--- url: 'https://www.corbado.com/de/blog/digitale-wallet-assurance-rahmenwerke' title: 'Digital Wallet Assurance: Rahmenwerke der EU, USA und Australien' description: 'Ein Einblick in die Assurance-Rahmenwerke für digitale Wallets in der EU, den USA und Australien. Wir beleuchten die wichtigsten Unterschiede und Methoden zur biometrischen Verifizierung.' lang: 'de' author: 'Vincent Delitz' date: '2025-07-25T07:01:10.045Z' lastModified: '2026-03-27T07:03:09.292Z' keywords: 'Wallet Assurance, Wallet, Digital Wallet, Digitale Wallet Assurance' category: 'Passkeys Strategy' --- # Digital Wallet Assurance: Rahmenwerke der EU, USA und Australien ## 1. Einleitung Die Welt bewegt sich rasant in Richtung digitaler Identitäten, und Digital Wallets werden zum wichtigsten Instrument, um Nachweise zu verwalten. Aber wie vertrauenswürdig sind diese Wallets? Ihr Wert hängt vollständig von der Stärke der dahinterstehenden Assurance-Rahmenwerke ab. In diesem Artikel werfen wir einen Blick auf die Landschaften der digitalen Identitätssicherung und Authentifizierung von drei großen globalen Akteuren: der Europäischen Union mit [eIDAS](https://www.corbado.com/glossary/eidas) 2.0, den Vereinigten Staaten mit [NIST](https://www.corbado.com/blog/nist-passkeys) SP 800-63 und Australien mit seinem [TDIF](https://www.corbado.com/glossary/tdif)/[AGDIS](https://www.corbado.com/glossary/agdis)-Rahmenwerk. Wir werden die Kernprinzipien untersuchen, die weltweit überraschend ähnlich sind, wie risikobasierte Vertrauensniveaus und die entscheidende Rolle der [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness) bei der Verknüpfung eines digitalen Credentials mit einer realen Person. Wir werden jedoch auch die signifikanten Unterschiede in ihrer Architektur und Regulierung aufdecken. Wir analysieren das granulare, flexible Modell der USA, den einheitlichen, interoperablen Ansatz der EU und das hybride System Australiens. Ein zentrales Thema, das wir untersuchen, ist das Spannungsfeld zwischen gerätezentrierter [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) und benutzerfreundlichen, kontenbasierten Ansätzen, insbesondere wie große Player wie Apple und Google Cloud-Konten über gerätegebundene Credentials legen. Wir werden auch die praktischen Schritte des Credential-Onboardings detailliert beschreiben und erklären, warum die „Re-Enrollment-Steuer“ – also der Aufwand, die eigene [Identität](https://www.corbado.com/de/blog/digital-credentials-api) für jedes neue Gerät erneut nachzuweisen – ein bewusstes Sicherheitsmerkmal und kein Fehler ist. Schließlich werfen wir einen genaueren Blick auf die einzigartigen Aspekte der European [Digital Identity](https://www.corbado.com/blog/digital-identity-guide) (EUDI) [Wallet](https://www.corbado.com/blog/digital-wallet-assurance) und die Macht der Qualifizierten Elektronischen Signaturen (QES) innerhalb der EU, die die gleiche rechtliche Gewichtung wie eine handschriftliche Unterschrift haben. Am Ende dieses Artikels werden Sie ein umfassendes Verständnis der komplexen und sich entwickelnden Landschaft der globalen digitalen [Identität](https://www.corbado.com/de/blog/digital-credentials-api) sowie der strategischen Entscheidungen haben, vor denen Entwickler, [Regierungen](https://www.corbado.com/passkeys-for-public-sector) und Nutzer gleichermaßen stehen. ## 2. Die Grundlage des digitalen Vertrauens: Vertrauensniveaus verstehen ### 2.1 Assurance definieren: Das kritische Dreieck aus Sicherheit, Benutzerfreundlichkeit und Risiko Im digitalen Raum ist [Identität](https://www.corbado.com/de/blog/digital-credentials-api) kein binäres Konzept von bekannt oder unbekannt; es ist ein Spektrum des Vertrauens. Ein **Vertrauensniveau (Level of Assurance, LoA)** quantifiziert dieses Vertrauen und repräsentiert den Grad der [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden), dass eine Person, die eine bestimmte Identität beansprucht, tatsächlich der „wahre“ Inhaber dieser Identität ist. Dieses Maß ist die Grundlage des digitalen Vertrauens und untermauert jede sichere Transaktion und Interaktion. Ein höheres LoA bedeutet einen strengeren Prozess der Identitätsprüfung und Authentifizierung, was wiederum das Risiko von [Identitätsbetrug](https://www.corbado.com/de/blog/digitale-identitaetsverifizierung), unbefugtem Zugriff und anderen Formen des Missbrauchs verringert. Ein höheres Vertrauensniveau zu erreichen, ist jedoch nicht ohne Kosten. Die erforderlichen Prozesse – wie die persönliche Verifizierung oder die Verwendung spezieller Hardware – können sowohl für den Nutzer (den Identitätsinhaber) als auch für den Dienstanbieter (die [Relying Party](https://www.corbado.com/glossary/relying-party)) erhebliche Kosten und Unannehmlichkeiten verursachen. Diese inhärente Reibung kann Zugangshürden schaffen und potenziell zum Ausschluss von Personen führen, denen die notwendigen Dokumente, technischen Mittel oder die Fähigkeit zur Bewältigung komplexer Verfahren fehlen. Folglich ist die Wahl eines angemessenen LoA nicht nur eine technische Entscheidung, sondern eine kritische Risikomanagementübung, die darauf abzielt, ein empfindliches Gleichgewicht zwischen [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden), Benutzerfreundlichkeit und dem Potenzial für Ausgrenzung zu finden. Dieses Gleichgewicht wird durch die potenziellen Auswirkungen eines Authentifizierungsfehlers bestimmt. Für Aktivitäten mit geringem Risiko, wie das Erstellen eines Kontos in einem öffentlichen Forum oder das Ändern einer Postanschrift, kann ein niedrigeres LoA vollkommen akzeptabel sein. Die Folgen eines Fehlers sind minimal. Umgekehrt ist für Transaktionen mit hohem Risiko, wie dem Zugriff auf sensible Finanz- oder Gesundheitsdaten, der Initiierung großer Geldüberweisungen oder der Unterzeichnung rechtsverbindlicher Verträge, ein viel höheres LoA erforderlich, um das schwerwiegende Schadenspotenzial zu mindern. Die Wahl eines Assurance-Rahmenwerks und seiner erforderlichen Niveaus geht daher über die technische Umsetzung hinaus und wird zu einem Instrument der Wirtschafts- und Sozialpolitik. Ein Rahmenwerk, das die Messlatte für die Sicherheit zu hoch anlegt, kann eine undurchdringliche Festung schaffen, die zwar sicher, aber für einen erheblichen Teil der Bevölkerung unzugänglich ist, was die digitale Akzeptanz und wirtschaftliche Teilhabe bremst. Umgekehrt lädt ein Rahmenwerk mit zu niedrigen Standards zu weit verbreitetem Betrug ein, der das Vertrauen von Verbrauchern und Unternehmen untergräbt und letztendlich der digitalen Wirtschaft schadet, die es unterstützen soll. Dieses grundlegende Spannungsfeld prägt die unterschiedlichen Ansätze der großen globalen Volkswirtschaften und formt ihre digitalen Ökosysteme entsprechend ihrer einzigartigen regulatorischen Philosophien und gesellschaftlichen Prioritäten. ### 2.2 Die Bausteine des Vertrauens: IAL, AAL und FAL dekonstruiert Früher war das Vertrauensniveau ein monolithisches Konzept. Eine neue Entwicklung im Bereich der digitalen Identität war die Dekonstruktion dieses Konzepts durch das [U.S. National Institute of Standards and Technology (NIST) in seiner Special Publication 800-63, Revision 3](https://pages.nist.gov/800-63-3/). Diese Überarbeitung zerlegte das LoA in drei verschiedene, voneinander unabhängige Komponenten, was ein präziseres und granulareres Risikomanagement ermöglicht: Identity Assurance Level (IAL), [Authenticator](https://www.corbado.com/glossary/authenticator) Assurance Level (AAL) und Federation Assurance Level (FAL). | **Assurance Level** | **Was es abdeckt** | **Hauptfokus** | **Typische Techniken/Anforderungen** | | --------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Identity Assurance Level (IAL)** | Der Identitätsprüfungsprozess: Feststellung, dass die beanspruchte Identität wirklich dem Antragsteller gehört. | Einmaliges Ereignis der Registrierung; Bindung einer realen Identität an ein digitales Credential. | Überprüfung von physischen Dokumenten (z. B. Reisepass, Führerschein), Validierung gegen autoritative Quellen, biometrische Prüfungen. | | **Authenticator Assurance Level (AAL)** | Der Authentifizierungsprozess: Bestätigung, dass die Person, die auf einen Dienst zugreift, der rechtmäßige Inhaber der digitalen Identität ist. | Laufender Prozess des Einloggens oder Authentifizierens nach der Registrierung. | Verwendung von einem oder mehreren Authentifizierungsfaktoren: etwas, das Sie wissen (Passwort), haben (Token, Smartphone) oder sind (Fingerabdruck, Gesicht). | | **Federation Assurance Level (FAL)** | Das Assertionsprotokoll in föderierten Identitätssystemen: Sicherung der Informationen, die von einem Identity Provider an eine Relying Party gesendet werden. | Sicherheit und Integrität der Assertion (signiertes Paket von Authentifizierungs- und Attributdaten). | Starke kryptografische Schutzmaßnahmen, wie z. B. Assertion-Verschlüsselung und Nachweis des Besitzes eines kryptografischen Schlüssels durch den Nutzer. | Diese Trennung der Verantwortlichkeiten ist eine grundlegende architektonische Abweichung von dem eher einheitlichen Modell, das in der Europäischen Union verwendet wird. Das [NIST](https://www.corbado.com/blog/nist-passkeys)-Modell ermöglicht es einem Dienstanbieter, das Risiko der Registrierung vom Risiko des Zugriffs zu entkoppeln. Beispielsweise könnte eine [Regierungsbehörde](https://www.corbado.com/passkeys-for-public-sector) eine sehr vertrauenswürdige, persönliche Identitätsprüfung (IAL3) verlangen, um ein digitales Credential für den Zugriff auf sensible Daten auszustellen. Für den anschließenden routinemäßigen Zugriff zur Ansicht dieser Daten könnte sie jedoch nur eine Multi-Faktor-Authentifizierung mittlerer Stärke (AAL2) verlangen. Diese Flexibilität ermöglicht eine nuanciertere Anwendung von Sicherheitskontrollen, die auf spezifische Aktionen innerhalb eines Dienstes zugeschnitten sind. Im Gegensatz dazu verwendet das [eIDAS](https://www.corbado.com/glossary/eidas)-Rahmenwerk der EU ein einheitliches LoA (Niedrig, Substanziell, Hoch), das sowohl die Registrierungs- als auch die Authentifizierungsaspekte umfasst. Bei der Zuordnung zwischen den beiden Systemen wird die Gesamtsicherheit eines Dienstes durch sein schwächstes Glied bestimmt. Beispielsweise würde ein