Skip to main content

We have a tailored site for international audiences

Blog

Was ist eine digitale Identität?

Und wie kann Ihr Unternehmen durch die Nutzung von digitale Identitäten wachsen? Lesen Sie den umfassenden Leitfaden.

Fragen zur digitalen Identität

In der zunehmend digital geprägten Welt muss die Kundenerfahrung nahtlos und vollständig personalisiert sein. In einer immer noch weitgehend papierbasierten Welt ist der Nachweis einer Identität ziemlich unkompliziert. Wenn jemand persönlich erscheint, um ein Bankkonto zu eröffnen, einen Telefontarif zu kaufen, einen Reisepass zu aktualisieren oder ein Auto zu mieten, muss er lediglich einen Ausweis vorzeigen: einen Reisepass, einen Führerschein oder einen von der Behörde ausgestellten Ausweis. Dem Unternehmen ist dann klar, dass sie genau die Person sind, für die sie sich ausgeben, da dies persönlich bestätigt wird.

Genau dieser Nachweis, wer man ist, wird in der digitalen Welt viel komplexer. Sie wissen nicht sicher, mit wem Sie Geschäfte machen. Der Kunde ist nicht physisch anwesend, um einen Ausweis vorzulegen und sein Gesicht zu zeigen. Eine digitale Identität bietet nun eine Möglichkeit, zu überprüfen, ob eine Identität mit der Identität in der realen Welt übereinstimmt. Ziel ist es sicherzustellen, dass Sie es auch wirklich mit der richtigen Person zu tun haben.

Kurt Rindle, Solutions Sales Director DACH von Signicat, nennt im Gespräch mit IT-Fachredakteur Peter Knoll nur einige der guten Gründe, die für eine Zusammenarbeit mit Signicat sprechen.

1. Was ist eine digitale Identität?

Eine digitale Identität ist die Gesamtheit an Informationen über eine Person in digitaler Form. Fügt man diese Attribute zusammen, dann weisen sie darauf hin wer diese Person ist. Überall dort, wo jemand über Anmeldedaten verfügt, besitzt er eine digitale Identität. Das kann alles sein, von einer Facebook-Identität über eine Netflix-Identität bis hin zu einer Bank-Identität. All dies sind digitale Präsenzen einer Person in der digitalen Welt. Die jeweiligen Diensteanbieter wissen in unterschiedlichem Maße, wer die wirkliche Person ist.

Wenn auch Ihr Unternehmen in die digitale Welt einsteigen möchte, müssen Sie zumindest etwas darüber wissen wer Ihr Benutzer oder Kunde ist. Dies hängt natürlich von den jeweiligen Vorschriften und Risiken ab, denen Ihr Unternehmen unterliegt. Wenn Sie zum Beispiel eine Bank sind, unterliegen Sie dem Know-your-Customer-Prinzip (KYC), wodurch eine Identitätsprüfung zwingend erforderlich ist. Auf hohem Niveau ist dieses Vorgehen zur Bekämpfung von Terrorismus und Sklaverei gedacht. Aber wenn Sie z. B. Blumen verkaufen, brauchen Sie nicht allzu viel über Ihren Kunden zu wissen. Wichtig ist nur, ob seine Zahlungsdaten korrekt sind und an welche Adresse die Blumen geschickt werden sollen. In einem solchen Fall sind Sie natürlich rechtlich nicht verpflichtet viel über den Kunden zu wissen, trotzdem wäre es für Ihr Unternehmen von Vorteil, wenn Sie den Kunden, aufgrund seiner digitalen Identität, beim nächsten Einkauf wiedererkennen. Auf diese Weise können Sie dem Kunden einen individualisierten Service anbieten, der ihn an Ihr Unternehmen bindet.

2. Wer bin ich in der digitalen Welt?

Digitale Attribute und Online-Aktivitäten bilden eine digitale Identität. Die Informationen, die eine digitale Identität ausmachen, werden als "Datenpunkte" oder "Attribute" bezeichnet. Bei diesen Attributen kann es sich um etwas handeln, das offensichtlich auf eine Person hinweist, wie z. B. ein Benutzername oder eine nationale Identifikationsnummer. Es können aber auch weniger offensichtliche Informationen sein, wie z. B. ein Online-Kommentar oder ähnliches, der in einem Beitrag auf Facebook gemacht wurde. Genauso wie ein Name und eine ID in der physischen Welt eine Identität ausmachen, besteht eine Online-Identität aus Social-Media-Profilen, dem geografischen Standort, einem Google-Suchverlauf und allem anderen, was jemand online tut.

