„Elektronische Identitätsfunktionen“
News vom: 23.12.2009
Interview mit Lutz Neugebauer.
Geprüfte elektronische Identitäten (eID) sind eine wesentliche Voraussetzung, um zukünftige Transaktionen im Internet sicher zu gestalten. Der elektronische Personalausweis (ePA) wird ab 01. November 2010 in Deutschland ausgegeben.
Geprüfte elektronische Identitäten (eID) sind eine wesentliche Voraussetzung, um zukünftige Transaktionen im Internet sicher zu gestalten. Der elektronische Personalausweis (ePA) wird ab 01. November 2010 in Deutschland ausgegeben.
Mit seiner eID-Funktion steht damit erstmalig eine flächendeckende, einheitliche elektronische Identitätsfunktion auf Basis eines behördlichen Ausweisdokuments zur Verfügung. Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) hat die Aktivitäten im Vorfeld der Einführung des elektronischen Personalausweises seit Ende 2006 intensiv begleitet. Lutz Neugebauer, Bereichsleiter Sicherheit beim BITKOM, klärt über die elektronischen Identitätsfunktionen des ePAs auf.
Welche Aufgaben übernimmt der BITKOM, um die Einführung des elektronischen Personalausweises flächendeckend voranzutreiben?
Lutz Neugebauer: Der neue Personalausweis ist in seiner flächendeckenden Verbreitung per se ein Erfolgsmodell, denn spätestens in zehn Jahren wird ihn jeder Bundesbürger über 16 Jahren in der Tasche haben. Viel spannender ist aber die tatsächliche, spätere Nutzung der elektronischen Identitätsfunktion, die für die Bürger eine freiwillig eingesetzte Funktionalität sein wird. Der BITKOM begleitet das Projekt sehr intensiv. In zwei Fachworkshops in den Jahren 2007 und 2008 haben wir Unternehmen, die potenziell die elektronische Identitätsfunktion in ihre Kundenprozesse integrieren werden, staatlichen Stellen wie das Innenministerium und das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Unternehmen der ITK-Branche zusammengebracht, um über die Einsatzszenarien zu diskutieren. Flankierend organisieren wir Fachkongresse, die sich an Fachteilnehmer und die interessierte Öffentlichkeit richten. Für das Jahr 2010 planen wir einen Wettbewerb, in dem Jugendliche und junge Erwachsene den Einsatz der elektronischen Identitätsfunktion in der Zukunft beschreiben sollen.
In welchen Anwendungsszenarien soll der ePA künftig eingesetzt werden?
Lutz Neugebauer: Die Anwendungsmöglichkeiten für die eID-Funktion sind vielfältig. Das lässt sich schon an den über 100 Bewerbungen für die vom Bundesministerium des Inneren (BMI) ausgeschriebenen Anwendungstests ablesen. Wesentliche Anwendungsgebiete werden beispielsweise beim Onlinehandel, in der Versicherungswirtschaft, im Bankenbereich und im Luftverkehr liegen. Denkbar ist auch die Nutzung für Mitarbeiter an Unternehmensportalen. Darüber hinaus wird ein wesentlicher Anwendungsblock den Bereich des eGovernments umfassen. Viele Behördengänge, die zum Beispiel die Prüfung der Identität eines Antragstellers durch den Mitarbeiter eines Amtes erfordern, können so auch online abgewickelt werden.
Was sind seine Vorteile und funktionalen Merkmale?
Lutz Neugebauer: Insbesondere bei Transaktionen, die zwischen Privatpersonen und Unternehmen online durchgeführt werden, sorgt die gegenseitige Authentisierung der beiden Geschäftspartner für mehr Sicherheit und Vertrauen. Daten, die vom Kunden, zum Beispiel beim Online-Einkauf, an den Verkäufer übertragen werden, können von diesem als authentisch angenommen werden. Auf der anderen Seite muss der Kunde keine Angst haben, einer gefälschten Internet-Seite aufgesessen zu sein, da dieser nicht die notwendigen Berechtigungszertifikate vorliegen werden. Im Übrigen reicht der Besitz des Personalausweises nicht aus, um Transaktionen im Internet abzuschließen. Hierzu ist die Eingabe einer PIN-Nummer notwendig. Das ist wichtig, falls der Personalausweis gestohlen oder verloren wird.
Wie verhält sich der elektronische Personalausweis gegenüber der signaturfähigen Bankkarte?
Lutz Neugebauer: Auch der Personalausweis wird die Möglichkeit haben, elektronische Signaturen zu laden. Obwohl hier teilweise mögliche überschneidende Funktionen vorliegen, werden beide Konzepte ihre Existenzberechtigung haben.
Welche IT-Infrastruktur ist für den Einsatz notwendig?
Lutz Neugebauer: Der Einzelnutzer wird auf seinem PC eine Software installieren, den so genannten Bürgerclient, und braucht darüber hinaus einen kontaktlosen Kartenleser. Unternehmen, die die eID-Funktion in ihre Kundenprozesse integrieren, müssen einen so genannten eID-Server einrichten, der die Interaktion mit den jeweiligen Bürgerclients in der Fläche und das Management der eigenen Berechtigungszertifikate ermöglicht.
Welche Sicherheitsmechanismen gilt es zu beachten?
Lutz Neugebauer: Der Personalausweis ist in eine sichere Architektur eingebettet. Durch so genannte Berechtigungszertifikate können nur autorisierte Stellen die Übertragung der im Chip gespeicherten Inhalte abfragen. Vor der Übertragung muss der Bürger durch die Eingabe seiner PIN-Nummer aktiv zustimmen. Ein unauthorisiertes Auslesen ist somit nicht möglich.
