Was ist eine digitale Identität?

Die digitale Identität ist ein relativ junges Konzept. Durch die rasante Digitalisierung sind viele Aspekte unseres Lebens ins Internet verlagert worden. Es geht dabei nicht nur um Online-Einkäufe. Heutzutage nutzen wir digitale Dienste, um unsere Finanzen zu verwalten oder um Versicherungen abzuschließen – bequem von zu Hause aus.

In all diesen Bereichen schaffen wir unsere eigene digitale Identität, oft ohne uns dessen vollständig bewusst zu sein. Doch was bedeutet der Begriff „digitale Identität“ und warum ist dessen Verifikation so wichtig?

Definition: Was ist eine digitale Identität?

Mit einer digitalen Identität wird überprüft, ob eine Identität mit der Identität in der physischen Welt übereinstimmt. So lässt sich herausfinden, ob man es mit der richtigen Person zu tun hat.

Eine digitale Identität umfasst alle Informationen über eine Person, die in digitaler Form vorliegen. Mithilfe dieser Informationen lässt sich die Identität einer Person erkennen, wenn sie zusammengeführt werden.

Was sind Beispiele von digitalen Identitäten?

Jede Person, die Anmeldedaten hat, besitzt eine digitale Identität. Diese Identität kann viele Formen annehmen, zum Beispiel:

• Digitale Identitäten auf Social Media (etwa eine Facebook-Identität)
• Onlineshop-Identitäten
• Bankidentitäten

Sie alle stellen die digitale Präsenz einer Person in der digitalen Welt dar. Die jeweiligen Diensteanbieter haben in unterschiedlichem Maße Kenntnis darüber, wer die reale Person hinter dieser digitalen Identität ist.

Welche Rolle spielen digitale Identitäten für Unternehmen?

Für Unternehmen, die im elektronischen Geschäftsverkehr tätig sind, ist es wichtig, zumindest grundlegende Informationen über ihre Kunden zu haben. Wie tief diese Informationen gehen müssen, richtet sich je nach den Vorschriften und Risiken, denen das Unternehmen unterliegt.

Hier wird das Know-Your-Customer-Prinzip relevant. KYC verpflichtet Unternehmen zur Identifizierung und Überprüfung der Identität ihrer Kunden, um Geldwäsche und andere Finanzdelikte zu verhindern.

In den folgenden Branchen sind digitale Identitäten und die Identitätsprüfung besonders wichtig:

• Versicherungen: Digitale Identitäten authentifizieren Kunden und sichern den Zugriff auf Policen. Sie reduzieren Betrugsrisiken und automatisieren Prozesse wie Schadensmeldungen.
  
  
• Glücksspiel: Betreiber prüfen mit digitalen Identitäten die Identität von Spielern und führen eine Altersverifikation Das verhindert Betrug und schützt vor Identitätsmissbrauch.
  
  
• Bankwesen: Banken erfüllen mit digitalen Identitäten KYC- und Anti-Geldwäsche-Vorgaben. Sie beschleunigen zudem Kontoeröffnungen und Kreditanträge.
  
  
• E-Commerce: Händler nutzen digitale Identitäten zur sicheren Kundenauthentifizierung. Sie schützen Zahlungsdaten und stärken das Kundenvertrauen. Hier reicht es oft aus, die Richtigkeit von Zahlungsdaten und Lieferadresse, oder in einzelnen Fällen das Alter zu verifizieren.

Unternehmen sollten darauf achten, dass der Registrierungsprozess, die regelmäßige Authentifizierung und sämtliche Transaktionen reibungslos mit einer digitalen Identität durchgeführt werden können.

Schließlich entscheidet bereits der erste Kontakt mit dem Kunden darüber, welchen Eindruck ein Unternehmen vermittelt und ob die Kundenbeziehung fortgeführt wird. Mit einer digitalen Identität wird ein vereinfachter und kundenorientierter Prozess geschaffen, der Zeit und Kosten einspart.

