Digitale Identität im Zeitalter von KI und Iris-Scans

– Interview mit Ismet Koyun

Frage: Herr Koyun, warum wird das Thema digitale Identität gerade jetzt zum strategischen Dreh- und Angelpunkt?

Ismet Koyun: Weil sich unser Alltag ins Digitale verlagert. Verträge, Behördengänge, Banking, Kommunikation – ohne sichere Identität bleibt alles Stückwerk. Gleichzeitig beschleunigt KI die Automatisierung. Damit wächst die Angriffsfläche: Identitätsdiebstahl, synthetische Profile, Deepfakes. Wer digitale Services skalieren will, braucht eine Identitätsinfrastruktur, die sicher, einfach und souverän ist – also Datenschutz und Nutzerkontrolle nicht als Kompromiss, sondern als Grundbedingung versteht.

Frage: Viele diskutieren über globale Identitätsprojekte, die Biometrie – etwa Iris-Scans – als Eintrittskarte nutzen. Was ist Ihr Blick darauf?

Ismet Koyun: Der Wunsch nach einer universellen, fälschungssicheren ID ist nachvollziehbar. Aber wenn Biometrie zum einzigen Schlüssel wird, entsteht Abhängigkeit: Man kann ein kompromittiertes Passwort ändern – eine kompromittierte Iris nicht. Zudem verschiebt sich Macht in die Hände weniger Plattformbetreiber. Identität ist kein Rohstoff, den einzelne Unternehmen monetarisieren sollten. Eine globale ID ohne demokratische Kontrolle, Transparenz und klare Rechenschaftspflichten widerspricht digitaler Souveränität – erst recht in Europa.

Frage: Heißt das, Biometrie verbieten?

Ismet Koyun: Nein. Biometrie kann ein Baustein sein – optional, lokal verarbeitet, mit strengen Schutzmechanismen. Entscheidend ist die Architektur: Privacy-by-Design, Datensparsamkeit, Kryptografie statt dauerhafter zentraler Datenspeicherung, und echte Wahlfreiheit für Nutzerinnen und Nutzer. Biometrie darf eine Möglichkeit, aber niemals eine Voraussetzung sein.

Frage: Welche Rolle spielt KI selbst im Identitätsmanagement – Chance oder Risiko?

Ismet Koyun: Beides. KI erkennt Anomalien, bevor Schaden entsteht: ungewöhnliche Login-Muster, riskante Geräte, verdächtige Transaktionsabfolgen. Auch kontextuelle Signale – Uhrzeit, Standort, Gerät – helfen, Risiken dynamisch zu bewerten. Gleichzeitig erzeugt KI neue Bedrohungen: täuschend echte Deepfakes, automatisierte Social-Engineering-Angriffe, virtuelle Agenten, die im Namen Dritter agieren. Deshalb brauchen wir Zero-Trust: Jede Interaktion – ob Mensch oder KI-Agent – wird kontinuierlich geprüft. Blinder Vertrauensvorschuss ist hier absolut nicht angebracht. Was es braucht, ist laufende Verifikation.

Frage: Zero-Trust ist zum Buzzword geworden. Wie sieht das in der Praxis aus?

Ismet Koyun: Zunächst einmal ist Zero-Trust mehr als ein Buzzword. Es ist eine Notwendigkeit. Zero-Trust hat drei Ebenen. Erstens starke, flexible Authentifizierung: von passwortlos bis hardwarebasiert, ergänzt um kontextbezogene Prüfungen. Zweitens Device-Bindung: Die Identität ist kryptografisch an ein vertrauenswürdiges Endgerät gebunden – Kompromittierungen fallen sofort auf. Drittens gesicherte Kommunikationskanäle: Ende-zu-Ende-Verschlüsselung, manipulationssichere Sessions, Transaktionssignaturen. Alles nach dem Prinzip: So wenig Daten wie möglich, so viel Sicherheit wie nötig – nachvollziehbar protokolliert, aber datenschutzkonform.

Frage: Wer sollte eine solche Infrastruktur tragen?

Ismet Koyun: Identität ist kritische Infrastruktur. Die öffentliche Hand setzt den Rahmen mit Grundrechten, Aufsicht und Standards. Die Privatwirtschaft liefert Innovationen und stellt ein erstklassiges Nutzererlebnis sicher. Denn ohne das wird Technologie von der Bevölkerung nicht verwendet und verfehlt den Zweck. Dabei sind Datenschutzkonformität und Demokratie essenziell. In Europa sind das unter anderem die DSGVO und eIDAS. Weiterhin wichtig: offenen Standards, Transparenz, Interoperabilität und Vendor-Unabhängigkeit. Niemand sollte sein digitales Leben an einen einzelnen Anbieter binden müssen.

Frage: Wie könnte ein Modell für eine sichere, datenschutzkonforme Identität in Europa aussehen?

Ismet Koyun: Wir brauchen Plattformen, die Sicherheit und Komfort zusammenbringen – ohne Monopolstrukturen. Ein Ansatz sind SuperApps als Multi-Service-Ökosysteme: Einmal sicher identifiziert, bewegen sich Nutzer zwischen Diensten – Verwaltung, Mobilität, Banking, Signatur, Kommunikation – ohne neue Logins. Diese SuperApp ist ein offener Marktplatz mit festgelegten Regeln, mehreren Anbietern und strikter Compliance in Europa. Sie schafft einen vertrauenswürdigen digitalen Raum: Identität, Berechtigungen, Zahlungen und Kommunikation sind durchgängig abgesichert – technisch und organisatorisch.

Frage: Wie verhindert man dabei, dass aus Bequemlichkeit doch wieder ein Datensilo entsteht?

