Der elektronische Personalausweis im ecommerce. Diplomarbeit Johannes Braun Wirtschaftsinformatik

Transkript

1 Der elektronische Personalausweis im ecommerce Diplomarbeit Johannes Braun Wirtschaftsinformatik

2 Johannes Braun Matrikelnummer: Studiengang: Diplom Wirtschaftsinformatik Diplomarbeit Thema: "Der elektronische Personalausweis im ecommerce." Eingereicht: 15. Dezember 2009 Betreuer: Dr. Alexander Wiesmaier Prof. Dr. Johannes Buchmann Theoretische Informatik - Kryptographie und Computeralgebra Fachbereich Informatik Technische Universität Darmstadt Hochschulstraße Darmstadt

3 Ehrenwörtliche Erklärung Ich erkläre hiermit ehrenwörtlich, dass ich die vorliegende Arbeit selbstständig angefertigt habe; die aus fremden Quellen direkt oder indirekt übernommenen Gedanken sind als solche kenntlich gemacht. Die Arbeit wurde bisher keiner anderen Prüfungsbehörde vorgelegt und auch noch nicht veröffentlicht. Darmstadt, den Unterschrift

4 Abstract In November 2010 starts the release of the new German identity card. This new identity card will be upgraded with an RFID chip storing biometric data and providing new functions like an electronic identity and the possibility to generate qualified electronic signatures. The electronic identity is expected to provide more security in ebusiness and egovernment and allowing new online applications, that up to now, are not possible in the aspired form. But the release only pays off, if the citizens do actually use this new functions of the identity card. Hence it is important to know about the acceptance for the new card and what should be done to obtain many users for the new functions. This paper describes the realization of the identity card and provides a knowledge base for the functionality and its scope of application. Additionally a simulation software for the typical ecommerce scenarios registration and online purchase is modeled and implemented. Along with a description of the simulated processes, a technical documentation of the simulation software is provided. Furthermore this paper describes how this software is installed and how it can be used within a study on the acceptance of the new identity card. Additionally the registration and purchase processes using the new electronic identity function are compared to the actually realized processes. From this comparisons the pros and cons of the identity function are derived. As an outlook it describes theoretically how the mentioned study on the acceptance could be implemented.

5 Inhaltsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Abkürzungsverzeichnis III IV V 1 Einleitung Motivation Ziele und Nutzen Aufbau der Arbeit Der elektronische Personalausweis Funktionen und Anwendungsmöglichkeiten Identitätsnachweis Elektronische Authentisierungsfunktion Qualifizierte Signatur Motivation und Nutzen Sicherheitsmechanismen und Protokolle PACE Terminal-Authentisierung Chip-Authentisierung Dynamische UID Public Key Infrastruktur Probleme und Gefährdungen ebusiness, ecommerce und egovernment ebusiness und ecommerce egovernment Bedrohungen und Internet Security Die Simulationsanwendung Auswahl der Online-Diensteanbieter ebay PayPal Inhaltsverzeichnis I

6 4.2 Analyse der zu simulierenden Prozesse Registrierung und Login bei PayPal Einkauf bei ebay Setup der Simulationsanwendung Systemvoraussetzungen Benötigte Dateien Installation Verwendung der Simulationsanwendung Allgemeine Hinweise zur Verwendung Profil Erika Mustermann Technische Umsetzung der Simulationsanwendung Bereitgestellte Dateien Webprojekte Umsetzung der PayPal Simulation Umsetzung der ebay Simulation Simulationsapplets Card Detector eid-simulationssoftware Verfahrensanalyse Vorteile der eid-funktion Registrierungsverfahren im Vergleich Authentisierungsverfahren im Vergleich Nachteile der eid-funktion Allgemeine Bewertung Fazit und Ausblick Akzeptanzstudie Mögliches Setup Anmerkungen und Ansatzpunkte Zusammenfassung Kritische Würdigung A Anhang Literaturverzeichnis VII VIII Inhaltsverzeichnis II

7 Abbildungsverzeichnis 1 Muster des elektronischen Personalausweises Ablauf elektronischer Identitätsnachweis Zugriffskontrolle epa EAC PKI Signer PKI Anwendungsfelder des epas in der Wirtschaft Anwendungsfelder des epas in der öffentlichen Verwaltung epa Nutzung für Internet-Transaktionen - Umfrageergebnisse Ablaufdiagramm PayPal-Registrierung ohne epa Ablaufdiagramm PayPal-Registrierung mit epa Ablaufdiagramm ebay-einkauf ohne epa Ablaufdiagramm ebay-einkauf mit epa Anzeige der Datenschutzerklärung Auswahl der auszulesenden Ausweisdaten eid-pin Abfrage Fortschrittsanzeige des Auslesevorgangs der Ausweisdaten Ablauf eid-funktion mit eid-service Provider Abbildungsverzeichnis III

8 Tabellenverzeichnis 1 Profil Erika Mustermann Ordnerstruktur der Webprojekte Änderungen des Card Detectors bezüglich der vom Konsortium Campus- Pilot zur Verfügung gestellten Version Änderungen der eid-simulationssoftware bezüglich der vom Konsortium CampusPilot zur Verfügung gestellten Version Vor- und Nachteile der eid-funktion für Dienstenutzer Vor- und Nachteile der eid-funktion für Diensteanbieter Tabellenverzeichnis IV

9 Abkürzungsverzeichnis AES API BAC BITKOM BKA BMI BSI CSCA CSS CVCA DH EAC ECDH ECDSA eid epa epass EU HTML HTTP HTTPS IO ISO MAC MRZ Advanced Encryption Standard Application Programming Interface Basic Access Control Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. Bundeskriminalamt Bundesministerium des Innern Bundesamt für Sicherheit in der Informationstechnik Country Signing Certification Authority Cascading Style Sheets Country Verifying Certification Authority Diffie-Hellman Extended Access Control Elliptic Curve Diffie Hellman Elliptic Curve Digital Signature Algorithm elektronische Identität elektronischer Personalausweis elektronischer Reisepass Europäische Union Hypertext Markup Language Hypertext Transfer Protocol Hypertext Transfer Protocol Secure Input/Output International Organization for Standardization Message Authentication Code Maschine Readable Zone Abkürzungsverzeichnis V

10 PACE PC PersAuswG PIN PKI PUK QES RFID SigG SSEE SSL TAN itan mtan TR ZDA Password Authenticated Connection Establishment Personal Computer Personalausweisgesetz Personal Identification Number Public Key Infrastruktur PIN Unblocking Key qualifizierte elektronische Signatur Radio Frequency Identification Signaturgesetz sichere Signaturerstellungseinheit Secure Socket Layer Transaktionsnummer indizierte Transaktionsnummer mobile Transaktionsnummer Technische Richtlinie Zertifizierungsdiensteanbieter Abkürzungsverzeichnis VI

11 1 Einleitung Einleitend soll an dieser Stelle zunächst die Motivation der hier vorgestellten Arbeit präsentiert werden. Darauf folgend wird die Zielsetzung erläutert und ein Überblick über den Aufbau der Arbeit gegeben. 1.1 Motivation Der deutsche Personalausweis hat sich bei den Bürgern und Bürgerinnen als universelles Identifikationsdokument etabliert. 1 Er wird gegenüber Behörden ebenso wie im privaten Umfeld für den Nachweis der Identität eingesetzt. 2 Aufgrund der Verlagerung von mehr und mehr Lebensbereichen in das Internet und der zunehmenden Online- Abwicklung von Verwaltungsaufgaben und Geschäftsprozessen im Rahmen des egovernment und ebusiness, werden Stimmen laut, die einen sicheren medienbruchsfreien elektronischen Identitätsnachweis fordern. Mit der Einführung des elektronischen Personalausweises (epa) ab dem 01. November 2010 soll genau diesen Forderungen Rechnung getragen werden. Der epa wird den bisherigen Personalausweis ablösen und neben der Funktion als Sichtausweis eine um biometrische Merkmale erweiterte hoheitliche Identitätsfunktion, einen elektronischen Identitätsnachweis (eid) und die qualifizierte elektronische Signatur ermöglichen. Obwohl mit der steigenden Nutzung des Internet auch der Missbrauch und die Schadenshöhe steigen, blieb das missbrauchsanfällige passwortbasierte Authentisierungsverfahren bislang das meist verwendete Verfahren. Sicherere, beispielsweise SmartCard basierte Verfahren, konnten sich wegen des zusätzlichen Aufwands und der Kosten nur partiell durchsetzen. Ob sich ein bestimmtes Verfahren am Markt durchsetzt, hängt nicht zuletzt davon ab, wie es von potentiellen Nutzern aufgenommen wird. Hierbei bedingen sich das Angebot von Anwendungen, die ein Verfahren nutzen und das Interesse, das Nutzer an einem Verfahren zeigen, gegenseitig. Durch die Einführung des epa wird ein breiter Markt für Anwendungen, welche die eid und qualifizierte Signatur nutzen, zugänglich gemacht. Allerdings ist dies allein noch keine Garantie dafür, dass die Verfahren von den Nutzern akzeptiert werden. Das hängt unter anderem auch von den Vor- und Nachteilen ab, die ein neues Verfahren mit sich bringt. 1 vgl. Engel (2006), S vgl. Bundesministerium des Innern (2009), S. 3. 1

12 1.2 Ziele und Nutzen Das Ziel der vorliegenden Arbeit besteht darin, eine fundierte Wissensbasis bezüglich des epas zu schaffen und die Anwendungsmöglichkeiten der eid-funktion im Online- Geschäftsverkehr zu untersuchen. Fokus der Arbeit liegt dabei auf dem ecommerce. Darauf aufbauend soll eine Simulations-Webapplikation für die Online-Diensteanbieter ebay und PayPal entworfen und implementiert werden. Die Anwendung soll die Simulation von Registrierungs- und Loginprozessen mittels eid-funktion in realen Anwendungsfällen ermöglichen. Sie soll als Grundlage einer Akzeptanzstudie zum Einsatz des epas im ecommerce dienen. Die genannten Diensteanbieter scheinen für eine Akzeptanzstudie besonders geeignet, da sie in ihren Geschäftsbereichen jeweils Marktführer sind, jedoch nicht zu den 30 Teilnehmern des von der Bundesregierung zentral koordinierten Anwendungstests für den epa gehören. Darüber hinaus gehören Zahlungsdienstleister und Auktionsplattformen zu den Hauptangriffszielen von Phishing-Attacken, was neue sicherere Authentisierungsverfahren hier besonders interessant erscheinen lässt. 3 Neben der leichten Portierbarkeit und Plattformunabhängigkeit der Simulationsanwendung ist eine möglichst authentische Darstellung der Registrierungs- und Authentisierungsprozesse als Kernanforderung zu sehen. Die Simulation soll damit zum einen den Ablauf epa-gestützter Authentisierungsverfahren veranschaulichen und zum anderen einen direkten Vergleich zu passwortgestützten Verfahren ermöglichen. Ein weiteres Ziel dieser Arbeit besteht darin, aufbauend auf Grundlagen und Simulationsentwurf die Vor- und Nachteile der Verwendung der eid-funktion im Vergleich zu aktuellen Verfahren zu analysieren und darzustellen. Dies wiederum liefert weitere Ansatzpunkte für den Entwurf der Akzeptanzstudie. 1.3 Aufbau der Arbeit Im folgenden Kapitel werden zunächst die Funktionen des neuen elektronischen Personalausweises erläutert und die Motivation, einen neuen Ausweis einzuführen, dargestellt. Danach folgt eine Betrachtung des Sicherheitskonzeptes und der kryptographischen Protokolle, die bei dem neuen Ausweis realisiert werden sollen. Abschließend werden einige Schwachstellen und offene Fragen zum aktuellen Konzept aufgezeigt. 3 siehe Kap Ziele und Nutzen 2

13 In Kap. 3 werden die verschiedenen Anwendungsfelder der elektronischen Authentisierungsfunktion betrachtet. Hier werden ebusiness, ecommerce und egovernment voneinander abgegrenzt sowie aktuelle Trends zu Bedrohungen der Internet Security dargestellt. Kap. 4 stellt den Entwurf der Simulationsanwendung für den ecommerce-einsatz des epas vor. Neben der Vorstellung der für die Simulation gewählten Anbieter ebay und PayPal enthält dieses Kapitel eine ausführliche Prozessanalyse der zu simulierenden Abläufe. Es folgen eine detaillierte Installationsanleitung und verschiedene Hinweise zur Verwendung der Simulationsanwendung. In Kap. 5 folgt eine ausführliche Beschreibung zur technischen Umsetzung der Simulationsanwendung. Hier wird separat auf die Webapplikationen und die eingebundenen Java-Applets eingegangen, um dem interessierten Nutzer die Erweiterung und Anpassung zu ermöglichen. Kap. 6 behandelt die Unterschiede zwischen gängigen Registrierungs- und Authentisierungsverfahren und solchen, die sich aus der Verwendung der eid-funktion ergeben. Dabei werden Vor- und Nachteile für Dienstenutzer und Anbieter abgeleitet. In Kap. 7 wird zunächst ein Ausblick auf eine Akzeptanzstudie gegeben, die mit Hilfe der Simulationsanwendung realisiert werden kann. Hier werden Ansatzpunkte für den Entwurf und die Durchführung der Akzeptanzstudie erörtert. Abschließend folgt eine Zusammenfassung der Arbeit und eine kritische Würdigung Aufbau der Arbeit 3

14 Abbildung 1: Muster des elektronischen Personalausweises (Bundesamt für Sicherheit in der Informationstechnik) 2 Der elektronische Personalausweis Hier soll zunächst ein Überblick über die Funktionen und Anwendungsmöglichkeiten des neuen elektronischen Personalausweises der Bundesrepublik Deutschland gegeben werden. Darüber hinaus wird die grundlegende Motivation einen neuen Personalausweis einzuführen dargelegt und die Umsetzungen aus dem Blickwinkel der IT Sicherheit betrachtet. Dabei sollen die Sicherheitsverfahren und das erreichte Datenschutzniveau kurz angesprochen werden. Die Einführung des neuen elektronischen Personalausweises wurde am vom Bundeskabinett beschlossen. Ab November 2010 soll der epa an die Bundesbürger ausgegeben werden. Der Personalausweis wird dabei, wie in Abb. 1 zu sehen, von der aktuellen Größe auf Scheckkartenformat verkleinert. 4 Der neue Personalausweis wird mit einem RFID Chip vergleichbar demjenigen beim elektronischen Reisepass (epass) ausgestattet sein. Neben der hoheitlichen Personenkontrolle wird der epa weitere Funktionen wie eine Authentisierungsfunktion und eine nachladbare Signaturfunktion zur Erstellung qualifizierter elektronischer Signaturen mit sich bringen. Mit dem epa wird dadurch in Deutschland eine flächendeckende Infrastruktur geschaffen, die jeden Bürger mit einer elektronisch prüfbaren Identität versorgt. Diese sogenannte eid sowie die qualifizierte Signatur kann in der Abwicklung von Geschäftsprozessen im egovernment und ebusiness eingesetzt werden. Die Gültigkeit des epa beläuft sich bei Personen unter 24 Jahren auf 6, ab einem Alter von 24 Jahren auf 10 Jahre. 5 4 vgl. Eckert (2008), S vgl. Eckert (2008), S

15 2.1 Funktionen und Anwendungsmöglichkeiten Der epa erfüllt somit drei grundlegende Funktionen die hier genauer dargelegt werden sollen: Identitätsnachweis elektonische Authentisierungsfunktion - eid (optional nutzbar) qualifizierte elektronische Signaturerstellung (optional nachladbar mit Zusatzkosten) Identitätsnachweis Die bisherige Hauptfunktion des Personalausweises ist der Identitätsnachweis in etwa bei hoheitlichen Personenkontrollen durch beispielsweise die Polizei. Jeder Deutsche ist nach 1 Abs. 1 Personalausweisgesetz (PersAuswG) ab 16 Jahren dazu verpflichtet einen Personalausweis zu besitzen, außer er ist im Besitz eines gültigen Reisepasses, mit dem er sich ausweisen kann. Der Personalausweis hat gegenüber dem Reisepass jedoch einige Vorteile. Er ist deutlich handlicher, kostengünstiger und ein wesentlicher Vorteil ist, dass auf ihm die aktuelle Wohnanschrift verzeichnet ist. Diese müsste bei der Identifikation mittels Reisepass bei Bedarf anderweitig nachgewiesen werden. Aufgrund dieser Vorteile hat der Personalausweis sich vor allem im Inland als universeller Identitätsnachweis etabliert. 6 Der neue epa wird wie der bisherige Personalausweis die Möglichkeit der Identitätsprüfung durch Inaugenscheinnahme zulassen. Daher sind wie beim bisherigen Modell körperliche Merkmale wie Lichtbild, Augenfarbe, Alter etc. sowie Name und Anschrift auf dem epa sichtbar aufgebracht. Zusätzlich wird der epa die epass-funktion des elektronischen Reisepasses, der seit dem 1. November 2005 ausgegeben wird, unterstützen. Hierbei werden neben den auf dem epa aufgedruckten Daten die biometrischen Daten aus dem integrierten Chip elektronisch ausgelesen. Die Aufnahme biometrischer Merkmale in den Personalausweis wird durch 1 Abs. 4 PersAuswG seit dem 9. Januar 2002 zugelassen. 7 Zwingend erforderlich für den epa wird ein biometrisches Gesichtsbild sein, welches auf dem Chip abgelegt wird. Anders als beim epass wird die Aufnahme der Fingerabdrücke jedoch optional sein und kann vom Antragsteller abgelehnt wer- 6 vgl. Engel (2006), S vgl. ebd Funktionen und Anwendungsmöglichkeiten 5

