Digital Wallet Assurance: Rahmenwerke der EU, USA und Australien

Die Welt bewegt sich rasant in Richtung digitaler Identitäten, und Digital Wallets werden zum wichtigsten Instrument, um Nachweise zu verwalten. Aber wie vertrauenswürdig sind diese Wallets? Ihr Wert hängt vollständig von der Stärke der dahinterstehenden Assurance-Rahmenwerke ab. In diesem Artikel werfen wir einen Blick auf die Landschaften der digitalen Identitätssicherung und Authentifizierung von drei großen globalen Akteuren: der Europäischen Union mit eIDAS 2.0, den Vereinigten Staaten mit NIST SP 800-63 und Australien mit seinem TDIF/AGDIS-Rahmenwerk.

Wir werden die Kernprinzipien untersuchen, die weltweit überraschend ähnlich sind, wie risikobasierte Vertrauensniveaus und die entscheidende Rolle der Biometrie bei der Verknüpfung eines digitalen Credentials mit einer realen Person. Wir werden jedoch auch die signifikanten Unterschiede in ihrer Architektur und Regulierung aufdecken. Wir analysieren das granulare, flexible Modell der USA, den einheitlichen, interoperablen Ansatz der EU und das hybride System Australiens.

Ein zentrales Thema, das wir untersuchen, ist das Spannungsfeld zwischen gerätezentrierter Sicherheit und benutzerfreundlichen, kontenbasierten Ansätzen, insbesondere wie große Player wie Apple und Google Cloud-Konten über gerätegebundene Credentials legen. Wir werden auch die praktischen Schritte des Credential-Onboardings detailliert beschreiben und erklären, warum die „Re-Enrollment-Steuer“ – also der Aufwand, die eigene Identität für jedes neue Gerät erneut nachzuweisen – ein bewusstes Sicherheitsmerkmal und kein Fehler ist.

Schließlich werfen wir einen genaueren Blick auf die einzigartigen Aspekte der European Digital Identity (EUDI) Wallet und die Macht der Qualifizierten Elektronischen Signaturen (QES) innerhalb der EU, die die gleiche rechtliche Gewichtung wie eine handschriftliche Unterschrift haben. Am Ende dieses Artikels werden Sie ein umfassendes Verständnis der komplexen und sich entwickelnden Landschaft der globalen digitalen Identität sowie der strategischen Entscheidungen haben, vor denen Entwickler, Regierungen und Nutzer gleichermaßen stehen.

Im digitalen Raum ist Identität kein binäres Konzept von bekannt oder unbekannt; es ist ein Spektrum des Vertrauens. Ein Vertrauensniveau (Level of Assurance, LoA) quantifiziert dieses Vertrauen und repräsentiert den Grad der Sicherheit, dass eine Person, die eine bestimmte Identität beansprucht, tatsächlich der „wahre“ Inhaber dieser Identität ist. Dieses Maß ist die Grundlage des digitalen Vertrauens und untermauert jede sichere Transaktion und Interaktion. Ein höheres LoA bedeutet einen strengeren Prozess der Identitätsprüfung und Authentifizierung, was wiederum das Risiko von Identitätsbetrug, unbefugtem Zugriff und anderen Formen des Missbrauchs verringert.

Ein höheres Vertrauensniveau zu erreichen, ist jedoch nicht ohne Kosten. Die erforderlichen Prozesse – wie die persönliche Verifizierung oder die Verwendung spezieller Hardware – können sowohl für den Nutzer (den Identitätsinhaber) als auch für den Dienstanbieter (die Relying Party) erhebliche Kosten und Unannehmlichkeiten verursachen. Diese inhärente Reibung kann Zugangshürden schaffen und potenziell zum Ausschluss von Personen führen, denen die notwendigen Dokumente, technischen Mittel oder die Fähigkeit zur Bewältigung komplexer Verfahren fehlen. Folglich ist die Wahl eines angemessenen LoA nicht nur eine technische Entscheidung, sondern eine kritische Risikomanagementübung, die darauf abzielt, ein empfindliches Gleichgewicht zwischen Sicherheit, Benutzerfreundlichkeit und dem Potenzial für Ausgrenzung zu finden.

Dieses Gleichgewicht wird durch die potenziellen Auswirkungen eines Authentifizierungsfehlers bestimmt. Für Aktivitäten mit geringem Risiko, wie das Erstellen eines Kontos in einem öffentlichen Forum oder das Ändern einer Postanschrift, kann ein niedrigeres LoA vollkommen akzeptabel sein. Die Folgen eines Fehlers sind minimal. Umgekehrt ist für Transaktionen mit hohem Risiko, wie dem Zugriff auf sensible Finanz- oder Gesundheitsdaten, der Initiierung großer Geldüberweisungen oder der Unterzeichnung rechtsverbindlicher Verträge, ein viel höheres LoA erforderlich, um das schwerwiegende Schadenspotenzial zu mindern.

Die Wahl eines Assurance-Rahmenwerks und seiner erforderlichen Niveaus geht daher über die technische Umsetzung hinaus und wird zu einem Instrument der Wirtschafts- und Sozialpolitik. Ein Rahmenwerk, das die Messlatte für die Sicherheit zu hoch anlegt, kann eine undurchdringliche Festung schaffen, die zwar sicher, aber für einen erheblichen Teil der Bevölkerung unzugänglich ist, was die digitale Akzeptanz und wirtschaftliche Teilhabe bremst. Umgekehrt lädt ein Rahmenwerk mit zu niedrigen Standards zu weit verbreitetem Betrug ein, der das Vertrauen von Verbrauchern und Unternehmen untergräbt und letztendlich der digitalen Wirtschaft schadet, die es unterstützen soll. Dieses grundlegende Spannungsfeld prägt die unterschiedlichen Ansätze der großen globalen Volkswirtschaften und formt ihre digitalen Ökosysteme entsprechend ihrer einzigartigen regulatorischen Philosophien und gesellschaftlichen Prioritäten.

Früher war das Vertrauensniveau ein monolithisches Konzept. Eine neue Entwicklung im Bereich der digitalen Identität war die Dekonstruktion dieses Konzepts durch das U.S. National Institute of Standards and Technology (NIST) in seiner Special Publication 800-63, Revision 3. Diese Überarbeitung zerlegte das LoA in drei verschiedene, voneinander unabhängige Komponenten, was ein präziseres und granulareres Risikomanagement ermöglicht: Identity Assurance Level (IAL), Authenticator Assurance Level (AAL) und Federation Assurance Level (FAL).

Diese Trennung der Verantwortlichkeiten ist eine grundlegende architektonische Abweichung von dem eher einheitlichen Modell, das in der Europäischen Union verwendet wird. Das NIST-Modell ermöglicht es einem Dienstanbieter, das Risiko der Registrierung vom Risiko des Zugriffs zu entkoppeln. Beispielsweise könnte eine Regierungsbehörde eine sehr vertrauenswürdige, persönliche Identitätsprüfung (IAL3) verlangen, um ein digitales Credential für den Zugriff auf sensible Daten auszustellen. Für den anschließenden routinemäßigen Zugriff zur Ansicht dieser Daten könnte sie jedoch nur eine Multi-Faktor-Authentifizierung mittlerer Stärke (AAL2) verlangen. Diese Flexibilität ermöglicht eine nuanciertere Anwendung von Sicherheitskontrollen, die auf spezifische Aktionen innerhalb eines Dienstes zugeschnitten sind.

