Was ist eine Digital Identity Wallet, welche Funktionen hat sie und worauf sollten Sie bei der Auswahl achten?

Möglicherweise haben Sie bereits über die jüngsten Entwicklungen der “Digital Identity Wallet” gelesen, die in Kürze für den Massenmarkt verfügbar sein werden. Doch was genau verbirgt sich hinter einer “Digital Identity Wallet”? In diesem Blog erklären wir, was eine Digital Wallet ist, welche Funktionen sie hat und was Sie bei der Nutzung beachten sollten. 

Bei Digital Wallets handelt es sich um eine Software-Dienstleistung auf einem Gerät, die es Ihnen ermöglicht, Ihre privaten Bankdetails zu speichern. Beispiele hierfür sind Ihre mobilen Apps wie Apple, Google oder PayPal  in denen Sie Ihre Zahlungsdaten speichern können. Diese Digital Wallets existieren bereits seit einiger Zeit. Die neue Generation Digital Identity Wallets wird auf dieser Funktion aufbauen und uns die Möglichkeit geben, verifizierte (oder „verifizierbare“) persönliche/identitätsbezogene Daten (z. B. Name, Geburtsdatum, Adresse, Staatsangehörigkeit) in der Digital Wallet zu speichern, sodass wir diese Informationen zu einem späteren Zeitpunkt problemlos erneut verwendet werden können. Man könnte Sie daher als Data Wallet betrachten.      

Was ist eine Digital Identity Wallet?

In der EU verleiht die als eIDAS2 bekannte Verordnung jeder Person mit Anspruch auf einen nationalen Personalausweis das Recht, eine digitale Identität zu besitzen, die EU-weit anerkannt wird. Dies ermöglicht Ihnen, auf „eine einfache und verlässliche Art zu kontrollieren, wie viele Informationen Sie für Dienstleistungen, die einen Informationsaustausch erfordern, preisgeben möchten“.

Die eIDAS-Verordnung definiert den Begriff „Digital Wallet“ wie folgt:

„(42) Die ,European Digital Identity Wallet‘ (Brieftasche für die europäische digitale Identität) ist ein Produkt und ein Dienst, das bzw. der es Nutzerinnen und Nutzer ermöglicht, mit ihrer Identität verknüpfte Identitätsdaten, Berechtigungsnachweise und Attribute zu speichern, vertrauenden Beteiligten auf Anfrage vorzuweisen und sich damit gemäß Artikel 6a online und offline bei einem Dienst zu authentifizieren sowie qualifizierte elektronische Signaturen und Siegel zu erstellen.“ 

Außerhalb der EU gibt es beispielsweise im Vereinigten Königreich Wallets, die ID-Daten speichern (Bank-Apps, Brieftaschen für „wiederverwendbare Ausweise“). Weitere Informationen zur eIDAS-Verordnung 2.0 finden Sie hier in unserem Blog. 

Welche Funktionen hat eine Digital Identity Wallet? 

Eine Digital Identity Wallet mit Identitätsdaten ermöglicht es Nutzerinnen und Nutzern, diese Daten auf einfache und sichere Weise an einen neuen Dritten weiterzugeben, um eine Aufgabe zu erledigen, z. B.:

• Nutzung öffentlicher Dienste wie Einreichung der Steuererklärung oder Beantragung zusätzlicher Leistungen
• Eröffnung eines Bankkontos
• Signieren von Dokumenten
• Bewerbung an einer Hochschule
• Speicherung ärztlicher Verordnungen
• Altersnachweis/Identitätsbestätigung
• Anmietung eines Autos mit digitalem Führerschein
• Check-in in einem Hotel 

Mit einem digitalen Ausweis werden all diese Vorgänge einfacher und sicherer. Bei bestehenden „Payment Wallets“ werden die Funktionen für „Data Wallets“ hinzugefügt und die neuen „Data Wallets“ werden im Laufe der Zeit um Zahlungsfunktionen ergänzt.

Wie funktioniert eine Digital Identity Wallet?

Die Einrichtung einer Digital Identity Wallet besteht aus drei wesentlichen Schritten.

1. Als erstes erfolgt eine „Nachweisprüfung“ – der “Wallet Provider” bzw. der „Identity Provider“ sollte Nachweise erfassen, die Ihre Identität belegen. Hierbei kann es sich entweder um einen oder beide der folgenden Nachweise handeln: 
   • physischer Nachweis der behaupteten Identität (z. B. ein Reisepass oder Führerschein)
   • digitaler Nachweis der behaupteten Identität (z. B. ein Bankkonto)

2. Als nächstes erfolgt eine „Gültigkeitsprüfung” – der Anbieter sollte prüfen, ob der Nachweis echt oder gültig ist, wie lange er bereits existiert und ob Betrugsfälle im Zusammenhang mit der Identität bekannt sind.

