Dr. Andreas Windisch

Die strategische Bedeutung der Digitalen Identitäten ist in den letzten Monaten in den Fokus gerückt. Beispielhaft dafür ist der Start der Daten- bzw. Login-Allianzen Verimi und netID, von YES sowie von Anbietern blockchain-basierter Lösungen wie Blockchain Helix und Idento.one. Der derzeitige Zustand, das Fehlen eines sog. Identity Layers, eines “Meta-Logins” für das Internet, spielt nach Ansicht vieler Marktbeobachter den großen Internetkonzernen (Google Amazon, facebook, Apple – GAFA) in die Hände. Einmal eingeloggt gibt es daraus kaum noch ein Entkommen (Lock-in-Effekt) – der Gewöhnungseffekt und die Bequemlichkeit tun ihr übriges. Könnten die e-Identity-Systeme, u.a. auf Basis der eID des neuen Personalausweises, eine Alternative sein? Ist die Blockchain für die Verwaltung digitaler Identitäten eine geeignete Technologie? Können die Nutzer die Hoheit, die Souveränität über ihre Daten zurückgewinnen? Erhöht der aktuelle facebook-Skandal die Sensibilität der Nutzer für den Wert und die Schutzbedürftigkeit ihrer Daten? Was müsste sich dafür auf technologischem und organisatorischem Gebiet ändern, welche Voraussetzungen müssen noch geschaffen werden? Welche Rolle hätte paydirekt spielen können? Was für Optionen bleiben den Banken noch? Auf diese und weitere Fragen gibt Dr. Andreas Windisch (Foto), Managing Director bei der asquared GmbH und überdies profunder Kenner des Marktes für Digitale Identitäten, im Gespräch Antwort. 

  • Herr Dr. Windisch, was macht das Thema Digitale Identitäten für Sie so interessant?

Ich befasse mich seit vielen Jahren mit innovativen digitalen Geschäftsmodellen. Die stetige Anpassung der Umfeldparameter des Marktes in den Bereichen Kundenerwartungen, Regulatorik und Technologie sind seit jeher Enabler für innovative Geschäftsmodelle. Für nahezu all diese Geschäftsmodelle bilden digitale Identitäten die Grundlage: So sind für die Abwicklung des Grundgeschäfts häufig gewisse personenbezogene Daten erforderlich und/oder es muss sichergestellt werden, dass die Geschäftspartner tatsächlich die sind, die sie vorgeben zu sein. Digitale Identitäten sind somit elementarer Bestandteil innovativer digitaler Lösungen, für die Stand heute jedoch in Deutschland keine übergreifende Lösung existiert. Viele Initiativen und Unternehmungen versprechen aktuell, eine solche Lösung unter Wahrung des Datenschutzes und der Privatsphäre seiner BenutzerInnen bereitzustellen und dadurch auch eine Antwort auf die vielen Datenschutzskandale zu liefern.

Die Schaffung einer adäquaten Lösung für digitale Identitäten Kompatibilität auf globaler bzw. zunächst europäischer Ebene sind gesellschaftlich höchst relevant und für mich als Informatiker und Ingenieur allein deshalb ganz besonders interessant.

Kim Cameron machte bereits im Jahr 2005 darauf aufmerksam, dass ein übergreifender Identity Layer im Internet nicht existiert und beschreibt, wie dieser Layer aussehen sollte. Damals waren die Herausforderungen auf Grund des Fehlens eines solchen Layers bereits deutlich spürbar: Es hat sich ein Flickenteppich aus Ausweichlösungen etabliert, welche Abhilfe schaffen sollten. In den letzten Jahren hat sich die Anzahl digitaler Geschäftsmodelle und digitaler Ökosysteme sowie die Durchdringung des Internets im Alltag jedoch signifikant gesteigert, weshalb eine Lösung erst recht erforderlich wurde. Ein einheitlicher Identity Layer existiert jedoch nach wie vor nicht, die einhergehenden Probleme sind weiterhin präsent.

