In der aktuellen Ausgabe wird immer wieder von den Vor- und Nachteilen einer Datenbank berichtet.
Warum die Daten nicht, ähnlich der Corona Warnapp, dezentral auf dem Ausweis speichern.
Die Datensicherheit könnte z.B. durch einen Hashwert hergestellt und die Person über den Fingerabdruck verifiziert werden.
Somit hätte jeder die „Kontrolle“ über seine Daten und könnte diese, bei Bedarf der gewünschten Stelle freigeben.
Klar hätte eine zentrale Datenbank diverse andere Vorzüge. Wenn ich mir das Chaos mit der Warnapp anschaue, ist dies aber ggf. ein guter Kompromiss.
Hier in Schweden macht es quasi meine Bank.
Ja es läuft über meine Personennummer vom FA aber die Bekräftigung meiner Identität online macht meine Bank.
Denn um ein Bankkonto zu eröffnen musste ich ja auch persönlich erscheinen mit Pass u.s.w.
Ließe sich auch in Deutschland so dezentralisieren.
Es gibt auch in Schweden mehrere online Identifikationsdienste nur ist eben BankID das gebräuchlichste.
Ich glaube fast durch den Zwang das Rad neu erfinden zu müssen macht man es in Deutschland wieder unnötig kompliziert und wenn ich dann hier über das Forum mitbekomme, dass man sowohl den elektronischen Personalausweis, dann noch BundID und LandesID, PostIdent u.s.w. für die unterschiedlichsten Dienste benötigt wird da nichts wirklich einfacher und am Ende wieder unsicherer, weil bei der Masse an unterschiedlichen Login’s am Ende doch wieder Logindaten irgendwo gespeichert und/oder auf Zetteln aufgeschrieben werden.
Es ist völlig egal, ob ich einen Hashwert zu einer DB schicke oder meine Unterschrift oder eine sonstige ID. Am Ende ist die Verknüpfung mit meinen persönlichen Daten (z.B. denen in meinem Ausweis) das, was die Daten „wertvoll“ und im schlimmsten Fall gefährlich für mich macht. Bei der Covid-App wird eben genau keine Verbindung zu meiner Person hergestellt.
Bei einem Ident Verfahren muss man immer dem Halter der DB vertrauen. Er ist es, der dem jeweiligen Unternehmen oder sonstigen Stelle meine Identität bestätigt.
Sorry, aber was du beschreibst ist nicht dezentral. Es gibt in Deinem Beispiel gleich zwei Stellen, an denen meine Daten zentral gespeichert werden: das Finanzamt und die Bank.
Dezentral wäre es, wenn alle nur einen Teil der Information besitzen würden und nur mit meinen Zusatzinformationen daraus ein valider Datensatz würde.
Nein, das habe ich nicht gesagt. Ich habe gesagt, dass eine Identifikation nicht dezentral funktionieren kann. Und dann will man eigetlich dass so wenige Stellen wie nötig diese Informationen speichern und dass diese so vertrauenswürdig wie möglich sind.
Weil du damit der Bank - einem privatwirtschaftlichen Akteure mit Wirtschaftsinteresssen - Eine hoheitliche Aufgabe abgibst und ihr einen Haufen Informationen gibst die sie nichts angehen.
Ich meine wir hätten da vor 1-2 Jahren schon drüber geschrieben, darum würd ich das jetzt nicht weiter ausführen, außer du sagst du faendest das nochmal spannend, dann kann ich mich gerne nochmal hinsetzen
Es ist völlig egal, ob ich einen Hashwert zu einer DB schicke oder meine Unterschrift oder eine sonstige ID. Am Ende ist die Verknüpfung mit meinen persönlichen Daten (z.B. denen in meinem Ausweis) das, was die Daten „wertvoll“ und im schlimmsten Fall gefährlich für mich macht. Bei der Covid-App wird eben genau keine Verbindung zu meiner Person hergestellt.