3. Eine digitale Identität sollte einem digitalen Reisepass entsprechen

Attribute wie Benutzernamen, Passwörter und Kreditkartennummern werden regelmäßig weitergegeben, um z. B. Artikel online zu kaufen oder auf ein Bankkonto zuzugreifen. Das Teilen dieser Informationen bedeutet natürlich auch, dass die Benutzer einem höheren Risiko des Identitätsdiebstahls ausgesetzt sind. Die verstärkte Nutzung von Online-Diensten hat zwar sowohl für Unternehmen als auch für Verbraucher vieles zum Besseren verändert, aber dieser Trend birgt auch ein enorm hohes Risiko.

In den letzten 30 Jahren wurden Gesetze zur Bekämpfung der Geldwäsche (GwG) eingeführt, die Kriminelle daran hindern sollen, illegal erworbene Gelder als rechtmäßiges Einkommen zu verschleiern. Es wurden darüber hinaus auch "Know your Customer"-Gesetze (KYC) eingeführt, d. h. ein Prozess, der die Überprüfung der wirtschaftlichen Lage der Finanzindustrie zum Ziel hat. Damit soll sichergestellt werden, dass die Anlageberater über detaillierte Informationen zur Risikotoleranz und der finanziellen Lage einer Person verfügen. Aufgrund einer Reihe von Gesetzen und Vorschriften kann die Prüfung und Verifikation einer Identität in eigener Regie sehr kostspielig und zeitaufwendig sein.

Kredit- und Debitkarten-Nummern werden zumeist sicher verwahrt und kommen erst zum Einsatz, wenn Zahlungen autorisiert werden. Sichere Ausweise (Papierdokumente) werden auch nur genutzt, wenn etwas über die Person nachgewiesen werden soll. Ganz ähnlich zu einem Reisepass sollte eine digitale Identität funktionieren, um den teuren und langwierigen Prozess zur Verifizierung zu vermeiden. Eine verifizierte digitale Identität ist das digitale Äquivalent zu einem Reisepass. Beide würden die Möglichkeit eines Identitätsdiebstahls verringern.

4. Wofür wird eine digitale Identität verwendet?

Onboarding

Das Onboarding, d. h. der erste Kontakt mit einem potentiellen Kunden, ist ein unglaublich wichtiger Moment auf der „Customer Journey“. Wenn SaaS-Unternehmen (Software as a Service) einen neuen Kunden gewinnen, ist die Onboarding-Erfahrung für die zukünftige Beziehung mit dem Produkt/der Dienstleistung bestimmend. Dieser Moment entscheidet zumeist über die Weiterführung einer Kundenbeziehung. Damit der Kontakt aber fortgeführt und gepflegt werden kann, muss natürlich die Identität der Person bekannt oder auch geprüft sein.

Laut einer Studie von Signicat über das digitale Onboarding von Kunden im Retail-Bankgeschäft haben fast 40 % ihren Versuch, sich für neue Finanzdienstleistungen anzumelden, abgebrochen. Rund 72% der Befragten gaben an, dass sie sich ein volldigitales Onboarding-System wünschen. Dies liegt einfach daran, dass die derzeitige digitale Identitätsprüfung ineffizient und kostspielig ist. Dies hemmt den digitalen Fortschritt, da die Kunden gezwungen sind ihre Identität offline nachzuweisen, indem sie ihren Ausweisdokumente vorzeigen müssen.

Anmeldung

Nach dem erfolgten Onboarding-Prozess kann der Benutzer seine Kundenbeziehung kontinuierlich aufbauen. Jetzt geht es darum, dass der Benutzer immer wieder als dieselbe wiederkehrende Person erkannt wird. Wenn Sie als Unternehmer allerdings nicht wissen welche Kunden immer wieder zu Ihrem Angebot zurückkehren, dann wird es schwierig einen individuellen Service anzubieten. Damit entgeht Ihnen die Möglichkeit den Kunden langfristig an Ihr Unternehmen zu binden.