Es existieren viele interessante Ansätze für technische Standards, wie beispielsweise openID oder die Lösungen der fido Alliance, die in speziellen Sektoren, für einzelne Nutzergruppen oder bestimmte Anwendungsfälle zum Einsatz kommen. Keiner der Ansätze hat es jedoch bislang geschafft, tatsächlich übergreifend Akzeptanz zu erfahren und sich als (de-facto) Standard zu etablieren.

  • Ist der fehlende Identity Layer des Internets nicht auch der Grund dafür, dass die sog. Datenkraken wie facebook und Google ihr eigenes Rechtsregime beim Umgang mit den personenbezogenen Daten der Nutzer durchsetzen konnten?

Der Begriff Datenkrake wird häufig verwendet, ist aber sehr negativ konnotiert. Facebook und Google sind zwei Beispiele für Unternehmen, die Pioniere sind (bzw. waren) in der Erschaffung und Etablierung von datenbasierten Geschäftsmodellen. Die bekannten Datenskandale verdeutlichen, welche Gefahren in derartigen Geschäftsmodellen liegen, wenn die Themen Datenschutz, Privatsphäre und/oder Security nicht genügend ernst genommen werden.

Ich denke, ein bestehender Identity Layer hätte diese Probleme nicht vollständig verhindern können; immerhin liegt ein Großteil der Probleme auch in der unüberlegten Datenfreigabe durch die Benutzer. Facebook beispielsweise verfügt grundsätzlich über einen ordentlichen Datenfreigabemechanismus und geeignete Privatsphäreneinstellungsoptionen – aber wie schnell werden die nötigen Freigaben bereitwillig für sinnlose Spiele, Umfragen und Quiz von Drittanbietern erteilt? Die Benutzer und deren Sensibilität für das Thema Datenschutz war und ist ein ganz entscheidender Faktor für die Erfolge dieser Player.

Die Existenz eines Identity Layers hätte die mittlerweile erreichte Übermacht der GAFAs vielleicht eindämmen können. Die Benutzer wären vielleicht schon früher für die Relevanz des Datenschutzes sensibilisiert worden, Datenfreigaben mit der „echten“ Identität würden vielleicht etwas überlegter erteilt und die Reichweite der Dienste durch Like- und Login- Buttons hätte signifikant eingeschränkt werden können.

Dies nachzuholen, ist nun das erklärte Ziel laufender Initiativen – ob sie Erfolg haben werden, wird sich zeigen.

  • Welche Voraussetzungen sollten Ihrer Ansicht nach e-Identity-Systeme erfüllen, wenn sie dauerhaften Erfolg haben wollen?

Aus meiner Sicht muss hier an zwei Stellen angesetzt werden. Zunächst müssen bei der Konzeption und Entwicklung des e-Identity-Systems bzw. -Schemes selbst ein paar wichtige Dinge berücksichtigt werden. Dabei geht es im Wesentlichen um die bereits erwähnten Laws of Identity von Cameron, wobei ich noch stärker auf das Persona-Konzept sowie die technischen Voraussetzungen drängen würde, die eine Omnipräsenz des Dienstes ermöglichen. In meinem Beitrag “Erfolgsfaktoren für e-Identity-Systeme” habe ich die Erfolgsfaktoren zusammengefasst. Das ist meines Erachtens aber alles kein Hexenwerk und heutzutage leicht zu bewerkstelligen.

Viel wichtiger und tatsächlich relevant für die Etablierung eines e-Identity-Systems/Schemes ist es, bestehende Digitalisierungslücken im Alltag der Menschen durch Formulierung innovativer Anwendungsfälle – die erst durch das Vorhandensein eines übergreifenden e- Identity-Systems möglich sind – zu schließen, um somit einen für den Benutzer deutlich wahrnehmbaren Mehrwert zu schaffen. Der Erfolg dieser Systeme kommt mit der wiederkehrenden Nutzung, d.h. die Integration in häufig-frequentierte Anwendungsfälle als auch die Schaffung neuer Anwendungsfälle als Alleinstellungsmerkmal sollten im Vordergrund stehen.

