Elektronisk-ID: Kontroversiel undersøgelse advarer om store misforståelser
Foto: Pete Linforth, Pixabay
Teknologispecialisten Cade Diehm slår alarm med en stor rapport: Samfundet undervurderer risiciene ved digitale identiteter.
Det skriver Pascal Sigg i en artikel i INFOsperber den 27. september 2025.
Risiciene ved såkaldte digitale identiteter, som dem bl.a. Schweiz planlægger at indføre på regeringsniveau med E-ID, er langt mere usikre end tidligere antaget. Det er hovedresultatet af en omfattende international undersøgelse foretaget af New Design Congress, en forsknings-NGO med base i Berlin. Det interessante er, at offentliggørelsen af undersøgelsen i øjeblikket er under juridisk tvist. Ifølge Diehm anfægter en amerikansk organisation i øjeblikket offentliggørelsen og har forsøgt at forhindre det i de seneste uger.
| “New Design Congress” og Cade Diehm “New Design Congress” beskriver sig selv som en uafhængig forskningsgruppe, der “ser på kløften mellem, hvad der siges, der sker i digitaliserede samfund, og hvad der rent faktisk sker.” Australieren Cade Diehm, den oprindelige grundlægger af gruppen, er den ledende efterforsker. Diehm er internationalt anerkendt som en kritisk IT-sikkerhedsspecialist. Han har i flere år fokuseret på digitale identitetssystemer og deres sociale indvirkning. Der lægges særlig vægt på overførslen af magt og ansvar fra institutioner til enkeltpersoner. |
En “presserende” og “vred” appel
Diehm og hans team brugte over tre år på at analysere internationale casestudier af elektroniske identiteter. De interviewede snesevis af relevante eksperter. Ifølge Diehm omfattede disse højtstående officerer i militæret, ledere i sundhedsorganisationer, embedsmænd fra valgmyndigheder og konsulenter indenfor cybersikkerhed fra forskellige lande. De talte alle med gruppen, fordi de var blevet lovet absolut anonymitet. Med et skarpt blik bemærkede forskerne, ifølge deres egen beretning, “alarmerende” resultater.
Samlet set sigter rapporten mod at være et wake-up call. Forfatterne kalder deres tekst en “presserende” og “vred” appel og kræver en større gentænkning. Fundamentalt set, som Diehm fortæller Infosperber, “handler digitalisering om, hvordan mennesker repræsenteres digitalt. De svagheder, der er iboende i dette digitale billede, spredes yderligere med hvert trin i digitaliseringen. Derfor gør hvert trin i digitaliseringen i øjeblikket samfundet mere skrøbeligt.” Som et eksempel nævner han den sårbarhed og skam, som ofre for onlinesvindel føler, når de giver en ukendt opkalder adgang til deres banklogin. “Forestil dig at føle den sårbarhed hele tiden.”
En for naiv diskussion om digitale identiteter
Den naivitet og blindhed, der er forbundet med risiciene ved digitale identiteter, er i øjeblikket indbygget i alle digitale samfund. Diehm skriver: “Vores digitaliserede samfund blev designet og bygget i et barnligt væddemål om historiens afslutning. I en ubestridt tro på en ideologisk fiktion, der blev populariseret efter den kolde krig. Og baseret på en antagelse om, at det liberale kapitalistiske demokrati har sejret som den ultimative menneskelige styreform.”
“Det digitale samfunds system,” fortsætter Diehm og henvende sig direkte til sine læsere, “er bygget på ‘Hopium’, et fremtidstroende ønske om stabilitet, integration og fremskridt. Digitale identitetssystemer blev planlagt inden for denne fantasi, som om geopolitik, kollaps eller teknologisk misbrug hørte fortiden til. Det er en kolossal misforståelse. Arkitekturen for digitale identiteter er ligeglad med din ideologi. De er ligeglade med, hvilken side du tror, du er på. Jeg kan ikke understrege dette nok: Du er sårbar, og det vil blive brugt mod dig.”
Specifikt mener Diehm, at de nuværende modeller af digitale identiteter er ekstremt risikable. Navnlig er konsekvenserne af overidentifikation, misbrug af digitale identiteter eller downstream-effekter af forskellige ID-systemer ikke blevet håndteret tilstrækkeligt. Denne svage diskussion om digitale identiteter er yderligere drevet af ekstremt høje investeringer i digitale teknologier.
Alle trusselsscenarier er blevet til virkelighed og er “i drift”
Af de tolv trusselsscenarier, som holdet undersøgte, er alle blevet til virkelighed og er i øjeblikket “i drift”. Der er mere end nok af eksempler: For eksempel at det ofte nævnte estiske e-ID muliggør massive svindelsager. At den israelske hær udfører droneangreb baseret på metadata fra SIM-kort og “digitale fodspor”. Eller at den amerikanske immigrationsmyndighed (ICE) med hjælp fra virksomheden Palantir indsamler og analyserer data for at deportere folk.
