Sicheres eGovernment mit dem elektronischen Personalausweis (ePA) EU-weit elektronisch identifizieren

Autor / Redakteur: Sven Mulder / Gerald Viola

2010 bringt nicht zuletzt durch den Vertrag von Lissabon für die EU-Mitgliedsstaaten zahlreiche neue Aufgaben mit sich. Ein auf den ersten Blick einfach um-zusetzendes Ziel der Lissabon-Strategie ist es, die Zusammenarbeit der Mitgliedsstaaten, der Bürger und Unternehmen über Grenzen hinweg zu vereinfachen. Die große Herausforderung dabei ist, dass die Bürgerinnen und Bürger bislang nur auf nationaler Ebene in Dialog mit den Behörden treten. Künftig ist auch hier ein EU-weiter Ansatz erforderlich.

Firmen zum Thema

Kartenleser für den elektronischen Personalausweis (Quelle: BMI)
Kartenleser für den elektronischen Personalausweis (Quelle: BMI)
( Archiv: Vogel Business Media )

Sicherlich ist der „Citizen“ künftig auch der Begriff für einen „europäischen Bürger“ – wo auch immer er sich im Schengen-Raum als „Resident“ aufhalten mag. Natürlich bleibt die Autonomie der Mitgliedsstaaten weiterhin erhalten, auch dies ist ein Ergebnis der Lissabon-Strategie. Die Arbeitsweise zwischen den EU-weit beteiligten Bürgern und Verwaltungen ändert sich allerdings zunehmend.

Bürger verbinden

Die EU hat im Juni 2009 eine deutliche Erweiterung ihrer Aktivitäten zum grenzüberschreitenden Einsatz elektronischer Identitäten angekündigt. Das EU-Projekt STORK nimmt bei der grenzüberschreitenden Interaktion von Behörden und Bürgern schon jetzt eine Schlüsselrolle ein. Ziel des Pilotprojekts ist es, EU-weit ein interoperables System für die sichere Erkennung und Nutzung von elektronischer Identität und Authentifizierung einzuführen. Es soll Unternehmen, Bürgern und Mitarbeitern in der Verwaltung ermöglichen, ihre elektronische Identität in jedem beliebigen Mitgliedsstaat bei ihren Aktivitäten im Internet einzusetzen. Damit treibt STORK unter anderem auch Government-Dienstleistungen für EU-Bürger maßgeblich voran. Für die nationalen Verwaltungen bedeutet dies neue Aufgaben.

Die Bedeutung der elektronischen Identität wurde vom zuständigen EU-Direktor Dr. K. Aniyan C. Varghese bei der EEMA (The European Association for e-identity and security)-Konferenz am 26. Juni 2009 betont: „Die elektronische Identität wird die Basis und das Rückgrat für nahezu jede einzelne Dienstleistung, die künftig vorstellbar ist – das betrifft sowohl die Bürgerinnen und Bürger, als auch die Wirtschaft und die entsprechenden Government-Dienste.“ Diese klare Aussage bringt für alle Mitgliedsstaaten tief greifende Veränderungen mit sich.

Nächste Seite: Ein Beitrag zur informationellen Selbstbestimmung

Elektronische Identität & eGovernment

Ein effizientes und zugleich sicheres eGovernment ist für die Internationalisierung unabdingbar. Ziel muss es sein, dass Behörden jederzeit und von jedem Ort aus auch auf elektronischem Wege erreichbar sind. Je mehr Einfluss das Internet auf alle Lebensbereiche gewinnt, desto konsequenter muss das sichere, selbstbestimmte und rechtsverbindliche Handeln im Netz gewährleistet sein. Moderne Technologien, die zum Beispiel Willenserklärungen auf elektronischem Wege ermöglichen, leisten ihren Beitrag zur erweiterten informationellen Selbstbestimmung.

Noch vor wenigen Jahren war die Akzeptanz der Signaturtechnologie, insbesondere der qualifizierten Signatur, seitens Behörden und Bevölkerung noch sehr gering. Dies hat sich – nicht zuletzt aufgrund der weitreichenden Durchdringung unseres Alltags durch das Internet – grundlegend gewandelt: Der Nutzen der Signaturtechnologie liegt klar auf der Hand, wenn es um einen sicheren Identitätsnachweis im Internet geht. Ohne Technologien dieser Art würden dem Nutzer spürbare negative Folgen drohen – zum Beispiel Identitätsdiebstahl.

Elektronischer Personalausweis (ePA)

Auch beim elektronischen Personalausweis, der am 1. November 2010 bundesweit eingeführt wird, kommen Identitäts- und Signaturtechnologien zum Einsatz. Neben seinem ursprünglichen Nutzen zum Ausweis bei Polizei- und Zollkontrollen bietet der elektronische Personalausweis auch im Internet vielfältige Einsatzmöglichkeiten: Sie reichen von Online-Behördengängen über Online-Shopping und -Banking bis hin zur Nutzung weiterer privatwirtschaftlicher Dienste. Dieses breite Einsatzspektrum ist möglich, weil der neue Personalausweis unter anderem eine Funktion enthält, die für gegenseitige elektronische Authentifizierung von Diensteanbietern und Bürgern im Rahmen von eBusiness- und eGovernment-Diensten sorgt.