  • Mit dem neuen Personalausweis (nPA) steht seit Jahren eine Lösung zur Verfügung, mit der die Nutzer ihre Identitäten im Netz verifizieren können. Warum kommt der nPA trotzdem nicht so recht vom Fleck?

Das stimmt und ich würde mich freuen, wenn ich ihn auch mal irgendwo sinnvoll nutzen könnte. Der nPA ist dem Henne-Ei-Problem erlegen, und in der aktuellen Konstellation haben weder Henne noch Ei Lust darauf, mitzuspielen. Welchen Anreiz haben Service Provider, ein teures Verfahren einzubinden, für das sie sich zunächst aufwändig zertifizieren müssen, wenn es am Ende kaum jemand nutzt? Die eID-Funktion des Personalausweises ist bei den Wenigsten aktiviert worden und wo sie aktiviert wurde, ist die zur Nutzung erforderliche PIN nicht mehr griffbereit und taucht erst Jahre später wieder auf, wenn man den PIN-Brief zufällig in wegsortierten Schreiben wiederfindet – die Ausstellung einer neuen PIN ist selbstverständlich kostenpflichtig. Aber selbst wenn der Ausweis aktiviert und die PIN parat liegt, mangelt es häufig am notwendigen Kartenleser, der teuer und nicht sonderlich nutzerfreundlich ist – Abhilfe schafft mittlerweile die AusweisApp2. Dennoch stellen all diese Hürden die Benutzer vor eine ähnliche Frage, wie bereits die Service Provider: Warum sollte ich mir das für die wenigen Anwendungsbereiche antun, wenn es doch auch anders (einfacher) geht? Erschwerend kommen Vorurteile und Vertrauensdefizite gegenüber Staat und Politik hinzu.

Vielleicht helfen die sich entwickelnden e-Identity-Systeme dem nPA aber sogar auf die Sprünge, indem er analog zur AusweisApp2 möglichst benutzerfreundlich integriert wird, für eben jene Anwendungsfälle, die tatsächlich eine Identifikation des Benutzers erfordern.

  • In letzter Zeit sind gleich mehrere Daten-Allianzen an den Start gegangen bzw. haben ihren Start angekündigt. Ist das richtige, ist das ein erfolgsversprechender Weg?

Naja… positiv hervorzuheben ist, dass das Problem scheinbar an vielen Stellen verstanden worden ist und adressiert wird, was schon mal einen ganz guten Startpunkt darstellt. Die aktuellen Identitäts- und Daten-Allianzen sind zudem mit teils unterschiedlichem Fokus unterwegs: Die netID mit vornehmlich Publisher-Partnern wird vermutlich auf Lösungen für Opt-Ins im Rahmen der kommenden ePrivacy-Richtlinie fokussieren, VERIMI ist ein branchenübergreifender Login-Dienst, YES startet aus dem Finanzdienstleistungssektor und positioniert sich als ID-Scheme und weitere spezialisiertere Initiativen wie z.B. Helix Alpha und idento.one legen den Fokus auf das Thema Daten. Fast alle Initiativen eint jedoch die Hoffnung, der de-facto Standard für den Kunden zu werden, also zukünftig als eine Art Generalschlüssel für alle digitalen Dienste zu dienen. Und an dieser Stelle beginnen meine Zweifel: Um den Generalschlüssel herum ist eine spürbare Konkurrenz erwachsen, die eigentlich unnötig ist. Die Benutzer werden sich ihre Generalschlüssel ohnehin selbst aussuchen: Ob sie nun einen Mercedes.me-Schlüssel, einen Sparkassen-Schlüssel, einen übergreifenden VERIMI- oder YES-Schlüssel oder einen web.de-Schlüssel nutzen möchten, bleibt ihnen überlassen. Wesentlich ist doch, dass alle Systeme interoperabel sind und sich die Initiatoren nicht gegenseitig Steine in den Weg legen. An dieser Stelle erhoffe ich mir die Kooperationsbereitschaft und -willigkeit aller Marktteilnehmer, denn ansonsten schadet dies wieder nur der Verbreitung aller Lösungen und „die anderen“ gehen weiterhin als Sieger vom Platz.

