Digitale Identitäten als Ausweis

Interview mit Claudio Fuchs, CEO IPG

Interview „Digitale Identitäten als Ausweis“

Eine digitale Identität ist eine elektronische Repräsentation einer natürlichen Person, die durch Informationen wie Name und Seriennummer ihre Eindeutigkeit erhält. Im Experten-Interview mit Claudio Fuchs wollen wir uns einen Überblick über den Fortschritt in den drei Ländern Deutschland, Österreich und Schweiz verschaffen. Als CEO der IPG verfügt er über langjährige Erfahrung in der Welt der digitalen Identitäten.

Wie ist aktuell der der Stand der Dinge? Kann ich in allen genannten Ländern als Bürger einen physischen respektive digitalen Ausweis bestellen und damit elektronisch unterschreiben sowie Dienstleistungen der öffentlichen Verwaltung in Anspruch nehmen?

Österreich hat klar die Nase vorn. Das Land verfügt mit der Bürgerkarte, auch A-TRUST genannt, seit rund 20 Jahren über ein System, um Ausweise auch in digitaler Form zu erstellen. Seit rund 10 Jahren stellt man von der klassischen SmartCard auf eine Handy-Signatur um, neu auch mit dem Namen ID Austria. Damit hat man den perfekten Brückenschlag zwischen physischen und elektronischen Ausweisen erreicht, ergänzt durch die Möglichkeit der elektronischen Signatur.

Die Schweiz hatte auf gesetzlicher Ebene ebenfalls 2003 mit dem ZertES gestartet, worauf die ersten privaten Herausgeber von digitalen Identitäten unter dem Namen SuisseID auf dem Markt erschienen, sich aber nie richtig durchsetzen konnten. Im Jahre 2021 durfte die Schweizer Bevölkerung darüber abstimmen, ob weiterhin für digitale Signaturen und neu auch für digitale Ausweise auf die private Schiene setzt, was mit rund 64% entschieden abgelehnt wurde. Seitdem „muss“ der Staat sich parallel zu den privaten Anbietern um den Aufbau einer „offiziellen“ E-ID kümmern. Private Anbieter wie beispielsweise die SwissID agieren weiter auf dem Markt, um elektronische Signaturen auf dem Handy anzubieten, welche auch für Login-Verfahren genutzt werden können, jedoch nicht als Ausweise angedacht sind.

In Deutschland ist lange so gut wie nichts gegangen. Die Bundesdruckerei hatte von 2010 bis 2017 den neuen physischen Personalausweis mit elektronischem Zertifikat angeboten und jetzt aber mit der „Sign-Me“ Anwendung der d.trust vom Medium des physischen Ausweises abgekoppelt. Sprich der Ausweis dient nur noch als sichere Identifikation via NFC, um die Sign-Me App einzurichten, mit welcher man dann digital unterschreiben kann. Die d.trust unterliegt wie die A-TRUST ebenfalls der eIDAS Verordnung der EU.

Der elektronische Ausweis und die elektronische Signatur werden oft in einem Atemzug genannt, warum?

Grundsätzlich sind es zwei verschiedene Funktionen. Mit dem Ausweis identifiziere oder authentisiere ich mich gegenüber einer Stelle, während die elektronische Signatur mir erlaubt Rechtsgeschäfte digital zu unterschreiben. Es ist selbstsprechend, dass beide Funktionen benötigt werden, um z.B. einen Gang zu einer Behörde komplett digital durchzuführen.

Was ist wichtig bei der elektronischen Signatur?

Es gibt verschiedene „Stufen der Beweiskraft“. Der Goldstandard ist die Qualifizierte Elektronische Signatur (QES), welche per Gesetz der handschriftlichen Signatur gleichgestellt ist. Die A-TRUST, die d.trust sowie auch die SwissID (auch die ehemalige SuisseID) erreichen diesen Standard. Nur mit einer QES können wichtige Geschäfte wie das Unterschreiben eines Mietvertrages oder ein Behördengang digitalisiert werden. Weiter bietet QES auch eine gesicherte, verlässliche und eindeutige Auskunft zur Identität.

Kann ich den Anbieter frei wählen und die Signatur dann überall verwenden?

