Digitale Identität als Fundament der vertrauenswürdigen Transformation

anica.nacova.uni-linz, 21. November 2019, 23:27

Das Internet veränderte dauerhaft die zwischenmenschlichen Beziehungen. Um das Vertrauen im elektronischen Geschäftsverkehr, sowohl auf der Wirtschaftsebene wie auch auf der Verwaltungsebene, sicher zu stellen, muss eine Fälschung der Identität ausgeschlossen werden. Dies kann durch die Verwendung von geeigneten Mechanismen bei den Identifizierungs- und Authentifizierungsprozessen gewährleistet werden. Die eID (Electronic Identification) spielt für den Faktor Sicherheit eine enorm große Rolle. Deutschland hat bereits 2010 die erste Weiche mit einem Personalausweis, der über eine Online-Ausweisfunktion verfügt, gestellt. 2017 wurde das Verfahren auf dem höchsten Sicherheitsstandard gebracht und ist nun seit September 2018 europaweit zur Identitätssicherung freigegeben.

 

eID-Recht

Die EU beschließt mit der sogenannten eIDAS-Verordnung (eIDAS-VO), das erste Rahmenwerk über elektronische Identifizierung und Vertrauensdienste im Binnenmarkt. Diese beinhaltet für die elektronische Identifizierung eine Einstufung der Prozesse in verschiedenen Risikoklassen. Die Verordnung setzt die individuellen elektronischen Identifizierungssysteme der einzelnen EU-Mitgliedsstaaten voraus.

 

Die EU-Kommission hat 2004 die technischen sowie sicherheitsrelevanten Rahmenbedingungen für die Einführung des elektronischen Reisepasses vorgegeben. Seit 2013 wird der Reisepass mittlerweile in dritter Generation erstellt. Da es in einigen der EU angrenzenden Länder möglich ist, ihre Staatsbürger nur mit einem Personalausweis in den Schengenraum einreisen zu lassen, musste die EU auf diese vermeintliche Sicherheitslücke durch Dokumente mit einem geringen Sicherheitsstandard reagieren. Dementsprechend wurde von der EU-Kommission am 17.04.2018 eine neue Direktive veröffentlicht, die die minimale elektronische Sicherheit von künftigen Personalausweisen absteckt. Dabei soll die Sicherheit des jeweiligen Dokuments durch die Vorgabe, dass zwei Biometrie-Datensätze, Gesichtsfoto und zwei Fingerabrücke des Inhabers, gespeichert werden müssen, gegeben werden.

 

eID-Technologie

Die eID-Technologie setzt sich einerseits aus dem Identifizierungsmittel und andererseits aus den Komponenten und Vorgaben zur Identifizierung auseinander. Dabei wird das Identifizierungsmittel (eID-Token) als eine Chipkarte (auch kontaktlos möglich), als Smartphone mit integriertem Sicherheitschip oder als sonstiger kryptographischer Sicherheitstoken bereitgestellt. Diese Elemente werden außerdem mit einem PIN oder einer biometrischen Eigenschaft geschützt. Das Identifizierungssystem wird über einen Serviceanbieter, der kryptografische Prozesse für die Authentifizierung der jeweiligen Dokumente nutzt, abgebildet.

 

eID-Anwendungsbereich

Die Anwendungsbereiche der eID können in drei Felder geclustert werden. Zunächst wird die eID im Bereich des öffentlichen Dienstes verwendet. Hierunter fällt die Authentifizierung für An- oder Ummeldung des Wohnsitzes, elektronische Wahl und Steuererklärung sowie andere bürokratische Anliegen. Des Weiteren kann sie im Bereich der halböffentlichen Dienste wie z.B.: bei Transportdienstleister wie ÖPNV eingesetzt werden. Letztendlich kommen die Dokumente im Bereich der privaten Dienstleistungen wie z.B. dem Onlinehandel und dem Finanzwesen (Versicherung, Bank) auch zum Tragen.

 

eID-Verbreitung 

Die Verbreitung von Ausweisdokumenten in der EU ist extrem heterogen. England ist das bekannteste Beispiel für ein Land mit niedrigen Dokumentenstandards. Hier ist ein Führerschein mit Gesichtsfoto ausreichend, um sich auszuweisen. Weitere Staaten, in denen keine Ausweispflicht herrscht sind Frankreich, Finnland, Schweden, Norwegen und Dänemark. In den meisten EU-Ländern ist der Besitz einer eID, falls sie überhaupt angeboten wird, nach wie vor auf freiwilliger Basis. Hierzu zählen unteranderem Deutschland, Schweden, Tschechien und Finnland. Verpflichtend ist die eID unteranderem in Kroatien, Belgien, Estland, Luxemburg, Spanien und Portugal. Der Vorreiter für die eID in der EU ist Finnland. Um durch die weiten Landflächen bedingte mühselige Behördengänge für die Bevölkerung zu vermeiden, bietet hier der Staat die Möglichkeit an online mit einer eID die Erledigung von bürokratischen Angelegenheiten. In Österreich wurde die eID (eCard) im Jahr 2004 eingeführt.

 

Die nachstehende Tabelle zeigt auf, wann welche europäischen Länder angefangen haben die eID auszugeben. 

