NPA

Aus FernUniWiki
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Grundlagen zum nPA in Deutschland

Einführung

1938 wurde die Kennkarte als ein Vorläufer des heutigen Personalausweises eingeführt. Mit dem Beginn des 2. Weltkrieges führten die Nationalsozialisten den Ausweiszwang ein.

Abbildung 1: Kennkarte 1938


Nach Ende des Krieges wurde 1951 in der Bundesrepublik und West-Berlin der Personalausweis in Form eines Passbuches im sogenannten ID-2-Format (74x105 mm) ausgegeben.


Abbildung 2: Personalausweis als Passbuch


Am 01. April 1987 wurde der kunststofflaminierte und fälschungssichere Personalausweis eingeführt, ebenfalls im ID-2-Format. Erstmals wurde hierfür eine Gebühr i.H.v. 10 DM fällig. Am 01. November 2001 wurde zur Verbesserung der Sicherheit ein holografisches Sicherheitsmerkmal, das sogenannte „Identigram“ auf den Ausweis gebracht. Am 09.Januar 2002 wurde durch eine Gesetzesänderung, die Verwendung biometrischer Daten ermöglicht, als Folge der Anschläge in New York vom 11.September 2001.


Abbildung 3: Alter Personalauweis mit Identigram


Seit dem 01.11.2010 ist jetzt der neue Personalausweis im ID-1-Format d.h. in Scheckkartengröße (85,6x53,9 mm)) mit einem RFID-Chip auf der Vorderseite im Umlauf. Dadurch werden Online-Dienstleistungen und Geschäfte im Internet (E-Commerce) ermöglicht.


Abbildung 4: Neuer Personalausweis



Was ist neu?

Der neue Personalausweis vereint die Sichtfunktionen des herkömmlichen Ausweises mit drei neuen elektronischen Funktionen.

1. Die Biometriefunktion: Sie ermöglicht es bestimmten berechtigten Behörden, etwa der Polizei, das auf dem RFID-Chip des Ausweises gespeicherte Lichtbild des Ausweisinhabers auszulesen. Auf Wunsch des Ausweisinhabers können auch zwei Fingerabdrücke elektronisch gespeichert werden.

2. Der Elektronische Identitätsnachweis, die sogenannte eID-Funktion mit der es möglich sein soll, sich im Internet fortan sicher auszuweisen. Mittels eines speziellen Ausweislesegeräts, das am Computer des Ausweisinhabers angeschlossen sein muss, kann einer 6-stelligen PIN und einer Software der sogenannten "Ausweisapp" kann der Ausweisinhaber z.B. bei Online-Shops, Banken oder auch bei Behörden mit den notwendigen Daten legitimieren.

3. Durch eine qualifizierte elektronische Signatur (QES) im Sinne des § 126a BGB wird es dem Bürger ermöglicht eine virtuelle Unterschrift zu leisten, die der eigenhändigen Unterschrift rechtlich annähernd gleich gestellt ist. Dafür muss der Nutzer ein spezielles Signaturzertifikat erwerben und auf seinen Ausweis laden. Weitere Informationen folgen später in der Präsentation.


Abbildung 5: Neue Funktionen des Personalausweises



Daten auf dem Ausweis

Wie bereits erwähnt bietet der neue Personalausweis, wie auch schon der alte Ausweis, einen Sichtausweis, auf dem einige Daten des Personalausweisinhabers lesbar aufgedruckt sind.

Dazu gehören:

  • Familienname und Geburtsname
  • Vornamen
  • Doktorgrad
  • Tag und Ort der Geburt
  • Lichtbild
  • Unterschrift
  • Körpergröße
  • Augenfarbe
  • Anschrift, bei Anschrift im Ausland die Angabe keine Hauptwohnung in Deutschland
  • Staatsangehörigkeit
  • Seriennummer


Abbildung 6: Daten auf dem Ausweis


Im Vergleich zum alten Ausweis sind zusätzlich zwei neue Angaben auf dem Ausweis sichtbar:

  • Postleitzahl
  • Ordens- oder Künstlername


Außerdem ist auf der Vorderseite eine neue Nummer aufgebracht. Diese 6-stellige Zugangsnummer lässt keine Rückschlüsse auf die Person zu und wird benötigt, wenn die PIN versehentlich zweimal falsch eingegeben wurde .


Der Ausweis hat eine Gültigkeitsdauer von 10 Jahren. Vor Vollendung des 24. Lebensjahres ist er 6 Jahre gültig. Die Gebühr beträgt 28,80 € im Inland. Der alte Ausweis kostete im Vergleich nur 8 €. Die Betantragung ist im Ausland möglich, die Kosten erhöhen sich dann auf 30 €.



Hoheitliche Funktion

Die Funktion als biometriegestütztes Reisedokument entspricht im Wesentlichen der Realisierung im neuen elektronischen Reisepass (ePass).Der nPA ist damit weiterhin als Passersatz innerhalb der Europäischen Union gültig und bietet fast die gleichen Funktionen wie der ePass. Der neue Personalausweis unterscheidet sich vom ePass nur dadurch, dass die Speicherung der Fingerabdrücke des rechten und linken Zeigefingers freiwillig sind, während die Speicherung beim ePass Pflicht ist. Die Erklärung hierzu ist bei der Beantragung schriftlich abzugeben.

Die Daten des Personalausweises sind für öffentliche Stellen nur mit hoheitlichen Berechtigungs-zertifikaten und zusätzlich nach Eingabe der auf dem Personalausweis angezeigten Zugangsnummer auslesbar.

Biometrische Daten dürfen nur öffentliche Stellen ausgelesen werden, wie z.B.

  • Polizeivollzugsbehörden
  • Zollverwaltung
  • Steuerfahndungsstellen der Länder
  • Pass-, Personalausweis- und Meldebehörden

Neu gegenüber den bereits im ePass gespeicherten Daten ist allerdings, dass diese Daten auch von den gemeindlichen Meldebehörden geändert werden können. Dies ist beispielsweise bei einem Wohnortwechsel notwendig. Im neuen Personalausweis ist wie beim Reisepass ein biometriefähiges Passbild zu verwenden. Auf Wunsch können auch wieder Ordens- und Künstlernamen angegeben werden. Neu hingegen ist die Postleitzahl im Anschriftenfeld auf der Rückseite.

Die Passbehörde kann folgende Daten ändern:

  • Ein- und Ausschalten der eID-Funktion
  • Wechsel der Wohnadresse
  • Neusetzen der PIN (sprich der Geheimnummer) für die eID-Funktion



Nicht hoheitliche Funktionen

Der nPA kann im Internet den gleichen Identitätsnachweis liefern, wie es die Funktion als Sichtdokument außerhalb des Internets bietet. Der Ausweisinhaber hat die Möglichkeit, sich gegenüber Dritten (Behörde oder privater Anbieter) eindeutig auszuweisen. Möglich macht dies die sogenannte AusweisApp. Mit dieser Software kann dann im Internet die eID-Funktion genutzt werden.