Grundsätzlich ja, auch wenn zum Beispiel noch Probleme bei der Anerkennung zwischen der Schweizer ZertES und der eIDAS Verordnung der EU bestehen. Prinzipiell sind auch beide Standards kompatibel, trotzdem kann es in Einzelfällen noch zu einer Zurückweisung kommen. Wer beispielsweise beim Schweizer Validator ein nach EU-Standard signiertes Dokument hochlädt, erhält die Meldung, dass das Zertifikat korrekt, aber nicht nach ZertES Standard sei. https://www.e-service.admin.ch/validator/upload/all/de. Umgekehrt konnte man in den Medien lesen, dass es bei einer öffentlichen Ausschreibung der Österreichischen Bundesbahnen einen Gerichtsentscheid benötigte, um das mit dem Schweizer Standard unterschriebene Angebot der Firma Stadler endgültig zu akzeptieren. In der Praxis werden oft auch unterschriebene oder gestempelte Dokumente anderer Staaten anerkannt, so verhält es sich auch im digitalen Raum.

Zur Sicherheit könnte ich also digitale Ausweise verschiedener Staaten erlangen?

Achtung, dies ist nicht überall möglich. Grundsätzlich holt man sich den Ausweis dort, wo man wohnhaft ist. Seit dem Jahr 2022 stellt Österreich mit der xIDENTITY auch digitale Identitäten für Personen aus, welche keinen Wohnsitz in Österreich haben. Per 2021 hat Deutschland eine eID Karte ohne Lichtbild für Personen aus EU und EWR Mitgliedländern lanciert. Früher hatte nur Estland ein solches Verfahren. Die sogenannte e-Residency ist seit 2014 für sämtliche natürliche Personen weltweit beantragbar und noch immer ein Renner, zumal der Preis von 120 Euro für 5 Jahre sehr übersichtlich ist. Mit diesen erwähnten digitalen Ausweisen (welche für den klassischen physischen Bereich kaum zu gebrauchen sind) erhält man eine QES.

Was müssen Unternehmen bei der Einführung elektronischer Signaturen beachten?

Zuerst muss man anmerken, dass nicht jedes Mal der Goldstandard einer QES notwendig ist. Für Verträge ohne gesetzliche Formvorschrift reichen grundsätzlich auch einfache elektronische Signaturen aus, z.B. eine Bestellung per E-Mail oder Kauf einer Ware mittels Kunden-Login. Sobald es aber um Arbeitsverträge, Kündigungen, Behördendokumente, Revisionsberichte, etc. geht, ist eine QES notwendig. Ich tendiere dazu zu sagen, dass man heutzutage den Prokuristen (und höher) generell eine QES zur Verfügung stellen sollte.

Welche Hausaufgaben muss ich für meine Mitarbeitenden hinsichtlich Identity-/Access-Management (IAM) als Unternehmen erledigen?

Man muss zuerst entscheiden, ob a) die betreffenden Personen die Identität selbst beantragen und ins Unternehmen einbringen (BYOI) oder b) ob man einen Enterprise Service nutzt.

a) Wenn man die leitenden Mitarbeitenden anhält, z.B. eine A-TRUST zu beschaffen, sollte man nebst der Kostenübernahme auch die jeweilige Seriennummer im IAM System eintragen. Damit stelle ich den Audit-Trail sicher, was alles rechtskräftig unterschrieben wurde.

b) Bei einer Enterprise Lösung kann man auf Anbieter wie z.B. DocuSign oder Adobe Sign setzen, welche unterdessen reine Cloud-Dienste sind. Diese erlauben das massenhafte Ausstellen auch von QES für Mitarbeitende eines Unternehmens. In diesem Falle ist es unumgänglich, den entsprechenden Anbieter an das IAM System anzubinden, um z.B. die Erstellung der Identität oder auch die zeitlich pünktliche Revokation von Mitarbeitenden zu ermöglichen.

Was ist relevant, um mit Kunden und Partnern zu interagieren?

Hier stellt sich die grosse Frage, ob eine QES überhaupt notwendig ist, aber als öffentliche Behörde oder insbesondere Unternehmen im B2C Bereich wird es sich zukünftig gut machen, alle möglichen Ausweise als fremden Identity Provider zu akzeptieren. Die Frage stellt sich auch in die Gegenrichtung: Sind alle meine Kunden und Geschäftspartner bereits soweit? Die Vorteile der Akzeptanz von offiziellen digitalen Identitäten liegen auf der Hand, denn damit erhält der Kunde salopp gesagt einen bequemeren Login und das Unternehmen mehr Rechtssicherheit.

Was bringt die Zukunft?