Im Gegensatz dazu verwendet das eIDAS-Rahmenwerk der EU ein einheitliches LoA (Niedrig, Substanziell, Hoch), das sowohl die Registrierungs- als auch die Authentifizierungsaspekte umfasst. Bei der Zuordnung zwischen den beiden Systemen wird die Gesamtsicherheit eines Dienstes durch sein schwächstes Glied bestimmt. Beispielsweise würde ein System, das mit dem höchsten Niveau der Identitätsprüfung (IAL3) und Föderation (FAL3) konzipiert wurde, aber nur ein moderates Authentifizierungsniveau (AAL2) verwendet, als Äquivalent zum eIDAS LoA „Substanziell“ und nicht „Hoch“ eingestuft. Diese Unterscheidung hat tiefgreifende Auswirkungen für Entwickler und Architekten, die globale Systeme bauen, da sie eine Wahl erzwingt: entweder für die höchste Granularität (NIST) zu entwerfen und dies dann auf das einfachere EU-Modell herunterzubrechen, oder separate Logikflüsse beizubehalten, um der unterschiedlichen Architekturphilosophie jeder Region zu entsprechen. Das US-Modell priorisiert die Flexibilität des Risikomanagements für die Relying Party, während das EU-Modell Einfachheit und klare Interoperabilität für die grenzüberschreitende Anerkennung priorisiert.

Das Vertrauensniveau ist keine abstrakte technische Bewertung; es ist der primäre Gatekeeper, der bestimmt, was ein Nutzer in der digitalen Welt tun darf. Das LoA, das einer digitalen Identität zugewiesen oder von einem Dienst verlangt wird, diktiert direkt den Umfang der Transaktionen, die Sensibilität der Daten, auf die zugegriffen werden kann, und die rechtliche Gewichtung der durchgeführten Aktionen.

Am unteren Ende des Spektrums gewährt eine Identität mit einem niedrigen Vertrauensniveau – typischerweise eine, die selbst deklariert und nicht verifiziert ist – Zugang zu Diensten mit geringem Risiko. Dazu gehören Aktivitäten wie die Teilnahme an Online-Foren, das Erstellen eines einfachen Webmail-Kontos oder der Zugriff auf öffentlich zugängliche Websites, bei denen die Folge eines unbefugten Zugriffs vernachlässigbar ist.

Wenn das Vertrauensniveau auf „Substanziell“ ansteigt, erhält der Nutzer Zugang zu einem viel breiteren und sensibleren Spektrum von Diensten. Dieses Niveau erfordert in der Regel, dass die Identität des Nutzers anhand offizieller Dokumente verifiziert wurde und schreibt die Verwendung von Multi-Faktor-Authentifizierung (MFA) vor. Folglich ist es der Standard für viele gängige und wichtige digitale Interaktionen. Beispiele für Dienste, die mit LoA Substanziell freigeschaltet werden, sind:

• Zugriff auf Online-Portale von Regierungen, um Steuern einzureichen oder Sozialleistungen zu prüfen.
• Durchführung von Online-Banking-Transaktionen.
• Zugriff auf persönliche Gesundheitsakten oder Versicherungsinformationen.
• Interaktion mit Versorgungsunternehmen oder Telekommunikationsanbietern.

Das höchste Vertrauensniveau, „Hoch“, ist für die kritischsten und risikoreichsten Transaktionen reserviert, bei denen die Folgen eines Authentifizierungsfehlers schwerwiegend sein könnten und zu erheblichen finanziellen Verlusten, rechtlicher Haftung oder Schäden für Einzelpersonen oder das öffentliche Interesse führen könnten. Das Erreichen dieses Niveaus erfordert die strengsten Methoden der Identitätsprüfung, oft mit persönlicher oder überwachter Fernverifizierung, und die Verwendung von hardwarebasierten, manipulationssicheren Authenticators. Dienste, die LoA Hoch verlangen, umfassen:

• Elektronisches Unterzeichnen von rechtsverbindlichen Dokumenten mit der gleichen Gewichtung wie eine handschriftliche Unterschrift, wie z. B. Immobilienverträge oder große Kreditverträge.
• Zugriff auf hochsensible Daten von Regierungen oder Unternehmen.
• Durchführung von hochwertigen Finanztransaktionen oder großen Geldüberweisungen.
• Autorisierung von elektronischen Rezepten für kontrollierte Substanzen.
• Ausstellung von grundlegenden Identitätsdokumenten selbst, wie z. B. einem Reisepass.

Ein digitales Identitätssystem, das mehrere Vertrauensniveaus unterstützen kann, ermöglicht eine flexible und risikogerechte Architektur, die es den Nutzern erlaubt, ihr Vertrauensniveau bei Bedarf für verschiedene Transaktionen zu erhöhen. Ein mit LoA Hoch erlangtes Identitäts-Credential kann mit Zustimmung des Nutzers für den Zugriff auf Dienste verwendet werden, die ein substanzielles oder niedriges Vertrauensniveau erfordern, aber das Gegenteil ist nicht der Fall. Diese Hierarchie stellt sicher, dass das etablierte Vertrauensniveau immer dem damit verbundenen Risiko angemessen ist.

Während Nationen ihre digitalen Infrastrukturen ausbauen, kodifizieren sie Vertrauen durch unterschiedliche Assurance-Rahmenwerke. Obwohl sie oft gemeinsame Wurzeln in internationalen Standards wie ISO 29115 haben, zeigen die spezifischen Implementierungen in der Europäischen Union, den Vereinigten Staaten und Australien unterschiedliche Prioritäten in Bezug auf Interoperabilität, Flexibilität und Sicherheit.

Der Ansatz der Europäischen Union zur digitalen Identität ist in der eIDAS-Verordnung (Electronic Identification, Authentication and Trust Services) verankert, die darauf abzielt, ein vorhersehbares und interoperables rechtliches Umfeld für elektronische Transaktionen in allen Mitgliedstaaten zu schaffen. Das aktualisierte eIDAS 2.0-Rahmenwerk erweitert diese Vision, indem es die Schaffung der EU Digital Identity (EUDI) Wallet vorschreibt, einer persönlichen digitalen Brieftasche für jeden Bürger, Einwohner und jedes Unternehmen.

Im Herzen von eIDAS stehen drei Vertrauensniveaus (LoA): Niedrig, Substanziell und Hoch. Diese Niveaus bieten ein einheitliches Maß für das Vertrauen in ein elektronisches Identifizierungsmittel (eID), das den gesamten Lebenszyklus von der Registrierung bis zur Authentifizierung umfasst. Dieser einheitliche Ansatz soll die gegenseitige Anerkennung vereinfachen; ein von einem Mitgliedstaat auf einem bestimmten LoA notifiziertes eID-Mittel muss von allen anderen Mitgliedstaaten für Dienste anerkannt werden, die das gleiche oder ein niedrigeres LoA erfordern. Die Niveaus sind wie folgt definiert:

Obwohl eIDAS die Niveaus definiert, schreibt es keine spezifischen Technologien vor, was den Mitgliedstaaten ermöglicht, ihre eigenen nationalen eID-Systeme zu entwickeln, die ihren lokalen Kontext widerspiegeln, wie Dänemarks MitID (das alle drei LoAs unterstützt) oder Belgiens itsme® (das auf LoA Hoch operiert).

Das Rahmenwerk der Vereinigten Staaten, definiert durch die NIST Special Publication 800-63-3, verfolgt einen granulareren und komponentenorientierten Ansatz zur Sicherung. Anstelle eines einzigen, einheitlichen LoA trennt es den Prozess in drei verschiedene Assurance Levels: Identity (IAL), Authenticator (AAL) und Federation (FAL). Dieses Modell bietet Bundesbehörden und anderen Organisationen ein flexibles Toolkit, um eine Digital Identity Risk Assessment (DIRA) durchzuführen und Sicherheitskontrollen präzise auf die Risiken spezifischer Transaktionen zuzuschneiden.

Identity Assurance Levels (IAL):

Authenticator Assurance Levels (AAL):

Dieses granulare Modell ermöglicht es einer Organisation, die Niveaus nach Bedarf zu kombinieren. Beispielsweise könnte ein System eine einmalige IAL2-Prüfung bei der Registrierung verlangen, den Nutzern dann aber die Wahl zwischen AAL1 (nur Passwort) für risikoarme Aktionen und AAL2 (MFA) für risikoreichere Aktionen innerhalb derselben Anwendung lassen.

