Digital Identity

Im digitalen Leben haben wir gespaltene Persönlichkeiten. Wir kaufen auf Amazon ein, schauen Filme bei Netflix, suchen nach Informationen bei Google, telefonieren über Skype und tauschen uns auf Facebook, Twitter oder Instagram mit Freunden aus. Auf jeder dieser und der vielen anderen Seiten, die wir tagtäglich nutzen, hinterlassen wir Spuren unserer Persönlichkeit durch Nutzerprofile und Transaktionshistorien. Oft sind wir uns nicht einmal bewusst, welche Informationen wo über uns gesammelt und wie sie verwertet werden. Bis einer unserer Accounts gehackt wird oder wir in den Nachrichten vom nächsten grossen Datendiebstahl lesen. Uns Nutzern fehlt es an Kontrolle und an Sicherheit.

Stellt man die stetig wachsenden Transaktionszahlen über digitale Kanäle sowie das Bedürfnis nach grösstmöglicher Convenience in Bezug zu diesem doch recht düsteren Bild, wird klar, dass wir ein System benötigen, welches unsere Identität in digitaler Form konsolidiert und sicher verwaltet und anderen Unternehmen mit unserer Erlaubnis situativ zur Verfügung stellt, sodass wir mit nur einem Zugang statt unzähliger Logins die Freigabe transaktionsnotwendiger Informationen autorisieren und bei deren Beendigung zurückziehen können.

Finanzinstitute sind für die Bereitstellung einer solchen Identitätslösung geradezu prädestiniert. Warum das so ist, welche Bestrebungen es aktuell in der Schweiz zur Umsetzung einer digitalen Identität gibt und welche Projekte es in der Zukunft noch geben muss, diesen Fragen wollen wir in diesem Newsletter nachgehen.

Digitale Identität – ein Plädoyer

Eine nachweisbare Identität benötigen wir für alle Transaktionen, die an bestimmte Bedingungen geknüpft sind. Ob beim Abschluss eines Mobilfunkvertrags oder einer Versicherung oder bei der Beantragung eines Kredits – so gut wie jede Transaktion, die die Übertragung von sensiblen Gütern, Dienstleistungen, Informationen oder Vermögenswerten beinhaltet, erfordert den Nachweis von Identität.

Als Identität verstehen wir eine Zusammenstellung von Attributen, die eine Entität beschreiben. Entitäten können Individuen sein, aber auch rechtliche Personen oder sogar Vermögenswerte. Ihre Attribute lassen sich in die drei Kategorien inhärente («angeborene», Geburtsdatum), akkumulierte (im Verlauf der Zeit erworbene, z. B. Krankheitsgeschichte) und zugewiesene Attribute (z. B. Adresse) unterteilen, wobei die Art der relevanten Attribute sich je nach Entitätstyp unterscheidet. Die Menge an messbaren Attributen ist potenziell unbegrenzt.

Um identitätsrelevante Transaktionen durchführen zu können, bilden sich Identitätssysteme, die die für ihren jeweiligen Entstehungskontext relevanten Attribute sammeln. Beispiele sind Handelsregister, Grundbuch und Betreibungsregister, aber auch firmeninterne Identitätssysteme, die Nutzer (Angestellte, Kunden etc.) zu bestimmten Handlungen autorisieren. Die Nachteile der zersplitterten digitalen Identität sind bereits oben aufgeführt; bei physischen Identitätssystemen sind es vor allem die prozessualen Ineffizienzen sowie der Mangel an Flexibilität bei der Erfassung und Freigabe der Attribute an Dritte, die zu hohen Kosten, ungenügender User Experience, unnötiger Preisgabe transaktionsirrelevanter Information oder im entgegengesetzten Fall zur Serviceexklusion durch das Fehlen transaktionsrelevanter Information führen. Abgesehen davon sind physische Identitätsdokumente vergleichsweise leicht zu stehlen oder zu fälschen, sodass physische Identitätssysteme für ein digitales Zeitalter ungeeignet sind. Daher die Forderung nach einem umfassenden, nutzerzentrierten, flexiblen und sicheren digitalen Identitätssystem, das Nutzern die Durchführung einer grossen Bandbreite an Transaktionen mit externen Parteien ermöglicht, indem sie das Teilen der für die Transaktion relevanten Attribute auf Anfrage autorisieren können.