(Lacht) Immer mehr Personen, welche sich mit elektronischen Ausweisen (ausgegeben durch eine hoheitliche oder private Stelle) im digitalen Raum bewegen, werden sich mit den Ausweisen einloggen und mit der darauf befindlichen QES unterschreiben wollen.

Blog 13.12.24

Braucht KI eine digitale Identität?

KI wird zunehmend autonom und übernimmt wichtige Aufgaben in Unternehmen. Wie bleibt die Kontrolle über sensible Daten gewährleistet? Wir beleuchten die Notwendigkeit einer digitalen Identität für KI.

Foto von Claudio Fuchs - IPG - Experts in IAM

Blog 10.12.21

Interview mit dem neuen IPG Group CEO Claudio Fuchs

Zum 1. Januar 2022 hat Claudio Fuchs die Aufgaben des Group CEO übernommen.

Blog 18.10.22

Self Sovereign Identity - Identitäten im digitalen Zeitalter

Identitäten im digitalen Zeitalter sind ein wahrer Schatz und in Zeiten von Cyber Crime ein gefragtes Diebesgut. Erfahren Sie in unserem Expertenbericht, was Sie über Self Sovereign Identity (SSI) wissen müssen.

News 10.01.22

IPG geht mit neuer Geschäftsleitung ins neue Jahr

Das Jahr 2022 beginnt bei IPG mit zahlreichen Neuerungen. Nach über 20 Jahren operativer Tätigkeit übernimmt der bisherige CEO und Co-Founder der IPG Group, Marco Rohrer, ab diesem Jahr das Präsidium im Verwaltungsrat der IPG Gruppe. Der bisherige Managing Director Alps, Claudio Fuchs wird neuer CEO. Durch diese Rochade ergibt sich auch für die weitere Organisation neue Strukturen.

Titelbild zum Referenz eGovernance von Winterthur

Referenz 01.06.20

Stadt Winterthur

Mit Blick auf einen geplanten Ausbau des Serviceangebots führten die Informatikdienste der Stadt Winterthur mit der IPG eine Vorstudie durch.

Blogbeitrag zur Referenz eGovernance für die Stadt Winterhtur

Referenz 01.06.20

E-Governance für die Stadt Winterthur

Mithilfe der IPG-Gruppe bereitet sich die Stadt Winterthur auf die Einführung eines föderativen IAM vor. Jeder Bürger soll künftig eine E-Identity erhalten.

Teaserbild IAM Experte Identity Provider

Blog 02.12.22

Identity Provider – ein Schlüssel für viele Schlösser

Viele Unternehmen sind bestrebt, Anmeldeprozesse zu vereinheitlichen bzw. zu vereinfachen. Ist es möglich, mit einem einzigen Identity Provider (IdP) sowohl interne als auch externe Web-Anwendungen zu betreiben? Unsere Kollegen Jan Weiberg & Sorush S.Torshizi geben Einblick in ein Kundenprojekt.

Header zum Expertenbericht Self-Sovereign Identity 1

Blog 22.09.21

Self-Sovereign Identity Teil 1: Die Geschichte

Die selbstsouveräne Identität ist eine Ausprägung eines ID- oder Identitätssystems, bei dem jeder Einzelne als Dateneigentümer die Kontrolle darüber behält, wann, gegenüber wem, wie und wie lange die eigenen Identitätsdaten freigegeben und verwendet werden dürfen.

Teaserbild zur Referenz Spital Thurgau IAM Lösung

Blog 25.02.25

Schneller Zugriff, Sicherheit und hohe Datenqualität mit IAM

In einem großen Gesundheitsunternehmen wie der Spital Thurgau AG zählen Geschwindigkeit bei der Eröffnung neuer Mitarbeiter-Accounts genauso wie Datensicherheit und -qualität. Die Einführung eines zeitgemäßen IAM-Systems schafft die Grundlagen für die weitere Wachstumsstrategie des Unternehmens.

Referenz 15.12.23

IAM als digitales Immunsystem der Spital Thurgau AG

Die IPG gestaltet mit One Identity Manager eine flexible, sichere Lösung, die Zutrittsrechte, Programme und Datenbanken automatisiert verwaltet. Die Implementierung sichert eine skalierbare IAM-Lösung für die stetig wandelnden Anforderungen der Spital Thurgau AG.