Rechtliche Grundlagen

Personalausweisgesetz (PAauswG)

Rechtliche Grundlage des neuen Personalausweises sind das Gesetz über Personalausweise und den elektronischen Identitätsnachweis (Personalausweisgesetz; PAuswG),
Paragrafen.jpg
sowie zur Änderung weiterer Vorschriften, die vom 18. Juni 2009 (BGBl. I 1346) erlassen wurden, und die auf dem PAuswG beruhenden Verordnungen. Mit dem PAuswG, das am 1. November 2010 in Kraft getreten ist, erfolgte eine umfassende Reform des Personalausweisrechts.

In der Vergangenheit war das Personalausweisrecht nur unzureichend bundesrechtlich geregelt. Das Personalausweisgesetz gab, entsprechend seinem Charakter als Rahmengesetz, lediglich einen Rahmen mit Regelung wesentlicher Grundsätze vor, der durch die Ländergesetze ausgefüllt wurde. Durch die Reform erfolgte eine bundeseinheitliche Regelung des Personalausweises. Das beinhaltet außerdem Änderungen zum Passgesetz, dem Melderechtsrahmengesetz, der Signaturverordnung sowie dem Geldwäschegesetz und passte diese Normen an den elektronischen Personalausweis an.


Ausweispflicht (§ 1):

Jeder Deutsche ist verpflichtetet ab 16 Jahre einen Ausweis zu besitzen, unter 16 Jahren auf Antrag. Die Gültigkeit beträgt 10 Jahre oder 6 Jahre (unter 24 Jahre).

Elektronischer Identitätsnachweis (§ 18)

(1) Nachweis der Identität gegenüber öffentlichen & nichtöffentlichen Stellen nur unter Berücksichtigung u.a. des §3a Verwaltungsverfahrensgesetzes.

(2) Übermittlung der Daten unter Berücksichtigung des Datenschutzes und -sicherheit zur Gewährleistung der Vertraulichkeit und Unversehrtheit der Daten.


Personalausweisverordnung (PAauswV)

Besondere Bedeutung hat die Verordnung über Personalausweise und den elektronischen Identitätsnachweis (PAuswV) haben. Die PAuswV ist am 01.11.2010 in Kraft getreten. Die Personalausweisverordnung regelt die Einzelheiten des Personalausweises in Bezug auf den elektronischen Identitätsnachweis und die übrigen Komponenten des elektronischen Identitätsnachweises. Dazu gehören z.B. die Regelung des Ausweismusters, der im Ausweis zu speichernden Daten, die Erhebung und Übermittlung der Daten, die Produktion des Personal-ausweises und die Nutzung des elektronischen Identitätsnachweises.

Der Personalausweis ist ein hoheitliches Ausweispapier, das dem Nachweis der Identität oder der persönlichen Merkmale des Ausweisinhabers dient. Seine besondere Stellung erhält er durch die gesetzliche Normierung seines Einsatzes, insbesondere etwa die Ausweispflicht nach § 1 PAuswG. Vorrangiger Zweck des Personalausweises ist die Feststellung der Identität durch die hierzu berechtigte Behörde.

In §18 Elektronischer Identitätsnachweis, Absatz 1 ist geregelt, dass der Personalausweis-inhaber, der mindestens 16 Jahre alt ist, seinen Personalausweis dazu nutzen kann, seine Identität gegenüber öffentlichen und nichtöffentlichen Stellen elektronisch nachzuweisen.

Abweichend von Absatz 1 ist der elektronische Identitätsnachweis ausgeschlossen, wenn die Voraussetzungen des § 3a Abs. 1 des Verwaltungsverfahrensgesetzes, des § 87a Abs. 1 Satz 1 der Abgabenordnung oder des § 36a Abs. 1 des Ersten Buches Sozialgesetzbuch nicht vorliegen.


Im Absatz 2: Der elektronische Identitätsnachweis erfolgt durch Übermittlung von Daten aus dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises. Dabei sind entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten. Im Falle der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden. Die Nutzung des elektronischen dentitätsnachweises durch eine andere Person als den Personalausweisinhaber ist unzulässig.


Verwaltungsverfahrensgesetz (VwVfg)

Das Gesetz ist am 01.01.1977 in Kraft getreten und wurde durch den Art. 3a am 14. August 2009 ergänzt. Hiermit wurde die Grundlage für die qualifizierte elektronische Signatur geschaffen.

§ 3a Elektronische Kommunikation (1) Die Übermittlung elektronischer Dokumente ist zulässig, soweit der Empfänger hierfür einen Zugang eröffnet (2) Eine durch Rechtsvorschrift angeordnete Schriftform kann, soweit nicht durch Rechtsvorschrift etwas anderes bestimmt ist, durch die elektronische Form ersetzt werden. In diesem Fall ist das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz zu versehen. Die Signierung mit einem Pseudonym, das die Identifizierung der Person des Signaturschlüsselinhabers nicht ermöglicht, ist nicht zulässig. (3) Ist ein der Behörde übermitteltes elektronisches Dokument für sie zur Bearbeitung nicht geeignet, teilt sie dies dem Absender unter Angabe der für sie geltenden technischen Rahmenbedingungen unverzüglich mit. Macht ein Empfänger geltend, er könne das von der Behörde übermittelte elektronische Dokument nicht bearbeiten, hat sie es ihm erneut in einem geeigneten elektronischen Format oder als Schriftstück zu übermitteln.


Technische Richtlinien

Die technischen Richtlinien des BSI (BSI-TR) garantieren die Einhaltung von angemessenen IT-Sicherheitsstandards. Technische Richtlinien richten sich daher in der Regel an alle, die mit dem Aufbau oder der Absicherung von IT-Systemen zu tun haben. Sie ergänzen die technischen Prüfvorschriften des BSI und liefern Kriterien und Methoden für Konformitätsprüfungen sowohl der Interoperabilität von IT-Sicherheitskomponenten als auch der umgesetzten IT-Sicherheits-anforderungen. Dabei werden bestehende Standards z. B. die sogenannten Protection Profiles nach Common Criteria ergänzt bzw. darauf referenziert. Technische Richtlinien haben einen Empfehlungscharakter. Ihre Verbindlichkeit entsteht erst durch individuelle Vorgabe des Bedarfsträgers.

Sicherheitsaspekte

Technische Grundlagen (Thomas)

Der nPA (elektronische ID Card) hat nun Scheckkartenformat. Zusätzlich enthält er einen kontaktlosen integrierten Chip zur Speicherung persönlicher und biometrischer Daten (RFID). Der nPA gilt auch als besonders fälschungssicher und besitzt 23 Sicherheitsmerkmale, die auf dem folgenden Bild zu sehen sind. Auf die einzelnen Sicherheitsmerkmale soll an dieser Stelle nicht weiter eingangangen werden, da der Schwerpunkt auf die eID Funktion und die Signaturmöglichkeiten gelegt werden soll. Beispielhaft seien hier die Nummern 10: Maschinell prüfbare Struktur und 11: Farbintegrationstechnik erwähnt. Weitere Informationen bei der Bundesdruckerei.

