Suchen

Smartcard, Signatur und elektronischer Personalausweis eGovernment: Sicherheit braucht Einsicht

Redakteur: Gerald Viola

Schwerpunktthema des Security Symposiums beim 5. Telekom-Forum waren Sicherheitsfeatures rund um die Smartcard. Für viel Diskussionsstoff sorgte auch der elektronische Personalausweis (ePA) – die Möglichkeit des elektronischen Identitätsnachweises könnte die Sicherheit im Online-Geschäft für Kunden und für Anbieter deutlich erhöhen. Eine Forderung wurde in beinahe allen Referaten laut: dass beim Thema Sicherheit der Faktor Mensch auf keinen Fall vergessen werden darf. Damit Sicherheitsmaßnahmen greifen, müssen die Bürger sie wollen und auch akzeptieren.

Firmen zum Thema

Elektronischer Personalausweis: Sichere Authentisierung und Identifizierung mittels eID-Dokument (Quelle: BMI)
Elektronischer Personalausweis: Sichere Authentisierung und Identifizierung mittels eID-Dokument (Quelle: BMI)
( Foto: BMI )

Jan Hill, Senior Product Architect bei der Bundesdruckerei GmbH, ging in seinem Vortrag „eID Services und Authentisierungsinfrastruktur“ nach eigenem Bekunden wieder einen halben Schritt zurück: eID Services, also Dienstleistungen zum elektronischen Identitätsnachweis für eGovernment- und eBusiness-Angebote, benötigten spezifische Authentisierungsstrukturen – in Abhängigkeit vom Authentisierungsmedium. „Bei Authentisierungsverfahren speziell im elektronischen Bereich verfolgen Bürger, Wirtschaft und Behörden zum Teil differierende Interessen“, so Hill.

Um diese bestmöglich unter einen Hut zu bringen, müssten verschiedene Anforderungen erfüllt werden: „Es braucht eine sichere Authentisierung beziehungsweise Identifizierung mittels eID-Dokument – und die wird hoffentlich ab 2010 mit der eID-Funktion des ePA verfügbar sein“, so Hill. Wichtig sei zudem eine einfach bedienbare Benutzeroberfläche. Einen Bürgerclient, eine Software zur Kommunikation zwischen PC und Kartenlesegerät, müsse es möglichst auf allen Rechnern geben.

Praxisbeispiel: Auto mieten im Internet

„Ein Knackpunkt ist zudem die Verfügbarkeit von Dienstleistungen und Authentisierungsmöglichkeiten“, so Hill. Wie ein möglicher Authentisierungsprozess aussehen könnte, skizzierte er an einem Beispiel: Eine Autovermietung bietet einen Webservice an. Sie benötigt vom Nutzer Name, Vorname, Adresse sowie eine Identitätsbestätigung durch einen ID-Provider und macht eine entsprechende Datenanfrage. Auf dem Bildschirm des Nutzers, der ein Authentisierungsmedium wie den ePA auf ein Lesegerät am PC legt, öffnet sich eine Dateneingabemaske eines von ihm ausgewählten ID-Providers.

„Mit Eingabe der Ausweis-Pin stimmt der User dann der Übermittlung seiner Daten zu“, beschrieb Hill. „Dabei entscheidet er selbst, welche Daten er an den Autovermieter weitergeben will.“ Der ID-Provider, der zunächst eine sichere Verbindung zur ID-Card aufgebaut hat, um dem Benutzer darüber das Berechtigungszertifikat des Dienstleisters vorzulegen, überprüft im Hintergrund Sperrlisten und liest nach der Pin-Eingabe durch den Nutzer die geforderten Attribute aus. Diese verpackt er in einem signierten Token, das dann an den Webservice des Autovermieters geht und die Authentisierung bestätigt. „Damit ist der Bestellvorgang für beide Parteien sicher abgeschlossen“, erklärt Hill.

Nächste Seite: eID-Konzepte in Europa – wie machen‘s die anderen

(ID:2040356)