Wer braucht schon eine Digitale Identität?

digitale identität

In meinem ersten Artikel zu Beginn des Jahres hatte ich drei Trends in mobile Finance für die nächsten Jahre identifiziert.

  1. Konvergenz
  2. Regulierung
  3. Digitale Identität

Die beiden ersten Punkte hatte ich schon näher betrachtet, der heutige Artikel beschäftigt sich mit der digitalen Identität.

Wozu braucht man so etwas und wem ist es nützlich?

Für den Erfolg von werden meist die folgenden Gründe angeführt:

  • riesiges Angebot
  • günstiger Preis
  • schnelle Lieferung
  • guter Service

Für mich persönlich ist keines dieser Argumente der Haupttreiber, beim weltweit größten Internet Versandhandelsunternehmen zu kaufen. Da ich meist über eine Suche auf den Amazon Seiten lande, ist das „riesige Angebot“ immer nur eine Untermenge. Der günstige Preis läuft bei mir immer durch eine Preissuchmaschine, die fast immer einen günstigeren Anbieter findet. Die schnelle Lieferung ist auch bei den anderen Versendern gegeben und Bücher bekomme ich zum gleichen Preis und immer am nächsten Tag bei meinem lokalen Buchhändler. Beim guten Service schließlich habe ich im Großen und Ganzen auch noch keinen signifikanten Unterschied gegenüber dem Wettbewerb gesehen.

Weshalb kaufe ich dann trotzdem vermehrt dort? Ganz einfach, weil es einfach ist. Amazon hat meine Digitale Identität, ich muss keine Adresse eingeben und meine Zahlungsinformationen sind auch bereits hinterlegt.

Leider hat Amazon um diese Identität einen Zaun gezogen, so dass ich sie nur im sogenannten „walled garden“ verwenden kann. Amazon macht es mir sehr einfach und tut gleichzeitig alles, damit ich dieses Ökosystem nicht verlasse.

Wenn ich aber eine transportable Identität hätte, mit der ich genauso einfach bei anderen Web Shops einkaufen könnte, wäre der Anteil meiner Amazon Einkäufe möglicherweise nur im unteren einstelligen Prozentbereich.

Dies ist also eine Anwendung von digitaler Identität. Eine andere ist die Anmeldung an den Webportalen. Wen nervt es nicht, sich für jede neue Webseite ein neues Passwort ausdenken zu müssen. Tut man das nicht, bekommt man bei jedem Passwortdiebstahl Herzrasen. Hatte ich etwa das gleiche Passwort wie beim Onlinebanking? Der letzte große Passwortdiebstahl hat dies wieder mal verdeutlicht. Hier wäre eine Digitale Identität äußerst hilfreich. Google hat dies bereits erkannt und eine entsprechende Initiative gestartet.

Eine weitere Anwendung der digitalen Identität ist die Signaturfunktion. Ich kann damit meine Mails unterschreiben und diese Nachricht steigt damit in Ihrer Wertigkeit mindestens in den Rang eines Faxes auf. Dazu hätte man die Möglichkeit im Posteingang alle signierten Mails vorrangig zu bearbeiten. Beziehungsweise alle nicht signierten Mails die von unbekannten Absendern kommen, als zu betrachten.

Die digitale Identität ermöglicht mir schließlich, mit meinem Gegenüber per Verschlüsselung vertrauliche Nachrichten auszutauschen, da ein Publik Key mit Echtheitszertifikat Teil des Systems ist.

Was braucht man nun für solch eine interessante Infrastruktur und wer könnte diese bereitstellen?

Nun zunächst hatte ich große Hoffnung in den neuen Personalausweis (nPA) gesetzt. Diese vom Staat heraus gegebene Identität ist aber zu technisch gedacht und in den Alltag teilweise nur sehr schwer zu integrieren. Die Haupthindernisse sind fehlende Funktionalitäten und hohe Anforderungen an die Portale, die den nPA einsetzen wollen. Was geht nicht beim nPA:

  • keine Signatur von Mails
  • Signatur von PDF’s nur mit Spezialsoftware sowie Erwerb eines Zertifikats und Komfortlesegerät für mehr als 100 €
  • Verschlüsselung ist überhaupt nicht vorgesehen

Was mit dem Ausweis sehr gut funktioniert ist Identifikation. Auch wenn der Aufwand für den Portalbetreiber nicht ganz unerheblich ist, so gibt es doch die eine oder andere Anwendung wie Geld abheben oder Konto Eröffnung.

Perfekt ist der nPA auf jeden Fall um mir eine abgeleitete Identität zu erstellen, d.h. ich kann mir medienbruchfrei im Internet eine Identität erzeugen lassen, welche alle Technologien beherrscht, die ich beim Personalausweis vermisse.

Was wird eigentlich benötigt um so etwas umzusetzen?

Die Digitale Identität setzt sich im Wesentlichen aus drei Komponenten zusammen:

  1. Private Key zum Entschlüsseln und Signieren
  2. Dazu passender Public Key zum Verschlüsseln und Prüfung von Signaturen
  3. Sowie ein Zertifikat, welches die Authentizität des Public Key bestätigt und von einem vertrauenswürdigen Dritten unterzeichnet ist

Wo ist denn hier der Bezug zu Mobile fragen jetzt sicher einige Leser?

Damit eine solche Identität nicht kompromittiert werden kann, benötigt man zur Ablage einen sichern Speicherort. Dies kann der Smart Card Chip auf einer Plastikarte oder einem kontaktlosen Device in einem anderen Formfaktor sein.

Der beste Ort zur Aufbewahrung ist aber das Secure Element in einem !

Avatar for Rudolf Linsenbarth
Über Rudolf Linsenbarth 88 Artikel

Rudolf Linsenbarth ist Senior Consultant für den Bereich Mobile Payment und NFC bei der COCUS Consulting GmbH. Zuvor war er 11 Jahre im Bankbereich als Senior Technical Specialist bei der TARGO IT Consulting (Crédit Mutuel Bankengruppe).
Hier auf mobile zeitgeist schreibt Rudolf Linsenbarth in eigenem Namen .

Mehr über Rudolf auf Twitter @Holimuk oder bei XING.

3 Kommentare

  1. Hallo Rudolf, ich hatte „bester Ort“ im Sinne von Sicherheit interpretiert – ist ja mein Background.
    Im Sinne von Komfort ist das Smartphone tatsächlich der beste Ort.
    Viele Grüße,
    Bernd

    • Hallo Bernd,

      warum ist das SE der beste Aufbewahrungsort für die Digitale Identität:

      1. Durch die Möglichkeit des OTA Provisioning (also das Bespielen des SE aus der Ferne), ist es die preisgünstigste, schnellste und einfachste Art der Verteilung.

      2. Das Smartphone ist mit seiner vielfältigen Anzahl an Schnittstellen (NFC, Bluetooth, Display, Wlan und weitere Mobilfunkschnittstellen) der universellste Speicherort.

      3. Das Smartphone ist eh immer dabei oder selbst sogar Medium für den Einsatz.

      Wenn die Hersteller der Betriebssysteme nicht für ausreichende sorgen wie Du mit Deinem nicht unberechtigten Einwurf darlegst, sollte man nicht nach anderen Speicherorten suchen sondern, die Sicherheit verbessern (z.B. Hardware Schalter etc.).

      Zusätzlich kann man natürlich auch noch selbst entscheiden, für welche „unkritischen“ Anwendungen man die dort gespeicherte ID verwendet.

      Beste Grüße

      Rudolf

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*