Wer bin ich im Internet?
Solange du nur zum Spaß online bist, reichen Username und Passwort. Beides kannst du dir meistens selbst ausdenken.
Aber spätestens, sobald Geld im Spiel ist, musst du irgendwie beweisen, wer du wirklich bist.
Weißt du, wie viele Accounts du hast? Jede Wette: eher nicht. Kaum jemand hat noch den Überblick, wo man sich mal angemeldet hat und wie das Passwort heißt. Die Universität in Oxford hat in einer Studie herausgefunden, dass ein Viertel aller Menschen mindestens ein Mal am Tag ein Passwort vergisst.
Tolle Idee: Ein Login für viele Accounts
Wie super wäre es, wenn man ein Passwort hat, das (fast) überall funktioniert? Das dachten sich auch beispielsweise Google und Facebook. Vielleicht hast du sogar schon einen Account bei einer Website, bei der du die Option hattest, dich mit Google oder Facebook mit einem einzigen Mausklick zu registrieren (statt mühsam ein Formular auszufüllen).
Das, was Google und Facebook da anbieten, nennt man ‘Identity Ecosystem’ (Identitäts-Ökosystem). Alle Websites, die dem Ökosystem angehören, können ihre Logins über diese Identity Provider des jeweiligen Identity Ecosystems laufen lassen.
Wie sicher sind meine persönlichen Daten?
Ist doch nett von Google und Facebook, dass sie so ein Service gratis anbieten, oder? Naja, ganz gratis ist das nicht. Denn für die Internetgiganten, die ihre kommerziellen Interessen verfolgen, sind die Daten ihrer Nutzer:innen wertvolles Gut. Datenschützer:innen haben ernste Bedenken, Digitale Identitäten diesen großen US-Firmen zu überlassen.
In der Praxis ist eine Identität, die du bei Google anlegst, auch nicht viel wert. Du kannst immer noch behaupten, dein echter Name sei Susi Sorglos oder Hugo Herrlich, frei nach dem alten Motto ‘On the internet, nobody knows you’re a dog.’ Für viele Services, die du im Lauf deines Lebens vielleicht auch online nutzen willst, reicht das nicht.
Fälschungssicherer Generalschlüssel fürs Online-Leben
Eine solide Digitale Identität ist wie ein Generalschlüssel – für Musikdienste, Streamingdienste und selbst für Behördenwege und Bankgeschäfte. Sie muss daher so fälschungssicher sein wie dein Pass oder dein Personalausweis. Deine digitale Identität muss außerdem technisch so abgesichert sein, dass Kriminelle keine Chance haben, deine Konten zu knacken oder auf deine Kosten im Online-Versand zu bestellen.
Die Bank muss wissen, wer du bist
Klar, dass es etwas anderes ist, wenn du übers Handy von deinem Bankkonto etwas überweisen willst, als wenn du in ein Forum postest. Eine Bank muss sich 100 % sicher sein, dass du es wirklich bist. Denn sonst könnte ja jede:r kommen und sich einfach an deinem Bankkonto bedienen.
Aber noch aus einem anderen Grund muss die Bank unbedingt wissen, wer du bist. Das schreibt nämlich das Geldwäschegesetz (GwG) vor. Das Prinzip heißt ‘Know your customer’ (KYC – Kenn deine Kundin/deinen Kunden). Die Bank muss deine Identität zweifelsfrei feststellen: Ohne amtlichen Lichtbildausweis kannst du kein Konto eröffnen. Erst nach dieser Identitätsüberprüfung bekommst du ein Login für die Online-Services der Bank. Auch das ist eine digitale Identität. Und zwar eine, die verifiziert (überprüft) ist – im Gegensatz zu einem Account bei Google oder Facebook.
Eine solche verifizierte digitale Identität brauchst du beispielsweise auch, wenn du bestimmte Versicherungen oder einen Handyvertrag online abschließen willst. Es wäre daher praktisch, wenn du eine App hättest, mit der du jederzeit ‘amtlich beglaubigt’ beweisen kannst, wer du bist. Eben eine Digitale Identität.
Estland: Schon Babys mit Digitaler Identität
In Österreich gibt es mit der Handysignatur einen ersten Ansatz einer Digitalen Identität, der sich aber noch nicht wirklich durchgesetzt hat. Anders ist das in Estland. Da bekommen Babys gleich nach der Geburt einen elfstelligen Code zugewiesen, der sie ihr Leben lang begleitet – ob auf dem gedruckten Ausweis oder als ID für ihre Digitale Identität.
In Estland ist das Handy so wertvoll wie ein amtlicher Ausweis. Außer Heiraten kann man in diesem baltischen Staat so ungefähr alles digital erledigen. Der Staat und seine Bürger:innen sind zwar digital verbunden, der Staat kontrolliert aber nicht die Daten. Estland verwendet zur Verwaltung und Speicherung der Digitalen Identitäten ein Blockchain-System. Das heißt, dass die Daten nicht zentral bei der Regierung, sondern dezentral auf vielen Laptops und Handys gespeichert sind. Leg hier vielleicht mal drei Minuten ein, um den Artikel ‘Was ist Blockchain?’ zu lesen.
Selbstbestimmte Digitale Identität
Nach dem Prinzip der Selbstbestimmung kann jede Person selbst entscheiden, welche Daten sie für welche Zwecke weitergibt. Kaufst du mit deiner Digitalen Identität Aktien, dann braucht die Bank deine Kontonummer, aber nicht deine Führerscheinnummer. Hast du eine Führerscheinkontrolle, dann geht die Polizei deine Kontonummer nichts an.
China: Ich bin mein Handy
In China verwendet die Regierung Digitale Identitäten komplett anders als Estland. Wer dort ein Handy kauft, muss einen Gesichtsscan machen lassen. Handynummer und das unverwechselbare Gesicht werden damit eine Einheit, die mitsamt vieler anderer Daten auf den Regierungsservern gespeichert werden.
Damit ist man überall – selbst in einer Menschenmenge – relativ leicht identifizierbar. Ohne Handynummer kann man sich nirgends registrieren, nicht einmal auf dem Shoppingportal Alibaba oder auf Blogs. In China sollen die amtliche Identität und die digitale Identität gleich sein. Damit gibt es dort totale Kontrolle: über alles, was die Menschen posten, kaufen oder anschauen, über jeden Ort, wo sie hingehen. Diese Macht über persönliche Daten sollte in den liberalen Staaten der EU niemand haben – keine Institution, keine Regierung und auch kein US-amerikanischer Internetgigant.