Türöffner für eGovernment und eBusiness Ein sicherer Ausweis für die elektronische Welt

Autor / Redakteur: Andreas Reisen, Referatsleiter für Pass- und Ausweiswesen im Bundesministerium des Innern / Gerald Viola

Der neue Personalausweis, dessen Einführung zum 1. November 2010 in Deutschland geplant ist, wird nicht nur ein modernes hoheitliches Dokument darstellen, das die Identifizierung von Personen bei Grenzkontrollen deutlich verbessert. Der Ausweis wird mit zusätzlichen elektronischen Funktionalitäten ausgestattet sein, die erhebliche Vorteile für die Bürgerinnen und Bürger in der elektronischen Welt bieten.

Firmen zum Thema

( Archiv: Vogel Business Media )

Diese neuen Funktionalitäten, die eID-Funktion und die Unterschriftsfunktion mit der qualifizierten elektronischen Signatur (QES), sind Schlüsselinstrumente für Transaktionen und Vertragsabschlüsse im Internet und werden damit durchgängige eGovernment- und eBusiness-Dienstleistungen entscheidend fördern.

Es handelt sich hierbei keinesfalls um die bloße Einführung eines IT-Systems, sondern das Vorhaben stellt vielmehr ein komplexes Gesamtsystem dar, für das organisatorische, gesetzliche und technische Voraussetzungen im Vorfeld geschaffen werden müssen.

Bildergalerie

Die biometriegestützte Identitätsfunktion

Diese Funktion ist ausschließlich den zur Identitätsfeststellung berechtigten Behörden – wie beispielsweise der Bundespolizei im Rahmen einer Grenzkontrolle – vorbehalten. Verpflichtend wird immer das Lichtbild der jeweiligen Person digital auf dem Chip des Ausweises gespeichert sein. Freiwillig ist die Speicherung von Fingerabdrücken. Die Nutzung elektronischer biometrischer Daten erhöht die Bindung zwischen Ausweisinhaber und Dokument deutlich, verbessert damit die Identitätsprüfung und verhindert Missbrauch.

Identitätsnachweis mit der eID-Funktion

Der elektronische Identitätsnachweis nach § 18 PAuswG ermöglicht eine sichere Authentisierung in der elektronischen Welt (bei Diensten wie Online-Banking, Internet-Auktionshäuser etc.), die auf einer eindeutigen wechselseitigen Feststellung der Identität des jeweiligen Gegenübers basiert. Der Ausweisinhaber weist bei der Anmeldung zu einer Online-Anwendung oder an einem Automaten seine Identität immer durch Besitz des elektronischen Personalausweises und Kenntnis seiner geheimen persönlichen PIN nach (Besitz und Wissen). Durch die Eingabe der PIN beweist der Ausweisinhaber, dass er der rechtmäßige Besitzer des Personalausweises ist. Die Echtheit der PIN wird dem Chip mittels eines kryptografischen Protokolls namens PACE (Password Authenticated Connection Establishment) bestätigt. Diese Zwei-Faktor-Authentisierung (Besitz und Wissen) erzielt eine deutlich höhere Sicherheit gegenüber der herkömmlichen Authentisierung mittels Benutzername und Passwort. Phishing kann damit zukünftig sicher verhindert werden.

Die Authentisierung des Diensteanbieters geschieht über sogenannte Berechtigungszertifikate, die Diensteanbieter über eine staatliche Stelle – der Vergabestelle für Berechtigungszertifikate (VfB) – erhalten. Dabei muss der Diensteanbieter ein berechtigtes Interesse nachweisen, die personenbezogenen Daten aus dem elektronischen Personalausweis auszulesen. Nachdem sich der Diensteanbieter mit dem Berechtigungszertifikat ausgewiesen hat, stimmt der Ausweisinhaber dem Auslesen seiner Daten explizit noch einmal zu und kann hierbei entscheiden, ob bestimmte Daten nicht ausgelesen werden dürfen. Das Recht auf informationelle Selbstbestimmung bleibt damit gewahrt.

Um die eID-Funktion nutzen zu können, ist neben dem Internetzugang, ein kontaktloses Kartenlesegerät nach ISO 14443 und eine kostenlose Client-Software notwendig. Der sogenannte Bürgerclient ermöglicht den standardisierten Zugriff auf Funktionalitäten des neuen Personalausweises.