Abbildung 7: Neuer Personalausweis mit Vorder- und Rückseite
Die Speicherung von Fingerabdrücken (zwei Stück) ist optional und kann mehr Identitätsschutz durch Biometrie bieten.
  • Nr. 10: Maschinell prüfbare Struktur

Das Identigramm ® enthält eine Struktur, die neben der Sichtkontrolle auch eine maschinelle Echtheitsprüfung des Ausweises ermöglicht. Diese Struktur beinhaltet keine personenbezogenen oder dokumentspezifischen Daten.

  • Nr. 11: Farbintegrationstechnik (Innosec ® Fusion)

Das Lichtbild wird über das Personalisierungssystem Innosec ® Fusion farbig dargestellt und sicher in das Material der Karte integriert. Mit der gleichen Technik wird die alphanumerische Seriennummer eingebracht.


Weitere Anmerkungen zu „RFID“

Die Abkürzung RFID steht für
RFID Chip.png
radio-frequency identication und das RFID Modul besteht aus Antenne und Steuereinheit. Hierbei handelt es sich um einen passiven RFID Transponder der im Gegensatz zu einem aktiven Transponder keine eigene Energiequelle besitzt und aus den Funksignalen des Abfragegerätes mit Energei versorgt wird. Die Reichweite beträgt typischer Weise nur wenige Zentimeter. Persönliche Daten können mit jedem geeigneten Lesegerät mit entsprechenden Berechtigungszertifikat ausgelesen werden. Vor dem Auslesen muss der Ausweisinhaber eine 6-stellinge PIN eingeben. Ausnahme: keine PIN bei hoheitlichen Abfragen (Polizei, etc.) durch entsprechende Lesegeräte.


Berechtigungszertifikate

Abbildung XX: Antrag eines Berechtigungszertifikats
  • Das BVA übernimmt die Aufgabe der Registrierungsstelle
  • Das BVA entscheidet über die Erteilung und Aufhebung
  • Die technische Bereitstellung der Berechtigungszertifikate übernimmt ein Zertifikateanbieter (BerCA)
  • BerCA ist akkreditiert nach Signaturgesetz und Signaturverordnung
  • Aktuelle Anbieter:
  • D-Trust GmbH (Bundesdruckerei)
  • Signtrust (Deutsche Post)
  • T-Systems (Deutsche Telekom AG)


  • Aktuelle Liste:Die PDF-Datei wird jede Nacht um 3:00:01 Uhr (4:00:01 Uhr / Sommerzeit) neu erstellt, unabhängig davon ob es Änderungen gab oder nicht, d.h., dass Erstellungsdatum gibt keine Auskunft über den Stand der Datenerhebung
  • Fundstelle: http://gsb.download.bva.bund.de/VfB/npavfb.pdf
  • Kontakt:

Bundesverwaltungsamt (BVA)Vergabestelle für BerechtigungszertifikateTelefon: 0 22 8 99/3 58-33 00 E-Mail: npa@bva.bund.de Homepage: http://www.bva.bund.de/vfb


Technische Infrastruktur

  • Sichere Infrastruktur über PKI (Public Key Infrastructure)
  • Root-CA liegt beim BSI
  • Mögliche eID-Server für Diensteanbieter (mit Berechtigungs-zertifikat)
  • Eigene Entwicklung (TRs des BSI beachten)
  • Nutzung eines eID-Servers
  • Nutzung eins eID-Services
  • Listen mit eID Servern und eID Services beim Kompetenzcenter nPA:

http://www.ccepa.de/eid-server-anbieter http://www.ccepa.de/eid-service-anbieter


Welches Risiko besteht bei der Benutzung der eID?

Titel (Auszug)

  • Über 500 Zertifikate: Ausmaß des CA-Hacks schlimmer als erwartet
  • Niederländische Regierung übernimmt Kontrolle über DigiNotar
  • DigiNotar-Hack: Kritische Infrastruktur war unzureichend geschützt
  • Aufsichtsbehörde untersagt DigiNotar das Ausstellen qualifizierte Zertifikate
  • DigiNotar wird liquidiert
  • EU-Behörde für IT-Sicherheit kritisiert Zertifizierungsstellen

(Enisa: Securing Europe's Information Society)


Abbildung XX: Datenstrukturen auf einem Chip


Die eID-Funktion des nPA

Funktionsweise der eID im Online-Verfahren

  • Muss im nPA freigeschaltet werden (Optional)
  • Gibt im Internet Antwort auf die Frage „wer bin ich“
  • Weiter Online Ausweisfunktion (neben der QES)
  • Alters und Wohnortbestätigung
  • Pseudonymer Zugang (s.U.)
  • Technische Richtlinie des BSI
  • BSI TR-03130 eID-Server
  • Fundstelle (ca. 21 TR mit ca. 55 Dokumenten)

https://www.bsi.bund.de/DE/Themen/ElektronischeAusweise/TRundSchutzprofile/trundschutzprofile_node.html


Abbildung XX: Funktionsweise ID-Verfahren


So könnte eine Online-Transaktion mit dem nPA aussehen

  • Ein Internetbenutzer besucht eine Webseite und soll sich ausweisen
  • Der Internetbenutzer (Ausweisinhaber) legt seinen Ausweis auf den Kartenleser
  • Der Dienstanbieter schickt sein Berechtigungszertifikat zur AusweisApp auf den PC des Internetbenutzers
  • Der Internetnutzer sieht:
  • Auslesezweck
  • Kontaktdaten des Zertifikatsinhabers
  • Kontaktdaten der zuständigen Datenschutzbehörde

Ein Internetbenutzer kann über die AusweisApp bestimmte Datenfelder ankreuzen:

  • Anrede
  • Name
  • Adresse
  • Der Internetnutzer kann auch gezielt Daten „abwählen“
  • Zur endgültigen Datenfreigabe ist die Eingabe der 6-stelligen PIN erforderlich
  • Eingabe über Tatstatur am PC (gilt als unsicher) oder
  • Direkte Eingabe über das Tastenfeld des Komfortlesers
  • Danach wird der Kommunikationskanal aufgebaut

Ad hoc-Zertifikat (auch Kurzzertifikat genannt) für den nPA

Unter Ad Hoc-Zertifikaten, werden Zertifikate verstanden die innerhalb weniger Minuten für das virtuellen Unterschreiben zur Verfügung zu stellen, dem Nutzer zur Verfügung stehen. Die Bundesdruckerei, das Land Hessen und SAP habe die technische Realisierung des Nachladeprozesses auf den neuen Personalausweis (nPA) erprobt und auf der CeBIT 2011 vorgeführt. Im Rahmen einer Gewerbeanmeldung ist es möglich, innerhalb des Antragsprozesses ein entsprechendes Zertifikat für die elektronische Signatur auf den neuen Personalausweis (nPA) zu laden und dann mit diesem umgehend online zu unterschreiben.

