Mit ihrem Projekt eIDAS kommt die EU ihrem Ziel näher, nicht nur eine digitale ID, sondern eine digitale Brieftasche für alle zu schaffen. Die Rückmeldungen zu einem Rahmenentwurf zeigen Vor- und Nachteile der bisherigen Umsetzungspläne. Finnland wird voraussichtlich seine nationale digitale ID einführen, um der EU-Vision zu entsprechen, während die Schweiz – eine Nicht-EU-Insel in einem Meer von Mitgliedsstaaten – über ein eigenes digitales Identitäts-Ökosystem nachdenkt.
Erste Ergebnisse zur Einführung von eIDAS
Unternehmen, Fachleute und Wissenschaftler aus dem Bereich der digitalen Identität haben Rückmeldungen zu den von der eIDAS-Sachverständigengruppe erstellten Unterlagen darüber gegeben, wie digitale Identitäten und Geldbörsen in der gesamten Europäischen Union integriert und vertrauenswürdig werden könnten. Die Rückmeldungen zum Entwurf des Architektur- und Referenzrahmens (ARF) wurden von der Beratungsfirma SGM Consultancy zusammengetragen, wie ihr Vorsitzender Stephane Mouy in einem LinkedIn-Post bekannt gab.
Die Bewertungen sind breit gefächert und gründlich, von Empfehlungen zur Änderung einzelner Wörter oder Diagrammpfeile im ARF-Entwurf bis hin zu grundlegenden Problemen bei der Einführung digitaler Geldbörsen und Fragen wie der, wer die Prüfer verifizieren wird. Als eine Sammlung von Rückmeldungen könnte sie über das eIDAS-Projekt der EU hinaus für ähnliche Systeme auf der ganzen Welt nützlich sein, ebenso wie für bevorstehende Pilotprojekte für reale Anwendungsfälle digitaler Geldbörsen.
Die Abschnitte über qualifizierte elektronische Signaturen, Siegelanbieter oder qualifizierte Vertrauensdiensteanbieter und ihre Interaktion mit nicht qualifizierten Anbietern wurden besonders positiv aufgenommen.
Evernym, dessen vollständiger Kommentar und Feedback auf seiner Website zu finden ist, hält es für eine verpasste Gelegenheit, dass es kein einheitliches Zertifizierungssystem für Geldbörsen gibt, das in der gesamten EU funktioniert, so dass eine Geldbörse nur einmal zertifiziert werden müsste.
„Um sich auf die EUDI-Wallet verlassen zu können, müssten die vertrauenden Parteien den Mitgliedstaat, in dem sie niedergelassen sind, und ihre Absicht, dies zu tun, informieren“, ist umstritten, und mehrere Experten fragen, ob dies den privaten Sektor von der Teilnahme abhalten wird.
Eric Verheul ist der Ansicht, dass die im Entwurf vorgeschlagene Verwendung von vertrauenswürdigen Ausführungsumgebungen auf die Apple Secure Enclave und die hardwaregestützten Schlüsselspeicher von Android hinweist. Es gibt jedoch keine Klarheit darüber, wie der eIDAS High Authentication Mechanism damit zusammenarbeiten würde.
Nick Mothershaw vom Open Identity Exchange (OIX), der selbst versucht, über GAIN einen globalen Vertrauensrahmen zu schaffen, erklärt, dass der ARF nicht die Datenstandards abdeckt, die für jedes abgedeckte Attribut erforderlich sind.
„Die EUDI Wallet Architecture and Reference Framework ist gut auf das neue Trust Framework for Smart Digital ID von OIX abgestimmt und somit auf dem besten Weg zum Erfolg“, so Mothershaw in einer E-Mail an Biometric Update. „Ein Schlüsselbereich, der dem ARF hinzugefügt werden muss, ist der der Datenstandards. Wenn EUDI Wallets aus verschiedenen Mitgliedsstaaten unterschiedliche Datenformate mit unterschiedlichen zulässigen Werten haben, ist eine nahtlose Interoperabilität unmöglich. Das OIX arbeitet an Empfehlungen für globale Datenstandards für Digital ID und lädt Vertreter der EU-Expertengruppe ein, sich uns anzuschließen, wenn wir diese wichtige Arbeit abschließen.“
Mastercard hofft auch, dass EUDI mit internationalen Standards vollständig interoperabel sein wird.
In jedem Bereich können Experten, die sich zu den Meinungen anderer Experten äußern, bis in alle Ewigkeit tätig sein. Die Rückmeldungen sind jedoch konstruktiv und weisen auf mögliche Fehler im Entwurf hin, ohne dabei lose Fäden oder Verallgemeinerungen zu hinterlassen.