Kategorien von digitalen Identitäten

Digitale Identitäten können dabei verschiedene Formen annehmen und werden grundsätzlich in 3 Kategorien unterteilt:

• Isolierte digitale Identität (Silo-Identität): Hierbei handelt es sich um separate digitale Identitäten, die für jeden Dienstleister neu erstellt werden. Jeder Online-Dienst erfordert ein eigenes Konto mit individuellen Anmeldedaten, was zu einer Vielzahl von Benutzernamen und Passwörtern führen kann.
• Digitale Identität per Single Sign-On (SSO): Diese Lösung ermöglicht es Usern, sich mit einer zentralen digitalen Identität (z. B. von Google oder Facebook) bei verschiedenen Diensten anzumelden, ohne sich zahlreiche Kennwörter merken zu müssen.
• Staatliche digitale Identität: Diese besonders vertrauenswürdige Form der digitalen Identität wird vom Staat ausgestellt. Sie erfüllt hohe Sicherheitsstandards und kann für eine Vielzahl von Online-Transaktionen und -Interaktionen genutzt werden. Beispiele hierfür sind der deutsche Online-Ausweis oder die ID Austria in Österreich.

Was ist eine verifizierte digitale Identität?

Eine verifizierte digitale Identität ist ein von einem Vertrauensdiensteabieters (Trust Service Provider) ausgestellter Identitätsnachweis, der eine physische Verifizierung durch Vorlage eines Identitätsdokuments wie eines Reisepasses erfordert und den hohen eIDAS- bzw. ZertES-Anforderungen entspricht.

Eine digitale Identität hingegen ist ein allgemeiner Begriff für alle digitalen Informationen, die über eine Person verfügbar sind.

Digitale Identitäten können aus Informationen bestehen, die der Kunde selbst angibt, ohne dass sie von einem Dritten überprüft werden. Ein Beispiel dafür ist ein Facebook-Konto. Alternativ kann eine Identitätsprüfung erfolgen, sodass eine verifizierte digitale Identität entsteht.

Eine Herausforderung: Jede Plattform kann aktuell ein anderes Identifizierungsverfahren verwenden. Daher gibt es sowohl auf staatlicher als auch auf EU-Ebene Bemühungen, ein einheitliches Modell zu etablieren.

Wie funktioniert die digitale Identifizierung?

Bei der digitalen Identifizierung weist eine Person ihre Identität elektronisch nach, um Zugang zu Online-Diensten oder Transaktionen zu erhalten. Sie ersetzt persönliche Vor-Ort-Verifikationen und läuft schneller, aber genauso sicher ab.​

1. Start der digitalen Identifizierung: Der User startet den Identifizierungsprozess auf der Plattform des Dienstanbieters.​
   
   
2. Erfassung der Ausweisdaten: Mittels Smartphone-Kamera werden Bilder des Ausweisdokuments aufgenommen.
3. Biometrische Verifizierung: Der User erstellt ein kurzes Live-Selfie, um die Übereinstimmung mit dem Ausweisdokument zu bestätigen. Hierbei kommt moderne Liveness Detection zum Einsatz.
   
   
4. Überprüfung: Die erfassten Daten werden überprüft, um die Echtheit des Ausweisdokuments und die Identität des Users zu verifizieren.​
   
   
5. Abschluss des Prozesses: Nach erfolgreicher Verifizierung erhält der User Zugang zum gewünschten Dienst.

Mit PXL Ident beispielsweise ist die automatisierte Identitätsprüfung in weniger als 30 Sekunden abgeschlossen. Das sorgt für hohe Benutzerfreundlichkeit und Conversion Rates.

Europäische digitale Identität der EU-Kommission

Im Juni 2021 hat die Europäische Kommission ihre Pläne für eine europäische digitale Identität (EUiD) für Bürgerinnen und Bürger der EU und Europa vorgestellt. Dadurch soll es möglich werden, auch außerhalb des Heimatstaates ohne Schwierigkeiten dieselben Verwaltungsvorgänge vorzunehmen.

