Digitale Identitäten als Ausweis

Interview mit Claudio Fuchs, CEO IPG
Titelbild digitale ID

Interview „Digitale Identitäten als Ausweis“

Eine digitale Identität ist eine elektronische Repräsentation einer natürlichen Person, die durch Informationen wie Name und Seriennummer ihre Eindeutigkeit erhält. Im Experten-Interview mit Claudio Fuchs wollen wir uns einen Überblick über den Fortschritt in den drei Ländern Deutschland, Österreich und Schweiz verschaffen. Als CEO der IPG verfügt er über langjährige Erfahrung in der Welt der digitalen Identitäten.

Wie ist aktuell der der Stand der Dinge? Kann ich in allen genannten Ländern als Bürger einen physischen respektive digitalen Ausweis bestellen und damit elektronisch unterschreiben sowie Dienstleistungen der öffentlichen Verwaltung in Anspruch nehmen?

Österreich hat klar die Nase vorn. Das Land verfügt mit der Bürgerkarte, auch A-TRUST genannt, seit rund 20 Jahren über ein System, um Ausweise auch in digitaler Form zu erstellen. Seit rund 10 Jahren stellt man von der klassischen SmartCard auf eine Handy-Signatur um, neu auch mit dem Namen ID Austria. Damit hat man den perfekten Brückenschlag zwischen physischen und elektronischen Ausweisen erreicht, ergänzt durch die Möglichkeit der elektronischen Signatur.

Die Schweiz hatte auf gesetzlicher Ebene ebenfalls 2003 mit dem ZertES gestartet, worauf die ersten privaten Herausgeber von digitalen Identitäten unter dem Namen SuisseID auf dem Markt erschienen, sich aber nie richtig durchsetzen konnten. Im Jahre 2021 durfte die Schweizer Bevölkerung darüber abstimmen, ob weiterhin für digitale Signaturen und neu auch für digitale Ausweise auf die private Schiene setzt, was mit rund 64% entschieden abgelehnt wurde. Seitdem „muss“ der Staat sich parallel zu den privaten Anbietern um den Aufbau einer „offiziellen“ E-ID kümmern. Private Anbieter wie beispielsweise die SwissID agieren weiter auf dem Markt, um elektronische Signaturen auf dem Handy anzubieten, welche auch für Login-Verfahren genutzt werden können, jedoch nicht als Ausweise angedacht sind.

In Deutschland ist lange so gut wie nichts gegangen. Die Bundesdruckerei hatte von 2010 bis 2017 den neuen physischen Personalausweis mit elektronischem Zertifikat angeboten und jetzt aber mit der „Sign-Me“ Anwendung der d.trust vom Medium des physischen Ausweises abgekoppelt. Sprich der Ausweis dient nur noch als sichere Identifikation via NFC, um die Sign-Me App einzurichten, mit welcher man dann digital unterschreiben kann. Die d.trust unterliegt wie die A-TRUST ebenfalls der eIDAS Verordnung der EU.

Der elektronische Ausweis und die elektronische Signatur werden oft in einem Atemzug genannt, warum?

Grundsätzlich sind es zwei verschiedene Funktionen. Mit dem Ausweis identifiziere oder authentisiere ich mich gegenüber einer Stelle, während die elektronische Signatur mir erlaubt Rechtsgeschäfte digital zu unterschreiben. Es ist selbstsprechend, dass beide Funktionen benötigt werden, um z.B. einen Gang zu einer Behörde komplett digital durchzuführen.

Was ist wichtig bei der elektronischen Signatur?

Es gibt verschiedene „Stufen der Beweiskraft“. Der Goldstandard ist die Qualifizierte Elektronische Signatur (QES), welche per Gesetz der handschriftlichen Signatur gleichgestellt ist. Die A-TRUST, die d.trust sowie auch die SwissID (auch die ehemalige SuisseID) erreichen diesen Standard. Nur mit einer QES können wichtige Geschäfte wie das Unterschreiben eines Mietvertrages oder ein Behördengang digitalisiert werden. Weiter bietet QES auch eine gesicherte, verlässliche und eindeutige Auskunft zur Identität.

Kann ich den Anbieter frei wählen und die Signatur dann überall verwenden?

