Close

Digitale Identität in regulierten Branchen: Warum Finanzsektor, Gesundheit und Energie besondere Anforderungen haben

Digitale Identität ist in regulierten Branchen kein rein technisches Thema, sondern eine Frage der unternehmerischen Widerstandsfähigkeit.
Lesezeit: 5 Minuten
Inhaltsindex

Kurz erklärt

In regulierten Branchen wie Finanzwesen, Gesundheit und Energie reicht eine einfache Anmeldung mit Benutzername und Passwort längst nicht mehr aus. Wer hier digitale Identitäten prüft, verwaltet oder überträgt, muss zusätzliche gesetzliche Vorgaben erfüllen – von der Geldwäscheprävention über den Datenschutz bis zur Betriebssicherheit kritischer Infrastrukturen. Qualifizierte Vertrauensdiensteanbieter (QTSP) bieten die technische und rechtliche Grundlage, um digitale Identitätsprüfung, elektronische Signaturen und Zugriffsmanagement in diesen Sektoren rechtsgültig und nachvollziehbar umzusetzen.

Ein Anruf am Freitagnachmittag

Es ist 16:45 Uhr, und die IT-Leiterin eines mittelständischen Energieversorgers bekommt einen Anruf von der Aufsichtsbehörde: Im Rahmen einer Routineprüfung wurde festgestellt, dass die Zugriffsprotokolle auf das Leitsystem seit Monaten lückenhaft sind. Wer sich wann mit welcher Berechtigung angemeldet hat, lässt sich nicht mehr vollständig rekonstruieren. Was für ein Software-Unternehmen ein ärgerliches, aber lösbares Problem wäre, ist für einen Betreiber kritischer Infrastruktur ein handfestes Compliance-Risiko – mit möglichen Bußgeldern, Meldepflichten und einem Vertrauensverlust bei Kundinnen und Kunden.

Ähnliche Szenarien spielen sich in Banken, Versicherungen und Krankenhäusern ab. Die Frage ist dabei fast nie, ob ein Unternehmen digitale Identitäten nutzt – das tun heute praktisch alle. Die Frage ist, ob die eingesetzten Verfahren im Ernstfall auch rechtlich, technisch und organisatorisch belastbar sind.

Warum diese Branchen anders ticken

Finanzsektor, Gesundheitswesen und Energiewirtschaft haben eines gemeinsam: Sie unterliegen sektorspezifischen Regelwerken, die weit über allgemeine Datenschutzanforderungen hinausgehen. Im Finanzbereich verlangt die europäische Geldwäscheverordnung (AMLR) eine belastbare Identitätsprüfung bei der Kontoeröffnung und darüber hinaus – inklusive Nachweisführung, wer wann welche Prüfung durchgeführt hat. Im Gesundheitswesen greifen zusätzlich strenge Vorgaben zum Schutz besonders sensibler Patientendaten, während in der Energiewirtschaft und zahlreichen weiteren Sektoren die NIS2-Richtlinie zum Schutz kritischer und wichtiger Einrichtungen greift.

Im Finanzsektor kommt mit DORA (Digital Operational Resilience Act) eine weitere, sehr konkrete Anforderungsebene hinzu. DORA verpflichtet Banken, Versicherungen und andere Finanzunternehmen dazu, ihre digitale Betriebsstabilität nachweislich abzusichern – inklusive IKT-Risikomanagement, Vorfallsmeldung und einem besonderen Augenmerk auf das Risiko durch Drittanbieter und Auslagerungen. Digitale Identität spielt hier eine doppelte Rolle: Sie ist einerseits Teil der Zugriffskontrolle auf kritische IKT-Systeme, andererseits müssen Unternehmen nachweisen können, dass auch ausgelagerte Identitätsprüfungs- und Signaturdienste den DORA-Anforderungen an Verfügbarkeit, Authentizität und Nachvollziehbarkeit entsprechen. Wer mit externen Vertrauensdiensteanbietern arbeitet, muss also auch deren Resilienz und Auditierbarkeit im Blick behalten.