Finanzinstitute als Identitätsprovider

Aufgrund der Allgegenwärtigkeit von Finanztransaktionen und der hohen Sicherheitsanforderungen, die sie erfüllen müssen, sind Finanzinstitute geradezu prädestiniert, als Identitätsprovider zu agieren und die Identität von Individuen für Serviceerbringer zu verifizieren. Zum einen verfügen sie bereits heute über einen grossen Stamm an Kundeninformationen und Prozesse zu deren Überprüfung. Darüber hinaus decken sie gesamthaft bereits den grössten Teil der Bevölkerung ab und sind durch die globale Tätigkeit vieler Institute imstande, auch länderübergreifende Identitätslösungen voranzutreiben, ohne auf langwierige politische Prozesse angewiesen zu sein. Vom Kunden werden sie bereits als Intermediäre bei sensiblen Transaktionen akzeptiert; zusammen mit der extensiven Regulation des Bankensektors sind Finanzinstitute sowohl hinsichtlich ihrer Fähigkeiten als auch ihrer öffentlichen Wahrnehmung ideal für die Bereitstellung von Identitätsdienstleistungen positioniert.

Die Vorteile der Bereitstellung einer solchen Identitätslösung beschränken sich dabei nicht nur auf die Beseitigung der zuvor aufgeführten Nachteile physischer Identitätssysteme; die Identitätslösung an sich stellt eine neue Ertragsquelle dar, indem Finanzinstitute Identity-as-a-Service für externe Parteien anbieten oder neue Kunden gewinnen können, die ausser der Bereitstellung von Identitätsdienstleistungen keine Beziehung zum jeweiligen Institut unterhalten. Somit entwickelt sich das Geschäftsmodell der Finanzinstitute weiter zu dem des Trust Brokers und Identitätspartner des öffentlichen Sektors. Auch bereits bestehende Geschäftsmodelle profitieren von dieser Entwicklung, z. B. durch das Ausschalten von Informationsanbietern bei der Überprüfung der Kreditwürdigkeit oder der Verlagerung der Haftung für inkorrekte Informationen hin zum Nutzer durch Bestätigungspflichten.

Digitale Identität in der Schweiz

Die Bedeutung von Finanzinstituten für die Konzeption und Betreibung eines Systems für digitale Identität spiegelt sich im Aufbau digitaler Identitätssysteme in vielen Staaten wieder, darunter die Niederlande (iDIN), Dänemark (NemID), Kanada (SecureKey Concierge) und Finnland (TUPAS). Wie eine Bekanntgabe des Zusammenschlusses von neun Schweizer Grosskonzernen im November dieses Jahres zeigt, hat auch die Schweiz die Wichtigkeit der Inklusion von Finanzinstituten bei der Umsetzung eines solchen Vorhabens erkannt: neben Post, SBB, Swisscom und der Mobiliar befinden sich mit SIX, UBS, Credit Suisse, ZKB und Raiffeisen fünf Finanzdienstleister unter den Gründungsmitgliedern der SwissSign Group AG, die ab Januar 2018 an der SwissID, der neuen digitalen Identität der Schweiz, arbeiten wird.