Australiens Ansatz, der historisch durch das Trusted Digital Identity Framework (TDIF) geregelt wurde und sich nun zum Australian Government Digital ID System (AGDIS) unter dem Digital ID Act 2024 entwickelt, stellt ein Hybridmodell dar, das Merkmale sowohl mit dem EU- als auch mit dem US-System teilt. Das TDIF trennt die Konzepte der Identitätsprüfung und der Authentifizierungsstärke, ähnlich wie die IAL/AAL-Aufteilung von NIST, verwendet aber seine eigene, unterschiedliche Terminologie.

Identity Proofing (IP) Levels:

Das TDIF definiert eine Reihe von eskalierenden IP-Levels, die auf der Anzahl und Qualität der verifizierten Identitätsdokumente und der Methode zur Bindung des Nutzers an die Identität basieren.

Credential Levels (CL):

Das TDIF definiert die Stärke des Authentifizierungs-Credentials, das für den laufenden Zugriff verwendet wird.

Diese hybride Struktur ermöglicht es australischen Diensten, sowohl die erforderliche Identitätsstärke (IP-Level) als auch die notwendige Authentifizierungsstärke (CL-Level) für den Zugriff festzulegen, was ein risikobasiertes Rahmenwerk ähnlich dem Prinzip von NIST bietet.

Trotz der unterschiedlichen Terminologien und Architekturphilosophien zeichnet sich in den Rahmenwerken der EU, der USA und Australiens ein klares Muster einer dreistufigen Risikohierarchie ab. Durch die Zuordnung ihrer Anforderungen können wir einen allgemeinen Überblick erstellen.

Dieser Vergleich offenbart einen starken zugrunde liegenden Trend: die globale Konvergenz auf biometrische Bindung als entscheidenden Vertrauensanker für hochsichere Identitäten. Während die Rahmenwerke unterschiedliche Sprachen verwenden – NISTs „obligatorische biometrische Erfassung“ bei IAL3, Australiens „Binding Objective“ für IP2+ und höher und die geplante Verwendung von Lebenderkennung in der EUDI Wallet, um LoA Hoch zu erreichen – ist das Prinzip identisch. In allen drei großen westlichen Ökosystemen wird das höchste Niveau an digitalem Vertrauen nicht mehr durch das bloße Überprüfen von Dokumenten oder das Stellen von geheimen Fragen hergestellt. Es wird erreicht, indem ein lebender, anwesender Mensch durch biometrische Verifizierung an seinen autoritativen, von der Regierung ausgestellten Identitätsnachweis gebunden wird. Diese „Liveness-to-Document“-Prüfung, typischerweise ein Gesichtsscan, der mit einem Pass- oder Führerscheinfoto abgeglichen wird, ist zum De-facto-Standard auf internationaler Ebene für die hochsichere digitale Identitätsprüfung geworden. Dies hat Auswirkungen auf den Technologie-Stack jedes Identitätsanbieters und erhebt zertifizierte Lebenderkennung und hochpräzisen biometrischen Abgleich von Mehrwertfunktionen zu zentralen, nicht verhandelbaren Komponenten jeder Plattform, die auf den höchsten Ebenen der digitalen Vertrauenswirtschaft agieren möchte.

Die folgende Tabelle bietet eine direkte vergleichende Analyse und übersetzt die Anforderungen jedes Rahmenwerks in eine gemeinsame Struktur.

Das Vereinigte Königreich, das einst unter das eIDAS-Regime der EU fiel, hat mit einem Assurance-Rahmenwerk, das immer noch internationale Best Practices widerspiegelt, seinen eigenen Weg eingeschlagen. Der Good Practice Guide 45 (GPG45) des Vereinigten Königreichs definiert einen strengen Identitätsprüfungsprozess, der eines von vier Vertrauensniveaus bei einer Identitätsverifizierung ergibt: Niedrig, Mittel, Hoch oder Sehr Hoch. Dieser Ansatz orientiert sich eng an den bekannten mehrstufigen LoA-Modellen; tatsächlich verweist GPG45 explizit auf seine Konformität mit eIDAS, NIST 800-63, ISO/IEC 29115 und Kanadas Pan-Canadian Trust Framework. In der Praxis verwendet GPG45 eine punktbasierte Bewertung von Prüfungen (Dokumentenechtheit, Aktivitätshistorie, biometrischer Abgleich usw.), um das Vertrauensniveau für das Identitätsprofil eines Nutzers zu bestimmen. Aufbauend auf dieser Grundlage führt die britische Regierung ein neues Digital Identity and Attributes Trust Framework (derzeit in der Beta-Version) ein, das Zertifizierungsregeln für Identitätsanbieter und Relying Parties festlegen wird. Ein Hauptziel des britischen Trust Frameworks ist die internationale Interoperabilität – sicherzustellen, dass britische digitale Identitäten im Ausland vertrauenswürdig sind und umgekehrt – während die eigenen Datenschutz- und Sicherheitsprinzipien des Landes gewahrt bleiben. Dies spiegelt eine breitere Strategie wider, mit globalen Standards konvergent zu bleiben, auch wenn das Vereinigte Königreich sein digitales Identitätsökosystem nach der EU-Zeit entwickelt.

Kanadas Ansatz, angeführt vom Digital ID and Authentication Council of Canada (DIACC) durch das Pan-Canadian Trust Framework (PCTF), hat ebenfalls die Kernprinzipien der mehrstufigen Sicherung und Interoperabilität übernommen. Historisch gesehen verwendete Kanada ein vierstufiges Assurance-Modell (Level 1 bis 4), vergleichbar mit den Schemata von NIST und ISO 29115, wobei die meisten föderalen E-Government-Dienste einen „hohen“ Assurance-Login (ungefähr entsprechend Level 3) erforderten. Kanadische Stakeholder haben jedoch erkannt, dass ein einzelnes, zusammengesetztes LoA wichtige Unterschiede in der Art und Weise, wie eine Identität verifiziert wurde, verschleiern kann. Zum Beispiel könnten sehr unterschiedliche Prüfmethoden – sagen wir, eine ferngesteuerte wissensbasierte Verifizierung im Vergleich zu persönlichen Dokumentenprüfungen – beide das gleiche traditionelle LoA erfüllen und dabei die unterschiedlichen Risikoniveaus verdecken. Es herrscht nun breiter Konsens in Kanada, dass die Sicherung granularer und fähigkeitsspezifischer sein muss. Das PCTF entwickelt sich zu einem modernisierten, risikobasierten Modell, das die Sicherung der Identitätsprüfung von der Sicherung des Authenticators (Credential) trennt und damit die von NIST eingeführte IAL/AAL-Unterscheidung widerspiegelt. Diese Entwicklung umfasst ein umfassendes Trust Framework und ein Akkreditierungsprogramm: Identitätsanbieter, Credential-Issuer und Auditoren werden nach gemeinsamen Kriterien zertifiziert, sodass eine in einer Provinz oder einem Sektor geprüfte digitale Identität in einer anderen vertrauensvoll akzeptiert werden kann. Das Ergebnis ist ein konvergenter Ansatz, bei dem das Vereinigte Königreich und Kanada – jeweils durch ihre eigenen Mechanismen – dieselben globalen Normen bekräftigen: hochsichere digitale Identität, die auf einer starken anfänglichen Prüfung (oft mit Biometrie), fortlaufender Multi-Faktor-Authentifizierung und strengen Standards für Datenschutz und Nutzerkontrolle basiert. Beide Länder zeigen beispielhaft, wie unterschiedliche Rechtsordnungen bei der Umsetzung innovativ sein können, während sie mit dem internationalen Vertrauensgefüge, das grenzüberschreitende digitale Transaktionen untermauert, im Einklang bleiben.

Während Assurance-Rahmenwerke die theoretische Grundlage für Vertrauen bieten, bestimmt ihre praktische Anwendung innerhalb von Digital Wallets die reale Sicherheit und Benutzerfreundlichkeit des Systems. Dies umfasst zwei kritische Phasen: die Sicherung des Zugriffs auf die Wallet selbst und den anfänglichen, hochriskanten Prozess des Onboardings eines vertrauenswürdigen digitalen Credentials.