Für die Energiewirtschaft – und mittlerweile für einen deutlich erweiterten Kreis an Unternehmen aus zahlreichen weiteren Sektoren – ist NIS2 die zentrale Vorgabe. Die Richtlinie verlangt von Betreibern wesentlicher und wichtiger Einrichtungen ein systematisches Risikomanagement für ihre IT- und OT-Systeme, umfasst dabei ausdrücklich auch Identitäts- und Zugriffsmanagement als Kernbestandteil der technischen und organisatorischen Maßnahmen. Konkret bedeutet das: Zugriffe auf Leitsysteme, Netzwerksteuerung oder sensible Verwaltungssysteme müssen durch angemessene Authentifizierungsverfahren abgesichert und lückenlos protokolliert werden. Zusätzlich sieht NIS2 verkürzte Meldefristen für Sicherheitsvorfälle vor – wer im Ernstfall nicht innerhalb kurzer Zeit nachvollziehen kann, welche Identität sich wann und mit welcher Berechtigung angemeldet hat, verliert wertvolle Zeit bei der Meldung und der Ursachenanalyse. Auch die Verantwortung der Geschäftsleitung wird durch NIS2 deutlich stärker in den Vordergrund gerückt: Fehlendes oder unzureichendes Identitätsmanagement lässt sich nicht mehr allein als operatives IT-Thema behandeln, sondern wird zur Frage der Unternehmensführung.

Was diese Regelwerke – AMLR, DORA, NIS2 und branchenspezifische Datenschutzvorgaben im Gesundheitswesen – verbindet, ist der Anspruch an Nachvollziehbarkeit. Es genügt nicht, dass ein Zugriff erfolgt ist – es muss im Zweifel bewiesen werden können, wer diesen Zugriff autorisiert hat, mit welchem Identitätsnachweis, und ob die eingesetzten technischen Verfahren dem Stand der Technik entsprechen. Genau an dieser Stelle scheitern viele Unternehmen: Sie verwechseln funktionierende Prozesse mit rechtswirksamen Prozessen.

Typische Fehler im Umgang mit digitaler Identität

Ein wiederkehrendes Muster in der Praxis ist die Selbsteinschätzung „Wir nutzen doch schon elektronische Signaturen und Zwei-Faktor-Authentifizierung – das müsste reichen.” Das kann ausreichen, muss es aber nicht. Denn nicht jede elektronische Signatur ist automatisch rechtsgültig im Sinne der eIDAS-Verordnung, und nicht jedes Login-Verfahren erfüllt die Anforderungen an eine belastbare Identitätsprüfung nach AMLR oder vergleichbaren Vorgaben.

Ein zweiter häufiger Fehler ist die isolierte Betrachtung einzelner Prozessschritte. Ein Unternehmen investiert in ein modernes Onboarding-Verfahren, vernachlässigt aber die Frage, wie Identitätsdaten im weiteren Kundinnen- und Kundenlebenszyklus aktuell gehalten und bei Bedarf erneut verifiziert werden. Gerade im Finanzsektor verlangt die laufende Sorgfaltspflicht mehr als eine einmalige Prüfung bei Vertragsschluss.

Drittens wird die organisatorische Dimension oft unterschätzt. Technische Lösungen allein lösen kein Compliance-Problem, wenn interne Prozesse, Verantwortlichkeiten und Schulungen der Mitarbeitenden nicht mitziehen. Wenn im Ernstfall niemand im Unternehmen erklären kann, welches Verfahren wann greift und warum, hilft auch die beste Technologie wenig.

Was im Ernstfall wirklich zählt

Bei einer behördlichen Prüfung, einem Audit oder einem Rechtsstreit zählt am Ende vor allem eines: die Nachweisbarkeit. Wer kann im Streitfall belegen, dass eine Willenserklärung tatsächlich von der berechtigten Person stammt? Wer kann zeigen, dass ein Zugriff auf sensible Systeme ordnungsgemäß autorisiert war? Hier entscheidet sich, ob ein Verfahren in der Praxis Bestand hat.

Rechtlich zählt, ob die eingesetzten Signatur- und Identifizierungsverfahren den jeweils vorgeschriebenen Vertrauensniveaus entsprechen – etwa der qualifizierten elektronischen Signatur (QES) bei besonders formbedürftigen Erklärungen. Technisch zählt, ob Identitätsprüfung, Signaturerstellung und Archivierung lückenlos protokolliert und über die vorgeschriebenen Zeiträume überprüfbar bleiben. Organisatorisch zählt, ob klar definiert ist, wer im Unternehmen für welchen Schritt verantwortlich ist – und ob diese Verantwortlichkeiten auch tatsächlich gelebt werden.