Det er vigtigt, at undersøgelsen giver et kritisk blik på digitale identiteter generelt. Fra Facebook-profilen til forhandlerkontoen hos Ricardo til myndighedslogin til selvangivelsen. Forskerne beskriver en lang række risici og problemer ved nuværende ID-løsninger på privat eller offentlig basis.
En fundamental svaghed
Den største svaghed ved digitale identiteter – hvad enten det er e-ID eller en brugerkonto i en onlinebutik – kan forstås på et filosofisk niveau. Enhver digital identitet er en abstraktion, der forvandler en virkelig person til et objekt ved hjælp af datapunkter. Det gør den fundamentalt sårbar og modtagelig for misbrug.
“Digitale identitetssystemer,” skriver forfatterne, “uanset hvor velmenende de er, forbliver tvangsmæssige. De kræver, at et individ identificerer sig selv i henhold til foruddefinerede, maskinlæsbare parametre. Disse verificerbare parametre omfatter ofte ikke hele omfanget af menneskelig erfaring. Denne struktur er intentionel – på grund af ønsket om at omorganisere verden til effektive systemer er digital identitet et biprodukt af en verden organiseret til styring, indhyllet i en kappe af empowerment. Som sådan favoriserer digital identitet teknologisk verifikation frem for relationsbaseret tillid og bliver bemærkelsesværdigt let at udnytte. En svindler behøver ikke at efterligne en person i al sin kompleksitet. Han skal blot overbevise systemet om, at han opfylder dets snævert definerede kriterier for autentificering.”
Svindel og manipulation udnytter normalt menneskelige svagheder snarere end teknologiske huller. Efter at et bank-ID blev indført i Sverige, steg antallet af svindelsager pludselig. Opkaldere opfordrede svenskerne over telefonen til at logge ind og oplyse deres ID-oplysninger. Den samlede skade overstiger nu 600 millioner schweiziske franc.
Ingen krypteringssoftware blev hacket. Ifølge forfatterne skader “social engineering”, som denne praksis kaldes i teknisk jargon, noget abstrakt og menneskeligt: Tillid. Og det fører igen til en svækkelse af sociale bånd generelt.
Talrige anbefalinger – også rettet mod Schweiz
Trods alt dette fremhæves det tydeligt, at behovet for pålidelige digitale identiteter er større end nogensinde. Der findes muligheder for bedre løsninger.
Gruppen fremsætter også relevante anbefalinger til schweiziske IT-projekter. For eksempel skal ethvert digitalt ID-system, der anvendes til offentlige tjenester, tilbyde ikke-biometriske alternativer, der giver tilsvarende funktionalitet, adgang og beskyttelse. Eller, hvor en elektronisk identitet bestemmer adgang, skal der altid være et menneske tilgængeligt, som er bemyndiget til at rette eventuelle fejl.
Den falske sikkerhed ved biometriske data
Desuden, og særligt interessant med hensyn til den schweiziske e-ID-løsning, analyserer Diehm og hans kollegaer svaghederne ved biometriske data. For eksempel giver biometriske logins banker mulighed for at flytte ansvaret for sikre transaktioner over på kunderne, fordi biometrisk identifikation, såsom ansigtsscanning, betragtes som fuldstændig autentisk. Svindel med biometriske data bliver dog stadig mere almindeligt. Sidste år blev det afsløret, at trojansk software cirkulerer i Asien, som kan stjæle biometriske data fra smartphones og bruge dem til for eksempel at stjæle bank logins.
Der er også stigende rapporter om voldelige røverier. Fra USA rapporterede medierne sidste år om en mordsag, hvor offerets tommelfinger blev skåret over for at få adgang til hans bank-app. I England blev en ung mand røvet i 2017. Han blev slået bevidstløs, hvorefter røverne formentlig låste offerets smartphone op med hans fingeraftryk for at få adgang til hans bankkonto. Diehm peger også på mulighederne for anvendelse af såkaldt kunstig intelligens til at efterligne biometriske data.
Hårdere straffe er påkrævet
Fordi identitetstyveri primært forekommer på et menneskeligt plan, opfordrer gruppen til langt hårdere straffe. For eksempel ved at betragte identitetstyveri som en skærpende omstændighed i tilfælde af virksomhedsmisbrug, økonomisk bedrageri, systemisk diskrimination eller målrettede kriminalitet.
“Hadforbrydelser berettiger til hårdere straffe, fordi offerets identitet er en del af motivet. Vi mener, at identitetsmanipulation, uanset intentionen om at bedrage, kontrollere eller skade, bør behandles med samme alvorlighed som enhver forbrydelse, der underminerer samfundets struktur. En mand, der lokker en kvinde ind i et forhold på en datingplatform med bedrag og derefter begår vold, har ikke bare løjet. Han udnyttede et digitalt tillidssystem, brugte sin egen præsentation som et våben og forårsagede lidelse gennem identitetsarkitekturen.”
Læs mere her:
Tilføj en kommentar