16 den. 8 Die erfassten biometrischen Daten werden dabei nur kurzzeitig zwischen Antragsstellung und Produktion des Ausweises gespeichert und sind danach entsprechend 26 PersAuswG zu löschen. 9 Nach der Produktion des Ausweises sind die Daten allein auf dem Chip gespeichert, es wird somit keine zentralen Datenbanken mit biometrischen Daten geben. Hier wird ein Grund für die Einführung neuer Personalausweise klar. Da der Personalausweis zumindest im Inland und innerhalb der EU als Passersatzdokument gültig ist, hat die Einführung biometrischer Merkmale zur stärkeren Bindung an den Inhaber und Erhöhung der Fälschungs- und Missbrauchssicherheit auf dem Reisepass Konsequenzen für den Personalausweis. Dieser wird mit Einführung des epa in Bezug auf die Identifikationsfunktion der Funktionalität und Fälschungssicherheit des Reisepasses angepasst. Allerdings bleibt der epa ebenso wie der epass auch mit defektem Chip ein gültiges Ausweisdokument, was die zusätzliche Sicherheit durch den Chip gewissermaßen aufweicht. Es gibt jedoch Hinweise darauf, dass in diesem Falle zusätzliche Kontrollen vorgenommen werden können, die allerdings nicht genauer spezifiziert werden Elektronische Authentisierungsfunktion Eine weitere Anwendung, die durch die Integration eines Chips in den epa ermöglicht wird und ihn grundlegend vom epass unterscheidet, ist die sogenannte eid-funktion. Damit wird es möglich, sich mit Hilfe der Daten, die auf dem RFID Chip gespeichert sind, online zu authentisieren. 11 Die Authentisierungsfunktion kann eingesetzt werden, wo bisher rechtlich oder faktisch die Vorlage des Personalausweises erforderlich, nicht jedoch die persönliche Anwesenheit der sich authentisierenden Person aus einem anderen Grund zwingend notwendig ist. Diese Vorgänge können folglich mit Hilfe des epas prinzipiell online vorgenommen werden. 12 Damit bietet der epa weitreichende Möglichkeiten im ebusiness und egovernment. Dies birgt jedoch auch zusätzliche datenschutzrechtliche Risiken. 13 Auf diese und die getroffenen Gegenmaßnahmen wird in Kap. 2.3 genauer eingegangen. 8 vgl. Eckert (2008), S vgl. Bundesamt für Sicherheit in der Informationstechnik. 10 vgl. Baier; Straub (2009), S vgl. Eckert (2008), S vgl. Roßnagel et al. (2008), S vgl. ebd., S Funktionen und Anwendungsmöglichkeiten 6

17 Die Nutzung der eid wird, wie schon erwähnt, optional sein. Es handelt sich hierbei um eine sogenannte Opt-out Lösung, da die eid-funktion standardmäßig implementiert sein wird. Die zur Nutzung notwendige sechsstellige eid-pin wird zusammen mit einem Sperrkennwort und einer PUK postalisch in einem PIN-Brief zugestellt. Will der Antragssteller die eid-funktion nicht, so gibt er bei der Abholung des epas den verschlossenen PIN-Brief zurück und teilt dies mit. 14 Die eid-funktion soll jederzeit, jedoch nur durch die Personalausweisbehörde, aktiviert oder deaktiviert werden können. 15 Obwohl eine Opt-out-Lösung prinzipiell die Gefahr birgt, dass die Verweigerungsmöglichkeit übersehen oder nicht wahrgenommen wird, äußern die Autoren Roßnagel et al. (2008) keine datenschutzrechtlichen Bedenken gegen die Opt-out-Lösung, da bei der Abholung des epas ein persönlicher Kontakt hergestellt wird und der Staat zu umfassender Information zur Wahlfreiheit der eid-funktion verpflichtet ist. Für Bürger unter 16 Jahren ist die Funktion deaktiviert und kann mit Erreichen des sechzehnten Lebensjahres von der Behörde auf Wunsch freigeschaltet werden. 16 Akzeptiert der Bürger die eid-funktion, so kann er den Personalausweis nutzen, um die im Chip gespeicherten Daten zu Authentisierungszwecken an einen Diensteanbieter online zu übermitteln. Hierfür sind folgende Datenfelder vorgesehen: 17 Name Vorname Doktorgrad Geburtsdatum, Geburtsort aktuelle Anschrift Dokumentenart (Personalausweis) ausstellendes Land personalausweisindividueller Schlüssel für die Erstellung von Pseudonymen (nicht zu verwechseln mit der Seriennummer des Ausweises) Gültigkeitszeitraum des epa 14 vgl. Roßnagel et al. (2008), S vgl. Eckert (2008), S vgl. Eckert (2008), S vgl. ebd Funktionen und Anwendungsmöglichkeiten 7

18 Darüber hinaus soll der Personalausweis Abfragen ob ein bestimmtes Alter über- oder unterschritten ist oder ob der Wohnort mit einem bestimmten Ort übereinstimmt erlauben, ohne dabei genaue Daten über den Inhaber des Personalausweises preiszugeben. Dies ist beispielsweise für regionale Angebote, die nur Anwohnern zur Verfügung stehen sollen oder bei Angeboten, die Volljährigkeit erfordern nützlich, insofern der Nutzer ansonsten anonym bleiben kann. Das entspricht dem Gebot der Datensparsamkeit. Biometrische Daten sind ausschließlich der hoheitlichen Personenkontrolle vorbehalten und werden im Zuge der eid-funktion nicht verwendet. Berechtigungszertifikate Nicht jeder Diensteanbieter darf alle Ausweisdaten abfragen. Um auf Daten des epa zugreifen zu können, benötigt der Diensteanbieter ein Berechtigungszertifikat. Dieses kann der Diensteanbieter sich von einer staatlichen Stelle ausstellen lassen. Beim dafür notwendigen Antragsverfahren muss der Diensteanbieter entsprechende Nachweise zum Datenschutz, der Notwendigkeit und der Verwendung der Daten sowie der Verwendung zertifizierter Hard- und Software erbringen. Die staatliche Stelle hat die Erfüllung der nötigen Anforderungen und die Notwendigkeit des Zugriffs auf die gewünschten Datenfelder zu prüfen. Erst nach positiver Prüfung der Kriterien wird das Erstellungsverfahren eingeleitet. Das Zertifikat wird dann nur mit den entsprechenden Berechtigungen ausgestellt. Ein Diensteanbieter bekommt damit lediglich Zugriff auf die für den angebotenen Dienst erforderlichen Daten und diese werden mit dem Zertifikat für den jeweiligen Nutzer ersichtlich und nachprüfbar gemacht. 18,19 Explizite Datenfreigabe Der Bürger behält dazu die vollständige Kontrolle darüber, welche Daten übermittelt werden. Bei jedem Authentisierungsvorgang müssen die angefragten Datenfelder angezeigt werden und der Bürger muss diese explizit freigeben und der Übermittlung der Daten durch Eingabe der eid-pin zustimmen. Damit wird, beispielsweise bei Diebstahl, zusätzlich die Missbrauchssicherheit erhöht, da zur Verwendung der eid-funktion immer die Kombination aus Besitz (epa) und Wissen (PIN) notwendig ist. Zusätzlich kann der Bürger den Personalausweis mit dem Sperrkennwort bei Bedarf sperren lassen. Dieser wird dann in öffentlich zugängliche bereichsspezifische Sperrlisten eingetragen, die von den Diensteanbietern überprüft werden können. 20,21 18 vgl. Eckert (2008), S vgl. Roßnagel et al. (2008), S vgl. Eckert (2008), S vgl. Bundesamt für Sicherheit in der Informationstechnik (2009b), S. 36 ff Funktionen und Anwendungsmöglichkeiten 8

19 Restricted Identification Zusätzlich zur vollständigen Identifikationsfunktion bietet der epa die Verwendung von Pseudonymen, auch Restricted Identification genannt. Ein Pseudonym ist eine Kennung, die die Bestimmung des Betroffenen ausschließt oder maßgeblich erschwert. Mit der Pseudonymfunktion wird der Tatsache Rechnung getragen, dass im Telemediengesetz vorgeschrieben ist, dass Diensteanbieter, wenn technisch umsetz- sowie zumutbar, die Nutzung und Bezahlung von Diensten anonym ermöglichen müssen. Der epa berechnet dafür aus dem im Berechtigungszertifikat des Diensteanbieters hinterlegten anbieterspezifischen Kennung und einem personalausweisindividuellen, geheimen Schlüssel ein Pseudonym, welches dem Diensteanbieter übermittelt wird. Für jeden Diensteanbieter wird durch die unterschiedliche Anbieterkennung jeweils ein anderes Pseudonym errechnet, was die Erstellung von Nutzerprofilen anhand des Pseudonyms verhindern soll. 22 Die Restricted Identification kann zum Wiedererkennen bereits registrierter Nutzer beim wiederholten Login oder für die anonyme Nutzung von Diensten, die keine eindeutige Identifizierung des Nutzers erfordern, genutzt werden. Um die eid-funktion tatsächlich nutzen zu können benötigt der Ausweisinhaber neben epa, PC und Internetzugang ein vom BSI zertifiziertes Kartenlesegerät für kontaktlose Chipkarten sowie eine entsprechende Software (Bürgerclient) zur Kommunikation zwischen PC und Lesegerät. Ein entsprechendes Kartenlesegerät wird abhängig von der Funktionalität zwischen 10 und 120 kosten. Der Bürgerclient soll kostenlos zur Verfügung gestellt werden. 23 Auf Seiten des Diensteanbieters wird ein eid-server benötigt, der mit dem Bürgerclient kommuniziert. Dieser eid-server kann wiederum von einem Service Provider betrieben werden. 24 Ablauf einer typischen Online-Authentisierung Abb. 2 zeigt den Ablauf einer typischen Online-Authentisierung. Zunächst fragt ein Ausweisinhaber mit seinem Browser einen Online-Dienst an. Dieser fordert danach Zugriff auf die epa Daten und übermittelt sein Berechtigungszertifikat. Nachdem dieses vom Ausweisinhaber in Augenschein genommen wurde und er es akzeptiert hat, bekommt er die Möglichkeit die zu übermittelnden Datenfelder einzeln an- oder abzuwählen. Danach muss er die gewünschten Daten mit Eingabe seiner eid-pin freigeben bevor die epa Daten schließlich übermittelt werden. 25 Sind die Anforderungen wie beispielsweise Volljährigkeit erfüllt, kann nun die Diensterbringung erfolgen. 22 vgl. Eckert (2008), S vgl. CCePA, Bürgerclient. 24 vgl. Bundesamt für Sicherheit in der Informationstechnik (2009c), S. 14 ff. 25 für die Realisierung der interaktiven Dialoge in der Simulationsanwendung vgl. Kap Funktionen und Anwendungsmöglichkeiten 9

20 Ablauf elektronischer Identitätsnachweis Ausweisinhaber Bürger-PC Diensteanbieter (E-Business, E-Government) Anfrage des Dienstes Staat Berechtigungszertifikat Datenabfrage Vorname Nachname Alter Bestätigung per PIN Dienst ist berechtigt und fragt nach Personendaten oder: epa-geheimnis + Anbieternummer = Pseudonym Datenübermittlung Dienst auf Website Diensteerbringung Zertifikat: - Name Diensteanbieter - Zweck Datenübermittlung - Berechtigung für - Vorname - Nachname - Alter - Abbildung 2: Ablauf elektronischer Identitätsnachweis [Srocke (2009), S. 12] Qualifizierte Signatur Als elektronisches Äquivalent zur eigenhändigen Unterschrift gilt nach dem deutschen Signaturgesetz (SigG) die qualifizierte elektronische Signatur (QES). Zur Erstellung einer solchen QES bedarf es einer sicheren Signaturerstellungseinheit (SSEE) gemäß 2 Nr. 10 SigG. Der epa wird als solche SSEE vorbereitet sein und somit das Erstellen qualifizierter Signaturen unterstützen. Die Nutzung dieser Funktion ist ebenso optional wie die eid-funktion, der epa wird jedoch standardmäßig ohne Zertifikat und Schlüsselpaar ausgeliefert. Er ist lediglich für die Schlüsselerzeugung und das spätere Nachladen eines qualifizierten Signaturzertifikates vorbereitet. Will ein Ausweisinhaber die Signaturfunktion des epas nutzen, so kann er den epa jederzeit als SSEE aktivieren. Nachdem er sich mittels eid-pin gegenüber dem Ausweis authentisiert hat, besteht der erste Schritt darin, eine geheime Signatur-PIN anzulegen. Mit dieser Signatur-PIN kann er in Zukunft die Signaturanwendung steuern. Damit ist die SSEE personalisiert. Im nächsten Schritt kann er ein Schlüsselpaar mit Signatur- und Signaturprüfschlüssel in der SSEE erzeugen. Dafür muss er eine gesicherte Verbindung zu einem Zertifizierungsdiensteanbieter (ZDA) seiner Wahl herstellen. Bei diesem kann er sich mittels der eid-funktion authentisieren. Der ZDA authentisiert sich seinerseits mittels dem Berechtigungszertifikat für das Auslesen der Authentifikationsdaten und einem Install Qualified Certificate, welches ihn zum späteren Speichern des qualifizierten Zertifikats für den öffentlichen Schlüssel auf dem Chip berechtigt. Nach erfolg Funktionen und Anwendungsmöglichkeiten 10

21 reicher gegenseitiger Authentifizierung fordert der ZDA die SSEE auf, ein Schlüsselpaar zu erzeugen. Der öffentliche Prüfschlüssel wird dann vom ZDA ausgelesen und dieser erstellt ein qualifiziertes Zertifikat für die identifizierte Person und den Prüfschlüssel. Das Zertifikat wird darauf abrufbar bereitgestellt und in die Signaturanwendung des epas geladen. Nun kann der epa zur Erstellung qualifizierter Signaturen genutzt werden. 26 Die Nutzung der elektronischen Signatur wird mit Zusatzkosten verbunden sein, abhängig von den Jahresgebühren des jeweiligen ZDA. 2.2 Motivation und Nutzen Aus den in Kap. 2.1 erläuterten Funktionen und Anwendungsmöglichkeiten lässt sich die Motivation, einen neuen Personalausweis einzuführen, erkennen. Den Personalausweis fälschungssicherer zu machen und durch zusätzliche biometrische Merkmale die Personenbindung zu erhöhen ist hierbei sicherlich einer der Gründe. Jedoch galt schon der aktuelle Personalausweis im In- und Ausland als besonders fälschungssicher und wurde daher allgemein anerkannt. 27 Damit spielt dieser Punkt zwar eine Rolle, kann jedoch nicht als Hauptgrund für die Einführung des epas gesehen werden. Die Einführung wurde am 9. März 2005 im Rahmen einer gemeinsamen ecard-strategie durch das Bundeskabinett beschlossen. Hierbei werden die elektronische Authentisierung und die qualifizierte elektronische Signatur als Stützpfeiler deutlich, die beide auch mit dem epa realisiert werden. 28 Um einheitliche Schnittstellen und somit den einheitlichen Zugriff auf die verschiedenen Chipkarten zu gewährleisten werden diese Schnittstellen im ecard-api-framework beschrieben. Der epa ist damit Teil eines groß angelegten Infrastrukturprojektes und spielt dabei eine wesentliche Rolle. Er erfüllt hierbei die grundlegenden Spezifikationen der European Citizen Card und stellt zusätzlich die schon genannte elektronische Authentisierung und die Erstellung qualifizierter elektronischer Signaturen zur Verfügung. 29 Mit der eid wird der epa zu einem universellen Identifikationsdokument, welches auch die sichere Identifikation beim elektronischen Geschäftsverkehr ermöglicht und so dem zunehmenden Identitätsbetrug entgegenwirken soll. Zusammen mit der qualifizierten Signatur lassen sich zusätzliche Geschäfts- und Verwaltungsvorgänge online abwickeln, 26 vgl. Roßnagel (2009), S vgl. Engel (2006), S vgl. Brömme et al. (2007), S vgl. ebd., S Motivation und Nutzen 11