System, das mit dem höchsten Niveau der Identitätsprüfung (IAL3) und Föderation (FAL3) konzipiert wurde, aber nur ein moderates Authentifizierungsniveau (AAL2) verwendet, als Äquivalent zum [eIDAS](https://www.corbado.com/glossary/eidas) LoA „Substanziell“ und nicht „Hoch“ eingestuft. Diese Unterscheidung hat tiefgreifende Auswirkungen für Entwickler und Architekten, die globale Systeme bauen, da sie eine Wahl erzwingt: entweder für die höchste Granularität (NIST) zu entwerfen und dies dann auf das einfachere EU-Modell herunterzubrechen, oder separate Logikflüsse beizubehalten, um der unterschiedlichen Architekturphilosophie jeder Region zu entsprechen. Das US-Modell priorisiert die Flexibilität des Risikomanagements für die [Relying Party](https://www.corbado.com/glossary/relying-party), während das EU-Modell Einfachheit und klare Interoperabilität für die grenzüberschreitende Anerkennung priorisiert. ### 2.3 Konsequenzen der Assurance: Was ein LoA ermöglicht Das Vertrauensniveau ist keine abstrakte technische Bewertung; es ist der primäre Gatekeeper, der bestimmt, was ein Nutzer in der digitalen Welt tun darf. Das LoA, das einer digitalen Identität zugewiesen oder von einem Dienst verlangt wird, diktiert direkt den Umfang der Transaktionen, die Sensibilität der Daten, auf die zugegriffen werden kann, und die rechtliche Gewichtung der durchgeführten Aktionen. Am unteren Ende des Spektrums gewährt eine Identität mit einem niedrigen Vertrauensniveau – typischerweise eine, die selbst deklariert und nicht verifiziert ist – Zugang zu Diensten mit geringem Risiko. Dazu gehören Aktivitäten wie die Teilnahme an Online-Foren, das Erstellen eines einfachen Webmail-Kontos oder der Zugriff auf öffentlich zugängliche Websites, bei denen die Folge eines unbefugten Zugriffs vernachlässigbar ist. Wenn das Vertrauensniveau auf „Substanziell“ ansteigt, erhält der Nutzer Zugang zu einem viel breiteren und sensibleren Spektrum von Diensten. Dieses Niveau erfordert in der Regel, dass die Identität des Nutzers anhand offizieller Dokumente verifiziert wurde und schreibt die Verwendung von Multi-Faktor-Authentifizierung (MFA) vor. Folglich ist es der Standard für viele gängige und wichtige digitale Interaktionen. Beispiele für Dienste, die mit LoA Substanziell freigeschaltet werden, sind: - Zugriff auf Online-Portale von [Regierungen](https://www.corbado.com/passkeys-for-public-sector), um Steuern einzureichen oder Sozialleistungen zu prüfen. - Durchführung von Online-[Banking](https://www.corbado.com/de/blog/revolut-passkeys-analyse)-Transaktionen. - Zugriff auf persönliche Gesundheitsakten oder [Versicherungsinformationen](https://www.corbado.com/passkeys-for-insurance). - Interaktion mit Versorgungsunternehmen oder Telekommunikationsanbietern. Das höchste Vertrauensniveau, „Hoch“, ist für die kritischsten und risikoreichsten Transaktionen reserviert, bei denen die Folgen eines Authentifizierungsfehlers schwerwiegend sein könnten und zu erheblichen finanziellen Verlusten, rechtlicher Haftung oder Schäden für Einzelpersonen oder das öffentliche Interesse führen könnten. Das Erreichen dieses Niveaus erfordert die strengsten Methoden der Identitätsprüfung, oft mit persönlicher oder überwachter Fernverifizierung, und die Verwendung von hardwarebasierten, manipulationssicheren Authenticators. Dienste, die LoA Hoch verlangen, umfassen: - Elektronisches Unterzeichnen von rechtsverbindlichen Dokumenten mit der gleichen Gewichtung wie eine handschriftliche Unterschrift, wie z. B. Immobilienverträge oder große Kreditverträge. - Zugriff auf hochsensible Daten von [Regierungen](https://www.corbado.com/passkeys-for-public-sector) oder Unternehmen. - Durchführung von hochwertigen Finanztransaktionen oder großen Geldüberweisungen. - Autorisierung von elektronischen Rezepten für kontrollierte Substanzen. - Ausstellung von grundlegenden Identitätsdokumenten selbst, wie z. B. einem Reisepass. Ein digitales Identitätssystem, das mehrere Vertrauensniveaus unterstützen kann, ermöglicht eine flexible und risikogerechte Architektur, die es den Nutzern erlaubt, ihr Vertrauensniveau bei Bedarf für verschiedene Transaktionen zu erhöhen. Ein mit LoA Hoch erlangtes Identitäts-Credential kann mit Zustimmung des Nutzers für den Zugriff auf Dienste verwendet werden, die ein substanzielles oder niedriges Vertrauensniveau erfordern, aber das Gegenteil ist nicht der Fall. Diese Hierarchie stellt sicher, dass das etablierte Vertrauensniveau immer dem damit verbundenen Risiko angemessen ist. ## 3. Ein globaler Vergleich von Rahmenwerken für Identitätssicherung Während Nationen ihre digitalen [Infrastrukturen](https://www.corbado.com/passkeys-for-critical-infrastructure) ausbauen, kodifizieren sie Vertrauen durch unterschiedliche Assurance-Rahmenwerke. Obwohl sie oft gemeinsame Wurzeln in [internationalen Standards wie ISO 29115](https://www.iso.org/standard/45138.html) haben, zeigen die spezifischen Implementierungen in der Europäischen Union, den Vereinigten Staaten und Australien unterschiedliche Prioritäten in Bezug auf Interoperabilität, Flexibilität und Sicherheit. ### 3.1 eIDAS 2.0 der Europäischen Union: Eine einheitliche, interoperable Vision Der Ansatz der Europäischen Union zur digitalen Identität ist in der eIDAS-Verordnung (Electronic Identification, Authentication and Trust Services) verankert, die darauf abzielt, ein vorhersehbares und interoperables rechtliches Umfeld für elektronische Transaktionen in allen Mitgliedstaaten zu schaffen. Das aktualisierte eIDAS 2.0-Rahmenwerk erweitert diese Vision, indem es die Schaffung der EU [Digital Identity](https://www.corbado.com/blog/digital-identity-guide) (EUDI) [Wallet](https://www.corbado.com/blog/digital-wallet-assurance) vorschreibt, einer persönlichen digitalen Brieftasche für jeden Bürger, Einwohner und jedes Unternehmen. Im Herzen von eIDAS stehen drei Vertrauensniveaus (LoA): Niedrig, Substanziell und Hoch. Diese Niveaus bieten ein einheitliches Maß für das Vertrauen in ein elektronisches Identifizierungsmittel (eID), das den gesamten Lebenszyklus von der Registrierung bis zur Authentifizierung umfasst. Dieser einheitliche Ansatz soll die gegenseitige Anerkennung vereinfachen; ein von einem Mitgliedstaat auf einem bestimmten LoA notifiziertes eID-Mittel muss von allen anderen Mitgliedstaaten für Dienste anerkannt werden, die das gleiche oder ein niedrigeres LoA erfordern. Die Niveaus sind wie folgt definiert: | **Vertrauensniveau (LoA)** | **Vertrauensgrad** | **Registrierungsprozess** | **Authentifizierungsanforderungen** | **Typische Anwendungsfälle** | | -------------------------- | ------------------ | ------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ---------------------------------------------------------------------------- | | **LoA Niedrig** | Begrenzt | Selbstregistrierung auf einer Website; keine Identitätsprüfung erforderlich | Ein Faktor (z. B. Benutzername und Passwort) | Anwendungen mit geringem Risiko wie der Zugriff auf eine öffentliche Website | | **LoA Substanziell** | Substanziell | Die Identitätsinformationen des Nutzers müssen bereitgestellt und gegen eine autoritative Quelle verifiziert werden | Mindestens zwei verschiedene Faktoren (Multi-Faktor-Authentifizierung), z. B. Passwort plus ein Einmalcode, der an ein Mobiltelefon gesendet wird | Zugriff auf Regierungsdienste, Online-Banking, Versicherungsplattformen | | **LoA Hoch** | Höchst | Persönliche Registrierung oder überwachte Fernverifizierung von Identitätsdokumenten | Multi-Faktor-Authentifizierung mit Methoden, die gegen Duplizierung und Manipulation geschützt sind, oft mit Hardware-Authenticators (z. B. Smartcard, Secure Element im Mobilgerät) | Hochrisikotransaktionen, EUDI Wallet, rechtlich bindende Handlungen | Obwohl eIDAS die Niveaus definiert, schreibt es keine spezifischen Technologien vor, was den Mitgliedstaaten ermöglicht, ihre eigenen nationalen eID-Systeme zu entwickeln, die ihren lokalen Kontext widerspiegeln, wie Dänemarks MitID (das alle drei LoAs unterstützt) oder Belgiens itsme® (das auf LoA Hoch operiert). ### 3.2 NIST SP 800-63 der Vereinigten Staaten: Ein granulares, risikoangepasstes Modell Das Rahmenwerk der Vereinigten Staaten, definiert durch die [NIST](https://www.corbado.com/blog/nist-passkeys) Special Publication 800-63-3, verfolgt einen granulareren und komponentenorientierten Ansatz zur Sicherung. Anstelle eines einzigen, einheitlichen LoA trennt es den Prozess in drei verschiedene Assurance Levels: Identity (IAL), [Authenticator](https://www.corbado.com/glossary/authenticator) (AAL) und Federation (FAL). Dieses Modell bietet Bundesbehörden und anderen Organisationen ein flexibles Toolkit, um eine Digital Identity Risk Assessment (DIRA) durchzuführen und Sicherheitskontrollen präzise auf die Risiken spezifischer Transaktionen zuzuschneiden. **Identity Assurance Levels (IAL):** | **Identity Assurance Level (IAL)** | **Beschreibung** | **Anforderungen an die Identitätsprüfung** | **Typischer Anwendungsfall** | | ---------------------------------- | ----------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------- | | **IAL1** | Niedrigstes Niveau; Identität wird selbst deklariert. | Keine Anforderung, den Antragsteller mit einer realen Identität zu verknüpfen; keine Identitätsprüfung durchgeführt. | Erstellen eines Social-Media-Kontos. | | **IAL2** | Hohes Vertrauen in die beanspruchte Identität. | Identitätsprüfung erforderlich, entweder remote oder persönlich. Der Antragsteller muss „starke“ oder „überlegene“ Nachweise vorlegen (z. B. Reisepass, Führerschein), und das System muss die Verbindung zur realen Identität überprüfen. | Zugriff auf die meisten Regierungsdienste oder Durchführung von Finanztransaktionen. | | **IAL3** | Höchstes Niveau; sehr hohes Vertrauen. | Die Identitätsprüfung muss persönlich oder über eine überwachte Fernsitzung durchgeführt werden. Erfordert mehr und qualitativ hochwertigere Nachweise und schreibt die Erfassung einer biometrischen Probe (z. B. Fingerabdruck oder Gesichtsbild) vor, die mit dem Identitätsnachweis abgeglichen wird. | Hochrisikoszenarien, wie die Ausstellung eines grundlegenden Credentials wie eines REAL ID-konformen Führerscheins. | **Authenticator Assurance Levels (AAL):** | **Authenticator Assurance