Digitale Identitäten als Ausweis

Wie ist aktuell der der Stand der Dinge? Kann ich in allen genannten Ländern als Bürger einen physischen respektive digitalen Ausweis bestellen und damit elektronisch unterschreiben sowie Dienstleistungen der öffentlichen Verwaltung in Anspruch nehmen?

Österreich hat klar die Nase vorn. Das Land verfügt mit der Bürgerkarte, auch A-TRUST genannt, seit rund 20 Jahren über ein System, um Ausweise auch in digitaler Form zu erstellen. Seit rund 10 Jahren stellt man von der klassischen SmartCard auf eine Handy-Signatur um, neu auch mit dem Namen ID Austria. Damit hat man den perfekten Brückenschlag zwischen physischen und elektronischen Ausweisen erreicht, ergänzt durch die Möglichkeit der elektronischen Signatur.

Die Schweiz hatte auf gesetzlicher Ebene ebenfalls 2003 mit dem ZertES gestartet, worauf die ersten privaten Herausgeber von digitalen Identitäten unter dem Namen SuisseID auf dem Markt erschienen, sich aber nie richtig durchsetzen konnten. Im Jahre 2021 durfte die Schweizer Bevölkerung darüber abstimmen, ob weiterhin für digitale Signaturen und neu auch für digitale Ausweise auf die private Schiene setzt, was mit rund 64% entschieden abgelehnt wurde. Seitdem „muss“ der Staat sich parallel zu den privaten Anbietern um den Aufbau einer „offiziellen“ E-ID kümmern. Private Anbieter wie beispielsweise die SwissID agieren weiter auf dem Markt, um elektronische Signaturen auf dem Handy anzubieten, welche auch für Login-Verfahren genutzt werden können, jedoch nicht als Ausweise angedacht sind.

In Deutschland ist lange so gut wie nichts gegangen. Die Bundesdruckerei hatte von 2010 bis 2017 den neuen physischen Personalausweis mit elektronischem Zertifikat angeboten und jetzt aber mit der „Sign-Me“ Anwendung der d.trust vom Medium des physischen Ausweises abgekoppelt. Sprich der Ausweis dient nur noch als sichere Identifikation via NFC, um die Sign-Me App einzurichten, mit welcher man dann digital unterschreiben kann. Die d.trust unterliegt wie die A-TRUST ebenfalls der eIDAS Verordnung der EU.

Was ist wichtig bei der elektronischen Signatur?

Es gibt verschiedene „Stufen der Beweiskraft“. Der Goldstandard ist die Qualifizierte Elektronische Signatur (QES), welche per Gesetz der handschriftlichen Signatur gleichgestellt ist. Die A-TRUST, die d.trust sowie auch die SwissID (auch die ehemalige SuisseID) erreichen diesen Standard. Nur mit einer QES können wichtige Geschäfte wie das Unterschreiben eines Mietvertrages oder ein Behördengang digitalisiert werden. Weiter bietet QES auch eine gesicherte, verlässliche und eindeutige Auskunft zur Identität.

Zur Sicherheit könnte ich also digitale Ausweise verschiedener Staaten erlangen?

Achtung, dies ist nicht überall möglich. Grundsätzlich holt man sich den Ausweis dort, wo man wohnhaft ist. Seit dem Jahr 2022 stellt Österreich mit der xIDENTITY auch digitale Identitäten für Personen aus, welche keinen Wohnsitz in Österreich haben. Per 2021 hat Deutschland eine eID Karte ohne Lichtbild für Personen aus EU und EWR Mitgliedländern lanciert. Früher hatte nur Estland ein solches Verfahren. Die sogenannte e-Residency ist seit 2014 für sämtliche natürliche Personen weltweit beantragbar und noch immer ein Renner, zumal der Preis von 120 Euro für 5 Jahre sehr übersichtlich ist. Mit diesen erwähnten digitalen Ausweisen (welche für den klassischen physischen Bereich kaum zu gebrauchen sind) erhält man eine QES.

Welche Hausaufgaben muss ich für meine Mitarbeitenden hinsichtlich Identity-/Access-Management (IAM) als Unternehmen erledigen?

Man muss zuerst entscheiden, ob a) die betreffenden Personen die Identität selbst beantragen und ins Unternehmen einbringen (BYOI) oder b) ob man einen Enterprise Service nutzt.

a) Wenn man die leitenden Mitarbeitenden anhält, z.B. eine A-TRUST zu beschaffen, sollte man nebst der Kostenübernahme auch die jeweilige Seriennummer im IAM System eintragen. Damit stelle ich den Audit-Trail sicher, was alles rechtskräftig unterschrieben wurde.

b) Bei einer Enterprise Lösung kann man auf Anbieter wie z.B. DocuSign oder Adobe Sign setzen, welche unterdessen reine Cloud-Dienste sind. Diese erlauben das massenhafte Ausstellen auch von QES für Mitarbeitende eines Unternehmens. In diesem Falle ist es unumgänglich, den entsprechenden Anbieter an das IAM System anzubinden, um z.B. die Erstellung der Identität oder auch die zeitlich pünktliche Revokation von Mitarbeitenden zu ermöglichen.

Was bringt die Zukunft?

(Lacht) Immer mehr Personen, welche sich mit elektronischen Ausweisen (ausgegeben durch eine hoheitliche oder private Stelle) im digitalen Raum bewegen, werden sich mit den Ausweisen einloggen und mit der darauf befindlichen QES unterschreiben wollen.