Eine Digital Wallet ist ein sicherer Container für die sensibelsten Nachweise einer Person. Der Schutz dieses Containers ist von größter Bedeutung. Die Sicherheit einer Wallet ist eine mehrschichtige Konstruktion, die bei der physischen Sicherheit des Geräts beginnt und sich bis zu den kryptografischen Protokollen erstreckt, die ihre Verwendung regeln.

Die erste und grundlegendste Verteidigungsschicht ist der geräteeigene Zugriffskontrollmechanismus, wie eine PIN, ein Passwort oder ein biometrischer Scan (z. B. Face ID, Fingerabdruckscan). Dies verhindert, dass ein opportunistischer Angreifer, der physischen Zugriff auf ein entsperrtes Gerät erhält, sofort auf die Wallet zugreifen kann. Diese Schicht allein ist jedoch für hochsichere Operationen unzureichend.

Daher ist eine zweite, unabhängige Authentifizierungsschicht erforderlich, um auf die Wallet-Anwendung selbst zuzugreifen und, was noch wichtiger ist, die Vorlage eines Credentials zu autorisieren. Best Practices und aufkommende Vorschriften, wie das EUDI-Wallet-Rahmenwerk, schreiben eine starke Multi-Faktor-Authentifizierung (MFA) für den Zugriff auf die Funktionen der Wallet vor. Dies beinhaltet typischerweise die Kombination von mindestens zwei der folgenden Faktoren:

• Etwas, das Sie wissen: Eine PIN oder ein Passwort, das spezifisch für die Wallet ist.
• Etwas, das Sie haben: Das physische Gerät selbst, das die kryptografischen Schlüssel enthält.
• Etwas, das Sie sind: Eine biometrische Verifizierung, wie ein Fingerabdruck- oder Gesichtsscan, die zum Zeitpunkt der Transaktion durchgeführt wird.

Über die Benutzerauthentifizierung hinaus muss die zugrunde liegende Technologie der Wallet robust sein. Zu den zentralen Sicherheitspraktiken gehören:

• Verwendung eines Secure Element (SE) oder Trusted Execution Environment (TEE): Kritische kryptografische Schlüssel sollten in einem hardwaregeschützten, manipulationssicheren Teil des Geräts gespeichert werden, getrennt vom Hauptbetriebssystem. Dies verhindert, dass Malware private Schlüssel extrahiert.
• Ende-zu-Ende-Verschlüsselung: Alle Daten, sowohl im Ruhezustand innerhalb der Wallet als auch während der Übertragung bei einer Präsentation, müssen kryptografisch verschlüsselt sein, um Abfangen und unbefugten Zugriff zu verhindern.
• Robuste Sicherung und Wiederherstellung: Da Credentials lokal gespeichert werden können, ist ein sicherer Wiederherstellungsmechanismus für den Fall, dass das Gerät verloren geht, gestohlen oder beschädigt wird, unerlässlich. Dies kann durch verschlüsselte Cloud-Backups oder, häufiger in dezentralen Systemen, durch eine vom Benutzer gehaltene Wiederherstellungs- oder „Seed“-Phrase erreicht werden, die die Wallet auf einem neuen Gerät wiederherstellen kann.

Die Einhaltung eines „Zero Trust“-Prinzips ist ebenfalls entscheidend; die Wallet sollte niemals implizit einer Anfrage vertrauen, sondern jede Interaktion überprüfen. Durch die Kombination starker Benutzerauthentifizierung mit einer gehärteten technischen Architektur kann eine Digital Wallet als wirklich vertrauenswürdiger Hüter der digitalen Identität eines Benutzers dienen.

Der Prozess der Ausstellung eines hochsicheren Personenkennzeichnungsdaten (PID)-Credentials oder eines mobilen Führerscheins (mDL) in eine Wallet ist die praktische Umsetzung eines IAL2- oder höheren Identitätsprüfungsereignisses. Dieser Prozess ist der kritischste Schritt im Lebenszyklus des Credentials, da er das grundlegende Vertrauen schafft, auf dem alle zukünftigen Transaktionen beruhen werden. Es gibt zwei primäre Methoden für dieses hochsichere Onboarding: einen optischen Prozess, der auf der Kamera des Geräts beruht, und einen kryptografischen Prozess, der Near Field Communication (NFC) verwendet.

Dies ist die gebräuchlichste Methode für Dokumente, die keinen NFC-Chip haben oder wenn NFC nicht verwendet wird. Obwohl die spezifischen Schritte je nach Gerichtsbarkeit und Wallet-Anbieter leicht variieren können, ist der Kernablauf bemerkenswert konsistent und umfasst eine Abfolge von Verifizierungs- und Bindungsaktionen:

Dieser gesamte Prozess ist darauf ausgelegt, die hohen Vertrauensanforderungen von Rahmenwerken wie NIST IAL2 oder eIDAS LoA Substanziell/Hoch zu erfüllen. Insbesondere die Lebenderkennung ist eine nicht verhandelbare Komponente zur Verhinderung der häufigsten Formen von Identitätsbetrug beim optischen Remote-Onboarding.

Für moderne elektronische Identitätsdokumente (eIDs), wie nationale Personalausweise (z. B. der deutsche Personalausweis), ist ein sichererer kryptografischer Onboarding-Prozess mittels NFC möglich. Diese Methode liest die Daten direkt vom eingebetteten Chip des Dokuments aus und bietet eine überlegene Sicherheit im Vergleich zum optischen Scannen.

Der typische NFC-Onboarding-Prozess läuft wie folgt ab:

1. Initiierung: Der Benutzer startet den Prozess in der Wallet-App und wird aufgefordert, seinen elektronischen Ausweis zu verwenden.
2. Entsperren des Chips: Um auf den Chip zugreifen zu können, muss er zuerst entsperrt werden. Dies geschieht durch Eingabe einer Kartenzugriffsnummer (CAN) – einer 6-stelligen Nummer, die auf dem Dokument aufgedruckt ist –, um eine sichere Verbindung über ein Protokoll namens Password Authenticated Connection Establishment (PACE) herzustellen.
3. NFC-Datenlesung: Der Benutzer hält sein Ausweisdokument an den NFC-Leser seines Smartphones. Die App liest die Daten sicher vom Chip aus, die persönliche Details und ein hochauflösendes, von der Regierung zertifiziertes Foto enthalten.
4. Kryptografische Verifizierung: Die App führt im Hintergrund kritische Sicherheitsprüfungen durch. Die Passive Authentifizierung überprüft die digitale Signatur der ausstellenden Behörde auf den Daten und stellt sicher, dass sie nicht manipuliert wurden. Die Aktive Authentifizierung sendet eine Challenge an den Chip, um zu bestätigen, dass er echt und kein Klon ist.
5. Inhaberverifizierung (Bindung): Selbst mit einem kryptografisch sicheren Dokument muss das System überprüfen, ob die Person, die es hält, der wahre Eigentümer ist. Dies kann auf zwei Arten geschehen:
   • Lebenderkennung & Biometrischer Abgleich: Der Benutzer führt eine Lebenderkennung durch (wie im optischen Prozess), und sein Gesicht wird biometrisch mit dem hochwertigen, vertrauenswürdigen Foto abgeglichen, das vom Chip gelesen wurde.
   • eID-PIN-Eingabe: Für das höchste Vertrauensniveau, wie beim deutschen eID, wird der Benutzer aufgefordert, seine persönliche 6-stellige PIN einzugeben. Dies beweist „Besitz und Wissen“ (der Benutzer hat die Karte und kennt die PIN) und schafft eine LoA-Hoch-Bindung, ohne dass in diesem speziellen Schritt unbedingt eine Lebenderkennung erforderlich ist.
6. Ausstellung und Bereitstellung: Nachdem die Identität erfolgreich auf einem hohen Vertrauensniveau verifiziert wurde, signiert der Issuer das digitale Credential kryptografisch und stellt es in der Wallet des Benutzers bereit.