Für die Anwender bringen diese Ad Hoc-Zertifikate den Vorteil das entsprechende Zertifikat umgehend nutzen zu können (ohne Zeitverlust), weiterhin wird der Aufwand ein Zertifikat zu erwerben deutlich minimiert und für Nutzer wie Dienstanbieter wird ein Medienbruch freier Status erreicht Aktuell werten die Projektpartner die positiven Erfahrungen und konkretisieren aktuell die Pläne für die Überführung in den Echtbetrieb Weiter Informationen sind in einer Präsentation mit dem Titel "Die schnelle elektronische Signatur mit Ad Hoc-Zertifikaten" von Enrico Entschew zu finden, welche am 23. September 2011 gehalten wurde Fundstelle: http://www.teletrust.de/uploadsmedia/


Ein Pseudonym verwenden

TMG: §13 (6) Pflichten des Diensteanbieters: „Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.“ Datensparsamkeit: Wenn z.B. nur eine Altersverifizierung nötig ist, sollen zusätzlich keine anderen (für den Zweck unnötigen) Daten erhoben werden Der neue Personalausweis verbindet die Pseudo-Anonymität mit meinen gesicherten Identitäten Wie genau geht die Pseudo-Anonymität beim nPA?

Der nPA bietet die Möglichkeit sich mit einem Pseudonym bei einem Onlinedienst anzumelden Der nPA stellt dabei sicher, das der Inhaber jederzeit vom Dienst wiedererkannt wird, ohne dass der Dienstanbieter jemals die Identität des Inhabers den nPA erfährt Dazu wird eine lange Zeichenfolge erzeugt, in deren Berechnung der geheime Schlüssel des nPA und der öffentliche Schlüssel des Dienstanbieters einfließen Jeder Dienstanbieter erhält vom gleichen Ausweisinhaber ein anderes Pseudonym, somit wird ein Abgleich unmöglich


Problem Sperrlisten Auch die Sperrliste soll keine Rückschlüsse auf den Inhaber des Pseudonyms zulassen Wird der nPA gesperrt, soll auch das Pseudonym ungültig werden Lösung: nPA erzeugt zusätzlich zum eigentlichen Pseudonym noch eine Sperrkennung In die Berechnung der Sperrkennung fließt das Zertifikat des Dienstanbieters ein Der öffentliche Teil der Sperrkennung wird beim Sperrdienst hinterlegt Der Sperrdienst führt eine globale Liste mit den Sperrkennungen ungültiger nPA Die Berechtigungs-CA errechnet daraus und mit den Zertifikaten der Dienstanbieter sog. dienstspezifische Sperrlisten ohne Personenbezug


Die verschiedenen Klassen von Kartenlesern

Basis keine eigene Tastatur und kein Display BSI Siegel Sicherheitsklasse 1 Standard mit Tastatur und Display bei der Nutzung der eID Funktion werden vor dem Datenzugriff die Berechtigungen und Berechtigten im Display an BSI Siegel Sicherheitsklasse 3 Comfort Wie Standard, jedoch mit der Möglichkeit der QES Sicherheitsklasse 4 mit integriertem Sicherheitsmodul


Abbildung XX: Kartenleser


Die verschiedenen Sicherheitsklassen

ZKA (seit August 2011: DK – Deutsche Kreditwirtschaft) ZKA ist die Abkürzung für Zentraler Kreditausschuss. Es ist ein Gremium der deutschen Banken, das u.a. Normen für den Datenaustausch beim Homebanking definiert hat. Die Sicherheitsklassen Die Sicherheitsklassen des ZKA geben bei Chipkartenlesern an, welchen Grad der Sicherheit die Geräte bei der Datenübertragung bieten.


  • Klasse 1

Keine eigene Tastatur, Daten bei der Eingabe des Benutzers auf dem Weg zur Chipkarte über den PC ausgespäht werden Keylogger-Angriff möglich

  • Klasse 2

Eigene Tastatur, Daten gehen nicht über den PC zur Chipkarte

  • Klasse 3

Wie Klasse 2, jedoch zwingend mit Display Einfache Kontrolle durch den Anwender möglich

  • Klasse 4

Wie Klasse 3, jedoch zusätzlich mit Sicherheitsmodul RSA (asym. Verschlüsselung) Kartenleser kann durch eigene Signatur als Klasse 4 vom Partner identifiziert werden


IT-Investprogramm der Bundesregierung

Aus dem Konjunkturpaket II wurden bis zu 24 Mio. € bereitgestellt Ziel: die Privathaushalte mit Lesegeräten zu versorgen Die Sicherheit im Umgang mit dem nPA zu verbessern Ausgabe von ca. 1,5 Mio IT-Sicherheitskits mit Förderung soll Ende 2011 auslaufen Basislesegeräte kostenlos (z.B. über die KKH) Subventionierte Lesegeräte z.B. bei Amazon


Die AusweisApp

Fundstelle: https://www.ausweisapp.de Hier gibt es eine Liste mit den verschiedenen Lesegeräten mit Bewertung Hier kann auch die AusweisApp geladen werden Hier werden die wichtigsten Fragen beantwortet Die AusweisApp unterstützt die nachfolgend genannten Betriebssysteme: Windows XP, Vista 7 mit 32Bit / 64Bit Ubuntu 10.04 /10.10 / 11.04 mit 32Bit Debian 5.0 / 6.0 mit 32Bit OpenSUSE 11.3 / 11.4 / 12.1 mit 32Bit Mac OS 10.6 und 10.7 sollen noch dieses Jahr erscheinen

Die App stellt eine verschlüsselte Verbindung zwischen dem nPA (über den Ausweisleser) und der Gegenseite (eID-Server) her Im Hintergrund werden von der App Zertifikats- und Authentizitäts-prüfungen vorgenommen Bietet dem Bürger an seinem PC eine Oberfläche zur Nutzung des nPA Der Bürger kann im Internet

sich ausweisen
elektronisch unterschreiben

Wurde im Auftrag des BMI von Siemens IT-Solutions entwickelt Zusammen mit der Bundesdruckerei und Open Limit SignCubes AG

Risiko in Zusammenhang mit der eID

Aus Sicht des Dienstanbieters: Der Dienstanbieter kann sicher sein, dass der echte nPA mit der darauf angegebenen Person im Leser steckt. Er kann sich aber nicht sicher sein, ob die Person davon wusste! Der Anbieter kann nicht feststellen, welcher Klasse von Leser benutzt wurde Aus Sicht der Anwender: Kein rechtliches Haftungsrisiko, falls sein nPA durch Schadsoftware auf dem PC missbraucht wurde. Die Authentisierung per eID bedeutet keine Willenserklärung!


Signaturarten

In der Bundesrepublik Deutschland ist die Verwendung der digitalen Signatur klar geregelt und der eigenhändigen Unterschrift auf dem Papier fast gleichgestellt.

Es werden folgende Arten unterschieden:

  • einfache
  • fortgeschrittene
  • qualifizierte
  • qualifizierten elektronischen Signatur mit Anbieter-Akkreditierung


Abbildung 8: Signaturarten

Bei den letzten genannten Signaturen ist immer eine natürliche Person der Inhaber einer Signatur.


