Der neue Ausweis geht online

Von: Oliver Küch, Fraunhofer-Institut SIT

Ein Beitrag des Fraunhofer-Instituts für Sichere Informationstechnologie SIT zum neuen elektronischen Personalausweis

Am 1. November 2010 ist es soweit: Dann kommt der neue Personalausweis. Auf den ersten Blick sieht der neue Ausweis ähnlich aus, hat aber das Format einer Checkkarte. In seinem Inneren befindet sich aber ein RFID-Chip, der alle Daten, die heute nur optisch vom Dokument ablesbar sind, speichert. Diese Informationen lassen sich dann per Funk auslesen. Damit nur diejenigen darauf zugreifen, die das Recht dazu haben, sind die Daten auf der Karte mit Hilfe von Zertifikaten und kryptografischen Mechanismen sicher gespeichert, und auch die Übertragung findet über kryptographisch abgesicherte Protokolle statt. So soll der Zugriff für Unbefugte verhindert werden. Bei jedem Zugriff kann der Ausweisinhaber entscheiden, welche Daten er über das Internet freigeben möchte. Sein Einverständnis gibt er durch Eingabe einer sechsstelligen PIN. Welcher Internet-Dienst auf den Ausweis zugreifen darf, regelt der Gesetzgeber: Jeder Diensteanbieter muss ein Zertifikat beantragen und nachweisen, dass er die Daten zur Abwicklung des Geschäfts benötigt. So will man beispielsweise verhindern, dass Unberechtigte Zugriff auf Adressdaten erhalten. Für den Bürger bringt die Innovation eine ganze Reihe von Vorteilen: Mit Hilfe seines Ausweises kann er seine Daten vor unberechtigtem Zugriff schützen.

Was kann der neue Ausweis?

Die eID-Funktion Der neue Ausweis besitzt einen kontaktlosen RFID-Chip mit neuen Funktionen. Die wichtigste ist der elektronische Identitätsnachweis (eID). Mit der eID-Funktion können sich Bürger in Zukunft im Internet einfach und verlässlich ausweisen. Neu dabei: Auch die Online-Anbieter müssen sich ausweisen, wenn sie den Ausweis in ihren Diensten nutzen möchten. Damit weiß jede Seite, mit wem sie kommuniziert. Außerdem gibt es noch eine hoheitliche Funktion mit biometrischem Gesichtsbild und zwei optionalen Fingerabdrücken. Diese Funktion können nur hoheitliche Stellen bei einer Polizei- oder Grenzkontrolle nutzen. Fingerabdrücke und Gesichtsbild können also nicht von Unternehmen abgerufen werden und werden auch nicht per Internet übertragen.

PACE und die PIN machen Bürger zum Herrn seiner Daten

Die technischen Richtlinien für den neuen Ausweis stammen vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Sicherheit der kryptographischen Chips und Verfahren ist vorbildlich und entspricht dem aktuellen Stand der Technik. Der Bürger bleibt in jeder Situation Herr seiner Daten und gibt diese über seine PIN frei. Dafür sorgt das PACE-Protokoll. Das sieht vor, dass erst nach der PIN-Eingabe durch den Bürger eine verschlüsselte Verbindung vom lokalen Lesegerät zum Ausweis-Chip hergestellt wird. Unbefugte können also weder PIN noch andere personenbezogene Daten an der Funkschnittstelle des Chips abhören. Anschließend weist sich der Dienstanbieter online mit einem so genannten Berechtigungszertifikat gegenüber dem Ausweis-Chip aus. Der Chip prüft, ob der Dienstanbieter Informationen aus dem Ausweis auslesen darf und welche das sind. Danach weiß der Bürger, mit welchem Dienstanbieter er es zu tun hat und kann ihm das Recht gewähren, die nötigen Daten aus dem Ausweis zu lesen. Erst wenn auch der Chip sich beim Dienstanbieter ausgewiesen hat, beginnt die verschlüsselte Übermittlung der Daten. Das garantiert dem Bürger, dass niemand außer dem Dienstanbieter seine Daten erhält. Der Dienstanbieter hingegen kann sich sicher sein, dass die an ihn übermittelten Daten aus einem echten Ausweis stammen.