22 die bisher die persönliche Anwesenheit der Beteiligten erforderten. Hiermit werden gewaltige Einsparpotentiale in Verwaltung und Wirtschaft erwartet, da davon ausgegangen werden kann, dass sich die aus dem Bankenbereich bekannte Faustregel dass eine Online-Transaktion zehnmal weniger kostet als eine Schalter-Transaktion und siebenmal weniger als eine Brief-Transaktion 30 auch auf andere Bereiche übertragen lässt. Von der Einführung des epa erhofft man sich die erforderliche Initialzündung zur breiten Durchsetzung der elektronischen Signatur im egovernment und ebusiness, da hiermit die erforderliche flächendeckende Infrastruktur geschaffen wird. Die Motivation einer solchen gesamtgesellschaftlichen Anstrengung leitet sich aus der Tatsache ab, dass in Deutschland zwar alle Rechtsgrundlagen zur Verwendung qualifizierter Signaturen vorhanden sind, diese jedoch nur in wenigen Teilbereichen genutzt werden. Das Problem ist darin zu sehen, dass für Anwender die Nutzung nur interessant ist, wenn viele Anwendungen zur Verfügung stehen, ein Anbieter jedoch nur Anwendungen mit Signaturverfahren anbieten wird, wenn die Nutzung weit verbreitet ist. Da der Aufbau einer entsprechenden Infrastruktur mit hohen Kosten verbunden ist, jedoch alle Anbieter von den Vorleistungen eines einzelnen profitieren würden, kann weder vom Markt, noch von einzelnen Teilnehmern der Aufbau einer solchen Infrastruktur erwartet werden. 31 Daraus erklärt sich die Notwendigkeit einer groß angelegten Infrastrukturinvestition des Bundes. Es sind hierbei nicht nur positive Effekte für die Infrastrukturbetreiber und Hersteller von Chipkarten und anderer Hardware zu erwarten, sondern auch für all diejenigen, die die Infrastruktur nutzen. Da durch die Investition ein breiter Markt für Anwendungen, die die eid und qualifizierte Signatur nutzen, zugänglich gemacht wird, dürfte dies zu einem ansteigenden Angebot führen, wodurch wiederum die Nachfrage der Nutzer steigen wird. Die Möglichkeit, eine solche Infrastruktur nutzen zu können, dürfte darüber hinaus neue innovative Anwendungen und Mehrwertdienste hervorbringen Sicherheitsmechanismen und Protokolle Ein wichtiger Punkt im Kontext des epa ist der Schutz der auf dem Chip gespeicherten Daten. Der epa wird mit einem ISO konformen, kontaktlosen RFID Chip ausgestattet sein. Bei diesen Chips können Daten in einer Entfernung von ca. 10 cm vom Lese- 30 Roßnagel (2005), S vgl. ebd., S vgl. ebd., S Sicherheitsmechanismen und Protokolle 12

23 gerät gelesen und geschrieben werden. Eine Studie des BSI hat jedoch ergeben, dass ein Mithören der Kommunikation zumindest unter Laborbedingungen in einer Entfernung von bis zu 4 m erreicht werden kann. 33 Daher sind Zugriffsschutz- und Verschlüsselungsmechanismen für die Kommunikation über die Luftschnittstelle notwendig. Zusätzlich muss bei Nutzung der eid-funktion die Kommunikation über ein ungeschütztes Netzwerk wie das Internet stark abgesichert werden. Schutzziele sind hierbei die Integrität und Authentizität der Ausweisdaten sowie Zugriffskontrolle und vertrauliche Kommunikation. 34 Dabei muss nicht nur die Integrität und Authentizität der Daten, sondern auch die des Chips selbst sicher gestellt werden. Ein weiteres Ziel ist das schon erwähnte Konzept der Datensparsamkeit, wonach der Ausweisinhaber bei der Kommunikation mit einem Diensteanbieter selbst bestimmen kann, welche Daten dieser auslesen darf und welche nicht. Darüber hinaus muss sichergestellt werden, dass der Nutzer des epas auch der rechtmäßige Inhaber ist, was bei Online-Anwendungen nicht über den Vergleich des Gesichtsbildes erfolgen kann. Andererseits soll es der Ausweis dem Inhaber erlauben zu erkennen mit wem er kommuniziert um Phishing zu erschweren. Letzten Endes muss auch ein mögliches Tracking verhindert werden und damit das unbemerkte Wiedererkennen eines bestimmten Ausweises. Um die Schutzziele zu erreichen werden im epa eine Reihe aufeinander aufbauende kryptographische Protokolle realisiert. Für den epa wird die bereits vom epass bekannte Extended Access Control (EAC), bestehend aus Terminal-, Chip- und passiver Authentisierung zum Einsatz kommen. Für den Aufbau einer verschlüsselten Verbindung zwischen Lesegerät und Ausweischip ist das beim epass verwendete Verfahren Basic Access Control (BAC) jedoch nicht geeignet. 35 Daher kommt für den epa an dieser Stelle das neu entwickelte Verfahren Password Authenticated Connection Establishment (PACE) zum Einsatz, welches unautorisierte Lesezugriffe auf die Daten des Chips verhindert. Abb. 3 gibt einen Überblick, wie die Zugriffskontrolle beim epa realisiert wird PACE PACE ist ein kryptographisches Protokoll, welches klassische PIN basierte Authentisierungstechniken für kontaktlose Chipkarten ermöglicht. BAC kann nicht mit schwachen (Benutzer-) PINs eingesetzt werden, da es lediglich symmetrische Kryptographie ver- 33 vgl. Baier; Straub (2009), S vgl. Bender et al. (2008), S vgl. ebd Sicherheitsmechanismen und Protokolle 13

24 aher sind riffsschutzchanismen r die Luftalle der Onn nicht gest auch dien. n während rgangs vor ss auch ein indert wertizität und erten Daten ichert werder Inhaber nn, welche slesen darf mkeit). Die uss immer im Onlinech des Gechergestellt tatsächlich muss diese m Wege sinische Perrmöglichen nstanbieter unter Verwenird vom BSI eineu entwickelte Protokoll Password Authenticated Connection Establishment (PACE) verwendet. Abbildung 1 Zugriffskontrolle Ausweis PACE Zertifikat Lesegerät Zertifikat PIN-Eingabe Terminal-Authentisierung Chip-Authentisierung Dienst Password Authenticated Connection Establishment PACE Abbildung 3: Zugriffskontrolle epa [Bender et al. (2008), S. 174] Verbindungsaufbau... Der epass verwendet für den Aufbau einer verschlüsselten Verbindung zwischen Chip und Lesegerät das von der International Civil Aviation Organization (ICAO) normierte Basic Access Control (BAC, [7]). Dieses Protokoll verwendet einen Teil der Daten aus der maschinenlesbaren Zone, um daraus einen symmetrischen Schlüssel abzuleiten. Basierend auf diesem Schlüssel findet eine gegenseitige Authentisierung zwischen Chip und Lesegerät statt. Nur wenn das Lesegerät die notwendigen Daten kennt (in der Regel durch optisches Lesen der MRZ), kann es auf die restlichen Daten zugreifen. Wie in [11] beschrieben, hängt die Stärke der BAC-Vertauschen die öffentlichen Schlüssel aus. Aus dem eigenen privaten Schlüssel und dem öffentlichen Schlüssel des jeweils anderen kann nur ein gemeinsames Geheimnis berechnet werden. Da beide Parteien jeweils ein flüchtiges Schlüsselpaar verwendet haben, ist das gemeinsame Geheimnis nicht authentisiert, es besteht also die Möglichkeit einer Man-in-the- Middle-Attacke bzw. eines unberechtigten Zugriffs.... und PIN-Abfrage Zur Authentisierung des gemeinsamen Geheimnisses und insbesondere des Lesegeräts wird ein Passwort (PIN) verwendet Bei PACE wird das Passwort zur (symmetrischen) Verschlüsselung einer durch den Chip gewählten Zufallszahl genutzt 3. Damit das Lesegerät die Zufallszahl entschlüsseln kann, benötigt es das korrekte Passwort andernfalls entschlüsselt das Lesegerät eine falsche Zufallszahl und die Authentisierung und damit das PACE- Protokoll schlägt fehl. Dabei dient je nach Anwendungsfall wahlweise ein aus der MRZ abgeleiteter Schlüssel (analog zu BAC), eine auf der Karte aufgedruckte wendet und zu schwache Sitzungsschlüssel resultieren würden. PACE verwendet dagegen zusätzlich asymmetrische Kryptographie um starke Sitzungsschlüssel auszuhandeln, welche über die einfachen PINs abgesichert werden. 36 PACE unterstützt dabei zwei Klassen von Passworten: Karten-PIN und Benutzer-PIN. Die Karten-PIN ist keine geheime PIN. Sie ist optisch lesbar auf dem epa aufgedruckt. Daneben kann auch ein aus der maschinenlesbaren Zone (MRZ) abgeleiteter Schlüssel als Passwort für PACE genutzt werden. Dieser ist mit der Karten-PIN vergleichbar. Karten- PIN oder MRZ kommen bei der hoheitlichen Personenkontrolle zum Einsatz, um ein Auslesen der Daten ohne die Eingabe einer PIN durch den Ausweisinhaber zu ermöglichen. Es wird hiermit lediglich der Steckvorgang kontaktbehafteter Karten simuliert. Die Bindung an den Ausweisinhaber wird dabei über Inaugenscheinnahme durch den kontrollierenden Beamten erreicht, die Zustimmung zum Auslesevorgang über das Aushändigen des Ausweises wie bei BAC beim epass. Das 2 Um die Entropie der Schlüssel zu erhöhen, werden Lesegerät bei den epässen muss in der diesem zweiten Fall Stufe (seit 1. zusätzlich den Status als hoheitliches Lesegerät durch November entsprechende 2007) Teile Zertifikate der nun alphanumerischen bei der anschließenden Terminal-Authentisierung nachweisen. Seriennummer Damit wirdpseudozufällig verhindert, dass gewählt. diese nicht geheimen PINs durch Angreifer missbraucht werden. 3 Die Stärke des Passworts und die Stärke der Chiffre sind 37,38 dabei unerheblich; es muss nur sichergestellt werden, ist dagegen dass ein eine Chiffretext geheime mit jedem Die Benutzer-PIN, beim epa im Allgemeinen die eid-pin, möglichen Schlüssel entschlüsselt werden kann. PIN und nur dem Karteninhaber bekannt. Er erhält diese, wie schon erwähnt, in einem PIN-Brief. Damit kann der Besitzer des Ausweises durch Eingabe der PIN nachweisen, DuD dass er der berechtigte Inhaber und somit berechtigte Datenschutz Benutzer ist. und Die Datensicherheit eid-pin wird im Allgemeinen für die Online-Authentisierung genutzt werden, um die Authentisierung 36 vgl. Bender et al. (2008), S vgl. Eckert (2008), S vgl. Bender et al. (2008), S Sicherheitsmechanismen und Protokolle 14

25 direkt an den Inhaber des Ausweises zu binden. 39,40 Im Gegensatz zur Karten-PIN ist die Benutzer-PIN eine blockierende PIN um Brute-Force Angriffe wie das Durchprobieren und Raten von PINs zu verhindern. Das heißt, dass nach dreimaliger Falscheingabe die Benutzer-PIN gesperrt wird und nur mit einer PUK wieder freigeschaltet werden kann. Diese kann nicht zum Ändern der PIN verwendet werden, sondern lediglich um den Fehlbedienungszähler zurückzusetzen. 41 Dieser Mechanismus macht den epa jedoch anfällig für Denial-of-Service Angriffe durch mehrmalige Verbindungsanfrage mit falscher PIN, die beim epa eine räumliche Nähe von ca. 10 cm erfordern. Um diese Gefahr abzuschwächen fordert der epa nach zweimaliger Falscheingabe zunächst die Eingabe der Karten-PIN und akzeptiert erst danach eine weitere Eingabe der Benutzer- PIN, wodurch der Angreifer Zugriff auf den Ausweis haben müsste. 42 Protokoll (vergröbert) Im Kern handelt es sich bei PACE um einen Diffie-Hellman-Schlüsselaustausch (DH- Schlüsselaustausch). Lesegerät und Chip generieren hierfür bei jeder Authentisierung ein neues flüchtiges (ephemeral) Schlüsselpaar, mit dessen Hilfe ein gemeinsamer Sitzungsschlüssel ausgehandelt wird. Das DH-Verfahren ist aufgrund der nicht authentifizierten flüchtigen Schlüsselpaare nicht Man-in-the-Middle sicher. Daher wird die PIN verwendet, um den erzeugten, gemeinsamen Sitzungsschlüssel zu authentifizieren: 43 Zunächst generiert der Chip eine Zufallszahl, welche mit Hilfe eines aus der PIN abgeleiteten Schlüssels symmetrisch verschlüsselt und an das Lesegerät übertragen wird. Das Lesegerät muss die PIN (PIN Eingabe durch Benutzer oder Auslesen der Karten- PIN oder MRZ) kennen, um die Zufallszahl zu entschlüsseln. Bei falscher PIN wird die Zufallszahl falsch entschlüsselt, was zu einem Fehlschlagen des PACE Protokolls führt. Chip und Lesegerät erzeugen DH-Schlüsselpaare mit Hilfe der DH-Parameter, in deren Bestimmung die zuvor ausgetauschte Zufallszahl einfließt und tauschen die öffentlichen Schlüssel aus. Daraus wird ein gemeinsames Geheimnis berechnet, aus dem der Sitzungsschlüssel und ein Integritätsschlüssel abgeleitet werden. 39 vgl. Bender et al. (2008), S vgl. Eckert (2008), S vgl. Eckert; Herfert (2009), S vgl. Bender et al. (2008), S vgl. Eckert (2008), S Sicherheitsmechanismen und Protokolle 15

26 Nachdem die Integrität der Kommunikation mit Hilfe des Integritätsschlüssels vom Chip als auch vom Lesegerät überprüft wurde, wird die folgende Kommunikation im Rahmen des Secure Messaging mit dem neuen Sitzungsschlüssel verschlüsselt. Die asymmetrischen Verfahren basieren auf elliptischen Kurven (ECDH, ECDSA) mit 224 Bit Schlüsseln. Für die anschließende sichere Kommunikation wird der symmetrische Verschlüsselungsalgorithmus AES (Advanced Encryption Standard) verwendet, wodurch ein sehr hohes Sicherheitsniveau erreicht wird. 44 Genaue Details zu dem hier beschriebenen PACE Protokoll sowie den folgenden Protokollen können der Technischen Richtlinie TR entnommen werden Terminal-Authentisierung Anders als beim epass sind beim epa alle gespeicherten Daten durch EAC vor unberechtigtem Auslesen geschützt. Dies ist notwendig, da hier gerade auch bei der Online- Authentisierung mit a priori nicht vertrauenswürdigen Gegenstellen kommuniziert wird. Die Terminal-Authentisierung dient dabei der Authentisierung der hoheitlichen Lesegeräte bzw. der Diensteanbieter. Bei der Online-Authentisierung fungiert das Lesegerät lediglich als Gateway. Hierfür wird eine Public Key Infrastruktur (PKI) benötigt. Diese ist in Kap erklärt und in Abb. 4 grafisch veranschaulicht. Protokoll (vergröbert) 46,47 Die Terminal-Authentisierung ist ein asymmetrisches Challenge Response Protokoll. Das Lesegerät bzw. der Diensteanbieter übermittelt eine Zertifikatskette, mit deren Hilfe der Chip das Zertifikat des Lesegeräts bzw. des Diensteanbieters verifiziert. Der Diensteanbieter berechnet einen für die spätere Chip-Authentsierung verwendetes flüchtiges DH-Schlüsselpaar und sendet den komprimierten öffentlichen Schlüssel an den Chip. Daraufhin schickt der Chip eine Zufallszahl an das Lesegerät bzw. den Diensteanbieter, welche dieser zusammen mit der Chip-ID und dem komprimierten öffentlichen DH-Schlüssel signiert und zurücksendet. Die Signatur muss der Chip daraufhin mit dem öffentlichen Schlüssel aus dem Zertifikat des Lesegeräts verifizieren. 44 vgl. Bender et al. (2008), S Bundesamt für Sicherheit in der Informationstechnik (2009b). 46 vgl. Eckert (2008), S. 14, S vgl. Bundesamt für Sicherheit in der Informationstechnik (2009b), S. 34 ff Sicherheitsmechanismen und Protokolle 16