 

Kalenderjahr

Land in Europa

1999

Finnland

2002

Estland

2003

Belgien

2004

Österreich (eCard)

2005

Schweden

2006

Spanien, Italien

2007

Serbien, Portugal, Norwegen (Bank-ID), Lichtenstein

2009

Monaco, Litauen, Schweiz (SuisseID), Albanien

2010

Deutschland (Personalausweis)

2013

Irland, Kroatien, Slowakei, Bosnien, Rumänien, Kosovo, Malta

2015

Türkei

2016

Ukraine, Ungarn

2018

Tschechische Republik

 

eID-Technische Trendentwicklung

Immer mehr Länder verwenden beim elektronischen Reisepass eine von der ICAO (Internationale Zivilluftfahrtorganisation) vorgegebene Funktionalität. Dabei handelt es sich um einen Chip, auf welchem biometrische Daten gespeichert werden. Diese Vorgabe wurde ebenso in dem EU-Verordnungsvorschlag aufgenommen.

 

Die eID wird entsprechend dem EU-Verordnungsvorschlag vorwiegend mit einer NFC-Schnittstelle ausgeführt. Bereits jetzt kann statt einer Karte das Mobiltelefon genutzt werden. Hierfür wird die gewöhnliche Sim-Karte durch eine Spezifische (PKI-fähig) ersetzt, mit der man dann mit einer entsprechenden Applikation an einer gegebenen Stelle ein Authentifizierungsprotokoll durchführen kann. Diese Variante wird bereits in Belgien, Estland und der Türkei genutzt. Weiterhin kann ein NFC-fähiges Handy für Dokumente, wie z.B. den deutschen Personalausweis, als Kartenterminal fungieren.

 

Da eine Identität allein über das Smartphone keine vollwertige Abbildung eines Ausweises sein kann, sind Anwendungen im Bereich des Führerscheins und der Gesundheitskarte sinnvoller. Erste Ansätze aus technischer Sicht für den Führerscheinersatz durch ein Smartphone versuchen die Verkehrsministerien der EU-Mitgliedsstaaten und die Generaldirektion MOVE in die Wege zu leiten. Entsprechende Pilotprojekte finden bereits in Schweden und Finnland statt. Dabei soll ein QR-Code in einer entsprechenden Applikation als Führerscheinersatz dienen, welcher dann auf eine Führerschein-Datenbank verweist. Weiterhin arbeitet eine internationale Arbeitsgruppe daran, dass die Daten, die im biometrischen Reisepass enthalten sind, auf das Smartphone übertragen werden. Die sicherheitsrelevanten Spezifikationen wurden bereits entsprechend der Common Criteria (ISO/IEC 15408) festgehalten. Dabei muss das Smartphone ein den Kriterien entsprechendes Sicherheitselement enthalten. In Frankreich wurde ein Pilotprojekt gestartet, dass die Gesundheitskarte in Ausnahmefälle (nicht anwendbar, Verlust,...etc.) durch eine App am Smartphone ersetzen lässt. Somit ist ersichtlich, dass bereits jetzt einige praktische Anwendungsfälle für die eID effektiv getestet werden.

 

 

Fazit

Im Privatsektor wird die eID vermutlich für den Onlinehandel einer der zentralen Wachstumstreiber werden. Die eID wird es sowohl den privaten als auch den staatlichen Teilnehmern im Online-Bereich möglich machen, auf eine sichere und effiziente Art und Weise zu operieren. In einigen europäischen Ländern wie Estland, Finnland, Norwegen, der Schweiz und dem Vereinigten Königreich hat beispielsweise der Privatsektor - und insbesondere die Mobilindustrie - eine Schlüsselrolle beim Aufbau nationaler digitaler Identitätssysteme und Authentifizierungsprogramme gespielt. 

Ein Beispiel für die föderative Identität bei Finanzdienstleistungen ist die BankID. Diese ist eine Lösung, die in Schweden von einer Reihe großer Banken entwickelt wurde und von Bürgern, Behörden und Unternehmen genutzt werden kann. Dementsprechend kann hier für viele Dienstleistungen z.B. andere Banken die Authentifizierung über die eID erfolgen. 

 

Zusammenfassend kann gesagt werden, dass die eID sowohl im privaten wie auch im staatlichen Sektor zu deutlichen Zeit- und Kostenersparnissen führen kann, die damit einhergehen, dass keine physische Authentifizierung durch eine Person vor Ort mehr nötig ist. Wie weit eine einheitliche eID-Landschaft in der EU sich durchsetzen wird, hängt von der Harmonisierung der individuellen, länderspezifischen Vorgaben ab.

 

Das vorliegende Paper wurde gewählt, da es eine gute Übersicht über den Verbreitungstand und die Art der Ausführung der eID in Europa gibt. Zudem werden hier Praxisbeispiele und die technischen Aspekte der eID angeführt.

 

Literatur

Houdeau, D., Hühnlein, T. & Wolfenstetter, KD. (2019). Digitale Identität als Fundament der vertrauenswürdigen Transformation: eID-Systeme im internationalen Überblick. In: Datenschutz und Datensicherheit (DuD), 43(4), pp. 209–213, Springer Fachmedien, Wiesbaden. doi: https://doi.org/10.1007/s11623-019-1094-6

 

 

1 comment :: Kommentieren

tania christine.theinschnack.uni-linz, 26. Dezember 2019, 03:12

Interessant wäre zu wissen wie weit inzwischen die Entwicklungen hinsichtlich des Einsatzes des Smartphones als Ersatz für den Führerschein bzw. für den Personalausweis fortgeschritten sind und inwieweit diese tatsächlich EU-weit einsetzbar sind bzw. die Gültigkeit auf Ebene der Europäischen Union durchgesetzt werden kann. Auch wäre es interessant inwieweit sich der Anwendungsbereich und die Nutzung der e-ID seit der Einführung in den verschiedenen Ländern ausgedehnt bzw. zugenommen hat.

Verlinken :: Kommentieren


To prevent spam abuse referrers and backlinks are displayed using client-side JavaScript code. Thus, you should enable the option to execute JavaScript code in your browser. Otherwise you will only see this information.