Level (AAL)** | **Beschreibung** | **Authentifizierungsanforderungen** | **Beispiele für Authenticators** | | --------------------------------------- | --------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------- | | **AAL1** | Bietet eine gewisse Sicherheit; geeignet für Szenarien mit geringem Risiko. | Erlaubt Ein-Faktor-Authentifizierung. | Passwörter, PINs, OTP-Geräte | | **AAL2** | Bietet hohes Vertrauen; geeignet für Szenarien mit moderatem Risiko. | Erfordert Multi-Faktor-Authentifizierung. Der Nutzer muss zwei verschiedene Authentifizierungsfaktoren vorlegen. Mindestens ein Faktor muss wiederverwendungssicher sein und genehmigte Kryptografie verwenden. | Passwort plus Authenticator-App, Passwort plus Hardware-Token, Passkeys (softwarebasiert oder gerätegebunden) | | **AAL3** | Höchstes Niveau; geeignet für Szenarien mit hohem Risiko. | Erfordert Multi-Faktor-Authentifizierung, einschließlich eines „harten“ kryptografischen Authenticators (hardwarebasiertes Gerät), der gegen Verifier-Impersonation-Angriffe resistent ist. | FIDO2-Sicherheitsschlüssel (Hardware-Passkey), Smartcard, sicherer Hardware-Token | Dieses granulare Modell ermöglicht es einer Organisation, die Niveaus nach Bedarf zu kombinieren. Beispielsweise könnte ein System eine einmalige IAL2-Prüfung bei der Registrierung verlangen, den Nutzern dann aber die Wahl zwischen [AAL1](https://www.corbado.com/faq/authenticator-assurance-levels-aal-digital-identity) (nur Passwort) für risikoarme Aktionen und [AAL2](https://www.corbado.com/blog/nist-passkeys) (MFA) für risikoreichere Aktionen innerhalb derselben Anwendung lassen. ### 3.3 Australiens Trusted Digital Identity Framework (TDIF): Ein hybrider, schrittweiser Ansatz Australiens Ansatz, der historisch durch das Trusted [Digital Identity](https://www.corbado.com/blog/digital-identity-guide) Framework (TDIF) geregelt wurde und sich nun zum Australian [Government](https://www.corbado.com/passkeys-for-public-sector) [Digital ID](https://www.corbado.com/blog/digital-identity-guide) System (AGDIS) unter dem [Digital ID](https://www.corbado.com/blog/digital-identity-guide) Act 2024 entwickelt, stellt ein Hybridmodell dar, das Merkmale sowohl mit dem EU- als auch mit dem US-System teilt. Das [TDIF](https://www.corbado.com/glossary/tdif) trennt die Konzepte der Identitätsprüfung und der Authentifizierungsstärke, ähnlich wie die [IAL](https://www.corbado.com/glossary/ial)/[AAL](https://www.corbado.com/de/glossary/authentication-assurance-level)-Aufteilung von NIST, verwendet aber seine eigene, unterschiedliche Terminologie. **Identity Proofing (IP) Levels:** Das [TDIF](https://www.corbado.com/glossary/tdif) definiert eine Reihe von eskalierenden IP-Levels, die auf der Anzahl und Qualität der verifizierten Identitätsdokumente und der Methode zur Bindung des Nutzers an die Identität basieren. | **IP Level** | **Beschreibung** | **Typische Anwendungsfälle** | | --------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------ | | **IP1 (Basic)** | Unterstützt selbst deklarierte oder pseudonyme Identität ohne Dokumentenprüfung. | Dienste mit vernachlässigbarem Risiko, z. B. Bezahlen eines Strafzettels | | **IP1+ (Basic)** | Erfordert die Überprüfung eines Identitätsdokuments. | Dienste mit geringem Risiko, z. B. Treuekartenprogramm | | **IP2 (Standard)** | Erfordert die Überprüfung von zwei oder mehr Identitätsdokumenten, ähnlich einem traditionellen „100-Punkte-Check“. | Dienste mit moderatem Risiko, z. B. Einrichtung von Versorgungskonten | | **IP2+ (Standard)** | Baut auf IP2 auf, indem das „Binding Objective“ erfüllt werden muss, was eine biometrische Verknüpfung zwischen der Person und ihrer beanspruchten Identität beinhaltet. | Transaktionen mit mittlerem bis hohem Risiko | | **IP3 (Strong)** | Hohes Vertrauensniveau, das ebenfalls eine biometrische Bindung erfordert. Zum Beispiel erfordert die „starke“ Identität von myGovID ein „Selfie“, das biometrisch mit einem Passfoto abgeglichen wird. | Hochrisiko-Regierungsdienste, z. B. Beantragung einer Steuernummer | | **IP4 (Very Strong)** | Das höchste Niveau, das vier oder mehr Dokumente erfordert, alle IP3-Anforderungen erfüllt und ein persönliches Interview vorschreibt. | Dienste mit sehr hohem Risiko, z. B. Ausstellung eines Reisepasses | **Credential Levels (CL):** Das TDIF definiert die Stärke des Authentifizierungs-Credentials, das für den laufenden Zugriff verwendet wird. | **Credential Level (CL)** | **Beschreibung** | **Authentifizierungsanforderungen** | **Anmerkungen** | | | ------------------------- | ----------------------- | --------------------------------------------------------- | -------------------------------------------------------------------------------------------------- | --- | | **CL1** | Basis-Credential | Ein-Faktor-Authentifizierung (z. B. Passwort) | | | | **CL2** | Starkes Credential | Zwei-Faktor-Authentifizierung (MFA) erforderlich | Australische Behörden empfehlen CL2 dringend als Minimum für die meisten internetbasierten Dienste | | | **CL3** | Sehr starkes Credential | Zwei-Faktor-Authentifizierung plus Hardware-Verifizierung | | | Diese hybride Struktur ermöglicht es australischen Diensten, sowohl die erforderliche Identitätsstärke (IP-Level) als auch die notwendige Authentifizierungsstärke (CL-Level) für den Zugriff festzulegen, was ein risikobasiertes Rahmenwerk ähnlich dem Prinzip von NIST bietet. ### 3.4 Vergleichende Analyse: Synthese globaler Rahmenwerke Trotz der unterschiedlichen Terminologien und Architekturphilosophien zeichnet sich in den Rahmenwerken der EU, der USA und Australiens ein klares Muster einer dreistufigen Risikohierarchie ab. Durch die Zuordnung ihrer Anforderungen können wir einen allgemeinen Überblick erstellen. Dieser Vergleich offenbart einen starken zugrunde liegenden Trend: die globale Konvergenz auf biometrische Bindung als entscheidenden Vertrauensanker für hochsichere Identitäten. Während die Rahmenwerke unterschiedliche Sprachen verwenden – NISTs „obligatorische biometrische Erfassung“ bei IAL3, Australiens „Binding Objective“ für IP2+ und höher und die geplante Verwendung von Lebenderkennung in der EUDI [Wallet](https://www.corbado.com/blog/digital-wallet-assurance), um LoA Hoch zu erreichen – ist das Prinzip identisch. In allen drei großen westlichen Ökosystemen wird das höchste Niveau an digitalem Vertrauen nicht mehr durch das bloße Überprüfen von Dokumenten oder das Stellen von geheimen Fragen hergestellt. Es wird erreicht, indem ein lebender, anwesender Mensch durch biometrische Verifizierung an seinen autoritativen, von der Regierung ausgestellten Identitätsnachweis gebunden wird. Diese „Liveness-to-Document“-Prüfung, typischerweise ein Gesichtsscan, der mit einem Pass- oder Führerscheinfoto abgeglichen wird, ist zum De-facto-Standard auf internationaler Ebene für die hochsichere digitale Identitätsprüfung geworden. Dies hat Auswirkungen auf den Technologie-Stack jedes Identitätsanbieters und erhebt zertifizierte Lebenderkennung und hochpräzisen biometrischen Abgleich von Mehrwertfunktionen zu zentralen, nicht verhandelbaren Komponenten jeder Plattform, die auf den höchsten Ebenen der digitalen Vertrauenswirtschaft agieren möchte. Die folgende Tabelle bietet eine direkte vergleichende Analyse und übersetzt die Anforderungen jedes Rahmenwerks in eine gemeinsame Struktur. | **Merkmal** | **Europäische Union (eIDAS)** | **Vereinigte Staaten (NIST SP 800-63)** | **Australien (TDIF/AGDIS)** | | :---------------------------------- | :-------------------------------------------------------------------------- | :--------------------------------------------------------------------------------- | :--------------------------------------------------------------------------- | | **Level 1 (Niedrig/Basic)** | | | | | **Terminologie** | LoA Niedrig | IAL1 / AAL1 | IP1 / CL1 | | **Identitätsprüfung** | Selbstregistrierung, keine Verifizierung erforderlich | Selbst deklariert, keine Prüfung erforderlich | Selbst deklariert oder pseudonym, keine Verifizierung | | **Authentifizierung** | Ein-Faktor (z. B. Passwort) | Ein-Faktor (z. B. Passwort, OTP-Gerät) | Ein-Faktor (z. B. Passwort) | | **Beispiele für Anwendungsfälle** | Zugriff auf öffentliche Websites, Online-Foren | Erstellung eines Social-Media-Kontos | Bezahlen eines Strafzettels, Erwerb einer Angellizenz | | **Level 2 (Substanziell/Standard)** | | | | | **Terminologie** | LoA Substanziell | IAL2 / AAL2 | IP2, IP2+ / CL2 | | **Identitätsprüfung** | Identitätsinformationen gegen autoritative Quelle verifiziert | Remote- oder persönliche Prüfung mit starken Nachweisen (z. B. Pass, Führerschein) | Zwei oder mehr Dokumente verifiziert (IP2); plus biometrische Bindung (IP2+) | | **Authentifizierung** | Multi-Faktor-Authentifizierung (MFA) erforderlich | MFA erforderlich; Wiederverwendungssicherheit | Zwei-Faktor-Authentifizierung (MFA) erforderlich | | **Beispiele für Anwendungsfälle** | Online-Banking, Steuererklärung, Zugriff auf Regierungsdienste | Zugriff auf Finanzkonten, Regierungsunterlagen (CUI) | Zugriff auf Versorgungsdienste, große Finanztransaktionen | | **Level 3 (Hoch/Stark)** | | | | | **Terminologie** | LoA Hoch | IAL3 / AAL3 | IP3, IP4 / CL3 | | **Identitätsprüfung** | Persönliche oder gleichwertige überwachte Registrierung | Persönliche/überwachte Remote-Prüfung; obligatorische biometrische Erfassung | Biometrische Bindung (IP3); plus persönliches Interview (IP4) | | **Authentifizierung** | MFA mit Schutz gegen Duplizierung/Manipulation (z. B. Smartcard) | MFA mit einem hardwarebasierten, Verifier-Impersonation-resistenten Authenticator | Zwei-Faktor-Authentifizierung mit Hardware-Verifizierung | | **Beispiele für Anwendungsfälle** | Unterzeichnung rechtsverbindlicher Verträge, Zugriff auf hochsensible Daten | Elektronische Rezepte für kontrollierte Substanzen, Ausstellung von REAL ID | Zugang zu Sozialleistungen, Ausstellung von Pässen | ![digital wallet assurance levels](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/digital_wallet_assurance_b1238e1486.png) ### 3.5 Das Vereinigte Königreich und Kanada: Angleichung an globale Normen Das Vereinigte Königreich, das einst unter das eIDAS-Regime der EU fiel, hat mit einem Assurance-Rahmenwerk, das immer noch internationale