Einfache Signatur

Bei der einfachen Signatur können Veränderungen an einem unterschriebenen Dokument erkannt werden, jedoch nicht die zweifelsfreie Identität des Unterzeichnenden. Hiermit sind Daten in elektronischer Form gemeint, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen.

Der Signaturschlüsselinhaber muss keine natürliche Person sein und das Sicherheitsniveau ist gering . Die Identität des Zertifikatsinhabers wird nur mit rudimentären Mitteln wie z.B. mit Hilfe der E-Mail Adresse, einem eingescanntes Bild der eigenen Unterschrift oder auch einemOrganisationssiegel geprüft.


Fortgeschrittene elektronische Signatur

Die fortgeschrittene Signatur ist ausschließlich dem Unterzeichner zugeordnet. Veränderungen an einem unterschriebenen Dokument können jedoch auch hier erkannt werden, jedoch nicht die zweifelsfreie Identität des Unterzeichnenden. Das Sicherheitsniveau ist mittel und die Identität des Unterzeichners wird z.B. anhand von Ausweiskopien, einem Softwarezertifikat oder einer Chipkarte festgestellt und ist nicht 100% gegeben.


Qualifizierte elektronische Signatur

Die qualifizierte elektronische Signatur ist das Pendant zur herkömmlichen Unterschrift in der elektronischen Welt. Sie ermöglicht die langfristige Überprüfbarkeit der Urheberschaft einer Erklärung im elektronischen Datenverkehr, wie etwa einer E-Mail oder eines anderen Dokuments. Die Signatur beruht auf einem Zeitpunkt der Signaturerzeugung gültigen qualifizierten Zertifikat. Durch das qualifizierte Zertifikat, das von einem vertrauenswürdigen Zertifizierungsdiensteanbieter (ZDA) signiert wird. Der Zertifizierungsdiensteanbieter garantiert, dass die Angaben im qualifizierten Zertifikat und die Auskünfte seiner Verzeichnis- und Zeitstempeldienste korrekt sind und er die Anforderungen gemäß Signaturgesetz und Signaturverordnung erfüllt. Dazu gehört, dass der ZDA die sensiblen Zertifizierungsdienste in einer besonders geschützten Umgebung betreibt (Trust Center). Außerdem klärt der ZDA den Anwender über seine Sorgfaltspflichten im Umgang mit der Signatur auf. Zertifizierungsdiensteanbieter unterliegen der Aufsicht durch die Bundesnetzagentur (BNetzA) und müssen dort im Rahmen ihrer Betriebsaufnahme und Betriebsanzeige Nachweise, Belege und Erklärungen einschließlich eines Sicherheitskonzepts einreichen, die die Erfüllung der gesetzlichen Anforderungen gemäß Signaturgesetz und Signaturverordnung dokumentieren.?

Sollten Zweifel an der Sicherheit einer qualifizierten elektronischen Signatur auftreten, kann eine Überprüfung anhand des bei der BNetzA hinterlegten Sicherheitskonzeptes Klarheit verschaffen. Zertifizierungsdiensteanbieter können eine solche Prüfung auch schon vor der Aufnahme des Betriebes, also insbesondere unabhängig von einem konkreten Streitfall, durchführen und sich dadurch akkreditieren lassen. Hierzu besteht die Möglichkeit ein sogenanntes Gütezeichen bei der Bundesnetzagentur zu erwerben. Beim Einsatz einer qualifizierten elektronischen Signatur mit Anbieterakkreditierung besteht deshalb für die Anwender ein hohes Maß an Rechtssicherheit. Die aktuelle Liste der bestätigten Produkte für die Ausführung der qualifizierten Signatur und der Zertifizierungsdiensteanbieter mit Betriebsanzeige bzw. mit Anbieterakkreditierung kann auf derWebseite der BNetzA [2] eingesehen werden. Die Anforderungen an die verschiedenen Arten von Signaturen und an die Zertifizierungsdiensteanbieter sowie deren Anbieterakkreditierung sind im Signaturgesetz und in der Signaturverordnung geregelt. Qualifizierte elektronische Signaturen sind wegen ihres hohen Sicherheitsniveaus in der Regel der handschriftlichen Unterschrift gleichgestellt und können grundsätzlich im Rechtsverkehr ebenso wie diese eingesetzt werden.



Gütezeichen

Die Bundesnetzagentur bietet diesen Anbietern die Möglichkeit, das angesprochene Gütezeichen zu erwerben, um sich als "akkreditierter Zertifizierungsdiensteanbieter" bezeichnen zu können. Das Gütezeichen belegt, dass ein solcher Anbieter regelmäßig Nachweise zur umfassend geprüften technischen und administrativen Sicherheit für seine angebotenen Zertifizierungsdienste erbringt. Es werden ausschließlich an akkreditierte Zertifizierungsdiensteanbieter gem. § 15 (Abs. 1 Satz 3) Signaturgesetz Gütezeichen vergeben. Hiermit dürfen sich die ZDAs im Rechts- und Geschäftsverkehr auf die nachgewiesene Sicherheit berufen. Es ist möglich, dass sowohl qualifizierte Zertifikate bzw. Zeitstempel ausgestellt werden, für die eine Akkreditierung der Bundesnetzagentur gilt, als auch solche, die aus einem nicht akkreditierten Tätigkeitsbereich der gleichen juristischen Person stammen. Daher ist bei Bedarf zu prüfen, ob die angebotenen qualifizierten Zertifikate bzw. Zeitstempel aus dem nachgewiesen sicheren akkreditierten Bereich stammen.


Abbildung 9: Gütezeichen



Funktionsweise QES

Der erste Schlüssel wird als privater Schlüssel zur Signaturerzeugung verwendet und vom Signaturersteller geheim gehalten, so dass damit kein Unbefugter Signaturen erstellen kann. Der 2. Schlüssel wird als öffentlicher Schlüssel allen Kommunikations-partnern zur Verfügung gestellt und dient der Überprüfung der Signatur. Das kryptographische Verfahren stellt sicher, dass eine Signatur, die sich mit dem öffentlichen Schlüssel prüfen lässt, nur mit dem zugehörigen privaten Schlüssel erstellt worden sein kann und deshalb den Inhaber dieses Schlüssel identifiziert.

Die Veröffentlichung der öffentlichen Schlüssel aller Kommunikationspartner sowie die Zuordnung dieser Schlüssel zur entsprechenden Person übernimmt der Zertifizierungsdiensteanbieter. Dazu erhebt er die erforderlichen Daten und prüft die Identität des Schlüsselinhabers. Diese Daten werden dann in einem qualifizierten Zertifikat mit dem öffentlichen Schlüssel verbunden. Das elektronische Zertifikat hat eine feste Gültigkeitsdauer und kann vom Schlüsselinhaber gesperrt werden, wenn z. B. die sichere Verwahrung des zugehörigen privaten Schlüssels nicht mehr gegeben ist. Gesperrte Zertifikate werden im Verzeichnisdienst des Zertifizierungsdiensteanbieters gekennzeichnet.

