Von Stephen Davidson, bei DigiCert zuständig für Governance, Risiken und Compliance sowie Vorsitzender der CA/Browser Forum-Arbeitsgruppe für S/MIME-Zertifikate

In der Pandemie findet unser Leben verstärkt online und die Arbeit zuhause statt – das ist weltweit in beinahe jeder Branche zu spüren. Bekannte, aber nicht regulär genutzte Hilfsmittel wie Webkonferenz-Tools und Online-Transaktionen wurden schnell zum Standard. In stark regulierten Sektoren und bei Transaktionen von hohem Wert, die bisher persönliche Interaktionen voraussetzten, verlief die Umstellung allerdings zögerlicher, so auch bei der Online-Identitätsprüfung.

Was ist eine Online-Identitätsprüfung?

Bei der Identitätsprüfung wird geprüft, ob die Identitätsattribute eines Bewerbers korrekt erfasst, validiert und belegt sind. Identitäten werden seit einigen Jahren zunehmend online geprüft. Das heißt, die Überprüfung findet seltener von Angesicht zu Angesicht und dafür häufiger digital statt. Doch mit dem Ausbruch der Pandemie und der damit einhergehenden Priorisierung des Homeoffice rückte die Onlineprüfung als Mittel zur Identitätsbestätigung endgültig in den Vordergrund. Allerdings fehlen allgemeingültige Standards für die Online-Identitätsprüfung, die sie so zuverlässig wie ein persönliches Erscheinen machen.

Ende 2019 referierte ich beim CA Day der ENISA über den Bedarf an eindeutigen Standards für Remote-Überprüfungen. Ich konnte ja nicht ahnen, dass eine bevorstehende Pandemie das Interesse an diesem Thema so schnell anfachen würde. Zusammenfassend sei gesagt, dass die Beschränkungen zur Pandemiebekämpfung EU-Vertrauensdiensteanbieter endgültig von Remote-Überprüfungen überzeugten. Auch Aufsichtsbehörden und Normungsinstitute begriffen, wie dringend einheitliche Regeln für die Kennzeichnungspflicht und Identitätsprüfung im digitalen Raum gebraucht werden.

Die Vorsicht der Aufsichtsbehörden

Im Rahmen der europäischen eIDAS-Verordnung müssen Vertrauensdiensteanbieter für zahlreiche qualifizierte Dienste die Nutzer unter persönlicher Vorlage von Identitätsnachweisen registrieren (oder Methoden anwenden, die „gleichwertige Sicherheit“ bieten). Allerdings unterscheidet sich von Land zu Land, welche Technologien und Methoden als Remote-Alternativen zur Identitätsprüfung vor Ort zulässig sind und quasi als „gleichwertige Sicherheit“ gewertet werden.

Die Vorsicht der Aufsichtsbehörden erklärt sich durch den rasanten Zuwachs an Alternativen für die Remote-Überprüfung, den Mangel an einheitlichen internationalen Normen zur Risikoeinschätzung sowie den Mangel an Daten zu Misserfolgsraten. Ebenfalls diskutiert wurden unter Aufsichtsbehörden die Anforderungen für Remote-Überprüfungen als Äquivalent zu lange bewährten Normen und Protokollen im Umgang mit persönlich vorgelegten Ausweisdokumenten.

Zufällig hatte die EU diesen Wandel schon vor einigen Jahren vorausgesehen und „Vertrauen in nahtlose elektronische Identifizierung“ zu einem Hauptbereich kontinuierlicher Entwicklung erklärt. Das ETSI-Technikgremium für elektronische Signaturen und Infrastrukturen (ESI) machte es sich zur Aufgabe, zusätzliche Normen für einheitliche Identitätsprüfungen zu entwickeln.

Der neue ETSI-Standard für die Identitätsprüfung

Anfang 2020 gründete das ETSI eine Arbeitsgruppe namensSTF 588, die sich allein auf die Identitätsprüfung (im realen und im digitalen Raum) konzentriert. Zunächst prüfte sie ein breites Spektrum an internationalen Technologien, Gesetzen, Spezifikationen, Richtlinien, Normen und Standards in Bezug auf die Identitätsprüfung. Aus ihren Erkenntnissen leitete die Arbeitsgruppe einen praktischen Leitfaden zum Thema ab.

In ihrem ersten Arbeitsergebnis, ETSI TS 119 460 (Survey of technologies and regulatory requirements for identity proofing for trust service subjects – Untersuchung der Technologien und Regularien für Vertrauensdiensteanbieter hinsichtlich Identitätsprüfungen), analysierte STF 588 knapp 50 internationale Normen und wie sie Folgendes regeln: die Erfassung und Validierung von Identitätsattributen, die Verknüpfung von Attributen und Bewerbern sowie die angemessene Belegaufbewahrung.

Das zweite richtungsweisende Arbeitsergebnis von STF 588 ist ETSI TS 119 461 (Policy and security requirements for trust service components providing identity proofing of trust service subjects – Richtlinien und Sicherheitsanforderungen für Vertrauensdienstkomponenten zur Identitätsprüfung von Vertrauensdienstsubjekten). Es befindet sich noch in der Entwurfsphase und soll im Juli 2021 veröffentlicht werden.

Zwar hat die Norm ihren Ursprung in der Identitätsprüfung für eIDAS-Vertrauensdienste, wie Vertrauensdiensteanbieter qualifizierter Zertifikate, doch sie wird sich weltweit auch umgehend und breitgefächert auf Prozesse der elektronischen Identifizierung (eID), Kundenverifizierung und Geldwäschebekämpfung (KYC bzw. AML) in den unterschiedlichsten Branchen auswirken.

Einheitlichkeit in der realen Welt und im virtuellen Raum

Um für die unterschiedlichsten Technologien und innovativen Ansätze bei der Identitätsprüfung offen zu sein, vermeidet die neue ETSI-Norm verbindliche Anforderungen an spezifische technische Lösungen. Stattdessen verlangt sie für alle potenziellen Verfahren dasselbe Maß an Sicherheit. Wichtig zu wissen: Hinsichtlich Zuverlässigkeit und Risikoeinschätzung enthält die neue Norm einheitliche Richtlinien für die persönliche wie für die Remote-Identifizierung.

Letztlich sollen mit der neuen Norm Konformitätsbewertungen erfolgen: die von qualifizierten Vertrauensdiensteanbietern mit Remote-Überprüfungen im Portfolio und die von eigenständigen Spezialanbietern für die Identitätsprüfung.

Die Norm soll sowohl die wesentlichen als auch die allgemeinen Sicherheitsanforderungen ins Visier nehmen, die in der EU-Verordnung 2015/1502 beschrieben sind. (Die Verordnung legt die Mindestanforderungen an technische Spezifikationen für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß eIDAS fest.)

Eine neue Ära

ETSI TS 119 461 wird für lang erwartete einheitliche Regeln für die Identitätsprüfung durch qualifizierte europäische Vertrauensdiensteanbieter sorgen und eine wichtige Vorlage für ähnliche Initiativen in anderen Ländern sein. DigiCert engagiert sich stark beim ETSI und wir finden, dass der technologieneutrale Weg, den ETSI TS 119 461 einschlägt, angesichts der rasanten Entwicklung neuer Tools und Ansätze für die Identitätsprüfung ideal ist, um diese für die Anforderungen von Vertrauensdiensten einzusetzen.

Noch wichtiger aber ist, dass sie nahtlose Registrierungen und ein einheitliches Validierungsniveau bei Vertrauensdiensteanbietern und Aufsichtsstellen ermöglichen wird. Damit wird sie natürlichen und juristischen Personen den Weg zur Nutzung hochsicherer Onlinedienste ebnen.