27 Gelingt dies, wird das Lesegerät bzw. der Diensteanbieter berechtigt Daten aus dem Chip auszulesen. Vor dem Auslesevorgang wird jedoch zunächst noch die Chip-Authentisierung durchgeführt. Die Zugriffsrechte für einzelne Datenfelder sind in den Berechtigungszertifikaten des Lesegeräts bzw. des Diensteanbieters detailliert geregelt, wodurch erreicht wird, dass einzelne Diensteanbieter nur Zugriff auf bestimmte Datenfelder haben. 48 Diese Leserechte werden bei der Terminal-Authentisierung geprüft. Der Chip gewährt nur Zugriff auf die durch das Zertifikat freigegebenen Daten, wobei die Zugriffsrechte wie bereits weiter oben erwähnt vom Nutzer vor der PIN-Eingabe weiter eingeschränkt werden können. Da der Chip nur die Signatur des Berechtigungszertifikates prüft, jedoch keine Sperrlisten überprüfen kann, dürfen Berechtigungszertifikate für Diensteanbieter eine maximale Gültigkeitsdauer von ein bis drei Tagen haben. 49 Aufgrund der Identifizierung des Diensteanbieters, bietet der epa auch einen wirksamen Schutz vor Phishing und anderen unlauteren Angriffen Chip-Authentisierung Um die Echtheit des Chips nachzuweisen, damit sich beispielsweise ein Diensteanbieter sicher sein kann mit einem echten Chip zu kommunizieren und nicht mit einem geklonten oder anderweitig gefälschten Chip, wird die Chip-Authentisierung durchgeführt. Diese wird erst nach erfolgreicher Terminal-Authentisierung abgearbeitet. Gleichzeitig wird hier eine sichere Ende-zu-Ende Verbindung mit starker Verschlüsselung zwischen Chip und Lesegerät bzw. bei der Online-Authentisierung zwischen Chip und Diensteanbieter hergestellt. 51,52 Bei der Chip-Authentisierung handelt es sich um einen DH-Schlüsselaustausch. Dabei ist der Schlüssel des Terminals bzw. Diensteanbieters jeweils flüchtig, der DH-Schlüssel des Chips dagegen statisch. Der öffentliche Schlüssel des Chips ist dabei vom Ausweishersteller signiert. Diese Signatur kann vom Terminal bzw. Diensteanbieter überprüft werden, womit die Authentizität des Chips nachgewiesen wird (passive Authentisierung). Der private DH-Schlüssel des Chips ist im nicht auslesbaren Speicherbereich abgelegt, 48 siehe auch Kap vgl. Eckert (2008), S vgl. Bender et al. (2008), S vgl. Eckert (2008), S. 13, S vgl. Bender et al. (2008), S Sicherheitsmechanismen und Protokolle 17

28 womit ein Klonen des Chips verhindert wird. Aus den ausgetauschten Schlüsseln wird ein gemeinsames Geheimnis berechnet, aus dem ein MAC-Schlüssel zur Integritätsprüfung und ein Sitzungsschlüssel für das anschließende Secure Messaging abgeleitet werden. Die Man-in-the-Middle Sicherheit wird zum einen über die Signatur des öffentlichen Chip-Schlüssels, zum anderen mit Hilfe der Daten aus der vorhergehenden Terminal- Authentisierung, bei dem der öffentliche DH-Schlüssel des Diensteanbieters bereits komprimiert und signiert übertragen wurde, erreicht. Die genauen Protokollabläufe sind in der technischen Richtlinie TR zu finden. Wie bei PACE 54 werden auch hier ECDH und ECDSA mit 224 Bit Schlüsseln und AES für die anschließende sichere Kommunikation verwendet. Die Integrität der Chip-Daten wird bei der epass-anwendung durch Prüfung der digitalen Signaturen der Daten, die vom Ausweishersteller erstellt wurden und im Security Object enthalten sind, sichergestellt. Dies ist bei der eid-funktion nicht möglich und datenschutzrechtlich nicht gewünscht: Die Meldebehörde kann bei Ummeldung die aktuelle Anschrift, die Teil der Authentisierungsfunktion ist, ändern. Da sie jedoch keinen Zugriff auf die Signaturschlüssel der Ausweishersteller hat, kann für die neue Anschrift keine gültige Signatur erstellt werden. Auf der anderen Seite werden die Daten zur Authentisierung bei Diensteanbietern über das Internet genutzt. Würde man hier signierte Datensätze übermitteln, wäre der Diensteanbieter im Besitz von Daten, die er an Dritte weitergeben und deren Echtheit er nachweisen könnte. Das ist aus Datenschutzgründen unerwünscht. 55 Daher wird beim epa die Integrität nur implizit über die Chip-Authentisierung gesichert. Da Daten im Chip nach der Herstellung nur durch die Ausweisbehörden geändert werden können, ist deren Authentizität und Integrität durch die verschlüsselte Übermittlung über den bei der Chip-Authentisierung aufgebauten sicheren Kanal sichergestellt. Durch die mit dem zuvor ausgehandelten Sitzungsschlüssel verschlüsselte Übertragung der Daten, sind die bei der Terminal-Authentisierung ermittelten Leserechte implizit an diesen Schlüssel gebunden. Darüber hinaus wird ein Mithören der Daten durch Dritte verhindert. 53 vgl. Bundesamt für Sicherheit in der Informationstechnik (2009b), S. 32 ff. 54 siehe Kap vgl. Bender et al. (2008), S Sicherheitsmechanismen und Protokolle 18

29 2.3.4 Dynamische UID Bei kontaktlosen Chipkarten besteht immer die Gefahr des unbemerkten Trackings, also dem Erstellen von Bewegungsprofilen und dem Erkennen von Aufenthaltsorten durch Wiedererkennen der Chip-ID, mit der sich der Chip bei Lesegeräten meldet. Um dies zu erschweren verwendet der epa dynamische UIDs. Darüber hinaus werden andere Daten des Chips erst nach erfolgreicher Durchführung von PACE und Terminal- Authentisierung preisgegeben Public Key Infrastruktur Um die vorgelegten Zertifikate bei Terminal- und Chip-Authentisierung überprüfen zu können, wird eine flächendeckende PKI benötigt. Als Wurzelinstanzen der PKIs ist jeweils das BSI vorgesehen. Es signiert einmal als Country Verifying Certification Authority (CVCA) die Zertifikate von Document Verifiern (DV), die wiederum die Schlüssel von Lesegeräten und Diensteanbietern signieren. Bei der zweiten PKI signiert es als Country Signing Certification Authority (CSCA) die Schlüssel der Ausweishersteller, welche die DH-Schlüssel für die Chip-Authentisierung signieren. Im Chip des epa wird das Root Zertifikat der CVCA abgelegt mit dem dieser die in Kap erwähnten Zertifikatsketten verifizieren kann. Demgegenüber können Diensteanbieter und andere berechtigte Stellen mit Hilfe des entsprechenden Root Zertifikates der CSCA die Schlüssel des Chips bei der Chip-Authentisierung verifizieren. In Abb. 4 ist die für die Terminal-Authentisierung benötigte PKI dargestellt. Abb. 5 zeigt die für die Chip-Authentsierung notwendige PKI. SCHWERPUNKT geheime Benutzersswort. Für die Onwird im Allgemei- -PIN genutzt. Datisierung nicht nur ern auch direkt an (Nachweis von Be- Personenkontrolle, st es notwendig, dass -Eingabe durch den rden können. In die- Verbindungsaufbau druckte Karten-PIN r Status des hoheitlientsprechende Zerenden Terminal-Auiesen werden. en Geheimnis werhe Schlüssel für die entisierte Kommu- Abbildung 2 Die EAC-PKI DV Meldestelle CVCA (BSI) DV Polizei DV ebusiness egovernment ter sondern durch einen Dritten ausgelesen werden, wird so verhindert. Fälschungssicherheit Passive Authentisierung Wie in [11] beschrieben wird die Integrität und Authentizität der Daten der epass- Lesegerät Lesegerät Lesegerät Anwendung durch digitale Signaturen (Passive Authentisierung) geschützt. Dazu al. wird (2008), eine PKI S. 175] genutzt, bestehend aus Abbildung Beim epass wird 4: dieses EACProtokoll PKI [Bender zur Autorisierung et zum Zugriff auf die Fingerab- druckdaten verwendet. Eine Autorisierung des Lesegerätes zum Auslesen der MRZ-Daten vgl. Bender und etdes al. Geschichtsbildes (2008), S ist beim epass hingegen nicht notwendig, da diese Daten auch auf der Datenseite des 2.3. Passes Sicherheitsmechanismen aufgedruckt sind und undie Protokolle Einwilligung zum Auslesen des Passes durch die Übergabe an z.b. einen Grenzbeamten gegeben wird. Anders ist die Situation beim elektroni- der Wurzelinstanz Country Signing Certification Authority (CSCA, betrieben vom BSI) sowie mindestens einem Document Signer (DS, betrieben vom Ausweishersteller). Für die Daten der Authentisierungsfunktion ergeben sich bei dieser Vorgehensweise zwei Probleme: 1. Die Authentisierungsfunktion ist auch zur Authentisierung gegenüber einem Dienstanbieter über ein Netzwerk vorgesehen. Werden die Daten der Authen- 19

30 SCHWERPUNKT Abbildung 3 Die Signer-PKI PACE ermöglicht zusätzlich die Eingabe/Verifikation nicht an den Chip übertragen, d.h. sie ist CSCA (BSI) einer PIN, dadurch durch einen Angreifer nicht durch Abhö- Bindung der Authentisierung an die ren zu erlangen. Stattdessen wird die richtige Person und Schutz vor unbefugter Eingabe der PIN durch den erfolgrei- DS (Produzent) Nutzung des elektronischen Personalausweises. nachgewiesen. chen Ablauf der PACE-Authentisierung Public Key (Ausweis) Die Terminal-Authentisierung stellt sicher, dass das Lesegerät/der Dienstanbieter nur berechtigte Zugriffe durchführen Wie bei Kartenanwendungen üblich, ist diese PIN durch einen Fehlbedienungszähler geschützt, der die Authentisie- kann. Die Leserechte können rungsfunktion nach dreimaliger Chip-Authentisierung Die Chip-Authentisierung Abbildung 5: Signer dient zum PKI einen [Bender für die etverschiedenen al. (2008), S. Datenfelder 176] separat Falscheingabe sperrt. Im Vergleich zu anderen dem Nachweis, dass es sich bei dem Chip um einen echten Chip (und nicht etwa vergeben werden. Die Chip-Authentisierung baut einen Kartenanwendungen (z.b. Bank- karte) wird die Länge der PIN von übli- um eine Fälschung oder einen Klon) sicheren Ende-zu-Ende-Kanal zwicherweise vier Ziffern auf sechs Ziffern er- handelt, 2.4 zum Probleme anderen wird ein und sicherer Gefährdungen schen Chip und Dienstanbieter auf. höht. Dies entspricht den Vorgaben der Kanal zwischen Chip und Lesegerät, bzw. Weiter wird durch die Chip-Authentisierung qualifizierten elektronischen Signatur. in Verbindung mit der Passi- Ein Entsperren der PIN ist durch einen Dienstanbieter bei der Online-Authentisierung, Obwohl aufgebaut. der epa ein großes Maß ven Authentisierung an Sicherheitdie mit Echtheit sich bringt, des PUK bleiben möglich. doch noch einige Die Fragen Chip-Authentisierung offen, die basiert es bisauf zur Einführung Chips nachgewiesen. zu klären gilt. Wird die Signaturfunktion genutzt, dem Diffie-Hellman-Schlüsselaustausch, Die Integrität und Authentizität der wird für diese eine weitere geheime Signatur-PIN genutzt. wobei das Lesegerät ein flüchtiges (ephemeral) Schlüsselpaar und der Chip ein sta- den Echtheitsnachweis des Chips gesi- ausgelesenen Daten wird implizit über Ein Punkt betrifft die Verwendung der Restricted Identification. 57 Nach der Spezifikation tisches TR Paar nutzt. Der werden öffentliche zur Schlüssel des Chips wird während des Herstel- Ist nur der Aufbau eines sicheren PACE- Sperrung chert. eines epa bereichsspezifische Karten-PIN Revocation Lists erstellt, 58 lungsprozesses die diesigniert bereichsspezifischen (Passive Authentisierung). Pseudonyme der gesperrten epas Kanals enthalten. zu einer bestimmten Damit istkarte die gewünscht, Möglichkeit Durch die Verwendung ausgeschlossen des signierten Schlüssels wird die Echtheit des men PIN eine aufgedruckte sechsstellige Folgeausweise, die nach Tracking Diebstahl, Verlust so wird oder hierzu regulärem statt der gehei- Chips nachgewiesen, Ablaufen des gleichzeitig Gültigkeitszeitraumes wird ein Neben der erstellt Gefahr des werden, unbemerkten mit Auslesens demkarten-pin selben personalausweisindividuellenzwischen (oder die MRZ) genutzt. Hier besteht bei einer kontaktlosen wird nur der Besitz der Karte, nicht aber Schlüssel stark verschlüsselter und authentisierter Ende-zu-Ende-Kanal Chip für und dieschnittstelle Erstellung prinzipiell von Pseudonymen auch die Möglich-zudikeit, versehen. Identität des Dies Benutzers führt nachgewiesen. dazu, bereichsspezifische die Bewegungen des Besitzers Pseudonyme durch Dies für wird die beispielsweise Authentisierung für die hoheitli- (im Falle dass der ein Online-Authentisierung) neuer Ausweis neue Dienstanbieter aufgebaut. das Auslesen eindeutiger Kartenmerkmale unbemerkt zu verfolgen (Tracking). Um des Benutzers direkt (z.b. über das Geche Kontrolle genutzt, bei der die Identität Da die beidaten Diensteanbietern auf dem Chip (nach errechnet. der Personalisierung während der Herstellung) nur Damit durch stellt eine Ausweisbehörde sich die Frage ge- wie Mechanismen erreichteingesetzt: werden Analog kann, zum dass einim Inhaber optimalen eines Fall würde epa die nach Karten- dies zu verhindern, werden verschiedene sichtsbild) überprüft wird. schrieben werden können, ist die Authentizität epass verwendet der elektronische Personalausweis die mit dem eine variable Vorgängerausweis Chip-UID (mit erstellten PIN vom elektronischen Personalausweis Erhalt der Daten eines auf dem neuen Chip gesichert. epas auf beim Verbindungsaufbau Nutzerkonten zufällig zugreifen gewählt die Chip-Authentisierung kann. Bei Nutzerkonten, wird ne- der sich die der bei Chip Registrierung gegenüber einem Lese- eine vollständige und auf einem Display Identifizierung auf dem Personal- Durch ben der Authentizität des Chips auch die gerät meldet), vergleiche [11]. ausweis angezeigt. Alternativ kann die Integrität erfordert und Authentizität haben, der könnte in dem diesebenso über kann eineauf erneute alle anderen vollständige identifizierenden Karten-PIN Identifizierung während des erfolgen, Herstellungs- Daten nur nach erfolgreicher prozesses der Karte zufällig erzeugt und gesicherten Kanal übertragenen Daten sichergestellt. Eine explizite Signatur der Durchführung von PACE und Terminal- aufgedruckt werden. nach der das neue Pseudonym für den jeweiligen Account hinterlegt wird. Diese Möglichkeit ist daher nicht besteht notwendig jedoch und, wie nicht Authentisierung bei Diensten, zugegriffen die allein werden. mit der Restricted Identification Daten oben beschrieben, auch nicht wünschenswert. genutzt werden. Ein einfaches Beispiel hierfür könnte ein Nutzerkonto bei einem Inter- Denial of Service Die Korrektheit netforumder sein, Protokolle bei dem der EAC man sich nur mit Pseudonym PINs angemeldet Durch hat. die kontaktlose Schnittstelle besteht die Gefahr eines Denial-of-Service- wurde durch das BSI in formalen Analysen nachgewiesen. Ein Sicherheitsbeweis Authentisierungs-PIN Angriffs auf die geheime PIN, indem ein Eine weitere Schwachstelle ist, dass vom epa nur die Daten der Authentisierung geschützt für das PACE-Protokoll wurde durch das Der Zugriff auf die Authentisierungsfunk- Angreifer im Vorübergehen drei Verbin- und wird werden. zur Zeit Sollen zur Veröf- danach tion zur während Nutzung der für egovernment Dienstenutzung oder dungsversuche sicher weitere mit falschen DatenPINs aus- durch- BSI erstellt fentlichung vorbereitet. ebusiness erfolgt über eine geheime sechsstellige PIN. ein Dadurch separater wird sicherer bei der Au- Kanal dies etabliert zu verhindern, werden. muß spätestens Beimnach führt und dadurch die Karte sperrt. Um Zusammenfassend getauscht werden, erhalten wir sodurch muss hierfür die verschiedenen Pilotprojekt kryptographischen CampusPilot wird thentisierung daher nicht zunächst nur der Besitz einedes SSL-Verbindung Personalausweises nachgewiesen, sondern durch die korrekte Eingabe der aufge- zwei Fehlversuchen zum der Server Besitz der deskarte Protokolle Schutz vor verschiedenen Angriffen: Diensteanbieters etabliert. 60 durch Allerdings den Nachweis besteht des Wissens keine direkte PIN Verknüpfung druckten Karten-PIN zwischen nachgewiesen den werden. PACE schützt vor Zugriff im Vorbeigehen siehe und baut Kap. einen verschlüsselten wird die Authentisierung an den Inhaber gebunden. 5 Eine eingegebene PIN wird integritätsgesicherten vgl. Bundesamt Kanal für zwischen Sicherheit in der Informationstechnik (2009b), S. 36 ff. Karte und vgl. Lesegerät Eckert (2008), auf. S Natürlich ist Voraussetzung, dass der Inhaber 60 vgl. Eckert; Herfert (2009), S. 8. seine geheime PIN tatsächlich geheim hält. 176 DuD Datenschutz und Datensicherheit Probleme und Gefährdungen 20 dud_308.indb :35:4

