Ausweis mit App Der neue Personalausweis bringt mehr Datenqualität und neue Geschäftsmodelle fürs E-Business

Ordnungsmerkmale

erschienen in: <kes> 2010^#5, Seite 38

Zusammenfassung: Deutschland bekommt ein neues "ID-Token": Mit dem Personalausweis der nächsten Generation können sich Bürgerinnen und Bürger sicher und datenschutzfreundlich im Internet ausweisen. Wenn das neue Verfahren von einer breiten Masse in der Bevölkerung und auch der Wirtscahft angenommen wird, sind enorme Fortschritte bei Datenqualität, -sicherheit und -schutz im E-Business zu erwarten.

Autor: Von Armin Lunkeit und Thomas Koch, Berlin

Unternehmen vertrauen bei der Online-Kommunikation meist auf die "Echtheit" des Gegenübers, ohne dabei einen eindeutigen Nachweis der Identität zu haben – der neue deutsche Personalausweis soll hier Abhilfe schaffen. Die zugehörige Sicherheitsinfrastruktur und konsequente Einbeziehung von Datenschützern in allen Projektphasen erschweren einerseits den Diebstahl von Identitätsdaten und erhöhen andererseits deutlich die Qualität der erhobenen Daten.

Die öffentliche Meinung zum Thema Datenschutz ist heute stark von den Datenskandalen vergangener Jahre beeinflusst. Im Zuge der Einführung des neuen Personalausweises müssen daher alle Beteiligten enorme Aufklärungsarbeit gegenüber mehr oder weniger berechtigten Ängsten und Vorurteilen von besorgten Bürgern, verunsicherten Unternehmern und wahlkämpfenden Politkern leisten. Dabei erfüllt das dem neuen Personalausweis zugrunde liegende Konzept höchste Datenschutzansprüche und unterstützt das Grundrecht auf informationelle Selbstbestimmung, indem jeder Bürger selbst entscheiden kann und muss, wer in welcher Situation aus dieser Quelle Daten über seine Person erhält.

Angesichts der enormen Zahl personenbezogener Daten, die in der elektronischen Geschäftswelt im Umlauf sind, besitzt die Datensparsamkeit eine hohe Bedeutung: Es sollen zweckgebunden nur die nötigsten personenbezogenen Daten gesammelt werden. Hier kann das neue System mit Transparenz punkten: Bei einer Personalausweisabfrage können Diensteanbieter nur diejenigen personenbezogenen Daten anfordern, die für ihren jeweiligen Dienst unbedingt erforderlich sind – hierzu ist einerseits ein begründeter Antrag zu stellen und andererseits bei der Kommunikation mit dem Bürger dessen explizite Zustimmung zur Übermittlung notwendig.

Abbildung 1: Der neue Personalausweis liefert die aufgedruckten Informationen auch in elektronischer Form – aber nur wenn der Anbieter ein Berechtigungszertifikat vorlegen kann und der Nutzer zustimmt.

Zur elektronischen Speicherung enthält der nur noch scheckkartengroße neue Personalausweis einen Security-Controller, in dem alle aufgedruckten Daten (Name, Alter, Wohnort etc.) digital abgelegt werden können – bis auf die Postleitzahl enthält der neue Ausweis nicht mehr Daten als der alte. Anders als bisher können Daten aber auf elektronischem Wege selektiv übermittelt werden: Wurde bislang etwa beim DVD-Verleih oder einer größeren EC-Karten-Transaktion der Personalausweis komplett kopiert und die Papierkopie abgeheftet, so waren ja alle seine Daten "gespeichert" – auch wenn für eine Transaktion eigentlich nur der Name und das Alter zu prüfen waren.

eID-Infrastruktur

Abgesichert wird die elektronische Identifizierung mit AusweisApp und eID-Server: Die AusweisApp – vormals bekannt als "Bürgerclient" – ist die Anwendersoftware für den neuen Personalausweis, die jeder Bürger kostenlos beziehen und auf seinem PC (unter Windows, Ubuntu, OpenSuse oder Debian) oder seinem Mac installieren kann. Das Gegenstück auf Anbieterseite ist der eID-Server. Zusammen gewährleisten die Programme das gesicherte Auslesen und die verschlüsselte Übertragung der auf dem Ausweis gespeicherten persönlichen Daten. Sowohl AusweisApp als auch eID-Server-Middleware wurden von OpenLimit in Zusammenarbeit mit der Bundesdruckerei entwickelt.