Die Vorgängerversion SuisseID, die im Mai 2010 vom Staatssekretariat für Wirtschaft SECO in Zusammenarbeit mit der Post lanciert wurde, scheiterte zuvor an ungenügenden Nutzerzahlen und Anwendungsmöglichkeiten, die auf ein unausgereiftes Ertragsmodell, langwierige Antragsprüfungen und eine generell unzureichende Berücksichtigung der Bedürfnisse der Privatwirtschaft bei der Konzeption des Systems zurückzuführen sind. Im neuen System sollen alle Teilhaber an der gemeinsamen Unternehmung Identitätskarten ausstellen und die Identität ihrer Nutzer für externe Parteien verifizieren können. Momentan ist die SwissID eher noch eine Art Login für Postkunden und ab 2018 auch für SBB-Kunden, mit der Zeit soll die SwissID allerdings zu einer vollständigen Identitätslösung ausgeweitet werden, die ihren Nutzern Zugriff auf eine grosse Bandbreite an Online-Diensten bietet, und zwar mit nur einem sicheren Login. Dank elektronischer Signatur sollen durch die SwissID unter anderem auch Bankkontoeröffnung, Abschliessen eines Versicherungsvertrags oder Mobilfunkabonnements oder das Einreichen der Steuererklärung zukünftig allesamt digital möglich sein. Nutzer behalten die Kontrolle über ihre Daten und können die Datenfreigabe an externe Parteien jederzeit anpassen. Die teilnehmenden Unternehmen decken gemeinschaftlich den grössten Teil der in der Schweiz ansässigen Personen ab, was die Aussichten auf die Durchsetzungsfähigkeit des Systems in Zusammenhang mit dem neuen Ertragsmodell, das im Gegensatz zur SuisseID die teilnehmenden Online-Dienste anstelle der Privatpersonen zur Kasse bittet, wesentlich erhöht.

Abgedeckt ist der Bedarf an digitalen Identitätslösungen in der Schweiz damit allerdings nicht. Denn obwohl SwissID ein vielversprechendes Projekt für die Identitätsverwaltung von natürlichen Personen in der Schweiz ist, bleibt abzuwarten, wie ihre Umsetzung konkret aussehen wird, wie viele Services tatsächlich eingebunden werden und wie umfassend die Attributsammlung gestaltet wird. Denn je mehr Attribute über den Nutzer erfasst werden, desto mehr kann deren Freigabe die Serviceerbringung der teilnehmenden Dienstleister verbessern. Darüber hinaus werden in Zukunft auch Identitätssysteme für juristische Personen und Vermögenswerte sowie in Zusammenhang mit der voranschreitenden Entwicklung des Internets der Dinge auch für autonome Maschinen benötigt. Für Finanzinstitute lohnt es sich daher, sich mit den unterschiedlichen Möglichkeiten der Beteiligung an Aufbau und Betrieb eines solchen Systems auseinanderzusetzen sowie auch mit den dafür notwendigen Technologien, wie z. B. der Blockchain, die bereits zur Sicherung der Integrität der Identitätsdaten in Estland eingesetzt wird.

Digital Me

Das CC Sourcing beschäftigt sich in Zusammenarbeit mit den Unternehmen Synacts, MME und ti&m bereits seit längerer Zeit mit dem Thema digitale Identität. Der Prototyp «Digital Me», der die Möglichkeiten und Grenzen der Umsetzung einer digitalen Identität für natürliche Personen durch unterschiedliche Anbieter und Technologien auslotet, befindet sich zurzeit in der Umsetzungsphase. Im Rahmen des Prototyps werden nationale und globale Lösungen untersucht, staatliche und privatwirtschliche, solche, die auf einem zentralen Akteur als Identitätsprovider beruhen, und solche, die von einem Konsortium oder Joint Venture betrieben werden. Die Technologien, die dabei zum Einsatz kommen, sind die DLT-Lösungen Ethereum und Hyperledger / Corda sowie das SynactsProtokoll, untersucht werden sowohl geschlossene als auch offene Infrastrukturen. Im Mittelpunkt des Prototyps steht die Beantwortung der Frage, welche neuen Geschäftsmöglichkeiten durch digitale Identitätssysteme geschaffen werden und wie Banken ihre Geschäftsmodelle und Prozesse ausrichten müssen, um diese wahrzunehmen. Und als oberste Maxime die Bedürfnisse von uns Nutzern nach einem einheitlichen, sicheren Zugang zu möglichst vielen Online-Services bei grösstmöglicher Kontrolle über unsere Identität.

Tanja Hessel

Tanja Hessel

Tanja Hessel arbeitet seit fünf Jahren als wissenschaftliche Hilfskraft beim Business Engineering Institute St. Gallen. Zu ihren aktuellen Tätigkeitsfeldern zählen der CC Sourcing Newsletter sowie Forschung zum Thema Geschäftsmodellmuster im Ecosystem.
Tanja Hessel

Kommentar verfassen