Digitale Identifikation vs. Digitale Identität

Der Low Brainer der Digitalen Identität

Kommentar  24.03.2023
Von   IDG ExpertenNetzwerk
André Mundo ist erfahrener IT-Berater mit IT-Background mit langjähriger Erfahrung in Führung und Geschäftsentwicklung. Zuletzt war er Bereichsleiter Distributed Ledger Technologies bei MaibornWolff GmbH.
Vorgänge in denen Menschen, Objekte oder Maschinen in digitale Prozesse eingebunden werden sollen, nehmen zu. Doch nicht alle Verfahren sind unumstritten. Dazu ein Überblick.
Um die Identität einer Person rechts-und datenschutzkonform in digitaler Form abzubilden, reicht es nicht, ein digitales Zeichengerät in die Hand zu nehmen.
Um die Identität einer Person rechts-und datenschutzkonform in digitaler Form abzubilden, reicht es nicht, ein digitales Zeichengerät in die Hand zu nehmen.
Foto: pathdoc - shutterstock.com

Aktuell wird wieder viel über die europäische digitale Identität, das europäische ID-Wallet oder eIDAS 2.0 gesprochen. Und wieder kommt es zu hitzigen Auseinandersetzungen rund um eIDAS, nPA, Video-Ident-Verfahren und der DSGVO konformen Speicherung von personenbezogenen Daten in sogenannten Wallets. Doch darum geht es im Kern nicht. Die Identitifzierung ist lediglich Mittel zum Zweck und wird mittelfristig eine kostenfreie Beigabe vieler entscheidender Prozesse.

Vorab trennen wir die Themenblöcke sauber voneinander ab. Die Digitale Identität ist das digitalisierte Abbild einer analogen Einheit. Diese analoge Einheit kann ein Mensch, eine Maschine oder eine Organisation sein. Es braucht diese Abstraktion, um das gesamte Bildnis besser zu verstehen. Je nach Sichtweise und Betätigungsfeld, wird dieses Abbild auch gerne als Digitaler Zwilling bezeichnet. Das trifft es sehr gut, weil ein Zwilling ein 1:1 Abbild ist. Digital beschreibt letztlich nur die Form, in der dieses Abbild vorliegt. Es geht also um nichts anderes, als Informationen und Attribute, welche dieses Abbild beschreiben, digital zu speichern und bereit zu stellen.

Lesetipp: FAQ - Was ist eine Digitale Identität?

Der Digitale Zwilling eines Menschen

Ein Mensch hat beschreibende Attribute wie Größe, Geschlecht, eine Adresse und so weiter. Aber zu einem Menschen gehören weitere wirtschaftlich und persönlich relevante Informationen, welche im täglichen Leben eine Rolle spielen: ein Konzertticket, die Windsurfing-Lizenz und der Führerschein - aber auch letzte Röntgenbild oder die Punktekarte meines Lieblingsitalieners zählen dazu.

Der Digitale Zwilling einer Maschine

Maschinen haben neben weiteren beschreibenden Attributen diverse Produktionsdaten oder Produktlebenszyklusdaten, die in einem Datenblatt gespeichert sind. Am einfachsten kann man dies an einem PKW erklären. Fahrzeugbrief und Fahrzeugschein beschreiben die individuelle Ausprägung eines PKWs, ergänzend zu vielen Konstruktionsinformationen seitens des Autobauers. Eine Mautvignette oder ein Parkschein wird aber auch einem PKW zugeordnet.

Das digitalisierte Abbild einer Organisation

Auch Firmen, Vereine und andere Organisationen können mittels Attributen und weiterer Informationen beschrieben werden. Stammdaten wie Firmensitz, Anzahl der Mitarbeiter, Umsatz oder Zertifizierung wie ISO beschreiben eine Unternehmung ebenso wie der letzte Bericht der Toilettenreinigung, der aktuelle Wirtschaftsbericht oder der aktuelle Nachhaltigkeitsbericht.

Auf die Sensibilität kommt es an

Aus der Sicht der Digitalisierung von Prozessen können alle digital vorliegenden Informationen helfen, Prozesse ohne Medienbruch zu gestalten. An den oben genannten Beispielen ist zu erkennen: Es gibt Daten, deren Echtheit essentiell ist, und es gibt Daten, bei denen der Echtheitsnachweis weniger relevant ist. Die entscheidende Frage ist: Wie kritisch sind diese Informationen? Dabei ist Kritikalität nicht im Sinne der Speicherung, sondern der Erstellung und weiteren Nutzung gemeint. Ein von mir ausgestellter Führerschein, TÜV-Prüfbericht oder Nachhaltigkeitsbericht wird Sie im Falle einer behördlichen Prüfung nicht weiterbringen.