31 für die SSL-Verbindung ausgehandelten und den vom epa für die Authentisierung ausgehandelten Schlüsseln. 61 Daher kann der epa hier nicht die gegenseitige Authentizität der Kommunikationspartner der nur über die SSL-Verbindung gesicherten Kommunikation sicherstellen. Dies führt zu einem theoretischen Szenario, nach dem Man-in-the-Middle Angriffe trotz sicherer Authentisierung weiterhin möglich sind, wenn es dem Angreifer gelingt einem Nutzer ein gefälschtes SSL-Zertifikat unterzuschieben. Hierfür sind konkrete Fälle bekannt, bei denen unter Ausnutzung der Nullzeichen Terminierung einige der gängigsten Browser getäuscht werden konnten. Einer Meldung vom auf zufolge wurde ein Zertifikat, welches diese Schwachstelle ausnutzte, für den Zahlungsdienstleister PayPal entdeckt. 62 Damit kann dem Opfer eine vermeintlich sichere Verbindung zu einem legitimen Bankserver vorgetäuscht werden. Ein Angriffsszenario könnte wie folgt aussehen: Angreifer lockt - etwa mit einer Phishing Mail - das Opfer auf einen von ihm kontrollierten Server, präsentiert ein gefälschtes Zertifikat und baut eine SSL-Verbindung zum Opfer auf Angreifer baut seinerseits eine SSL-Verbindung zum Diensteanbieter auf Angreifer tunnelt die Kommunikation des Authentisierungsvorgangs von Opfer zu Diensteanbieter - die Authentisierung kann erfolgreich durchgeführt werden Kommunikation nach Authentisierung ist wieder nur SSL geschützt - Angreifer kann mitlesen, oder übernimmt die Sitzung Bisher sind keine konkreten Ansätze zu finden, wie ein solches Angriffsszenario verhindert werden kann. Demnach bleibt, insofern hier keine Lösung gefunden wird, nur die genaue Prüfung der vom Server präsentierten Zertifikate durch den Nutzer. Die Gefahr hierbei ist jedoch, dass der Nutzer durch den Einsatz des epa in einer trügerischen Sicherheit gewiegt wird, was ihn dazu verleiten kann, zusätzliche Prüfungen zu vernachlässigen. Das klassische Phishing, bei dem Identitätsdaten oder Passworte gestohlen und später missbraucht werden, wird zwar verhindert, da der epa diese Daten über einen sicheren Kanal nur an berechtigte Anbieter übermittelt, ein aktiver Man-in-the-Middle Angriff wie der eben beschriebene wird jedoch nicht abgewehrt, was unter entsprechenden Bedingungen den Missbrauch von Nutzerkonten ermöglichen kann. 61 vgl. Eckert (2008), S heise.de Probleme und Gefährdungen 21

32 3 ebusiness, ecommerce und egovernment In diesem Abschnitt sollen kurz die Begriffe ebusiness, ecommerce und egovernment erläutert und abgegrenzt werden. Der epa bietet auf diesem Gebiet eine breite Spanne von Anwendungsmöglichkeiten, die im folgenden aufgezeigt werden sollen. Zunächst soll aber ein Verständnis der Begrifflichkeiten geschaffen werden, wonach sich viele Anwendungsmöglichkeiten direkt erkennen lassen. 3.1 ebusiness und ecommerce Eine einheitliche Definition und Abgrenzung von ebusiness, ecommerce und egovernment hat sich noch nicht durchgesetzt. Oftmals werden sowohl ecommerce als auch egovernment als Unterbereiche des ebusiness gesehen. 63 Diesem Ansatz soll hier teilweise gefolgt werden, wobei egovernment hier als separater Bereich gesehen wird, der im folgenden Abschnitt behandelt wird. Unter ebusiness versteht man dabei die Abwicklung von Geschäftsprozessen auf elektronischem Wege über das Internet. Hierbei können sowohl Privatpersonen als auch Unternehmen in gegenseitige Beziehungen treten. Mit ecommerce wird der elektronische Handel, also der Kauf und Verkauf von Gütern und Dienstleistungen bezeichnet. ecommerce ist der Teil des ebusiness, der direkt mit Zahlungsverkehr in Zusammenhang steht, wohingegen ebusiness auch Bereiche wie Recruiting, Kommunikation, Verhandlungen etc. beinhaltet. Wichtig ist für die Bezeichnung ebusiness lediglich, dass die elektronische Geschäftsbeziehung einen Mehrwert schafft, sei es monetär oder immateriell. 64 ebusiness ist damit die kommerzielle Nutzung des Internet im privatwirtschaftlichen Bereich. Die Bedeutung des ecommerce kann am einfachsten anhand einiger Fakten dargestellt werden. Diese zeigen, dass ecommerce weiter auf dem Vormarsch ist. Im Jahre 2008 wurde weltweit ein Umsatz von ca. 64 Billionen Euro über ecommerce erzielt, dieser lag 2003 noch bei 2,9 Billionen Euro % der Deutschen haben im Jahr 2008 Waren oder Dienstleistungen über das Internet bestellt und dabei ca. 20 Mrd. Euro ausgegeben. 66 Ebenso wird Onlinebanking immer beliebter. So führen bereits 22 Mio Deutsche 63 vgl. Meier; Stormer (2008), S vgl. ebd. 65 vgl. BITKOM (2009), S vgl. ebd., S

33 Anwendungsfelder des elektronischen Personalausweises Beispiele Wirtschaft Online-Handel Onlineeinkauf im Internet An- und Abmeldungen/ Kündigungen Gesicherte Einsicht in Rechnungsdaten Alterskontrolle bei Onlinebestellungen Video on Demand Offline-Automaten mit altersbeschränkten Gütern Wettanträge Versicherungen Online Antrag, Schadensmeldung Unterschrift des Antrages mit qual. Signatur beim Vertreterbesuch Elektronischer Personalausweis Wirt. Allgemein Vertragswesen Vertragsabschluss zwischen Unternehmen Ersatz für PostIdent Arbeitsverträge und sonstige Vereinbarungen Arbeitszeitverwaltung Reiseverkehr (nicht hoheitliche Nutzung) Ausweis als Banken Online Kontoeröffnung Onlinebanking Freistellungsauftrag online Reisedokument im Fern- und Nahverkahr Hotelanmeldungen Abbildung 6: Anwendungsfelder des epas in der Wirtschaft [Helmbrecht (2008), S. 15] Dr. Udo Helmbrecht 12. Februar 2008 Folie 15 ihr Konto online.67 Insgesamt waren bereits % der Deutschen online.68 Mit der zunehmenden Nutzung steigen jedoch auch die Bedrohungen und die Schäden, die durch illegale Aktivitäten wie Phishing und Identitätsdiebstahl verursacht werden. Aktuelle Entwicklungen werden in Kap. 3.3 kurz dargestellt. Daher werden immer mehr Stimmen laut, dass ein sicherer Identitätsnachweis für das ecommerce benötigt wird. Der epa soll einen solchen sicheren Identitätsnachweis mit der eid-funktion ermöglichen und damit Identitätsdiebstahl verhindern. Außerdem ermöglicht er einen sicheren wiederholten Login auf Nutzerkonten über das Internet, was Phishing und damit verbundener Missbrauch von Nutzerkonten beispielsweise beim Onlinebanking etc. verhindern soll. Abb. 6 zeigt die Einsatzmöglichkeiten des epa in der Wirtschaft, wobei sehr viele Anwendungen das ecommerce betreffen. 3.2 egovernment Das egovernment lässt sich am einfachsten durch die in Beziehung tretenden Parteien und die Art der Beziehungen vom ebusiness abgrenzen. Beim ebusiness treten Unternehmen sowie Privatpersonen in Verbindung, wohingegen beim egovernment die öffentlichen Verwaltungen beteiligt sind. Dies kann die elektronische Kommunikation und den Informationsaustausch zwischen verschiedenen Behörden und Verwaltungsebenen vgl. Bundesministerium für Wirtschaft und Technologie (2009), S. 9. vgl. Bundesministerium des Innern (2009), S egovernment 23

34 Anwendungsfelder des elektronischen Personalausweises Beispiele Verwaltung Soziales Justiz ELENA BAföG-Antrag (neu) und Darlehensverwaltung und einzug (BAföG-Online) Antrag auf staatl. Sozialleistungen Verkehr Auskunft aus Verkehrszentralregister Authentifizierung von Fahrzeug / halter bei Polizeikontrollen An-/Um-/Abmeldung von Kfz Antragstellung auf Änderung von Personenstandsdaten Antragstellung im gerichtl. Mahnverfahren Elektronischer Personalausweis Umzug Melderegister Ummelden Online Datenerfassung und verwaltung der persönlichen Daten Arbeit Onlineantrag auf Erstellung eines polizeilichen Führungszeugnisses Finanzen Abgabe der Einkommenssteuererklärung Abgabe Steuererklärung von Freiberuflern und Unternehmen Abbildung 7: Anwendungsfelder des epas in der öffentlichen Verwaltung [ebd., S. 16] Dr. Udo Helmbrecht 12. Februar 2008 Folie 16 betreffen, ebenso wie die Abwicklung solcher Verwaltungsaufgaben, welche einzelne Bürger oder Unternehmen mit einschließen.69 Auch das elektronische Informationsangebot der öffentlichen Verwaltungen ist dem egovernment zuzuordnen. Hierbei handelt es sich in der Regel um nicht kommerzielle Geschäftsbeziehungen. Schwierig ist die Abgrenzung an der Schnittstelle zum ebusiness, nämlich wenn Organe der öffentlichen Verwaltung in etwa Aufträge an Unternehmen erteilen oder auf elektronischem Wege einkaufen. Diese Geschäftsvorfälle sollen hier jedoch dem ebusiness oder ecommerce zugeordnet werden. Gerade beim egovernment ist in vielen Fällen eine genaue und vollständige Identifikation, der an den Verwaltungsaufgaben beteiligten Personen erforderlich. Viele Informationen können, da sie sensible personenbezogene Daten enthalten, nur nach einer sicheren Authentifizierung der antragstellenden Person herausgegeben werden. Andere Dokumente, wie beispielsweise Steuererklärungen, erfordern eine eigenhändige Unterschrift um gültig zu sein. Die eigenhändige Unterschrift kann zwar laut deutschem Signaturgesetz durch eine qualifizierte elektronische Signatur ersetzt werden, jedoch konnte sich die qualifizierte Signatur wie bereits in Kap. 2.2 aufgeführt nicht auf breiter Ebene durchsetzen. Da bisher weder die Möglichkeit einer sicheren Identifikation noch das Erstellen einer qualifizierten Signatur für den Großteil der Bürger gegeben ist, erfordert bislang ein 69 vgl. Meier; Stormer (2008), S egovernment 24

35 großer Teil der Verwaltungsaufgaben eine persönliche oder postalische Interaktion um eine Identifikation durch Inaugenscheinnahme des Personalausweises oder eine eigenhändige Unterschrift zu ermöglichen. Der neue epa kann hier Abhilfe schaffen und so viele Abläufe in der Verwaltung vereinfachen. Damit wird das egovernment auf eine neue Ebene gebracht, wodurch hohe Einsparpotentiale erwartet werden. 70 Abb. 7 stellt einige Anwendungsmöglichkeiten der eid- und Signaturfunktion des epa im egovernment dar. 3.3 Bedrohungen und Internet Security Wie bereits erwähnt sind mit dem ecommerce auch weiter die illegalen Aktivitäten in diesem Bereich auf dem Vormarsch. Der Diebstahl von Passworten und Zugangsdaten nimmt weiter zu. Belegt wird das durch beim BKA dokumentierte Phishing-Schäden von 19 Mio. Euro im Jahr Dies entspricht einem Anstieg von 25 % im Vergleich zum Vorjahr, wobei von einer weit höhere Dunkelziffer ausgegangen wird. 71 Außerdem bekommt Phishing eine neue Qualität und die Methoden werden zunehmend professioneller. Klassische Phishing Mails sind kaum noch anzutreffen, dagegen werden zunehmend Trojanische Pferde zum Ausspähen der Daten durch Angreifer verwendet. Wegen neuer Sicherheitsvorkehrungen im Onlinebanking wie itan und mtan sind die Schäden hier zwar im Jahr 2008 stark zurückgegangen, jedoch geht der Trend zum kompletten Identitätsdiebstahl. Diese Daten zur Identität werden dann im ecommerce für illegale Aktivitäten eingesetzt und verursachen Schäden in Milliardenhöhe. 72 Dazu sind Bot Netze zunehmend anzutreffen, welche für die Verbreitung von Spam und Schadsoftware oder auch zum Einschleusen von Key Loggern eingesetzt werden. Hier verzeichnete das BSI 2008 einen Anstieg von 88 % im Vergleich zum Vorjahr bei der Serveranzahl, die solche Bot Netze steuern. 73 Ein großer Teil des Spam-Aufkommens ist auf solche Bot Netzte zurückzuführen. Auch wird die Schadsoftware immer ausgefeilter und der Trend geht vom Masseneinsatz von Viren eher hin zum gezielten Einsatz, was es Virensoftware weiter erschwert diese zu erkennen. Dazu ist die Schadsoftware immer weniger in Klassen zu unterscheiden, da sie modular aufgebaut sind und verschiedene Funktionalitäten verbinden siehe auch Kap vgl. Bundesministerium für Wirtschaft und Technologie (2009), S vgl. Bundesamt für Sicherheit in der Informationstechnik (2009a), S. 28 ff. 73 vgl. ebd., S. 26 ff. 74 vgl. ebd., S. 20 ff Bedrohungen und Internet Security 25

36 Anwendern bis 29 Jahre veröffentlicht bereits jeder Zweite eigene Infos im Web, erklärt Kempf. Online-Netzwerke, auch Communitys genannt, seien die bevorzugten Plattformen. Einmal erzeugte Informationen halten sich im Netz oft lange, betont Kempf. Deshalb seien bewusste Entscheidungen wichtig: Nutzer haben es oft selbst in der Hand, das richtige Maß an Privatsphäre zu wählen dabei wollen wir gemeinsam mit der Bundesregierung die Verbraucher unterstützen. So empfiehlt der BITKOM, mit privaten Daten sparsam zu sein und die Datenschutzerklärung der Anbieter zu prüfen. Zur Absicherung von Internet- Transaktionen wünscht sich eine Mehrheit der deutschen Internet- Surfer einen elektronischen Personalausweis. Dieser ist für 2009 geplant und soll dank eines Chips auch Web-Dienste sicherer machen. 55 Prozent der Internet- Nutzer würden den digitalen Ausweis beim Online-Banking einsetzen, ergab eine repräsentative Umfrage von forsa im BITKOM- Auftrag. Fast ebenso viele Surfer, 54 Prozent, würden damit staatliche Online-Dienste nutzen. Jeweils rund 40 Prozent der deutschen Abbildung 8: epa Nutzung für Internet-Transaktionen - Umfrageergebnisse [BIT- KOM (2008)] Mit dem epa wird vielen Bedrohungen entgegengewirkt. Schadsoftware und Spam können zwar nicht verhindert werden, doch können gestohlenen Identitätsdaten schwerer eingesetzt werden. Der epa stellt durch den Einsatz der eid-funktion eine gesicherte elektronische Identität zur Verfügung, um vor Identitätsdiebstahl und Phishing zu schützen. Damit ist eine verbindliche gegenseitige Authentisierung im Online- Geschäftsverkehr möglich. Da die Authentisierung mit dem epa auf Besitz (Ausweis) und Wissen (PIN) beruht und der Ausweis nicht über das Internet gestohlen werden kann, kann dem Identitätsdiebstahl und Phishing-Attacken wirksam ein Riegel vorgeschoben werden. 75 Dazu kommt, dass sich der Anbieter immer mit einem Berechtigungszertifikat authentisieren muss, bevor Daten übertragen werden und der epa-nutzer sich damit sicher sein kann mit einem autorisierten Anbieter zu kommunizieren. Die Akzeptanz einer solchen sicheren elektronischen Identität ist dabei durchaus vorhanden. Einer repräsentativen Umfrage des BITKOM zufolge wartet auch die Mehrheit der Verbraucher auf eine solche sichere Identität. 55 % der Internet-Nutzer wollen den Ausweis für Online-Banking und 54 % bei Anwendungen des egovernment einsetzen. Außerdem sehen 40 % in ihm einen Sicherheitsgewinn für Auktionen und Online- Handel. 76 Die Umfrageergebnisse sind in Abb. 8 zu sehen. 75 vgl. Engel (2006), S vgl. BITKOM (2008), S Bedrohungen und Internet Security 26