Best Practices widerspiegelt, seinen eigenen Weg eingeschlagen. Der [Good Practice Guide 45 (GPG45) des Vereinigten Königreichs](https://www.gov.uk/government/publications/identity-proofing-and-verification-of-an-individual) definiert einen strengen Identitätsprüfungsprozess, der eines von vier _Vertrauensniveaus_ bei einer Identitätsverifizierung ergibt: **Niedrig, Mittel, Hoch oder Sehr Hoch**. Dieser Ansatz orientiert sich eng an den bekannten mehrstufigen LoA-Modellen; tatsächlich verweist GPG45 explizit auf seine Konformität mit eIDAS, NIST 800-63, ISO/IEC 29115 und Kanadas [Pan](https://www.corbado.com/glossary/pan)-Canadian [Trust Framework](https://www.corbado.com/glossary/trust-framework). In der Praxis verwendet GPG45 eine punktbasierte Bewertung von Prüfungen (Dokumentenechtheit, Aktivitätshistorie, biometrischer Abgleich usw.), um das Vertrauensniveau für das Identitätsprofil eines Nutzers zu bestimmen. Aufbauend auf dieser Grundlage führt die britische Regierung ein neues **Digital Identity and Attributes Trust Framework** (derzeit in der Beta-Version) ein, das Zertifizierungsregeln für Identitätsanbieter und Relying Parties festlegen wird. Ein Hauptziel des britischen Trust Frameworks ist die internationale Interoperabilität – sicherzustellen, dass britische digitale Identitäten im Ausland vertrauenswürdig sind und umgekehrt – während die [eigenen Datenschutz- und Sicherheitsprinzipien des Landes](https://www.gov.uk/government/publications/uk-digital-identity-and-attributes-trust-framework-beta-version/uk-digital-identity-and-attributes-trust-framework-beta-version) gewahrt bleiben. Dies spiegelt eine breitere Strategie wider, mit globalen Standards konvergent zu bleiben, auch wenn das Vereinigte Königreich sein digitales Identitätsökosystem nach der EU-Zeit entwickelt. Kanadas Ansatz, angeführt vom [Digital ID](https://www.corbado.com/blog/digital-identity-guide) and Authentication Council of Canada (DIACC) durch das [**Pan-Canadian Trust Framework (PCTF)**](https://diacc.ca/trust-framework/), hat ebenfalls die Kernprinzipien der mehrstufigen Sicherung und Interoperabilität übernommen. Historisch gesehen verwendete Kanada ein vierstufiges Assurance-Modell (Level 1 bis 4), vergleichbar mit den Schemata von NIST und ISO 29115, wobei die meisten föderalen E-[Government](https://www.corbado.com/passkeys-for-public-sector)-Dienste einen „hohen“ Assurance-Login (ungefähr entsprechend Level 3) erforderten. Kanadische [Stakeholder](https://www.corbado.com/blog/passkeys-stakeholder) haben jedoch erkannt, dass ein einzelnes, zusammengesetztes LoA wichtige Unterschiede in der Art und Weise, wie eine Identität verifiziert wurde, verschleiern kann. Zum Beispiel könnten sehr unterschiedliche Prüfmethoden – sagen wir, eine ferngesteuerte wissensbasierte Verifizierung im Vergleich zu persönlichen Dokumentenprüfungen – beide das gleiche traditionelle LoA erfüllen und dabei die unterschiedlichen Risikoniveaus verdecken. Es herrscht nun _breiter Konsens in Kanada_, dass die Sicherung granularer und fähigkeitsspezifischer sein muss. Das PCTF entwickelt sich zu einem modernisierten, risikobasierten Modell, das die Sicherung der Identitätsprüfung von der Sicherung des Authenticators (Credential) trennt und damit die [von NIST eingeführte IAL/AAL-Unterscheidung](https://diacc.ca/2020/10/21/next-evolution-of-levels-of-assurance/) widerspiegelt. Diese Entwicklung umfasst ein umfassendes [Trust Framework](https://www.corbado.com/glossary/trust-framework) und ein Akkreditierungsprogramm: Identitätsanbieter, Credential-[Issuer](https://www.corbado.com/glossary/issuer) und Auditoren werden nach gemeinsamen Kriterien zertifiziert, sodass eine in einer Provinz oder einem Sektor geprüfte digitale Identität in einer anderen vertrauensvoll akzeptiert werden kann. Das Ergebnis ist ein konvergenter Ansatz, bei dem das Vereinigte Königreich und Kanada – jeweils durch ihre eigenen Mechanismen – dieselben globalen Normen bekräftigen: hochsichere digitale Identität, die auf einer starken anfänglichen Prüfung (oft mit [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness)), fortlaufender Multi-Faktor-Authentifizierung und strengen Standards für Datenschutz und Nutzerkontrolle basiert. Beide Länder zeigen beispielhaft, wie unterschiedliche Rechtsordnungen bei der Umsetzung innovativ sein können, während sie mit dem internationalen Vertrauensgefüge, das grenzüberschreitende digitale Transaktionen untermauert, im Einklang bleiben. ## 4. Die Digital Wallet sichern: Authentifizierung und Credential-Onboarding Während Assurance-Rahmenwerke die theoretische Grundlage für Vertrauen bieten, bestimmt ihre praktische Anwendung innerhalb von Digital Wallets die reale Sicherheit und Benutzerfreundlichkeit des Systems. Dies umfasst zwei kritische Phasen: die Sicherung des Zugriffs auf die Wallet selbst und den anfänglichen, hochriskanten Prozess des Onboardings eines vertrauenswürdigen digitalen Credentials. ### 4.1 Die erste Verteidigungslinie: Best Practices für den Wallet-Zugriff Eine [Digital Wallet](https://www.corbado.com/blog/digital-wallet-assurance) ist ein sicherer Container für die sensibelsten Nachweise einer Person. Der Schutz dieses Containers ist von größter Bedeutung. Die Sicherheit einer Wallet ist eine mehrschichtige Konstruktion, die bei der physischen Sicherheit des Geräts beginnt und sich bis zu den kryptografischen Protokollen erstreckt, die ihre Verwendung regeln. Die erste und grundlegendste Verteidigungsschicht ist der geräteeigene Zugriffskontrollmechanismus, wie eine PIN, ein Passwort oder ein biometrischer Scan (z. B. [Face ID](https://www.corbado.com/faq/is-face-id-passkey), Fingerabdruckscan). Dies verhindert, dass ein opportunistischer Angreifer, der physischen Zugriff auf ein entsperrtes Gerät erhält, sofort auf die Wallet zugreifen kann. Diese Schicht allein ist jedoch für hochsichere Operationen unzureichend. > [NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption) legt ausdrücklich > fest, dass das bloße Entsperren eines Geräts, wie z. B. eines Smartphones, **nicht** als > einer der erforderlichen Authentifizierungsfaktoren für eine Transaktion auf > [AAL2](https://www.corbado.com/blog/nist-passkeys) oder höher angesehen werden darf. Daher ist eine zweite, unabhängige Authentifizierungsschicht erforderlich, um auf die Wallet-Anwendung selbst zuzugreifen und, was noch wichtiger ist, die Vorlage eines Credentials zu autorisieren. Best Practices und aufkommende Vorschriften, wie das EUDI-Wallet-Rahmenwerk, schreiben eine starke Multi-Faktor-Authentifizierung (MFA) für den Zugriff auf die Funktionen der Wallet vor. Dies beinhaltet typischerweise die Kombination von mindestens zwei der folgenden Faktoren: - **Etwas, das Sie wissen:** Eine PIN oder ein Passwort, das spezifisch für die Wallet ist. - **Etwas, das Sie haben:** Das physische Gerät selbst, das die kryptografischen Schlüssel enthält. - **Etwas, das Sie sind:** Eine biometrische Verifizierung, wie ein Fingerabdruck- oder Gesichtsscan, die zum Zeitpunkt der Transaktion durchgeführt wird. Über die Benutzerauthentifizierung hinaus muss die zugrunde liegende Technologie der Wallet robust sein. Zu den zentralen Sicherheitspraktiken gehören: - **Verwendung eines Secure Element (SE) oder Trusted Execution Environment (TEE):** Kritische kryptografische Schlüssel sollten in einem hardwaregeschützten, manipulationssicheren Teil des Geräts gespeichert werden, getrennt vom Hauptbetriebssystem. Dies verhindert, dass [Malware](https://www.corbado.com/glossary/malware) private Schlüssel extrahiert. - **Ende-zu-Ende-Verschlüsselung:** Alle Daten, sowohl im Ruhezustand innerhalb der Wallet als auch während der Übertragung bei einer Präsentation, müssen kryptografisch verschlüsselt sein, um Abfangen und unbefugten Zugriff zu verhindern. - **Robuste Sicherung und Wiederherstellung:** Da Credentials lokal gespeichert werden können, ist ein sicherer Wiederherstellungsmechanismus für den Fall, dass das Gerät verloren geht, gestohlen oder beschädigt wird, unerlässlich. Dies kann durch verschlüsselte Cloud-Backups oder, häufiger in dezentralen Systemen, durch eine vom Benutzer gehaltene Wiederherstellungs- oder „Seed“-Phrase erreicht werden, die die Wallet auf einem neuen Gerät wiederherstellen kann. Die Einhaltung eines „[Zero Trust](https://www.corbado.com/glossary/zero-trust)“-Prinzips ist ebenfalls entscheidend; die Wallet sollte niemals implizit einer Anfrage vertrauen, sondern jede Interaktion überprüfen. Durch die Kombination starker Benutzerauthentifizierung mit einer gehärteten technischen Architektur kann eine [Digital Wallet](https://www.corbado.com/blog/digital-wallet-assurance) als wirklich vertrauenswürdiger Hüter der digitalen Identität eines Benutzers dienen. ### 4.2 Der Weg zum digitalen Credential: Analyse von Onboarding-Prozessen Der Prozess der Ausstellung eines hochsicheren Personenkennzeichnungsdaten (PID)-Credentials oder eines mobilen Führerscheins (mDL) in eine Wallet ist die praktische Umsetzung eines IAL2- oder höheren Identitätsprüfungsereignisses. Dieser Prozess ist der kritischste Schritt im Lebenszyklus des Credentials, da er das grundlegende Vertrauen schafft, auf dem alle zukünftigen Transaktionen beruhen werden. Es gibt zwei primäre Methoden für dieses hochsichere Onboarding: einen **optischen Prozess**, der auf der Kamera des Geräts beruht, und einen **kryptografischen Prozess**, der Near Field Communication (NFC) verwendet. #### 4.2.1 Der optische Onboarding-Prozess Dies ist die gebräuchlichste Methode für Dokumente, die keinen NFC-Chip haben oder wenn NFC nicht verwendet wird. Obwohl die spezifischen Schritte je nach Gerichtsbarkeit und Wallet-Anbieter leicht variieren können, ist der Kernablauf bemerkenswert konsistent und umfasst eine Abfolge von Verifizierungs- und Bindungsaktionen: | **Schritt** | **Beschreibung** | | ----------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **1. Initiierung** | Der Benutzer beginnt den Onboarding-Prozess, entweder innerhalb einer nativen OS-Wallet (wie Apple oder Google Wallet) oder durch Herunterladen einer dedizierten Drittanbieter-App des Issuers. | | **2. Dokumentenerfassung** | Der Benutzer wird aufgefordert, Bilder seines physischen, von der Regierung