Suchen

Ich bin Ich - Neuer Personalausweis und elektronische ID Sichere Authentifizierung mit dem nPA

Autor / Redakteur: Doris Loster / Stephan Augsten

Mit dem neuen Personalausweis, kurz nPA, können sich Bürger im Internet identifizieren. Doch beim Online-Einsatz des elektronischen Ausweises müssen Datenschutz und -sicherheit gewährleistet sein. Hardware-Sicherheitsmodule sind dabei wichtiger Bestandteil einer sicheren Übertragungskette.

Firmen zum Thema

Hardware-Sicherheitsmodule sichern das eID-Verfahren des neuen Personalausweises ab.
Hardware-Sicherheitsmodule sichern das eID-Verfahren des neuen Personalausweises ab.
(Utimaco)

Die Bundesrepublik Deutschland führte am 1. November 2010 den neuen Personalausweis (nPA) ein. Das neue Ausweisdokument, eine Plastikkarte in Scheckkarten-Format, ersetzt in den kommenden Jahren nach und nach vollständig die bisherige Ausführung. Jede der integrierten Sicherheitsfunktionen auf dem nPA ist behördlich geprüft und fälschungssicher.

Das Kernstück ist ein spezieller Sicherheits-Funkchip, auf dem alle wichtigen Personendaten (Name, Titel, Wohnort), das Lichtbild sowie bei Bedarf auch die Fingerabdrücke der Person gespeichert sind. Über diesem Chip weisen Ausweisinhaber ihre korrekte Identität elektronisch nach. Dieser Service zur elektronischen, einwandfreien Identitätskontrolle wird eID-Verfahren genannt.

Bürger, die es nutzen wollen, müssen sich dafür allerdings erst bei der zuständigen Personalausweisbehörde freischalten. Denn die elektronischen Angebote wie das eID-Verfahren sind freiwillig. Darüber hinaus kann auf dem nPA auch eine elektronische Unterschrift hinterlegt werden.

Mit diesem personengebundenen Signaturzertifikat können Dokumente digital rechtkräftig unterschrieben werden. Von staatlicher Seite soll durch den nPA gerade dem Identitätsdiebstahl und dem damit verbundenen Missbrauch persönlicher Daten Einhalt geboten werden.

Umfassender Legitimitätsnachweis

Der Ausweis vereinfacht aber nicht nur Behördengänge und erspart die persönliche Anwesenheit auf dem Amt. Auch private Dienstanbieter wie Online-Shops, Banken und Versicherungen werden in Zukunft das elektronische Identifizierungsverfahren einsetzen. Kunden profitieren so von einer schnelleren, vor allem aber sicheren, Geschäftsabwicklung.

Neben den behördlichen Prüfungsverfahren ist daher auch der Einsatz von technischen Sicherheitslösungen notwendig. Spezielle Verschlüsselungs-Module, wie sie beispielsweise die Firma Utimaco mit dem Deutschland HSM anbietet, sind dabei wichtiger Bestandteil einer sicheren Übertragungskette der persönlichen Daten.

Das eID-Verfahren im Online-Einsatz

Eingesetzt wird das eID-Verfahren bereits im eGovernment-Bereich von Behörden und Stadtverwaltungen. Zudem setzten immer mehr private Anbieter wie Online-Shops, Banken und Versicherungen auf die elektronische Authentifizierung.

So sparen sich Kunden beispielsweise bei der Eröffnung eines Kontos oder bei Abschluss einer Versicherung über das Internet das bisher übliche Postident-Verfahren. Postident hat bestimmt so manchen Geschäftsabschluss verhindert, denn Internet-affine Kunden empfinden es oft als altmodisch und überholt.

Schnell recherchiert ist im Netz, welche Bank gerade die günstigsten Tageszinsen anbietet, aber umgesetzt ist die Kontoeröffnung leider nicht so schnell. Besteht die Möglichkeit einer Umstellung von Versicherungsverträgen auf günstige Konditionen kann im Netz – ohne eine digitale Identifikation – nicht so schnell reagiert werden oder auch der Wechsel eines Energieversorgers wäre mit digitalen Identifikation deutlich einfacher.

Auch der Gang zum Postamt kostet Zeit und oft Nerven. Beim eID-Verfahren dagegen übermittelt der Nutzer über seinen nPA einfach online seine elektronische Identifizierung. Dies spart Zeit und zusätzlichen bürokratischen Aufwand und schafft mehr Kundenservice.

Gleichzeitig herrscht bei beiden Stellen dank der eID-Funktion die Gewissheit über die Identität des Geschäftspartners. Dies schafft einen zusätzlichen Schutz des Kunden vor betrügerischen Angeboten im Internet. Und Unternehmen können sich vor den Folgen bei Identitätsmissbrauch eines vermeintlichen Kunden durch Dritte absichern.

Über die elektronische Authentifizierung per nPA erhält der Dienstanbieter nicht nur eine Bestätigung, dass es sich wirklich um den entsprechenden Kunden handelt. Auch der Nutzer weiß, er hat tatsächlich mit dem gewünschten Dienstanbieter zu tun. Denn nur behördlich zertifiziert Anbieter sind berechtigt, die Daten zur Identifikation zu prüfen.

