Wenn beispielsweise das Unternehmen esatus Ihr elektronisches Identitäts-Dokument sehen will, stellt es eine Anfrage an Ihre Wallet. Wenn Sie esatus kennen und nachvollziehen können, warum die Firma das Dokument braucht, werden Sie es freigeben. Wenn Sie jedoch an einem Coffeeshop vorbeigehen und der möchte alle Ihre Credentials gegen einen kostenlosen Cappuccino haben – dann werden Sie die natürlich nicht freigeben. Grundsätzlich ist die Überlegung also, dass Sie Ihre Daten an berechtigte Interessenten selbstbestimmt freigeben können.
Das ganze Thema nennen wir Decentralized ID. Früher wurde es als SSI (Self-sovereign Identity) bezeichnet, wegen der selbstbestimmten Entscheidungen, die ich treffen kann. Die Community war aus verschiedenen Gründen nicht so glücklich damit und bevorzugt daher den Begriff dezentralisiertes Identitäts-Management.
Die Konstruktion ist also denkbar simpel: Es gibt jemand, der die berechtigte Aussage treffen kann: Sie sind Mitarbeiter der Firma esatus. Die Person schickt Ihnen ein entsprechendes Credential auf Ihre Wallet. Dann können Sie sich gegenüber Dritten als Mitarbeiter von esatus ausweisen und diese können nachvollziehen, dass das Credential von esatus ausgestellt und nicht etwa in der Zwischenzeit widerrufen wurde. Damit lässt sich ein sehr hohes Sicherheitsniveau abbilden.
Dieses Paradigma und die Mechanismen dahinter sind unabhängig vom Anwendungsfall identisch. Ob es um das Gesundheitswesen geht, um Reisen oder Banking – immer trifft jemand eine Aussage, packt diese in ein Datenpaket und dieses kann dann anderenorts wiederverwertet werden.
Das wird zudem noch mit sog. Decentralized Identifiers (DIDs) unterfüttert, das sind sozusagen pseudonyme Merkmale, mit denen diese Verbindungen zwischen den Identitäten hergestellt werden, darauf gehen wir an dieser Stelle nicht ein.
Pionier in diesem Bereich war Sovrin sie haben ein Netzwerk aufgebaut und die Prinzipien von SSI sehr plakativ dargestellt, mit dem Fokus auf der Ermächtigung des Endanwenders mittels der dezentralen ID. Der Anwender kann Entscheidungen treffen, kann auch Rechte an Personen delegieren, die er für befugt hält (bspw. im Falle eines Kindes, das noch nicht geschäftsfähig ist oder bei Senioren, die nicht mehr handlungsfähig sind). Es geht um maximale Privatsphäre und dass der Endanwender selbst über seine Daten entscheidet.
5. Die Europäische Digitale Brieftasche, eIDAS 2.0 und das ARF
Nun haben wir das große Glück und gleichzeitig den Fluch, dass dieses Paradigma mittlerweile so weit durchgedrungen ist, dass es auf allen regulatorischen Ebenen als relevanter Ansatz gesehen wird. Es gibt momentan die Bestrebung, das eID-Gesetz für Europa, die sog. eIDAS Regulierung, auf ein neues Level 2.0 zu heben. Damit ist inhärent verbunden, dass es dazu eine European Digital Identity Wallet geben soll. Das heißt, dass mit eIDAS 2.0 nicht nur eine Personenidentifikation und regulatorische Signaturen möglich sein sollen, sondern auch das Verwalten genau dieser nicht-hoheitlichen Nachweise, die ich eben aufgezählt habe. Idealerweise sollen sowohl die von der Verwaltung selbst ausgestellten Nachweise als eben auch die auch von privatwirtschaftlichen Unternehmen ausgestellten Nachweise (Mitarbeiterausweis, Eintrittskarte) in der EU Digital Identity Wallet verwaltet werden.
Einige Komplexitäten sind allerdings noch zu lösen: es ist nicht ideal, wenn Juristen oder politisch Verantwortliche technische Spezifikationen schreiben. Das hat dazu geführt, dass eine Expertengruppe das Architecture and Reference Framework (ARF) für die EU verfasst. Darin werden technische Rahmenparameter verankert, die später für die Interoperabilität sorgen sollen. Ob das tatsächlich gelingt, steht auf anderem Blatt und wie schnell das alles geht, darauf komme ich gleich noch einmal zu sprechen. Aber grundsätzlich wäre die Möglichkeit gegeben, über dieses ARF eine architektonische Grundlage dafür zu schaffen, dass man interoperable EU-Wallets einsetzt. Die Version 1.2 wurde schon vor langer Zeit angekündigt, ist mittlerweile aber massiv verspätet. Das liefert eine Indikation dafür, mit welchen Geschwindigkeiten hier zu rechnen ist.