Dazu zählt zum Beispiel: eine Wohnung mieten, sich an einer Universität einschreiben oder ein Konto eröffnen. Grundsätzlich sollen sowohl Benutzerfreundlichkeit als auch Sicherheit bei diesem Vorhaben eine große Rolle spielen.

• Gemäß der Verordnung über die europäische digitale Identität sollen bis zum Jahr 2030 mindestens 80 % der Bürger eine digitale Identität besitzen und aktiv nutzen können, um auf wichtige öffentliche Dienste zuzugreifen. Das Ziel ist es, ein vertrauenswürdiges und sicheres europäisches eID-Framework zu schaffen.
• Als Grundlage dieser neuen Verordnung dient die Verordnung des Europäischen Parlaments und des Rates der EU über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS-Verordnung). Diese stammt ursprünglich aus dem Jahr 2014, wurde aber im Mai 2024 novelliert.

Schon gewusst?
Laut der PwC-Studie „Digitaler Personalausweis und digitale Brieftaschen 2023“ würden 50 % der deutschen Bundesbürger die Online-Ausweisfunktion nutzen. Bei 93 % der Befragten ist die Selbstbestimmung über die Datenverwendung das wichtigste Kriterium.

Wird die digitale Identität Pflicht?

Die Nutzung der digitalen Identität wird für Bürgerinnen und Bürger nicht verpflichtend sein. Allerdings müssen bis 2027 alle EU-Mitgliedsstaaten ihren Bürgern eine digitale Brieftasche anbieten, die die Nutzung einer digitalen Identität ermöglicht.

Auf diese Weise wird es möglich sein, sich sowohl online als auch offline innerhalb ganz Europa bei Behörden und Unternehmen mit der digitalen Identität auszuweisen und sämtliche Online-Dienste in Anspruch zu nehmen.

Was ist eine staatliche eID?

Eine staatliche eID (elektronische Identität) ist eine digitale Lösung zum Nachweis der realen Identität von Personen oder Organisationen.

• Sie ersetzt herkömmliche Ausweise wie Reisepass oder Personalausweis und bietet mehr Komfort und Sicherheit.
• Die eID schafft das gleiche Vertrauen wie physische Dokumente.
• Bürgerinnen und Bürger behalten die Kontrolle über ihre Identitätsdaten und entscheiden selbst, welche Informationen sie freigeben.
• Die Nutzung erfolgt bequem über das Smartphone, ohne unnötige Daten preiszugeben.
• Mit der eID können sich Kundinnen und Kunden bei verschiedenen Diensten online anmelden, ohne mehrere Zugangsdaten verwalten zu müssen.
• Sie dient als standardisierte Anmeldeoption für den öffentlichen und privaten Sektor.

Da die staatliche eID allerdings noch nicht sehr verbreitet ist, gibt es für Unternehmen auch andere Lösungen zur Identitätsverifikation ihrer Kunden. Dazu zählt zum Beispiel die automatisierte digitale Identitätsverifikation. Diese vereint gleich mehrere Vorteile: Benutzerfreundlichkeit, Effizienz und Sicherheit.

Staatliche eID in der Schweiz

Auch in der Schweiz wird voraussichtlich Anfang 2026 eine staatliche eID eingeführt werden. Nachdem das Bundesgesetzes über elektronische Identifizierungsdienste (BGEID) am 7. März 2021 abgelehnt wurde, arbeitet die Schweiz an einem neuen Konzept für eine staatliche eID.

Was ist die eIDAS-Verordnung?

Die eIDAS-Verordnung steht für “Electronic Identification, Authentication and Trust Services”. Es handelt sich um eine EU-Verordnung, die einen rechtlichen Rahmen für die digitale Identität in der Europäischen Union schafft.

