Digitale Geldbörse der EU: Wettlauf um Pilotfinanzierung, technische Vorherrschaft, Herzen und Köpfe
eIDAS 2.0 rückt schnell näher. Bis September 2023 werden die Bürgerinnen und Bürger der Europäischen Union das Recht haben, eine digitale Identitätsbörse auf ein Smart Device herunterzuladen und zu befüllen. In weniger als 18 Monaten werden die Europäer keine physischen Ausweise mehr benötigen, um zu reisen, zu arbeiten und irgendwo anders in der Union zu leben. Aber sind sie bereit?
Thales hat ein Weißbuch veröffentlicht, um Regierungen, Bürger und Unternehmen auf den Wandel vorzubereiten und zu erläutern, wie seine einsatzbereiten Produkte dabei helfen können.
Der CTO von Digidentity spricht über seine Prognosen für digitale ID-Brieftaschen in der EU.
EU-Konsortium für digitale Geldbörsen will 37 Millionen Euro für Pilotprojekte bereitstellen
Eine Gruppe, die von einer Auswahl von EU-Mitgliedsstaaten angeführt wird, bildet das EU Digital Identity Wallet Consortium (oder EUDI Wallet Consortium), um mehrere Anwendungsfälle zu schaffen und sich so für groß angelegte, länderübergreifende Pilotprojekte für eIDAS 2.0 mit bis zu 37 Millionen Euro (41,1 Millionen US-Dollar) zu qualifizieren.
Laut einem LinkedIn-Post von Andrew Tobin von Avast, der an der Gründung der Gruppe mitgewirkt hat, wird das Konsortium von Schweden, Spanien und Finnland angeführt. Das Konsortium nimmt Mitgliedsanträge von interessierten Parteien entgegen, unabhängig davon, ob es sich um öffentliche oder private Einrichtungen handelt.
“Durch die Arbeit an mehreren sich überschneidenden Anwendungsfällen wird das Konsortium zeigen, wie eIDAS 2.0 die Grundlage für die Lösung vieler Probleme in den Bereichen Datenschutz, Sicherheit und Benutzerfreundlichkeit bilden wird, die die Bürger in ihrem digitalen Leben erleben”, heißt es auf der Website.
Die Finanzierung durch das Programm Digitales Europa (DIGITAL) erfolgt mit einer 50-prozentigen Eigenbeteiligung, was bedeutet, dass die Mitglieder des Konsortiums ebenfalls 50 Prozent ihrer Projektkosten beisteuern müssen.
“Das Konsortium ist eine Antwort privater und öffentlicher Akteure auf die Aufforderung, innovative Lösungen für den Austausch digitaler Bescheinigungen von Attributen und Berechtigungsnachweisen mit Hilfe einer digitalen Brieftasche zu nutzen, die dem Nutzer die volle Kontrolle über seine Online-Identität und -Daten gibt.
Das Konsortium muss seine Vorschläge bis zum 17. Mai 2022 bei der EU einreichen. Das Gesamtkonzept des Konsortiums wird in “vertikale Arbeitspakete für Anwendungsfälle” unterteilt, darunter Bildung, mobile Führerscheine (mDL), digitale Reiseausweise (DTCs), Zahlungen und Identitäten für Organisationen.
“Horizontale Arbeitspakete” befassen sich mit der Ausgabe von Brieftaschen, der Verwaltung des Ökosystems, der Bewertung, der Interoperabilität und dem Lebenszyklus von Ausweisen.
Avast hat sich mit seinen jüngsten Übernahmen von Evernym und SecureKey für eine wichtige Rolle im Ökosystem der digitalen Identität positioniert.
Thales erklärt und positioniert sich im Rahmen der Chance 2.0
Der französische Riese für digitale Identitäten Thales positioniert sich als Vordenker für eIDAS mit einem Whitepaper, in dem er die Veränderungen erläutert, die eIDAS 2.0 für das Leben der Bürger, Behörden und Unternehmen mit sich bringen wird.
In “Welcoming the Wallet” wird dargelegt, was sich wann ändert, und es wird ein Zeitplan für das gesamte europäische Projekt aufgestellt, da die gestaffelten Anforderungen für die Akzeptanz bedeuten, dass große Organisationen bis zum Startdatum bereit sein müssen, während kleinere Organisationen mehr Zeit haben werden.
Sechzig Prozent der EU-Bevölkerung haben Zugang zu einer digitalen ID, aber “heute erlauben nur 14 Prozent der wichtigsten öffentlichen Dienste in allen EU-Mitgliedstaaten eine grenzüberschreitende Authentifizierung mit eID”, heißt es im Weißbuch. Das bedeutet, dass in den nächsten 17 Monaten viel Arbeit geleistet werden muss, damit die Regierungen bereit sind, eID auszustellen, die Bürger wissen, wie sie sich registrieren können, und die Unternehmen in der Lage sind, eID aus der ganzen EU zu akzeptieren.