Das EUDI-Wallet-Rahmenwerk erkennt ausdrücklich die Bedeutung des NFC-basierten Onboardings für das Erreichen von LoA Hoch an und betrachtet es als Eckpfeiler sowohl für die Ersteinrichtung als auch für die Kontowiederherstellung. Diese kryptografische Methode ist grundsätzlich sicherer als der optische Prozess, da sie die digitale Echtheit des Dokuments direkt überprüft, anstatt sich auf die visuelle Inspektion eines gescannten Bildes zu verlassen.

Das Onboarding-Erlebnis für einen Benutzer kann sich erheblich unterscheiden, je nachdem, ob er ein Credential zu einer nativen Wallet hinzufügt, die in das Betriebssystem seines Geräts integriert ist (z. B. Apple Wallet, Google Wallet), oder zu einer eigenständigen Drittanbieter-Anwendung, die von einem Issuer oder einer anderen Entität bereitgestellt wird. Die Wahl zwischen diesen Modellen stellt für Issuer und Benutzer gleichermaßen einen Kompromiss dar: die integrierte Bequemlichkeit und breite Reichweite nativer Plattformen gegenüber der vollständigen Kontrolle und dem maßgeschneiderten Erlebnis einer dedizierten Anwendung. Die folgende Tabelle bietet einen schrittweisen Vergleich dieser beiden Onboarding-Prozesse und dient als wichtiger Leitfaden für jede Organisation, die plant, digitale Credentials auszustellen oder zu verifizieren.

Dies kann zu einem fragmentierten Ökosystem führen, in dem ein Benutzer möglicherweise mehrere verschiedene Wallet-Apps installieren und verwalten muss, wenn er Credentials von verschiedenen Staaten oder Issuern benötigt (z. B. eine App für seinen Louisiana mDL und eine andere für seinen Kalifornien mDL).

Die praktische Umsetzung von digitalen Identitäts-Wallets beruht auf einer Grundlage technischer Standards und architektonischer Rahmenwerke. Dieser Abschnitt bietet eine detaillierte Analyse von zwei der bedeutendsten Säulen in der modernen Identitätslandschaft: dem ISO/IEC 18013-5 Standard für mobile Führerscheine und der Architektur der bevorstehenden EU Digital Identity Wallet.

ISO/IEC 18013-5 ist der internationale Standard, der die Schnittstelle zum Speichern, Vorzeigen und Verifizieren eines mobilen Führerscheins (mDL) und anderer ähnlicher Credentials definiert. Er ist darauf ausgelegt, Sicherheit, Datenschutz und vor allem Interoperabilität zu gewährleisten, sodass ein in einer Jurisdiktion ausgestellter mDL in einer anderen gelesen und als vertrauenswürdig eingestuft werden kann.

Eine kritische Frage in der Wallet-Architektur ist, ob ein digitales Credential an das Gerät des Benutzers oder an das Konto des Benutzers gebunden ist. Der ISO 18013-5 Standard ist in seiner Sicherheitsarchitektur grundlegend gerätezentriert. Sein Hauptziel ist es, das Klonen von Credentials zu verhindern und sicherzustellen, dass eine Präsentation vom authentischen Gerät stammt, an das das Credential ausgestellt wurde. Dies wird durch eine starke Gerätebindung erreicht, bei der die privaten Schlüssel des Credentials in einer sicheren, manipulationsresistenten Hardwarekomponente des mobilen Geräts, wie einem Secure Element (SE) oder einer Trusted Execution Environment (TEE), gespeichert werden. Während einer Präsentation führt das Gerät eine kryptografische Operation mit diesem Schlüssel durch und beweist so, dass es der echte Inhaber des Credentials ist. Der Standard verlangt ausdrücklich, dass Credentials entweder auf dem ursprünglichen mobilen Gerät oder auf einem vom ausstellenden Amt verwalteten Server gespeichert werden, was dieses gerätezentrierte Modell verstärkt.

Der Standard verbietet jedoch nicht explizit die Verwendung eines Benutzerkontos als Schicht für Verwaltung und Orchestrierung. Dies hat zur Entstehung eines Hybridmodells geführt, insbesondere bei nativen Wallet-Implementierungen von Apple und Google. In diesem Modell bleibt der kryptografische Sicherheitsanker das physische Gerät, aber ein benutzerzentriertes Cloud-Konto (z. B. eine Apple ID oder ein Google-Konto) dient als Lebenszyklus-Management-Anker. Diese Kontoschicht kann benutzerfreundliche Funktionen wie die Übertragung eines Credentials auf ein neues, vertrauenswürdiges Gerät in der Nähe im Falle von Apple erleichtern.

Der ISO 18013-5 Standard konzentriert sich hauptsächlich auf das Datenmodell und die Schnittstelle zur Präsentation eines Credentials, nicht auf die Einzelheiten des anfänglichen Registrierungsprozesses. Damit ein mDL jedoch als hochsicher gilt (z. B. NIST IAL2 oder eIDAS LoA Hoch erfüllt), muss der Registrierungsprozess robust sein. In der Praxis schreibt jede größere Implementierung eines hochsicheren mDL eine Lebenderkennungsprüfung während des anfänglichen Onboardings vor. Dieser Schritt ist unerlässlich, um den lebenden menschlichen Benutzer an sein physisches Identitätsdokument zu binden und Präsentationsangriffe zu verhindern.

Die komplexere Frage stellt sich, wenn ein Benutzer ein neues Gerät erwirbt. Ist bei jeder Bereitstellung eines mDL auf einem neuen Telefon eine Lebenderkennungsprüfung erforderlich? Für das optikbasierte Onboarding lautet die Antwort überwältigend ja. Die sicherste Praxis besteht darin, die Bereitstellung auf einem neuen Gerät als vollständige Neuregistrierung zu behandeln. Dies ist kein Systemfehler, sondern eine bewusste Sicherheitsentscheidung. Da das Sicherheitsmodell gerätezentriert ist und kryptografische Schlüssel an spezifische Hardware gebunden sind, ist das einfache Kopieren des Credentials nicht möglich oder sicher. Es muss eine neue Bindung zwischen dem Benutzer und der neuen Hardware hergestellt werden.

Diese Neuregistrierung erfordert jedoch nicht immer eine Lebenderkennungsprüfung. Wenn der Benutzer ein hochsicheres Identitätsdokument mit einem NFC-Chip und eine Wallet besitzt, die dies unterstützt, kann er eine kryptografische Neuregistrierung durchführen, indem er den Chip liest und den Besitz nachweist (z. B. mit einer PIN), wie in Abschnitt 4.2.2 beschrieben. Dies bietet eine ebenso starke, wenn nicht stärkere, Bindung an das neue Gerät.

Implementierungen bestätigen diese Haltung. Credence ID, ein Technologieanbieter in diesem Bereich, gibt explizit an, dass eine Neuregistrierung aus Sicherheitsgründen bei jedem Telefonwechsel vorgeschrieben ist, da der Prozess gerätespezifische Schlüssel verwendet und Daten nicht übertragbar sind. Ebenso erfordert der Prozess zum Hinzufügen eines mDL zu Google Wallet auf einem neuen Android-Telefon, dass der Benutzer eine völlig neue Anfrage an die Kfz-Behörde stellt.

Apple bietet einen optimierten „Übertragungsprozess“, aber dies ist eine Usability-Schicht, die auf den zugrunde liegenden Sicherheitsprinzipien aufbaut. Die Übertragung beruht auf dem vertrauenswürdigen Zustand des Apple-Kontos des Benutzers und dem sicheren Einrichtungsprozess des neuen iPhones, um als Stellvertreter für eine vollständige Neuprüfung zu fungieren. Der Benutzer muss den Umzug dennoch authentifizieren und bestätigen, wodurch die Bindung an die neue Hardware effektiv neu autorisiert wird.