  • Ebenso präsent wie die Daten-Allianzen in der Berichterstattung sind die diversen Startups und Initiativen, die die Nutzer in die Lage versetzen wollen, ihre Identitäten dezentral per Blockchain zu verwalten. Könnte das eine Alternative zu den eher zentralisierten Datenallianzen sein?

Ob eine Lösung Blockchain-basiert ist oder nicht, halte ich persönlich für weniger erfolgsentscheidend. Die distributed ledger Technologie hat bekanntermaßen Vor- und Nachteile und es stellt sich eigentlich immer die Frage, ob man dem Betreiber der Identitätslösung Vertrauen schenkt oder ob man vor allem aus Vertrauensgründen versucht, das System auf mehrere Parteien zu dezentralisieren. Beide Varianten können heutzutage vergleichbar sicher implementiert werden. Wenn ich mir den Erfolg und die Verbreitung der GAFAs ansehe, bin ich sehr skeptisch, ob das Sicherheitsbedürfnis der Benutzer und die Vertrauensfrage an dieser Stelle erfolgsentscheidend für das Identitätssystem sein werden. Regulatorisch wird es nun strengere Anforderungen geben und diese werden auch durch die GAFAs umgesetzt werden. Deshalb wird der Mehrwert für den Benutzer entscheiden, weniger die technische Umsetzung.

  • Viele Branchenbeobachter halten die Banken für prädestiniert bei der sicheren Verwaltung der digitalen Identitäten. Teilen Sie die Ansicht?

Ja und nein. Auf der einen Seite sind viele der kolportierten Begründungen für die Prädestination für Banken zugegebenermaßen etwas beschönigt. So ist die Qualität der seitens der Finanzinstitute vorgehaltenen Identitätsdaten nicht immer so rosig, wie angenommen. Namensänderungen bei Heirat und Adressänderungen wegen Umzugs oder gar Kontaktmöglichkeiten werden häufig stark verzögert oder gar nicht gemeldet und korrigiert.

Finanzinstitute können auf der anderen Seite seit Jahren glaubhaft unter Beweis stellen, dass sie eine vergleichsweise sichere technische Infrastruktur bereitstellen können. Sie besitzen umfragegemäß nach wie vor einen Vertrauensvorsprung in der Gesellschaft. Darüber hinaus liegen digitale Identitäten und die Abwicklung der zugehörigen Zahlung typischerweise sehr eng beieinander, so dass die Nähe zum Finanzdienstleister auch Vorteile verspricht.

  • Könnten nicht auch die Kommunen die Rolle der Treuhänder für digitale Identitäten übernehmen?

Selbstverständlich. Wie auch beim Personalausweis sollte das Vertrauensthema dadurch kein Problem darstellen. Derartige Piloten sind beispielsweise bereits in der Schweiz in Schaffhausen und Zug auf Blockchain-Basis gestartet worden. Herausfordernd werden jedoch die dafür notwendige kurzfristige Digitalisierungsfähigkeit sowie die Abstimmung der Kommunen hinsichtlich gemeinsamer Spielregeln. Und, sobald es sich in der Wahrnehmung um kommunale oder staatliche Lösungen handelt, wird es umso relevanter sein, dass auch entsprechende e-Government-Services darüber nutzbar sind, da anderenfalls ein ähnliches Störgefühl auftreten wird, wie beim deutschen Personalausweis. Und so schnell mahlen die Mühlen in Deutschland leider noch nicht – was sehr schade ist, denn technisch wäre das alles sehr schnell machbar.

  • Im Vergleich zu anderen Ländern, wie Kanada, der Schweiz oder Norwegen, ist hierzulande noch kein einheitlicher Wille bzw. die Tendenz nach einem Standard zu erkennen. Woran könnte das liegen?

