Die Erfindung betrifft ein Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens (106) für einen Nutzer (102), wobei der ID-Token dem Nutzer zugeordnet ist und der ID-Token einen geschützten Speicherbereich (122) zur Speicherung zumindest eines privaten Schlüssels eines dem ID-Token zugeordneten ersten asymmetrischen kryptografischen Schlüsselpaars aufweist, und wobei das Pseudonym des Nutzers einem Dienst-Computersystem aus einer Menge von Dienst-Computersystemen (150, 150', 150",...) zugeordnet ist, mit folgenden Schritten:
- Aufruf einer Internetseite eines von dem Nutzer ausgewählten der Dienst-Computersysteme mit einem Internetbrowser (112) eines Nutzer-Computersystems (100) über ein Netzwerk (116),
- Erzeugung einer Anforderung (176) durch das ausgewählte Dienst-Computersystem für das Pseudonyms des Nutzers,
- Übertragung der Anforderung von dem Dienst-Computersystem an ein ID-Provider-Computersystem (136) über das Netzwerk,
- Erzeugung des ID-Token-Pseudonyms durch den ID-Token durch kryptografische Ableitung des ID-Token-Pseudonyms aus dem privaten Schlüssel und dem öffentlichen Schlüssel,
- temporäre Speicherung des ID-Token-Pseudonyms in dem ID-Token,
- Übertragung des ID-Token-Pseudonyms von dem ID-Token an das ID-Provider-Computersystem mit Ende-zu-Ende-Verschlüsselung über das Netzwerk,
- Zugriff auf einen Speicher (186, 188) durch das ID-Provider-Computersystem mit Hilfe des ID-Token-Pseudonyms (RID), um ein dem ID-Token-Pseudonym zugeordnetes virtuelles Pseudonym (vP) des Nutzers zu lesen,
- Ableitung des dem ausgewählten Dienst-Computersystem zugeordneten Pseudonyms (RID') des Nutzers aus dem virtuellen Pseudonym des Nutzers mittels einer für das ausgewählte Dienst-Computersystem spezifischen kryptografischen Funktion durch das ID-Provider-Computersystem,
- Signierung des abgeleiteten Pseudonyms durch das ID-Provider-Computersystem,
- Übertragung des signierten Pseudonyms von dem ID-Provider-Computersystem an das ausgewählte Dienst-Computersystem über das Netzwerk.