Damit alle Bürger die Möglichkeiten des elektronischen Personalausweises voll ausschöpfen können, erhalten sie mit dem sogenannten Bürgerclient eine kostenfreie Anwendersoftware. Diese ermöglicht den zweifelsfreien Nachweis der Identität eines Nutzers. Er entscheidet selbst, welche Daten er preisgeben möchte. Neben dem Schutz seiner elektronischen Identität sind auch die sichere Übertragung sowie die sichere Verarbeitung personenbezogener Daten gewährleistet.

Nächste Seite: Identitäts- und Altersverifikation

Erhöhtes Sicherheitsniveau

Der elektronische Personalausweis macht Online-Transaktionen und -Datenübertragungen deutlich zuverlässiger und sicherer. Da sich auch die Dienstanbieter gegenüber den Nutzern mittels Berechtigungszertifikaten ausweisen müssen, steigt das Vertrauen in die Authentizität des Dienstanbieters.

Die auf dem Ausweis vorhandenen biometrischen Daten und freiwillig gespeicherten Fingerabdrücke sind der hoheitlichen Nutzung bei Grenzkontrollen und durch Polizei, Zoll beziehungsweise bestimmte Steuerbehörden vorbehalten. Ihre anderweitige Nutzung ist ausgeschlossen.

Der elektronische Personalausweis enthält neben den Identitätsdaten wie Name, Geburtsdatum oder Wohnort auch zwei weitere wichtige Funktionen, die Altersverifikation und die Anonymfunktion.

Die Altersverifikation folgt dem Zweck, eine sichere Altersprüfung ohne gleichzeitige Übermittlung von Personendaten durchzuführen. In diesem Fall gibt der elektronische Personalausweis lediglich Auskunft darüber, ob ein bestimmtes Alter erreicht ist oder nicht. Diese Funktion ist auch für den Einsatz an Automaten vorgesehen.

Die Anonymfunktion ist genau genommen eine Pseudonymfunktion. Sie kommt ebenfalls ohne die Übermittlung von Personendaten aus. In diesem Fall errechnet der elektronische Personalausweis zusammen mit dem ihm vorliegenden Zugriffszertifikat des anfragenden Diensteanbieters eine bestimmte „sektorspezifische Kennung“ (= Restricted Identification), die reproduzierbar nur zwischen diesen beiden Komponenten, dem Personalausweis und dem Zugriffszertifikat, entsteht. Auf diese Weise erkennt ein Diensteanbieter den Inhaber des Personalausweises wieder, ohne dessen Personendaten zu besitzen. Das Hauptanwendungsgebiet hierfür dürfte in einem erstmals datenschutzkonformen „logischen Cookie“ für alle Diensteanbieter liegen. Die Anonymfunktion erfüllt vollumfänglich die Vorschriften des Bundesdatenschutzgesetzes, das nur eine zweckbezogene Datenerhebung und -speicherung vorsieht und sektorübergreifenden Datenaustausch verbietet. So erhöht die Funktion die Glaubwürdigkeit der Diensteanbieter.

Der Gemeindeschlüssel – die „CommunityID“

In den letzten Jahren wurde immer wieder versucht, kommunale eGovernment-Leistungen im Internet für die Bürger im Einzugsbereich der jeweiligen Kommunen zu etablieren. Dabei blieb meist die Frage offen, wie Online-Identitäten von Bürgern für bestimmte lokale Dienste (Online-Bebauungspläne und andere Bürgerservices), die Bürgern einer bestimmten Kommune vorbehalten sind, sicher und anonym online ermittelt werden können.

Als Lösung enthält der neue elektronische Personalausweis neben Identitätsdaten und Meldeanschrift auch einen Gemeindeschlüssel, die sogenannte „CommunityID“.

Das kommunale eGovernment-Portal kann künftig schnell und einfach mithilfe dieser Funktion herausfinden, ob es sich um eine berechtigte Person handelt – ohne dafür personenbezogene Daten auslesen zu müssen.

Weiterhin sind auch bundesweite eGovernment-Szenarien auf der Basis des Gemeindeschlüsselverzeichnisses umsetzbar, für die es bislang keine unmittelbare Online-Prüfmöglichkeit der Nutzerberechtigung gab, wenn das Wohnortprinzip gilt.

Nächste Seite: Ab Oktober läuft der Praxistest

Eine Technologiebasis fürs eGovernment

Umsetzbar werden die geschilderten neuen Möglichkeiten durch das sogenannte eCard-API-Framework, das das BSI in der technischen Richtlinie TR 03112 beschreibt und auf dem auch der Bürgerclient basiert. Das eCard-API-Framework dient der interoperablen Nutzung von Signaturkarten, elektronischem Personalausweis und Gesundheitskarte. Es sorgt für die einfache Integration dieser unterschiedlichen Smartcards und deren einfache Nutzung durch verschiedenste Anwendungen in Wirtschaft und Verwaltung.

