der neue Personalausweis auf der CeBIT 2010

CeBIT – da war doch was. Wie jedes Jahr überraschend, genau wie Weihnachten. Dieses Jahr hat es mal wieder mit einem Besuch geklappt. Gleich der erste Tag am Dienstag war sehr angenehm, kein Gedrängel, keine Staus beim Anfahren, fast meinte man die CeBIT hätte es verstanden sich auf Businesskunden zu konzentrieren und als Besucher ist man ehrlich gesagt froh, um den vielerorts verkündeten „dramatischen“ Einbruch der Besucherzahlen. Anders jedoch am Mittwoch, viele davon sicher keine Businesskunden.

nPA Testausweis
Testausweis der Bundesdruckerei Berlin

Schwerpunkt meines Besuches und offenbar auch vieler Aussteller war das Thema neuer Personalausweis. In Halle 9 war dieser an meheren Ständes des Bundes und einiger Bundesländer vertreten. Auch in anderen Hallen kam man öfters mit dem Thema in Kontakt. Auf dem Stand der Bundesdruckerei konnte man live die Prsonalisierung des neuen Personalausweises nachverfolgen. Hierzu war es Besuchern mit viel Anstehgeduld möglich, auf dem benachbarten Stand des Bundesministerium des Inneren einen Ausweis im optischen Layout des neuen Personalausweis zu beantragen und dessen Produktion auf dem Stand der Bundesdruckerei selbst mitzuverfolgen. Diese Karten haben jedoch keine Chip und dienen somit als reines Anschauungsobjekt. Auf dem Stand der Bundesdruckerei gab es alternativ die Möglichkeit, sich einen Ausweis mit abweichendem Layout jedoch mit kontaklosem Chip erzeugen zu lassen und mit diesem dann mit eigenen Daten  Beispielanwendungen für den neuen Personalausweises zu testen.

Besonders spannend war die Präsentation der 30 Teilnehmer des zentral koordinierten Anwendungstests die mit offizieller Unterstützung des Bundes seit einiger Zeit den neuen Personalausweis testen und abhängige Geschäftsmodelle entwickeln. Dabei wurden verschiedenste Aspekte und Anwendungsbereiche betrachtet die sich zum überwiegenden Teil auf die eID-Funktion zum sicheren Authentifizieren und vertrauenswürdigen Datenübermittlung beziehen. Vertreten waren u.a. einige Versicherungen, die Deutsche Kreditbank und die Datev. Tendenziell sehen alle diese Teilnehmer (und andere Firmen auf der CeBIT) im neuen Personalausweis ein große Chance, viele Firmen haben sogar offenbar auf eine solche einheitliche zentrale Funktion gewartet. Bleibt zu hoffen, daß möglichst viele dieser Teilnehmer nach dem 1. November auch praktische Lösungen für den Einsatz des neuen Personalausweises anbieten.

nPA

Das Thema qualifizierte elektronische Signatur (QES) wurde relativ wenig bedacht. Hier gab es in den letzten Jahren u.a. von Krankenkassen und Banken wiederholt mehr oder weniger erfolglose Versuche diese auf dem Massenmarkt zu etablieren. Vor allem auf Gebieten, an denen von Seiten der Gesetzgebung entsprechende Vorschriften erlassen wurden, kommt die QES in Deutschland momentan nennenswert zum Einsatz. Hier bietet der neue Personalausweis mit der optionalen Möglichkeit der Verwendung für die QES eine große Chance, dieses Thema in der breiten Masse und auch bei Privatpersonen bekannt zu machen und entsprechende Geschäftsprozesse zu etablieren.

Die Fakten: Der elektronische Personalausweis (ePA)

Die Kommentare auf meinen Post „Identitätsnachweis mit elektronischem Personalausweis“ beinhalten einige Fragen zum elektronischen Personalausweis (ePA).  Erwartungsgemäß kommen dadurch viele Fragen zum Thema Datenschutz und Sicherheit auf.

Die komprimierten Fakten und Antworten zum elektronischen Personalausweis (ePA):
Die Fakten: Der elektronische Personalausweis

Zugriffe

  • Der ePA bietet mit der qualifizierten elektronischen Signatur (QES) die Möglichkeit einer digitalen Unterschrift. Die ermöglicht rechtssichere Geschäfte welche bisher nur Schriftlich gültig waren.
  • Nur Ausweisbehörden und Kontrollbehörden ist gestattet auf den elektronischen Fingerabdruck zuzugreifen.
  • Nur Behörden mit offiziellen Berechtigungs- zertifikate können ePA Daten lesen.