ausgestellten Identitätsdokuments (z. B. Führerschein oder Personalausweis) aufzunehmen. Typischerweise werden sowohl die Vorder- als auch die Rückseite der Karte gescannt, um alle relevanten Datenfelder, einschließlich der maschinenlesbaren Zone (MRZ) oder des Barcodes, zu erfassen. Hochwertige Scans sind unerlässlich und erfordern gute Beleuchtung und einen nicht reflektierenden Hintergrund. | | **3. Lebenderkennung und biometrische Bindung** | Um Spoofing-Angriffe zu verhindern, muss der Benutzer eine Lebenderkennung durchführen – normalerweise durch die Aufnahme eines Selfies oder eines kurzen Videos. Er kann aufgefordert werden, Aktionen wie Lächeln, Blinzeln oder Kopfdrehen auszuführen. Diese Live-Biometriedaten dienen zwei Zwecken: der Bestätigung, dass der Benutzer physisch anwesend ist, und dem Abgleich seines Gesichts mit dem Foto auf dem gescannten Ausweisdokument, wodurch die lebende Person an ihren offiziellen Identitätsnachweis gebunden wird. | | **4. Backend-Verifizierung** | Die erfassten Dokumenten- und Biometriedaten werden sicher an die ausstellende Behörde (z. B. eine staatliche Kfz-Zulassungsstelle oder ein nationales Identitätsregister) übermittelt. Die Behörde überprüft die Echtheit des Dokuments und gleicht die Daten mit ihren Aufzeichnungen ab, um die Identität des Benutzers zu bestätigen. | | **5. Ausstellung und Bereitstellung** | Nach erfolgreicher Verifizierung signiert der Issuer das digitale Credential kryptografisch und stellt es sicher in der Wallet des Benutzers bereit. Das Credential ist nun aktiv und einsatzbereit. | Dieser gesamte Prozess ist darauf ausgelegt, die hohen Vertrauensanforderungen von Rahmenwerken wie NIST IAL2 oder eIDAS LoA Substanziell/Hoch zu erfüllen. Insbesondere die Lebenderkennung ist eine nicht verhandelbare Komponente zur Verhinderung der häufigsten Formen von [Identitätsbetrug](https://www.corbado.com/de/blog/digitale-identitaetsverifizierung) beim optischen Remote-Onboarding. #### 4.2.2 Der kryptografische Onboarding-Prozess (NFC) Für moderne elektronische Identitätsdokumente (eIDs), wie nationale Personalausweise (z. B. der deutsche Personalausweis), ist ein sichererer kryptografischer Onboarding-Prozess mittels NFC möglich. Diese Methode liest die Daten direkt vom eingebetteten Chip des Dokuments aus und bietet eine überlegene Sicherheit im Vergleich zum optischen Scannen. Der typische NFC-Onboarding-Prozess läuft wie folgt ab: 1. **Initiierung:** Der Benutzer startet den Prozess in der Wallet-App und wird aufgefordert, seinen elektronischen Ausweis zu verwenden. 2. **Entsperren des Chips:** Um auf den Chip zugreifen zu können, muss er zuerst entsperrt werden. Dies geschieht durch Eingabe einer Kartenzugriffsnummer (CAN) – einer 6-stelligen Nummer, die auf dem Dokument aufgedruckt ist –, um eine sichere Verbindung über ein Protokoll namens Password Authenticated Connection Establishment (PACE) herzustellen. 3. **NFC-Datenlesung:** Der Benutzer hält sein Ausweisdokument an den NFC-Leser seines Smartphones. Die App liest die Daten sicher vom Chip aus, die persönliche Details und ein hochauflösendes, von der Regierung zertifiziertes Foto enthalten. 4. **Kryptografische Verifizierung:** Die App führt im Hintergrund kritische Sicherheitsprüfungen durch. Die **Passive Authentifizierung** überprüft die digitale Signatur der ausstellenden Behörde auf den Daten und stellt sicher, dass sie nicht manipuliert wurden. Die **Aktive Authentifizierung** sendet eine Challenge an den Chip, um zu bestätigen, dass er echt und kein Klon ist. 5. **Inhaberverifizierung (Bindung):** Selbst mit einem kryptografisch sicheren Dokument muss das System überprüfen, ob die Person, die es hält, der wahre Eigentümer ist. Dies kann auf zwei Arten geschehen: - **Lebenderkennung & Biometrischer Abgleich:** Der Benutzer führt eine Lebenderkennung durch (wie im optischen Prozess), und sein Gesicht wird biometrisch mit dem hochwertigen, vertrauenswürdigen Foto abgeglichen, das vom Chip gelesen wurde. - **eID-PIN-Eingabe:** Für das höchste Vertrauensniveau, wie beim deutschen eID, wird der Benutzer aufgefordert, seine persönliche 6-stellige PIN einzugeben. Dies beweist „Besitz und Wissen“ (der Benutzer hat die Karte und kennt die PIN) und schafft eine LoA-Hoch-Bindung, ohne dass in diesem speziellen Schritt unbedingt eine Lebenderkennung erforderlich ist. 6. **Ausstellung und Bereitstellung:** Nachdem die Identität erfolgreich auf einem hohen Vertrauensniveau verifiziert wurde, signiert der [Issuer](https://www.corbado.com/glossary/issuer) das digitale Credential kryptografisch und stellt es in der Wallet des Benutzers bereit. Das EUDI-Wallet-Rahmenwerk erkennt ausdrücklich die Bedeutung des NFC-basierten Onboardings für das Erreichen von LoA Hoch an und betrachtet es als Eckpfeiler sowohl für die Ersteinrichtung als auch für die [Kontowiederherstellung](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden). Diese kryptografische Methode ist grundsätzlich sicherer als der optische Prozess, da sie die digitale Echtheit des Dokuments direkt überprüft, anstatt sich auf die visuelle Inspektion eines gescannten Bildes zu verlassen. ### 4.3 Native vs. Drittanbieter-Wallets: Eine vergleichende Onboarding-Analyse Das Onboarding-Erlebnis für einen Benutzer kann sich erheblich unterscheiden, je nachdem, ob er ein Credential zu einer nativen Wallet hinzufügt, die in das Betriebssystem seines Geräts integriert ist (z. B. Apple Wallet, [Google Wallet](https://www.corbado.com/blog/how-to-use-google-pay)), oder zu einer eigenständigen Drittanbieter-Anwendung, die von einem [Issuer](https://www.corbado.com/glossary/issuer) oder einer anderen Entität bereitgestellt wird. Die Wahl zwischen diesen Modellen stellt für Issuer und Benutzer gleichermaßen einen Kompromiss dar: die integrierte Bequemlichkeit und breite Reichweite nativer Plattformen gegenüber der vollständigen Kontrolle und dem maßgeschneiderten Erlebnis einer dedizierten Anwendung. Die folgende Tabelle bietet einen schrittweisen Vergleich dieser beiden Onboarding-Prozesse und dient als wichtiger Leitfaden für jede Organisation, die plant, digitale Credentials auszustellen oder zu verifizieren. | **Schritt** | **Native Wallets (Apple/Google)** | **Drittanbieter-Wallets (z. B. Issuer-App)** | | :--------------------------------------- | :----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **1. Initiierung** | Benutzer tippt auf „ID hinzufügen“ in der vorinstallierten [OS Wallet App](https://support.apple.com/en-us/111803). | Benutzer muss die spezifische App des Issuers im App Store oder bei Google Play suchen, herunterladen und installieren. | | **2. Dokumentenerfassung** | Verwendet eine standardisierte Kamera-Schnittstelle auf Betriebssystemebene zum Scannen der Vorder- und Rückseite des physischen Ausweises. | Verwendet eine benutzerdefinierte, in die App integrierte Kamera-Schnittstelle, die vom App-Anbieter entwickelt wurde. Das Erlebnis kann zwischen den Apps variieren. | | **3. Lebenderkennung & Biometrie-Check** | Verwendet vom Betriebssystem bereitgestellte Aufforderungen und APIs für das Selfie und die gestenbasierte Lebenderkennung. | Implementiert eine eigene Lebenderkennungstechnologie oder integriert ein Drittanbieter-SDK. Aufforderungen und Anforderungen sind app-spezifisch. | | **4. Backend-Verifizierung** | Die OS-Plattform sendet das erfasste Datenpaket sicher an die registrierte ausstellende Behörde (z. B. DMV) zur Verifizierung und Genehmigung. | Die App kommuniziert direkt mit ihrem eigenen Backend, das sich dann zur Verifizierung mit den Systemen der ausstellenden Behörde verbindet. | | **5. Credential-Ausstellung** | Nach Genehmigung wird das Credential vom Issuer kryptografisch signiert und direkt im sicheren Speicher der OS Wallet bereitgestellt. | Nach Genehmigung wird das Credential im sicheren Speicher der Drittanbieter-App selbst bereitgestellt. Es ist normalerweise nicht in der nativen OS Wallet zugänglich. | | **6. Bereitstellung auf neuem Gerät** | **Apple:** An den Apple-Account gebunden; bietet einen „Übertragungs“-Flow auf ein neues Gerät während der Einrichtung, der den vertrauenswürdigen Status des Accounts nutzt.
**Google:** Erfordert in der Regel ein Re-Enrollment auf dem neuen Gerät; das Credential ist an das Gerät und den Google-Account gebunden, aber es muss eine neue Anfrage gestellt werden. | Erfordert fast immer ein vollständiges Re-Enrollment auf dem neuen Gerät, einschließlich der Wiederholung des Dokumentenscans und der Lebenderkennung. Einige Apps bieten möglicherweise proprietäre Backup-/Wiederherstellungsfunktionen. | Dies kann zu einem fragmentierten Ökosystem führen, in dem ein Benutzer möglicherweise mehrere verschiedene Wallet-Apps installieren und verwalten muss, wenn er Credentials von verschiedenen Staaten oder Issuern benötigt (z. B. eine App für seinen Louisiana [mDL](https://www.corbado.com/blog/mobile-drivers-license) und eine andere für seinen Kalifornien [mDL](https://www.corbado.com/blog/mobile-drivers-license)). ## 5. Technischer Deep Dive: ISO 18013-5 und die EUDI Wallet Die praktische Umsetzung von digitalen Identitäts-Wallets beruht auf einer Grundlage technischer Standards und architektonischer Rahmenwerke. Dieser Abschnitt bietet eine detaillierte Analyse von zwei der bedeutendsten Säulen in der modernen Identitätslandschaft: dem ISO/IEC 18013-5 Standard für mobile Führerscheine und der Architektur der bevorstehenden EU Digital Identity Wallet. ### 5.1 Der mDL-Standard (ISO/IEC 18013-5) ISO/IEC 18013-5 ist der internationale Standard, der die Schnittstelle zum Speichern, Vorzeigen und Verifizieren eines mobilen Führerscheins (mDL) und anderer ähnlicher Credentials definiert. Er ist darauf ausgelegt, Sicherheit, Datenschutz und vor allem Interoperabilität zu gewährleisten, sodass ein in einer Jurisdiktion ausgestellter [mDL](https://www.corbado.com/blog/mobile-drivers-license) in einer anderen gelesen und als vertrauenswürdig eingestuft werden kann. #### 5.1.1 Datenbindung: Benutzerkonto vs. Gerät Eine kritische Frage in der Wallet-Architektur ist, ob ein digitales Credential an das Gerät des Benutzers oder an das Konto des Benutzers gebunden ist. Der [ISO 18013-5](https://www.corbado.com/glossary/iso-18013-5) Standard ist in