Elektronische Unterschriften

Der Markt für digitale Signaturen wird im Jahr 2020 um 39% (P&S Intelligence) wachsen. Daher ist es wichtiger denn je, dass digitale Signaturen sicher und verifiziert sind.

Die Verwendung von elektronischen Signaturen vereinfacht die Art und Weise wie Vereinbarungen getroffen werden. Der Ablauf sollte vollständig digital und dabei noch einfach sein. Das spart Zeit und Kosten. Zeit, da keine physischen Dokumente mehr verschickt werden müssen und Kosten durch die Vermeidung von manueller Arbeit.

Die wichtigste Information bei einer digitalen Signatur ist das Wissen, wer unterschrieben hat. Aus diesem Grund benötigen Sie eine Form der digitalen ID. Wenn ein Kunde ein Dokument mit seiner digitalen Signatur signiert, müssen Sie sicher sein, dass er auch derjenige ist, für den er sich ausgibt. Nur so kann das Risiko eines Verstoßes oder irgendeiner Art von Betrug verringert werden.

Überprüfung von Attributen

Digitale Attribute definieren Ihre digitale Identität. Aus diesem Grunde sollte es nicht notwendig sein Ihre gesamte Identität preiszugeben - nur das, was absolut notwendig ist. Ein Attribut könnte beispielsweise die Tatsache sein, dass Sie einen Führerschein besitzen, dass Sie verheiratet sind oder dass Sie Arzt sind. Auch das Alter ist ein Attribut und dies wird gelegentlich abgefragt, um zu beweisen, dass ein Kunde ein bestimmtes Alter überschritten hat. Beispielsweise müssen Sie oftmals Ihren Führerschein vorzeigen, um Alkohol kaufen zu können. Dieser enthält Ihr genaues Geburtsdatum sowie Ihren vollständigen Namen und möglicherweise auch Ihre Nationale Identifikationsnummer (NIN). Um ein Attribut digital nachzuweisen, ohne alle Ihre Informationen preiszugeben, benötigen Sie eine digitale Identitätsprüfung.

In Norwegen zum Beispiel dürfen vom Gesetz aus Sonnenstudios nur von Personen über 18 besucht werden. Da diese Studios zumeist per Selbstbedienung betrieben werden, muss ein Kunde bereits vor dem Einlass seine Karte mit einem QR-Code scannen und die Zahlung veranlassen. Wie kann man mit diesem Vorgehen nachweisen, dass man über 18 Jahre alt ist? Sie verwenden eine elektronische Identität (eID), in diesem Falle die BankID, eine Identifikationslösung, die es Unternehmen, Banken und Regierungen ermöglicht, Verträge mit Einzelpersonen online zu authentifizieren. Im Falle des Sonnenstudios übermittelt die BankID ausschließlich die Information, dass der Benutzer über 18 Jahre alt ist- keine weiteren persönlichen Daten.

5. Was ist eine verifizierte digitale Identität?

Die digitale Identität ist ein recht allgemeiner Begriff für alle über Sie verfügbaren digitalen Informationen. Im Gegensatz dazu ist eine verifizierte digitale Identität eine von einem vertrauenswürdigen Diensteanbieter ausgestellte Identität. Dies setzt voraus, dass Sie jemanden physisch treffen und Ihren Reisepass oder ein anderes Ausweisdokument vorlegen, welches den hohen Anforderungen an die eIDAS entspricht.

Digitale Identitäten können auf Informationen basieren, die vollständig vom Kunden zur Verfügung gestellt wurden, ohne dass eine Überprüfung durch Dritte erforderlich ist. Dadurch sind sie nicht verifiziert, wie z. B. ein Facebook-Konto. Es besteht aber auch die Möglichkeit einer GwG-konformen (GeldwäscheGesetz) Identitätsprüfung und -validierung durch einen eID-Diensteanbieter oder einer Bank, die zu einer verifizierten digitalen Identität führt.