• Ziel ist die grenzüberschreitende Nutzung und Interoperabilität nationaler eID-Systeme.
• Bürgerinnen und Bürger können ihre nationale eID auch in anderen EU-Ländern verwenden.
• Digitale Identitäten werden nach ihrem Vertrauensniveau klassifiziert.
• Für besonders sicherheitsrelevante Dienstleistungen sind nur eIDs mit hohem Vertrauensniveau zugelassen.

Gemäß der eIDAS-Verordnung werden die Anbieter von offiziellen digitalen Identitäten, sogenannte Trust Service Provider (TSP), überprüft und können als qualifizierte Trust Service Provider (QTSP) eingestuft werden. Diese Klassifizierung erfolgt auf der Grundlage ihrer Vertrauenswürdigkeit und der Sicherheit, die sie bieten.

Vertrauensniveaus der eIDAS-Verordnung

Die eIDAS-Verordnung definiert drei unterschiedliche Vertrauensniveaus für die digitale Identität:

• Niedrig: Bei dem niedrigsten Vertrauensniveau ist das Vertrauen in die digitale Identität begrenzt. Es bestehen Beweise über die Identität des Users, wie die Kenntnis von Anmeldedaten, jedoch sind diese anfällig für Fälschungen.
• Substanziell: Ein substanzielles Vertrauensniveau verlangt strengere Verfahren zur Identitätsprüfung, bei denen offizielle Ausweisdokumente zur Verifizierung der digitalen Identität vorzulegen sind.
• Hoch: Es besteht eine eindeutige und sichere Verbindung zwischen der Person und ihrer digitalen Identität. Digitale Identitäten auf diesem Niveau werden durch vertrauenswürdige Anbieter zur Verfügung gestellt. Beispiele hierfür sind die GesundheitsID oder die BankID.

Ein elektronisches Identifizierungsmittel wird nur dann als substanziell oder hoch anerkannt, wenn der jeweilige Mitgliedstaat dieses im Rahmen eines festgelegten Notifizierungsverfahrens auf dem entsprechenden Vertrauensniveau notifiziert hat.

Novellierung der eIDAS-Verordnung: EUDI-Wallets

Am 20. Mai 2024 trat die überarbeitete eIDAS-Verordnung in Kraft: eIDAS 2.0. Im Fokus dieser Novellierung steht die Einführung der European Digital Identity Wallets (EUDI-Wallets).

Mit digitalen Identitätsbrieftaschen können Bürgerinnen, Bürger und Organisationen sich sicher und einheitlich innerhalb der gesamten EU sowohl online als auch offline identifizieren und verschiedene Authentifizierungsdienste nutzen.

Funktionen der EUDI-Wallets:

• Speicherung und Verwaltung der European Digital Identity (EUDI)
• Digitale Ablage wichtiger Dokumente wie Meldebescheinigungen, Führerschein, Reisedokumente, Bildungs- und Gesundheitsnachweise
• Möglichkeit zur Nutzung für qualifizierte elektronische Signaturen (QES)

Bis 2027 soll jeder EU-Mitgliedstaat seinen Bürgerinnen und Bürgern eine EUDI-Wallet kostenlos und zur freiwilligen Nutzung zur Verfügung stellen.

Was sind die Gefahren einer digitalen Identität?

Wie bei allen sensiblen Daten besteht auch bei digitalen Identitäten die Gefahr des Diebstahls oder der Manipulation. Zu den größten Gefahren gehören:

• Identitätsdiebstahl: Der Zugang zu Passwörtern oder PINs kann missbraucht werden, um sich als eine andere Person oder Organisation auszugeben.
• Mehrfachnutzung von Passwörtern: Viele Menschen verwenden dasselbe Passwort auf verschiedenen Plattformen. Das erleichtert Hackern den Zugriff auf mehrere Konten gleichzeitig.
• Passwort-Reset-Schwachstellen: Oft reicht ein Link an die verknüpfte E-Mail-Adresse, um ein Passwort zurückzusetzen. Erlangen Cyberkriminelle Zugriff auf das E-Mail-Konto, können sie weitere Konten übernehmen.
• Erhöhte Anfälligkeit für Cyberangriffe: Ohne sichere Identitätsprüfung steigt das Risiko für Identitätsdiebstahl und Cyberkriminalität. Digitale Forensik ist zudem oft schwieriger als in der physischen Welt.
• Datenschutz: Digitale Identitäten erfassen häufig Verhaltensdaten wie den Suchverlauf, Standort oder die Aktivitätszeiten. Diese Daten können weiterverarbeitet oder verkauft werden.
• Risiken bei SSO-Verfahren: Single Sign-On (SSO) macht User abhängig von einem Anbieter. Wird das Hauptkonto gelöscht oder gesperrt, gehen alle verknüpften Zugriffe verloren.

Checkliste: Wie kann man sich vor den Gefahren digitaler Identitäten schützen?

Es gibt verschiedene Möglichkeiten, sich vor diesen Gefahren zu schützen. Gerade Unternehmen sollten angemessene Datenschutzmaßnahmen einführen.

Datenschutzmaßnahmen für Unternehmen

• Mitarbeiter- und Kundendaten schützen
• Datenschutzkonforme Online-Präsenz gewährleisten
• Cyber-Versicherung in Betracht ziehen

Zwei-Faktor-Authentifizierung (2FA) nutzen

• Passwort oder PIN mit zusätzlicher Identifikation absichern
• Optionen: SMS-Code, Token oder biometrische Merkmale

Identitätsprüfung durchführen

• Dafür sorgen, dass nur berechtigte Personen Zugriff haben
• KYC-Anforderungen erfüllen

Auto-Ident-Verfahren verwenden

• Ausweise per Scan verifizieren
• Biometrische Daten mit Selfie-Video abgleichen

Mit einem Auto-Ident-Verfahren können der Ausweis eines Users per Ausweisscan verifiziert und anschließend mit einem Selfie-Video biometrische Daten abgeglichen werden. Durch dieses zuverlässige Verifikationsverfahren können Unternehmen sich sicher sein, wer hinter ihren Kunden steckt und dass diese dazu in der Lage sind, sich auszuweisen – für maximale Sicherheit bei der Nutzung der digitalen Identität.

Was ist digitales Identitätsmanagement?

Digitales Identitätsmanagement, Identity Management (IdM) oder Identity and Access Management (IAM) sorgt dafür, dass autorisierte Mitarbeiter Zugang zu den benötigten technologischen Ressourcen erhalten, während der Zugang auf autorisierte Personen beschränkt bleibt.

Es umfasst Richtlinien und Technologien, die den unternehmensweiten Prozess der Identifizierung, Authentifizierung und Autorisierung von Mitarbeitern, Personengruppen oder Softwareanwendungen regeln, einschließlich Benutzerrechten und identitätsbasierten Einschränkungen.

Ein Identitätsmanagementsystem verhindert den unberechtigten Zugriff auf Systeme und Ressourcen, schützt vor Datenexfiltration und alarmiert bei Zugriffsversuchen durch nicht autorisierte Personen oder Programme, sowohl innerhalb als auch außerhalb des Unternehmens.

Fazit

Digitale Identität und die staatliche eID werden durch die fortschreitende Digitalisierung immer wichtiger. Sie bieten Komfort und Effizienz, bringen aber auch Herausforderungen mit sich. Dazu zählt etwa, dass sie anfällig für Diebstahl und Missbrauch sind.

Die Entwicklung und Implementierung robuster Identitätsmanagement-Lösungen sind daher entscheidend, um Datenschutz und Sicherheit zu gewährleisten. Gleichzeitig müssen diese Technologien zugänglich und benutzerfreundlich sein. Eine intuitive Lösung, um die Identität zu überprüfen, kann hier helfen. Wir beraten Sie gerne: Kontaktieren Sie uns jetzt.

FAQ zur digitalen Identität

.