Was bedeutet die qualifizierte elektronische Signatur (QES) für den elektronischen Personalausweis?
Lutz Neugebauer: Der Personalausweis ist als Trägermedium für die QES vorbereitet. Inwieweit die Ausgabe des neuen Personalausweises die Verbreitung der QES stimulieren wird, kann nicht verlässlich vorhergesagt werden. Wie immer hängt dies ursächlich mit den gesetzlichen Bestimmungen und dem Nutzen zusammen, die der Nutzer mit verschiedenen Angeboten auf Basis der QES verbindet.
Welche Aufgaben übernimmt der BITKOM, um die Einführung des elektronischen Personalausweises flächendeckend voranzutreiben?
Lutz Neugebauer: Der neue Personalausweis ist in seiner flächendeckenden Verbreitung per se ein Erfolgsmodell, denn spätestens in zehn Jahren wird ihn jeder Bundesbürger über 16 Jahren in der Tasche haben. Viel spannender ist aber die tatsächliche, spätere Nutzung der elektronischen Identitätsfunktion, die für die Bürger eine freiwillig eingesetzte Funktionalität sein wird. Der BITKOM begleitet das Projekt sehr intensiv. In zwei Fachworkshops in den Jahren 2007 und 2008 haben wir Unternehmen, die potenziell die elektronische Identitätsfunktion in ihre Kundenprozesse integrieren werden, staatlichen Stellen wie das Innenministerium und das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Unternehmen der ITK-Branche zusammengebracht, um über die Einsatzszenarien zu diskutieren. Flankierend organisieren wir Fachkongresse, die sich an Fachteilnehmer und die interessierte Öffentlichkeit richten. Für das Jahr 2010 planen wir einen Wettbewerb, in dem Jugendliche und junge Erwachsene den Einsatz der elektronischen Identitätsfunktion in der Zukunft beschreiben sollen.
In welchen Anwendungsszenarien soll der ePA künftig eingesetzt werden?
Lutz Neugebauer: Die Anwendungsmöglichkeiten für die eID-Funktion sind vielfältig. Das lässt sich schon an den über 100 Bewerbungen für die vom Bundesministerium des Inneren (BMI) ausgeschriebenen Anwendungstests ablesen. Wesentliche Anwendungsgebiete werden beispielsweise beim Onlinehandel, in der Versicherungswirtschaft, im Bankenbereich und im Luftverkehr liegen. Denkbar ist auch die Nutzung für Mitarbeiter an Unternehmensportalen. Darüber hinaus wird ein wesentlicher Anwendungsblock den Bereich des eGovernments umfassen. Viele Behördengänge, die zum Beispiel die Prüfung der Identität eines Antragstellers durch den Mitarbeiter eines Amtes erfordern, können so auch online abgewickelt werden.
Was sind seine Vorteile und funktionalen Merkmale?
Lutz Neugebauer: Insbesondere bei Transaktionen, die zwischen Privatpersonen und Unternehmen online durchgeführt werden, sorgt die gegenseitige Authentisierung der beiden Geschäftspartner für mehr Sicherheit und Vertrauen. Daten, die vom Kunden, zum Beispiel beim Online-Einkauf, an den Verkäufer übertragen werden, können von diesem als authentisch angenommen werden. Auf der anderen Seite muss der Kunde keine Angst haben, einer gefälschten Internet-Seite aufgesessen zu sein, da dieser nicht die notwendigen Berechtigungszertifikate vorliegen werden. Im Übrigen reicht der Besitz des Personalausweises nicht aus, um Transaktionen im Internet abzuschließen. Hierzu ist die Eingabe einer PIN-Nummer notwendig. Das ist wichtig, falls der Personalausweis gestohlen oder verloren wird.
Wie verhält sich der elektronische Personalausweis gegenüber der signaturfähigen Bankkarte?
Lutz Neugebauer: Auch der Personalausweis wird die Möglichkeit haben, elektronische Signaturen zu laden. Obwohl hier teilweise mögliche überschneidende Funktionen vorliegen, werden beide Konzepte ihre Existenzberechtigung haben.
Welche IT-Infrastruktur ist für den Einsatz notwendig?
Lutz Neugebauer: Der Einzelnutzer wird auf seinem PC eine Software installieren, den so genannten Bürgerclient, und braucht darüber hinaus einen kontaktlosen Kartenleser. Unternehmen, die die eID-Funktion in ihre Kundenprozesse integrieren, müssen einen so genannten eID-Server einrichten, der die Interaktion mit den jeweiligen Bürgerclients in der Fläche und das Management der eigenen Berechtigungszertifikate ermöglicht.
Welche Sicherheitsmechanismen gilt es zu beachten?
Lutz Neugebauer: Der Personalausweis ist in eine sichere Architektur eingebettet. Durch so genannte Berechtigungszertifikate können nur autorisierte Stellen die Übertragung der im Chip gespeicherten Inhalte abfragen. Vor der Übertragung muss der Bürger durch die Eingabe seiner PIN-Nummer aktiv zustimmen. Ein unauthorisiertes Auslesen ist somit nicht möglich.
Was bedeutet die qualifizierte elektronische Signatur (QES) für den elektronischen Personalausweis?
Lutz Neugebauer: Der Personalausweis ist als Trägermedium für die QES vorbereitet. Inwieweit die Ausgabe des neuen Personalausweises die Verbreitung der QES stimulieren wird, kann nicht verlässlich vorhergesagt werden. Wie immer hängt dies ursächlich mit den gesetzlichen Bestimmungen und dem Nutzen zusammen, die der Nutzer mit verschiedenen Angeboten auf Basis der QES verbindet.