Die weltweite IT-Sicherheitslage und künstliche Intelligenz à la ChatGPT haben in den letzten zwölf Monaten die Schlagzeilen bestimmt. Wenig deutet aktuell darauf hin, dass sich dies im nächsten Jahr ändert. Auf digitale Identitäten und Dienstleistungen hat dies ebenfalls Auswirkungen.
Philipp Angermann, Director Financial Services DACH bei IDnow, wirft einen Blick auf fünf Herausforderungen und Chancen, mit denen digitale Dienste in Deutschland im nächsten Jahr konfrontiert sein werden.
- Der Siegeszug der generativen KI
Vor allem in der Form von ChatGPT haben generative KI und Large Language Models (LLMs) 2023 einen großen Marktauftritt hingelegt. Beobachter gehen davon aus, dass der Einsatz von generativer KI einfacher sowie kostengünstiger wird und in den nächsten Jahren durch eine Kombination unterschiedlicher Anwendungsfälle einen wirtschaftlichen Mehrwert in Billionenhöhe generieren kann. Auf der anderen Seite werden KI-Entwicklungen zwangsläufig einige negative Auswirkungen auf die Cybersicherheit haben. Die Anfänge sind bereits zu beobachten: Social-Engineering-Angriffe werden einfacher und schneller, da (Cyber-)Kriminelle kein tiefes technisches Know-how mehr benötigen, um sie auszuführen. Auch die Fälschung von Bildern physischer Dokumente dürfte einfacher werden als je zuvor. Um diese KI-gestützten Fortschritte zu bekämpfen, müssen Unternehmen im nächsten Jahr verstärkt selbst KI einsetzen – vor allem im Zusammenspiel aus Mensch und KI –, um böswilligen Akteuren einen Schritt voraus zu sein.
- Angespannte IT-Sicherheitslage
Nicht nur wegen der KI-Entwicklungen hat sich die IT-Sicherheitslage im vergangenen Jahr verschärft, das hatte zuletzt erst der BSI Lagebericht zur IT-Sicherheit in Deutschland 2023 gezeigt [1]. Viele Akteure, vor allem in der Finanz- und Fintech-Branche, werden ob der angespannten Lage verstärkt nach Lösungen zur Verhinderung von Onlinebetrug suchen und dabei immer häufiger auf mehrschichtige Tools und Technologien setzen. Dazu zählt auch das Hinzufügen sogenannter »Risikosignale« bei Identitätsprüfungen: Diese Signale können verhaltensbiometrische Daten wie Tippmuster oder Mausbewegungen einbeziehen, um Betrug zu erkennen. Zudem können sie historische Transaktionen mit Nutzern in Form von Gerätesignalen in die Betrugsbekämpfung einfließen lassen und Betrügern so das Leben erschweren.
- NFC-Technologie im Aufwind
Angesichts der angespannten IT-Sicherheitslage wird im Bereich der Identifikation auch die Anwendung der Near Field Communication (NFC) Technologie im kommenden Jahr einen Zuwachs verzeichnen. Die Betrugsprävention ist bei NFC besonders hoch, da der im Personalausweis integrierte Chip äußerst fälschungssicher ist. Auf dem Chip sind die Personendaten, sowie das biometrische Lichtbild gespeichert. So können die originalen Daten validiert werden, auch wenn das Ausweisdokument äußerlich verfälscht wurde. Aufgrund verschiedener politischer Entscheidungen wie dem Onlinezugangsgesetz (OZG) oder der Einführung der BundID in zusätzlichen Bundesländern wird es auch im kommenden Jahr einen weiteren Nutzeranstieg der eID-Funktion in Deutschland geben. Positive Entwicklungen waren auf Bundesebene laut BMI bereits in diesem Jahr zu erkennen [2]. Die höhere Verbreitungsrate von NFC-fähigen Smartphones trägt dazu bei, so wie die Möglichkeit, die NFC-Technologie mit einer Vor-Ort-Identifizierung, beispielsweise in einer Tankstelle, zu kombinieren.
- Step-up-Verifikation
Neben der ersten Interaktion zwischen Kunde und Organisation oder Institution wird auch die weitere Customer Journey in Hinblick auf Sicherheit immer wichtiger. Eine sichere und schnelle Benutzerkontenwiederherstellung ist ein zentraler Baustein, um Kriminelle von unerlaubten Kontoübernahmen abzuhalten. Beispielsweise ist die Änderung der Telefonnummer oder der E-Mail-Adresse kurz nach einer Kontoeröffnung ein starkes Indiz für Account-Takeover oder sogenannte Money Mules, also Personen, die ihre Zugangsdaten Kriminellen freiwillig zur Verfügung stellen, weil sie leichtes Geld verdienen wollen. Auch ungewöhnlich hohe Transaktionen können ein Warnsignal sein. Dem kann man entgegenwirken, indem der Nutzer seine Identität via Step-up-Verifikation nochmals bestätigen muss. So kann das notwendige Level an Sicherheit gewährt werden.
- eIDAS 2.0: Der große Schritt in die digitale Dekade
Auch in der Gesetzgebung wird sich im kommenden Jahr einiges ändern. Auf EU-Ebene lautet das Schlagwort »eIDAS 2.0«. Ziel der EU ist es, ein europaweites Ökosystem für digitale Identität zu schaffen. Die erneuerte Verordnung muss im Trilog zwischen der EU-Kommission, dem EU-Rat und dem EU-Parlament vereinbart werden. 2024 wird also hoffentlich das Jahr, in dem die Verordnung, die Durchführungsbestimmungen und die zugehörigen Normen endlich verabschiedet werden. Auch Deutschland ist mit dem BMI-Konsultationsprozess über die Entwicklung einer eIDAS 2.0-konformen Infrastruktur für eine deutsche Wallet im Sommer 2023 gestartet. Im nächsten Jahr soll die Entwicklungsphase und der Architekturprozess beginnen, was essenziell für die weitere Akzeptanz sein wird. Die Identity Wallets, wie sie unter anderem auf EU-Ebene diskutiert werden, kommen bisher laut Digital Identity Index 2023 erst bei einem Prozent der deutschen Bevölkerung zum Einsatz [3]. Gleichzeitig plant die EU aber, dass 80 Prozent der Bürgerinnen und Bürger bis 2030 eine digitale Identität in der Form eines Wallets benutzen. Große Veränderungen in den digitalen Infrastrukturen – auf allen Seiten – sind somit für 2024 vorprogrammiert.
[1] https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
[2] https://dashboard.ozg-umsetzung.de/
[3] https://www.idnow.io/de/pr-de/idnow-digital-identity-index-2023/