Zur Nutzung der Authentisierungsfunktion des Personalausweises kann aufseiten des Diensteanbieters ein eID-Server in die Systemarchitektur integriert werden. Dieser übernimmt zum einen die Kommunikation mit dem Bürgerclient und stellt zum anderen die standardisierte Anbindung mit der jeweiligen Applikation her. Des Weiteren ist der eID-Server in der Lage, automatisiert erneuerte Berechtigungszertifikate sowie aktualisierte Diensteanbieter-spezifische Sperrlisten zu beziehen.

Qualifizierte elektronische Signatur (QES)

Mit der aktivierbaren Unterschriftsfunktion wird dem Ausweisinhaber eine weitere nützliche Anwendung bereitgestellt. Sie ermöglicht es, in der digitalen Welt verbindlich und rechtswirksam Transaktionen durchzuführen, die die Schriftform erfordern.

Verträge, die bisher auf traditionellem Wege mit einer Unterschrift geschlossen werden konnten, sind zukünftig mithilfe des neuen Personalausweises und der QES-Funktion auch über das Internet möglich.

Umsetzung

Um die beschriebenen Funktionalitäten nutzen zu können, reicht es nicht aus, lediglich die oben beschriebenen Anwendungen auf den Chip des Personalausweises zu integrieren. Neben den erforderlichen gesetzlichen Änderungen sind auch organisatorische Anpassungen aufgrund veränderter Verwaltungsprozesse und entsprechende Sicherheitsmechanismen notwendig.

Aufbau einer neuen Public Key Infrastructure (PKI)

Die Beantragung und Änderung von Daten auf dem Personalausweis erfolgt auf Anfrage von Bürgerinnen und Bürgern bei den Personalausweisbehörden. Für die Erstellung des Personalausweises, die Generierung der Geheimnummer, der Entsperrnummer sowie des Sperrkennwortes ist der Ausweishersteller selbst verantwortlich.

Dienstanbieter können die eID-Funktion mithilfe von Berechtigungszertifikaten nutzen, die sie bei der Vergabestelle für Berechtigungszertifikate beantragen können und nach entsprechender Prüfung erhalten. Die Vergabestelle für Berechtigungszertifikate übernimmt im Gesamtsystem auch die zentrale Funktion des Sperrmanagements bei Diebstahl oder Verlust des Personalausweises. Neben den Ausweisbehörden ist es nur den Kontrollbehörden zur Identitätsfeststellung gestattet, auf die gespeicherten biometrischen Informationen – also auf das biometrische Lichtbild und die Fingerabdrücke – der Ausweisinhaber, zuzugreifen. Dazu müssen die Lesegeräte über gesonderte Berechtigungszertifikate verfügen.

Für diese unterschiedlichen Anwendungsbereiche „eBusiness/eGovernment“, „Kontrollbehörden“ und „Ausweisbehörden“ werden jeweils getrennte Berechtigungszertifikate zur Verfügung gestellt, die von entsprechenden Zertifizierungsstellen (Document Verifier Certification Authority) generiert werden. Damit diese eigenständig Berechtigungszertifikate erstellen können, benötigen sie ein DV-Zertifikat der obersten Zertifizierungsstelle, der CVCA (Country Verifiying Certificate Authority). Diese Aufgabe hat das Bundesamt für Sicherheit in der Informationstechnik inne.

Um beim Sperrmanagement ein Tracking (Nachverfolgen) des Ausweises in der elektronischen Welt zu verhindern, werden dienstespezifische Sperrlisten erzeugt. Das heißt, jeder Ausweis übergibt während des elektronischen Identitätsnachweises ein dienste- und kartenspezifisches Sperrmerkmal an den Dienstanbieter, das dieser gegen eine dienstespezifische Sperrliste abgleicht.

Zusammenfassung und Ausblick

Da das Gesamtsystem des neuen Personalausweises viele funktionale Abhängigkeiten zwischen den Systemkomponenten aufweist, müssen im Hinblick auf die Einführung zum 1. November 2010 alle relevanten Prozesse ausgiebig getestet werden. Nach bereits erfolgreich durchgeführten Pilottests, wird eine Erprobung aller Funktionalitäten in einem Feld- und in einem Anwendungstest erfolgen. Während der Feldtest hauptsächlich auf die Erprobung der Verfahren innerhalb der Personalausweisbehörden abzielt, soll im Anwendungstest verstärkt die Funktionalität der eID-Funktion untersucht werden.

(ID:2041850)