, fachlich aber sauber aufeinander abgestimmt werden. Dazu gehören stabile Schnittstellen für die Entgegennahme und Validierung von Nachweisen, eine nachvollziehbare Attributzuordnung, konsistente Statusrückgaben an Fachprozesse und belastbare Protokollierung für Audit- und Compliance-Zwecke.
Genau hier entscheidet sich, ob digitale Identität langfristig skalierbar eingebunden werden kann oder ob neue Anforderungen nur auf bestehende Prozessbrüche aufgesetzt werden. API-orientierte und modulare Integrationsmuster sind kein Selbstzweck, sondern die Voraussetzung dafür, neue Identitätsmechanismen schrittweise einzuführen, ohne jede Anwendung separat umbauen zu müssen.
Signatur, Authentisierung und Identität wachsen zusammen
Eine weitere Folge von eIDAS 2.0 ist die engere Verknüpfung von Identitätsprüfung, Authentisierung und elektronischer Signatur. In vielen Organisationen sind diese Bereiche historisch voneinander getrennt entstanden und werden noch immer in unterschiedlichen Systemen und Verantwortlichkeiten betrieben. Das ist aus Projektsicht verständlich, führt aber in der Praxis zu Medienbrüchen und zusätzlicher Prozesskomplexität.
Sobald verifizierte Identitätsnachweise standardisiert vorliegen und wiederverwendet werden können, wird diese Trennung überflüssig. Eine belastbar verifizierte Identität kann dann nicht nur Grundlage für den Zugang zu einem Dienst sein, sondern auch für nachgelagerte Authentisierungs- und Signaturvorgänge. Für Unternehmen eröffnet sich dadurch Möglichkeit, Prozesse stringenter aufzubauen und Brüche zwischen Onboarding, Zugriff und Vertragslogik zu reduzieren.
Architektonisch entsteht der Nutzen allerdings nur, wenn die beteiligten Dienste entlang eines gemeinsamen Trust-Modells zusammenspielen. Werden Identitätsprüfung, Authentisierung und Signatur lediglich zusätzlich übereinandergeschichtet, steigt die Komplexität. Der Mehrwert entsteht erst dann, wenn klar definiert ist, welches System welche Rolle übernimmt, welche Attribute autoritativ sind und wie sich regulatorisch relevante Vorgänge belastbar dokumentieren lassen.
„Künftig muss stärker zwischen einer lokalen digitalen Identität im Unternehmen, einem extern vorgelegten Nachweis, einzelnen attestierten Attributen, dem Authentisierungsereignis und gegebenenfalls einem anschließenden Signaturvorgang unterschieden werden.“
Dr. Heinrich Grave, Evrotrust Technologies
Datenhaltung und Betrieb bleiben anspruchsvoll
Durch den Einsatz standardisierter externer Nachweise stellt sich auch die Frage der Datenhaltung neu. Viele bestehende Systeme speichern Identitätsinformationen redundant: im Frontend, im CRM, in Workflow-Anwendungen, in Archiven und in Prüflogs. Solche Strukturen sind historisch gewachsen, werden in einem stärker standardisierten Identitätsmodell aber zunehmend zum Problem. Unternehmen müssen klarer zwischen Attributquelle, Attributnutzung und Nachweisführung trennen.
Hinzu kommt, dass die Realität auf absehbare Zeit hybrid bleiben wird. Nationale Besonderheiten, branchenspezifische Anforderungen und bestehende Verfahren werden nicht kurzfristig verschwinden. Unternehmen müssen daher neue wallet-basierte Interaktionen parallel zu heutigen Identifikations- und Authentisierungsverfahren betreiben können. Das stellt Anforderungen an Architektur und Betrieb gleichermaßen: Unterschiedliche Vertrauensniveaus, Nachweistypen und Prozesspfade müssen unterstützt werden, ohne dass daraus für jede Variante eine neue Anwendungskopie entsteht.
Gerade deshalb lohnt sich ein modularer Ansatz. Dieser erleichtert es, neue Identitätsmodelle schrittweise einzuführen und bestehende Verfahren kontrolliert weiterzubetreiben. Für viele Unternehmen wird diese Fähigkeit wichtiger sein als die schnelle Einführung eines einzelnen neuen Tools.
Identität wird Teil der Grundarchitektur
Die eigentliche Veränderung durch eIDAS 2.0 besteht somit nicht darin, dass ein weiteres Regulierungspaket umgesetzt werden muss. Entscheidend ist, dass digitale Identität technisch aus dem Randbereich herausrückt. Sie wird zum verbindenden Element zwischen Onboarding, IAM, digitalen Transaktionen und Signaturprozessen.
Für CIOs, Enterprise-Architekten und IAM-Verantwortliche ergibt sich daraus eine klare Aufgabe: Identität muss als Architekturbaustein modelliert werden, nicht als nachgelagerte Prüffunktion. Unternehmen, die ihre Systemlandschaften frühzeitig darauf ausrichten, schaffen nicht nur bessere Voraussetzungen für regulatorische Anschlussfähigkeit. Sie reduzieren auch langfristig den Integrationsaufwand, verbessern die Wiederverwendbarkeit von Vertrauensnachweisen und stabilisieren digitale Prozesse in einem Umfeld, das zwar europaweit interoperabler, technisch aber zunächst nicht einfacher wird.
Über den Autor:
Dr. Heinrich Grave ist Managing Director DACH bei Evrotrust Technologies GmbH. In seiner Funktion als Managing Director verantwortet Dr. Heinrich Grave bei Evrotrust den Aufbau und die strategische Entwicklung der deutschen Geschäftseinheit in München.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