3. Zuletzt erfolgt eine „Verifizierungsprüfung“, die sicherstellt, dass die Identität zu der Person gehört, die Sie für sich beansprucht. In der Regel geschieht dies durch ein Selfie oder eine andere biometrische Prüfung, um die Übereinstimmung mit dem ursprünglichen Nachweis zu bestätigen. So wird sichergestellt, dass der Pass oder das Bankkonto wirklich Ihnen gehört.

Sobald Sie eine Digital Identity Wallet eingerichtet haben, ist die Verwendung sogenannter gültiger „Authentifizierung“ eine wichtige Möglichkeit zum Schutz der Wallet-Sicherheit. Es gibt verschiedene Arten von Authentifizierung, die in der Regel aus einer Kombination folgender Elemente bestehen:

• etwas, das Nutzerinnen und Nutzer wissen (z.B. PIN oder Passwort)
• etwas, das Nutzerinnen und Nutzer haben (z.B. ein Verifizierungscode)
• etwas, das Nutzerinnen und Nutzer sind (z.B. Fingerabdruck oder Signatur)

Was früher als „Zwei-Faktor-Authentifizierung“ bekannt war, wird jetzt als „Multi-Faktor-Authentifizierung“ (Multi-Factor Authentication, MFA) oder „starke Kundenauthentifizierung“ (Strong Customer Authentication, SCA) bezeichnet. Für den Zahlungsverkehr in der EU gibt es beispielsweise andere Vorschriften, die festlegen, wie eine SCA aussehen sollte. Banken und Zahlungsdienstleister wenden diese Methode bereits an, um Ihre Sicherheit zu gewährleisten.

Im Anwendungsfall der elektronischen Unterschrift (eSigning) verbessert die Verwendung einer Digital Identity Wallet zur Überprüfung, ob die richtige Person den Vertrag unterzeichnet, die bestehenden Methoden zu 2FA & Sign.     

Worauf Sie beim Anbieter Ihrer Digital Identity Wallet achten sollten 

1. Sicherheit

Das Wichtigste, was Sie bei Ihrem Wallet-Anbieter überprüfen sollten, sind seine Sicherheitsvorkehrungen, denn schließlich geht es um den Schutz Ihrer persönlichen Identitätsdaten. Verfügt der Anbieter über Branchenzertifikate, die belegen, dass seine IT-Systeme sicher sind (z. B. ISO27001, CyberEssentials)? Handelt es sich um ein Unternehmen/einen Dienst, dem Sie vertrauen können?

2. Zertifikate

Verfügt der Anbieter über die entsprechenden Zertifikate, um den Identitätsdienst anzubieten? ID-Dienste arbeiten normalerweise auf der Grundlage eines Regelwerks, dem sogenannten „Trust Framework”, das die Rollen und Regeln für die Anbieter festlegt und angibt, an wen man sich im Falle von Problemen wenden kann. In der EU ist das die eIDAS-Verordnung. In den USA legt das National Institute of Standards and Technology (NIST) die Standards für Organisationen fest, die ID-Dienste anbieten.

3. Datenschutz

Ein guter digitaler Identitätsdienst sollte Ihre Privatsphäre im Internet verbessern, indem er Ihnen zeigt, wer über welche Daten verfügt und wofür. Gleichzeitig sollte die Anzahl der Parteien, die über die Daten verfügen, und die Menge der von den einzelnen Parteien benötigten Daten reduziert werden. Dies verringert das Risiko, dass Ihre Beziehungen im Falle eines Datenlecks gefährdet werden.

Heutzutage werden für Transaktionen manchmal zu viele Identitätsdaten weitergegeben. Die digitale Identität ermöglicht eine „selektive Offenlegung“, bei der Sie zustimmen, nur die notwendigen Informationen weiterzugeben.

4. Support

• Wird Ihr Wallet-Anbieter Sie dabei unterstützen, sich mit der Nutzung des Dienstes vertraut zu machen?
• Wird er Ihnen helfen, wenn etwas schief geht?
• Kann er Ihnen helfen, andere Parteien zu kontaktieren, auf die Sie Zugriff hatten, um Sie vor Betrug zu schützen?

Ihr Wallet-Anbieter sollte Ihnen bei all diesen Anliegen behilflich sein.