seiner Sicherheitsarchitektur grundlegend **gerätezentriert**. Sein Hauptziel ist es, das Klonen von Credentials zu verhindern und sicherzustellen, dass eine Präsentation vom authentischen Gerät stammt, an das das Credential ausgestellt wurde. Dies wird durch eine starke **Gerätebindung** erreicht, bei der die privaten Schlüssel des Credentials in einer sicheren, manipulationsresistenten Hardwarekomponente des mobilen Geräts, wie einem Secure Element (SE) oder einer Trusted Execution Environment (TEE), gespeichert werden. Während einer Präsentation führt das Gerät eine kryptografische Operation mit diesem Schlüssel durch und beweist so, dass es der echte Inhaber des Credentials ist. Der Standard verlangt ausdrücklich, dass Credentials entweder auf dem ursprünglichen mobilen Gerät oder auf einem vom ausstellenden Amt verwalteten Server gespeichert werden, was dieses gerätezentrierte Modell verstärkt. Der Standard verbietet jedoch **nicht** explizit die Verwendung eines Benutzerkontos als Schicht für Verwaltung und Orchestrierung. Dies hat zur Entstehung eines Hybridmodells geführt, insbesondere bei nativen Wallet-Implementierungen von Apple und Google. In diesem Modell bleibt der kryptografische Sicherheitsanker das physische Gerät, aber ein benutzerzentriertes Cloud-Konto (z. B. eine Apple ID oder ein Google-Konto) dient als **Lebenszyklus-Management-Anker**. Diese Kontoschicht kann benutzerfreundliche Funktionen wie die Übertragung eines Credentials auf ein neues, vertrauenswürdiges Gerät in der Nähe im Falle von Apple erleichtern. #### 5.1.2 Vorgaben zur Lebenderkennung: Die „Re-Enrollment-Steuer“ Der [ISO 18013-5](https://www.corbado.com/glossary/iso-18013-5) Standard konzentriert sich hauptsächlich auf das Datenmodell und die Schnittstelle zur _Präsentation_ eines Credentials, nicht auf die Einzelheiten des anfänglichen _Registrierungsprozesses_. Damit ein mDL jedoch als hochsicher gilt (z. B. NIST IAL2 oder eIDAS LoA Hoch erfüllt), muss der Registrierungsprozess robust sein. In der Praxis schreibt jede größere Implementierung eines hochsicheren mDL eine Lebenderkennungsprüfung während des anfänglichen Onboardings vor. Dieser Schritt ist unerlässlich, um den lebenden menschlichen Benutzer an sein physisches Identitätsdokument zu binden und Präsentationsangriffe zu verhindern. Die komplexere Frage stellt sich, wenn ein Benutzer ein neues Gerät erwirbt. Ist bei jeder Bereitstellung eines mDL auf einem neuen Telefon eine Lebenderkennungsprüfung erforderlich? Für das optikbasierte Onboarding lautet die Antwort überwältigend **ja**. Die sicherste Praxis besteht darin, die Bereitstellung auf einem neuen Gerät als vollständige **Neuregistrierung** zu behandeln. Dies ist kein Systemfehler, sondern eine bewusste Sicherheitsentscheidung. Da das Sicherheitsmodell gerätezentriert ist und kryptografische Schlüssel an spezifische Hardware gebunden sind, ist das einfache Kopieren des Credentials nicht möglich oder sicher. Es muss eine neue Bindung zwischen dem Benutzer und der neuen Hardware hergestellt werden. Diese Neuregistrierung erfordert jedoch nicht immer eine Lebenderkennungsprüfung. Wenn der Benutzer ein hochsicheres Identitätsdokument mit einem NFC-Chip und eine Wallet besitzt, die dies unterstützt, kann er eine kryptografische Neuregistrierung durchführen, indem er den Chip liest und den Besitz nachweist (z. B. mit einer PIN), wie in Abschnitt 4.2.2 beschrieben. Dies bietet eine ebenso starke, wenn nicht stärkere, Bindung an das neue Gerät. Implementierungen bestätigen diese Haltung. Credence ID, ein Technologieanbieter in diesem Bereich, gibt explizit an, dass eine Neuregistrierung aus Sicherheitsgründen bei jedem Telefonwechsel vorgeschrieben ist, da der Prozess gerätespezifische Schlüssel verwendet und Daten nicht übertragbar sind. Ebenso erfordert der Prozess zum Hinzufügen eines mDL zu [Google Wallet](https://www.corbado.com/blog/how-to-use-google-pay) auf einem neuen [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)-Telefon, dass der Benutzer eine völlig neue Anfrage an die Kfz-Behörde stellt. Apple bietet einen optimierten „Übertragungsprozess“, aber dies ist eine Usability-Schicht, die auf den zugrunde liegenden Sicherheitsprinzipien aufbaut. Die Übertragung beruht auf dem vertrauenswürdigen Zustand des Apple-Kontos des Benutzers und dem sicheren Einrichtungsprozess des neuen iPhones, um als Stellvertreter für eine vollständige Neuprüfung zu fungieren. Der Benutzer muss den Umzug dennoch authentifizieren und bestätigen, wodurch die Bindung an die neue Hardware effektiv neu autorisiert wird. Diese Notwendigkeit, die biometrische Verbindung bei jedem neuen Gerät wiederherzustellen, führt zu einer gewissen Reibung für den Benutzer, die als **„Re-Enrollment-Steuer“** für die Aufrechterhaltung hoher Sicherheit betrachtet werden kann. Obwohl unpraktisch, ist dies eine direkte Folge eines Sicherheitsmodells, das zu Recht die Verhinderung des Klonens von Credentials über die nahtlose Synchronisierung von hochsicheren Identitätsdokumenten stellt. ### 5.2 Das EUDI-Wallet-Ökosystem Die European Digital Identity (EUDI) Wallet ist das Herzstück der eIDAS 2.0-Verordnung. Sie ist als sichere, benutzergesteuerte Anwendung konzipiert, die von jedem EU-Mitgliedstaat bereitgestellt wird und es den Bürgern ermöglicht, personenbezogene Identifikationsdaten (PID) und andere elektronische Attestierungen von Attributen (EAAs), wie einen Führerschein, ein Universitätsdiplom oder ein Rezept, zu speichern und zu teilen. #### 5.2.1 Die Multi-Device-Frage: Ein Bürger, mehrere Wallets? Eine zentrale architektonische Frage für die EUDI Wallet ist, wie sie mit der Nutzung auf mehreren Geräten umgehen wird. Das aktuelle [Architecture and Reference Framework (ARF)](https://eu-digital-identity-wallet.github.io/eudi-doc-architecture-and-reference-framework/2.3.0/architecture-and-reference-framework-main/) und verwandte Analysen deuten darauf hin, dass die EUDI Wallet **nicht** wie ein typischer Cloud-Dienst funktionieren wird, der seinen Zustand nahtlos über mehrere Geräte synchronisiert. Stattdessen deutet die Architektur auf ein Modell hin, bei dem ein Benutzer eine primäre, geräteverankerte Wallet hat, die als sein Vertrauensanker (Root of Trust) fungiert. Die Verordnung schreibt vor, dass jeder Mitgliedstaat seinen Bürgern mindestens eine Wallet zur Verfügung stellen muss. Die zentrale architektonische Komponente ist die Wallet Unit, die sich auf dem persönlichen mobilen Gerät eines Benutzers befindet und für ihre Sicherheit auf ein lokales oder entferntes Wallet Secure Cryptographic Device (WSCD) angewiesen ist. Dieses Design bindet die höchsten Sicherheitsfunktionen der Wallet inhärent an einen spezifischen Gerätekontext. Während das ARF explizit Abläufe für die geräteübergreifende _Nutzung_ skizziert – zum Beispiel die Verwendung eines Smartphones zum Scannen eines QR-Codes, um eine Sitzung auf einem Laptop zu authentifizieren – handelt es sich hierbei um ein _Interaktionsmodell_, nicht um ein _Synchronisationsmodell_. Eine echte Synchronisation des Wallet-Zustands, einschließlich seiner privaten Schlüssel und Credentials, über mehrere Geräte hinweg ist technisch komplex und wirft erhebliche Sicherheitsherausforderungen auf, die mit dem eIDAS-Prinzip der „alleinigen Kontrolle“ durch den Benutzer in Konflikt geraten könnten. Aktuelle Analysen des Rahmenwerks kommen zu dem Schluss, dass die meisten EUDI-Wallet-Implementierungen für die Nutzung auf einem einzigen Gerät konzipiert werden. Dies führt zu mehreren Schlussfolgerungen über die Multi-Device-Landschaft: - **Eine primäre Wallet:** Ein Bürger wird wahrscheinlich eine primäre EUDI Wallet haben, die von seinem Mitgliedstaat ausgestellt und an sein primäres persönliches Gerät gebunden ist. - **Mehrere, unabhängige Wallets:** Ein Bürger mit doppelter Staatsbürgerschaft könnte mehrere EUDI Wallets besitzen (z. B. eine aus Deutschland und eine aus Frankreich), aber diese wären separate, unabhängige und nicht synchronisierte Instanzen. - **Separate Business Wallets:** Die Unpraktikabilität der Verwendung einer persönlichen, auf ein einziges Gerät beschränkten Wallet für berufliche Zwecke hat zur Entwicklung des Konzepts der European Business Wallet (EUBW) geführt, einer separaten Wallet-[Infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure) zur Verwaltung von organisatorischen Rollen und Credentials. Dieser architektonische Ansatz positioniert die EUDI Wallet weniger als „synchronisierte Cloud-Wallet“, sondern vielmehr als **„digitalen Identitäts-Hub“**. Das primäre mobile Gerät des Benutzers wird als sein persönlicher Vertrauensanker für hochsichere digitale Interaktionen dienen. Andere Geräte werden _mit_ diesem Hub interagieren, anstatt gleichberechtigte Peers zu sein. Dies hat wichtige Auswirkungen auf die Benutzerfreundlichkeit: Benutzer werden ihr primäres Gerät benötigen, um kritische Operationen durchzuführen. Es unterstreicht auch die entscheidende Bedeutung robuster und benutzerfreundlicher Sicherungs- und Wiederherstellungsmechanismen, da der Verlust des primären Geräts die digitale Identität unzugänglich machen könnte, bis eine vollständige Neuregistrierung abgeschlossen ist. #### 5.2.2 Architektur und Interoperabilität: Das Rückgrat des Vertrauens aufbauen Das EUDI-Wallet-Ökosystem wird auf einem detaillierten Architecture and Reference Framework (ARF) aufgebaut, das darauf abzielt, ein föderiertes, aber vollständig interoperables System in der gesamten EU zu schaffen. Das ARF basiert auf vier zentralen Gestaltungsprinzipien: Nutzerzentrierung, Interoperabilität, Sicherheit durch Design und Datenschutz durch Design. Die Architektur definiert eine Reihe klarer Rollen und Interaktionen: | **Rolle** | **Beschreibung** | | -------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Wallet-Nutzer** | Die Person, die die Wallet besitzt und kontrolliert. | | **Wallet-Anbieter** | Die (öffentliche oder private) Einrichtung, die dem Nutzer die Wallet-Anwendung zur Verfügung stellt. | | **Anbieter von Personenkennzeichnungsdaten (PID)** | Eine vertrauenswürdige Einrichtung, typischerweise eine Regierungsbehörde, die eine hochsichere Identitätsprüfung durchführt und das Kern-PID-Credential für die Wallet ausstellt. | | **Attestierungsanbieter** | Jede