Wallet begrüßt, dass neben den technischen auch die rechtlichen Kompatibilitätsprobleme angesprochen werden: “Während dies überall auf der Welt eine Unannehmlichkeit darstellen könnte, ist es in der EU für das Ziel, den Bürgern im gesamten Binnenmarkt gleiche Rechte zu gewähren, unerlässlich. In der EU geht es darum, den grenzüberschreitenden Geschäftsverkehr reibungslos, sicher und effizient zu gestalten, so dass die Suche nach Lösungen umso dringlicher ist.”
Bis September 2022 wird von der EU-Kommission eine Toolbox European Digital Identity Framework erwartet. Die EU-Staaten werden dann 12 Monate Zeit haben, um ihre Versionen von Wallets nach gemeinsamen Standards zu entwickeln.
“Die Brieftasche wird wahrscheinlich nicht mit einer digitalen Version einer physischen Karte gleichzusetzen sein, so dass sie nicht unbedingt die Ausweisdokumente im täglichen Gebrauch sofort ersetzen wird”, bemerkt Thales. “Für Online-Transaktionen, einschließlich der Beantragung öffentlicher Dienstleistungen, sollte die Wallet jedoch eine akzeptable grenzüberschreitende Identifizierung ermöglichen.
Private Unternehmen, die digitale Geldbörsen herausgeben wollen, müssen sich an die gleichen strengen Datenschutzstandards halten und dürfen von den Endnutzern keine Gebühren verlangen.
Fokus auf Zahlungen und unsere verschiedenen Identitäten: das eWallet-Netzwerk
Eine Gruppe europäischer Identitäts- und Zahlungsexperten, die sich eWallet Network nennt, hat einen Prototyp einer EUDI-Wallet gebaut, um Zahlungsmöglichkeiten und sogar die Integration digitaler Zentralbankwährungen zu demonstrieren, wie Michael Adams vom Mobile-App-Entwickler Quali-Sign in einer Präsentation auf der letzten OIX-Veranstaltung in London zeigte.
Adams erläuterte auch einen wenig erforschten Bereich von Personen, die mehrere Identitäten – oder Rollen im Leben – haben, wie z. B. eine persönliche und eine berufliche, und die sich um identitätsbezogene Angelegenheiten von Familienmitgliedern kümmern müssen, die ihnen anvertraut sind. Mit der digitalen ID-Brieftasche werden sie zwischen diesen Profilen wechseln können.
Adams erörterte die Rolle von Identitätsdienstleistern bei der Ausstellung von Identitätsprofilen und von Attributdienstleistern, die die Brieftaschen immer nützlicher machen werden, da sie Dienste wie elektronische Autoschlüssel oder Hotelzimmerausweise anbieten. Die Relying Party ist der Verbraucher der Attribute.
Er sagte, dass die ISPs und ASPs nicht in der Lage sein werden, zu sehen, auf welche anderen Dienste ein Nutzer zugegriffen hat, und da alle Attribute auf dem Gerät gespeichert sind, gibt es keine Notwendigkeit für einen GDPR-Datenverantwortlichen. Die Wallet agiert direkt mit der Relying Party.
Adams ist der Ansicht, dass die Sorgfaltspflicht der Finanzinstitute gegenüber ihren Kunden (Customer Due Diligence, CDD) einer der Hauptgründe für die Nachfrage nach EUDI-Wallets sein wird.
Bei Demonstrationen mit QR-Codes wurde gezeigt, wie ein Nutzer ein Bankkonto in einem anderen EU-Mitgliedstaat eröffnen kann. Die Bank würde alle CDD-Attribute auflisten, die sie benötigt, und der Nutzer könnte dann die Erlaubnis erteilen, dass diese Attribute im Rahmen des Prozesses weitergegeben werden, sowie eine weitere Erlaubnis für alle zusätzlichen Attribute.
Die Brieftasche kommuniziert mit der Bank und lädt eine von der Bank signierte eID-Anforderung herunter. Die Wallet prüft die Signatur, um die Bank als Institution zu authentifizieren, und legt die Anfrage dann dem Inhaber der Brieftasche vor.
In diesem Beispiel erklärt sich der Nutzer bereit, die Attribute mit einem biometrischen Merkmal, in diesem Fall einem Fingerabdruck, zu versehen.
Adams demonstrierte auch Offline-Zahlungen, eine Voraussetzung für eIDAS 2.0. Dies könnte bedeuten, dass die Brieftasche oder das Terminal oder beide offline sind. Die Geräte müssen mit anderen Mitteln wie Bluetooth und NFC kommunizieren und sich authentifizieren können.
Der einzige Unterschied besteht darin, dass Offline-Zahlungen nicht den Echtzeit-Zertifikatswiderrufsstatus jedes Zertifikats in der Transaktion enthalten, was Adams als Kompromiss bezeichnet.
