Professor Dr. Norbert Pohlmann, Vorstand IT-Sicherheit im eco-Verband der Internetwirtschaft e.V.

„Wir wollen ein eigenes Ökosystem aufbauen“

Professor Dr. Norbert Pohlmann, Vorstand IT-Sicherheit im eco-Verband der Internetwirtschaft e.V. über die Zukunft der Digitalen Identitäten und den Trend zur Self-Sovereign Identity (SSI).

Autor:

Haben Sie einen Überblick, wer in Deutschland gerade für seinen Bereich Digitale Identitäten plant und mit welchem Fokus?

Die großen Player wie Facebook und Google wissen, was wir Nutzer alles tun, wenn wir uns über diese Plattformen anmelden. Daher möchte Europa ein eigenes Ökosystem aufbauen, eine Europäische ID, die in einer Wallet auf dem Smartphone oder in der Cloud hinterlegt wird. Es will niemand hundert verschiedene Wallets haben. Viele Unternehmen wie Verimi, ID-now, oder Esatus machen ihre eigenen Dinge, kommen aber nicht richtig weiter. Die Telekom will jetzt Standards mit ihrem Vorgehen setzen. Das ist der richtige Weg, denn nur dann wird das attraktiv. Wir haben bei eco ein Projekt mit der Telekom zu Self-Sovereign Identity (SSI) als OpenSource. Die Vision dahinter ist: Der Nutzer kann selbst souverän entscheiden, welche Attribute zur Identifizierung er weitergibt. Allerdings kann es noch fünf bis zehn Jahre dauern, bis es so weit ist und sich das in der breiten Masse durchgesetzt hat. Das Vorgehen der Barmer Ersatzkasse in Zusammenarbeit mit der Telekom ist aber ein gutes Beispiel dafür, wohin die Reise geht.

Was wird eigentlich alles unter dem Begriff digitale Identitäten gefasst? Wie lassen diese sich voneinander abgrenzen?

Derzeit dominieren im Cyber-Raum zentralisierte ID-Provider wie Google, Facebook und Apple die Verwaltung von Identitätsdaten bei sehr vielen IT-Diensten weltweit. Eine digitale Identität ist eine Teilmenge von Attributen einer Person, mit der diese identifiziert werden kann. Dabei besitzt eine Person abhängig vom Kontext mehrere digitale Identitäten. Die Teilmenge von Attributen einer Person werden Identitätsdaten genannt. Bei ID-Providern wird zum Beispiel für die Identifikation und Authentifikation der Benutzername als Attribut der Identifizierung und das Passwort zur Verifizierung der digitalen Identität verwendet. Die weiteren Daten wie der vollständige Name, Adresse und Angaben zum Zahlungssystem sind weitere Identitätsdaten, die zur digitalen Identität gehören. Digitale Identifikationen existieren bereits in unterschiedlichen Handlungsfeldern vom Beruf über Familie bis zu Freizeit. Wir wollen erreichen, dass man sich in dem Umfeld, in dem man sich gerade präsentiert souverän ausweisen kann und dazu unterschiedliche Attribute wie Wohnort, Größe, Haarfarbe, Geburtsdatum zuordnen kann.

Welche europäischen Länder gelten als Vorbilder in Sachen ID und warum?

Da gibt es eigentlich noch keines. Aber Google kann uns alle schon sehr gut tracken und identifizieren uns. Aber das mögen wir ja nicht.

Kommunikation, Online-Einkäufe, Behördengänge – wie viele digitale Identitäten gibt es derzeit eigentlich? Und wie viele würden ausreichen?

Es gibt viele solche digitalen Identitäten und zu viele Inseln. Aber wir streben eine übergreifende Lösung an. Und bei dieser Lösung soll jeder nur das bekommen zur Identifikation als Attribut, das er benötigt. Und nicht eben so viele Informationen, wie Google sie teilweise schon von Privatpersonen hat. Wir wollen, dass der Nutzer, der sich identifiziert das selber bestimmt.

Ist das Ziel eine echte digitale Wallet, in der alle Arten von Nachweisen wie z.B. Ausweise, der Führerschein, die Geburtsurkunde, der Studienabschluss, eine Bank-ID und auch Event-Tickets sicher abgelegt werden?

Ja richtig.

Ist das Gesundheitswesen ein Vorreiter bei der Entwicklung digitaler Identitäten?