Abbildung 10: Signatursystem



Sicherheit QES

Qualifizierte elektronische Signaturen erfüllen eine Reihe von besonderen Sicherheits-anforderungen, die eine Fälschung solcher Signaturen mit den verfügbaren technischen Mitteln ausschließen.
 Dies betrifft zunächst die eingesetzten kryptographischen Verfahren, deren Sicherheit laufend vom Bundesamt für Sicherheit in der Informationstechnik bewertet wird. Für qualifizierte elektronische Signaturen dürfen nur solche Verfahren eingesetzt werden, die eine Manipulation oder Fälschung von Signaturen nach dem Stand der Technik ausschließen.
Ein weiteres wesentliches Sicherheitskriterium ist der Schutz des privaten Schlüssels. Damit dieser Schlüssel nicht in die Hände Dritter geraten kann, wird er bei qualifizierten elektronischen Signaturen in einer so genannten sicheren Signaturerstellungseinheit (§ 2 Nr. 10 SigG) – z. B. einer besonders gesicherten Chipkarte – gespeichert, wo auch die Signaturerzeugung erfolgt.

Der Chipkartenhersteller muss dabei in einem Prüf- und Bestätigungsverfahren nachweisen, dass ein Auslesen des Schlüssels aus der Chipkarte nicht möglich ist und dass der Signaturalgorithmus auf der Chipkarte sicher implementiert ist. Auch für die Schlüssel-erzeugung gelten entsprechende Auflagen an die dabei eingesetzten technischen Komponenten, damit keine Kopien des privaten Schlüssels angefertigt werden können. Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausgeben, müssen weitere hohe Sicherheitsanforderungen erfüllen, z. B. bei der persönlichen Identifizierung der Signaturschlüsselinhaber, durch den Einsatz zuverlässigen und geschulten Personals und durch die Sicherstellung der Erreichbarkeit ihres Verzeichnisdienstes. Beim Verlust der Karte oder bei anderen Sicherheitsvorfällen kann der Signaturanwender sein Zertifikat jederzeit – also rund um die Uhr – über eine Hotline sperren lassen. In einer gesetzlich vorgeschriebenen Unterrichtung werden die Signaturanwender über den richtigen Umgang mit der Chipkarte informiert.
Alle Sicherheitsmaßnahmen des Zertifizierungsdiensteanbieters müssen in einem Sicherheitskonzept dokumentiert und bewertet werden. Weil die Zertifizierungsdiensteanbieter bei qualifizierten Zertifikaten der Aufsicht durch die Bundesnetzagentur unterliegen, müssen sie ihr Sicherheitskonzept dort hinterlegen.

Bei der freiwilligen Akkreditierung erfolgt außerdem eine unabhängige Prüfung des Sicherheitskonzeptes.
Die Aufbewahrungsfristen für die Antragsunterlagen, die elektronischen Daten und die Zertifikate liegen für angezeigte ZDA bei fünf und für akkreditierte ZDA bei 30 Jahren. Hierdurch wird die Nachprüfbarkeit elektronisch signierter Dokumente innerhalb üblicher Aufbewahrungsfristen sichergestellt. Durch die Nachsignatur von archivierten Dokumenten und Signaturen kann die Beweiskraft von qualifizierten elektronischen Signaturen auch längerfristig erhalten werden.

Abbildung 11: Sichere Signaturerstellungseinheit



Unterschiede „Qualifizierte elektronische Signatur“ zu „eID-Funktion“

Neben der eID-Funktion (Online-Ausweisfunktion) mit deren Hilfe sich Ausweisinhaber bei einem Diensteanbieter authentifizieren können, bietet der nPA die Möglichkeit eine eigenhändige Unterschrift zu generieren, die eine dauerhafte „Zurechenbarkeit“ der unterzeichnenden Parteien ermöglicht.

Die Nutzung der Unterschriftfunktion des neuen Personalausweises kann in dem Satz: „Das unterschreibe ich“ zusammengefasst werden. Bei bestimmten Geschäften bzw. im Rahmen bestimmter Verwaltungsverfahren wird die Schriftform durch gesetzliche oder anderweitige Vorschiften vorgegeben. Diese Schriftform kann mit Hilfe einer qualifizierten elektronischen Signatur (QES) realisiert werden. Durch eine qualifizierte elektronische Signatur (QES) wird ein dauerhaft eindeutig zurechenbarer Beweis über die Abgabe einer Willenserklärung oder einer Handlung hinterlegt. Mit Hilfe des neuen Personalausweises (nPA) ist es möglich, eine solche qualifizierte elektronische Signatur (QES) zu generieren, um mit dieser dann digitale Dokumente wie z. B. PDF-Dateien eindeutig digital „zu unterschreiben“ bzw. zu signieren. Um mit dem neuen Personalausweis (nPA) eine qualifizierte elektronische Signatur (QES) zu erzeugen und mit dieser dann „digital zu unterschreiben“ ist ein Signaturzertifikat (qualifiziertes elektronisches Zertifikat) nötig. Solch ein Signaturzertifikat muss auf den neuen Personalausweis (nPA) von entsprechenden Anbietern (sogenannten Trustcentern wie z. B. der D-TRUST) kostenpflichtig erworben werden. Der neue Personalausweis (nPA) ist nach dem deutschen Signaturgesetz als sichere Signaturerstellungseinheit ausgelegt, damit jeder Personalausweisinhaber je nach individuellem Bedarf ein Signaturzertifikat auf den Chip des neuen Personalausweises (nPA) nachladen kann. Der neue Personalausweis (nPA) bietet also eine Art „Platzhalter“ für ein Signaturzertifikat, um mit diesem eine qualifizierte elektronische Signatur (QES) zu erzeugen und damit die Unterschriftfunktion des neuen Personalausweises (nPA) einsetzen zu können.

Wichtig: Um die Unterschriftfunktion des neuen Personalausweises (nPA) einsetzen zu können, muss die eID-Funktion zuvor aktiviert sein. Ohne aktivierter eID-Funktion (Online-Ausweisfunktion) - keine Unterschriftfunktion.

