Schon lange haben digitale Vorzeigestaaten wie Estland einen Großteil ihrer Behördengänge digitalisiert, sodass die Bürger sie bequem über das Smartphone oder den PC abwickeln können. Dagegen hinkt die deutsche Verwaltung bei der Digitalisierung deutlich hinterher. Prinzipiell hat die Bundesregierung zwar schon im Jahre 2017 mit dem Onlinezugangsgesetz zur Digitalisierung der öffentlichen Verwaltung bis spätestens Ende 2022 verpflichtet. Doch eine praktische Lösung zur Identifikation im Internet ist die Ausweisapp2 des Innenministeriums nicht, auch wenn sie immerhin den Grundstein für Behördengänge sowie Geschäfte im Internet legt.
Digitaler Identitätsnachweis für Behördengänge
Zumindest Teile der deutschen Bevölkerung sind den Behörden bei der Digitalisierung einige Schritte voraus und fordern den zügigen Ausbau der einheimischen digitalen Infrastruktur ein. Doch die Verwaltung kann, insbesondere was die Anwendungen betrifft, damit noch nicht wirklich Schritt halten. Im Zentrum der von der Verwaltung betriebenen Onlineaktivitäten stehen die digitale Identität und die Möglichkeit ihres Nachweises. Jeder Vertragsabschluss setzt voraus, dass sich die Vertragspartner zweifelsfrei und rechtskräftig ausweisen können. Insofern verspricht die Ausweisapp2, der lahmenden Digitalisierung einen willkommenen Schub zu verpassen.
Und ohne Zweifel könnte die Bevölkerung (und die Unternehmen) von einem digitalen Ausweis profitieren. Dennoch sind die damit verbundenen Risiken auch nicht zu unterschätzen – und in der öffentlichen Diskussion gelingt es bislang nur schwer, diese zu zerstreuen. Denn es steht einiges auf dem Spiel: Je mehr sich Geschäfte ins Internet verlagern, desto tiefgreifender sind die Konsequenzen eines Identitätsdiebstahls. Sollten Cyberkriminelle etwa die Kontrolle über eine fremde digitale Identität erlangen, so sind die Möglichkeiten für schwerwiegenden Missbrauch fast unbegrenzt. Erste Beispiele wie die im Fall Scalable Capital erbeuteten Ausweisdaten haben gezeigt, welche Risiken hier bestehen – angefangen bei Einkäufen auf Kosten des Opfers bis hin zu justiziablen Aktivitäten im Internet. All das kann immensen Schaden anrichten.Eine lückenlose und durchdachte IT-Sicherheitsstrategie ist deshalb unverzichtbar für eine App zum digitalen Identitätsnachweis.
Confidential Computing von Idgard schützt sensible Daten
Daten können bei ihrer Speicherung und Übermittlung effektiv durch Verschlüsselung geschützt werden, doch für die Verarbeitung ist es derzeit noch unumgänglich, sie zuvor zu entschlüsseln. Findige Cyberkriminelle sind sich dieser Tatsache bewusst und greifen gezielt jene Server an, auf denen die Datenverarbeitung stattfindet.
Um den Begehrlichkeiten, die durch die umfangreichen Missbrauchsmöglichkeiten einer Ausweisapp entstehen, einen Riegel vorzuschieben, kann man die Daten mit verschiedenen Lösungsansätzen vor einem unberechtigten Zugriff schützen. Unterm Strich haben sich hier drei Techniken bewährt: Das Confidential Computing auf Prozessorebene ist eine von Intel, Google und Co. entwickelte Technik, die Code vor seiner Verarbeitung auf gesonderte Speicherenklaven der speziell dafür ausgelegten Prozessoren auslagert. Das gewährleistet sicheren Schutz. Beim Confidential Computing auf Serverebene, dem „Sealed Computing“, wie es beispielsweise das Münchner IT-Security-Unternehmen Uniscon (bekannt für den Cloud-Dienst Idgard) anbietet, werden die Daten vor ihrer Verarbeitung auf einen versiegelten Server („Sealed Cloud“) übertragen. Dort lassen sie sich sicher vor Fremdzugriffen entschlüsseln und verarbeiten. Der Secure-Cloud-Provider will mit seiner Sealed-Cloud-Plattform eine sichere Ausführungsumgebung für Webanwendungen mit hohem Sicherheitsbedarf und hohen Datenschutzanforderungen ermöglichen. Auf diese Weise sollen Manipulation oder Diebstahl von vornherein ausgeschlossen werden.
Eine weitere Technologie, die den Zugriffsschutz in den nächsten Jahren revolutionieren könnte, ist die Blockchain. Dieser Ansatz wird beispielsweise beim geplanten digitalen Impfnachweis zum Einsatz kommen, indem die gesammelten und anonymisierten Daten verschlüsselt auf insgesamt fünf verschiedenen Blockchains hinterlegt werden. Die Tatsache, dass die politischen Verantwortungsträger erkannt haben, dass lückenloser Datenschutz auch die verwundbare Datenverarbeitung abdecken muss, lässt darauf hoffen, dass auch künftige Projekte auf Bundesebene mit vergleichbaren Sicherheitsmaßnahmen versehen werden.
Vertrauen steht auf dem Spiel
Gerade bei den zentralen personenbezogenen Daten und einem so mächtigen Instrument wie einer digitalen Ausweisfunktion sollten keine unnötigen Risiken eingegangen werden. Denn das Beispiel der Corona-Warn-App hat gezeigt, dass gerade in Deutschland eine Lösung nicht nur vordergründig datenschutzgerecht sein muss, sondern dass es auch darauf ankommt, dass die Bevölkerung das großflächig so wahrnimmt. Dazu sollten alle möglichen Vorsichtsmaßnahmen bedacht und die effektivsten Techniken zur Absicherung der digitalen Identität implementiert werden. Soll das ambitionierte Projekt Ausweisapp2 zur Erfolgsgeschichte werden, muss auf das empfindliche deutsche Vertrauen in öffentliche Digitalisierungsprojekte Rücksicht genommen werden. Davon abgesehen trifft man hier bei der Implementierung von Services, etwa von Versicherungen oder Banken, auf das Henne-Ei-Problem: Die Unternehmen setzen auf eine derartige Lösung nur, wenn sie erwarten können, dass ein Teil der Gesellschaft diese auch nachfragen wird. Und die Verbraucher werden so etwas nur nutzen, wenn sie zum einen der Technik vertrauen und zum anderen die angebotenen Lösungen attraktiv und nutzwertig finden.