Identitätsplattformen: Durchblick behalten im Passwortdschungel

Identitätsplattformen gegen Passwort-Salat

Internetnutzer müssen sich eine Vielzahl unterschiedlicher Passwörter und Logins merken. Social Logins und Co. vereinfachen zwar die Sache, dafür landen die eigenen Zugangsdaten auf Servern von Facebook und Google. In Deutschland entstehen gerade Gegenentwürfe dazu. Identitätsplattformen wollen Schluss machen mit dem Passwortsalat und dazu noch die sicherere Verwaltung der digitalen Identität gewährleisten.

Einen Flug in die Karibik buchen, das Wunschhotel mit Meerblick reservieren und eine Auslandsreisekrankenversicherung über das Online-Banking abschließen – schnell sind zahlreiche Registrierungen und Logins für die einzelnen Portale notwendig. Allein dieses Beispiel zeigt, dass es gar nicht so einfach ist, sich barrierefrei durch das Internet zu navigieren. Ständig gibt es Stolpersteine, beispielsweise exklusive Serviceportale, oder man wird auf eigenständige Plattformen übergeleitet, etwas zum Bezahlen auf Paypal oder Paydirekt.

Die Entwicklung hin zum individuellen Internet mit personalisierten Inhalten hat damit auch seine Tücken: Für fast alles wird ein Registrierungsprozess und der Login mit einer Benutzerkennung vorausgesetzt. Formulare müssen ausgefüllt werden und man wird aufgefordert eine Benutzername/Passwort-Kombination festzulegen. Dieses führt dazu, dass sich Nutzer eine Vielzahl an Login-Daten merken müssen. So ist es nicht verwunderlich, dass oftmals dasselbe Passwort aus Bequemlichkeitsgründen mehrfach verwendet wird und digitale Identitäten mit Stift und Papier gemanaged werden.

Dieser eher laxe Umgang mit persönlichen Identifikationsdaten ist gemäß einer IBM-Studie besonders unter jungen Erwachsenen ausgeprägt. 41 Prozent der Befragten in der Zielgruppe „Young Millennials“ nutzen ihre Passwörter für mehrere Accounts. Die Zielgruppe der über 55-jährigen hingegen schützt ihre vertraulichen Informationen stärker. Sie wählen häufiger komplexe Kombinationen aus Buchstaben, Zahlen und Sonderzeichen. Zwar lassen sich diese Art von Passwörtern schwerer knacken, allerdings auch schwerer merken. Ein Teufelskreis.

Überblick über digitale Identität behalten

Der Nachweis der Identität in der „analogen“ Welt ist als gesellschaftlicher Standard gelernt und anerkannt. Bei Privatpersonen erfolgt er in der Regel mittels amtlicher Ausweispapiere, wie dem Personalausweis, Reisepass oder sonstigen Meldebescheinigungen. Wie selbstverständlich haben wir unsere Legitimationspapiere dabei und weisen uns aus, wenn es erforderlich ist. Aber wie behalte ich den Überblick über meine digitale(n) Identität(en)? Gibt es Möglichkeiten im Passwortdschungel die Übersicht zu behalten?

Die gute Antwort vorab: Ja! Allerdings sind die Möglichkeiten in Deutschland noch zu wenig bekannt und Neuerungen auf dem Feld der digitalen Identität werden eher zögerlich angenommen. Dabei spreche ich noch gar nicht von biometrischen Verfahren der Authentifizierung, zum Beispiel Fingerabdruck oder Gesichtserkennung von denen gesagt wird, dass sie Passwörter in naher Zukunft überflüssig machen werden.

Einen ersten Vorstoß hat die Bundesregierung 2010 mit der Einführung der eID-Funktion unternommen. Von rund 51 Millionen Bürgern, die den Personalausweis im Scheckkartenformat besitzen, hat allerdings bislang nur ein Drittel den elektronischen Identitätsnachweis freigeschaltet. Lediglich 15 Prozent davon haben die Funktion überhaupt schon einmal im Alltag genutzt. Der Staat, im Prinzip ein prädestinierter Anbieter von Authentifizierungssdienstleistungen, kämpft immer noch gegen ein Akzeptanzproblem.

