Im Januar 2027 ist es so weit: EUDI kommt – und mit den Wallets auch die Credentials. Was Credentials in diesem Kontext genau sind, was sie können und wie man sie ausstellt, besprechen wir in diesem Blog.
EUDI-Wallet und Credentials – was ist das?
EUDI-Wallets sind „digitale Brieftaschen“ für verifizierte Nachweise, sogenannte „Credentials“. Diese Nachweise sind dabei in der Regel mit der Identität des Nutzers verknüpft. Wallets ermöglichen, die eigene Identität und individuelle Berechtigungen digital und sicher nachzuweisen – sowohl online als auch vor Ort. Die Wallets befinden sich auf dem Smartphone, die Nachweise sind darin hochsicher abgelegt.
Typische Nachweise, also Credentials, sind einerseits amtlich verifizierte Dokumente wie Ausweise, Führerschein oder Zeugnisse und Bestätigungen. Andererseits sind auch privatwirtschaftliche Nachweise, wie z.B. Versicherungsbestätigungen, Einkommensnachweise oder Zutrittsberechtigungen und Mitgliedsnachweise (wie beispielsweise in einem Fitnessstudio) möglich.
Die Anwendungsfälle sind vielfältig: die Identifikation in Onboarding-Prozessen, die Altersverifikation oder der digitale Nachweis der Fahrerlaubnis kann mit EUDI erledigt werden. Für die Nutzenden ist es eine bequeme Art und Weise, sich auszuweisen. Für die Behörden und Unternehmen ermöglichen Wallets digitale und effiziente Prozesse.
Wieso sollen jetzt auch Nachweise digital werden?
Im heutigen Alltag werden für viele Prozesse noch Kopien, Fotos und PDFs von Ausweisen oder Dokumenten angefertigt, gespeichert und versendet – zum Beispiel bei der Identifikation, bei der Mietwagenbuchung, beim Hotel-Check-in, für Bewerbungen, für Baufinanzierungen oder für Mietverträge. Die Erstellung und Validierung solcher Nachweise verursachen hohe Aufwände auf allen Seiten, damit erhebliche Transaktions- und Prozesskosten. Dabei besteht ein hohes Risiko von Fälschung und Missbrauch, was weitere Prozesskosten für Prüfung und Risikozuschläge verursacht. Zudem legen Nutzer oft mehr Informationen offen als für den Anwendungsfall nötig wären.
EUDI-Wallets bündeln künftig Nachweise der Bürger:innen absolut sicher und vertrauenswürdig – und voll digital in der Abwicklung. Sie ermöglichen das Teilen nur relevanter Informationen und reduzieren so Missbrauchs- und Kostenrisiken. Darin unterscheiden sie sich von anderen digitalen Nachweisen.
Wie ist sichergestellt, dass es keinen Missbrauch mit digitalen Nachweisen gibt?
EUDI-Wallets sind die Grundsteine eines sehr vertrauenswürdigen Ökosystems – deshalb kann (und muss) auch Nachweisen aus diesem Ökosystem vertraut werden.
Auf der Seite der Nutzerinnen und Nutzer ist dies dadurch sichergestellt, dass alle Nutzerinnen und Nutzer ausnahmslos sicher identifiziert sind. In Deutschland wird für die Erstellung eines EUDI-Wallets die „eID-Funktion” des Ausweises genutzt. Wer diese Funktion nicht freigeschaltet hat, kann kein EUDI-Wallet erstellen. Auch in anderen europäischen Ländern können die Wallets nur mit einer hochsicheren Identifizierung genutzt werden. Dies bildet zwar eine gewisse Eintrittsschwelle, ist aber absolut notwendig für das nachhaltige Vertrauen in das Ökosystem.
Aktuell gibt es auch in Deutschland erste Konzepte, wie die EUDI-Wallet Infrastruktur auch für einfache Nachweise und ohne diese sichere Identifizierung genutzt werden könnte. Das Ziel: die Verbreitung durch eine niedrigschwellige Nutzbarkeit zu fördern. Allen Konzepten gemein ist, dass sie keine Gefahr für das Vertrauensökosystem darstellen, da die Ebenen sehr klar getrennt sein werden.
Auf Seite der Herausgebenden von Nachweisen und für die Akzeptanzpartner ist der Missbrauch im Ökosystem dadurch ausgeschlossen, dass sich alle Teilnehmenden für die Teilnahme eindeutig identifizieren und registrieren müssen. Unternehmen müssen sich bei einer öffentlichen Stelle identifizieren (KYB) und die jeweiligen Nachweise bzw. Abrufe für konkrete Anwendungsfälle registrieren. Dies wird technisch durch Zertifikate abgesichert, unberechtigte Anfragen werden durch die EUDI-Wallets abgeblockt.
So wird sichergestellt, dass nur vertrauenswürdige Nachweise ins Ökosystem kommen und, dass nur vertrauenswürdige Akzeptanzpartner diese Nachweise bzw. Informationen für definierte Verwendungen erhalten.