Voraussetzungen zum Auslesen von Daten

Um die optimale Sicherheit beim Online-Transfer der persönlichen Daten mithilfe des neuen Personalausweises zu gewährleisten, kommen auf verschiedenen Ebenen spezielle Sicherheitsvorkehrungen zum Einsatz. So sendet der auf dem nPA integrierte Funkchip seine Daten nur auf sehr kurze Entfernung.

Zum Auslesen der Daten eignen sich nur solche Lesegeräte, die vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) zugelassen wurden. Darüber hinaus wird eine bestimmte Client-Software wie beispielsweise die offizielle AusweisApp benötigt.

Damit ist ein heimliches, illegales Auslesen der Daten durch Dritte beim Endnutzer nahezu ausgeschlossen. Bei der Online-Identifizierung wurde ein zusätzlicher Sicherheitsfaktor eingeführt: Der Nutzer stimmt der Datenübermittlung erst mit der Eingabe seines sechsstelligen PIN-Codes zu.

Nicht jeder darf alles sehen

Möchten private Dienstanbieter das eID-Verfahren für ihr Online-Angebot nutzen, müssen sie verschiedene staatlich verordnete Sicherheits- und Berechtigungskriterien erfüllen. Zunächst benötigen sie ein Berechtigungszertifikat, das festlegt, welche Daten sie vom Kunden auslesen dürfen. Dabei geht es nur um Namens- und Adressdaten sowie die Gültigkeit des nPA. Lichtbild und Fingerabdruck dagegen stehen nur bestimmten Behörden wie Zoll oder Bundeskriminalamt zur Verfügung.

Der Dienstanbieter wird durch die staatliche Vergabestelle für Berechtigungszertifikate (VfB) geprüft. Von der VfB erhält er die gewünschte Genehmigung, ein notwendiges Berechtigungszertifikat bei einem entsprechenden Dienstleister zu erwerben. Dies sind sogenannte BerCA oder Trustcenter, wie die Bundesdruckerei (D-Trust GmbH), die Deutsche Post (Signtrust) und die Deutsche Telekom.

Bei den Berechtigungszertifikaten handelt es sich um hochverschlüsselte Sicherheitsprotokolle. Sie sind wichtiger Bestandteil der technischen PK-Infrastruktur (Public Key Infrastruktur). Nur über diese Schlüssel ist später das elektronische Authentifizierungsverfahren möglich. Sie dienen dazu, eine geschützte Kommunikation zwischen einem Online-Dienst und dem nPA aufzubauen.

Dienstanbieter können dafür einen eigenen Sicherheitsserver unter Einhaltung der Sicherheitsbedingungen selbst als eID-Server betreiben – oder das Sicherheitsverfahren über einen Provider, der einen eID-Service anbietet, laufen lassen. Gerade Letzteres hat den Vorteil, dass der Provider schon über die vorgeschriebene Sicherheits-Hard- und Software verfügt.

Wie das eID-Verfahren abgesichert wird

Bestandteil für die sichere Datenübermittlung per Internet sowie die korrekte Erstellung und Zuordnung der Identifikations-Schlüssel sind Hochleistungs-Verschlüsselungs-Module. Sie gehören zur festen Hardware-Sicherheitsausstattung bei den privaten eServern und eServices, werden aber auch schon in der Bundesdruckerei bei der Herstellung des nPA eingesetzt.

Dabei arbeitet die Bundesregierung mit externen Kryptografie-Spezialisten zusammen, wie dem Aachener Unternehmen Utimaco. Der Sicherheits-Dienstleister entwickelte für die Verschlüsselung das Deutschland HSM (Hardware-Sicherheitsmodul). Das Modul verschlüsselt die Daten über bestimmte kryptografische Algorithmen wie beispielsweise das RSA-Kryptosystem und Hash-Algorithmen.

Damit lassen sich manipulationssichere, individuelle kryptografische Schlüssel erzeugen. Diese werden bei der Herstellung in der Bundesdruckerei auf dem Datenchip des nPA gespeichert. Ebenso erhalten private Dienstanbieter mit ihrem Berechtigungszertifikat einen solchen Identifikationsschlüssel.

Gegenseitige Identifikation

Beim Authentifizierungsverfahren laufen verschiedene Sicherheitsmaßnahmen ab. Über den sogenannten Diffie-Hellmann-Schlüsselaustausch wird festgestellt, ob der nPA echt ist und die Kommunikation starten kann. Dieses spezielle Krypthografie-Protokoll ist spezialisiert auf die geheime Kommunikation zweier Partner über eine unsichere Leitung.

Die Prüfung der Sicherheitsschlüssel geschieht dabei sowohl durch den Dienstanbieter als auch durch den nPA. Erst nach der Eingabe der sechstelligen PIN durch den nPA-Inhaber, startet dann die Datenübermittlung. Das Hardware-Sicherheitsmodul erfüllt eine zentrale Sicherheitseinheit in der elektronischen Identifizierung und ist damit auf jedem eID-Server vorhanden.

Aus den hohen Sicherheitsansprüchen resultieren auch höchste Anforderungen an das Modul. Durch das zeitsparende Verfahren sowohl auf Anwender- als auch auf Anbieterseite ist zu erwarten, dass sich das eID-Verfahren auch bei kommerziellen Anbietern von Waren und Dienstleistungen im E-Commerce durchsetzen wird.

(ID:35289050)