Erste IDs, wie bei der Barmer Ersatzkasse, sollen ja zum 1.1.2024 starten mit Zugriff auf die elektronische Patientenakte (ePA) oder das e-Rezept via Smartphone. In der Digitalisierung ist das Gesundheitswesen in den vergangenen 20 Jahre eher im Tiefschlaf gewesen und läuft jetzt hinterher. Beispiel: Wird meine Kreditkarte gehackt, bin ich über die Bank abgesichert, der Schaden kann in Deutschland nicht über 100 Millionen Euro sein. Im Gesundheitswesen lässt sich das hingegen nicht bemessen. Krankheitsdaten lassen sich im Wert nicht beziffern. Daher herrschen im Gesundheitswesen eine höhere Sensibilität und daher auch höhere Anforderungen an den Datenschutz. Somit könnte es mit diesen hohen Anforderungen zum Vorreiter werden, wenn auch entsprechend investiert wird. Die Barmer Ersatzkasse macht das gerade vor. Die AOK dürfte bald nachziehen. Das ist die Zukunft, und das sind Konzepte wie sich das Gesundheitssystem deutlich besser digitalisieren kann. (Mehr dazu: „Auf dem Weg zum ID-Standard“)

Ist das Gesundheitswesen allgemein nicht doch eher der Bremser, weil laut Ihrer aktuellen Studie zu digitalen Identitäten etwa die Hälfte der Unternehmen weder jetzt noch in Zukunft Technologien zur elektronischen Identifikation bei Kommunikation und Zusammenarbeit mit Kunden einsetzen wollen?

Mit den heute eingesetzten Technologien sind die Kliniken nicht zukunftsfähig. Wichtig ist die Frage, wie bekommt man diese Klientel motiviert. Allein schon in Multifaktor-Authentifizierung zu investieren, wäre ein erster Schritt. Es braucht in allen Bereichen höhere Sicherheitsniveaus. Erst dann kann man auch vernünftig digitalisieren.  Auch wenn das ein weiter Weg ist.

Was muss passieren, damit die digitalen Identitäten vor allem Im Gesundheitswesen sowohl für Ärzte und Kliniken einerseits als auch für Patienten andererseits attraktiver werden?

Die Konzepte wie SSI werden dazu beitragen die Souveränität vom Arzt bis zur Krankenschwester zu stärken und dann wird auch die Akzeptanz steigen.

Welche Hürden gilt es dabei in den kommenden Jahren zu meistern?

Ein Ökosystem funktioniert nur dann, wenn alle mitmachen. Wir haben eine echte Chance, dass es funktioniert, wenn wir die Kräfte bündeln und in die gleiche Richtung schauen.

Es gilt noch einige technische Herausforderungen zu lösen, zum Beispiel in Bezug auf Sicherheitsmodule. Samsung ist da schon recht weit, aber ob Apple auch in diese Richtung geht, wissen wir derzeit nicht. Confidential Computing in der Cloud ist auch schon möglich, aber es muss noch geschaut werden, wie das politisch vorangetrieben werden kann. Ohne entsprechende Sicherheitstechnik in den Smartphones wird es nicht gehen, hochwertige ID-Lösungen zu entwickeln.

Was entgegnen Sie Kritikern der digitalen Identitäten, die mögliche Sicherheitslücken, Datenmissbrauch sowie mangelnde Anonymität befürchten?

Die wichtigsten Prozesse werden nicht anonym umgesetzt werden können. Zur Identifizierung reichen dann aber bestimmte Attribute. Das Problem ist, dass viele Menschen in dem Bereich in irgendeiner Weise gebrannte Kinder sind, da sie über Google mit persönlichen Daten bezahlen. Mit einem entsprechenden europäischen System kann man dem entgegenwirken und diese Geschäftsmodelle unterlaufen.

Wer sollte am Ende die zentrale digitale Identität verwalten – der Staat oder der Bürger mit seinem Smartphone?

Wahrscheinlich wird es Beides sein. Einiges wird etwa durch die Bundesdruckerei umgesetzt, wie der Personalausweis oder die gematik in der Gesundheitsbranche. Das ist dann mehr oder weniger in staatlicher Hand. Anderes läuft weiter über private Dienstleister wie die Telekom oder Atos, die dem Bürger eine Authentifizierungsfunktion zur Verfügung stellen.

Das könnte Sie auch interessieren:

Weitere Beiträge

230505_chronik
Chronik der Telematik­infrastruktur – 2001 bis 2024
230606_DG_Motivaufnahmen-49_web
Digitalisierung im Gesundheitswesen: Wer, wie, was – und warum?
Symbolbild - Digitalwissen für alle
Es ist angerichtet: Digitalisierungswissen für alle
Grafik/Organigramm Qualifizierte Elektronische Signatur (QES)
Die qualifizierte elektronische Signatur (QES)
Kommunikation im Medizinwesen (KIM)
KIM-Adressen im zentralen Verzeichnis finden

Weitere Themengebiete

Wir freuen uns über Ihre Beteiligung.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert