Vier Monate nach Inkrafttreten der EU-Verordnung 2024/1183, die die EU-Verordnung 910/2014 über elektronische Identifizierung und Vertrauensdienste (eIDAS) ändert und einen Rahmen für die europäische digitale Identität (EUDI) sowie entsprechende digitale Identitätsgeldbörsen und neue qualifizierte Vertrauensdienste einführt, haben zwei Veranstaltungen in Heraklion (Griechenland) einen ganzheitlichen Überblick über die rechtlichen, technischen, operativen und kommunikativen Herausforderungen gegeben.
Das Forum für Vertrauensdienste und eID am 25. September, gefolgt vom CA-Day am nächsten Tag, bot wertvolle Einblicke in die sich rasch entwickelnde Landschaft der digitalen Identität und Vertrauensdienste in Europa. Das Forum war die zehnte Ausgabe einer jährlichen Veranstaltungsreihe, die von der Agentur der Europäischen Union für Cybersicherheit (ENISA) mit Unterstützung der Europäischen Kommission organisiert wurde, während der CA-Day zum sechzehnten Mal stattfand. Heraklion wurde als Gastgeberstadt ausgewählt, da ENISA dort 2004 gegründet wurde.
Etwa 250 Teilnehmende versammelten sich vor Ort, und viele Hunderte mehr waren online zugeschaltet. Das Publikum bestand aus einer breiten Palette von Expert:innen, Branchenführer:innen, politischen Entscheidungsträger:innen und Vertreter:innen von Datenschutzorganisationen, Verbraucherverbänden, Aufsichtsbehörden und Konformitätsbewertungsstellen. Namirial trug mit seiner Expertise bei, indem Compliance-, Technologie- und Geschäftsentwicklungsexperten vor Ort an vielen Gesprächen teilnahmen und Einblicke gaben, wie künstliche Intelligenz verantwortungsbewusst in Kombination mit digitalen Vertrauensdiensten für verschiedene Zwecke eingesetzt werden kann, um zuverlässige intelligente Vertrauensdienste zu schaffen.
Namirial brachte seine Expertise ein, indem Compliance-, Technologie- und Geschäftsentwicklungsexperten vor Ort waren, um an vielen Gesprächen teilzunehmen und Einblicke zu geben, wie künstliche Intelligenz verantwortungsbewusst in Kombination mit digitalen Vertrauensdiensten für verschiedene Zwecke eingesetzt werden kann, um zuverlässige intelligente Vertrauensdienste zu schaffen. Wir teilten Erkenntnisse zu Anwendungsfällen für künstliche Intelligenz in der Betrugsprävention, zur Bereitstellung von Beweisen, zur Verbesserung der Benutzererfahrung und zur Senkung der Betriebskosten.
Bequemer Marktüberblick: eIDAS-Dashboard
Das eIDAS-Dashboard schlägt eine zentrale Plattform vor, die interessierten Parteien und Akteur:innen des Digitalen Binnenmarktes einen einfachen und transparenten Zugang zu Informationen und Tools für Vertrauensdienste und elektronische Identifizierung ermöglicht. Das Dashboard listet zum 7. Oktober 2024 247 aktive qualifizierte Vertrauensdienstanbieter in 29 Ländern auf. Es wird kontinuierlich verbessert, wobei neue Dienste hinzugefügt werden.
In den nächsten Monaten wird erwartet, dass der EU/EEA Trusted List Browser beispielsweise Listen von Vertrauensdienstanbietern für qualifizierte elektronische Attributsbescheinigungen (QEEA) anzeigt.
EU als globales Modell für Vertrauensdienste
Einige Referent:inneen und Teilnehmende der beiden Veranstaltungen reisten aus Amerika, Asien, Afrika und dem Nahen Osten an, da diese Veranstaltungen zeigten, wie Europa den Standard für Vertrauensdienste auf globaler Ebene setzt. Da andere Regionen zunehmend auf das EU-Modell für digitale Identität und Vertrauensrahmen schauen, finden europäische Anbieter Chancen, über den Kontinent hinaus zu expandieren. Märkte in Afrika, Asien und Amerika beginnen, ähnliche Rahmenbedingungen zu übernehmen, was einen fruchtbaren Boden für europäische qualifizierte Vertrauensdienstanbieter schafft, um einzutreten und sich zu etablieren.
Europäische digitale Identitäts-Wallet: Ein Game Changer mit Vorbedingungen
Die europäische digitale Identitäts-Wallet (EUDI-Wallet) soll die Art und Weise, wie Bürger:innen und Unternehmen mit digitalen Dienstleistungen interagieren, revolutionieren und sicheren grenzüberschreitenden Zugang bieten. Trotz ihres enormen Potenzials ist die aktuelle Landschaft von Unsicherheiten geprägt, mit laufenden Debatten über das Tempo der Umsetzung und die langfristigen Auswirkungen.
Eine bedeutende Entwicklung ist die Schaffung der Europäischen Digital Identity Cooperation Group (EIDIC), die die bestehende eIDAS-Expert:inneengruppe ersetzen wird und eine zentrale Rolle im Management des Übergangs zur EUDI-Wallet spielen wird. Damit die Geldbörse jedoch wirklich gedeihen kann, muss sie nicht nur von privaten Unternehmen, sondern auch von einzelnen Nutzer:innen angenommen werden. Der Schlüssel zur breiten Akzeptanz wird sein, ob die Wallet klare Vorteile bietet und sich sowohl als nützlich als auch benutzerfreundlich erweist. Ohne diese realen Bedürfnisse anzusprechen, könnte die Akzeptanz zurückbleiben, was die vollständige Verwirklichung ihres transformativen Potenzials in ganz Europa einschränken könnte.
Geschäft ist global, Vertrauen ist lokal
Ein wichtiges Thema, das aus Präsentationen und Podiumsdiskussionen hervorging, war die empfindliche Balance zwischen globalen Geschäftsmöglichkeiten und der lokalen Natur des Vertrauens. Während sich Europa als globaler Führer in digitalen Identitätsstandards positioniert, bleibt Vertrauen tief in nationalen Rahmenbedingungen verankert. Diese Dichotomie prägt weiterhin die Zukunft von eIDAS und der EUDI-Wallet, während die Mitgliedstaaten sich an die neuen Anforderungen anpassen.
Umsetzungsakte: Standards hinken hinterher
Die Umsetzung der EU-Verordnung 2024/1183 (manchmal als „eIDAS2“ bezeichnet), insbesondere des ersten Satzes von Durchführungsakten für den 21. November 2024, steht weiterhin vor Herausforderungen, wie die vielen Kommentare während der Konsultationsphase, die am 9. September endete, zeigen. Ein zentrales Problem ist das Fehlen verfügbarer Standards, was bedeutet, dass diese Akte noch nicht zu einem vollständig standardisierten Rahmen führen werden. Daher empfahlen die Teilnehmenden des Forums und des CA-Days, die bereits unter der EU-Verordnung 910/2014 geschaffenen Werkzeuge wie qualifizierte elektronische Siegel zu maximieren, um die Lücke zu überbrücken, während Standards entwickelt werden. Namirial trug Kommentare zu Entwürfen zu Durchführungsakten über Zertifizierung, Protokolle und Schnittstellen, Personendaten (PID) und elektronische Attributsbescheinigungen (EAA), Integrität und Kernfunktionen bei. Namirial nahm kürzlich an dem ETSI/CEN-Workshop zu EU-Digital-Identity-Rahmenstandards in Sophia Antipolis Mitte September 2024 teil.
EUDI-Wallet-Zertifizierung: Nationale Unterschiede zu erwarten
Die Ankündigung von ENISA zur Vorbereitung des Zertifizierungsschemas für die EUDI-Wallet wurde als positiver Schritt zur Gewährleistung von Vertrauen und Sicherheit angesehen. Dieses Schema soll die Zertifizierungsstandards für die EUDI-Wallet harmonisieren und es den EU-Mitgliedstaaten ermöglichen, einen standardisierten Rahmen für ihre nationalen digitalen Identitätssysteme zu übernehmen. Ein Aufruf an Expert:innen zur Mitwirkung in dieser Arbeitsgruppe wird in Kürze veröffentlicht, was die Tür für eine Zusammenarbeit bei dieser wichtigen Initiative öffnet. Allerdings könnte die nationale Anwendung dieser Zertifizierungen unterschiedlich ausfallen, was zu verschiedenen Regeln und Ansätzen in den Mitgliedstaaten führen könnte. Dies könnte ein erhebliches Hindernis für die grenzüberschreitende Interoperabilität und die Akzeptanz durch die Nutzer:innen darstellen.
Elektronische Attributsbescheinigung könnte neuer Umsatztreiber werden
Die Attributsbescheinigung, auch bekannt als verifiable credentials, könnte in den kommenden Jahren zu einem wichtigen Umsatztreiber werden und die Landschaft der digitalen Identität weiter umgestalten. Mehrere Marktumfragen unter qualifizierten Vertrauensdienstanbietern haben gezeigt, dass dies eines der Segmente ist, auf die viele setzen. Es gibt jedoch einige unbekannte Faktoren bei der Schaffung nachhaltiger Geschäftsmodelle, wie den Zugang zu authentischen Quellen, der auf nationaler Basis reguliert wird, was in einigen Ländern zu protektionistischen Ansätzen führen kann. Weitere Hürden in diesem Segment könnten ein Mangel an Digitalisierung solcher Quellen und differenzierte Verantwortlichkeiten in einigen EU-Ländern mit einem starken Fokus auf Föderalismus sein.
Wallet-Sicherheit: Ist Phishing das eigentliche Problem?
Sicherheitsbedenken hinsichtlich der EUDI-Wallet wurden ausführlich diskutiert, doch ein wichtiger Erkenntnisgewinn ergab sich aus den Erfahrungen mit aktuellen eID-Apps wie itsme in Belgien und MitID in Dänemark. Der Vertreter der nationalen elektronischen Identifizierungssysteme behauptete, dass ihre Apps sich als sicher erwiesen haben, wobei das größte Risiko von Phishing-Angriffen auf Endbenutzer:innen ausgeht, nicht von Mängeln in der Hardware- oder App-Sicherheit. Dies wirft die Frage auf, ob ein übermäßiger Fokus auf die Sicherheit der Hardware die Marktakzeptanz behindern könnte, ohne die tatsächlichen Bedrohungen anzugehen, die im Nutzerverhalten liegen. Eine stärkere Nutzerbildung, Anleitung und Schutz gelten als entscheidend, um diese Risiken zu adressieren. In Deutschland wurde das Smart-eID-Projekt, das einen starken Fokus auf ein sicheres Element in Smartphones hatte, Ende 2023 gestoppt. Die Erkenntnisse aus diesem Projekt werden in das Large Scale Pilot Potential übertragen.
Großversuche liefern Nachweise für die Bereitschaft
Namirial befindet sich im Large Scale Pilot Potential. Eine Woche vor den Veranstaltungen in Heraklion beteiligten sich Expert:innen für digitale Signaturen von Namirial an einem Hackathon in Den Haag, um den Anwendungsfall qualifizierter elektronischer Signaturen zu bearbeiten, bei dem die Teilnehmenden erfolgreich demonstrierten, dass der bestehende Markt für qualifizierte elektronische Signaturen und qualifizierte Signaturerstellungseinheiten bereit ist, eIDAS 2.0 sowohl für nicht-professionelle als auch für professionelle Nutzung zu unterstützen.
Datenzentralisierung vs. Dezentralisierung: Ein Risiko für Endbenutzer:innen?
Eine weitere entscheidende Debatte drehte sich um die Frage, wo sensible Daten gespeichert werden sollten. Da das höchste Risiko von Identitätsdiebstahl mit dem Verhalten des Endbenutzers verbunden ist, fragten einige Expert:innen, ob es sinnvoll ist, den Nutzer:innen zu erlauben, ihre sensiblen ID-Daten auf ihren eigenen Geräten zu speichern. Dezentrale Speicherung könnte die Risiken erhöhen, insbesondere wenn Benutzer:innen dazu verleitet werden, ihre Anmeldeinformationen preiszugeben. Dieses Problem bleibt ungelöst, verdeutlicht jedoch das empfindliche Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit.
Synergien nutzen: Zusammenarbeit von Regierung und Privatsektor für ein stärkeres digitales Ökosystem
Ein zentrales Thema war das Potenzial für staatliche Institutionen, mit privaten Dienstleistungen zusammenzuarbeiten, anstatt gegen sie zu konkurrieren. Beispielsweise zeigt Deutschlands kürzliche Entscheidung, den Markt für private digitale Geldbörsen zu öffnen, wie Regierungen Innovationen fördern können, während sie Sicherheit und Compliance gewährleisten. Da immer mehr Nationen ihre eigenen Umgebungen für die öffentliche Schlüssel-Infrastruktur (PKI) entwickeln, gibt es spannende Möglichkeiten, private Angebote zu ergänzen und ein robusteres und sichereres eSignature-Ökosystem zu schaffen. Mit e-Signaturen in der EUDI-Wallet, die potenziell von nationalen Institutionen bereitgestellt werden, sollte das Ziel darin bestehen, staatlich geführte Initiativen zu nutzen, um die Innovation im Privatsektor voranzutreiben und sicherzustellen, dass Wettbewerb und Innovation unter einer gemeinsamen Vision gedeihen.
Zukünftige Richtungen klären für größere Chancen
Die Diskussion hob auch die Notwendigkeit klarerer Definitionen hervor, insbesondere hinsichtlich „e-Signaturen für nicht-kommerzielle Nutzung“. Durch die Behebung dieser Unklarheiten können die Stakeholder:innen sicherstellen, dass Unternehmen, Regierungen und Einzelpersonen gleichermaßen von den Fortschritten profitieren, die in der EU-Verordnung 2024/1183 festgelegt sind. Dies bietet eine hervorragende Gelegenheit, eine kohärente und inklusive Zukunft für das e-Signature-Geschäft in ganz Europa zu gestalten.
Grenzüberschreitende Interoperabilität: Herausforderungen in Sicht
Ein wiederkehrendes Thema war die Herausforderung der grenzüberschreitenden Interoperabilität, die entscheidend für den Erfolg von eIDAS2 und der EUDI-Wallet bleibt. Während es ein wesentlicher erster Schritt ist, eID und QES in ganz Europa verfügbar zu machen, wird erwartet, dass die Mitgliedstaaten unterschiedliche Regeln für deren Nutzung anwenden, insbesondere in Sektoren wie Personalwesen. Dies könnte das Potenzial der EUDI-Wallet einschränken, als wirklich pan-europäische Lösung zu dienen.
Zukunftsausblick: Doppelstaatsbürgerschaft, Integration ausländischer IDs und Onboarding
Mehrere komplexe Fragen wurden hinsichtlich der Praktikabilität der Nutzung der EUDI-Wallet aufgeworfen. Wie werden Geldbörsen mit Doppelstaatsbürgerschaften umgehen? Dürfen ausländische Staatsangehörige ihre eigenen nationalen Geldbörsen nutzen, während sie in anderen EU-Mitgliedstaaten leben, oder müssen sie gezwungen werden, ihre ausländischen IDs in lokale Geldbörsen zu integrieren? Darüber hinaus bleibt der Prozess des Remote-Onboardings eine kritische Frage, wobei einige Mitgliedstaaten wahrscheinlich persönliche Administrationen verlangen, während andere flexiblere Lösungen wählen könnten.
Regionale Unterschiede bleiben: Sowohl Herausforderung als auch Chance
Die EU- und EEA-Mitgliedstaaten werden weiterhin in unterschiedlichen regulatorischen Umgebungen mit unterschiedlichen Serviceangeboten operieren. Diese Heterogenität schafft eine komplexe Landschaft, in der eine „One-Size-Fits-All“-Lösung möglicherweise nicht machbar ist. Allerdings bieten diese Unterschiede auch Chancen für Innovationen und maßgeschneiderte Lösungen – wie im Fall der EU-Verordnung 910/2014, bei der ein fundiertes Verständnis der komplexen regulatorischen Landschaft in verschiedenen Ländern es vielen Organisationen ermöglichte, von der Auswahl qualifizierter Vertrauensdienstanbieter in der gesamten EU und EEA zu profitieren und von Lösungen zu profitieren, die eine einfache Compliance ermöglichen und erhebliche Wettbewerbsvorteile bieten.
Fazit: Chancen und Unsicherheiten
eIDAS2 bietet zweifellos eine Fülle neuer Chancen, aber entscheidende Details müssen noch geklärt werden, um eine breitere Akzeptanz zu gewährleisten. Bedenken hinsichtlich der Zertifizierung der Hardwaresicherheit, unklare Zugänge zu authentischen staatlichen Quellen und unterschiedliche nationale Regeln drohen, die Umsetzung zu verlangsamen. Diese Herausforderungen müssen angegangen werden, wenn Europa erfolgreich zur EUDI-Wallet übergehen und das volle Potenzial von Vertrauensdiensten auf dem Kontinent ausschöpfen will. Wie das Forum zeigte, wird die Zusammenarbeit zwischen öffentlichem und privatem Sektor entscheidend sein, um in dieser komplexen Landschaft zu navigieren. Namirial engagiert sich voll und ganz für eine solche Zusammenarbeit.