37 4 Die Simulationsanwendung Eine Simulationsanwendung für die Verwendung des epa im ecommerce bereitzustellen ist eines der Hauptziele der vorliegenden Arbeit. Diese Simulation soll einen direkten Vergleich der Abläufe bei Registrierung und Login unter Verwendung und ohne Verwendung des epa ermöglichen. Der Schwerpunkt liegt dabei auf der Simulation erforderlicher Nutzerinteraktionen und es soll ermöglicht werden, mit Hilfe der Simulationsanwendung die Akzeptanz bei möglichen Nutzern des epa zu überprüfen. Konkrete Sicherheitsanalysen und die Implementierung der ecard API wurden hierfür von der Implementierung ausgeschlossen. Dagegen wurde auf Portierbarkeit und Plattformunabhängigkeit größtmöglichen Wert gelegt, um den Einsatz innerhalb einer Akzeptanzstudie so einfach wie möglich zu gestalten. Zunächst werden die Anwendungsfälle kurz vorgestellt und erläutert. Darauf folgt die Ablaufanalyse der betrachteten Anwendungsfälle und der entsprechenden Registrierungsund Loginverfahren als Basis für die Simulation. Hier werden auch die möglichen Abläufe bei Verwendung des epa vorgestellt. Eine detaillierte Installationsanleitung und verschiedene Hinweise zur Verwendung der Simulation ermöglichen den problemlosen Einsatz der Simulationsanwendung. 4.1 Auswahl der Online-Diensteanbieter Für die Umsetzung der Simulation fiel die Wahl auf das Online-Auktionshaus von ebay und den Zahlungsdienstleister PayPal. Diese beiden Anbieter scheinen für eine Akzeptanzstudie besonders geeignet, da sie aufgrund ihres Bekanntheitsgrades von vielen Internetnutzern genutzt werden und den meisten zumindest bekannt sind. Für die Simulation wurde die Erstregistrierung bei PayPal und ein typischer Einkaufsvorgang eines registrierten Benutzers bei ebay nachgestellt. Dabei wird die Bezahlung mittels PayPal durchgeführt. Da sich die Registrierungsverfahren tendenziell ähneln, wurde bei ebay auf eine Simulation der Registrierung verzichtet. Hier werden diese beiden Anbieter zunächst kurz vorgestellt. 27

38 4.1.1 ebay Das von ebay betriebene Online-Auktionshaus 77 ist das weltweit größte Online-Portal für Auktionen. Dabei nutzen mehr als 89 Millionen aktive Mitglieder das Portal und im Jahr 2008 wurden Waren im Gesamtwert von knapp 60 Milliarden USD gehandelt. Die Beliebtheit von ebay in Deutschland lässt sich an 14,5 Millionen aktiven Mitgliedern und einem Handelsvolumen von 3,1 Milliarden EUR erkennen. Die Auktionsplattform bietet die Möglichkeit, Waren zu ver- oder ersteigern. Käufer bieten dabei während einer bestimmten Auktionsdauer für einen Artikel. Der Käufer mit dem höchsten Gebot am Ende der Laufzeit bekommt schließlich den Zuschlag. Zusätzlich zu dem Consumer-to-Consumer Marktplatz wird ebay auch als Plattform für den Verkauf von Waren durch kommerzielle Verkäufer genutzt. Dabei werden viele Waren zu Festpreisen angeboten, oder die Sofort-Kauf Funktion ermöglicht den sofortigen Erwerb eines Artikels zu einem bestimmten Preis, ohne dass das Ende einer Auktion abgewartet werden muss. 78 ebay könnte aufgrund der großen Mitgliederanzahl und Beliebtheit maßgeblich zur Akzeptanz und breiten Verwendung der eid-funktion des epas beitragen, wenn diese Funktion von ebay bei Registrierung, Login etc. eingesetzt würde. Dr. Stefan Groß- Selbeck, Vorsitzender der Geschäftsführung bei ebay in Deutschland, äußert sich dabei durchaus positiv zum neuen elektronischen Personalausweis. Er erwartet, dass der neue Ausweis den Online-Einkauf und andere Internetaktivitäten sicherer, einfacher und bequemer machen wird. 79 Durch den medienbruchfreien sicheren Nachweis der Identität könne das Vertrauen beim Online-Handel gestärkt und so die Akzeptanz und der Erfolg weiter gefördert werden PayPal Das Online-Bezahlsystem von PayPal 80 kann beim Online-Handel für die Bezahlung genutzt werden. Dafür registriert sich der Nutzer bei PayPal und gibt nur hier seine Kontooder Kreditkarteninformationen ein. Diese bleiben bei Nutzung von PayPal dem Zahlungsempfänger verborgen, was dem Missbrauch von Kontoinformationen etc. entge- 77 ebay, 78 vgl. ebay, Presse. 79 vgl. Bundesministerium für Wirtschaft und Technologie (2009), S PayPal, Auswahl der Online-Diensteanbieter 28

39 genwirken soll. PayPal agiert bei der Bezahlung als Intermediär. 81 Der Nutzer bezahlt lediglich mit Eingabe seiner PayPal-Benutzerdaten, die Abrechnung gegenüber dem Endkunden erfolgt schließlich per Kreditkarte, Lastschrift oder wird vom PayPal-Guthaben, das mittels Überweisung aufgeladen werden kann, abgezogen. PayPal wurde im Oktober 2002 von ebay übernommen und ist seither ein Tochterunternehmen von ebay. Seit 2004 bietet PayPal auch einen deutschsprachigen Service. PayPal ist der weltweit größte Online-Zahlungsdienstleister mit insgesamt rund 200 Millionen Benutzerkonten. Allein in Deutschland verfügen ca. 10 Millionen Nutzer über ein PayPal Konto. Das ist rund ein Drittel aller Online-Einkäufer in Deutschland. 82 Auch PayPal könnte bei Nutzung des epas zur Akzeptanz des selbigen beitragen, da damit 10 Millionen potentielle Nutzer für die eid-funktion des epas gewonnen werden könnten. Gerade weil ca. 24,9 % der Deutschen dem Online-Einkauf bzw. der Preisgabe persönlicher Informationen im Internet skeptisch gegenüberstehen, 83 könnte durch die Möglichkeit einer sicheren Identifikation einige dieser Bedenken ausgeräumt werden. Dazu kommt, dass Auktionen, Zahlungsdienstleister und Banken Hauptangriffsziele von Phishing-Angriffen sind. 84 Diese könnten durch die eid-funktion verhindert werden. 4.2 Analyse der zu simulierenden Prozesse Zunächst wurden die genauen Abläufe bei einer PayPal Registrierung und einem Einkauf bei ebay analysiert. Dies sollte den Grundstein für die Umsetzung der Simulation darstellen. Die Analysen wurden im September 2009 durchgeführt. Die Vergleichssimulation ohne eid-funktion des epas entspricht daher den Abläufen, wie sie im September 2009 bei und realisiert waren. Auch die Simulation mit epa basiert auf diesem Stand. Eventuelle Änderungen der Abläufe, die nach Abschluss der Analysen durchgeführt wurden konnten nicht berücksichtigt werden. Die Kommunikation mit dem Server von PayPal bzw. ebay findet bei der realen Anwendung über eine SSL-Verbindung statt, um eine vertrauliche Kommunikation zu erreichen. Davon wird auch bei einer Anwendung, die die Authentisierung mittels epa durchführt, ausgegangen. Gefährdungen die hiermit in Zusammenhang stehen, wurden in Kap. 3.3 erläutert. In Kap wird gezeigt, wie die Simulationsanwendung zu installieren ist, um bei der Simulation tatsächlich eine SSL-Verbindung zu nutzen. 81 vgl. BITKOM (2009), S vgl. PayPal, Presse. 83 vgl. PayPal (2008), S vgl. APWG (2009), S Analyse der zu simulierenden Prozesse 29

40 Im Folgenden wird die Registrierung bei PayPal genau beschrieben. Danach folgt die Darstellung des ebay Einkaufs. Gleichzeitig wird hier aufgezeigt, wie der Ablauf unter Verwendung der eid aussehen könnte. Diese Beschreibung wurde bei der Realisierung der Simulation umgesetzt. Ablaufdiagramme veranschaulichen die einzelnen Prozesse. Der Standarddurchlauf einer Simulation ist hier anhand der Nummerierung nachzuvollziehen. Auf die Diagramme wird auch in Kap. 5 Bezug genommen, um den Aufbau der Webprojekte darzustellen. Um einen leichten Bezug herstellen zu können sind die Namen der einzelnen HTML-Seiten in den Diagrammen vermerkt Registrierung und Login bei PayPal Hier wird zunächst der komplette Registrierungsprozess vorgestellt wie er aktuell bei PayPal realisiert ist. Anschließend wird ein möglicher Registrierungsprozess mit Hilfe der eid-funktion vorgestellt. Aktueller Registrierungsprozess Zunächst muss die Startseite von PayPal geöffnet werden. Hier besteht die Möglichkeit sich neu zu registrieren oder einzuloggen sofern ein Konto besteht. Nach Auswahl der Neuregistrierung wird eine SSL-Verbindung initiiert und es muss zunächst der gewünschte Kontotyp gewählt werden, worauf die Eingabeseite für die persönlichen Daten folgt. Nach Absenden der persönlichen Daten folgt die Aufforderung ein Bankkonto einzurichten, um das Lastschriftverfahren zu ermöglichen. Ist auch dies geschehen folgt ein Datenabgleich mit der Schufa und ebay, um die eingegebenen Daten zu validieren. Es wird allerdings keine Kreditwürdigkeitsprüfung durchgeführt. 85 Ist diese abgeschlossen, folgt eine Aufforderung das Bankkonto baldmöglichst zu bestätigen, was mit Hilfe von zwei Probeüberweisungen durch PayPal geschieht. Nachdem diese auf dem Konto eingegangen sind (ca. 2-3 Tage nach Registrierung) sind die überwiesenen Beträge für die Kontobestätigung im PayPal Account einzugeben. Nach Kenntnisnahme der Aufforderung wird zu einer Seite übergeleitet, auf der verschiedene Einkaufsmöglichkeiten angezeigt werden. Dazu ist hier der Hinweis zu fin- 85 vgl. PayPal Analyse der zu simulierenden Prozesse 30

41 den, dass noch die Adresse zu bestätigen sei, um das Konto nutzen zu können. Nach Klick auf bestätigen folgt eine Hinweisseite, wie dies erfolgen kann. Von hier gelangt man zurück zur Startseite von PayPal. Die Registrierung ist abgeschlossen, das Konto ist jedoch noch nicht verifiziert. Für die Bestätigung und Verifikation des PayPal Kontos ist zunächst ein Login erforderlich. Dies geschieht mit der bei der Registrierung festgelegten Adresse und dem Passwort. Nachdem diese auf einer Loginseite korrekt eingegeben wurden, müssen zunächst noch Erinnerungsfragen für den Fall festgelegt werden, dass das Passwort vergessen wird. Danach folgt die Weiterleitung zur Nutzerkontenübersicht. Hier hat man nun die Möglichkeit Adresse und Bankkonto zu verifizieren. Klickt man auf den Link um zur Bestätigung zu gelangen, so wird man informiert, dass man einen Verifikationslink per erhalten hat, den man zur Bestätigung anklicken muss. Ist diese Mail nicht angekommen kann man an dieser Stelle einen neuen Link anfordern. Nun muss man folglich die entsprechende öffnen und dem Bestätigungslink folgen. (Bei der Simulation wird dies mittels Link anfordern und einer sich daraufhin öffnenden Seite, die die ersetzt, simuliert.) Folgt man nun dem Bestätigungslink muss erneut das Passwort eingegeben werden, danach ist der Account aktiviert und man kann zur Kontoübersicht zurückkehren. Hiermit wird sichergestellt, dass die Person die sich registriert hat, auch eine korrekte Adresse angegeben, und Zugriff auf das Konto hat. Um das Bankkonto zu verifizieren folgt man dem entsprechenden Link in der Kontoübersicht. Man wird zu einer Seite weitergeleitet, wo die schon erwähnten Beträge der Probeüberweisungen, die man dem entsprechenden Kontoauszug entnehmen muss, einzugeben sind. Ist die Eingabe korrekt, so ist auch das Bankkonto verifiziert und der Accountstatus wechselt auf verifiziert. Damit ist das PayPal Konto voll einsatzbereit. Dieses Vorgehen stellt sicher, dass korrekte Kontodaten hinterlegt wurden und dass die Person, die sich registriert hat, tatsächlich Zugriff auf das angegebene Bankkonto hat. An dieser Stelle ist die Simulation abgeschlossen. Man kann sich wie gewohnt aus dem Account aus- und wieder einloggen. Der Vollständigkeit halber kann das Konto auch geschlossen werden. Diese Funktion ist etwas versteckt und in der Dropdown Liste zu Mein Profil zu finden. Wählt man Konto schließen, so folgt ein Hinweis, dass nach Schließen nicht mehr auf das Konto zugegriffen werden kann. Danach werden die Gründe für die Kontoschließung erfragt und das Konto wird nach Bestätigung geschlossen. Versucht man sich einzuloggen und ist das Passwort oder der Benutzername falsch oder besteht noch kein Konto zu diesem Benutzernamen, so wird man als Benutzer darauf 4.2. Analyse der zu simulierenden Prozesse 31

42 1 Startseite PayPal (paypal.htm) nein XOR registrieren Auswahlseite Kontoart (paypalp2.htm) login 2 9 Login-Daten Eingabe (paypal_login.htm) Daten korrekt? ja Dateneingabe (paypalp3.htm) 3 ja PW korrekt? Erster Login? nein ja 10 Sicherheitsfragen anlegen (paypal_erinnerun gsfragen.htm) nein Account besteht bereits? ja Hinweisseite +Login (login_ex_ .ht m) nein 11 Kontoanzeige (paypal_account.h tm) Bankkonto registrieren (paypalp4.htm) 4 5 Datenprüfung Schufa etc. (paypal_wait.htm) 6 Hinweis Kontobestätigung (paypalp5.htm) 7 Anzeige Einkaufsmöglichke iten (paypalp6.htm) 8 Aufforderung bestätigung (paypalp7.htm) bestätigen bestätigen (paypal_ best ätigung1.htm) Simulierte ( .htm) Passworteingabe (paypal_ best ätigung2.htm) 15 Konto aktiviert (paypal_ best ätigung3.htm) XOR logout Kto. bestätigen 16 Bankkonto bestätigen (paypal_kontobest ätigung1.htm) 17 Konto verifiziert (paypal_kontobest ätigung2.htm) Kto. schließen 18 Konto schließen (paypal_dereg.htm) 19 Eingabe Gründe (paypal_dereg2.ht m) 20 Konto geschlossen (paypal_dereg3.ht m) Logout (paypal_logout.ht m) Abbildung 9: Ablaufdiagramm PayPal-Registrierung ohne epa 4.2. Analyse der zu simulierenden Prozesse 32