Wollen ein Unternehmen oder eine Behörde in einem Online-Dienst die Identifizierung über den neuen Personalausweis nutzen, benötigen sie dazu eine spezielle Berechtigung. Dafür reicht der Diensteanbieter beim Bundesverwaltungsamt (BVA) einen Antrag ein, in dem er erklärt, welche Datenfelder er zu welchem Zweck auslesen will (Details ab Seite 44). Für die technische Umsetzung der Berechtigung ist ein so genannter eID-Server zuständig, den ein Diensteanbieter entweder bei einem Provider mieten oder selbst betreiben kann. Zu den hierfür notwendigen Auflagen (nach BSI TR-03130) gehört neben dem Betrieb an einem gesicherten Standort auch der Einsatz eines hardwarebasierten Sicherheitsmoduls (HSM).

Abbildung 2: Über die AusweisApp (vormals "Bürgerclient") kann der Nutzer den Zugriff auf seine Daten an Berechtigte freigeben und sieht dabei auch genau, was angefragt wurde.

Beim Bürger steuert die AusweisApp den elektronischen Identitätsnachweis duch den neuen Personalausweis. Registriert sich etwa ein Kunde erstmals in einem Webshop, der eine Authentifizierung mittels Personalausweis verlangt, dann schickt diese Website ihr Berechtigungszertifikat (sozusagen den "Ausweis des Unternehmens") über den eID-Server an den PC des Kunden. Dieser legt seinen Personalausweis auf ein Kartenlesegerät (die Übertragung erfolgt kontaktlos), das über eine USB-Verbindung mit dem Computer verbunden ist, und die AusweisApp baut eine verschlüsselte Verbindung zu eID-Server und Webshop auf. Der eID-Server prüft die beteiligten Identitäten, Ausleseberechtigung und Ausweisgültigkeit und gibt den Zugriff auf den Personalausweis frei: Die AusweisApp zeigt dann an, welche Daten das Unternehmen zur Registrierung im Webshop angefordert hat (vgl. Abb. 2). Zur Übertragung muss der Kunde den Vorgang durch PIN-Eingabe über die AusweisApp freigeben – gegebenenfalls kann er zuvor auch Datenfelder abwählen.

Aus technischer Sicht wird dabei auf Basis des Extended-Access-Control-(EAC)-Protokolls ein kryptografisch gesicherter Tunnel vom neuen Personalausweis über die AusweisApp bis zum eID-Server aufgebaut. Die Kommunikationsprotokolle sind in der technischen BSI-Richtlinie TR-03112 (eCard-API-Framework) beschrieben [1] – der eID-Server selbst wird in der technischen Richtlinie TR-03130 näher beschrieben (s. S. 44), wobei diese vor allem dessen Schnittstellen und somit die Integration des Systems in konkrete Anwendungsfälle in den Mittelpunkt stellt.

Identifikation per Web-Service

Aus BSI TR-03130 gehen zwei verschiedene Kommunikationsmodelle hervor – im Folgenden wird das Kommunikationsmodell vorgestellt, das auch im Personalausweis-Anwendungstest zum Einsatz kam. In diesem Modell erfolgt die Kommunikation zwischen Diensteanbieter und eID-Server auf Basis der Security-Assertion-Markup-Language (SAML, [2]). Dabei formuliert der Diensteanbieter die Anforderung zum Auslesen von Daten aus dem neuen Personalausweis unter Verwendung eines XML-Datensatzes (SAML Authentication Request) und erhält nach dem Auslesen der Informationen aus dem Ausweis ebenfalls ein XML-Konstrukt zurück (SAML Authentication Response). Die Kommunikation erfolgt dabei verschlüsselt und signiert: Nur der eID-Server kann den SAML-Authentication-Request entschlüsseln – eine vom Diensteanbieter angebrachte elektronische Signatur sichert die Authentizität und Integrität der Anfrage. Ebenso kann nur der Diensteanbieter auf das Ergebnis der Abfrage zugreifen, da die Ergebnisdaten vom eID-Server signiert und gezielt für ihn verschlüsselt werden.

Die Kommunikation zwischen dem eID-Server und der AusweisApp erfolgt gemäß BSI TR-03112 [1]: Das System generiert dazu einen speziellen Mime-Type, der in eine HTML-Seite eingebettet wird, die der Browser des Bürgers empfängt. Ein Browser-Plugin wertet diesen Mime-Type aus und veranlasst die AusweisApp dazu, die Verbindung zum eID-Server herzustellen und die Online-Authentisierung zu starten.