Grundsätzlich ja, auch wenn zum Beispiel noch Probleme bei der Anerkennung zwischen der Schweizer ZertES und der eIDAS Verordnung der EU bestehen. Prinzipiell sind auch beide Standards kompatibel, trotzdem kann es in Einzelfällen noch zu einer Zurückweisung kommen. Wer beispielsweise beim Schweizer Validator ein nach EU-Standard signiertes Dokument hochlädt, erhält die Meldung, dass das Zertifikat korrekt, aber nicht nach ZertES Standard sei. https://www.e-service.admin.ch/validator/upload/all/de. Umgekehrt konnte man in den Medien lesen, dass es bei einer öffentlichen Ausschreibung der Österreichischen Bundesbahnen einen Gerichtsentscheid benötigte, um das mit dem Schweizer Standard unterschriebene Angebot der Firma Stadler endgültig zu akzeptieren. In der Praxis werden oft auch unterschriebene oder gestempelte Dokumente anderer Staaten anerkannt, so verhält es sich auch im digitalen Raum.

Zur Sicherheit könnte ich also digitale Ausweise verschiedener Staaten erlangen?

Achtung, dies ist nicht überall möglich. Grundsätzlich holt man sich den Ausweis dort, wo man wohnhaft ist. Seit dem Jahr 2022 stellt Österreich mit der xIDENTITY auch digitale Identitäten für Personen aus, welche keinen Wohnsitz in Österreich haben. Per 2021 hat Deutschland eine eID Karte ohne Lichtbild für Personen aus EU und EWR Mitgliedländern lanciert. Früher hatte nur Estland ein solches Verfahren. Die sogenannte e-Residency ist seit 2014 für sämtliche natürliche Personen weltweit beantragbar und noch immer ein Renner, zumal der Preis von 120 Euro für 5 Jahre sehr übersichtlich ist. Mit diesen erwähnten digitalen Ausweisen (welche für den klassischen physischen Bereich kaum zu gebrauchen sind) erhält man eine QES.

Was müssen Unternehmen bei der Einführung elektronischer Signaturen beachten?

Zuerst muss man anmerken, dass nicht jedes Mal der Goldstandard einer QES notwendig ist. Für Verträge ohne gesetzliche Formvorschrift reichen grundsätzlich auch einfache elektronische Signaturen aus, z.B. eine Bestellung per E-Mail oder Kauf einer Ware mittels Kunden-Login. Sobald es aber um Arbeitsverträge, Kündigungen, Behördendokumente, Revisionsberichte, etc. geht, ist eine QES notwendig. Ich tendiere dazu zu sagen, dass man heutzutage den Prokuristen (und höher) generell eine QES zur Verfügung stellen sollte.

Welche Hausaufgaben muss ich für meine Mitarbeitenden hinsichtlich Identity-/Access-Management (IAM) als Unternehmen erledigen?

Man muss zuerst entscheiden, ob a) die betreffenden Personen die Identität selbst beantragen und ins Unternehmen einbringen (BYOI) oder b) ob man einen Enterprise Service nutzt.

a) Wenn man die leitenden Mitarbeitenden anhält, z.B. eine A-TRUST zu beschaffen, sollte man nebst der Kostenübernahme auch die jeweilige Seriennummer im IAM System eintragen. Damit stelle ich den Audit-Trail sicher, was alles rechtskräftig unterschrieben wurde.

b) Bei einer Enterprise Lösung kann man auf Anbieter wie z.B. DocuSign oder Adobe Sign setzen, welche unterdessen reine Cloud-Dienste sind. Diese erlauben das massenhafte Ausstellen auch von QES für Mitarbeitende eines Unternehmens. In diesem Falle ist es unumgänglich, den entsprechenden Anbieter an das IAM System anzubinden, um z.B. die Erstellung der Identität oder auch die zeitlich pünktliche Revokation von Mitarbeitenden zu ermöglichen.

Was ist relevant, um mit Kunden und Partnern zu interagieren?

Hier stellt sich die grosse Frage, ob eine QES überhaupt notwendig ist, aber als öffentliche Behörde oder insbesondere Unternehmen im B2C Bereich wird es sich zukünftig gut machen, alle möglichen Ausweise als fremden Identity Provider zu akzeptieren. Die Frage stellt sich auch in die Gegenrichtung: Sind alle meine Kunden und Geschäftspartner bereits soweit? Die Vorteile der Akzeptanz von offiziellen digitalen Identitäten liegen auf der Hand, denn damit erhält der Kunde salopp gesagt einen bequemeren Login und das Unternehmen mehr Rechtssicherheit.

Was bringt die Zukunft?

(Lacht) Immer mehr Personen, welche sich mit elektronischen Ausweisen (ausgegeben durch eine hoheitliche oder private Stelle) im digitalen Raum bewegen, werden sich mit den Ausweisen einloggen und mit der darauf befindlichen QES unterschreiben wollen.


Autor

Foto von Claudio Fuchs - IPG - Experts in IAM
Claudio Fuchs
CEOIPG Information Process Group AGKontakt