Das Vertrauensökosystem ist grundsätzlich keine einfache Sache, denn es werden viele verschiedene relevante Rollen benötigt. Ich nenne hier nur die Trust Service Provider, die basierend auf eIDAS 1.0 eine große Rolle spielen können, so dass sie Nachweise ausstellen können. Wer in dieses hoch komplexe Modell tiefer einsteigen möchte, kann das im öffentlich zugänglichen ARF gerne nachlesen. Wichtig ist zu verstehen: wir starten nicht bei Null, es gibt bereits eIDAS 1.0 und bestehende Dienste, die darunter laufen. Dazu gehört auch der elektronische Personalausweis in Deutschland, der bisher kein Erfolgsmodell geworden ist, weil er weder nützlich noch gut nutzbar ist, d.h. er ist fast nirgendwo einsetzbar. Grundsätzlich ist das Bestreben, für eine EU Digital ID Wallet alles ganz einfach zu gestalten und mit höchstem Sicherheitsniveau aufrecht zu erhalten.
Zu erwähnen wäre noch, dass es zwei technologische Stränge gibt, die mehr oder weniger hart kodifiziert werden und ein sehr simples Modell für die Ausstellung von Credentials darstellen: die sog. Jason Web Token oder selektive Disclosure Jason Web Token. Weiterhin gibt es einen Ansatz, der dem ISO-Standard 18013/5 folgt, das ist der sog. Mobile Driving License Standard, der natürlich auch für die Ausstellung anderer Credential-Arten genutzt werden kann. Man kann diese als die Eckpfeiler bezeichnen, die für Credentials eingerammt wurden. Man kann auch andere Lösungswege verfolgen, jedoch nicht im hoheitlichen Bereich. Dass sehr lebhaft diskutiert wird, was benutzt werden kann und soll, liegt auf der Hand. Die Identity Community ist teilweise etwas dogmatisch unterwegs, was die verschiedenen Credential-Formate betrifft. In den letzten 18 Monaten wurde viel Arbeit geleistet, um die Diskussion zu objektivieren und die Glaubenskriege nicht zu überspitzen.
Mit der Entwicklung einer Referenzimplementierung einer solchen Wallet ist momentan das sog. NIScy-Konsortium beauftragt (NetCompany Intrasoft und Scytales AG), diese ist aber auch schon verzögert. Es ist interessant zu sehen, dass die vier großen, von der EU ins Leben gerufenen Large Scale Pilots (LSPs), schon am Laufen sind. Diese sollen natürlich die architektonischen Vorgaben umsetzen, die aber weder fertig sind, noch gibt es die Referenzimplementierung in der Wallet. Von der Reihenfolge her also eher „von hinten durch die Brust ins Auge“, aber insgesamt ein sehr begrüßenswertes Engagement.
6. Zeitlicher Rahmen
Das eIDAS 2.0 Gesetz gibt es noch nicht, momentan laufen die Trilog-Verhandlungen und ob das Gesetz noch in diesem Jahr verabschiedet werden kann, ist nicht absehbar. Selbst dann können wir nächstes Jahr nicht mit etwas rechnen. Wenn das Gesetz einmal da ist, folgen die Implementing Acts, die festlegen, was die einzelnen Mitgliedsstaaten tatsächlich für die Umsetzung des Gesetzes tun müssen? Für diese Verhandlungen sind 12 Monate im Rahmen des Wahrscheinlichen, und dann nochmal 24 Monate, bis das Gesetz tatsächlich geprüft ist. Man denke hier an die Datenschutzgrundverordnung – auch hier gab es eine sog. burn-in Phase. Das Gesetz war eigentlich verabschiedet, aber man hatte noch 24 Monate Zeit für die Anwendung.
Wenn wir in 3+ Jahren etwas bekommen, was in die Lebenswirklichkeit der EU-Bürger Einzug hält, können wir glücklich sein. Deshalb bin ich verhalten optimistisch, dass diese regulatorische Maßnahme schnell etwas bringt. Die Industrie steht massiv in den Startlöchern, hält aber die Investitionen aufgrund der bestehenden Unklarheiten noch zurück.
7. Wie ist die Situation in Deutschland und weltweit?
Ich möchte zunächst kurz darauf eingehen, was in Deutschland gerade passiert:
Deutschland ist sehr aktiv und hat als einer der wesentlichen Stakeholder eine extreme Markttiefe. Das BMI hat ein Konsultationsverfahren zu eIDAS 2.0 und zur EUDI-Wallet eröffnet, daran kann sich jeder beteiligen. Die Kick-off Veranstaltung hat bereits stattgefunden wie auch ein erster Workshop zu Anwendungsfällen, als nächstes werden mögliche Geschäftsmodelle der Privatwirtschaft beleuchtet. Das Engagement ist auch sehr zu begrüßen, aber wenn man sich andererseits die Budgets für diese Vorhaben anschaut, kommen Zweifel auf. Laut den Antworten auf eine Anfrage der CDU/CSU-Fraktion im Bundestag gehen die Budgets für diese Vorhaben in den letzten Jahren eher nach unten.