Eine verifizierte digitale Identität benötigen Sie, wenn Sie täglich mit Kunden verhandeln und mit Ihnen Verträge abschließen müssen.

6. Was ist eine eID?

Eine eID (elektronische Identität) ist eine digitale Lösung, die sich zum Ziel gesetzt hat, die Identität von Bürgern oder Organisationen nachzuweisen. Eine eID ist bequemer und sicherer als ein herkömmlicher Identitätsnachweis. Gleichzeitig genießt sie aber dasselbe Vertrauen, das Sie mit Formularen wie Reisepässen oder einem Führerschein erhalten würden. Eine eID gibt den Benutzern die volle Kontrolle über Anfragen bezgl. identitätsbezogener Daten zur Genehmigung ihrer Transaktionen. Und das direkt von ihrem Smartphone oder ihrer Karte aus! Sie können spezifische Identitätsdetails, die für jede Transaktion erforderlich sind, freigeben, ohne sich Sorgen zu machen, ob die restlichen Informationen übermittelt werden.

Kunden können sich mit ihrer eID mühelos und komplett online für verschiedene Services anmelden. Das bedeutet aber auch, dass sich Kunden nicht mehrere Benutzernamen und Authentifizierungsverfahren merken müssen. Stattdessen können sie sich einfach auf ihre eID - eine standardisierte Anmeldung - verlassen, um Zugang zu allen Informationen im öffentlich als auch privaten Sektor zu erhalten. Eine eID umfasst Lösungen wie z. B. die BankID in Schweden. Diese eID entstand, nachdem nordische Banken eine gemeinschaftliche Lösung wollten, um sowohl Kunden zu identifizieren als auch sichere digitale Signaturen online erstellen zu können. Mit Hilfe der BankID werden Kreditkarten und Bankkonten verwaltet und sogar Angelegenheiten des öffentlichen Sektors, wie das Einreichen von Steuern, den Zugriff auf Gesundheitsdaten und die Unterzeichnung von Verträgen, geregelt. Gute Beispiele für diese Art von eID-Systemen sind BankID in Norwegen, NemID (demnächst MitID), BankID in Schweden und FTN in Finnland.

Eine Lösung wie BankID oder andere Arten einer eID bedeuten, dass die Identität eines Kunden durch diese Bank oder einer anderen Organisation überprüft wurde. Die Organisation überprüft die Identität, indem der Pass oder ein anderes Ausweisdokument persönlich vorlegt wird, um zu beweisen wer die Person ist. Im Anschluss folgt der KYC-Prozess (Know your Customer) woraufhin eine elektronische ID ausgestellt wird, welche die Person mit der eID verbindet. Diese eID kann dann für verschiedenste Dienste und unterschiedlichen Kanäle wiederverwendet werden, darunter Banken, Versicherungen, Universitäten und sogar Sonnenstudios! Wenn die eID einmal sicher verifiziert wurde, wird sie danach überall anerkannt, wo sie verwendet wird.

Die Verwendung einer verifizierten digitalen Identität eines Drittanbieters, bedeutet für Sie als Unternehmen, dass Sie die Identitäten nicht mehr selbst verifizieren müssen. Sie können sich auf die Identitätsprüfung des eID-Anbieters verlassen, z. B. in Deutschland auf yes® und Verimi.

8. Was ist eIDAS?

Die eIDAS (Electronic Identification, Authentication and Trust Services) ist eine EU-Verordnung über elektronische Identifizierungs- und Vertrauensdienste für elektronische Transaktionen. Sie ermöglicht es Bürgern innerhalb Europas, Geschäfte unter Verwendung ihres nationalen eID-Systems abzuwickeln.

