Wunschtraum Single Sign-on?

SKIDentity ist nur eine von zahlreichen europäischen Initiativen, die Anwendern und Unternehmen eine zentralisierte Identitätsverwaltung und Authentifizierung bieten wollen. Zu den aktuellen Projekten gehört beispielsweise Verimi. An dem Joint-Venture sind unter anderem Allianz, Axel Springer, die Bundesdruckerei, Giesecke & Devrient, aber auch Autokonzerne wie Daimler und Volkswagen beteiligt. In der Verimi-App lassen sich die Daten aus Personalausweis oder Reisepass hinterlegen, sodass diese beispielsweise auch für rechtssichere digitale Unterschriften genutzt werden kann. Auch die European netID Foundation, die im März 2018 von der Mediengruppe RTL Deutschland, ProSiebenSat.1 und United Internet gegründet wurde, will eine europäische Single-Sign-on-Alternative zur Vorherrschaft der US-Kon­zerne schaffen. Die netID soll eine datenschutzkonforme und transparente Identitätsverwaltung ermöglichen. Im sogenannten Privacy Center verwaltet der Nutzer seine Accounts und legt fest, wer auf welche Daten zugreifen darf.

Ohne ID-Provider wollen die Initiativen „ID4me“ und „re:claim identity“ auskommen. Bei ID4me, das auf dem Domain Name System (DNS) basiert, übernehmen Domain-Registrare wie die Denic, Gründungsmitglied des Projekts, die Identitätsverwaltung für den Webseitenbetreiber. Aber auch wer keine Webseite betreibt, kann den Dienst anbieten, etwa über den E-Mail-Provider Mailbox.org. ID4me will für mehr Datenschutz sorgen, indem Authentifizierung und Kontonutzung auf zwei Rollen aufgeteilt werden. Der „Identity Agent“ ist für die Verwaltung und Verifizierung der Identitäten zuständig, während die eigentliche Anmeldung bei einer „Identity Authority“ erfolgt. Diese hat keinen Zugriff auf andere mit ID4me verknüpfte Konten und damit auch keinen Einblick in dort gespeicherte persönliche Daten. Bei re:claim identity ist die Identität mit dem GNU Name System (GNS) gekoppelt, Identitäten werden durch Schlüsselpaare verifiziert.

All diese Initiativen haben zum jetzigen Zeitpunkt einen Riesennachteil: Sie sind kaum verbreitet. Von einer wirklichen SSO-Alternative zu Apple, Facebook und Google ist die deutsche Internetwirtschaft also noch sehr weit entfernt. „Die Vielzahl der Initiativen führt zu einer Zersplitterung im Markt, kein Anbieter erreicht eine kritische Masse, um mit Facebook oder Google in Konkurrenz treten zu können“, resümiert Detlef Hühnlein.

Mit dem „Schaufenster Sichere Digitale Identitäten“ hat das Bundesministerium für Wirtschaft und Energie (BMWi) ein Technologieprogramm aufgelegt, das das Henne-Ei-Problem lösen soll: Ohne attraktive Dienste gibt es keine kritische Masse an Nutzern, ohne kritische Masse an Nutzern lässt sich kein attraktiver Dienst finanzieren.

Ein Teil dieser BMWi-Initiative ist das Projekt SHIELD, das mit dem „Universal Login“ eine einheitliche Schnittstelle für Authentifizierungsangebote der Wirtschaft wie ID4me, Verimi, netID, das SmartLogin der Datev oder SkIDentity, aber auch für den Personalausweis, die im Onlinezugangsgesetz (OZG) definierten Nutzerkonten der Verwaltung und die elektronische Gesundheitskarte bieten will. „Der Anwender kann entscheiden, mit welcher Identität er sich an einem bestimmten Portal anmelden will und welche Informationen er dabei über sich preisgibt“, erläutert Projektleiter Hühnlein.  „Der Anbieter eines Online-Dienstes kann wiederum die verschiedenen Identitätsanbieter über eine einfache, einheitliche Schnittstelle anbinden.“

Die digitale Identität ist ein wertvolles Gut. Ihr Diebstahl oder Missbrauch kann schwerwiegende Konsequenzen haben, bis hin zur Vernichtung der bürgerlichen und finanziellen Existenz. Der sorg­lose Umgang mit Authentifizierungsdaten und persönlichen Informationen, den viele Anwender an den Tag legen, scheint diese Erkenntnis komplett zu ignorieren. Die Vielzahl an Login-Services und Identitäts-Providern trägt sicher nicht zur Lösung dieses Problems bei. Wenn Anwender überhaupt zentrale Dienste nutzen, landen sie meist bei den Social Logins von Facebook, Google & Co. - mit gravierenden Folgen für Datenschutz und Privatsphäre.

Europäische Alternativen kommen nicht recht voran, obwohl die eIDAS-Verordnung seit 2016 die Basis für eine europaweit einheitliche sichere Identität gelegt hat. Vielleicht braucht es, ähnlich wie in der Pandemie, politischen Druck, um eine Verhaltensänderung zu bewirken.

Die Europäische Union denkt bereits in diese Richtung. In ihrer Rede zum Stand der Union am 16. September 2020 kündigte Ursula von der Leyen eine „sichere europäische digitale Identität“ an, mit der sich europäische Bürger nicht nur gegenüber Behörden, sondern auch bei privaten Dienstleistern ausweisen können. Eine solche, quasi staatlich verordnete digitale Identität hätte zumindest von Anfang an die notwendige kritische Masse, um sich als Universal Login durchzusetzen.