Digitales Ausweisen im Jahr 2022

Insbesondere während der Corona-Pandemie wurde deutlich, wie wichtig eine Ausweisfunktion für Online-Behördengänge bei geltenden Kontakt- und Ausgangsbeschränkungen ist (s. [14] und [2], S. 29-32).

Bereits seit 2010 gibt es den Personalausweis im Scheckkartenformat mit einem integrierten Chip für die Speicherung der „elektronischen Identität“ (eID), zu der neben den persönlichen Daten auch das Lichtbild und biometrische Fingerabdrücke zählen [10]. Das Problem ist, dass bisher nur wenige Menschen die eID und deren Online-Ausweisfunktion nutzen. „Gerade einmal sechs Prozent aller Deutschen haben die Karte laut dem E-Government-Monitor der Initiative D21 jemals online eingesetzt“ [3]. In den letzten Jahren gab es einige Neuerungen rund um das Thema eID, um die Akzeptanz zu erhöhen. Dafür schauen wir uns zunächst die Voraussetzungen für den Einsatz des elektronischen Personalausweises an.

Voraussetzungen, um die Online-Ausweisfunktion zu nutzen

Um sich Online ausweisen zu können, benötigt man neben dem elektronischen Ausweis und einer selbstgewählten sechsstelligen Geheimnummer (PIN) noch eine Software, z.B. die AusweisApp2 sowie ein Smartphone oder ein Kartenlesegerät. Seit 2017 wird die Online-Ausweisfunktion automatisch aktiviert, für alle vorher ausgestellten Ausweise muss diese Funktion erst eigenständig aktiviert werden [4].

Zu Beginn, im Jahr 2010, war ein Kartenlesegerät zum Auslesen des Ausweises notwendig. Mittlerweile tragen viele Menschen das Lesegerät jeden Tag bei sich – ein NFC-fähiges Smartphone ist dafür ausreichend.

So funktioniert das Online-Ausweisen

In [5] und [6] wird das Online-Ausweisen in sechs Schritten dargestellt und kann überall dort erfolgen, wo das links zu sehende Symbol abgebildet ist:

1. 1. 1. 1. 1. Der aufgerufene Online-Service fordert Benutzer:innen auf, sich auszuweisen. Über die „AusweisApp2“ stellt der Benutzer eine Verbindung zwischen Personalausweis und Smartphone bzw. Kartenlesegerät her.
            2. In der App sieht der Benutzer, welcher Dienst welche persönlichen Daten benötigt.
            3. Durch die Eingabe der sechsstelligen PIN stimmt der Benutzer der Datenabfrage zu.
            4. Der Chip im Ausweis prüft, ob der Online-Service die Berechtigung (gültiges Zertifikat) für die Datenabfrage besitzt.
            5. Liegt die Berechtigung vor, werden die persönlichen Daten verschlüsselt übermittelt.
            6. Nach erfolgreichem Online-Ausweisen, wird die Verbindung zwischen Personalausweis und Smartphone bzw. Kartenlesegerät wieder getrennt.

Vereinfachungen und aktueller Stand

Um die Nutzung zu vereinfachen, ist für März 2022 geplant, den elektronischen Personalausweis in drei Varianten auf das Smartphone zu übertragen [7]. Variante eins ist ein direkter Ersatz des elektronischen Ausweises, die sogenannte „Smart-eID“. Weitere Varianten sind die „Smart-eID mit niedrigerem Sicherheitsniveau“ und die „Basis-ID“ mit reduzierten Daten. Diese kann beispielsweise für die Autovermietung oder beim Check-In im Hotel verwendet werden. Dadurch wird das Smartphone selbst zum elektronischen Personalausweis.

Die „Smart-eID“ wird in einem Sicherheitschip (Secure Element) des Smartphones abgelegt. Dadurch ist beim Online-Ausweisen kein Scannen des Personalausweises mehr notwendig, sondern es kann direkt über das Smartphone die Eingabe der PIN erfolgen. Allerdings sind bisher (Stand Oktober 2021, s. [3]) nur Samsung Modelle ab Galaxy-S20 vom Bundesamt für Sicherheit (BSI) zertifiziert.

Die Variante „Smart-eID mit niedrigerem Sicherheitsniveau“ legt die eID verschlüsselt im normalen Speicher des Smartphones ab. Im Gegensatz zur ersten Variante, wird dafür kein speziell zertifiziertes Gerät benötigt.