Das ist in der Tat eine unglückliche Situation und leider schon viel zu oft beobachtbar gewesen. Das Verständnis und der Wille für einen einheitlichen Standard sind schon vorhanden, leider stehen häufig Einzelinteressen im Vordergrund. In Kanada investierten die größten Banken in eine gemeinsame Lösung, in der Schweiz gibt es ein gemeinsames Industriekonsortium, in Norwegen genau ein Verfahren hinter dem sich die norwegischen Banken versammeln. In Deutschland läuft es (mal wieder) anders. Das deutsche Bankwesen ist mit seiner Drei-Säulen-Struktur zugegebenermaßen auch deutlich komplexer als jenes der benannten Länder und eine Harmonisierung der Einzelinteressen maximal herausfordernd. Das Bezahlverfahren paydirekt zeigt, dass dies zwar grundsätzlich möglich ist, aber nur dann funktionieren kann, wenn an dieser Harmonie festgehalten wird. Auch das Thema digitale Identitäten hätte sich großartig über die paydirekt-Plattform als gemeinsamer Ansatz der Deutschen Kreditwirtschaft lösen lassen – wäre man sich einig gewesen.

Leider ist immer wieder beobachtbar, dass selbst mit kleineren Funktionalitäten und Services in den Wettbewerb gegangen wird, wo es viel sinnvoller wäre, darauf zu verzichten, und diese Funktionalität als Teil eines größeren Ganzen gemeinsam zu entwickeln. Viele vor allem technische Themen sind mitnichten wettbewerbsdifferenzierend und sollten daher gemeinsam entwickelt werden, um sich stattdessen auf die relevanten Themen mit Kunden- Impact zu fokussieren. Das gilt im Banking und beim Zahlungsverkehr genauso wie beispielsweise im Handel oder beim Thema Mobilität.

Sollte niemand mehr einlenken, wird sich das Thema leider nur noch durch den (internationalen) Wettbewerb lösen lassen.

  • Was meinen Sie: Wann könnte der “Tipping Point” für die flächendeckende Nutzung digitaler Identitäten erreicht sein – welche Voraussetzungen fehlen derzeit noch?

E-Identity-Systeme wird es kurzfristig genügend geben. Es fehlt jedoch ein weites Netzwerk aus Akzeptanzstellen sowie die Kooperationsbereitschaft der Wirtschaft bei übergreifenden Services und Ansätzen im Sinne der Kunden. Weniger sinnloser Wettbewerb und Golden Cage für die Kunden, mehr Fokus auf Anforderungen der Kunden und Vielfalt in den Geschäftsmodellen.

Wirklich relevant werden digitale Identitäten nämlich erst, wenn sie in den Alltag der Menschen integriert sind und/oder eine Vielzahl von Anwendungsfällen nur noch damit möglich sind bzw. damit deutlich einfacher möglich sind. So ist das Schließen vorhandener Digitalisierungslücken und das Adressieren von Konsolidierungsmöglichkeiten der erste Schritt auf dem Weg zu einer flächendeckenden Nutzung digitaler Identitäten – mit Fokus auf insbesondere jene Bereiche, die eine verifizierte Identität benötigen, denn damit könnte noch ein Vorsprung gegenüber der internationalen Konkurrenz aufgebaut werden. Das Thema e- Government ist zwar unterwegs, wird aber sicherlich noch ein paar Jahre auf sich warten lassen. Beim Thema Mobilität existieren erste technische Konsolidierungsbestreben – dies anbieterübergreifend auszuweiten und als Role Model auch für andere Industrien zu verstehen, wird die Herausforderung sein.

Ich rechne aus diesen Gründen mit 3-5 Jahren für einen „Tipping Point“, bin aber zuversichtlich, dass es bereits sehr kurzfristig erste wegweisende Piloten geben wird.

  • Herr Dr. Windisch, vielen Dank für das Gespräch!

Zuerst erschienen auf Bankstil