43 hingewiesen, dass eine der Eingaben nicht korrekt ist. Versucht man sich dagegen mit dem gleichen Benutzernamen erneut zu registrieren, so wird dies erkannt und man wird zum Login weitergeleitet. In Abb. 9 ist der gesamte Registrierungsprozess als Ablaufdiagramm dargestellt. Vorstellbarer Registrierungsprozess mit epa Geht man nun von einem Szenario aus, bei dem der epa für Registrierung und Login verwendet wird, folgen daraus einige Änderungen am Ablauf. Zunächst muss wie gehabt die Startseite von PayPal aufgerufen werden. Die folgende Kommunikation ist wie im aktuellen Szenario mittels SSL geschützt. Nach Auswahl der Neuregistrierung und Wahl der Art des Benutzerkontos wird nun allerdings nicht die Eingabe der persönlichen Daten gefordert, sondern der Authentisierungsvorgang mittels eid-funktion eingeleitet. Zunächst wird die Auflage des epa auf den angeschlossenen Kartenleser gefordert. Wird ein epa erkannt, so wird zunächst das Berechtigungszertifikat angezeigt, welches der Benutzer annehmen muss. Daraufhin erscheint eine Anzeige welche Daten der Diensteanbieter auslesen möchte. Hier muss der Benutzer erneut zustimmen und schließlich die Daten mit der eid-pin freigeben, woraufhin diese übermittelt werden. 86 Ist die Authentisierung erfolgreich abgeschlossen, so werden die persönlichen Daten nochmals angezeigt, und der Benutzer zur Eingabe zusätzlicher Daten aufgefordert, die im epa nicht enthalten sind. In diesem Fall ist dies lediglich die Adresse des Benutzers. Darauf folgt analog zum aktuellen Registrierungsprozess die Eingabe von Kontodaten für das Lastschriftverfahren. Abschließend werden Einkaufsmöglichkeiten angezeigt und man gelangt von hier zurück zur Startseite von PayPal. Die Registrierung ist abgeschlossen. Der Schufa Abgleich sowie die Verifikation der Adresse und des Bankkontos entfallen bei diesem Szenario. Eine Überprüfung der persönlichen Daten ist nicht notwendig, da diese durch die Verwendung des epa sicher nachgewiesen sind. Darüber hinaus ist eine Überprüfung der Adresse nicht zwingend erforderlich, da ein sicherer Login immer mittels des epa möglich ist. Ebenso muss ein Bankkonto nicht zwangsläufig überprüft werden, da die Identität und aktuelle Adresse des Nutzers eindeutig nachgewiesen sind. Betrugsversuche könnten damit leicht verfolgt werden. Zwar ist in diesem Fall eine versehentliche Falscheingabe nicht auszuschließen, jedoch kann ein Benutzer seine Adresse jederzeit in seinem PayPal Account überprüfen, falls er beispiels- 86 siehe auch Kap Analyse der zu simulierenden Prozesse 33

44 1 7 Startseite PayPal (paypal.htm) Aufforderung epa auflegen (paypal_login.htm) XOR login 7.1 epa Erkennung (paypal_login_f1.h tm) registrieren Auswahlseite Kontoart (paypalp2.htm) 2 Hinweis +Weiterleitung (paypal_weiterleitu ng2.htm) 7.2 epa Authentisierung (paypal_login_f2.h tm) Aufforderung epa auflegen (paypal_signin.ht m) 3 nein Konto vorhanden? 3.1 epa Erkennung (paypal_signin_f1. htm) 3.2 epa Authentisierung (paypal_signin_f2. htm) 4 Eingabe zusätzlicher Daten (paypalp3.htm) Account besteht bereits? nein Bankkonto registrieren (paypalp4.htm) 5 6 Anzeige Einkaufsmöglichke iten (paypalp6.htm) Hinweisseite +Login (login_ex_ .ht m) ja ja 8 Kontoübersicht (paypal_account.h tm) XOR Kto. schließen Konto schließen (paypal_dereg.htm) Eingabe Gründe (paypal_dereg2.ht m) Konto geschlossen (paypal_dereg3.ht m) logout Logout (paypal_logout.ht m) Abbildung 10: Ablaufdiagramm PayPal-Registrierung mit epa 4.2. Analyse der zu simulierenden Prozesse 34

45 weise keine Bestätigungsmail für die Kontoeröffnung bekommen hat. Beim Bankkonto könnte PayPal den ersten Einkauf, den der Kunde tätigt, via Lastschrift mit Sicherheitsprüfung abwickeln. Hier wird der Betrag erst dem Zahlungsempfänger gutgeschrieben, wenn der Betrag erfolgreich vom Bankkonto des Zahlenden abgebucht werden konnte. Dies wird auch heute schon bei einigen Lastschriftzahlungen durchgeführt. 87 Der Login erfolgt ebenso wie die Registrierung per eid-funktion. Nachdem Login ausgewählt wurde, wird das Auflegen des epa gefordert. Danach erfolgt die gleiche Interaktion wie bei der Registrierung beschrieben, mit dem Unterschied, dass im Zuge der Restricted Identification 88 lediglich das Pseudonym übermittelt werden muss. Wird dieser Vorgang erfolgreich abgeschlossen, könnte, falls mehrere Konten vorhanden sind, eine Übersicht der mit diesem Ausweis registrierten PayPal Konten zur Auswahl angezeigt werden. Damit wäre es einer Person weiterhin möglich, mehrere PayPal Konten zu nutzen. Danach folgt die Weiterleitung zur entsprechenden Kontoübersicht. Logout und Kontoschließung werden analog zum oben beschriebenen Ablauf ohne epa realisiert. Versucht man sich erneut mit der selben Adresse zu Registrieren wird dies erkannt und man wird zum Login weitergeleitet. Falls zum vorgelegten epa kein Konto besteht, wird die Möglichkeit geboten sich zu registrieren. In Abb. 10 ist der gesamte Registrierungsprozess als Ablaufdiagramm dargestellt Einkauf bei ebay Zunächst wird wieder ein kompletter Einkaufsprozess vorgestellt, wie er aktuell bei ebay möglich ist. Anschließend wird ein möglicher Einkaufsprozess mit Hilfe der eid- Funktion vorgestellt. Dabei wurde der Einkauf eines vorgemerkten Artikels mittels Sofort- Kauf gewählt, um die Simulation nicht unnötig komplex zu gestalten. Es macht für die entsprechenden Prozessabschnitte (Login, Bezahlung), bei denen der epa möglicherweise zum Einsatz kommt, keinen Unterschied, ob der Artikel ersteigert oder direkt gekauft wird. Das bedeutet, dass sich die Handhabung durch Einsatz des epas nur an Stellen ändern würde, an denen die Identifikation des Benutzers stattfindet. Darüber hinaus wird bei diesem Teil der Simulation die Annahme vorausgesetzt, dass sowohl für ebay als auch für PayPal bereits ein Nutzerkonto besteht. Da Registrierungsverfahren 87 vgl. PayPal, AGB/PayPal-Nutzungsbedingungen/Allgemeines/3.7 Lastschrift. 88 siehe Kap Analyse der zu simulierenden Prozesse 35

46 tendenziell sehr ähnlich ablaufen, würde eine weitere Simulation eines Registrierungsverfahrens keinen Mehrwert stiften. Aktueller Einkaufsprozess Zunächst muss die Startseite von ebay aufgerufen werden. Von hier gelangt man zum Login, wo man sich mit Benutzername und Passwort anmelden kann. Login und die darauffolgende Kommunikation sind SSL geschützt. Auf der folgenden Startseite werden direkt die vorgemerkten Artikel angezeigt. Wählt man einen davon aus, so werden einige Details zu diesem Artikel präsentiert. Steht für den Artikel wie hier angenommen die Sofort-Kauf Option zur Verfügung, so kann diese nun gewählt werden. Es folgt eine weitere Seite, auf der das Kaufinteresse erneut bestätigt werden muss. Danach ist der Kauf getätigt und es kann mit dem Bezahlen fortgefahren werden. Hier werden die Bezahlmöglichkeiten angezeigt, die der Verkäufer akzeptiert. Dabei ist das präferierte Bezahlverfahren vorausgewählt. Nach Wahl der Bezahlung mittels PayPal folgt ein Login bei PayPal mittels Adresse und Passwort. Nach erfolgreichem Login werden die Zahlungsdaten und Lieferanschrift angezeigt und die Bezahlung kann mit erneuter Bestätigung abgeschlossen werden. Hier ist der Einkauf abgeschlossen und es kann zur Übersichtsseite zurückgekehrt werden. In Abb. 11 ist der Einkausprozess als Ablaufdiagramm dargestellt. Vorstellbarer Einkaufsprozess mit Hilfe des epa Bei dem vorliegenden Einkaufszenario sind im Vergleich zum oben beschriebenen Registrierungsszenario eher geringe Unterschiede durch Verwendung des epa möglich. Der ebay Login mittels Benutzername und Passwort wird durch das bereits beschriebene sichere Authentisierungsverfahren unter Zuhilfenahme der eid-funktion ersetzt. Ebenso kommt dieses Verfahren auch bei dem in den Ablauf eingebetteten PayPal Login zum Einsatz. Hat ein Benutzer mehrere Accounts unter verschiedenen Benutzernamen angemeldet, so könnten diese dem Benutzer nach eid-authentisierung zur Auswahl gestellt werden, da die Accounts eindeutig dem vom epa übermittelten Pseudonym zugeordnet werden können. In Abb. 12 ist der Einkausprozess als Ablaufdiagramm dargestellt Analyse der zu simulierenden Prozesse 36

47 1 Startseite ebay (ebay.html) Login-Daten Eingabe (ebay_login.htm) 2 Startseite Account (ebay_eingeloggt. htm) 3 XOR 11 Logout Bestätigung (ebay_logout.htm) Artikel auswählen Artikel Detailanzeige (kauf1.htm) 4 Kaufinteresse bestätigen (kauf2.htm) 5 Kauf abgeschlossen (kauf3.htm) 6 Zahlungsart wählen (kauf4.htm) 7 Login-Daten Eingabe PayPal (kauf5.htm) 8 Zahlung bestätigen (kauf6.htm) 9 Zahlung abgeschlossen (kauf7.htm) 10 Abbildung 11: Ablaufdiagramm ebay-einkauf ohne epa 4.2. Analyse der zu simulierenden Prozesse 37

48 1 Startseite ebay (ebay.html) Aufforderung epa auflegen (ebay_login.htm) epa Erkennung (ebay_login_f1.ht m) Startseite Account (ebay_eingeloggt. htm) epa Authentisierung (ebay_login_f2.ht m) XOR Artikel auswählen Artikel Detailanzeige (kauf1.htm) 4 logout 11 Logout Bestätigung (ebay_logout.htm) Kaufinteresse bestätigen (kauf2.htm) 5 Kauf abgeschlossen (kauf3.htm) 6 Zahlungsart wählen (kauf4.htm) 7 Aufforderung epa auflegen PayPal (kauf5.htm) 8 epa Erkennung (kauf5_f1.htm) 8.1 Zahlung bestätigen (kauf6.htm) 9 epa Authentisierung (kauf5_f2.htm) Zahlung abgeschlossen (kauf7.htm) Abbildung 12: Ablaufdiagramm ebay-einkauf mit epa 4.2. Analyse der zu simulierenden Prozesse 38

49 4.3 Setup der Simulationsanwendung Aufgrund der gewählten technischen Umsetzung der Simulationsanwendung sind für die Installation dieser auf einem beliebigen Rechner keine Kenntnisse in Java oder Ant erforderlich. Auch wird kein Eclipse benötigt, da die Applets grundsätzlich nicht neu kompiliert werden müssen. Im Folgenden wird die Installation der Simulationsanwendung erläutert. Sie kann im lokalen Dateisystem installiert werden oder unter Zuhilfenahme eines Web Servers. Hierdurch wirkt die Simulation realistischer, da HTTPS verwendet werden kann Systemvoraussetzungen Windows, linux, Mac OS X (getestet mit: Windows XP, Windows Vista) Java Runtime Environment 6 (getestet mit: jdk_1.6.0_16, jre_1.6.0_16) 89 Webbrowser mit Java-Plugin, aktiviertem JavaScript und Cookies (getestet mit: Mozilla Firefox 3.5) 90 Installierter und funktionsbereiter SmartCard-Kartenleser (Terminal) beliebiger Editor (bspw. WordPad, Windows Editor) Optional: Web Server mit HTTPS-Konfiguration (getestet mit: Apache HTTP Server 2) Benötigte Dateien Die bereitgestellten Installationsdateien sind soweit notwendig auf die für die Darstellung verwendeten Ordnerstrukturen etc. angepasst, so dass praktisch keine Anpassungen notwendig werden, wenn dieser Anleitung gefolgt wird. Hierfür werden die folgenden Dateien benötigt: Yabe-Simulation.html 89 Sun Microsystems. 90 Mozilla Europe. 91 apachefriends.org Setup der Simulationsanwendung 39

50 YabeSim.zip YabeSim_ePA.zip Installation Hier wird beispielhaft die Installation unter Verwendung der Server-Suite XAMPP 92 unter Windows XP vorgestellt. Dabei wird aufgezeigt, welche Änderungen zu machen sind, wenn ein abweichendes Installationsverzeichnis gewählt wird. Auch die Installation ohne Verwendung eines Servers wird kurz aufgezeigt. Installation mit Server 1. Herunterladen und Installieren von XAMPP 93 unter C:\xampp 2. Falls nicht standardmäßig eingerichtet: Konfiguration von SSL unter XAMPP Um den Apache Server mit aufrufen zu können, muss in C:\WINDOWS32\drivers\etc\hosts der Eintrag yabe vorgenommen werden. Prinzipiell ist statt yabe jeder andere Hostname möglich. 4. Die Verzeichnisse C:\xampp\htdocs\simulation und C:\xampp\htdocs\simulation-ePA erstellen. 5. Die Datei YabeSim.zip entpacken und den darin enthaltenen Ordner WebContent nach C:\xampp\htdocs\simulation kopieren. 6. Die Datei YabeSim_ePA.zip entpacken und den darin enthaltenen Ordner WebContent nach C:\xampp\htdocs\simulation-ePA kopieren. 7. Öffnen der Datei externalconfig.txt im Ordner C:\xampp\htdocs\simulation-ePA\WebContent\applets mit einem beliebigen Editor. Hier den Namen des angeschlossenen Kartenlesers, die URL zum Installationsordner der Webapplikation, sowie gegebenenfalls die Verzögerungswerte ändern. 95 Die eingetragenen Standardwerte sind: CardTerminal=SCM Microsystems Inc. SDI010 Contactless Reader 0 92 apachefriends.org. 93 ebd. 94 apache.org. 95 siehe dazu auch Kap und Kap Setup der Simulationsanwendung 40

51 Installation.URL= Delay to applet start=3000 Delay for card reading= Die Datei Yabe-Simulation.html entweder auf den Server oder beispielsweise den Desktop kopieren. 9. Falls eine andere Ordnerstruktur gewählt wurde: die Startseite Yabe-Simulation.html mit einem Editor öffnen und die URLs der Startseiten der Webapplikation anpassen. Eine URL sollte im Allgemeinen folgendermaßen aussehen: AUF SERVER/WebContent/ Start des Apache Servers mit Hilfe des XAMPP Control Panels. 11. Die Datei Yabe-Simulation.html mit einem Webbrowser öffnen, die Simulation kann gestartet werden. Die Startseite enthält nur vollständige URLs, daher ist es unerheblich ob diese vom Server oder lokal gestartet wird. Im realen Anwendungsfall ist die Kommunikation erst nach der Auswahl von Login oder Registrierung auf der Startseite des jeweiligen Anbieters SSL geschützt. Da das Umschalten von auf ohne PHP nicht ohne weiteres möglich ist, werden bei der Simulation bereits die Startseiten der Anbieter mittels HTTPS aufgerufen. Installation ohne Server Soll die Simulationsanwendung lokal ohne Server installiert und ausgeführt werden, so sind einige Änderungen erforderlich: 1. Die Datei YabeSim.zip entpacken und den darin enthaltenen Ordner WebContent in einen beliebigen Ordner kopieren. Beispielsweise C:\simulation. 2. Die Datei YabeSim_ePA.zip entpacken und den darin enthaltenen Ordner WebContent in einen beliebigen Ordner kopieren. Beispielsweise nach C:\simulation-ePA. 3. Öffnen der Datei externalconfig.txt im Unterordner \applets und anpassen der Einträge wie oben. Die URL muss folgende Form haben: file:///pfad ZUM INSTALLATIONSORDNER/WebContent, beispielsweise file:///c:/simulation-epa/webcontent Setup der Simulationsanwendung 41