  • Leseangriffe auf den Funkchip werden unterbunden, indem bei zweimaliger Falscheingabe des PINs der Chip gesperrt wird. Nur wenn ein auf der Karte gedruckter Freischaltcode eingegeben wird, ist ein dritter Versuch möglich.

Dienstanbieter

  • Dienstanbieter (z.B. Webshops) greifen nicht direkt, sondern immer über einen gesicherten eID-Server auf den elektronischen Personalausweis zu.
  • Bei der pseudonymen Nutzung des Ausweises wird nicht der richtige Name, sondern nur ein Pseudonym übertragen.
  • Dienste erhalten nur Zugriffsberechtigungen auf die Daten, welche sie unbedingt benötigen. Bspw. erhält ein Dienst, der ausschließlich verifizieren muss, ob der Inhaber ein gewisses Alter über- oder unterschritten hat, nur Zugriff auf die Funktion „Altersverifikation“.
  • Jeder Dienstanbieter erkennt anhand eigener Sperrlisten ob ein Personalausweis gesperrt ist.
  • Ein Usertracking ist nicht möglich, da jeder Diensteanbeiter eigene Sperrlisten erhält.

Bürger bzw. Benutzer

  • Der elektronische Ausweis wird für den Bürger teurer. Wie viel ist noch nicht klar.
  • Der Nutzer erhält ein berührungsloses Lesegerät (nach ISO 14443) samt Software (eCard-API-Framework) zur Installation an seinem PC.  Heise berichtet, dass im Zuge des Konjunkturpakts II ab 2010 über eine Million der Kartenleser kostenlos an Bürger ausgegeben werden sollen.
  • Ob der Fingerabdruck auf dem Chip gespeichert wird, entscheidet der Bürger selbst.
  • Der Bürger selbst entscheidet ob und wieviel Daten ein Dienst vom ePA lesen darf (informationelle Selbstbestimmung).
  • Durch die standardmäßige Eingabe einer 4 stelligen PIN, belegt der Besitzer rechtmäßiger Inhaber des ePA zu sein. Gegenüber Authentifizierung mit Benutzername/Passwort (Wissen und Wissen) bietet ePA/PIN (Besitz und Wissen) ein höhere Sicherheit (2-Faktor Authentisierung).

Einführung

  • Seit 20. Juni 2009 läuft die Umsetzungsphase (Anwendungstest mit 30 Unternehmen ab 01. Oktober 2009) des elektronischen Personalausweises.
  • Die Ausgabe erfolgt über die Personalausweisbehörden ab 01. November 2010.

Links/Quellen:

  • Erklärvideo von Joachim Gebauer VeriSign
  • Der elektronische Personalausweis als moderne Infrastrukturkomponente
  • Architektur des elektronischen Personalausweises
  • Eigene Projekte mit doubleSlash und Teilnahme am 11. Deutscher IT-Sicherheitskongress
  • Interview mit Dr. Hans Bernhard Beus, Staatssekretär im BMI und Beauftragter der Bundesregierung für IT auf dem IT-Gipfelblog des Hasso-Plattner-Instituts
  • Protokolle des Münchner Kreis (Vereinigung zur Kommunikationsforschung)

Identitätsnachweis mit elektronischem Personalausweis

Am 01. November 2010 wird der lange ersehnte elektronische Personalausweis auch an Bundesdeutsche Bürger ausgegeben.  Für eBusiness und eGovernment werden dadurch völlig neue Geschäftsmöglichkeiten eröffnet.

Identitätsnachweis mit elektronischem Personalausweis Bisher war der Personalausweis hauptsächlich als klassischer Identitätsnachweis für staatliche, hoheitliche Anwendungen wie z.B. als visueller Ausweis oder als Reisedokument im Einsatz. Mit dem elektronischen Personalausweis werden vermehrt auch privatwirtschafliche Geschäftsvorgänge ermöglicht.

Klassische Beispiel sind Online-Shopping oder virtuelle Dienste die einen verbindlichen Nachweis über die Identität des Gegenüber benötigen. Anbieter haben vor allem bei größeren Geschäftstransaktionen ein großes Interesse daran, Geschäftspartner hinsichtlch Vertrauenswürdigkeit zu verifizieren und Spaßbestellungen zu vermeiden. Schließlich werden immer größerer Geldbeträge über das Internt gehandelt. Sicherheit und gegenseitige Kentniss der Geschäftspartner ist die wichtige Grundlage hierfür.

Continue reading