Dies bietet eine gemeinsame Grundlage für sichere elektronische Interaktionen zwischen den EU-Mitgliedsstaaten. Elektronische Signaturen können gemäß des gewünschten Sicherheitslevels sowohl fortgeschrittene- oder auch digitale- Signaturen sein, aber beide werden durch diese Verordnung geregelt. Gemäß den eIDAS-Bestimmungen müssen Trust Service Provider (TSPs), wie z. B. eine BankID oder auch Signicat, von einem leitenden Organ überprüft werden, um sich zu qualifizieren. Ein qualifizierter Trust Service Provider (QTSP) zu sein bedeutet, dass der Anbieter sicher und vertrauenswürdig ist. Wenn Sie es mit einem QTSP zu tun haben, ist die Beweislast umgekehrt. Bei den meisten Services muss der Nutzer, wenn es ein Problem gibt, darüber genau Auskunft geben und bei dem jeweiligen Service Einspruch erheben. Wenn Sie es jedoch mit einem qualifizierten TSP zu tun haben, können Sie den QTSP auffordern, den Nachweis zu erbringen, dass der Dienst sicher ist und den Anforderungen entsprechend funktioniert. Dies schafft ein höheres Maß an Vertrauen in den Service.

Eine kürzlich von der Europäischen Union für Netz- und Informationssicherheit (ENISA) durchgeführte Studie hat gezeigt, dass 90 % der Befragten mit Hilfe von eIDAS eine Möglichkeit sehen, ihr Geschäft auszubauen.

Die eIDAS-Verordnung verfügt über Klassifizierungen, die auf der Grundlage von Vertrauen und Zuverlässigkeit basieren und dadurch den Grad an gebotener Sicherheit der verschiedenen eID-Anbieter aufzeigen.

Das Vertrauensniveau kann eine von drei Stufen annehmen - niedrig, substantiell und hoch:

  1. Niedrig: Dies bietet ein sehr begrenztes Vertrauen in die Identität. Sie können davon ausgehen, dass der Aussteller der digitalen Identität über Beweise für die Identität des Benutzers verfügt. Ein Beispiel hierfür ist Facebook oder Google. Ein Kunde, der sich mit seinem Facebook-Konto anmeldet, übermittelt eine gute Vorstellung davon, wer diese Person ist, aber sicher kann man nicht sein. Es ist einfach, gefälschte Konten in sozialen Medien zu erstellen, was bedeutet auch, dass die Person im Netz möglicherweise nicht die ist, für die sie sich ausgibt.
  2. Substantiell: Diese Stufe beinhaltet ein strengeres Verfahren bei der Identitätsprüfung, denn der Benutzer muss ein gültiges, offizielles Dokument zum Nachweis seiner Identität besitzen, wie z. B. einen Reisepass. Somit ist es gleichwertig mit einer elektronischen Version eines Reisepasses oder Führerscheins.
  3. Hoch: Diese Stufe erfüllt viele der gleichen Anforderungen wie die substantielle Sicherheit. Der hohe Sicherheits-Level garantiert darüber hinaus eine eindeutige Verbindung zur richtigen Person und eine absolut zweifelsfreie Verifizierung. Diese Voraussetzungen werden zum Beispiel im Gesundheitswesen oder bei digitalen IDs von Banken erfüllt.

Eines der größten Risiken für die Zukunft der digitalen Identitäten besteht darin, sich auf ein einfaches Verfahren, welches nur die Eingabe des Benutzernamen und Passwortes beinhaltet, zu verlassen. Jeder hat mittlerweile so viele Online-Logins, dass man den Überblick über seine Anmeldedaten verliert. Aufgrund dessen werden dieselben Passwörter gerne immer und immer wieder verwendet. Schwache und wieder verwendete Passwörter sind jedoch leichte Ziele für Cyberkriminelle. Um ein gutes Level an Sicherheit zu erreichen, sollte zumindest eine Zwei-Faktor-Authentifizierung verwendet werden, wie etwa ein Passwort und ein Aktivierungscode.

9. Wie kann eine digitale Identität beim Wachstum helfen?

Eine beträchtliche Anzahl von Verbrauchern unterschreibt Bankformulare oder andere Anträge bereits online. Es wird erwartet, dass jeder der Schritte in diesem Prozess digitalisiert wird. Die gesamte „Customer Journey“ muss digitalisiert sein, um den Prozess zu beschleunigen, Kosten zu sparen und sogar die Reichweite des Unternehmens zu vergrößern. Digitale Prozesse machen vor keinen geografischen Grenzen halt.

