Minerva Studio - stock.adobe.com
Das Potenzial des elektronischen Identitätsnachweises (eID)
Der elektronische Identitätsnachweis (eID) hat in Deutschland einen schweren Stand. Attraktive Angebote gibt es nicht viele, was sich in niedrigen Nutzerzahlen widerspiegelt.
Manchmal steckt in vermeintlich kleinen Dingen ein großes Potential für den digitalen Fortschritt: Seit 2010 gibt es in Deutschland den neuen Personalausweis (nPA). Mit der richtigen technischen Ausstattung ist es seither möglich, sich mit seinem Personalausweis online zu identifizieren, um so die nötige Rechtssicherheit für digitale Behördengänge, Geschäftsabschlüsse und Transaktionen zu haben.
Die Erwartungen waren hoch, in der Realität ist die Identifizierung per Personalausweis jedoch auf zahlreiche Hürden gestoßen: Wer schon einmal versucht hat, mit dem Online-Ausweis eine Geburtsurkunde digital zu beantragen oder ein neues Fahrzeug anzumelden, weiß, wie umständlich der Prozess ist. Zwar braucht man heute kein gesondertes Kartenlesegerät mehr – der Ausweis wird über die integrierte NFC-Schnittstelle (Near Field Communication) des Smartphones ausgelesen. Doch auch in diesem Fall sind die bestehenden Lösungen wenig praktikabel: Nach wie vor muss in der Regel ein separater Client auf das Mobiltelefon installiert werden, dessen Nutzerfreundlichkeit stark eingeschränkt ist. Die Abbruchraten sind hoch.
Das Henne-Ei-Problem: keine Angebote, keine Nutzer
Nur jeder zehnte Deutsche nutzt aktiv die Möglichkeit der digitalen Identifizierung, wie der eGovernment Monitor 2022 (PDF) zeigt. Und das obwohl seit 2017 der Chip in neu ausgegebenen Personalausweisen automatisch aktiviert ist. Die Gründe dafür sind vielfältig: Die Verantwortlichen haben es verpasst, den Mehrwert, den die Bürger durch einen elektronischen Identitätsnachweis gewinnen, klar zu kommunizieren.
Auch heute wissen die wenigsten, was es mit den Online-Ausweisfunktion des Personalausweises auf sich hat und was damit möglich ist. Fehlendes Vertrauen in die Sicherheit ist neben komplizierten Benutzeroberflächen ein weiterer Kritikpunkt. Hinzu kommt: Es gibt zu wenige Möglichkeiten, die vom Staat vergebene eID zu nutzen. Zwar lassen sich einige Serviceleistungen von Bund, Ländern und Kommunen inzwischen bequem von zu Hause beantragen – aber auch zum analogen Bürgeramt geht man in der Regel höchstens ein- oder zweimal im Jahr.
Die Akzeptanz des neuen Online-Ausweises steht und fällt mit der Einbindung in Geschäftsprozesse und Anwendungsmöglichkeiten jenseits der öffentlichen Hand. Weil den elektronischen Online-Ausweis jedoch nur wenige verwenden, ist es wiederum für Unternehmen nicht attraktiv, ihn als eID in ihr Online-Angebot einzubinden. So kommt es zu einem negativen Netzwerkeffekt oder dem gerne zitierten Henne-Ei-Problem.
Die Konsequenz: Private Anwender dominieren den Markt
Heute gibt es einen Flickenteppich an Lösungen, um eine digitale Identifizierung zu ermöglichen. So melden sich die Deutschen mit ihrer Bank-ID an, um Geld zu überweisen, sie nutzen eine Apple-ID, um einen Film zu streamen, oder laden mit ihrem Amazon-Zugang den neuesten Bestseller herunter. Die einzelnen Verfahren unterscheiden sich erheblich bezüglich ihrer Vertrauenswürdigkeit – doch die großen Tech-Konzerne arbeiten längst an eigenen ID-Lösungen, die für den sicheren Austausch von Daten und Dokumenten zwischen Bürger und Staat geeignet wären.
Hinzu kommt die Tatsache, dass in Deutschland bei den privaten Lösungen für digitale Identifizierungsverfahren bislang Video-Ident den Markt dominiert – also der Videochat mit einem Agenten, der die Identifikation durch Verifikation der Sicherheitsmerkmale des Ausweisdokuments durchführt. Aus Verbrauchersicht genügt ein PC, Laptop oder Smartphone mit Kamera und Internetverbindung, auf der Prüferseite sitzt geschultes Personal. Vor allem Kreditinstitute, Versicherungen, Mobilfunk- und Mobilitätsdienstleister bieten Video-Ident an.
Zwar hat das Verfahren den Vorteil, dass es bequem von überall aus nutzbar ist. In der Vergangenheit kam es jedoch wiederholt zu Problemen: Bei hoher Nachfrage mussten die Kunden lange Wartezeiten in Kauf nehmen. Darunter litt das Nutzererlebnis und die Abbruchquoten stiegen. Dieses Problem ist nur schwer zu beheben, da Video-Ident geschultes Personal auf der Prüferseite erfordert. Nur wenn Unternehmen und Organisationen im Rahmen ihres Vertrags genügend personelle Ressourcen im Voraus gebucht haben, sind sie quasi auf der sicheren Seite. Allerdings führt eine Überprovisionierung per se immer zu hohen Kosten.