Die Internetkonzerne Facebook und Google kommen beim Nutzer besser an – und das trotz ihres Images als „Datenkrake“. Sie bieten Social Logins an, eine Sonderform des Single-Sign-On-(SSO- Verfahrens. Es ermöglicht Nutzern, über einen einzigen Authentifizierungsprozess Zugriff auf Services und Applikationen zu erhalten. Über seine Login-Daten bei Facebook und Google hat man die Möglichkeit, sich auch bei anderen Diensten anzumelden und spart sich damit einen Extra-Registrierungsprozess.

Laut einer 2016 veröffentlichten Studie ziehen 93 Prozent der befragten Konsumenten Social Login der traditionellen Registrierung per E-Mail vor. Allerdings lässt sich der Einsatz nicht in allen Branchen problemlos realisieren. Insbesondere im stark regulieren Bankensektor wäre der Einsatz im Online-Banking zurzeit nicht denkbar. Social Login trägt aktuell der Pflicht der eindeutigen Identitätsfeststellung (Know Your Customer Policy) nicht Rechnung. Zudem erhält der Social-Media-Dienst Informationen über die Kundenbeziehung und Nutzungsintensität des Online-Dienstes.

YES und VERIMI als Alternative wollen Passwort-Vielfalt beenden

In diese Kerbe stechen derzeit lokale Initiativen aus Deutschland. Aus der Dynamik des Marktes sind die zwei Identitätsplattformen YES und VERIMI hervorgegangen. Dahinter stecken namenhafte Unternehmen, bei Yes z.B. die Sparkassen-Finanzgruppe und bei VERIMI unter anderem Daimler, Deutsche Bank, Lufthansa und die Telekom, die Facebook Connect und Co. den Rang ablaufen wollen.

Bei YES werden die Daten dezentral gespeichert, also beim jeweiligen Unternehmen. Es werden keine Kundendaten gesammelt, sondern lediglich die Schnittstelle angeboten. Nutzer haben die Möglichkeit, sich auf Basis ihres Online-Banking-Logins bei Drittanbietern anzumelden, zu bezahlen oder Verträge abzuschließen. Dabei können sie sogar ohne Registrierung loslegen. Mit dem Klick auf den YES-Button werden im jeweiligen Portal die nötigen Daten und Informationen übertragen. Der Kunde kann auf die Erfassung persönlichen Daten verzichten.

VERIMI wird schon als Generalsschlüssel für das Internet gehypt. Die Identitätsplattform wurde im Frühjahr 2017 gegründet. Zunächst wurde das Anmelden mit Verimi beim Online-Banking der Deutschen Bank freigeschaltet. Weitere Unternehmen folgten. Neben der erleichterten Anmeldung und Identifikation bei verschiedenen Online-Diensten erweitert sich der Funktionsumfang laufend, z.B. um die digitale qualifizierte Signatur und Funktionen für den Personalausweis oder andere behördliche Dokumente. Es werden zwar Daten zentral abgespeichert, allerdings wird absolute Transparenz versichert, welche Daten, Diensten und Behörden zur Verfügung gestellt werden und wie VERIMI erhaltene Daten nutzt.

Echter Generalschlüssel erfordert Kooperation

Wie die beiden Identitäts-Lösungen für Online-Dienste, die Login-Allianz European netID Foundation sowie der Anbieter idento.one bei den Nutzern ankommen, wird sich noch zeigen. Selbst die Genossenschaftsbanken arbeiten an einem Identifizierungsservice. Ein Nachteil ist sicher, dass jede der Identitätsplattformen für sich auftritt und Nutzer dann doch wieder mehrere Zugänge verwalten müssten. Eine gemeinsame oder unabhängige Initiative hätte mehr Schlagkraft, um sich fest zu etablieren.

Dass das auch unter Wettbewerbern funktionieren kann, zeigen mal wieder die großen Tech-Firmen aus Übersee. Dort bauen Microsoft, Google, Facebook und Twitter gerade einen Standard für Datenaustausch. Hiesige Konsortien aus Banken, Händlern und öffentlichen Institutionen müssen sich also beeilen, wenn sie sich als Vertrauensinstanz bei Verbrauchern und Bürgern mit einer Plattform zur zentralen Verwaltung der digitalen Identität behaupten wollen.

Foto: getty images / Melinda Podor


Christian Steinweg

Christian Steinweg ist Berater im Team Banking bei Sopra Steria Consulting. Seine Spezialthemen sind die Weiterentwicklung der Vertriebsprozesse, das Vertriebscontrolling und die Entwicklung von Multikanal- und Digitalisierungsstrategien für Banken und Sparkassen.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.