In der Demo wurde ein Verkaufsautomat für alkoholische Getränke vorgeführt, der im Offline-Modus immer noch das Alter des Inhabers der Brieftasche authentifizieren kann, ohne dass der Inhaber weitere Informationen angeben muss.
Als nächsten Schritt sieht Adams die Einführung von digitalen Zentralbankwährungen (CBDCs) als Erweiterung der digitalen Geldbörsen. Während diese Transaktionen den Austausch von Identitäten erfordern, um die Anforderungen der Geldwäschebekämpfung zu erfüllen, wird die Technologie den sofortigen Transfer von “digitalem Bargeld” ermöglichen, ohne dass irgendwelche Clearing-Mechanismen durchlaufen werden müssen.
Er ist der Ansicht, dass die EU einen Standard für die Interoperabilität haben könnte, während das Vereinigte Königreich mehrere Standards, wie den der USA, übernehmen könnte.
Digidentity über die nächsten Schritte für eIDAS 2.0
“Es wird natürlich eine Interoperabilität zwischen Europa und den USA, Kanada und Australien geben. Ich denke also, dass wir in zwei Jahren einen großen Sprung nach vorn machen werden. Wir haben bereits die letzten 10 Jahre gewartet. Jetzt wird es wirklich passieren. Das ist mein Gefühl”, sagte Marcel Wendt, CTO und Gründer von Digidentity, als er seine Vorhersagen für eIDAS 2.0 in Liminal’s State of Identity Podcast mit Moderator Cameron D’Ambrosi, Managing Director bei Liminal, diskutierte.
Das in den Niederlanden ansässige Unternehmen Digidentity beschäftigt mittlerweile 100 Mitarbeiter und hat kürzlich eine Partnerschaft mit einer Bank im Ausland geschlossen, die die qualifizierte Signaturtechnologie des Unternehmens in ihrer App einsetzt. Der CTO erwartet, dass dieser Bereich – auch aufgrund von COVID-19 – schnell wachsen wird. Die Erleichterung der Handhabung qualifizierter elektronischer Signaturen für Dritte wird den gesamten Sektor der digitalen Identität beschleunigen.
Während eIDAS 1.0 den Menschen in den Grenzregionen der EU einige Erleichterungen gebracht haben mag, wird die Infrastruktur rund um eIDAS 2.0 völlig anders aussehen, unter anderem wegen der leichteren Integration des Privatsektors, so Wendt.
“Heute können das britische und das niederländische Rahmenwerk im privaten Sektor verwendet werden, aber mit vielen Hürden und insbesondere mit der 2.0-Version von eIDAS ist es viel einfacher, es im privaten Sektor zu verwenden, und dann werden Unternehmen wie Amazon, Bol.com – das niederländische Amazon – und diese Art von Unternehmen mehr daran interessiert sein, diese Identitäten ebenfalls zu verwenden, und das wird unseren Business Case in diesem Ökosystem vervollständigen.”
Die heutigen Unternehmen, die sich auf das Scannen von Identitätsnachweisen spezialisiert haben, werden möglicherweise keine Zukunft mehr haben, wenn jeder über dauerhafte digitale Identitätsnachweise in einer vertrauenswürdigen digitalen Brieftasche verfügt, argumentiert Wendt: “Das Modell muss schnell geändert werden.”
Die Arbeit von Digidentity in den Niederlanden und im Vereinigten Königreich, wo täglich 8.000 Nutzer aufgenommen werden, zeigt, dass es Probleme mit dünnen Datenbeständen gibt, was bedeutet, dass die Eingliederung zu einem entscheidenden Thema beim Übergang zur digitalen Identität wird.
Wendt prognostiziert, dass sich die Sektoren in Bereichen wie Wohnungswesen, Renten und Versicherungen als gemeinsame Vertrauenspersonen zusammenschließen werden.
Die digitale Identität muss ein Marktplatz sein, auf dem verschiedene Anbieter unterschiedliche Technologien nutzen, erklärt Wendt: “Ich mag Blockchain, aber ich bin kein wirklicher Fan von reinen Blockchain-Identitäten, weil wir auch eine Menge Betrug gesehen haben. Jedes Jahr sehen wir etwa 10.000 Nutzer, die versuchen, Betrug zu begehen, und wir können das sehen, weil es zentralisiert ist.
“Wenn es dezentral ist, kann man diesen Betrug nicht verfolgen. Man muss also Maßnahmen ergreifen, um dies zu erkennen. Es wird eine Mischung aus Blockchain- und zentraler Technologie sein, damit es für alle wirklich sicher ist. Es wird also eine gemischte Landschaft und auch eine gemischte Technologie sein.”
Wendt sieht Chancen für Anbieter von Nischendiensten. Die Dinge dürften sich schnell ändern, zum Teil aufgrund der Technologien, die während der COVID zum Einsatz kommen. Digidentity prüft auch Verbindungen zwischen GAIN und der eIDAS-Geldbörse.