vertrauenswürdige (öffentliche oder private) Einrichtung, die andere Credentials (EAAs) ausstellt, wie z. B. Diplome oder Berufslizenzen. | | **Relying Party** | Jede (öffentliche oder private) Einrichtung, die Daten von der Wallet anfordert und konsumiert, um einen Dienst bereitzustellen. | Interoperabilität ist der Eckpfeiler dieses Ökosystems und stellt sicher, dass eine in einem Mitgliedstaat ausgestellte Wallet für den Zugriff auf einen Dienst in jedem anderen verwendet werden kann. Dies wird durch die obligatorische Annahme gemeinsamer technischer Standards erreicht. Für Remote- (Online-) Interaktionen spezifiziert das ARF die Verwendung der Protokolle OpenID for Verifiable Presentations (OpenID4VP) und OpenID for [Verifiable Credentials](https://www.corbado.com/glossary/microcredentials) Issuance (OpenID4VCI). Für Proximity- (persönliche) Interaktionen schreibt das Rahmenwerk die Einhaltung des Standards ISO/IEC 18013-5 vor. Das Vertrauen in diesem riesigen, dezentralen Netzwerk wird durch ein System von **Vertrauenslisten** hergestellt und aufrechterhalten. Jeder Mitgliedstaat wird Listen von zertifizierten Wallet-Anbietern, PID-Anbietern und anderen qualifizierten Vertrauensdiensteanbietern führen. Diese nationalen Listen werden in einer zentralen EU-Liste der Vertrauenslisten zusammengefasst, wodurch ein verifizierbares „Vertrauensrückgrat“ entsteht, das es jedem Teilnehmer im Ökosystem ermöglicht, die Legitimität jedes anderen Teilnehmers kryptografisch zu überprüfen. ## 6. Qualifizierte Elektronische Signaturen (QES) Während die Authentifizierung die Identität zum Zweck des Zugriffs auf einen Dienst bestätigt, dient eine digitale Signatur einem anderen, tiefgreifenderen Zweck: Sie erfasst die rechtliche Absicht einer Person, dem Inhalt eines Dokuments oder Datensatzes zuzustimmen. Innerhalb des eIDAS-Rahmenwerks der Europäischen Union ist die höchste und rechtlich bedeutendste Form davon die Qualifizierte Elektronische Signatur (QES). ### 6.1 Jenseits der Authentifizierung: Live-Credential-Signaturen Die eIDAS-Verordnung etabliert eine klare Hierarchie elektronischer Signaturen, von denen jede auf der vorherigen aufbaut. | **Signaturtyp** | **Definition & Anforderungen** | **Typische Beispiele** | **Rechtliche Stellung** | | -------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------ | | **[Einfache Elektronische Signatur (EES)](https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eSignature+FAQ)** | Die grundlegendste Form, definiert als „Daten in elektronischer Form, die anderen Daten beigefügt oder logisch mit ihnen verbunden sind und die vom Unterzeichner zum Unterzeichnen verwendet werden“. Keine spezifischen technischen Anforderungen. | Eingabe eines Namens am Ende einer E-Mail, Ankreuzen eines „Ich stimme zu“-Kästchens oder Einfügen eines gescannten Bildes einer handschriftlichen Unterschrift. | Niedrigstes Niveau; allgemein für risikoarme Transaktionen akzeptiert, bietet aber nur begrenzten Beweiswert. | | **[Fortgeschrittene Elektronische Signatur (FES)](https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eSignature+FAQ)** | Muss eindeutig dem Unterzeichner zugeordnet sein, ihn identifizieren können, unter Verwendung von Daten erstellt werden, die unter der alleinigen Kontrolle des Unterzeichners stehen, und mit dem unterzeichneten Dokument so verknüpft sein, dass alle Änderungen erkennbar sind. | Die meisten digitalen Signaturen, die auf Public-Key-Infrastruktur (PKI) basieren, wie sie in sicheren Dokumentensignaturplattformen verwendet werden. | Höherer rechtlicher Wert; geeignet für die meisten Geschäftstransaktionen, bei denen ein höheres Maß an Sicherheit erforderlich ist. | | **[Qualifizierte Elektronische Signatur (QES)](https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eSignature+FAQ)** | Das höchste Niveau, das auf FES aufbaut und zwei zusätzliche Anforderungen stellt: die Verwendung eines qualifizierten Zertifikats, das von einem Qualifizierten Vertrauensdiensteanbieter (QTSP) ausgestellt wurde, und die Erstellung mit einer Qualifizierten Signaturerstellungseinheit (QSCD). | Unterzeichnung von Verträgen oder offiziellen Dokumenten direkt aus einer zertifizierten digitalen Wallet, mit Live-Identitätsverifizierung. | Rechtlich gleichwertig mit einer handschriftlichen Unterschrift in der gesamten EU; höchster Beweiswert und rechtliche Wirkung. | ### 6.2 Die rechtliche Macht der QES in der EU Die bedeutendste Konsequenz der QES ist ihre Rechtswirkung. Gemäß Artikel 25 der eIDAS-Verordnung **hat eine Qualifizierte Elektronische Signatur die gleiche Rechtswirkung wie eine handschriftliche Unterschrift**. Dies ist eine starke rechtliche Vermutung, die in allen 27 EU-Mitgliedstaaten einheitlich anerkannt wird. Das bedeutet, dass einem mit einer QES unterzeichneten Dokument die Rechtswirkung oder die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden kann, weil es in elektronischer Form vorliegt. Während nationale Gesetze immer noch bestimmen, welche Arten von Verträgen eine Schriftform erfordern, ist eine QES für jede Transaktion, bei der eine handschriftliche Unterschrift ausreicht, deren rechtliches Äquivalent. Dies macht die QES zum Goldstandard für Transaktionen mit hohem Wert, erheblichem rechtlichen Risiko oder gesetzlichen Anforderungen an eine schriftliche Unterschrift, wie zum Beispiel: - Immobilienkauf- und -verkaufsverträge. - Hochwertige Darlehens- und Kreditverträge. - Notariell beglaubigte Dokumente und offizielle Gerichtsakten. - Arbeitsverträge und Unternehmensbeschlüsse. Die Verwendung von QES bietet **Nichtabstreitbarkeit**, was bedeutet, dass der Unterzeichner daran gehindert wird, seine Beteiligung an der unterzeichneten Vereinbarung zu leugnen, ein kritisches Merkmal in Rechtsstreitigkeiten. Diese grenzüberschreitende rechtliche Anerkennung ist eine grundlegende Säule des digitalen Binnenmarktes der EU und ermöglicht es Unternehmen und Bürgern, sichere und bequeme elektronische Transaktionen ohne den administrativen Aufwand und die Kosten papierbasierter Prozesse durchzuführen. ### 6.3 Der QES-Erstellungsprozess Die Erstellung einer Signatur mit der rechtlichen Macht einer QES erfordert einen strengen, regulierten Prozess, der das höchste Maß an Identitätssicherung und Sicherheit gewährleistet. Zwei Kernkomponenten sind obligatorisch: 1. **Ein qualifiziertes Zertifikat für elektronische Signaturen:** Dies ist ein digitales Zertifikat, das die Signaturprüfdaten (einen öffentlichen Schlüssel) an eine bestimmte, namentlich genannte Person bindet. Dieses Zertifikat kann nur von einem **Qualifizierten Vertrauensdiensteanbieter (QTSP)** ausgestellt werden. Ein [QTSP](https://www.corbado.com/glossary/qtsp) ist eine Organisation, die einen strengen Audit- und Zertifizierungsprozess durch eine nationale Aufsichtsbehörde durchlaufen hat und auf der EU-Vertrauensliste aufgeführt ist. Vor der Ausstellung eines qualifizierten Zertifikats muss der [QTSP](https://www.corbado.com/glossary/qtsp) die Identität des Antragstellers auf einem hohen Vertrauensniveau überprüfen, oft durch persönliche oder gleichwertige Fernidentifizierungsverfahren. 2. **Eine Qualifizierte Signaturerstellungseinheit (QSCD):** Die elektronische Signatur selbst muss mit einer QSCD erstellt werden. Dies ist ein konfiguriertes Stück Hardware oder Software, das als den strengen Sicherheitsanforderungen von eIDAS entsprechend zertifiziert wurde. Die Hauptfunktion der QSCD besteht darin, die Signatur sicher zu erzeugen und den privaten Signaturschlüssel des Unterzeichners zu schützen, um sicherzustellen, dass er jederzeit unter seiner alleinigen Kontrolle bleibt. Beispiele für QSCDs sind zertifizierte Hardware-Sicherheitsmodule (HSMs), Smartcards oder sichere Fernsignaturdienste, die von einem [QTSP](https://www.corbado.com/glossary/qtsp) verwaltet werden. Die EUDI Wallet ist explizit darauf ausgelegt, diese Funktionalität zu integrieren, entweder indem sie selbst als QSCD zertifiziert wird oder indem sie sicher mit einem von einem QTSP bereitgestellten Remote-QSCD-Dienst kommuniziert. Diese Integration wird den Zugang zu QES demokratisieren und es jedem europäischen Bürger mit einer vollständig eingerichteten EUDI Wallet ermöglichen, mit nur wenigen Klicks rechtsverbindliche digitale Signaturen zu erstellen – ein bedeutender Schritt in Richtung einer vollständig digitalisierten, papierlosen Verwaltung und Wirtschaft. ## 7. Handlungsempfehlungen Die globale Landschaft der digitalen Identität konvergiert um Schlüsselprinzipien wie biometrisches Vertrauen und gerätezentrierte Sicherheit. Das Navigieren in diesem sich entwickelnden Terrain erfordert strategisches Handeln von allen Beteiligten. Die folgenden Empfehlungen sollen wichtigen Stakeholdern dabei helfen, Sicherheit, Benutzerfreundlichkeit und Interoperabilität auszubalancieren. ### 7.1 Für Wallet-Issuer, Entwickler & Dienstanbieter - **Ziel-Assurance-Level analysieren:** Bestimmen Sie vor der Entwicklung genau, welches Assurance-Level Ihre Wallet oder Ihr Dienst erreichen muss. Wenn die Credentials für regulierte Prozesse wie [KYC](https://www.corbado.com/blog/iso-18013-7-mdl-bank-kyc-onboarding) oder hochriskante Verifizierungen verwendet werden, stellen Sie sicher, dass die Identitätsprüfungs- und Authentifizierungsmaßnahmen von Anfang an robust genug sind, um diese spezifischen rechtlichen und Compliance-Anforderungen zu erfüllen. - **Wallet-Akzeptanz priorisieren:** Die sicherste Wallet ist nutzlos, wenn sie niemand hat. Gestalten Sie einfache, reibungsarme Onboarding-Prozesse, die Benutzer dazu ermutigen, ihre Wallets zu installieren und bereitzustellen. Der Aufbau von Mehrwertdiensten auf einem Wallet-Ökosystem ist nur dann rentabel, wenn eine kritische Masse an Akzeptanz bei der Zielgruppe vorhanden ist. - **Eine flexible Architektur annehmen:** Entwerfen Sie Identitäts- und Authentifizierungsplattformen mit einer internen Architektur, die sowohl auf granulare (NIST-Stil) als auch auf einheitliche (eIDAS-Stil) Assurance-Modelle abgebildet werden kann. Dies stellt die Fähigkeit sicher, globale Märkte zu bedienen, ohne völlig separate Produkt-Stacks zu benötigen. - **In Kern-Vertrauenstechnologien investieren:** Zertifizierte Lebenderkennung und hochpräziser