10. Was ist der „Digital Identity Lifecycle“?

Wenn Sie ein Unternehmen aufbauen, sollten Sie jeden einzelnen digitalen Schritt Ihres Kunden im Auge behalten. Es geht nicht nur um das digitale Onboarding und Login - die gesamte „Customer Journey“ muss berücksichtigt werden. Es gibt vier Aspekte dieser „Customer Journey“ oder des „Digital Identity Lifecycle“ auf die wir im Folgenden eingehen:

Kennenlernen des Kunden

Der erste Schritt ist das Kennenlernen Ihres Kunden. Das geschieht indem die Person sich online registriert und Sie sicherstellen, dass es sich um die Person handelt, für die sie sich ausgibt.

Dies ist ein typischer Anwendungsfall für die Nutzung einer eID, damit Sie auch sicher wissen wer Ihr Kunde ist. Wenn der Benutzer keine eID besitzt, müssen in diesem Schritt Ausweisdokumente gescannt und ein Selbstporträt aufgenommen werden.

Validieren Sie den Benutzer

Beim zweiten Schritt handelt es sich um die Validierung der Nutzer. Selbst wenn Sie wissen wer die Nutzer sind, können Sie nicht wirklich sicher sein, ob sie auch Ihre Verpflichtungen erfüllen werden.

Vielleicht existiert eine schlechte Bonitätshistorie oder es gab eine Reihe ungewöhnlicher Aktivitäten - all diese Informationen werden bei der Validierung des Benutzers aufgedeckt. Um den Vorgaben des GwG (GeldwäscheGesetz) nachzukommen, müssen Sie prüfen, ob es sich um Nutzer mit prominenten öffentlichen Funktionen oder um eine politisch exponierte Person (PEP) handelt. Das würde bedeuten, dass zusätzliche Prüfungen des Benutzers durchgeführt werden müssen. Sie sollten die Nutzer in jedem Fall regelmäßig überprüfen – denn das dient dem Schutz Ihrer Person und Ihres Unternehmens.

Kunden bedienen/authentifizieren

Als Dienst am Kunden bezeichnet man die reibungslose, einfache online Anmeldung bei einem Anbieter. Der Nutzer kommt zurück, übermittelt seine Daten und diese werden von Ihrem Service authentifiziert. Auf diese Weise stellen Sie sicher, dass es sich um die gleiche Person handelt, die das gleiche Konto nutzt, für das sie sich ursprünglich registriert hat.

Kunden verpflichten

Dies ist der Fall, wenn der Kunde ein Kredit-Vertrag unterzeichnet, ein Auto mietet, ein Haus o. ä. kaufen möchte, dem der Kunde schriftlich zustimmen muss. Um den Kauf durchzuführen, benötigt er eine verifizierte digitale Identität, mit der er sich an das Unternehmen rechtlich bindet. Dies erfolgt in der Regel durch die Nutzung einer elektronischen Unterschrift.

Wenn Sie den kompletten Lebenszyklus beobachten, werden Sie feststellen, dass Sie mit verifizierten digitalen Identitäten eine bessere Benutzererfahrung generieren. Die Betrachtung der gesamten Interaktionen zwischen Kunden und Unternehmen ist die einzige Möglichkeit, das Wachstum des Unternehmens zu fördern und den Kunden zu halten.

Sie müssen es schaffen online Vertrauen aufzubauen - das ist der einzige Weg, damit ein Unternehmen digital wächst. Bei der Anmeldung für einfachste Produkte oder Services müssen Nutzer immer wieder Online-Formulare mit persönlichen Informationen ausfüllen. Dies ist nicht nur frustrierend und ineffizient, sondern kann auch zu ernsthaften Sicherheitsproblemen führen.

Eine verifizierte digitale Identität löst diese Probleme für Sie, denn sie kann sicherstellen, dass Ihre Kunden genau die sind, für die sie sich ausgeben. Das hilft auch bei der Kundenbindung, denn es wird keine unnötige Zeit mit Anmeldungen und Online-Formularen verschwendet. Damit ist Ihr Unternehmen einen ganzen Schritt näher an zufriedenen Kunden, egal wo genau Sie sich auf Ihrer „Customer Journey“ gerade befinden.

Wenn Sie zu dem Thema gerne weitere Informationen hätten, dann lesen Sie unseren Blog oder sprechen Sie uns an (Kurt.Rindle@signicat.com).