Blog 23.11.23

Passwort oder Iris-Scan: Die Zukunft der Authentisierung

Wie hat sich die Authentifizierung im Laufe der Zeit entwickelt und welche Auswirkungen hat diese Evolution auf die heutigen Sicherheitsstandards zur Identitätsprüfung? Erfahren Sie mehr in unserem Artikel✅

Blog 13.04.23

Mit Digital Nudging lenkst du deinen Kunden zum Kauf

brytes-UX Managerin Katja Moritz und mir gehen die Themen rund um E-Commerce nicht aus. Nach den ersten zwei Gesprächsrunden, in denen wir uns mit Nudging und Informationsverarbeitung beschäftigt haben, widmen wir uns heute dem Treffen von Entscheidungen. Welche Strategien führen dazu, dass der Kunde sich für ein Produkt entscheidet und beim Check-out munter mit der Kreditkarte wedelt? So viel sei schon mal verraten: Dem Käufer sollte immer das Gefühl vermittelt werden, dass er bei dem Tausch Bares gegen Ware als Gewinner dasteht.

Blogbeitrag zu GARANCY IAM Suite Version 3

Blog 20.10.20

GARANCY IAM Suite – Das bietet Version 3

Die GARANCY IAM Suite ist für viele Professionals im Identity Access Management (IAM) das Tool der Wahl. Wir geben Ihnen einen Überblick zu den Neuerungen der dritten Version des Beta Systems Produkt.

Blog 04.04.24

Digitaler Erfolg durch gemeinsame Unternehmenswerte

In dieser insights!-Folge beleuchten Laura Ludwig und Jan Stassen, die Gründer vom Museum für Werte, die Bedeutung von Werten und Organisationskultur in Zeiten des digitalen Wandels. Sie betonen die Notwendigkeit, nicht nur nach außen zu schauen, sondern auch nach innen zu reflektieren und die eigenen Werte in Technologie und Produktentwicklung zu integrieren.

Blog 30.03.23

Verbesserung der Customer Experience durch digitale Empathie

Im Gespräch widmen sich Katja Moritz und ich dem Phänomen der digitalen Körpersprache in der Online-Welt. Der technologische Fortschritt hat es inzwischen so weit gebracht, dass der Kunde im wahrsten Sinne des Wortes gläsern ist. Was in der Offline-Welt die Mimik ist, ist im Netz der Mausklick an der entsprechenden Stelle. Wie Shop-Betreiber die Wünsche und Bedürfnisse ihrer Kunden entschlüsseln, darüber gibt die Kölner User Epxerience Managerin heute Auskunft.

Blog 26.08.21

Identity Management für Banken: Anforderungen & Vorteile

Grossbanken gehören zu den ersten Unternehmen, welche ein Identity and Access Management (IAM) System eingeführt haben. Gemeinsam mit dem IAM Thema haben sie sich in einer Lernkurve entwickelt und die heutige Methodik geprägt.

CLOUDPILOTS, Google Workspace, G Suite, Google Cloud, GCP, MeisterTask, MindMeister, Freshworks, Freshdesk, Freshsales, Freshservice, Looker, VMware Engine

Blog 25.02.25

5 Gründe wieso Ihr Advanced Admin braucht

G Suite bietet kompakte und einfache Lösungen zur Produktivitätssteigerung von Abteilungen. Ohne Advanced Admin ist die Verwaltung allerdings nicht immer ein Zuckerschlecken.

Header zum Expertenbericht Self-Sovereign Identity 2

Blog 30.09.21

Self-Sovereign Identity Teil 2: Identitäten

Der ausschlaggebende Faktor ist die Einführung der „Identität“ als digitales Abbild des Anwenders aus Sicht der Fachprozesse und des Unternehmens und nicht als Kopie oder Aggregierung der Benutzerkonten. Diese sind vielmehr der Identität subsequent zugeordnet. Basis dafür sind Identitäts- und ORG-Daten von HR.

Referenz

DRV: Digitalisierung und Datenaustausch mit EESSI

ARS begleitet die Deutsche Rentenversicherung bei der digitalen Transformation mit EESSI. Der sichere, europaweite Datenaustausch von Sozialversicherungsinformationen verbessert Prozesse und Effizienz.

Blog 13.05.24

99% der Cyberangriffe abwehren: Mit den richtigen Maßnahmen

IT-Sicherheit ist ein zentrales Anliegen für Unternehmen und Organisationen, erfahren Sie in diesem Blogbeitrag, welche 5 Maßnahmen gegen Angriffe schützen.