Elektronischer Identitätsnachweis QES - Qualifizierte elektronische Signatur
Logik "Das bin ich"
"Das habe ich unterschrieben"
Anbieter Staat
Zertifizierungsdiensteanbieter
Aktivierung Personalausbehörde
Zertifizierungsdiensteanbieter
Anzeige Identität des Diensteanbieters und angeforderte Daten
Zu unterzeichnendes Dokument
Zugriffsschutz eID-PIN
Signatur-PIN
Zweck Sicherer Identitätsnachweis
Rechtsverbindliche elektronische Unterschrift
Tabelle 1: Gegenüberstellung eID zu QES



Sicherheitsaspekte und Zugriffsberechtigungs-Zertifikate mit selbsterstellten Anwendungen in Zusammenhang mit der „eID-Funktion“ (Thomas)

Auslesen der Daten aus dem nPA

Auslesen von Datengruppen und Nutzung der Spezialfunktionen nur bei definierten Sicherheitszustand in der AusweisApp möglich Sicherheitszustand:

PIN

Durchführung der Sicherheitsprotokolle (z.B. PACE s.u.) Terminal- und Chip-Authentisierung Gültiger (errechneter, einmaliger) Sitzungsschlüssel Sicherheitszustand und Sitzungsschlüssel verlieren nach Herunternehmen des nPA sofort die Gültigkeit Bei jeder Nutzung des nPA muss die PIN erneut eingegeben werden

Sicherheit der Ausweis-App

Software-Komponente, die vom BMI kostenlos zur Verfügung gestellt wird Sie stellt die sichere Kommunikation zwischen Kartenlese-gerät, Ausweischip und einem entfernten eID-Server her Middelware gem. eCard-API-Framework, s.u. Die Offenlegung des Quelcodes der AusweisApp ist geplant


Vertraulichkeit, Fälschungssicherheit und Authentizität der Daten

Werden durch technische Protokolle erreicht PACE = Password Authenticated Connection Establishment EAC = Extended Access Control, bestehend aus Terminal- und Chipauthentisierung Werden durch technische Verfahren erreicht Sichere Verschlüsselungsverfahren Auf die technischen Protokolle und Verfahren wird an dieser Stelle nicht weiter eingegangen


Das eCard-API-Framework

BSI TR-03112 Gemeinsame eCard Strategie der Bundesregierung vom 09.03.2005 Zielrichtung auf verschiedene eCards (d.h. deren Anwendungen): elektronische Gesundheitskarte (eGK) elektronischer Personalausweis (ePA) elektronischer Reisepass (ePass) elektronische Steuererklärung (ELSTER) elektronischer Einkommensnachweis (ELENA) zukünftig auch weitere......

Ziel: Das Bereitstellen einer einfachen und homogenen Schnittstelle, um in den verschiedenen Anwendungen eine einheitliche Nutzung der unterschiedlichen Chipkarten zu ermöglichen Das eCard-API-Framework umfasst eine Reihe von einfachen und plattformunabhängigen Schnittstellen Die Kommunikation zwischen den jeweiligen Anwendung soll vereinheitlicht werden

_________API = „Application program(ming) interface“ - Schnittstelle für Programme


Abbildung XX: Das eCard-API-FRamework


Gute Fundstelle Kompetenzzentrum Sichere Identitätbeim Fraunhofer FOKUS http://cc-identitaet.de … erforscht, entwickelt und demonstriert sicheres Identitätsmanagement für Wirtschaft und Verwaltung ...

Einsatzmöglichkeiten des nPA in Deutschland

Grundsätzliche Überlegungen

Elektronische Netze und Kommunikationswege ermöglichen es, Informationen über weite Strecken in kurzer Zeit auszutauschen. Dies umfasst auch rechtlich relevante Dokumente, wie z. B. Angebote, Bestellungen oder Rechnungen im E-Commerce oder Anträge und Bescheide im E-Government.

E-Commerce: Bei der Anmeldung an Websites kann innerhalb bestehender Geschäftsbeziehungen bei der Kommunikation per Internet zur Authentisierung eingesetzt werden, insbesondere bei der Anmeldung (Log-In) zu Diensten, die über das Internet angeboten werden.


Beispiele:

Abbildung 12: Home-Banking


Eine Erstauthentisierung zur Begründung einer Geschäftsbeziehung ist möglich. Hiermit sind Online-Shops oder Dienstleistungen wie Online-Banking gemeint.

Anmeldung an Automaten (Infoterminals) Zutrittskontrollen bei z.B. Check-In in Hotels etc., Veranstaltungsräume Auch außerhalb des Internets kann der Identitätsnachweis zur Authentisierung eingesetzt werden. Als Beispiel können hier Waren- und Dienstleistungsautomaten, wie z.B.auch in Videotheken genutzt werden.


Abbildung 13: Infoterminal/Automat


Abbildung 14: Online-Registierung


E-Government: Dem elektronischen Identitätsnachweis wird bei der elektronischen Kommunikation zwischen Staat und Bürger eine hohe Bedeutung beigemessen. Dem Bürger soll eine rechtssichere und leicht bedienbare Möglichkeit eröffnet werden, mit dem Staat über elektronische Medien zu kommunizieren.


Abbildung 15: Online-Behördengänge

Praktische Umsetzungen an Beispielen (Thomas)

citeq – Münster E-Government mit dem nPA: „Münster stellt erstes Verfahren zur elektronischen Beantragung von Führungszeugnissen online!“ am 17.10.2011

Fundstelle: http://www.citeq.de


Citeq.png

Legende

  • leer = unausgefüllte Felder
    grün = Daten aus eID
    rot = Daten aus dem Fachverfahren
    gelb = Ausfülldialog
    blau = von Antragsteller ausgefüllt
    DOI = Deutschland Online Infrastructure

Priorisiertes Vorhaben der deutschen Verwaltung zum Datenaustausch im Rahmen der E-Government Initiative „Deutschland Online“


Beantragung eines Führungszeugnisses Vorher: Beantragung schriftlich oder persönlich im Amt Heute: Online über das Internet

Einsatz der eID des nPA
Erarbeitung eines Online Formulars
Vorteile: 	verkürzte Bearbeitungszeiten

kein Medienbruch, dadurch eine Fehlerquelle weniger

Einsatzmöglichkeiten des nPA außerhalb Deutschlands

Estland

In Estland gibt es den Personalausweis seit Anfang 2002. Davor musste man auch zum Ausweisen im Inland den Reisepass benutzen. Beim Personalausweis handelt es sich um eine Chipkarte, die auch noch für andere Zwecke einsetzbar ist. So kann man damit beispielsweise (wenn man am PC einen Kartenleser hat) rechtskräftige Verträge mit digitaler Signatur unterschreiben. Der Personalausweis gilt ebenso als Nachweis der Krankenversicherung. Des Weiteren kann man den Chip auch teilweise in öffentlichen Verkehrsmitteln als eine Art Fahrkarte benutzen. Die Fahrkarte wird durch das Bezahlen des fälligen Betrages und das Mitteilen der Personenidentifikationsnummer (nicht zu verwechseln mit der Ausweisnummer) erworben. Für estnische Staatsbürger berechtigt der Personalausweis zu Reisen in die übrigen EU-Länder, Norwegen, Island, Liechtenstein, die Schweiz und nach den Mitteilungen der kroatischen Botschaft auch nach Kroatien, für alle anderen Länder ist der Reisepass mitzunehmen. Für Personen unter 18 Jahren wird der Ausweis für fünf Jahre ausgestellt und ab 18 Jahren für zehn Jahre. Ausländern wird als Nachweis für das Vorhandensein der Aufenthalts- bzw. Arbeitsgenehmigung statt eines Passaufklebers der Ausweis ausgehändigt.