Mithilfe der qualifizierten digitalen Signatur, die auf Wunsch des Inhabers auf dem elektronischen Personalausweis nachgeladen wird, kann das eCard-API-Framework gleichermaßen für die elektronische Gesundheitskarte (eGK), für den elektronischen Entgeltnachweis (ELENA) oder für die elektronische Steuererklärung (ELSTER) verwendet werden. Außerdem lassen sich auf dem eCard-API-Framework auch alle anderen im deutschen Markt befindlichen Signaturkarten signaturgesetzkonform verwenden.

Zur einheitlichen Kommunikation der Komponenten des eCard-API-Frameworks untereinander entwickelten OpenLimit und Fujitsu Technology Solutions gemeinsam eine plattformneutrale interoperable eCard-Programmierschnittstelle, eine eCard API (Application Programming Interface). Diese präsentierten die Unternehmen bereits anlässlich der CeBIT 2009 bei digitalen Amtsgängen wie dem Ummelden eines Autos oder der Buchung einer Flugreise auf einem ersten Bürgerclient in Echtzeit.

Der große Praxistest

Um das enorme Einsatzspektrum des elektronischen Personalausweises validieren zu können, plant die Bundesregierung, vom 1. Oktober 2009 bis zum 31. Oktober 2010 mit 30 Unternehmen und mindestens 3.000 Probanden Tests durchzuführen. Fujitsu Technology Solutions ist eines dieser 30 Unternehmen und wird eBusiness- sowie Webshop-Anwendungen für diese Validierung zur Verfügung stellen.

Nächste Seite: ePA und ELENA sind Meilensteine für den Technologiestandort Deutschland

SignTific – Ansatz von Fujitsu

Um Verwaltungen die Integration von elektronischen Identitäten und Signaturen in Geschäftsprozesse zu erleichtern, hat Fujitsu zusammen mit OpenLimit die Rahmenarchitektur SignTific entwickelt. Basis der Lösung ist die Analyse der Geschäftsprozesse, in denen Identitäten, Authentifizierungen und Signaturen zur Anwendung kommen sollen. Für jede Verwaltung erarbeitet Fujitsu ein eigens auf sie zugeschnittenes Konzept zur Einführung der eGovernment-Lösungen. Das Konzept hält sich streng an die Anforderungen der jeweiligen Verwaltungsprozesse.

SignTific ist modular aufgebaut, sodass sich damit zertifizierte Identitäts- und Signaturlösungen und die hierfür notwendige Architektur schrittweise einführen lassen. Teil des ganzheitlichen Ansatzes ist neben der Auswahl eines geeigneten TrustCenters, das die Identität des jeweiligen Absenders zertifikatsbasiert bestätigt, die neutrale Beratung und Unterstützung bei der Integration ausgewählter Komponenten in vorhandene Lösungen, Archivsysteme, Fachanwendungen und die Vorgangsbearbeitung.

Bei Bedarf übernimmt Fujitsu auch die gesamte Projektleitung für das gemeinsam entwickelte Lösungskonzept bis hin zur schlüsselfertigen Übergabe der Anwendung. Somit steht Behörden auch die notwendige technische Unterstützung bereit.

ArchiSafe – Rechtssichere Langzeitarchivierung

Mit dem flächendeckenden Einsatz von sicheren Kommunikationsinfrastrukturen geht die Forderung nach zertifizierten Softwarekomponenten einher, die auf zuverlässigen und skalierbaren IT-Infrastrukturen eingesetzt werden. Dynamische Infrastrukturen gewährleisten mit Hilfe von Virtualisierungs- und Automatisierungskonzepten sichere und hochverfügbare elektronische Geschäftsprozesse. Bestehende IT-Infrastrukturen sollten aufgrund der zu erwartenden deutlichen Zunahme von Online-Geschäftsprozessen auf die zukünftigen Anforderungen ausgelegt und entsprechend strukturiert werden.

Zum Erhalt der Rechtssicherheit von elektronisch signierten Dokumenten ist eine regelmäßige Erneuerung von Signaturen erforderlich. Aufbauend auf dem ArchiSig/ArchiSafe-Standard hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) eine technische Richtlinie für zuverlässige Langzeitarchivierung formuliert.

OpenLimit und Fujitsu stellen auf Grundlage dieser technischen Richtlinie zertifizierte Softwarekomponenten bereit. Indem Signaturtechnologien zur Beweiswerterhaltung genutzt werden, stellt Fujitsu Technology Solutions einen weiteren wichtigen Baustein für sicheres und rechtsverbindliches eGovernment zur Verfügung.

Fazit: Meilensteine stärken die deutsche Position

Projekte mit elektronischen Identitäten und Signaturen, insbesondere der elektronische Personalausweis und ELENA gelten als Meilensteine für den Technologiestandort Deutschland, für das eGovernment und die Zukunft des Internets. Sie zählen zu den bedeutendsten Flächenanwendungen und dienen als außerordentliche Beispiele für eGovernment und eBusiness und stärken so die Position Deutschlands im europäischen Wettbewerb.

(ID:2040231)