Ismet Koyun: Durch konsequente Architekturentscheidungen. Erstens Datenminimierung: Die Plattform sieht nur, was für einen Vorgang unbedingt nötig ist. Zweitens Härtung am Endgerät: Kryptografische Schlüssel bleiben auf dem Gerät; der Server verwaltet Berechtigungen, nicht Identitätsgeheimnisse. Drittens Transparenz: Jede Freigabe ist für Nutzer nachvollziehbar und widerrufbar. Viertens Interoperabilität: Offene Schnittstellen, damit Services hinzugefügt oder entfernt werden können, ohne dass Datenportabilität leidet. So entsteht Komfort ohne Kontrollverlust.

Frage: Welche Rolle spielen verifizierbare Nachweise und digitale Wallets?

Ismet Koyun: Beides ist essenziell für eine sichere digitale Welt. Verifiable Credentials erlauben, Attribute selektiv zu teilen – „so viel wie nötig, so wenig wie möglich“. Ein Unternehmen muss für einen Zutritt nicht das Geburtsdatum kennen, sondern nur: „über 18“. Ein Carrier muss nicht die Adresse speichern, wenn eine signierte Bestätigung reicht. In der Kombination mit qualifizierten elektronischen Signaturen entsteht ein sicherer, rechtssicherer End-to-End-Prozess – vom Login bis zum Vertragsabschluss.

Frage: Und lassen neue Angriffsformen adressieren – zum Beispiel KI-gestützte Betrugswellen?

Ismet Koyun: Mit mehrlagigen Schutzschichten – unter anderem abgesichert durch KI. Neben kryptografischer Absicherung braucht es die risikobasierte Authentifizierung und laufende Verhaltensanalysen innerhalb klarer Datenschutzgrenzen. Wenn ein Login ungewöhnlich ist – mit einem falschen Gerät, zu ungewöhnlicher Uhrzeit oder mit einem abweichenden Nutzungsverhalten –, erhöht das System die Sicherheitsstufe automatisch: zusätzliche Bestätigung, starker Authentifizierungsfaktor und temporäre Sperre. Wichtig ist: Der Mensch behält immer die Kontrolle. Das System erklärt, was geschieht und warum.

Frage: Viele Unternehmen scheuen komplexe Identitätsprojekte. Wie gelingt der Einstieg?

Ismet Koyun: Das Geheimnis ist eine schrittweise Einführung in verschiedenen Phasen. Phase 1: Angriffsfläche reduzieren durch passwortlose Verfahren, starke Authentifizierungsfaktoren und Device-Bindung. Phase 2: Transaktionsfreigaben (Step-Up) und gesicherte In-App-Kommunikation etablieren. Phase 3: Signaturen und verifizierbare Nachweise integrieren, Prozesse Ende-zu-Ende digitalisieren und verschlüsseln. Parallel wird immer das Nutzererlebnis getestet, um Barrieren abzubauen und sicherzustellen, dass alles klar verständlich und leicht zu bedienen ist. Sicherheit, die nicht oder nur schwer anwendbar ist, wird umgangen – das ist das allergrößte Risiko.

Frage: Was raten Sie politischen Entscheidern?

Ismet Koyun: Ich rate ihnen, den Fokus zu setzen auf sichere Leitplanken, technologieneutral, mit dem Schwerpunkt auf Interoperabilität, Auditierbarkeit und Sanktionsfähigkeit bei Missbrauch. Europa hat mit eIDAS und DSGVO die Chance, Innovation und Datenschutzkonformität zu verbinden. Identität ist zu wichtig, um sie dem lautesten Marketing zu überlassen. Wir brauchen prüfbare Sicherheit und Wahlfreiheit – dann kann KI ihr Potenzial entfalten, ohne zur Überwachungsmaschine zu werden.

Frage: Und Ihr Rat an CIOs und CEOs?

Ismet Koyun: Sehen Sie Identität nicht als Add-on, sondern denken sie ihren Schutz von Anfang an mit. Behandeln Sie Identität als Produkt, nicht als Projekt. Definieren Sie Ziele, Metriken, Verantwortungen. Bauen Sie auf Zero-Trust und verifizierbare Nachweise, vermeiden Sie proprietäre Sackgassen. Und denken Sie in Ökosystemen: Die wertvollste Abwendung ist die, die andere sicher andocken lässt. So können Führungskräfte ihr Unternehmen schneller digitalisieren und Innovationen vorantreiben, ohne die Sicherheit und das Vertrauen zu beeinträchtigen.

Frage: Zum Schluss: Ihr Bild von digitaler Identität in fünf Jahren?

Ismet Koyun: Wir werden in fünf Jahren ganz selbstverständlich ohne Passwörter arbeiten, mit starken, unsichtbaren Schutzschichten darunter. Nutzer teilen nur noch gezielte Informationen, Unternehmen verarbeiten weniger personenbezogene Daten – und sind trotzdem handlungsfähiger. KI unterstützt, aber entscheidet nicht automatisch über Menschen. Wenn Europa Identität, Sicherheit und digitale Souveränität zusammen denkt, entsteht Vertrauen – bei Bürgern, Unternehmen, Startups, Behörden und vor allem unseren außereuropäischen Nachbarn. Dazu braucht es eine Allianz aus Staat, Industrie und Kommunen: offene Protokolle, zertifizierte Trust-Services und europäische Cloud-Infrastruktur – verbindlich, interoperabel, auditierbar. So wird aus Datenschutz ein Standortvorteil und aus digitaler Souveränität die Grundlage für eine sichere, selbstbestimmte Zukunft.