MitID

MitID ist das staatliche digitale Identifikationssystem für Online-Plattformen in Dänemark. Es dient der Authentifizierung ggü. Webseiten, insbesondere der öffentlichen Verwaltung, und trat Ende 2021 die Nachfolger des NemID-Systems an, das sich als nationale eID-Lösung etabliert hatte.^[1]

Es wurde von der Firma Nets in Zusammenarbeit mit dem Digitalministerium und den dänischen Banken entwickelt und wird von allen öffentlichen und privatwirtschaftlichen Diensten, etwa Versicherungen, genutzt.

Zusammen mit der CPR-Nummer brachten NemID und MitID die Digitalisierung in vielen Bereichen voran, sodass viele Behördengänge überflüssig wurden und sogar der Briefverkehr stark zurückging.

Geschichte

Schon 1999 startete die dänische Regierung eine Studie zu digitalen Signaturen, diese bildete die Basis für das 2010 eingeführte NemID,^[2] welches zur etablierten Lösung für digitale Identifikation wurde.^[1] Es basierte auf dem iTAN-Verfahren.

Weil diese Lösung vom Staat finanziert wurde und nicht dem Wettbewerb unterlag und außerdem die eIDAS-Verordnung eine bessere Sicherheit forderte, wurde der Vertrag für NemID beendet und die Entwicklung von MitID begann.^[1]

Im Oktober 2021 begann die Einführung und damit die Übergangsphase von NemID zu MitID.^[1] Ab dem 22. September 2022 mussten alle Bürger bei der Anmeldung auf den verschiedenen Plattformen öffentlicher Verwaltungen generell die MitID verwenden, darunter den Webportalen des Steuersystems (skat.dk), des Bürgersystems (borger.dk bzw. LifeInDenmark.dk) und des Gesundheitssystems (sundhed.dk).^[3]

Technik und Sicherheit

MitID basiert auf NSIS^[4], der dänischen Implementierung der eIDAS-Verordnung, welches wiederum auf den Protokollen OAuth 2.0 und OpenID Connect basieren.^[5]

Falls die App als echter zweiter Faktor auf einem getrennten Gerät eingesetzt wird, gibt der Benutzer zuerst seinen selbst vergebenen Benutzernamen auf der Webseite des Diensteanbieters ein, die dann auf die Seite der Authentifizierungsstelle weiterleitet. Der Benutzer startet nun auf dem zweiten Gerät die MitID-App, welche sich mit dem Server der Authentifizierungsstelle verbindet und so das Signal gibt, dass sie bereit ist. Daraufhin wird auf dem ersten Gerät ein QR-Code angezeigt. Die App liest den QR vom Bildschirm ab und präsentiert dem Benutzer auf dem zweiten Gerät eine Zusammenfassung der zu bestätigenden Aktion, z. B. Anmeldung auf der Website, Beantragung eines Reisepasses. Falls der Benutzer die Aktion in der App bestätigt, sendet sie an den Server der Authentifizierungsstellen die Bestätigung. Der Browser wird nun wieder zur ursprünglichen Seite (des Diensteanbieters) zurückgeleitet und der Benutzer ist angemeldet.

Daneben gibt es seit 2023 ein Verfahren über H-OTP-Generatoren, die Einmalpasswörter generieren.

Die in einem Whitepaper^[6] beschriebenen Verfahren wurden Ende 2021 von Sicherheitsforschern untersucht, die mehrere Lücken fanden, welche bis 2023 behoben wurden.^[2]

Akzeptanz

Laut Danmarks Statistik lag das Vertrauen der Bürger in digitale öffentliche Lösungen in den Jahren 2021, 2022 und 2023 konstant bei etwa 78 %, etwa 6 % hatten kein Vertrauen.^[7] Die Bedenken hinsichtlich der Zugänglichkeit von MitID für ältere Menschen und diejenigen ohne moderne Smartphones und Computer habe sich bestätigt, dort ist die Vertrauensquote mit 67 % deutlich niedriger.^[7]

Seit November 2022 ist die Identifikation per MitID für jeden Online-Kauf vorgeschrieben. Darüber beschwerte sich die Organisation DaneAge öffentlich, denn zu diesem Zeitpunkt konnte man sich nur per MitID-App für das Smartphone authentifizieren, erst ein Jahr später gab es OTP-Generatoren mit Kopfhörern für Sehbehinderte. Trotzdem wollte Finans Danmark nicht länger mit der Einführung warten.^[8] Auf Antrag kann man sich in Dänemark von digitaler Post freistellen lassen; in diesem Fall werden Dokumente gegen eine Gebühr ausgedruckt und per traditioneller Briefpost zugestellt, was jedoch nur sehr wenige Einwohner Dänemarks wahrnehmen.

Eigentum

MitID ist eine privatwirtschaftliche Entwicklung der Firma Nets, einem Unternehmen, der Nexi-Gruppe. MitID wurde im November 2023 für fast eine Milliarde dänische Kronen (130 Mio. Euro) an das französische Unternehmen IN Groupe verkauft. Der Verkauf umfasste das gesamte eID-Geschäft, einschließlich Nem-Login, Trust Services und den Broker-Employee-Service von Signaturgruppen.^[9]

Es gibt in diesem System elf unabhängige Authentifizierungsstellen (englisch Identity-Broker), das sind Unternehmen, die ihre Infrastruktur den Diensteanbietern gegen Entgelt bereitstellen. Neben NemLog-in für die öffentliche Verwaltung gibt es noch Authentifizierungsstellen für Banken (englisch Bank Broker) und die sonstige Privatwirtschaft (englisch Private Broker).

Weblinks

• MitID.dk (auf Englisch)
• MitID auf der Webpräsenz der dänischen Digitalisierungbehörde (auf Dänisch)