Ich glaube, du hast mich missverstanden.
Die Daten verbleiben auf dem Ausweis.
Der Hashwert soll nur der Sicherheit vor Manipulation dienen.
Naja, du möchtest dich also eindeutig identifizieren können ohne das irgendjemand deine Identität kennt/speichern darf.
ja, so ähnlich habe ich mir das vorgestellt. Ich gebe die Daten über meinen Ausweis frei. Das entspricht ungefähr dem aktuellen Prinzip, nur eben digital.
Die Daten (inkl. Änderungen) müssten einmalig von einer Behörde auf den Ausweis geladen und verifiziert werden.
Der Hashwert dient nur der Datensicherheit. Über einen Einwegfunktion kann aus dem Wert keine Rückschlüsse zu deinen Daten erfolgen. Jegliche Veränderung würde aber erkannt.
Warum nicht deine Bank?
Warum muss wieder jeder sein eigenes Identverfahren schaffen?
Warum muss es die Bank sein. Wir wollen eine Digitalisierung des Staatsapparates und nicht der Bank
Was bitte ist an einer Identitätsbürgschaft für online Dienste hoheitliche?
Hier ein ganz klares nein!
Die Bank kriegt nicht einen einzigen Informationsschnippsel mehr über dich als sie bereits hat.
Sie weiß bereits ganz eindeutig wer du bist und nichts weiter soll sie auf Anfrage eines Dritten bestätigen und somit ein gesichertes und eindeutiges Login-Verfahren ermöglichen.
Bei BundID, BayernID, PostIdent u.s.w. da gibst du extra Informationen über dich an Andere die sie noch nicht haben.
Ich glaube wir reden grundsätzlich aneinander vorbei.
So wie ich das verstanden habe soll der elektronische Perso nur eine Art physischer eindeutiger Dongle sein der die Erlaubnis erteilt.
Also nicht irgendwelche extra Daten, sondern einen eindeutigen und einmaligen Schlüssel um z.B ein gesicherten eindeutigen Login zur Verfügung zu stellen.
So wie deine Bankkarte einen eindeutigen einmaligen Schlüssel zu deinem Konto darstellt.
Die unterschiedlichen Identifizierunglösungen gehen doch aber auch nur in dieselbe Richtung.
Es ist doch nicht so, dass du physisch im Besitz z.B. deiner Patientendaten bist und diese an den Doktor gibst. Sondern physisch sind sie z.B. bei der Krankenkasse (auf dem Server) wenn du jetzt zu irgendeinem Arzt gehst der Zugang zu deinen Patientendaten benötigst, gibst du ihm mit deinem Schlüssel die Erlaubnis diese Daten zu bekommen, fertig.
Die Daten als solches hast aber weder du noch der Arzt, denn wenn der seine Eintragungen vorgenommen hat nimmst du deinen Schlüssel ja wieder mit.
Da der Doktor dir was verordnet hat, gehst du zur nächst besten Apotheke und legst deinen Schlüssel vor, damit der Apotheker nachschauen kann, welche Pillen du kriegen sollst.
Und ähnlich ist es dann eben auch bei der Verwaltung. Die brauchen Daten aus einer anderen Behörde und fragen bei dir um Erlaubnis. Du gibst ihnen deinen Schlüssel und fertig.
Es geht doch bei dem ganzen gesicherten Login nicht darum, das irgendwer neue zusätzliche Daten über doch bekommt.
Deswegen finde ich ja auch den Weg über die Bank hier in Schweden so toll.
Sie machen ja nichts weiter als gegenüber einem Dritten zu bestätigen dass ich wirklich der bin der anhand meines Username (Personennummer) vorgeben zu sein.
