Die Zukunft von Personalausweisen, Reisepässen und Führerscheinen ist mobil. Auf dem Weg dorthin sind allerdings noch einige Herausforderungen zu meistern. Ein kritischer Erfolgsfaktor ist insbesondere das Vertrauen der Bürgerinnen und Bürger.
Viele hoheitliche Dokumente sind bereits teil-digitalisiert. Personalausweise, Reisepässe und Führerscheine enthalten heute elektronische Chips, die Daten zur Identifizierung ihrer Besitzerinnen und Besitzer speichern. Im Vergleich zu rein physischen Ausweisdokumenten haben diese IDs einen großen Vorteil: Ihre Informationen lassen sich ohne Medienbruch an digitale Plattformen übertragen. Dadurch liefern sie eine wichtige Voraussetzung für effizientere eGoverment-Prozesse.
Der nächste logische Schritt ist jetzt die vollständige Digitalisierung der Ausweisdokumente, also ihre virtuelle Abbildung auf Smartphones. Mobile IDs können den Alltag der Bürgerinnen und Bürger erheblich erleichtern, indem sie Identitätsprüfungen, Online-Verifizierungen oder Grenzkontrollen deutlich einfacher und schneller gestalten, weil die Übergabe von physischen Dokumenten entfällt. Für Behörden bedeuten mobile IDs weniger Verwaltungsaufwand, niedrigere Kosten und die Möglichkeit, Daten in Echtzeit zu aktualisieren.
Digitale Ökosysteme sind erforderlich
Die Virtualisierung der Ausweisdokumente ist technisch unproblematisch. Die Herausforderungen liegen woanders. Damit virtuelle IDs effektiv genutzt werden können, braucht es landesweit entsprechende IT-Infrastrukturen und digitale Ökosysteme, die staatliche und private Dienstleistungen nahtlos verbinden.
Zudem sind Standards erforderlich, um die länderübergreifende Interoperabilität der Dokumente zu gewährleisten. Mit der eIDAS-Verordnung (electronic IDentification, Authentication and trust Services) hat die Europäische Union bereits einen einheitlichen Rechtsrahmen für die rechtsverbindliche Nutzung digitaler Identitäten geschaffen. Sie erleichtert es Menschen, mit einem ausländischen mobilen Ausweisdokument eine Aufenthaltserlaubnis oder einen neuen Pass zu beantragen.
Organisationen wie die ICAO (International Civil Aviation Organization), eine Sonderorganisation der Vereinten Nationen, arbeiten außerdem bereits an Spezifikationen für die Harmonisierung und Standardisierung mobiler IDs. Die ICAO entwickelte in der Vergangenheit bereits den weltweit gültigen Standard für maschinenlesbare Reisedokumente, also elektronische Reisepässe mit Chip. In Form des Digital Travel Credential (DTC) arbeitet die Organisation jetzt auch an einer Spezifikation für virtuelle Reisepässe.
Dezentrale IDs sorgen für Datenschutz
Für den Erfolg von virtuellen IDs sind aber nicht nur IT-Infrastrukturen, digitale Ökosysteme und internationale Standards erforderlich. Ein kritischer Faktor ist auch das Vertrauen der Bürgerinnen und Bürger. Sie müssen sich mit virtuellen Ausweisdokumenten genauso sicher fühlen wie mit den physischen Versionen.
Eine wichtige Rolle spielt dabei ein hohes Datenschutzniveau. Dieses ist in Europa durch die eIDAS-Verordnung der EU gewährleistet, da sie für einen datenschutzkonformen Umgang mit digitalen Identitäten sorgt. So verlangt die Verordnung, dass nur wirklich notwendige Daten verarbeitet werden und verpflichtet die Anbieter von Vertrauensdiensten zu hohen Sicherheitsstandards und transparenter Nutzerinformation. Zudem muss jede Datenverarbeitung im Rahmen von eIDAS natürlich auch der DSGVO entsprechen.
In ihrer novellierten Form eIDAS 2.0, die aktuell in den Mitgliedstaaten umgesetzt wird, führt die Verordnung außerdem das Prinzip der dezentralen IDs ein und unterstützt sie durch die EU Digital Identity Wallet. Anstatt der zentralen Speicherung auf den Servern einer staatlichen Organisation sollen die Bürgerinnen und Bürger ihre digitalen Ausweisdokumenten auf ihren Smartphones selbst speichern und verwalten können. Dadurch erhalten sie die Hoheit über ihre Daten und können von Fall zu Fall entscheiden, welche Informationen sie von sich freigeben.
Fälschungssicherheit durch asymmetrische Verschlüsselung
Um das Vertrauen der Bürgerinnen und Bürger zu gewinnen, ist auch ein hohes Sicherheitsniveau erforderlich. Physische Ausweisdokumente enthalten zahlreiche Sicherheitselemente wie eine reliefartig fühlbare Oberfläche, holographische Porträts oder Wasserzeichen. Bei virtuellen IDs fallen solche Features logischerweise weg. Die Lücke, die dadurch entsteht, muss durch neue Sicherheitslösungen geschlossen werden.
Das kann mit Hilfe asymmetrischer kryptografischer Verfahren erfolgen. Sie spielen bei der Fälschungssicherheit virtueller Identitäten eine zentrale Rolle. Die Behörde, die ein digitales Ausweisdokument herausgibt, kann das Dokument mit ihrem privaten Schlüssel digital signieren. Bei der Übertragung der Identitätsdaten an einen Online-Dienst, etwa einen eGovernment-Service, kann der Empfänger dann mit dem öffentlichen Schlüssel der ausstellenden Behörde die Signatur prüfen und so feststellen, ob der digitale Ausweis echt und unverändert ist.
Dieses Prinzip lässt sich auch in Offline-Szenarien einsetzen, beispielsweise bei Führerscheinkontrollen. In diesem Fall können Bürgerinnen und Bürger mit ihrer Wallet einen QR-Code erzeugen, der ihre Führerscheindaten und die digitale Signatur des Herausgebers enthält. Die Polizeibeamten scannen den Code mit einer speziellen App auf ihrem Smartphone und prüfen mit dem öffentlichen Schlüssel des Herausgebers die Echtheit.
Für den Schutz der digitalen IDs bei Verlust oder Diebstahl eines Smartphones sorgen mehrere Sicherheitsschichten. Zunächst einmal kann natürlich der Zugriff auf die Smartphones selbst durch PIN oder biometrische Verifizierung geschützt werden. Aber selbst bei einem entsperrten Gerät ist die Wallet nur per PIN oder Biometrie zugänglich. Darüber hinaus haben die Bürgerinnen und Bürger die Möglichkeit, ihr Smartphone und die Wallet aus der Ferne zu sperren oder die digitale ID zu widerrufen.
Viele Weichen sind schon gestellt
Das Smartphone ist heute das wichtigste Instrument zur Organisation unseres Alltags. Da ist es nur logisch, auch die persönlichen Ausweisdokumente auf dieses Medium zu verlagern. Viele Weichen dafür sind gestellt, aber es gibt auch noch einige Herausforderungen zu bewältigen. Ganz ohne physische IDs werden wir in den nächsten Jahren noch nicht auskommen. Es ist aber keine Frage mehr, ob unsere IDs komplett virtualisiert werden, sondern nur noch, wann.