Digitale Identitäten: Zwischen PIN-Chaos und Hoffnung auf EUDI-Wallet

Digitale Identitäten werden im Gesundheitswesen immer wichtiger – etwa für die elektronische Patientenakte (ePA) und das E-Rezept oder den Eintrag im Organspenderegister. Doch bei der praktischen Umsetzung hakt es noch deutlich, wie eine von Pascal Jeschke, vom Bundesamt für Sicherheit in der Informationstechnik, moderierte Gesprächsrunde auf der DMEA zeigte.

„Es blickt ja schon fast keiner mehr durch“, sagte Carlo Ulbrich, Mitgründer und CSO der Nect GmbH, die das erweiterte Video-Identverfahren für die meisten Krankenkassen anbietet. Gemeint ist die Vielzahl unterschiedlicher Identifizierungsverfahren, Apps und Vertrauensniveaus. Je nach Anwendungsfall kommen andere Verfahren zum Einsatz. Nutzer müssen sich in der Regel mehrfach registrieren, verschiedene PINs verwalten und unterschiedliche Prozesse verstehen.

Zu viele Verfahren, zu wenig Klarheit

Die Fragmentierung beginne bereits beim Zugang: Unterschiedliche Identitätsniveaus und Verfahren sorgen dafür, dass Versicherte oft gar nicht wissen, wann sie bereits eine digitale Identität nutzen. Dr. Matthias Berger, Co-Founder von azuma healthtech, sagte, dass viele Anwender ihre GesundheitsID verwenden, ohne zu wissen, dass sie die noch woanders nutzen können. Diese ist unter anderem für den Zugriff auf die elektronische Patientenakte und das E-Rezept notwendig. Der Zugang zu Produkten wie der ePA sei jedoch nicht ausreichend, betonte Isabel Höftmann-Toebe: „Ich habe Zugriff und muss das auch nutzen können – mit einer hohen Transparenz.“

Gleichzeitig erschwert die Vielfalt der Verfahren die Verbreitung: „Wenn die Use Cases nicht da sind, […] dann kann ich ja auch nicht erwarten, dass sich die Leute die GesundheitsID holen. Also es ist ja immer dieses Henne-Ei-Problem, […] du musst ja irgendwie gucken, wie kriege ich die Leute dazu überhaupt zu sagen, ich nehme mir den Aufwand vor, mir die Gesundheits-ID für mich zu erstellen“, so Berger.

Komplexität bleibt ein Kernproblem

Dr. Karsten Klohs von achelos verwies darauf, dass die GesundheitsID erstmals auch Teilnehmer anbinde, die nicht über klassische Kartenlösungen identifiziert werden können, womit beispielsweise auch Privatversicherte gemeint sein könnten. Er warnte vor einer zunehmenden Zersplitterung von Identitätslösungen – mit zahlreichen Verfahren und Zugangsdaten. „27 Pins, die man sich merken muss“, beschrieb er zugespitzt die Situation. Zugleich machte er deutlich, dass moderne Identitätssysteme deutlich über eine einmalige Anmeldung hinausgehen müssten: Sie sollten kontinuierlich überwacht werden, auf ungewöhnliche Aktivitäten reagieren können und auch dann funktionsfähig bleiben, wenn einzelne Komponenten ausfallen oder Vertrauensniveaus sinken.

Die Bedeutung von Resilienz und Ausfallsicherheit zog sich als zentrales Thema durch die Diskussion. Mehrere Panelisten verwiesen darauf, dass digitale Identitäten auch bei Cyberangriffen oder Systemausfällen funktionieren müssen – nicht zuletzt mit Blick auf regulatorische Anforderungen wie die DORA-Richtlinie für Banken.

Ebenso wurde von mehreren Diskussionsteilnehmern auf den Zielkonflikt zwischen Sicherheit und Nutzerfreundlichkeit hingewiesen. Höhere Vertrauensniveaus und damit sicherere Verfahren gingen oft mit mehr Aufwand für Nutzer einher, während niedrigschwellige Lösungen nicht in allen Fällen den nötigen Schutz bieten – ein besonders sensibles Thema im Gesundheitswesen. Ulbrich hob zudem die besondere Sensibilität von Gesundheitsdaten hervor: „Wenn Gesundheitsdaten geleakt sind, dann sind die geleakt.“ Anders als etwa bei Finanzdaten ließen sich Schäden hier kaum nachträglich begrenzen.

EUDI-Wallet

Als möglicher Ausweg wurde die geplante EUDI-Wallet genannt. Sie soll perspektivisch eine einheitliche Infrastruktur für digitale Identitäten schaffen und die Nutzung über verschiedene Sektoren hinweg vereinfachen. Experten üben jedoch Kritik am Modell mit privaten Anbietern und sehen die EUDI-Wallet eher als vollständig staatlich betriebene Infrastruktur – ähnlich dem Personalausweis. Gleichzeitig werfen aktuelle Sicherheitsdebatten die Frage auf, ob solche Systeme ausreichend robust und die Privatsphäre bewahrend umgesetzt werden können. Sicherheitsexperten weisen darauf hin, dass selbst bei starker kryptografischer Absicherung zusätzliche Metadaten anfallen können, die Rückschlüsse auf Nutzer zulassen.

Anreize und bessere UX gefordert

Neben regulatorischen Anpassungen wird auch Bedarf bei der Nutzerführung und Anreizen gesehen. Klohs brachte etwa finanzielle Anreize ins Spiel, um die Verbreitung digitaler Identitäten zu beschleunigen. Zudem verwies er auf eigene, komfortable Erfahrungen, als es noch möglich war, den PIN-Brief über ein Online-Portal anzufordern. Die Möglichkeit war aus Kostengründen abgeschaltet worden, und eine weitere Entscheidung steht noch aus. Verbraucherschützer fordern seit Längerem, den PIN-Rücksetzbrief wieder verfügbar zu machen.

Einigkeit herrschte darin, dass technische Lösungen allein nicht ausreichen. Entscheidend sei, digitale Identitäten so in den Alltag zu integrieren, dass sie möglichst ohne zusätzliche Hürden für Nutzer sind. Deutschland verfüge über leistungsfähige Technologien für digitale Identitäten, so der Tenor. Doch bei Verbreitung, Nutzererlebnis und praktischer Anwendung bestehe weiterhin Nachholbedarf.

(mack)