Darüber hinaus existiert das Projekt „Digitale Identitäten“, bei dem sich mehrere Bundesbehörden gemeinsam mit der Wirtschaft das Ziel gesetzt haben, ein Ökosystem für digitale Identitäten zu entwickeln [14]. Dieses Identitätsökosystem basiert laut [14] „… auf den Prinzipien der selbst souveränen Identität (Self-Sovereign Identity, SSI).“ Das bedeutet, jede:r Benutzer:in kann selbst entscheiden, welche persönlichen Daten freigegeben werden, sodass z.B. eine Autovermietung lediglich die Führerscheinklasse, aber nicht das Ausstellungsdatum anfragen kann. Zu dem Ökosystem zählt die „digitale Brieftasche“, die auch als „ID-Wallet“-App bekannt ist. Hier sollen neben der Basis-ID weitere digitale Nachweise direkt auf dem Smartphone abgelegt werden können, wie beispielsweise der digitale Führerscheinnachweis, die Geburtsurkunde oder Zeugnisse (s. [14] und [15]). Nach anfänglicher Kritik und Problemen soll diese im Frühjahr 2022 neu aufgelegt werden [15].

Sicherheitsaspekte

Wie in [8] beschrieben, schützen vier Sicherheitsmechanismen die persönlichen Daten. Beim Online-Ausweisen handelt es sich um eine Zwei-Faktor-Authentifizierung, weil man neben dem Personalausweis (Besitz) auch die persönliche PIN (Wissen) benötigt. Die Datenübermittlung ist Ende-zu-Ende verschlüsselt und erfolgt erst nach Freigabe durch die PIN. Dadurch besteht auch bei Verlust oder Diebstahl des Personalausweises ein Schutz. Daneben kann eine kompromittierte PIN durch eine neue PIN ersetzt oder im Zweifelsfall die Online-Funktionalität des Ausweises mithilfe eines Sperrkennwortes gesperrt werden [9]. Zusätzlich besteht beim Online-Ausweisen die Pflicht einer wechselseitigen Identifizierung. Das bedeutet, dass nicht nur die Benutzerin oder der Benutzer einen gültigen Personalausweis benötigt, sondern auch der jeweilige Dienst benötigt für die Datenanfrage ein gültiges, staatliches Zertifikat. Dieses kann durch den Benutzer eingesehen und überprüft werden [8]. Risiken bestehen laut [12] durch „Man-in-the-Middle“-Angriffe und durch Smartphones, für die es nach einer gewissen Zeitspanne keine Sicherheitsupdates mehr gibt und dadurch angreifbar werden.

Aktuelle Anwendungsmöglichkeiten

Unter [11] sind aktuell 166 Anwendungen gelistet, darunter Gemeinden und Behörden, bei denen man sich digital ausweisen kann, um beispielsweise BAföG zu beantragen, Services der Bundesagentur für Arbeit zu nutzen oder sein Fahrzeug zuzulassen. Außerdem bieten vermehrt Vermögensverwalter und Banken, wie die comdirect, Kreissparkassen oder Scalable Capital neben den klassischen POSTIDENT und VideoIdent-Verfahren auch eine Identitätsprüfung über die eID an, um die Konto- oder Depoteröffnung zu vereinfachen [15].

Zusätzliche Möglichkeiten ergeben sich durch das zuvor beschriebene Ökosystem digitaler Identitäten, das u.a. einen digitalen Check-In-Prozess für Hotels ermöglicht. Darüber hinaus sind weitere Anwendungsfälle im Unternehmenskontext durchaus denkbar, z.B. wenn man eine Datei über den doubleSlash Business Filemanager nur einer bestimmten Person zugänglich machen möchte: die Person würde in Zukunft keinen eigenen Account mehr benötigen, sondern könnte sich direkt über die Basis-ID in der ID-Wallet ausweisen und den Zugriff erhalten.

Bis 2024 wird mithilfe des Förderprogramms „Schaufenster Sichere Digitale Identitäten“ das Ökosystem digitaler Identitäten, durch Pilotprojekte in unterschiedlichen Städten und Regionen, weiter ausgebaut [13]. Dadurch sollen digitale Aus- und Nachweise rechtssicher im täglichen Leben eingesetzt werden können. In der Schaufensterregion Sachsen wird beispielsweise das Pilotprojekt „ID-Ideal“ umgesetzt, das sich u.a. mit einem Mobilitätsszenario auseinandersetzt. Dabei sollen Mobilitätsangebote von unterschiedlichen Anbietern (U-/S-Bahn, Bus, Taxi, Carsharing, E-Scooter, Leihräder etc.) miteinander kombiniert werden, sodass diese nahtlos und ohne sich überall registrieren zu müssen genutzt werden können [16]. Dies soll über digitale Nachweise ermöglicht werden, die in einem Wallet auf dem Smartphone in Form von persönlichen Daten, Fahrkarten/Tickets, Bezahlinformationen und Ermäßigungsberechtigungen gespeichert sind.

Seit 2010 gibt es den elektronischen Personalausweis bereits und nach einigen ruhigen Jahren kommt immer mehr Schwung in das Thema. Durch viele interessante Pilotprojekte soll die Akzeptanz der digitalen Identitäten weiter gestärkt werden. „Bleibt zu hoffen, dass Nutzerinnen und Nutzer dann den Durchblick behalten, welchen digitalen Ausweis sie wo einsetzen können.“ [3]

Quellen