biometrischer Abgleich sind keine optionalen Funktionen mehr; sie sind Kernkomponenten für jedes hochsichere Identitätsangebot. Investitionen in Technologien, die mit Standards wie ISO/IEC 30107-3 für die Erkennung von Präsentationsangriffen konform sind, sind entscheidend. - **Für die „Re-Enrollment-Steuer“ planen:** Erkennen Sie an, dass die Neuregistrierung auf einem neuen Gerät ein Sicherheitsmerkmal und kein Fehler ist. Gestalten Sie klare, benutzerfreundliche und hochsichere Onboarding- und Re-Enrollment-Prozesse, die die Reibung minimieren und gleichzeitig die Integrität des biometrischen Bindungsprozesses aufrechterhalten. - **Den gesamten Lebenszyklus sichern:** Konzentrieren Sie sich nicht nur auf das Onboarding, sondern auch auf sichere Backup- und Wiederherstellungsmechanismen. Da die EUDI Wallet und andere gerätezentrierte Modelle immer häufiger werden, werden benutzerfreundliche und dennoch sichere Wiederherstellungsprozesse (z. B. basierend auf Seed-Phrasen oder von Issuern verwalteten Protokollen) ein entscheidendes Unterscheidungsmerkmal sein. - **Wallet Step-Up mit interoperablen Fallbacks implementieren:** Bei der Integration von Wallet-basierter Identitätsverifizierung (z. B. für [KYC](https://www.corbado.com/blog/iso-18013-7-mdl-bank-kyc-onboarding)) verwenden Sie aufkommende Standards wie die [Digital Credentials API](https://www.corbado.com/blog/digital-credentials-api), wo verfügbar. Um jedoch eine breite Kompatibilität über Plattformen und Wallets hinweg zu gewährleisten, die die API möglicherweise noch nicht unterstützen, implementieren Sie robuste Fallback-Mechanismen wie QR-Code- oder Deep-Link-basierte Abläufe (z. B. mit [OpenID4VP](https://www.corbado.com/glossary/open-id-4-vp)). Dies gewährleistet eine konsistente Benutzererfahrung und eine größere Reichweite. - **Konten mit Passkeys schützen:** Bei Drittanbieter-Wallets, die Online-Konten zur Verwaltung von Benutzermetadaten oder Credentials verwenden, werden diese Konten zu einer kritischen Sicherheitsgrenze. Sie müssen mit den stärksten möglichen, [Phishing](https://www.corbado.com/glossary/phishing)-resistenten Authentifizierungsmethoden wie Passkeys (FIDO2) geschützt werden. Dies verhindert Kontoübernahmeangriffe, die Benutzerdaten kompromittieren oder betrügerische Neuregistrierungsaktivitäten erleichtern könnten. ### 7.2 Für Relying Parties (Unternehmen & Regierungen) - **Strenge Risikobewertungen durchführen:** Verfolgen Sie keinen Einheitsansatz bei der Sicherung. Nutzen Sie Risikobewertungsrahmen wie den [DIRA](https://www.corbado.com/glossary/dira)-Prozess in den USA, um das geeignete [IAL](https://www.corbado.com/glossary/ial) und [AAL](https://www.corbado.com/de/glossary/authentication-assurance-level) für jeden spezifischen Dienst oder jede Transaktion zu bestimmen. Eine übermäßige Absicherung von risikoarmen Interaktionen erzeugt unnötige Reibung, während eine unzureichende Absicherung von risikoreichen Interaktionen Betrug einlädt. - **Konten mit Passkeys schützen:** Nach der Verwendung einer digitalen Wallet für eine hochsichere Identitätsverifizierung (Step-up) hat das Benutzerkonto einen bestätigten Identitätsstatus. Es ist entscheidend, dieses hochwertige Konto gegen [Phishing](https://www.corbado.com/glossary/phishing) zu sichern. Schreiben Sie die Verwendung von Passkeys für nachfolgende Anmeldungen vor oder empfehlen Sie sie dringend, da sie [Phishing](https://www.corbado.com/glossary/phishing)-resistente MFA bieten und sicherstellen, dass das verifizierte Konto nicht durch schwächere Authentifizierungsmethoden kompromittiert wird. - **Sich auf eine Multi-Wallet-Welt vorbereiten:** Die Zukunft gehört nicht einer, sondern vielen Wallets. Unternehmen und Regierungsbehörden müssen in Verifizierer-Technologie und -[Infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure) investieren, die interoperabel und standardbasiert ist. Das bedeutet, Protokolle wie [OpenID4VP](https://www.corbado.com/glossary/open-id-4-vp) und [ISO 18013-5](https://www.corbado.com/glossary/iso-18013-5) zu unterstützen, um die Fähigkeit zu gewährleisten, Credentials von einer Vielzahl von Wallets zu akzeptieren, einschließlich der EUDI Wallet, nativer OS-Wallets und anderer Drittanbieterlösungen. - **Gerätebindungsstandards für Hochsicherheits-Szenarien beobachten:** Für Risikomodelle, die von der Identifizierung eines spezifischen physischen Geräts abhängen (insbesondere bei synchronisierten Passkeys), beobachten Sie genau die Entwicklung der WebAuthn-Standards für Vertrauenssignale zur Gerätebindung. Während frühe Vorschläge eingestellt wurden, werden neue Lösungen entwickelt, die es RPs ermöglichen, zwischen einem vertrauenswürdigen Gerät und einem neu synchronisierten zu unterscheiden, was eine granularere Risikobewertung ohne Einbußen bei der Benutzerfreundlichkeit ermöglicht. - **Vertrauen Sie der Kryptografie, nicht dem Bildschirm:** Schulen Sie Mitarbeiter und gestalten Sie Prozesse so, dass sie sich auf die kryptografische Verifizierung durch ein konformes Lesegerät verlassen und nicht auf die visuelle Inspektion eines Credentials auf dem Bildschirm eines Benutzers. Die visuelle Inspektion ist sehr anfällig für Spoofing und Betrug. ### 7.3 Für politische Entscheidungsträger - **Internationale Zusammenarbeit fördern:** Unterstützen und beteiligen Sie sich weiterhin an internationalen Standardisierungsgremien (wie ISO und W3C), um die Fragmentierung zu reduzieren und eine gemeinsame Sprache für digitales Vertrauen zu fördern. Die Harmonisierung von Definitionen und Anforderungen, wo immer möglich, wird Handels- und Innovationshemmnisse abbauen. - **Die Multi-Device-Herausforderung angehen:** Erkennen Sie die erheblichen Herausforderungen in Bezug auf Benutzerfreundlichkeit und Sicherheit, die durch die Verwaltung mehrerer Geräte entstehen. Fördern Sie die Entwicklung von Standards und Rahmenwerken für eine sichere, benutzerzentrierte Wiederherstellung und Synchronisierung von Credentials, die das Prinzip der „alleinigen Kontrolle“ nicht untergraben. - **Datenschutz und Sicherheit in Einklang bringen:** Da biometrische Daten zum Eckpfeiler hochsicherer Identität werden, stellen Sie sicher, dass rechtliche und regulatorische Rahmenwerke robuste Datenschutzbestimmungen für diese sensiblen Informationen bieten, im Einklang mit Prinzipien wie der DSGVO. Durch die Umsetzung dieser Strategien können [Stakeholder](https://www.corbado.com/blog/passkeys-stakeholder) nicht nur die Komplexität des aktuellen Umfelds bewältigen, sondern auch aktiv zum Aufbau eines sichereren, interoperableren und benutzerzentrierten digitalen Identitätsökosystems für die Zukunft beitragen. ## 8. Wie Corbado helfen kann Die Zukunft der digitalen Identität ist ein Maschine-zu-Maschine-Paradigma, bei dem sichere Hardware-Elemente auf Geräten kryptografische Challenges signieren, um die Identität eines Benutzers zu beweisen. Dieser Wandel von vom Menschen merkbaren Geheimnissen zu hardwareverankertem Vertrauen ist fundamental, um ganze Klassen von Angriffen, insbesondere Phishing, zu eliminieren. Corbado ist auf diesen Übergang spezialisiert. Wir helfen Unternehmen, von Wallet-Anbietern bis hin zu regulierten Relying Parties, ihren Weg in eine wirklich passwortlose Zukunft zu beschleunigen. Unsere Plattform ist darauf ausgelegt: - **Passkey-Akzeptanz durch Intelligenz steigern:** Passkeys einfach nur anzubieten, reicht nicht aus; die Benutzererfahrung muss nahtlos sein, um die Akzeptanz zu fördern. **Passkey Intelligence**, eine Kernkomponente unserer Lösung, ist eine intelligente Logikschicht, die Authentifizierungsabläufe optimiert. Sie analysiert den Kontext des Benutzers – Gerät, Browser und Verlauf –, um häufige Sackgassen wie verwirrende QR-Code-Schleifen oder Aufforderungen für Passkeys auf dem falschen Gerät zu vermeiden. Indem sie Benutzer intelligent zum erfolgreichsten Pfad führt, erhöht sie die Raten der Passkey-Erstellung und -Nutzung drastisch und stellt sicher, dass hochwertige, identitätsverifizierte Konten durch eine Authentifizierungsmethode geschützt sind, die sowohl sicher als auch reibungslos ist. - **Identifizierung & Wiederherstellung erleichtern:** Die Lösung von Corbado unterstützt robuste Kontowiederherstellungs- und Identifizierungsprozesse durch native Integrationen und Plugins für bestehende Anbieter von Identitätsverifizierung (IDV). - **Digitale Credentials verifizieren:** Mit Blick auf die Zukunft ist unsere Plattform darauf ausgelegt, die Verifizierung von digitalen Credentials unter Verwendung aufkommender Standards wie der [Digital Credentials API](https://www.corbado.com/blog/digital-credentials-api) nativ zu unterstützen, sodass Sie die höchsten in regulierten Umgebungen erforderlichen Assurance-Levels erfüllen können. Ob Sie ein Wallet-Anbieter sind, der eine sichere Authentifizierung anbieten möchte, oder eine [Relying Party](https://www.corbado.com/glossary/relying-party), die den Ihnen vorgelegten Credentials vertrauen muss, Corbado bietet die grundlegende [Infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure), um auf modernen, Phishing-resistenten Identitätsstandards aufzubauen. ## 9. Fazit Unsere Reise durch die digitalen Identitätsrahmenwerke der EU, der USA und Australiens offenbart einen klaren globalen Konsens über die Kernprinzipien des Vertrauens. Alle großen westlichen Rahmenwerke verfolgen einen gestuften, risikobasierten Ansatz und haben die biometrische Verifizierung – die „Liveness-to-Document“-Prüfung – als Goldstandard für hochsichere Identität übernommen. Die Wege, dieses Vertrauen zu erreichen, gehen jedoch auseinander. Das US-Modell bietet granulare Flexibilität, während das eIDAS-Rahmenwerk der EU eine einheitliche Interoperabilität fördert und Australiens System zwischen diesen beiden Philosophien angesiedelt ist. Letztendlich hängt der Erfolg von Digital Wallets von einem Vertrauensnetz zwischen Nutzern, Relying Parties und [Regierungen](https://www.corbado.com/passkeys-for-public-sector) ab. Die Rahmenwerke, die wir untersucht haben, sind die Blaupausen für diese neue Ära. Die Herausforderung besteht nun darin, darauf aufzubauen und ein Identitätsökosystem zu schaffen, das nicht nur sicher und interoperabel, sondern für jeden Einzelnen wirklich ermächtigend ist.