Die Expertengemeinschaft wünscht sich viel mehr Klarheit, Details, Beispiele und letztendlich mehr Standardisierung auf EU- statt auf Länderebene, wenn 27 Mitgliedsstaaten ihre Programme zur digitalen Identität harmonisieren wollen. Cybernetica schlug auch Änderungen am Text vor, um sicherzustellen, dass neue Technologien berücksichtigt werden können, sobald sie auftauchen.
In der Zwischenzeit wird die Gemeinschaft auch dabei helfen müssen, der europäischen Bevölkerung das System zu erklären – eine ganz andere Herausforderung.
Finnlands CSC unterstützt die Vorschläge der Regierung für einen nationalen digitalen Personalausweis
Das einflussreiche CSC, das finnische IT-Zentrum für Wissenschaft, hält die Vorschläge der finnischen Regierung für eine nationale digitale Identität im Allgemeinen für gerechtfertigt und unterstützenswert, aber die Nutzer müssen die Mechanismen zur Kontrolle der von ihnen freigegebenen Daten verstehen, und es muss klar sein, wer die Gebühren für Transaktionen bezahlt.
Der CSC weist darauf hin, dass der Plan die nationalen Vorschriften einhalten und auch mit der eIDAS-Verordnung der EU in Einklang stehen muss.
Die Selbstverwaltungsaspekte des digitalen Identitätssystems werden begrüßt, aber die Organisation warnt, dass die Nutzer Unterstützung benötigen, um dies zu verstehen und fundierte Entscheidungen über die Weitergabe ihrer Informationen zu treffen.
Ausländern, die an Transaktionen in Finnland beteiligt sind, kann eine Gebühr für ihre Identifizierung in Rechnung gestellt werden. Der CSC warnt davor, dass ausländische Forscher, die mit Universitäten in Kontakt treten, oder potenzielle Studenten, die das Bewerbungsverfahren durchlaufen, durch die Gebühren abgeschreckt werden könnten und die Mobilität der Arbeitnehmer behindert werden könnte. Die Menschen im Allgemeinen könnten bei Transaktionen, bei denen ihre Daten verarbeitet werden, zur einzigen kostenpflichtigen Einheit werden, warnt der CSC.
Der CSC empfiehlt außerdem, dass die Behörde, die einen Berechtigungsnachweis in die digitale Identitätsbörse schreibt, zum Zeitpunkt dieses Schreibens nicht mehr der für die Datenverarbeitung Verantwortliche sein sollte; ein Mechanismus, der seiner Ansicht nach vom gesamten EUDI-System übernommen werden sollte.
Die Schweiz prüft, wie sie ein e-ID-Vertrauensökosystem einführen könnte
Der Schweizer Bundesrat hat im Dezember 2021 beschlossen, bis zum Sommer 2022 einen Verordnungsentwurf zur dezentralen digitalen Identität auszuarbeiten, der den Bürgern die Kontrolle über ihre Daten geben soll.
Die Entwicklungskooperation digitalswitzerland hat die Regierung, den Privatsektor, die Zivilgesellschaft und die Wissenschaft zusammengebracht, um den Übergang zu einem Ökosystem digitaler Identitätsnachweise zu diskutieren und eine Strategie zu entwickeln.
Es wurde ein Bericht erstellt, der einen ersten Überblick über die Möglichkeiten, Probleme und die Art und Weise gibt, wie ein umfassendes Ökosystem eingeführt und ein hohes Maß an Akzeptanz und Interaktion gewährleistet werden kann. In dem Bericht wird davon ausgegangen, dass die Akzeptanz umso wahrscheinlicher ist, je größer das Ökosystem bei seiner Einführung ist. Die Bereitstellung des überprüfbaren Datenregisters durch die Regierung als öffentliche Dienstleistung wird die Kosten für die Nutzer niedrig halten und die Akzeptanz verbessern.
Die Autoren wissen von Systemen, die andernorts geschaffen wurden, dass eine obligatorische Annahme für den Zugang zu E-Government-Diensten die Zahl der Anmeldungen deutlich erhöhen wird und dass die Nichtbereitstellung von Diensten auf elektronischem Wege mit der E-ID das Vertrauen in das E-ID-Ökosystem untergräbt.
Sie empfehlen, nicht nur mit der e-ID, sondern auch mit e-ID-gestützten digitalen Signaturen zu starten. Ein digitaler und mobiler Führerschein ist ebenfalls im Kommen, sozusagen als Nebeneffekt. Die Regierung testet sowohl von der Regierung ausgegebene als auch extern ausgestellte überprüfbare Ausweise für den Zugang zu elektronischen Behördendiensten.