Es wird deutlich: Daten sind unterschiedlich sensibel und damit entsteht die Frage nach deren Herkunft und Echtheit. Der oben genannte Führerschein kommt im besten Fall von der Führerscheinbehörde, der TÜV-Bericht von einer zugelassenen Prüforganisation und der Nachhaltigkeitsbericht wurde bestenfalls von einer juristischen Person geprüft. Dieser Schritt wird als Datenverifikation bezeichnet.

Mit dieser Verifizierung werden Informationen mit Vertrauen aufgeladen. Technisch wird dies mit Signaturverfahren ermöglicht. Letztlich ist das wie bei einem Dokument. Die Unterschrift (Signatur) macht das Dokument erst wertvoll. Für viele Dokumente wird heute schon keine Unterschrift mehr gefordert. Signaturverfahren sind etabliert, wenn teilweise auch sehr stark reguliert und aufwendig zu implementieren. Das hängt stark vom Anwendungsfall ab und soll vor Missbrauch schützen.

Aus diesem stark regulierten Umfeld der elektronischen Signaturen und dem Innovationsfeld der Digitalisierung von Identitäten entsteht jetzt die intensive Auseinandersetzung. In vielen - aber nicht allen - Fällen steckt der Wert einer Digitalen Identität in der Verifizierung digitaler Informationen. Viele Prozesse könnten durchaus mit unverifizierten beziehungsweise Verifizierung mit niedrigem Level arbeiten. Ein guter Ordnungsbegriff hierfür ist die Vertrauensniveaubewertung. Das BSI beschreibt dies am Beispiel der Identitätsprüfung natürlicher Personen sehr gut. Und hier wird der eigentliche Diskussionspunkt deutlich: Identitätsprüfung.

Identitätsprüfung vs. Identifizierung vs. Identität

Der Duden definiert Identität als "Echtheit einer Person oder Sache; völlige Übereinstimmung mit dem, was sie ist oder als was sie bezeichnet wird". In unserem Fall geht es um die drei Einheiten Person (oder die Sache Mensch), Maschine oder Organisation. Für diese müssen Kernattribute oder, technisch gesprochen, Stammdaten definiert werden, welche jede Einheit eindeutig beschreiben:

  • Für den Mensch kann man wahrscheinlich gefahrlos behaupten, dass dies die Daten des Personalausweises oder Reisepasses sind.

  • Für Maschinen braucht es das noch. Hier ist die entscheidende Frage wie kleinteilig (Maschine vs. Baugruppen vs. Bauteile) diese Identifizierung ermöglichet sein soll.

  • Für Organisationen lässt sich hier wahrscheinlich ein Datensatz gemäß dem Transparenzregister annehmen.

Bei den Maschinen wird deutlich, dass es eine Art zusammenführendes Wurzelelement nötig ist: Die eigentliche Identifizierung. Hier braucht es die bestehenden regulatorischen Verfahren rund um eIDAS und Konsorten. Die anderen Attribute und Informationen ergänzen diese zusätzlich und können verifiziert oder unverifiziert in Prozessen Anwendung finden.

Digitale Identität - kein Henne-Ei-Problem!

Der Weg ist relativ klar: Wo immer Prozesse digital nicht durchgängig gestaltet werden können, weil der Input oder Output analog vorliegender Informationen bedarf, stellen sich folgende Fragen:

  • Mit welchem Verfahren lassen sich die analog vorliegenden Informationen digitalisieren?

  • Welches Vertrauensniveau wird von diesen Informationen erwartet?

Ist das Ziel ein zukunftssicheres und integratives Ergebnis zu erhalten, eignet sich dafür die Digitale Identität mit den entsprechenden Technologieprinzipien und Standards. Mittelfristig wird sich ein entsprechendes Ökosystem entwickeln und Nutzer (als Summe von Mensch und Organisation) und Maschine werden Informationen selbstverwaltet, beispielsweise in einer Wallet hinterlegt, in den Prozess einbringen. (bw)