Elektronische Signatur Mit dem Personalausweis im Internet unterschreiben

Autor / Redakteur: Johannes Feulner / Gerald Viola

Die Einführung des elektronischen Personalausweises bringt endlich eine sichere und verlässliche Identitätsprüfung ins Internet. Der elektronische Personalausweis überträgt die universelle Ausweisfunktion, wie sie der Personalausweis als sicheres Identifikationsdokument bereits besitzt, auf eGovernment- und eBusiness-Anwendungen. Während jeder neue Ausweis die Authentisierungsfunktion bereits automatisch mitbringt, soll zusätzlich noch die digitale Signatur nach dem momentanen Stand der Planung von jedem Bürger nachträglich aktiviert werden können. Ob der elektronischen Unterschrift dadurch zum endgültigen Durchbruch verholfen werden kann, bleibt vorerst offen.

Firmen zum Thema

( Archiv: Vogel Business Media )

Nach einem Beschluss des Bundeskabinetts vom September 2006 stehen die Ampeln für die Einführung eines elektronischen Personalausweises auf Grün. Bereits ab 2008 wird in Deutschland der elektronische Personalausweis, die sogenannte eID, eingeführt werden. Damit ist der elektronische Personalausweis nach dem elektronischen Reisepass das nächste große Projekt, mit dem durch den Einsatz von Chipkarten bestehende und erprobte amtliche Ausweise den Erfordernissen des digitalen Informationszeitalters angepasst werden.

Identity Management mit amtlichem Stempel

In einem entscheidenden Punkt geht der elektronische Personalausweis weit über den inzwischen schon eingeführten elektronischen Reisepass hinaus: Er dient nicht nur behördlichen Zwecken, sondern ist explizit auch für den Einsatz im eBusiness konzipiert. So wie heute beispielsweise beim Abschluss eines Mobilfunkvertrages der Kunde seinen Personalausweis vorlegt und gegebenenfalls eine Fotokopie des Ausweises zu den Vertragsunterlagen genommen wird, genauso wird künftig der elektronische Personalausweis im Internet eingesetzt werden können. Beim Online-Vertragsabschluss werden die dafür relevanten Daten vom Händler angefordert, der Kunde steckt den elektronischen Personalausweis in ein Lesegerät an seinem Computer und gibt die angeforderten Daten frei. Durch kryptografische Verfahren wird sichergestellt, dass der Händler von der Echtheit und Korrektheit der Angaben ausgehen kann. Die deutschen Meldeämter werden so zum perfekten Identity Provider für Online-Geschäfte.

Damit verspricht der elektronische Personalausweis endlich eine einfache, verlässliche und durch seine amtliche Beglaubigung auch sichere Identifikation von Internetnutzern im Web. Der elektronische Personalausweis beendet die ewige Unsicherheit, ob die von einem Kunden erhobenen persönlichen Daten echt sind oder nicht. Für Online-Händler bedeutet das: weniger Scherzbestellungen, weniger Zahlungsausfälle und weniger Kosten für den Adressabgleich bei diversen Auskunfteien.

Für den Kunden bedeutet das: eine einfachere Anmeldung und Registrierung bei Online-Angeboten, die x-fach zu wiederholende händische Eingabe der persönlichen Daten entfällt, verbunden mit Kosten- und Zeitvorteilen aus der Kartennutzung, die der Handel an die Kunden weitergeben wird.

Technische Umsetzung

Die eID soll kompatibel mit handelsüblichen Kartenlesegeräten sein und wird aus diesem Grund voraussichtlich im Scheckkartenformat ausgegeben werden. Der künftige elektronische Personalausweis soll als Reisedokument – wie bereits heute der Reisepass – einen Chip enthalten, in dem auch biometrische Daten gespeichert werden. Die biometrischen Daten bleiben aber behördlichen Zwecken vorbehalten und stehen im eBusiness nicht zur Verfügung. Personalausweise haben derzeit eine Gültigkeit von zehn Jahren. Da die Ausstattung mit elektronischen Personalausweisen sukzessive stattfindet, wird die Umstellung der ausgegebenen 80 Millionen amtlichen Personalausweise auf den elektronischen Personalausweis bis 2018 abgeschlossen sein. Wie viel der neue Ausweis kosten wird, steht noch nicht fest.

Für eBusiness und eGovernment relevant ist die Authentisierungsfunktion des elektronischen Personalausweises: Die Online-Prüfung der Echtheit des Ausweisdokuments schafft eine amtlich beglaubigte Identifizierungsmöglichkeit für den elektronischen Geschäftsverkehr. Das ist umso interessanter, weil alle anderen Versuche einen Identitätsdienst im Internet zu etablieren bisher gescheitert sind. Man denke nur an das gescheiterte Passport-Projekt von Microsoft. Anders als bei bisherigen Versuchen bietet der elektronische Personalausweis sowohl verlässliche Daten als auch eine Abdeckung der gesamten Bevölkerung.