Wie können Unternehmen Credentials ausstellen?
Noch ist der Prozess für Unternehmen, die selbst Nachweise ausstellen wollen, nicht ganz klar. Was wir bereits wissen: Auch als Issuer, also Herausgeber, wird man sich registrieren lassen müssen. Es soll es außerdem möglich sein, Credentials individuell anzupassen: Von der Festlegung von Abrufberechtigten und Inhalt über die Gültigkeitsdauer bis hin zur Optik.
Die große Herausforderung wird sein, die vielen EUDI-Wallets jedes Mitgliedsstaates anzubinden. Für die meisten Unternehmen, die Credentials ausgeben wollen, bietet es sich deshalb an, einen Issuing Service wie Verimi dafür zu nutzen.
Unternehmen müssen sich dann nur darum kümmern, welche Daten ihr Credential enthalten soll; der Issuing Service Provider ist zertifiziert und übernimmt das eigentliche Ausstellen, Prüfen der Gültigkeit, Aktualisierung und Ausspielen an die Wallets der Endnutzer.
Interessiert, wie so etwas aussehen kann? In unserem Showcase zeigen wir erste Anwendungsmöglichkeiten. Jetzt ausprobieren!
Wie werden digitale Nachweise technisch ausgestellt?
Das Ausstellen von Nachweisen erfordert fünf Schritte.
-
Authentifizierung des Nutzers
Es muss sichergestellt werden, dass ein Credential an die richtige Person ausgestellt wird. Das kann auf unterschiedlichem Wege passieren: zusenden eines Links per E-Mail, Issuance aus einem abgesicherten Bereich (z.B. Kundenportal) oder für besonders hohe Sicherheit über den zusätzlichen Abgleich der Identitätsdaten mit der PID.
-
Vorbereitung der Attribute
Damit ein Credential ausgestellt werden kann, müssen die einzelnen Datenfelder (Attribute) befüllt werden. Wichtig ist hier die nahtlose Integration der Datenquelle: je nach Art des Credentials können dies z.B. eine oder mehrere Datenbanken oder spezifische Geschäftsprozesse wie der Verkauf eines Tickets sein. Ggfs. Müssen die Daten in diesem Schritt noch an das Datenformat des Credential-Schemas angepasst werden, wenn z.B. aus „Name“ die Datenfelder „Vorname“ und „Nachname“ werden.
-
Erstellung des Credentials
Erst im nächsten Schritt das eigentliche Verifiable Credential in einem EUDI-konformen Nachweisformat erstellt. Hier wird das Credential auch signiert; mit qualifiziertem Zertifikat, wenn es von einem qualifizierten Trust Service Provider (QSTP) ausgestellt wurde oder einem normalen Zertifikat bei nicht-qualifiziertem Nachweis.
-
Eintrag in die Revocation List
Ein wichtiger Aspekt des Trust-Models im EUDI-Ökosystem ist, dass Credentials jederzeit auf ihren Gültigkeitsstatus überprüft werden können. Hierfür wird der Status in eine Revocation List eingetragen, aus der bei Präsentation über einen speziellen anonymisierenden Mechanismus die Gültigkeit abgefragt wird, ohne dass der Issuer weiß, wo welches Credential präsentiert wurde. So können Credentials durch den Issuer ungültig gemacht werden.
-
API & Interoperability Layer
Der letzte Schritt ist die Übergabe an die EUDI-Wallet via die Schnittstellen für Wallets zur Ausführung der Issuance-Protokolle (OpenID4VCI).
Welchen Nutzen haben EUDI-Credentials für Unternehmen und wie kann man damit starten?
Welchen Mehrwert die Herausgabe von Nachweisen für ein Unternehmen hat ist sehr individuell und abhängig von vielen Faktoren, wie der Branche, den Kunden und auch den Zielsetzungen.
In jedem Fall lohnt es sich, eine Strategie und ein konkretes Ziel von Fachexpertinnen und –experten und eIDAS-Experten entwickeln zu lassen. Wichtig hierfür vor allem: Ist das Issuing von EUDI-Credentials beispielsweise Teil der Innovationsstrategie, soll es einen Kundenservice darstellen, Prozesse verschlanken oder kommerziell wirken, zum Beispiel durch Gebühren für den Abruf von Nachweisen?
Sobald diese Fragen geklärt sind, ist der aktuelle Grad der Digitalisierung relevanter Prozessstufen relevant. Nur so kann der Aufwand abgeschätzt werden.
Klingt interessant für Ihr Unternehmen? Wir beraten Sie gern, entwickeln Lösungen für Ihr Unternehmen und stellen Ihnen die notwendigen Services zur Herausgabe von EUDI-Wallet Nachweisen bereit. Mehr Infos zu Pilotprojekten finden Sie hier.