Diese Notwendigkeit, die biometrische Verbindung bei jedem neuen Gerät wiederherzustellen, führt zu einer gewissen Reibung für den Benutzer, die als „Re-Enrollment-Steuer“ für die Aufrechterhaltung hoher Sicherheit betrachtet werden kann. Obwohl unpraktisch, ist dies eine direkte Folge eines Sicherheitsmodells, das zu Recht die Verhinderung des Klonens von Credentials über die nahtlose Synchronisierung von hochsicheren Identitätsdokumenten stellt.

Die European Digital Identity (EUDI) Wallet ist das Herzstück der eIDAS 2.0-Verordnung. Sie ist als sichere, benutzergesteuerte Anwendung konzipiert, die von jedem EU-Mitgliedstaat bereitgestellt wird und es den Bürgern ermöglicht, personenbezogene Identifikationsdaten (PID) und andere elektronische Attestierungen von Attributen (EAAs), wie einen Führerschein, ein Universitätsdiplom oder ein Rezept, zu speichern und zu teilen.

Eine zentrale architektonische Frage für die EUDI Wallet ist, wie sie mit der Nutzung auf mehreren Geräten umgehen wird. Das aktuelle Architecture and Reference Framework (ARF) und verwandte Analysen deuten darauf hin, dass die EUDI Wallet nicht wie ein typischer Cloud-Dienst funktionieren wird, der seinen Zustand nahtlos über mehrere Geräte synchronisiert. Stattdessen deutet die Architektur auf ein Modell hin, bei dem ein Benutzer eine primäre, geräteverankerte Wallet hat, die als sein Vertrauensanker (Root of Trust) fungiert.

Die Verordnung schreibt vor, dass jeder Mitgliedstaat seinen Bürgern mindestens eine Wallet zur Verfügung stellen muss. Die zentrale architektonische Komponente ist die Wallet Unit, die sich auf dem persönlichen mobilen Gerät eines Benutzers befindet und für ihre Sicherheit auf ein lokales oder entferntes Wallet Secure Cryptographic Device (WSCD) angewiesen ist. Dieses Design bindet die höchsten Sicherheitsfunktionen der Wallet inhärent an einen spezifischen Gerätekontext. Während das ARF explizit Abläufe für die geräteübergreifende Nutzung skizziert – zum Beispiel die Verwendung eines Smartphones zum Scannen eines QR-Codes, um eine Sitzung auf einem Laptop zu authentifizieren – handelt es sich hierbei um ein Interaktionsmodell, nicht um ein Synchronisationsmodell. Eine echte Synchronisation des Wallet-Zustands, einschließlich seiner privaten Schlüssel und Credentials, über mehrere Geräte hinweg ist technisch komplex und wirft erhebliche Sicherheitsherausforderungen auf, die mit dem eIDAS-Prinzip der „alleinigen Kontrolle“ durch den Benutzer in Konflikt geraten könnten.

Aktuelle Analysen des Rahmenwerks kommen zu dem Schluss, dass die meisten EUDI-Wallet-Implementierungen für die Nutzung auf einem einzigen Gerät konzipiert werden. Dies führt zu mehreren Schlussfolgerungen über die Multi-Device-Landschaft:

• Eine primäre Wallet: Ein Bürger wird wahrscheinlich eine primäre EUDI Wallet haben, die von seinem Mitgliedstaat ausgestellt und an sein primäres persönliches Gerät gebunden ist.
• Mehrere, unabhängige Wallets: Ein Bürger mit doppelter Staatsbürgerschaft könnte mehrere EUDI Wallets besitzen (z. B. eine aus Deutschland und eine aus Frankreich), aber diese wären separate, unabhängige und nicht synchronisierte Instanzen.
• Separate Business Wallets: Die Unpraktikabilität der Verwendung einer persönlichen, auf ein einziges Gerät beschränkten Wallet für berufliche Zwecke hat zur Entwicklung des Konzepts der European Business Wallet (EUBW) geführt, einer separaten Wallet-Infrastruktur zur Verwaltung von organisatorischen Rollen und Credentials.

Dieser architektonische Ansatz positioniert die EUDI Wallet weniger als „synchronisierte Cloud-Wallet“, sondern vielmehr als „digitalen Identitäts-Hub“. Das primäre mobile Gerät des Benutzers wird als sein persönlicher Vertrauensanker für hochsichere digitale Interaktionen dienen. Andere Geräte werden mit diesem Hub interagieren, anstatt gleichberechtigte Peers zu sein. Dies hat wichtige Auswirkungen auf die Benutzerfreundlichkeit: Benutzer werden ihr primäres Gerät benötigen, um kritische Operationen durchzuführen. Es unterstreicht auch die entscheidende Bedeutung robuster und benutzerfreundlicher Sicherungs- und Wiederherstellungsmechanismen, da der Verlust des primären Geräts die digitale Identität unzugänglich machen könnte, bis eine vollständige Neuregistrierung abgeschlossen ist.

Das EUDI-Wallet-Ökosystem wird auf einem detaillierten Architecture and Reference Framework (ARF) aufgebaut, das darauf abzielt, ein föderiertes, aber vollständig interoperables System in der gesamten EU zu schaffen. Das ARF basiert auf vier zentralen Gestaltungsprinzipien: Nutzerzentrierung, Interoperabilität, Sicherheit durch Design und Datenschutz durch Design.

Die Architektur definiert eine Reihe klarer Rollen und Interaktionen:

Interoperabilität ist der Eckpfeiler dieses Ökosystems und stellt sicher, dass eine in einem Mitgliedstaat ausgestellte Wallet für den Zugriff auf einen Dienst in jedem anderen verwendet werden kann. Dies wird durch die obligatorische Annahme gemeinsamer technischer Standards erreicht. Für Remote- (Online-) Interaktionen spezifiziert das ARF die Verwendung der Protokolle OpenID for Verifiable Presentations (OpenID4VP) und OpenID for Verifiable Credentials Issuance (OpenID4VCI). Für Proximity- (persönliche) Interaktionen schreibt das Rahmenwerk die Einhaltung des Standards ISO/IEC 18013-5 vor.

Das Vertrauen in diesem riesigen, dezentralen Netzwerk wird durch ein System von Vertrauenslisten hergestellt und aufrechterhalten. Jeder Mitgliedstaat wird Listen von zertifizierten Wallet-Anbietern, PID-Anbietern und anderen qualifizierten Vertrauensdiensteanbietern führen. Diese nationalen Listen werden in einer zentralen EU-Liste der Vertrauenslisten zusammengefasst, wodurch ein verifizierbares „Vertrauensrückgrat“ entsteht, das es jedem Teilnehmer im Ökosystem ermöglicht, die Legitimität jedes anderen Teilnehmers kryptografisch zu überprüfen.

Während die Authentifizierung die Identität zum Zweck des Zugriffs auf einen Dienst bestätigt, dient eine digitale Signatur einem anderen, tiefgreifenderen Zweck: Sie erfasst die rechtliche Absicht einer Person, dem Inhalt eines Dokuments oder Datensatzes zuzustimmen. Innerhalb des eIDAS-Rahmenwerks der Europäischen Union ist die höchste und rechtlich bedeutendste Form davon die Qualifizierte Elektronische Signatur (QES).

Die eIDAS-Verordnung etabliert eine klare Hierarchie elektronischer Signaturen, von denen jede auf der vorherigen aufbaut.

Die bedeutendste Konsequenz der QES ist ihre Rechtswirkung. Gemäß Artikel 25 der eIDAS-Verordnung hat eine Qualifizierte Elektronische Signatur die gleiche Rechtswirkung wie eine handschriftliche Unterschrift. Dies ist eine starke rechtliche Vermutung, die in allen 27 EU-Mitgliedstaaten einheitlich anerkannt wird.