Nach dem momentanen Stand der Planung sollen die Bürger als weitere optionale Funktion ein qualifiziertes Zertifikat für die elektronische Signatur zu ihrem ePersonalausweis beantragen können. Dies entspricht der Strategie der Bundesregierung, die qualifizierte elektronische Signatur in allen öffentlichen Karten vorzusehen, wie es beispielsweise auch bei der Gesundheitskarte der Fall sein wird. Wenn der Bürger den ePersonalausweis erhält, ist allerdings noch kein Zertifikat für die elektronische Unterschrift im Chip. Das muss nachträglich bei einem Trustcenter beantragt und bezahlt werden. Damit werden dem Bürger die Kosten der verunglückten Privatisierung einer an sich hoheitlichen Aufgabe aufgebürdet. Es darf weiterhin bezweifelt werden, ob der elektronischen Signatur so der schnelle Durchbruch gelingen wird.

Datenschutz steht im Vordergrund

Das Grobkonzept für den elektronischen Personalausweis wird vom Bundesministerium des Innern (BMI) ausgearbeitet und soll noch Ende 2006 vorliegen. Das Grobkonzept wird detaillierte Aussagen zu den Funktionen und zum technischen Lösungskonzept, zu Datenschutz und Sicherheit, zur Einführung sowie Fragen der Finanzierung und Herstellung des Dokuments beleuchten. Die Technische Richtlinie für das Auslesen der Pässe im Rahmen von Kontrollen wird zurzeit unter Federführung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erarbeitet. Für den Personalausweis sollen – soweit möglich – Synergien zum ePass genutzt werden.

Beim elektronischen Personalausweis ist vorgesehen, dass die Daten der Authentisierungsfunktion nur auf Wunsch des Inhabers und mit seiner expliziten Zustimmung im Einzelfall ausgelesen werden können. Die enthaltenen Informationen – Name, Adresse, Geburtsdatum sowie gegebenenfalls die Unterschrift des gesetzlichen Vertreters sowie Seriennummer und Gültigkeitsdatum – werden digital verschlüsselt. Wenn sich eine Person im Internet ausweist, werden nur die zur Identifizierung notwendigen Daten ausgetauscht. Die elektronische Identifizierung bietet damit einen wesentlich höheren Datenschutz als viele herkömmliche Identifizierungsverfahren oder die herkömmliche Fotokopie des Ausweises.

Sicherheitsgewinn für den Bürger

Der Personalausweis findet schon heute im Wirtschaftsleben breiten Einsatz: etwa als Identitätsnachweis bei der Eröffnung von Bankkonten, bei Vertrags- und Kaufabschlüssen, beim Abholen von Paket- und Briefsendungen oder beim Einchecken in einem Hotel sowie als Altersnachweis im Bereich des Jugendschutzes. Diese universelle Ausweisfunktion, wie sie der Personalausweis als sicheres Identifikationsdokument bereits besitzt, soll mit dem elektronischen Personalausweis auch im Internet möglich sein. Bislang war die „inoffizielle“ Nutzung des Personalausweises im Personalausweisgesetz noch nicht geregelt. Das wird sich voraussichtlich ändern. Für die Nutzung des elektronischen Personalausweises zur sicheren und verlässlichen Identifikation im Internet ist eine entsprechende Novellierung des Personalausweisgesetzes noch vor Einführung der eID notwendig.

Neben dem Sicherheitsgewinn für Bürger ermöglicht die elektronische Identifizierung der Wirtschaft, ihre eBusiness-Angebote um eine einheitliche Identifizierung von Geschäftspartnern zu ergänzen. Dies können beispielsweise Lösungen für die durchgängig elektronische Abwicklung von Verträgen in der Versicherungs- oder Kreditwirtschaft oder bei Auskunftsverfahren zu sensiblen Daten im Gesundheitswesen sein. Rechtsgültige Verträge wie Konto- und Depoteröffnungen können medienbruchfrei direkt im Internet abgeschlossen werden, zeitaufwendige Behördengänge gehören der Vergangenheit an und auch der Einkauf im Internet sowie das Online-Banking werden wirkungsvoll gegen Phishing, Pharming und Brute Force (automatisiertes Passwortraten) geschützt. Die digitale Signatur ermöglicht die eindeutige Identifikation des Absenders elektronischer Daten und kann so bisherige Verfahren für rechtssichere Transaktionen im Internet über Identifikations- und Transaktionsnummern (PIN-/TAN-Verfahren) oder PostIdent ersetzen.

Chip mit großem Sparpotenzial

Der ePersonalausweis ist eine wichtige Komponente im Modernisierungskonzept für die Öffentliche Verwaltung. Bis 2010 sollen alle Online-Dienstleistungen des Staates weiter ausgebaut werden. In den vergangenen fünf Jahren hat der Bund bereits 440 Dienstleistungen über das Internet verfügbar gemacht – davon richten sich 244 speziell an Unternehmen. Für 2006 wird von einem verwaltungsinternen Nutzen in Höhe von 350 Millionen Euro ausgegangen. Der elektronische Personalausweis soll weitere Einsparungen ermöglichen und so einen wichtigen Beitrag zur Haushaltskonsolidierung leisten. Viel spannender sind aber noch die Einsparpotenziale im eBusiness durch die verlässliche Identifizierung der Netzkundschaft verbunden mit der verlässlichen Angabe von Adressdaten.

Artikelfiles und Artikellinks

(ID:2007016)