Abbildung 16: Ausweis Estland

Vereinigte Staaten

In den Vereinigten Staaten existiert kein Personalausweis im eigentlichen Sinne. Der Führerschein dient als Ersatz (ID-Card). Die Identifikation erfolgt durch die Social Security Card bzw. durch die Sozialversicherungsnummer. Es ist keine Identifikation anhand eines Fotos oder ähnliches möglich. Das Ganze geschieht auf Vertrauensbasis. Seit 2008 existiert neben dem Reisepass auch eine Passport Card.


Abbildung 17: Social Security Card



EUROPA - Projekt STORK (Thomas)

STORK (Secure idenTity acrOss boRders linked) europäisches Wettbewerbs- und Innovations-Framework Ziel ist ein europaweites interoperables System zur Nutzung der eID Zusammenspiel der nationalen elektronischen Identitäten in jedem Mitgliedsstaat nutzen

Fundstelle

http://www.eid-stork.eu�

Cross-border Authentication Platform for Electronic Services Ein Demonstrator, der grenzüberschreitende Dienste darstellt Teilnehmer: Belgien, Deutschland, Öesterreich, Portugal und Estland� Safer Chat Förderung der sicheren Nutzung des Internets durch Kinder und Jugendliche Student Mobility Das Studieren in anderen Mitgliedsstaaten erleichtern

Electronic Delivery Grenzüberschreitende sichere Online-Zustellung von Dokumenten Change of Address Erleichterung beim Umzug innerhalb der EU eID wandert mit, Adresse wird automatisch geändert

Andere Länder außerhalb Europas

China

Die aktuelle Fassung des Personalausweises wurde erstmals in der Republik China am 21. Dezember 2005 herausgegeben. Auf der Vorderseite ist der Name, ein Foto, das Geschlecht, das Geburts- und Ausstellungsdatum sowie die Ausweisnummer angegeben.

Auf der Rückseite wird der Name des Vaters, der Mutter und des Ehepartners und sofern vorhanden dessen Rang in der Armee, sowie der Geburtsort mitangegeben. Der Personalausweis wird in lokalen Stellen der Haushaltsregistrierungsbehörde ad hoc ausgestellt und besteht aus einer laminierten und mit Hologrammen überzogenen Papierkarte, die zusätzlich mit als Sicherheitsmerkmal mit einem Barcode ausgestattet ist.

Bedeutung des nPA für das Thema E-Government

Zusammenfassung (Thomas)

Zusammenfassung Verbesserte Sicherheit bei der Inhaber-Identifikation Speichert biometrische Merkmale (digitales Bild, optional: zwei Fingerabdrücke) Online einsetzbar, ohne Medienbruch Eindeutige und sichere Identifikation im Internet Zielbereiche: E-Government und E-Business Bei Bedarf: qualifizierte elektronische Signatur (QES) auf nPA Anonyme Transaktionen möglich, z.B. Altersverifikation Definierte Anwendungsschnittstelle (eCard-API)


„Berechtigungszertifikat Berechtigungszertifikate erhöhen die Sicherheit bei Transaktionen (gegenseitiger Identitätsnachweis) Das Berechtigungszertifikat trägt zur Datensparsamkeit bei, da bei Beantragung der genaue Zweck des Einsatzes (Erforderlichkeit) und der Umfang der Daten bekannt sein müssen Keine Datenübermittlung außerhalb des Berechtigungszertifikates Vergabe der Zertifikate gesetzlich geregelt und in hoheitlicher Hand beim BVA Möglichkeit der Sperrung der Zertifikate (Sperrliste)/Online-Funktion Schwachstelle Zertifikate (Sichere zentrale Infrastruktur im RZ) Schwachstelle der eigene PC

Stichwort: Schadsoftware

Zukünftig haben alle Bürger den nPA, die Aktivierung der Online-Möglichkeiten ist optional Erhöhung der Sicherheit durch Besitz (nPA) und Wissen (PIN) Ausnahme: Hoheitliche Abfrage (z.B. Polizei), keine PIN Abfrage Verschlüsselte Datenübertragung im Internet Sperrliste für verlorene nPA, auch Online abfragbar Änderung der PIN durch den Inhaber möglich Zusätzlicher Aufwand für den Inhaber: bei Online-Nutzung muss eine Lesegerät angeschafft werden Spontane Nutzung von Diensten (auch E-Government) möglich, keine vorherige Registrierung

Fazit

Grundsätzliche Voraussetzung für ein E-Government sind viele Aspekte:

  • Datensicherheit / Datensparsamkeit
  • Sicherheit / Vertrauen
  • Durchdringung / Anwendungen
  • Aber ohne den nPA geht es „überhaupt nicht“
  • Durchbruch der „Qualifizierten elektronischen Signatur“
  • Erstes Signatur-Gesetz: 16.05.2001


Bisher ohne eID: Der Zugang erfolgt durch einfache Passwörter, die im Browser hinterlegt werden können.

Mit der eID: Der Nutzer muß folgende Schritte durchführen:

  • Ausweis muß aus der Brieftasche genommen werden und auf den Kartenleser gelegt werden
  • Durchklicken der Bildschirme
  • Eingabe der PIN

Die Akzeptanz der Bürger nach E-Government wird von der Bequemlichkeit und dem Komfort der Anwendungen abhängen. Es muß dem Bürger Vorteile bieten. Desto höher die Verbreitung und die Qualität der Anwendungen, desto stärker wird auch die Nachfrage nach den neuen elektonischen Anwendungen sein. Gewinnt der nPA nicht weiter an Akzeptanz kann E-Government kein Erfolgsmodell werden. E-Government hängt von der Durchdringung des nPA im Deutschland ab.

Abbildungsverzeichnis

  • Abbildung 1: Kennkarte
  • Abbildung 2: Personalausweis als Passbuch
  • Abbildung 3: Alter Personalausweis mit Identigram
  • Abbildung 4: Neuer Personalausweis
  • Abbildung 5: Neue Funktionen des Personalausweises
  • Abbildung 6: Daten auf dem Ausweis
  • Abbildung 7: Neuer Personalausweis mit Vorder- und Rückseite
  • Abbildung 8: Signaturarten
  • Abbildung 9: Gütezeichen
  • Abbildung 10:Signatursystem
  • Abbildung 11: Sichere Signaturerstellungseinheit
  • Abbildung 12: Infoterminal/Automat
  • Abbildung 13:Online-Registrierung
  • Abbildung 14:Online-Behördengänge
  • Abbildung 15: Ausweis Estland
  • Abbildung 16:Social Security Card

Quellenangabe

Nr. Nachweis URL/Fundstelle
1. Bundesministerium des Innern
http://bmi.bund.de
2. Bundesdruckerei
http://bundesdruckerrei.de
3. Der neue Personalausweis (BMI)
http://personalausweisportal.de
4. BSI
http://bsi.bund.de
5. Faunhofer Institut, SIT
http://www.sit.faunhofer.de
6. SEO Dienstleistungen, Leipzig
http://www.ausweis-app.com
7. Heise Zeitschriften Verlag
http://www.heise.de
8. CCC
http://www.ccc.de
9. Golem
http://www.ausweis-app.com
10. AGETO Innovation GmbH http://www.ausweis-portal.de/index.php/personalausweis/npa