Eine Weiterentwicklung des Video-Ident ist Robo-Ident. Statt einem menschlichen Agenten prüft hier eine KI die Identität, weshalb das Verfahren besser skaliert und kostengünstiger ist als Video-Ident. Allerdings bekommt der Verbraucher keine individuelle Hilfe mehr beim Durchlauf der Verifikationsschritte und ist auf vorgefertigte Hilfen wie Videoanleitungen angewiesen. Es kann jedoch nicht vorausgesetzt werden, dass Verbraucher sich die Videos tatsächlich anschauen.
Zudem kommt es immer wieder zu Sicherheitsvorfällen. So hat der Chaos Computer Club (CCC) vergangenes Jahr erfolgreich die telematische Infrastruktur der deutschen Gesundheitsagentur Gematik gehackt. Bei sechs Anbietern einer elektronischen Patientenakte konnte der CCC fremde Identitäten verifizieren lassen. Während im Gesundheitswesen Video-Ident vom Tisch ist, halten andere Branchen nach wie vor daran fest – die Finanzindustrie etwa bei der Beantragung von Bankkonten, wo die Identität nach dem Geldwäschegesetz überprüft werden muss. Dieses Festhalten sorgt dafür, dass sich andere Technologien bislang nicht durchgesetzt haben.
Dabei ist das Video-Ident-Verfahren nicht nur unsicher, es bestehen auch grundsätzliche Datenschutzbedenken: Im Rahmen der Identitätsüberprüfung fallen bei den Dienstleistern biometrische Daten zu jedem Einzelnen an. Während im elektronischen Personalausweis von Anfang an ein selektives Offenlegen nur der für den Identifikationsvorgang notwendigen Informationen integriert wurde – was bedeutet, dass die sensiblen Informationen im eigentlichen Geschäftsverkehr nicht transferiert werden –, geht der Video-Ident damit großzügiger um.
Warum sollten Unternehmen eID anbieten?
Mit der Online-Funktion des Personalausweises verfügt Deutschland über eine aus technologischer und sicherheitsrelevanter Perspektive optimale Grundlage für die elektronische Identifizierung. Verbraucher verlangen darüber hinaus eine smarte User Experience, was einen medienbruchfreien, schnellen und effizienten Identifikationsprozess einschließt. Auch das ist mit der eID durch die Einbindung in Web und mobile Apps grundsätzlich gegeben.
Was noch fehlt sind ausreichend Angebote mit nützlichen Funktionen. Unternehmen, die nach der Rentabilität solcher Lösungen fragen, sollten sich vor Augen führen, dass der Markt in den nächsten Jahren massiv wachsen wird. Einerseits verfolgt die EU das Ziel, dass bis 2030 80 Prozent der Bürger eine elektronische Identifikationslösung – die sogenannte EU-Wallet – nutzen. Andererseits stehen gerade die Jüngeren digitalen Prozessen offener gegenüber und fordern sie sogar ein.
„Mit der Online-Funktion des Personalausweises verfügt Deutschland über eine aus technologischer und sicherheitsrelevanter Perspektive optimale Grundlage für die elektronische Identifizierung.“
Claus Hartherz, adesso SE
Dabei lohnt sich aus Unternehmenssicht ein Vergleich mit den Bezahlmöglichkeiten von Online-Shops: Begonnen hat es mit dem Kauf auf Rechnung, dann kamen Überweisung und Kreditkarte hinzu, heute stehen in der Regel zahlreiche verschiedene Optionen inklusive Paypal, Klarna oder Apple Pay zur Verfügung.
Genauso sollten es Unternehmen bei der Identifizierung für ihre Dienste angehen und neben Passwort, Zwei-Faktor-Authentifizierung oder Video-Ident ihren Kunden mit der eID eine zusätzliche Möglichkeit geben, souverän und selbstbestimmt mit ihren persönlichen Informationen umzugehen. Ein weiterer Vorteil des eID-Verfahrens sind korrekt erfasste Daten, was Kosten für die Nachbearbeitung vermeidet. Mit dem Online-Ausweis ist zudem eine zuverlässige Altersbestätigung möglich.
Der Schlüssel zum Erfolg ist dabei die saubere und passende Einbindung des Identifizierungsverfahrens in die eigene Technologielandschaft. Moderne Clients sorgen zudem dafür, dass das eID-Verfahren leicht in den Webauftritt sowie die mobilen Kunden-Apps integrierbar ist und Medienbrüche vermieden werden. Die AusweisApp 2 beispielsweise erfordert nach wie vor eine Kopplung der passenden Software auf dem Rechner, die Anwendung auf dem Smartphone allein reicht nicht aus. Heute muss darüber hinaus nicht einmal zwingend eine eigene Infrastruktur aufgebaut oder gemietet werden. Mit ID-as-a Service-Angeboten lässt sich die Authentifizierung ganz nach Bedarf skalierbar und kostengünstig realisieren.
Die letzten 13 Jahre haben eins gezeigt: Eine gute Idee funktioniert nicht, wenn sie schlecht umgesetzt ist. Das Ziel muss sein, den Online-Ausweis oder besser gesagt die eID dank intuitiver Handhabung, nützlicher Funktionen und hoher Sicherheit für die Wirtschaft attraktiv und zum neuen Standard zu machen.
Über den Autor:
Claus Hartherz ist Business Development Executive bei adesso SE.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.