Das bedeutet, dass einem mit einer QES unterzeichneten Dokument die Rechtswirkung oder die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden kann, weil es in elektronischer Form vorliegt. Während nationale Gesetze immer noch bestimmen, welche Arten von Verträgen eine Schriftform erfordern, ist eine QES für jede Transaktion, bei der eine handschriftliche Unterschrift ausreicht, deren rechtliches Äquivalent. Dies macht die QES zum Goldstandard für Transaktionen mit hohem Wert, erheblichem rechtlichen Risiko oder gesetzlichen Anforderungen an eine schriftliche Unterschrift, wie zum Beispiel:

• Immobilienkauf- und -verkaufsverträge.
• Hochwertige Darlehens- und Kreditverträge.
• Notariell beglaubigte Dokumente und offizielle Gerichtsakten.
• Arbeitsverträge und Unternehmensbeschlüsse.

Die Verwendung von QES bietet Nichtabstreitbarkeit, was bedeutet, dass der Unterzeichner daran gehindert wird, seine Beteiligung an der unterzeichneten Vereinbarung zu leugnen, ein kritisches Merkmal in Rechtsstreitigkeiten. Diese grenzüberschreitende rechtliche Anerkennung ist eine grundlegende Säule des digitalen Binnenmarktes der EU und ermöglicht es Unternehmen und Bürgern, sichere und bequeme elektronische Transaktionen ohne den administrativen Aufwand und die Kosten papierbasierter Prozesse durchzuführen.

Die Erstellung einer Signatur mit der rechtlichen Macht einer QES erfordert einen strengen, regulierten Prozess, der das höchste Maß an Identitätssicherung und Sicherheit gewährleistet. Zwei Kernkomponenten sind obligatorisch:

1. Ein qualifiziertes Zertifikat für elektronische Signaturen: Dies ist ein digitales Zertifikat, das die Signaturprüfdaten (einen öffentlichen Schlüssel) an eine bestimmte, namentlich genannte Person bindet. Dieses Zertifikat kann nur von einem Qualifizierten Vertrauensdiensteanbieter (QTSP) ausgestellt werden. Ein QTSP ist eine Organisation, die einen strengen Audit- und Zertifizierungsprozess durch eine nationale Aufsichtsbehörde durchlaufen hat und auf der EU-Vertrauensliste aufgeführt ist. Vor der Ausstellung eines qualifizierten Zertifikats muss der QTSP die Identität des Antragstellers auf einem hohen Vertrauensniveau überprüfen, oft durch persönliche oder gleichwertige Fernidentifizierungsverfahren.
2. Eine Qualifizierte Signaturerstellungseinheit (QSCD): Die elektronische Signatur selbst muss mit einer QSCD erstellt werden. Dies ist ein konfiguriertes Stück Hardware oder Software, das als den strengen Sicherheitsanforderungen von eIDAS entsprechend zertifiziert wurde. Die Hauptfunktion der QSCD besteht darin, die Signatur sicher zu erzeugen und den privaten Signaturschlüssel des Unterzeichners zu schützen, um sicherzustellen, dass er jederzeit unter seiner alleinigen Kontrolle bleibt. Beispiele für QSCDs sind zertifizierte Hardware-Sicherheitsmodule (HSMs), Smartcards oder sichere Fernsignaturdienste, die von einem QTSP verwaltet werden.

Die EUDI Wallet ist explizit darauf ausgelegt, diese Funktionalität zu integrieren, entweder indem sie selbst als QSCD zertifiziert wird oder indem sie sicher mit einem von einem QTSP bereitgestellten Remote-QSCD-Dienst kommuniziert. Diese Integration wird den Zugang zu QES demokratisieren und es jedem europäischen Bürger mit einer vollständig eingerichteten EUDI Wallet ermöglichen, mit nur wenigen Klicks rechtsverbindliche digitale Signaturen zu erstellen – ein bedeutender Schritt in Richtung einer vollständig digitalisierten, papierlosen Verwaltung und Wirtschaft.

Die globale Landschaft der digitalen Identität konvergiert um Schlüsselprinzipien wie biometrisches Vertrauen und gerätezentrierte Sicherheit. Das Navigieren in diesem sich entwickelnden Terrain erfordert strategisches Handeln von allen Beteiligten. Die folgenden Empfehlungen sollen wichtigen Stakeholdern dabei helfen, Sicherheit, Benutzerfreundlichkeit und Interoperabilität auszubalancieren.

• Ziel-Assurance-Level analysieren: Bestimmen Sie vor der Entwicklung genau, welches Assurance-Level Ihre Wallet oder Ihr Dienst erreichen muss. Wenn die Credentials für regulierte Prozesse wie KYC oder hochriskante Verifizierungen verwendet werden, stellen Sie sicher, dass die Identitätsprüfungs- und Authentifizierungsmaßnahmen von Anfang an robust genug sind, um diese spezifischen rechtlichen und Compliance-Anforderungen zu erfüllen.
• Wallet-Akzeptanz priorisieren: Die sicherste Wallet ist nutzlos, wenn sie niemand hat. Gestalten Sie einfache, reibungsarme Onboarding-Prozesse, die Benutzer dazu ermutigen, ihre Wallets zu installieren und bereitzustellen. Der Aufbau von Mehrwertdiensten auf einem Wallet-Ökosystem ist nur dann rentabel, wenn eine kritische Masse an Akzeptanz bei der Zielgruppe vorhanden ist.
• Eine flexible Architektur annehmen: Entwerfen Sie Identitäts- und Authentifizierungsplattformen mit einer internen Architektur, die sowohl auf granulare (NIST-Stil) als auch auf einheitliche (eIDAS-Stil) Assurance-Modelle abgebildet werden kann. Dies stellt die Fähigkeit sicher, globale Märkte zu bedienen, ohne völlig separate Produkt-Stacks zu benötigen.
• In Kern-Vertrauenstechnologien investieren: Zertifizierte Lebenderkennung und hochpräziser biometrischer Abgleich sind keine optionalen Funktionen mehr; sie sind Kernkomponenten für jedes hochsichere Identitätsangebot. Investitionen in Technologien, die mit Standards wie ISO/IEC 30107-3 für die Erkennung von Präsentationsangriffen konform sind, sind entscheidend.
• Für die „Re-Enrollment-Steuer“ planen: Erkennen Sie an, dass die Neuregistrierung auf einem neuen Gerät ein Sicherheitsmerkmal und kein Fehler ist. Gestalten Sie klare, benutzerfreundliche und hochsichere Onboarding- und Re-Enrollment-Prozesse, die die Reibung minimieren und gleichzeitig die Integrität des biometrischen Bindungsprozesses aufrechterhalten.
• Den gesamten Lebenszyklus sichern: Konzentrieren Sie sich nicht nur auf das Onboarding, sondern auch auf sichere Backup- und Wiederherstellungsmechanismen. Da die EUDI Wallet und andere gerätezentrierte Modelle immer häufiger werden, werden benutzerfreundliche und dennoch sichere Wiederherstellungsprozesse (z. B. basierend auf Seed-Phrasen oder von Issuern verwalteten Protokollen) ein entscheidendes Unterscheidungsmerkmal sein.
• Wallet Step-Up mit interoperablen Fallbacks implementieren: Bei der Integration von Wallet-basierter Identitätsverifizierung (z. B. für KYC) verwenden Sie aufkommende Standards wie die Digital Credentials API, wo verfügbar. Um jedoch eine breite Kompatibilität über Plattformen und Wallets hinweg zu gewährleisten, die die API möglicherweise noch nicht unterstützen, implementieren Sie robuste Fallback-Mechanismen wie QR-Code- oder Deep-Link-basierte Abläufe (z. B. mit OpenID4VP). Dies gewährleistet eine konsistente Benutzererfahrung und eine größere Reichweite.
• Konten mit Passkeys schützen: Bei Drittanbieter-Wallets, die Online-Konten zur Verwaltung von Benutzermetadaten oder Credentials verwenden, werden diese Konten zu einer kritischen Sicherheitsgrenze. Sie müssen mit den stärksten möglichen, Phishing-resistenten Authentifizierungsmethoden wie Passkeys (FIDO2) geschützt werden. Dies verhindert Kontoübernahmeangriffe, die Benutzerdaten kompromittieren oder betrügerische Neuregistrierungsaktivitäten erleichtern könnten.

