DEUTSCHE eid-infrastruktur FIT FÜR EUROPA? Jens Bender BSI

Transkript

1 DEUTSCHE eid-infrastruktur FIT FÜR EUROPA? Jens Bender BSI

2 Die eidas-verordnung

3 Die eidas-verordnung VERORDNUNG (EU) Nr. 910/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG

4 Die eidas-verordnung VERORDNUNG (EU) Nr. 910/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG

5 eid nach eidas eid als Basistechnologie für egov und ebusiness Interoperabilität und Anerkennung nationaler eid-systeme nicht Harmonisierung 5

6 Gegenseitige Anerkennung auf juristisch 6

7 Gegenseitige Anerkennung Kurzfassung Online-Services öffentlicher Stellen, die eine elektronische Identifizierung mit einer eid benötigen, müssen alle notifizierten eids akzeptieren, die mindestens das Vertrauensniveau haben, das für den Service notwendig ist. 7

8 Notifizierung als Anerkennungsgrundlage Notifizierung von nationalen eid-systemen Vertrauensniveaus, Interoperabilität, Haftung Notifizieren können Mitgliedstaaten ist freiwillig Die Anerkennung notifizierter eids ist verpflichtend Unabhängig davon, ob der MS selbst eine eid notifiziert hat Verpflichtung für Anwendungen des öffentlichen Sektor, freiwillige Anerkennung durch den privaten Sektor Aber: eidas regelt nur die Anerkennung die eid, nicht den Zugang zum Dienst 8

9 eidas-netzwerk (Virtuelle) Grenze national national Dienstanbieter eidas Connector eidas Service Nationale eid Ein oder viele pro MS eidas- Kommunikation Zentrales Gateway (Proxy) oder dezentrale Middleware eidas-service übersetzt nationales eid-system in eidas eidas-connector übersetzt eidas für den Dienstanbieter Services und Connectoren kommunizieren vertrauenswürdig 9

10 Die deutsche eid in Europa Notifizierung

11 Notifizierung Ablauf 6 Monate Prä-Notifizierung Unterlagen werden KOM und anderen MS z.vfg. gestellt Peer Review Begutachtung des eid-systems durch andere MSen 2 Mon. 12 Monate Notifizierung Veröffentlichung der Notifizierung durch KOM Anerkennungspflicht für andere MSen 11

12 Peer Review Begutachtung des eid-systems Bewertung anhand von Dokumentation Untersuchung von Prozessen Technische Seminare Einbeziehung von Bewertungen Dritter Ergebnis ist ein Report ist (formal) nicht bindend für die Notifizierung 12

13 Deutsche Notifizierung Prä-Notifizierung eid des Personalausweises und Aufenthaltstitels Peer Review Fast alle MSen haben mitgemacht Positives Ergebnis Vertrauensniveau hoch bestätigt Notifizierung Veröffentlichung der Notifizierung durch KOM Anerkennungspflicht für andere MSen 13

14 Deutsche Notifizierung Dokumentation Notification Template German eid Overview Überblick über deutsche eid und eidas-integration German eid LoA mapping Erfüllung Vertrauensniveau hoch German eid IF mapping Erfüllung Interoperabilitätsanforderungen German eid Supporting Documentation Liste der relevanten Gesetze, Verordnungen, TRs, Verfügbar unter 14

15 Deutsche Notifizierung Middleware-basierte Notifizierung DE stellt den anderen MSen eine Middleware bereit (reduzierte) eid-server Erstellt durch Governikus im Auftrag BSI Kein zentraler Knoten entsprechend der DE-Infrastruktur Wird von den anderen MSen als Teil der eidas-knoten betrieben In NL produktiv im Einsatz Laufende Integration in SE, UK, BE, FI, CZ, AT 15

16 und die anderen? Notifizierungspläne Gemäß Bekundungen im Frühjahr wollen ~10-12 MSen dieses Jahr notifizieren aber bisher wurde keine weitere Notifizierung eingeleitet Viele auf Vertrauensniveau hoch Wie viele Peer Reviews? Intensive Arbeiten an den eidas-nodes Konnektoren und Proxies 16

17 Europäische eids in Deutschland eidas-konnektoren

18 Application Backend DE eid-infrastruktur Nutzer Webbrowser Dienstanbieter Webseite eid-client eid-server Kartenleser Selbst betrieben oder eid-service dezentral Dezentrale Infrastruktur eid-server beim Dienstanbieter oder Auftragsdatenverarbeiter Direkte Beziehung Nutzer Dienstanbieter 18

19 Application Backend eidas-erweiterung Nutzer Webbrowser Dienstanbieter Webseite eid-client Kartenleser Notifizierte eids eid-server eidas-connector Selbst betrieben oder eid-service dezentral Erweiterung der dezentralen Infrastruktur eidas-connector als Erweiterung des eid-servers Möglichst wenig Aufwand beim Dienstanbieter selbst 19

20 TREATS Trans European Authentication Services Konsortium für eidas-erweiterung der DE-Infrastruktur Gefördert im Rahmen der Connect Europe Facility Ziele: Integration eidas-konnektor in vorhandene eid-server Produktreife PoC: Erweiterung von Anwendungen um eidas Best Practice Guides für weitere Anwendungen 20

21 R 21

22 22

23 Identitätsattribute eidas definiert Minimum Data Set Attribute, die notifizierte eid liefern muss Für natürliche Personen: Vorname, Name, Geburtsdatum, Pseudonyom Falls das nicht eindeutig ist, zusätzlich nach Wahl des notifizierenden MSs: Geburtsname, Geburtsort, Geschlecht, Adresse Dienst weiß nicht genau, welche Daten er erhält 23

24 ToDo Dienstanbieter Geburtsname / Adresse werden nicht immer verfügbar sein Prüfen, ob fehlende Daten tatsächlich für den Dienst benötigt werden Falls ja: Nacherheben von fehlenden Daten z.b. per Eingabemaske... ist dann aber nicht auf dem Vertrauensniveau der anderen Daten oder Zugang zum Dienst schlägt fehl Ggfs. Anpassung an der Webseite für Nutzerführung 24

25 Application Backend Servicekonten Nutzer Webbrowser egov-dienstanbieter Webseite eid-client Kartenleser eid-server eidas-connector Servicekonto Notifizierte eids Identifizierungs-/Authentisierungsservices für egovernment Übernimmt eidas-integration auf Basis erweiterter eid-server Diensteanbieter: Erweiterung Webseite / Anwendung 25

26 Bereit für Europa?

27 Bereit für Europa? ( ) 27

28 Fragen? Kontakt Jens Bender Referat eid-technologien und Chipkarten Tel. +49 (0) Fax +49 (0) Bundesamt für Sicherheit in der Informationstechnik 28