Gut, bei dem ersten Punkt können wir uns vermutlich einigen uns uneins zu sein:
Ich wünsche mir, dass Identitaetsfeststellung ( zB über Bereitstellung von Ausweisdokumenten) eine hoheitliche Aufgabe ist), du nicht - fair enough
Beim zweiten Punkt würde ich aber gerne nochmal einhaken: Die zusätzliche Information die du an den Anbieter von Identifikationsmerkmal ( bei dir die Bank, bei mir der Staat) rausgibst, ist die Tatsache, dass abgefragt wird, und vermutlich auch von wem gefragt wird.
Deine Bank wird diese Information natürlich für geschaeftliche Zwecke nutzen, also bei der Frage ob und zu welchen Konditionen du ihre Bank Produkte bekommst. Es wäre auch sehr naheliegend, direkt mit der identitaetsbestaetigung an dritte Informationen über dich zu verkaufen etc.
Ziemlich, denn es geht ja nicht um die Identitätsfeststellung (Ausweisdokument) sondern um die Bürgschaft, aber gut.
Möglich, aber die einzigste Information die dabei rum kommt ist, welche Dienste ich nutze und diese Nutzung wird an so vielen Stellen bereits getrackt dass die Information im Grunde wertlos ist.
Letztlich gehen die Schaufensterprojekte digitale Identitäten (zu denen auch die ID-Wallet mit dem Führerschein-Debakel zählt, das auch in der Lage schon erörtert wurde) sowie die Überarbeitung der eIDAS (electronic identification and trust services) Verordnung genau in diese Richtung: Wir speichern auf unseren Smartphones digital signierte und damit maschinen-verifizierbare Nachweise in einer „digital Wallet“ App. Diese Nachweise können und sollen sogar aus unterschiedlichen Quellen kommen (Gemeinde, Bundesdruckerei, Schule, Arbeitgeber, Bibliothek), müssen aber standardisiert sein (Art der Verifizierung, Art und Bedeutung der Attribute). Damit wird die für Datenkraken besonders wertvolle Kombination all dieser Teilidentitäten nirgends „zentral“ gespeichert, sondern nur auf dem Endgerät des Nutzers (was natürlich auch Sicherheitsanforderungen mit sich bringt, aber immerhin kann man nicht Millionen von gesammelten Nutzerdaten auf einen Schlag erbeuten). Der Nutzer hat somit die Möglichkeit, Attribute aus verschiedenen dieser Nachweise zu kombinieren und bei Bedarf verifizierbar bilateral gegenüber dem gewünschten Service nachzuweisen (auch, dass die zugrundeliegenden Nachweise zur gleichen Person gehören, ohne einen eindeutigen Identifikator vorzuzeigen). In diesem Bild ist der e-Perso/e-ID einer dieser vielen Nachweise, nur dass dieser wegen der besonders hohen Sicherheitsanforderungen aktuell noch Hardware-basiert ist (Smartcard). Es laufen aber bereits Bemühungen, diesen im sicheren Bereich des Smartphones zu speichern (Smart-eID). Das Konzept hat auch Schnittmengen mit den „Pods“, die der „Erfinder“ des World Wide Web, Tim Berners-Lee, in seinem Solid-Projekt vorgeschlagen hat, um das Internet vor Datenkraken zu retten: Der Nutzer selbst hat all seine Daten unter Kontrolle (an einem Speicherort seiner Wahl) und kann selektiv Leseberechtigungen für Services erteilen. Das kann dann auch Bewegungsdaten umfassen (man denke bspw. an die Patientenakte oder Finanzdaten), wohingegen die „digitale Wallet“ eher für verifizierbare Stammdaten angedacht ist. Insgesamt wie ich finde aus individualler (Datenschutz) und gesellschaftlicher (Unabhängigkeit und Sicherheit) ein sehr schönes Konzept, das aber auch komplex umzusetzen ist, insbesondere weil es eher eine digitale Infrastruktur als ein Geschäftsmodell eines Serviceanbieters wäre, das private Investoren und Software-Entwicklung anlockt, und umfassende Standardisierung erfordert, wo wir leider in den vergangenen Folgen lernen mussten, dass da noch viel Luft nach oben ist.
