Die drei Prozesse Authentifizierung, Identifizierung und Autorisierung erhalten derzeit durch die geplanten Änderungen der eIDAS-Verordnung (electronic Identification, Authentication and trust Services) mehr Aufmerksamkeit denn je. Die Europäische Kommission fördert im Rahmen der eIDAS 2.0 eine sogenannte Digital Identity Wallet (EUDI-Wallet).
Diese soll es allen Bürgerinnen und Bürgern der EU erlauben, sich - wie es der englische Name der Verordnung bereits vermuten lässt - digital zu identifizieren und zu authentifizieren. Daher lohnt sich gerade jetzt ein Blick auf die unterschiedlichen Bedeutungen der Begriffe sowie die Möglichkeiten, die aktuell und zukünftig bei digitaler Authentifizierung bestehen.
Die Identifizierung ist klassischerweise der erste Schritt in einer digitalen Customer Journey. Hier wird die Identität der Nutzer überprüft. Oft geschieht dies durch einen Benutzernamen oder eine personalisierte E-Mail-Adresse, die Eingabe des Vor- und Nachnamen und der Adresse.
Eine Identifizierung kann je nach Anwendungsfall oder erforderlichem Sicherheitsgrad auch weitere Informationen abfragen. So ist beispielsweise im hochregulierten Finanzwesen die Überprüfung eines Ausweisdokumentes, einer Kreditkarte oder einer Minitransaktion von einem Konto erforderlich.
Passwörter zur Authentifizierung sind längst überholt
Ist der Nutzer erfolgreich identifiziert, wird für gewöhnlich bereits bei der ersten Anmeldung eine Form der Authentifizierung eingerichtet. Häufig wird hierfür, obwohl aus Sicherheitsaspekten bereits längst überholt, immer noch ein Passwort verwendet, um bei einer Wiederkehr die Identität erneut nachzuweisen.
Die Autorisierung stellt den dritten und letzten Schritt dar. Ist der Nutzer korrekt identifiziert und authentifiziert, werden ihm oder ihr gewisse Rechte im System zugewiesen. Die Autorisierung findet vor allem in Unternehmensstrukturen Anwendung.
Digitale Authentifizierung durch Token oder biometrische Daten
Die Autorisierung für Endnutzer spielt, vor allem in Hinblick auf die eIDAS 2.0-Verordnung, keine große Rolle. Daher werfen wir einen genauen Blick auf die Authentifizierung und die Entwicklungen in diesem Bereich.
Für eine erfolgreiche Authentifizierung im digitalen Raum können grundsätzlich drei Faktoren zum Einsatz kommen:
Was ein Nutzer weiß: Dieser Fall beschreibt den inzwischen schon traditionellen Ansatz über ein Passwort oder eine Sicherheitsfrage.
Was ein Nutzer besitzt: Hier kann es sich zum Beispiel um einen (Security-)Token oder einen kryptografischen Schlüssel handeln.
Was ein Nutzer ist: Damit sind biometrische Daten, wie Fingerabdrücke oder Face-Scans, gemeint, die heute schon häufig bei den großen Smartphone-Herstellern zum Entsperren verwendet werden.
Lesetipp: Biometrie - Genügt im Zahlungsverkehr Ihr Fingerabdruck?
Diese drei Faktoren können Plattforminhaber unabhängig voneinander zum Einsatz bringen, aber auch miteinander kombinieren. Eine Authentifizierung, die mehrere Faktoren verknüpft, also beispielweise einen Token mit einem PIN oder einem Passwort, wird als Multifaktor-Authentifizierung (MFA) bezeichnet.
Die ebenfalls oft erwähnte Zwei-Faktor-Authentifizierung (2FA) ist ein Spezialfall der MFA. MFA wird grundsätzlich als sicherer eingestuft als die Authentifizierung über nur einen wissensbasierten Faktor.
Passwortlose Authentifizierung versus MFA
Im Zuge der MFA kommt häufig der Begriff passwortlose Authentifizierung auf und wird oft irrtümlich synonym verwendet, da beide Konzepte jeweils mehrere verschiedene Authentifizierungsfaktoren anwenden. MFA zeichnet sich jedoch dadurch aus, dass es als zweite Sicherheitsebene zu einer passwortbasierten Authentifizierung hinzugefügt wird.
Die passwortlose Authentifizierung hingegen verwendet keinen wissensbasierten Faktor wie PIN, Passwort oder Sicherheitsfrage. Dieses Verfahren setzt ausschließlich auf einen hochsicheren Faktor, wie zum Beispiel den Fingerabdruck des Nutzers. Das macht die Authentifizierung für den Nutzer bequem und schnell.
Die biometrische Authentifizierung wird daher von vielen als die Technologie der Zukunft gehandelt, auch dank futuristisch anmutender Konzepte wie dem Iris-Scan.
Biometrie oder Identity Wallet? Oder beides?
Die andere revolutionäre Entwicklung in diesem Bereich ist die der Identity Wallets, welche auch von der EU gefördert werden. Die aktualisierte Verordnung zur digitalen Identität und die laufende Entwicklung der EUDI-Wallets sollen die Authentifizierung für deutlich mehr Onlinetransaktionen ermöglichen.
Um die Identity Wallet im Smartphone zu erstellen, identifiziert sich der Nutzer beispielsweise über die deutsche eID-Funktion des Personalausweises oder einen VideoIdent-Prozess. Sobald dies erfolgreich abgeschlossen ist, kann die Wallet zur Authentifizierung eingesetzt werden.
In einem Identity Wallet können Nutzer somit ihre bereits verifizierten Identitäten abspeichern und biometrische Verfahren, wie zum Beispiel Fingerabdruck- oder Gesichtserkennung einsetzen, um die digitale Identität schnell und einfach zur Überprüfung bei neuen Services oder Plattformen wiederzuverwenden.
Aus meiner Sicht werden biometrische Faktoren und Identity Wallets künftig eng verzahnt sein, um Nutzern ein einfaches und sicheres Ausweisen im Netz zu ermöglichen. (bw)