Interview Identitäten für KI-Agenten: Warum Europa vorne liegen könnte

Anbieter zum Thema

xSuite Group GmbH

Esker Software Entwicklungs-und Vertrieb

Yorizon GmbH & Co. KG

Wenn KI-Agenten künftig Schuhe, Aktien oder Versicherungen kaufen, wird eine belastbare Delegation von Identitäten und Intent benötigt. Dr. Claudio Marforio von Futurae Technologies erläutert im Gespräch, warum die europäische Tradition der Regulierung zum strategischen Vorteil werden kann.

Im Interview mit Digital Business erklärt Dr. Claudio Marforio von Futurae Technologies, warum die digitale Souveränität in Europa zu einem strategischen Wettbewerbsvorteil für Unternehmen werden kann.

Herr Dr. Marforio, beginnen wir mit einer kurzen Einordnung: Wofür steht Futurae Technologies und was ist Ihr Auftrag?

Claudio Marforio: Futurae Technologies ist ein Unternehmen für Authentifizierung und Transaktionsbestätigung mit Sitz in Zürich. Wir arbeiten seit unserer Gründung an der Schnittstelle von Cybersicherheit und Usability. Ich habe selbst an der ETH Zürich zu Mobile Security promoviert. Wir wissen also, wie sich starke Sicherheitsgarantien umsetzen lassen – aber genauso entscheidend ist die Bedienbarkeit. Die größten Schwachstellen liegen meist nicht im System, sondern beim Menschen. Wer Sicherheit unbedienbar macht, dessen Nutzer finden Wege, sie zu umgehen.

Wir begannen mit Authentifizierung für Endkunden, also dem Login in Online-Banking- und Mobile-Banking-Anwendungen. Dazu kamen Transaktionsbestätigung und Anti-Fraud. Geleitet hat uns dabei stets ein europäischer Anspruch an Datenerhebung, Datennutzung und Privatsphäre. Heute setzen Häuser wie Scalable Capital in Deutschland, Qonto in Frankreich, aber auch traditionelle Institute wie Santander, Raiffeisen oder Barclays unsere Software ein.

Wenn wir über digitale Souveränität sprechen: Wie definieren Sie Souveränität im Identity- und Access-Management (IAM) für Europa – und welche Kompromisse sind beim Spagat zwischen Souveränität, Interoperabilität und Nutzererlebnis akzeptabel?

Claudio Marforio: Souveränität hat mehrere Dimensionen. Erstens die Datensouveränität: Wer hat Zugriff auf welche Daten? Zweitens die Frage nach dem Code – Open Source und auditierbar oder proprietär und geschlossen? Drittens: Setzt eine Lösung auf offene Standards oder auf geschlossene Schnittstellen? Europa – und die Welt insgesamt – ist im Bereich Cybersecurity stark abhängig von US- und israelischer Technologie. Solange wir alle Freunde sind, ist das unproblematisch. Sobald die politische Lage kippt, wird es kritisch. Im IAM-Umfeld geht es um sensible Daten: Benutzernamen, Passwörter, Adressen, E-Mail-Adressen, Telefonnummern, Ausweis- oder Passdaten. 

Parallel dazu setzt Europa auf Standards für Interoperabilität – Stichwort EUDI-Wallet. Diese Standards basieren auf OpenID Connect und werden in den nächsten Jahren verpflichtend. Die spannende Frage ist: Welches Unternehmen baut die Software, die diese Standards spricht – und welches Unternehmen hat anschließend Zugriff auf die Daten? Europäische Entscheider sollten hier genau prüfen, mit welchen Anbietern sie zusammenarbeiten.

Der Gesprächspartner

Dr. Claudio Marforio ist CEO und Mitgründer der Futurae Technologies AG, eines Spin-offs der ETH Zürich mit Sitz in Zürich. Das Unternehmen versorgt mehr als 100 Enterprise-Kunden in über 40 Ländern mit Authentifizierungs-, Transaktionsbestätigungs- und Anti-Fraud-Lösungen.
 

Wie sieht eine souveräne Cloud-Strategie für Identitäten konkret aus? Worauf sollten europäische Organisationen bei Datenresidenz, Key Ownership und Vendor-Unabhängigkeit achten – ohne ihre Innovation auszubremsen?