Obwohl der Zugriff auf die Daten des neuen Personalausweises unter Verwendung von "Secure Messaging" erfolgt (wobei die verwendeten Schlüssel auf dem eID-Server liegen), wird der Kommunikationskanal zwischen der AusweisApp und dem eID-Server zusätzlich durch Transport-Layer-Security (TLS) geschützt. Dabei kommt die Protokollsuite TLS_RSA_PSK gemäß RFC 4279 [3] zum Einsatz: Normalerweise verwendet TLS Zertifikate oder Kerberos zur Authentifizierung, das Verfahren nach RFC 4279 nutzt jedoch symmetrische Krypto-Schlüssel, die bereits im Vorfeld dem eID-Server und der AusweisApp bekannt gegeben werden. Das ursprüngliche Ziel dieser Protokollsuite ist die Vermeidung von Public-Key-Operationen – im vorliegenden Fall dient der ausgetauschte Schlüssel jedoch vorrangig zur Bindung der Kanäle zwischen Diensteanbieter, eID-Server und AusweisApp. Der angegebene symmetrische Schlüssel (Pre-Shared-Key – PSK) trägt in diesem konkreten Fall jedoch nur zu einem Teil zum genutzten Sitzungsschlüssel bei – weiterer Input kommt von einem Serverzertifikat.

Angriffe

Ein Zugriff auf die Daten des neuen Personalausweises ist nur mit einem gültigen Berechtigungszertifikat und nach vorheriger PIN-Eingabe möglich. Auch ein "Mitlauschen" der Funkverbindung ist nicht praktikabel: Die Sendereichweite des RFID-Chips im Ausweis beträgt wenige Zentimeter und die Datenübertragung ist mittels starker kryptografischer Verfahren verschlüsselt. Das Sicherheitslevel ist hier enorm hoch – alle eingesetzten Mechanismen beruhen auf technischen Richtlinien des BSI und sind nach Common Criteria evaluiert.

Nicht völlig auszuschließen sind naturgemäß Angriffe auf den Anwender selbst – beispielsweise Phishing-Attacken, die ihm eine perfekte Kopie einer legitimen Webseite anzeigen und so Login-Daten oder andere wertvolle Informationen "abfischen". In der zweiten Reihe stehen Angriffe, die sich direkt gegen die beteiligten Komponenten richten: Ein Exploit könnte etwa versuchen, vertrauliche Daten direkt in der Software abzufangen oder im Zuge eines Denial-of-Service-(DoS)-Angriffs deren Funktion zu beeinträchtigen. Auch Angriffe gegen Hardware-Komponenten, beispielsweise gegen die Kartenleser sind vorstellbar.

Um derartige Angriffsszenarien soweit wie möglich auszuschließen, ist die übliche Kombination aus technischen und organisatorischen Maßnahmen beim Anwender erforderlich, wie sie etwa auf  www.bsi-fuer-buerger.de empfohlen werden – sprich: zurückhaltender Umgang mit Dateien unbekannten Ursprungs, umsichtige Rechtevergabe (vor allem Nichtnutzung privilegierter Accounts), regelmäßige Updates von Sicherheits-Patches, Einsatz von Sicherheitssoftware wie Virenscanner und Firewalls und so weiter.

Damit bei der Nutzung des "Basislesers" der Sicherheitsklasse 1 (ohne eigene Tastatur) die Ausweis-PIN nicht über einen Key-Logger abgefangen werden kann, bietet die AusweisApp eine Bildschirmtastatur an – die hohe Sicherheit eines Lesers mit eigener Tastatur kann dies aber natürlich nicht ersetzen. Aus diesem Grunde ist beispielsweise die Nutzung der (optional "zukaufbaren") qualifizierten elektronischen Signatur (QES) mit dem neuen Personalausweis auch nur in Verbindung mit mindestens einem Klasse-3-Leser möglich, der eine sichere PIN-Eingabe gewährleistet.

Integration und Akzeptanz

Ein entscheidender Vorteil des eCard-API-Frameworks und der künftig verfügbaren Komponenten ist die Verwendung standardisierter Formate und Schnittstellen. Dadurch lassen sich der Personalausweis und seine elektronischen Funktionen relativ einfach an andere Systeme anschließen – der Identifizierungsmechanismus kann somit für verschiedene Anwendungen aus unterschiedlichen Bereichen eingesetzt werden: prinzipiell können auch interne Freigabeprozesse, Log-in-Verfahren, Eingangskontrollen oder Dienstausweisszenarien diese Infrastruktur nutzen. Der Integrationsaufwand ist vergleichsweise gering.