Mehr Datenschutz: Altersverifikation und Pseudonym

Welche Daten der Online-Anbieter vom Ausweis lesen darf, regelt das BVA-Berechtigungszertifikat, das dem Bürger zu Beginn der Kommunikation angezeigt und vom Chip geprüft wird. Ohne Berechtigungszertifikat und gegenseitige Authentisierung gibt der Ausweis-Chip keine Daten frei. Der Chip unterstützt zudem datensparsame Funktionen, z.B. die Altersverifikation ohne Preisgabe des genauen Geburtsdatums z.B. für den Jugendschutz am Zigarettenautomaten, die Wohnortverifikation ohne Preisgabe der genauen Adresse z.B. für regional begrenzte Dienste, und die Ausgabe eines Pseudonyms z.B. für Dienste, die keine personenbezogenen Daten benötigen, aber einen bereits registrierten Kunden wieder erkennen möchten. Es handelt sich um ein chip- und dienstspezifisches Kennzeichen, d.h. unterschiedliche Dienste erhalten unterschiedliche Pseudonyme vom Chip und könnten damit keine dienstübergreifenden Kundenprofile erstellen.

Der BürgerClient

Um den Ausweis sicher nutzen zu können, benötigt der Bürger eine Software, den BürgerClient, und einen Kartenleser, möglichst mit PIN-Eingabefeld, damit die PIN nicht am unsicheren PC eingegeben werden muss. Der Dienstanbieter schließt seinen Web-Server an einen eID-Service an, der die Integration der eID-Funktion in bereits existierende Web-Anwendungen ermöglicht und die sichere Kommunikation mit dem Ausweis übernimmt. Das BMI beauftragte ein Konsortium mit der Entwicklung des BürgerClients und Bereitstellung eines eID-Services. Weitere Anbieter von eID-Services und Software werden folgen - auch Open Source. Voraussichtlich im September werden die ersten Kartenprodukte, Kartenleser und Software zugelassen sein.

Anwendungstest

Damit im November den Bürgern möglichst viele attraktive Nutzungsmöglichkeiten für den neuen Ausweis zur Verfügung stehen, testen derzeit 30 Dienstanbieter in einem groß angelegten Anwendungstest die neue Technik auf Funktion, Integration, IT-Sicherheit und Benutzerfreundlichkeit. So möchte beispielsweise das E-Government-Konsortium Hagen Rathaus 21 den neuen Ausweis zum Vorausfüllen von Web-Formularen, für Selbstauskünfte gegenüber dem Bürger und für die Optimierung interner Verwaltungsprozesse nutzen. Die Deutsche Rentenversicherung wird dem Bürger die Online-Abfrage des eigenen Rentenkontos ermöglichen und das Bayerische Landesamt für Steuern die bequeme Registrierung mittels neuen Ausweises am ELSTER-Onlineportal. Erste Dienste für den neuen Ausweis werden vom 2. bis zum 6. März auf der CeBIT vorgestellt. Weitere interessierte Unternehmen und Behörden können sich auch am offenen Anwendungstest beteiligen. Nähere Informationen stehen unter www.ccepa.de.

 

Zum Fraunhofer-Institut SIT: Als Teil des "Kompetenzzentrums Neuer Personalausweis" testet das Fraunhofer-Institut SIT im Anwendungstest die Kommunikation zwischen den Komponenten auf IT-Sicherheit und unterstützt Anbieter bei der richtigen Einbindung der eID-Funktion. Mögliche Fehlerquellen und Implementierungsfreiräume werden untersucht und für den Support der Dienstanbieter aufbereitet. Denn die Sicherheitstechnik des Ausweises hilft nur, wenn die Unternehmen sie fehlerfrei und ordnungsgemäß nutzen werden – dies gilt insbesondere für den eID-Server und die angeschlossenen Web-Server.

 

Glossar

BSI = Bundesamt für Sicherheit in der Informationstechnik, zuständig für die technischen Richtlinien des neuen Ausweises

BVA = Bundesverwaltungsamt, betreibt die Vergabestelle für Berechtigungszertifikate

eID = Elektronische Identitätsfunktion für die Online-Nutzung gegenüber E-Commerce und E-Government

ELSTER = Elektronische Steuererklärung

Fraunhofer-Institut SIT = Fraunhofer-Institut für Sichere Informationstechnologie

PACE = "Password-Authenticated Connection Establishment" zum Aufbau einer authentisierten verschlüsselten Verbindung zu einer kontaktlosen Chipkarte mittels Diffie-Hellman Schlüsselaustausch

QES = Qualifizierte Elektronische Signatur nach deutschem Signaturgesetz für die rechtverbindliche Unterschrift im elektronischen Geschäftsprozess

RFID = Radio Frequency Identification, Kommunikation mit kontaktlosen Chipkarten per Funk

---