Claudio Marforio: Der attraktivste Aspekt der Cloud ist heute nicht mehr der Preis, sondern die Geschwindigkeit. Hyperscaler liefern Bausteine, mit denen sich Geschäftsmodelle schneller entwickeln lassen. Das Problem: Diese Bausteine sind proprietär. Unternehmen starten typischerweise mit einem Anbieter – GCP, AWS, Azure oder OVH – und verstricken sich zunehmend in dessen Ökosystem. Wichtig ist deshalb, von Beginn an Bausteine unterschiedlicher Anbieter nutzbar zu machen, damit sich Daten verschieben oder gezielt bei nicht US-kontrollierten Anbietern halten lassen. Denn am Ende der Kette kann der Vertragspartner eine irische oder deutsche Tochter sein – die Mutter sitzt aber in den USA und unterliegt dort dem Zugriff durch Behörden. 

Wer wirklich souverän bleiben will, wählt einen europäischen Anbieter. Bei voller Transparenz muss man aber sagen: Die europäischen Angebote sind funktional noch nicht auf Augenhöhe mit Microsoft, Amazon oder Google. Diese Hyperscaler haben über zehn Jahre Milliarden in ihre Infrastruktur investiert. Europa spielt hier Aufholjagd. Entscheider stehen damit vor der Wahl zwischen Time-to-Market und vollständig europäischer Wertschöpfung.

Unternehmen starten typischerweise mit einem Anbieter – GCP, AWS, Azure oder OVH – und verstricken sich zunehmend in dessen Ökosystem. Wichtig ist deshalb, von Beginn an Bausteine unterschiedlicher Anbieter nutzbar zu machen, damit sich Daten bei nicht US-kontrollierten Anbietern halten lassen.

Claudio Marforio

Identitäten: Priorität bei Standards und Datenportabilität

Welche Prinzipien sichern Portabilität und verhindern Vendor-Lock-in im IAM – und was sollte in Procurement und Verträgen nicht verhandelbar sein?

Claudio Marforio: Bei der Interoperabilität gibt es eine Reihe von Standards, die sich gerade als De-facto-Norm etablieren. Ich rate jedem Gründer und jedem IT-Verantwortlichen, ausschließlich mit standardbasierten Lösungen zu arbeiten – etwa OpenID Connect oder Passkeys gegen Phishing-Angriffe. Auch die kommenden EUDI-Wallet-Standards setzen darauf auf. Priorität zwei ist Datenportabilität. Längst nicht alle Anbieter von Identity- und Access-Management haben klare Prozesse, um beim Vertragsende eine Nutzerbasis sauber zu migrieren. Drittens – und das versteht sich eigentlich von selbst – müssen Anbieter die geltenden Regularien erfüllen: DSGVO, die kommenden Anforderungen rund um die EUDI-Wallet, PSD2/SCA und das anstehende PSD3 im Zahlungsverkehr sowie PCI DSS bei Online-Payments. IAM spielt überall eine Rolle und muss zu all diesen Regelwerken kompatibel sein.

Stichwort EUDI-Wallet: Was sollten Unternehmen und Service-Provider in den nächsten zwölf bis 24 Monaten tun, um wallet-basierte Identitäten zu integrieren und zukunftssicher aufzustellen?

Claudio Marforio: Die Adoption verläuft in Europa unterschiedlich schnell – die nordischen Länder sind weiter, je weiter südlich, desto langsamer. Die Schweiz diskutiert die staatliche E-ID noch auf parlamentarischer Ebene. Trotzdem werden alle Wallets dieselben technischen Standards bedienen. Erstens: Prüfen Sie, ob Ihr Software-Anbieter diese Standards heute unterstützt oder zumindest auf der Roadmap hat. Falls nicht, gibt es am Markt Lösungen, die als Brücke zwischen einkommenden digitalen Identitäten und einem Legacy-IAM fungieren. 

Zweitens: Stellen Sie sich auf eine veränderte User Experience ein – Ihre Nutzer werden sich in den nächsten 24 Monaten anders authentifizieren. Drittens: Investieren Sie in einen starken Support. Wer beim Login oder bei der Registrierung scheitert, ruft die Hotline an – und braucht dort qualifizierte Antworten. Und viertens, das beschäftigt CISOs gerade massiv: Post-Quanten-Resilienz. Die Akzeptanz digitaler Wallets macht ein System nicht automatisch quantenresistent. Sprechen Sie das Thema aktiv mit Ihren Anbietern an oder treiben Sie es intern voran.