• Strenge Risikobewertungen durchführen: Verfolgen Sie keinen Einheitsansatz bei der Sicherung. Nutzen Sie Risikobewertungsrahmen wie den DIRA-Prozess in den USA, um das geeignete IAL und AAL für jeden spezifischen Dienst oder jede Transaktion zu bestimmen. Eine übermäßige Absicherung von risikoarmen Interaktionen erzeugt unnötige Reibung, während eine unzureichende Absicherung von risikoreichen Interaktionen Betrug einlädt.
• Konten mit Passkeys schützen: Nach der Verwendung einer digitalen Wallet für eine hochsichere Identitätsverifizierung (Step-up) hat das Benutzerkonto einen bestätigten Identitätsstatus. Es ist entscheidend, dieses hochwertige Konto gegen Phishing zu sichern. Schreiben Sie die Verwendung von Passkeys für nachfolgende Anmeldungen vor oder empfehlen Sie sie dringend, da sie Phishing-resistente MFA bieten und sicherstellen, dass das verifizierte Konto nicht durch schwächere Authentifizierungsmethoden kompromittiert wird.
• Sich auf eine Multi-Wallet-Welt vorbereiten: Die Zukunft gehört nicht einer, sondern vielen Wallets. Unternehmen und Regierungsbehörden müssen in Verifizierer-Technologie und -Infrastruktur investieren, die interoperabel und standardbasiert ist. Das bedeutet, Protokolle wie OpenID4VP und ISO 18013-5 zu unterstützen, um die Fähigkeit zu gewährleisten, Credentials von einer Vielzahl von Wallets zu akzeptieren, einschließlich der EUDI Wallet, nativer OS-Wallets und anderer Drittanbieterlösungen.
• Gerätebindungsstandards für Hochsicherheits-Szenarien beobachten: Für Risikomodelle, die von der Identifizierung eines spezifischen physischen Geräts abhängen (insbesondere bei synchronisierten Passkeys), beobachten Sie genau die Entwicklung der WebAuthn-Standards für Vertrauenssignale zur Gerätebindung. Während frühe Vorschläge eingestellt wurden, werden neue Lösungen entwickelt, die es RPs ermöglichen, zwischen einem vertrauenswürdigen Gerät und einem neu synchronisierten zu unterscheiden, was eine granularere Risikobewertung ohne Einbußen bei der Benutzerfreundlichkeit ermöglicht.
• Vertrauen Sie der Kryptografie, nicht dem Bildschirm: Schulen Sie Mitarbeiter und gestalten Sie Prozesse so, dass sie sich auf die kryptografische Verifizierung durch ein konformes Lesegerät verlassen und nicht auf die visuelle Inspektion eines Credentials auf dem Bildschirm eines Benutzers. Die visuelle Inspektion ist sehr anfällig für Spoofing und Betrug.

• Internationale Zusammenarbeit fördern: Unterstützen und beteiligen Sie sich weiterhin an internationalen Standardisierungsgremien (wie ISO und W3C), um die Fragmentierung zu reduzieren und eine gemeinsame Sprache für digitales Vertrauen zu fördern. Die Harmonisierung von Definitionen und Anforderungen, wo immer möglich, wird Handels- und Innovationshemmnisse abbauen.
• Die Multi-Device-Herausforderung angehen: Erkennen Sie die erheblichen Herausforderungen in Bezug auf Benutzerfreundlichkeit und Sicherheit, die durch die Verwaltung mehrerer Geräte entstehen. Fördern Sie die Entwicklung von Standards und Rahmenwerken für eine sichere, benutzerzentrierte Wiederherstellung und Synchronisierung von Credentials, die das Prinzip der „alleinigen Kontrolle“ nicht untergraben.
• Datenschutz und Sicherheit in Einklang bringen: Da biometrische Daten zum Eckpfeiler hochsicherer Identität werden, stellen Sie sicher, dass rechtliche und regulatorische Rahmenwerke robuste Datenschutzbestimmungen für diese sensiblen Informationen bieten, im Einklang mit Prinzipien wie der DSGVO.

Durch die Umsetzung dieser Strategien können Stakeholder nicht nur die Komplexität des aktuellen Umfelds bewältigen, sondern auch aktiv zum Aufbau eines sichereren, interoperableren und benutzerzentrierten digitalen Identitätsökosystems für die Zukunft beitragen.

Die Zukunft der digitalen Identität ist ein Maschine-zu-Maschine-Paradigma, bei dem sichere Hardware-Elemente auf Geräten kryptografische Challenges signieren, um die Identität eines Benutzers zu beweisen. Dieser Wandel von vom Menschen merkbaren Geheimnissen zu hardwareverankertem Vertrauen ist fundamental, um ganze Klassen von Angriffen, insbesondere Phishing, zu eliminieren.

Corbado ist auf diesen Übergang spezialisiert. Wir helfen Unternehmen, von Wallet-Anbietern bis hin zu regulierten Relying Parties, ihren Weg in eine wirklich passwortlose Zukunft zu beschleunigen. Unsere Plattform ist darauf ausgelegt:

• Passkey-Akzeptanz durch Intelligenz steigern: Passkeys einfach nur anzubieten, reicht nicht aus; die Benutzererfahrung muss nahtlos sein, um die Akzeptanz zu fördern. Passkey Intelligence, eine Kernkomponente unserer Lösung, ist eine intelligente Logikschicht, die Authentifizierungsabläufe optimiert. Sie analysiert den Kontext des Benutzers – Gerät, Browser und Verlauf –, um häufige Sackgassen wie verwirrende QR-Code-Schleifen oder Aufforderungen für Passkeys auf dem falschen Gerät zu vermeiden. Indem sie Benutzer intelligent zum erfolgreichsten Pfad führt, erhöht sie die Raten der Passkey-Erstellung und -Nutzung drastisch und stellt sicher, dass hochwertige, identitätsverifizierte Konten durch eine Authentifizierungsmethode geschützt sind, die sowohl sicher als auch reibungslos ist.
• Identifizierung & Wiederherstellung erleichtern: Die Lösung von Corbado unterstützt robuste Kontowiederherstellungs- und Identifizierungsprozesse durch native Integrationen und Plugins für bestehende Anbieter von Identitätsverifizierung (IDV).
• Digitale Credentials verifizieren: Mit Blick auf die Zukunft ist unsere Plattform darauf ausgelegt, die Verifizierung von digitalen Credentials unter Verwendung aufkommender Standards wie der Digital Credentials API nativ zu unterstützen, sodass Sie die höchsten in regulierten Umgebungen erforderlichen Assurance-Levels erfüllen können.

Ob Sie ein Wallet-Anbieter sind, der eine sichere Authentifizierung anbieten möchte, oder eine Relying Party, die den Ihnen vorgelegten Credentials vertrauen muss, Corbado bietet die grundlegende Infrastruktur, um auf modernen, Phishing-resistenten Identitätsstandards aufzubauen.

Unsere Reise durch die digitalen Identitätsrahmenwerke der EU, der USA und Australiens offenbart einen klaren globalen Konsens über die Kernprinzipien des Vertrauens. Alle großen westlichen Rahmenwerke verfolgen einen gestuften, risikobasierten Ansatz und haben die biometrische Verifizierung – die „Liveness-to-Document“-Prüfung – als Goldstandard für hochsichere Identität übernommen. Die Wege, dieses Vertrauen zu erreichen, gehen jedoch auseinander. Das US-Modell bietet granulare Flexibilität, während das eIDAS-Rahmenwerk der EU eine einheitliche Interoperabilität fördert und Australiens System zwischen diesen beiden Philosophien angesiedelt ist. Letztendlich hängt der Erfolg von Digital Wallets von einem Vertrauensnetz zwischen Nutzern, Relying Parties und Regierungen ab. Die Rahmenwerke, die wir untersucht haben, sind die Blaupausen für diese neue Ära. Die Herausforderung besteht nun darin, darauf aufzubauen und ein Identitätsökosystem zu schaffen, das nicht nur sicher und interoperabel, sondern für jeden Einzelnen wirklich ermächtigend ist.