Die Vorteile liegen auf der Hand: Unternehmen, die den neuen Personalausweis nutzen, müssen keine eigenen Smartcards kaufen, personalisieren und verteilen. Das Personaldokument dürfte schon in wenigen Jahren weit verbreitet sein und die dahinterliegende Public-Key-Infrastruktur (PKI) wird zentral und kontinuierlich von Staat und eID-Service-Providern gepflegt, sodass auch hier für nutzende Unternehmen nur geringe Kosten entstehen.

Zu bedenken ist allerdings, dass mit jeder elektronischen Verwendung des Ausweises eine (möglichst sichere) PIN-Eingabe verbunden ist, was in einigen Nutzungsszenarien unerwünscht sein könnte. Zudem bleibt die Nutzung der eID-Funktion für den Ausweisinhaber optional: Eine Aktivierung ist beim Antrag (kostenlos) oder später (gegen Gebühr) möglich.

Ebenfalls optional, allerdings mit zusätzlichen Kosten verbunden, ist es darüber hinaus möglich, auf den neuen Personalausweis ein Zertifikat von Drittanbietern für eine qualifizierte elektronische Signatur (QES) aufzuspielen. Da die AusweisApp die hierfür notwendige Funktion bereits enthält, ist keine zusätzliche Software mehr nötig. Einige deutsche Trustcenter haben zudem bereits zu erkennen gegeben, dass das notwendige Antragsverfahren für die QES durch die eID im Vergleich zu früher erheblich einfacher werden dürfte.

Somit wird es zukünftig leichter möglich sein, Transaktionen von der Account-Eröffnung bis zum Vertragsabschluss vollständig elektronisch abzuwickeln. Die Verbindung aus Ausweis- und Unterschriftenfunktion könnte sich endlich zum verbreiteten Schlüssel für ganzheitliche elektronische Prozessketten entwickeln. Solche medienbruchfreie Prozesse senken dann nicht nur Transaktionskosten, sondern schaffen auch neue innovative Vertriebswege, die ohne hohe Investitionskosten zu erschließen sind.

Fazit

Der neue Personalausweis schafft bei Identifizierungsverfahren im Internet ein erhebliches Maß an zusätzlicher Sicherheit. Er stellt ein vertrauensvolles, weil hoheitliches Instrument dar, mit dem sich jeder (wenn er will) online ausweisen kann. Sowohl Wirtschaft als auch Verwaltung sehen enormes Potenzial in der kleinen Karte: Die Qualität der versendeten Daten ist so hoch wie nie zuvor – medienbruchfreie Prozesse werden leichter möglich – Identitätsdiebstahl und Online-Betrügereien erheblich erschwert. AusweisApp und eID-Server tragen als Komponenten einer Sicherheits-Infrastruktur dazu bei, dass persönliche Daten sicher und sparsam verarbeitet werden.

Für die verbleibenden Wochen bis zum Start des neuen Dokuments und in der Einführungsphase kommt es jedoch darauf an, besonders auf "Kundenseite", also beim Bürger, Akzeptanz zu schaffen. Wichtig sind hier die kommunikativen Maßnahmen des Bundes, welche die Einführung des Ausweises begleiten und dessen Möglichkeiten aufzeigen. Wesentlich ist die Betonung, dass beim elektronischen Ausweisen der Schutz und die Sicherheit der persönlichen Daten die wichtigste Rolle spielen und die eingesetzten Systeme höchste Sicherheitsstandards erfüllen. Denn wenn die Bevölkerung aus Unwissenheit oder Angst die neuen Funktionen des Personalausweises ablehnt, kann das Projekt trotz hoher Sicherheits- und Datenschutzstandards noch scheitern!

Wichtig ist in diesem Zusammenhang auch die Schulung und Motivierung der Mitarbeiter der Personalausweisbehörden: Sie haben als Multiplikatoren eine wichtige Funktion, da sie den Antragsstellern den neuen Ausweis persönlich erklären können. Doch auch die Wirtschaft ist gefragt: Denn sie kann ihre Online-Dienstleistungen und -Geschäftsprozesse an die neuen Möglichkeiten anpassen, Anwendungen für die neuen Funktionen des Personalausweises schaffen und auf diese Weise stark zum Vertrauen und zur Akzeptanz auf Kundenseite beitragen.

Armin Lunkeit ist Chief Development Officer, Thomas Koch ist Manager Corporate Communications bei der OpenLimit SignCubes AG.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2010^#5, Seite 38
tag:kes.info,2007:lp:2010-5-B