Bis Ende 2026 müssen alle EU-Staaten ihren Bürger:innen eine sogenannte "European Digital Identity Wallet" (EUDI Wallet) anbieten. Das wurde im vergangenen Jahr in Brüssel beschlossen. Mit der Wallet sollen sich alle online und offline ausweisen können. Laut EU-Verordnung soll die Wallet freiwillig, kostenlos und vor allem sicher sein. Außerdem sollen Nutzer:innen transparent darüber bestimmen können, welche Daten sie an wen weitergeben. Prof. Anja Lehmann leitet das HPI-Fachgebiet "Cybersecurity - Identity Management" und beschäftigt sich seit Jahren mit dem Thema.
Hasso-Plattner-Institut: Die EUDI-Wallet soll 2026 kommen. Was bedeutet das für die EU-Bürger:innen?
Prof. Anja Lehmann: Die EUDI Wallet ist eine europäische Idee, digitale Identitäten souverän zu gestalten. Dafür soll jedes Land eine App entwickeln, mit der man sich online und offline ausweisen kann. Am Anfang wird diese im Wesentlichen den digitalen Personalausweis enthalten, aber später soll der Führerschein, Krankenkassenkarte, digitale Zeugnisse, Dokumente für Reisen und auch für das digitale Payment dazukommen. Die Wallet soll es Bürger:innen ermöglichen, Informationen über sich mit anderen verifizierbar und sicher zu teilen.
HPI: Was sind die größten Herausforderungen dabei?
Prof. Lehmann: Die Informationen, die über die Wallet geteilt werden, müssen fälschungssicher und an die jeweilige Person gebunden sein – und das, obwohl sie auf Smartphones gespeichert sind, die nicht für allerhöchste Sicherheit bekannt sind. Da die Wallet eine zentrale Rolle im Alltag der EU-Bürger:innen spielen soll, ist es natürlich auch wichtig, dass die Lösung datenschutzfreundlich wird. Wir können nicht bei jeder Interaktion vollständige, zertifizierte Informationen aus dem Personalausweis weitergeben – etwa Identität, Wohnort oder Geburtsdatum. Stattdessen sollten nur die Daten offengelegt werden, die für die jeweilige Authentifizierung minimal erforderlich sind. Es kann z. B. ausreichen nur nachzuweisen, dass man eine bestimmte Altersgrenze überschreitet oder dass man ein Mensch und kein Bot ist.
Die Kombination von beiden - starke Sicherheit zu gewährleisten, und gleichzeitig die Privacy der Bürger:innen zu schützen, und keinen eindeutigen Fingerabdruck oder eine Überidentifikation einzuführen – ist aus kryptographischer Sicht die größte Herausforderung.
HPI: Wie beteiligt man sich als Sicherheitsforscherin bei solch einem Prozess?
Prof. Lehmann: Die Forschungscommunity beschäftigt sich bereits seit sehr langer Zeit mit diesem Problem, die ersten Ideen zu datenschutzfreundlichen digitalen Identitäten stammen aus den 80ern. In den vergangenen 20 Jahren wurden sehr effiziente kryptographische Protokolle entwickelt – sogenannte Anonymous Credentials – die genau die Balance zwischen Sicherheit und Datenschutz bieten, wie sie in der Regulierung der EUDI Wallet gefordert wird. Die technischen Grundlagen haben wir in der Forschung also bereits geschaffen. Bei der initialen Umsetzung der Wallet war die Forschungscommunity aber zunächst nicht eingebunden. Das änderte sich im Sommer 2024, als das EUDI-Wallet Team der Europäischen Kommission mehrere Forscher:innen einlud, Feedback zur geplanten Architektur der Wallet zu geben. Die aktuelle Referenzarchitektur basiert auf klassischen digitalen Signaturen: die erfüllen zwar die Sicherheitsanforderungen, erreichen aber nicht die gewünschten Datenschutzgarantien. In unserem Feedback haben wir die Schwächen der bestehenden Lösung aufgezeigt und erläutert, warum Anonymous Credentials hier die geeignetere Alternative wären. Spannenderweise hatte dieses Feedback Wirkung, sodass die Integration dieser Technologien nun für eine zukünftige Version der Wallet in Betracht gezogen wird.
Über die SPRIND, die in Deutschland für die Entwicklung der EUDI Wallet zuständig ist, habe ich dann die Möglichkeit bekommen mich dabei direkt einzubringen und an der Umsetzung unseres Feedbacks zu arbeiten. Gemeinsam mit meiner Arbeitsgruppe am HPI unterstützen wir nun den Übergang von einer Forschungsidee hin zu einer realen Umsetzung.
HPI: Dann hat die Forschung hier wirklich etwas erreicht?
Prof. Lehmann: Dass diese Verfahren nun berücksichtigt werden, ist schon ein erster toller Erfolg. Wir sind hier aber noch ganz am Anfang: wir sind gerade dabei die technischen Spezifikationen auszuarbeiten, es müssen noch Standards geschrieben und passender Hardware-Support geschafft werden. Aber bereits der Prozess ist gerade unglaublich spannend und mehr als ich mir noch vor ein paar Jahren erträumt hätte. Ich arbeite an dem Thema seit 20 Jahren und bisher war das quasi eine Utopie und vor allem Theorie: Wie würde man ein digitales und datenschutzfreundliches Identitätssystem der Zukunft bauen? Aber diese Zukunft ist jetzt. Bei der Umsetzung dieser Vision nun involviert zu sein, ist sehr inspirierend. Wir bemerken z.B. an welchen Stellen die Protokolle noch nicht optimal zu den realen Anforderungen konkreter Systeme passen, oder welche Eigenschaften man bisher übersehen hatte. Hier gibt es dann neben den angewandten Themen auch direkt wieder neue Protokollvarianten zu entwickeln und zu beweisen.
HPI: Prof. Lehmann, vielen Dank für das Gespräch.
Weitere Details zum Projekt der EUDI Wallet gibt es hier: EUDI Projekt am HPI: https://hpi.de/lehmann/eudi
Offizielle Seite der EUDI Wallet: https://ec.europa.eu/digital-building-blocks/sites/spaces/EUDIGITALIDENTITYWALLET/pages/694487738/EU+Digital+Identity+Wallet+Home