Welche Mindestanforderungen heute gelten

Auch wenn sich die konkreten Vorgaben je nach Branche unterscheiden, lassen sich einige Grundanforderungen branchenübergreifend beobachten. Erstens: eine Identitätsprüfung, die dem tatsächlichen Risiko des jeweiligen Vorgangs entspricht – von der einfachen Registrierung bis zur qualifizierten Identifizierung bei hochregulierten Transaktionen. Zweitens: elektronische Signaturen mit dem passenden Vertrauensniveau, das dem jeweiligen Rechtsgeschäft angemessen ist. Drittens: eine vollständige, manipulationssichere Protokollierung aller relevanten Schritte, die auch nach Jahren noch nachvollziehbar und gerichtsfest vorlegbar ist. Viertens, insbesondere unter DORA und NIS2: der Nachweis, dass auch ausgelagerte Dienste – etwa von Vertrauensdiensteanbietern – die geforderte Verfügbarkeit, Resilienz und Auditierbarkeit erfüllen und in ein übergreifendes Risikomanagement eingebunden sind.

Mit dem europäischen Digitalen Identitätsrahmen und der EUDI Wallet kommt eine weitere Dimension hinzu: Unternehmen in regulierten Branchen werden zunehmend auch als sogenannte Relying Parties auftreten müssen, die digitale Identitätsnachweise aus der Wallet zuverlässig prüfen und in ihre bestehenden Prozesse integrieren können. Wer sich hier frühzeitig aufstellt, verschafft sich einen klaren Vorsprung.

Wo qualifizierte Vertrauensdiensteanbieter konkret unterstützen

Genau an diesen Punkten setzen qualifizierte Vertrauensdiensteanbieter an. Sie stellen nicht nur einzelne technische Bausteine bereit, sondern ein Zusammenspiel aus rechtlich anerkannten Signaturverfahren, geprüften Identifizierungsmethoden und lückenloser Dokumentation – abgestimmt auf die jeweiligen sektorspezifischen Anforderungen.

Für den Finanzsektor bedeutet das etwa eine KYC-Prüfung, die sich nahtlos in bestehende Onboarding-Prozesse integriert und gleichzeitig die Anforderungen der Geldwäscheverordnung erfüllt. Für das Gesundheitswesen heißt das, Patientendaten und Einwilligungen so zu verwalten, dass sie sowohl datenschutzrechtlich als auch im Hinblick auf medizinrechtliche Formvorschriften Bestand haben. Für die Energiewirtschaft bedeutet es, Zugriffe auf kritische Systeme so zu authentifizieren und zu protokollieren, dass sie im Rahmen von NIS2-Prüfungen bestehen – und dass im Falle eines Sicherheitsvorfalls innerhalb der vorgeschriebenen Fristen belastbare Auskunft über Identitäten und Berechtigungen gegeben werden kann. Im Finanzsektor unterstützen entsprechende Lösungen zudem dabei, die von DORA geforderte Nachvollziehbarkeit auch bei ausgelagerten Identitäts- und Signaturprozessen sicherzustellen, etwa durch vertraglich abgesicherte Service-Level und regelmäßige Nachweise zur Betriebsstabilität.

Als QTSP übernehmen solche Anbieter zudem die technologische Weiterentwicklung – etwa im Hinblick auf die EUDI Wallet – sodass Unternehmen nicht bei jeder regulatorischen Anpassung von Grund auf neu planen müssen, sondern auf eine Infrastruktur zurückgreifen können, die von Anfang an auf Rechtsgültigkeit und Zukunftsfähigkeit ausgelegt ist.

Der erste Schritt zu mehr Sicherheit

Digitale Identität ist in regulierten Branchen kein rein technisches Thema, sondern eine Frage der unternehmerischen Widerstandsfähigkeit. Wer heute die Weichen richtig stellt, erspart sich morgen kostspielige Nachbesserungen, Bußgelder oder – schlimmer noch – den Vertrauensverlust von Kundinnen und Kunden und Partnern.

Der erste Schritt ist häufig eine ehrliche Bestandsaufnahme: Welche Prozesse zur Identitätsprüfung und Signatur sind heute im Einsatz, und halten sie einer genaueren Prüfung tatsächlich stand? Unternehmen, die diese Frage noch nicht abschließend beantworten können, sollten sich Unterstützung von erfahrenen Vertrauensdiensteanbietern holen, bevor die Aufsichtsbehörde oder ein Rechtsstreit die Antwort einfordert. Wer sich einen strukturierten Überblick verschaffen möchte, findet in entsprechenden Fachmaterialien und persönlichen Beratungsgesprächen wertvolle Orientierung für den nächsten Schritt.

Stichworte