52 4. Anpassen der Weiterleitungs-URLs der Startseite Yabe-Simulation.html. Hier muss ebenso die Form file:///pfad ZUM INSTALLATIONSORDNER/WebContent/... eingehalten werden. 5. Öffnen der Startseite mit einem Webbrowser und Start der Simulation. Dieses Vorgehen hat den Nachteil, dass kein SSL genutzt werden kann. Die Installation mit Server ist zwar aufwändiger, doch erscheint die Simulation realistischer. 4.4 Verwendung der Simulationsanwendung In diesem Kapitel soll kurz aufgezeigt werden, welche Interaktionen notwendig sind um die Simulation reibungslos durchzuführen. Der Ablauf ist im Allgemeinen selbsterklärend, weswegen die Beschreibung hier sehr kurz gehalten wird. Da alle für die Simulation irrelevanten Links deaktiviert sind, bzw. zu einer Informationsseite führen, wird ein Abweichen vom Standardablauf direkt bemerkbar Allgemeine Hinweise zur Verwendung Zunächst ist nach abgeschlossener Installation die Simulations-Startseite zu öffnen. Hier werden Links zu den jeweiligen Teilsimulationen bereitgestellt. Es steht die Simulation der PayPal Registrierung und des ebay Einkaufs jeweils mit und ohne epa zur Verfügung. Dazu gibt es noch Links, die dem Zurücksetzen der jeweiligen PayPal Simulation dienen. Hiermit werden lediglich die Cookies zurückgesetzt, 96 falls dies bei einer vorhergehenden Simulation nicht mit einer Deregistrierung im PayPal Account geschehen ist. Folgt man nun einem der Links, kommt man zur entsprechenden Startseite einer der Teilsimulationen. Die genauen Abläufe sind den Beschreibungen in Kap. 4.2 zu entnehmen und bereits in den Abb. 9 bis 12 dargestellt. Die Links und die einzelnen Bestätigungsbuttons sind selbsterklärend und offensichtlich. Es ist lediglich zu beachten, dass bei der PayPal Simulation ohne epa die - und Kontobestätigung tatsächlich durchgeführt wird, um hier die Unterschiede deutlich zu machen. Auf die Notwendigkeit der Bestätigungen wird zwar während der Simulation mehrmals hingewiesen, dies wird bei der ebay Simulation jedoch nicht geprüft, weswegen ein vorzeitiges Beenden der PayPal Simula- 96 siehe Kap Verwendung der Simulationsanwendung 42

53 tion theoretisch möglich ist. Die PayPal Registrierung ohne epa setzt sich damit aus drei Hauptschritten zusammen: Registrierung mit Dateneingabe, erneuter Login und Durchführen von - und Kontobestätigung. Wird die Simulation mit epa durchgeführt, so ist diese theoretisch nach Registrierung mit Dateneingabe abgeschlossen. Ein folgender Login ist möglich aber nicht zwingend erforderlich. Das Konto kann jeweils über den Link Konto schließen in der Dropdown-Liste zu Mein Profil geschlossen werden. Hierbei werden die Cookies zurückgesetzt. Geschieht dies nicht kann der Status der Simulation über den entsprechenden Link in der Simulations- Startseite zurückgesetzt werden. Die ebay Simulation ist geradlinig aufgebaut und weicht mit und ohne epa wenig voneinander ab. Der Einstieg zum Kaufprozess ist nach Login nur über die angezeigten beobachteten Artikel möglich. Der anschließende Ablauf ist in Kap. 4.2 entsprechend erklärt und bedarf für die Durchführung der Simulation keiner weiteren Hinweise. Den Probanden müssen darüber hinaus die entsprechenden Nutzerdaten zu Erika Mustermann bereitgestellt werden Profil Erika Mustermann Um die Simulation durchführen zu können, benötigt ein Proband verschiedene Eingabedaten. Die Simulation ist auf das Profil Erika Mustermann eingerichtet und akzeptiert nur diesen Datensatz als Eingabewerte, um ein gewissenhaftes Ausfüllen der Formularfelder und damit eine möglichst realistische Simulation zu erreichen. Darüber hinaus sollte die Autovervollständigung des Browsers deaktiviert werden, um den Ablauf für nachfolgende Probanden am selben Rechner nicht zu verfälschen. Bei Firefox ist dies möglich über Menü Extras Einstellungen Datenschutz. Hier ist das Häkchen bei Eingegebene Suchbegriffe und Formulardaten speichern zu entfernen. Die Daten, die für die Durchführung der Simulation erforderlich sind, werden in Tab. 1 aufgelistet. Die Erinnerungsfragen bei der PayPal Registrierung sind frei wählbar, da durch Festlegen dieser kein Mehrwert gesehen wird Verwendung der Simulationsanwendung 43

54 Anschrift: Erika Mustermann Heidestrasse Berlin Deutschland Geburtsdatum: Tel: / Login ebay: erika-mustermann@mustermail.de erika-mustermann PW ebay / PayPal: Bankverbindung: Beträge PayPal Probeüberweisung (für Kontobestätigung): Bank: Vereinigte Musterbank Kto-Nr: BLZ: ) 04 ct 2) 07 ct eid-pin: Tabelle 1: Profil Erika Mustermann 4.4. Verwendung der Simulationsanwendung 44

55 5 Technische Umsetzung der Simulationsanwendung In diesem Kapitel wird der Aufbau der Simulationsanwendung beschrieben. Damit soll es für einen Anwender ermöglicht werden, die vorliegende Simulation bei Bedarf zu verändern, erweitern oder anzupassen. Hierfür werden allerdings Kenntnisse in Java, HTML, CSS und JavaScript vorausgesetzt. Eine erfolgreiche Installation der Simulationsanwendung in der vorliegenden Form ist, wie in Kap beschrieben, jedoch auch ohne tiefere Kenntnisse problemlos möglich. Die Simulationsanwendung besteht aus zwei statischen Webprojekten, welche als zip- Archive zur Verfügung gestellt werden. Die Simulation der Authentisierungsabläufe entsprechend der ecard API des BSI baut auf der vom Konsortium CampusPilot entwickelten Simulationssoftware, bestehend aus mehreren Applets und Konfigurationswerkzeugen, auf. Diese Simulationssoftware wurde bereits auf der CeBIT 2009 vorgestellt. Einzelne Applets wurden für die hier vorliegende Simulation angepasst und erweitert, um die Einbindung weiter zu vereinfachen. Dabei werden auch einige neue Funktionalitäten angeboten. Die Simulation ist wie schon die CampusPilot Simulation mit beliebigen SmartCards, die vom Java SmartCard IO Framework erkannt werden, lauffähig. Ein tatsächlicher Zugriff auf die eid-funktion des epa entsprechend der ecard API findet dabei nicht statt, weswegen auch keine lauffähige ecard API benötigt wird. In den folgenden Abschnitten wird nach einer Auflistung der zur Verfügung gestellten Dateien zunächst die Struktur und die Realisierung der Webprojekte beschrieben. Damit soll ein leichtes Einarbeiten bei gewünschten Erweiterungen oder Veränderungen möglich werden. Darauf folgt eine Beschreibung der verwendeten Applets, wobei vor allem auf Änderungen und Erweiterungen der ursprünglichen Simulationswerkzeuge eingegangen wird. 5.1 Bereitgestellte Dateien Es werden folgende Dateien für die Simulationsanwendung zur Verfügung gestellt: Yabe-Simulation.html - Einstiegsseite für die PayPal und ebay Simulation. Enthält Links zu den entsprechenden Startseiten der Webapplikation. Darüber hinaus kann hiermit die Simulation zurückgesetzt werden. 45

56 YabeSim.zip - Enthält das statische Webprojekt für die Simulation ohne Verwendung des epa. YabeSim_ePA.zip - Enthält das statische Webprojekt für die Simulation unter Verwendung des epa. YabeCardDetector.zip - Eclipse-Projekt, enthält den Sourcecode des CardDetectors. YabeSimulation.zip - Eclipse-Projekt, enthält den Sourcecode des eid-simulationsapplets. Die Dateien YabeCardDetector.zip und YabeSimulation.zip können ebenso wie die Dateien YabeSim.zip und YabeSim_ePA.zip mittels Projekt-Import in Eclipse (erstellt mit Eclipse 3.5) 97 importiert werden, was die komfortable Erweiterung oder Veränderung der einzelnen Komponenten der Simulationsanwendung ermöglicht. 5.2 Webprojekte Für die Simulation der Registrierung bei PayPal und den Einkauf eines Artikels bei ebay wurden zwei statische Webprojekte erstellt. In einem der Webprojekte wurde die Simulation ohne Verwendung des epa (YabeSim.zip), im anderen die Simulation mit Verwendung der eid-funktion (YabeSim_ePA.zip) realisiert. Durch die Verwendung zweier Webprojekte kommt es zwar zu einigen Redundanzen, die Abhängigkeiten und Verweise zwischen den einzelnen HTML-Seiten sind jedoch weniger komplex und somit leichter überschau- und anpassbar. Die genaue Bezeichnung der einzelnen HTML-Seiten wurde in die in Kap. 4.2 dargestellten Ablaufdiagramme aufgenommen. Für die genaue Abfolge bzw. die Verlinkungen der einzelnen HTML-Seiten bei der Simulation sei damit auf Abb. 9 bis 12 verwiesen. Hier wird zunächst die Struktur der Webprojekte dargestellt und wie die HTML-Seiten umgesetzt wurden. Dabei ist die Ordnerstruktur bei beiden Projekten gleich, wobei das Projekt YabeSim_ePA zusätzliche Verzeichnisse enthält. In Tab. 2 wird die Ordnerstruktur der Webprojekte und deren Inhalt zusammengefasst aufgezeigt. Ordner, die nur bei YabeSim_ePA zur Verfügung stehen sind entsprechend gekennzeichnet. 97 eclipse, Webprojekte 46

57 Ordnername WebContent Beschreibung Wurzelverzeichnis, enthält alle Dateien und Ordner, die für die jeweilige Simulation benötigt werden. /applets ( ) Enthält die Applets für die Simulation der Authentisierung mittels eid-funktion sowie eine Konfigurationsdatei. /eb Enthält alle (HTML-) Dateien zur Darstellung der Simulation des ebay Einkaufs. /ebay_images Enthält die in die ebay Seiten eingebetteten Grafiken. /ebay_styles Enthält die Stylesheets für die ebay Seiten. /errors ( ) Enthält alle Fehlerseiten, auf die bei einem Fehler bei der epa-authentisierung weitergeleitet wird. /pp Enthält alle (HTML-) Dateien zur Darstellung der Simulation der PayPal Registrierung oder des Logins auf dem Benutzerkonto. /images Enthält die in die PayPal Seiten eingebetteten Grafiken. /styles Enthält die Stylesheets für die PayPal Seiten. ( ) nur in YabeSim_ePA enthalten. Tabelle 2: Ordnerstruktur der Webprojekte Umsetzung der PayPal Simulation Um eine möglichst authentische Simulation zu erhalten, wurde der Ablauf exakt dem Registrierungs- und Loginablauf von nachgebildet. Hierfür wurden die PayPal Frameseiten und CSS Stylesheets verwendet. Teilweise wurden die Seiten durch Screenshots der Originale ersetzt, um die HTML-Seiten nicht unnötig komplex zu gestalten. Diese Screenshots wurden als Grafiken so in die Seiten eingebunden, dass der Eindruck einer voll funktionsfähigen Seite erhalten bleibt. Verlinkungen, die in diese Grafiken fallen, wurden mittels Image Maps realisiert. Alle Links wurden entsprechend den Anforderungen der Simulation angepasst, sowie Grafiken lokal gespeichert und die Quellverzeichnisse in den Stylesheets angepasst. Die einzelnen Seiten sind über relative Verweise verlinkt. Dadurch wird eine größtmögliche Flexibilität erreicht und die Simulation kann bei Bedarf auch lokal auf einem PC von 5.2. Webprojekte 47

58 der Festplatte aus gestartet werden, ohne einen Server zu nutzen. 98 Für die Simulation wurde ein Profil passend zu einem Test-ePA für Erika Mustermann entworfen. Die genauen Daten sind in Kap. 4.4 zu finden. Hier sind Nutzernamen, Passworte etc. vermerkt. Die Eingabeformulare werden, sofern Benutzereingaben notwendig sind (vor allem bei der Simulation ohne eid-funktion), mittels JavaScript überprüft. Es werden lediglich die im Profil angelegten Eingaben angenommen. Bei falscher Eingabe wird ein entsprechender Fehler angezeigt. Dadurch ist die Simulation zwar auf einen bestimmten Namen festgelegt, jedoch kann damit eine möglichst realistische Testsituation erreicht werden. Gerade im Zuge einer Akzeptanzstudie ist es besonders wichtig, die Probanden dazu zu bringen, benötigte Daten entsprechend gewissenhaft einzugeben. Dies ist bei einer realen Registrierung bzw. einem Login der Fall und sollte auch bei einer Studie erreicht werden. Nur so kann der Ablauf im Nachhinein korrekt in Bezug auf Anwenderfreundlichkeit, Verfahrensdauer etc. bewertet werden. Wären beliebige Eingaben möglich, so könnte ein Proband verleitet werden Phantasiewörter einzugeben, um die Simulation schnell zu durchlaufen. Dies würde allerdings die Wahrnehmung deutlich verzerren. Wird die Registrierung mittels epa durchgeführt, so sind viele der Eingabedaten durch die epa-authentisierung bekannt und die Felder erscheinen daher vorausgefüllt. Dies ist ein weiterer Grund für die Einschränkung auf ein Profil, da die Nutzerdaten nicht tatsächlich aus dem epa ausgelesen werden. Verwendung von Cookies Ist die Registrierung abgeschlossen, so soll anschließend nur noch der Login mit diesem Namen möglich sein. Ebenso soll kein Login ohne vorhergehende Registrierung ermöglicht werden. Da auf die Verwendung einer Datenbank verzichtet wurde, werden bei der Registrierung entsprechende Cookies geschrieben, welche über true/false -Werte Auskunft über den Status der Simulation geben. Diese Vermerke werden bei jedem Registrierungs- oder Loginversuch überprüft. Entsprechend des Cookiestatus wird dann weitergeleitet und der Proband gegebenenfalls informiert. Auch andere Informationen, wie in etwa der Verifikationsstatus zu Bankkonto und Adresse werden in Cookies abgelegt. Hierfür besteht eine eigene JavaScript Datei mit dem Namen cookie.js. Diese stellt die erforderlichen Funktionen zur Verfügung, die mit den entsprechenden Parametern für das Schreiben der Cookies aufgerufen werden. 98 siehe auch Kap Webprojekte 48

59 Es werden hierfür vier Cookies mit folgenden (Name, Wert)-Paaren gesetzt: 1. (erika_mustermann, true / false) - true wenn der Benutzeraccount bereits registriert ist, false wenn nicht. 2. (erinnerungsfrage, true / false) - true wenn die Erinnerungsfragen beim ersten Login angelegt wurden, false wenn dies noch nicht geschehen ist. 3. ( bestätigt, true / false) - true wenn die Adresse bereits bestätigt ist, false wenn nicht. 4. (kontobestätigt, true / false) - true wenn das Bankkonto bereits bestätigt ist, false wenn nicht. Die Cookies werden an den entsprechenden Stellen im Verlauf der Registrierung gesetzt oder überprüft, so dass die angezeigten Folgeseiten entsprechend dynamisch angepasst werden können. Die genaue Seitenabfolge kann den Diagrammen Abb. 9 und 10 in Kap. 4.2 entnommen werden. Hierbei wird nach Klick auf den Bestätigungsbutton bei der Kontoeröffnung (paypalp3.htm) das Cookie 1, bei Absenden der Erinnerungsfragen (paypal_erinnerungsfragen.htm) das Cookie 2 und jeweils nach Durchführung der - (paypal_ bestätigung2.htm) bzw. Kontobestätigung (paypal_kontobestätigung1.htm) Cookie 3 bzw. 4 auf true gesetzt. Wird die Simulation mittels epa durchgeführt, so werden direkt bei der Kontoeröffnung (paypalp3.htm) alle Coockies auf true gesetzt, da wie beschrieben zusätzliche Bestätigungen und Erinnerungsfragen entfallen. Bei Bestätigung der Kontoschließung (paypal_dereg2.htm) werden alle Cookies auf false und damit die Simulation zurückgesetzt. Geprüft werden die Cookies beim Versuch des Logins oder der Registrierung. Cookie Prüfungen sind in die Seiten paypalp3.htm, paypal_login.htm, login_ex_ .htm und paypal_account.htm eingebaut, um den korrekten Verlauf zu gewährleisten, oder die Seiten entsprechend dem Status darzustellen. Einbindung der Applets Bei der epa gestützten Simulation wurden die erforderlichen Applets in separate Frameseiten eingebunden: paypal_signin_f1.htm und paypal_signin_f2.htm für die Registrierung paypal_login_f1.htm und paypal_login_f2.htm für den Login 5.2. Webprojekte 49

60 Diese Frameseiten wurden dann wiederum mittels eingebetteter Frames (iframe) in die HTML-Seiten der Simulation integriert. In *_f1.htm ist jeweils das Applet YabeCard- Detector 99 und in *_f2.htm das Applet YabeSimulation 100 eingebettet Umsetzung der ebay Simulation Die Simulation des ebay Einkaufs gestaltet sich verglichen mit der Registrierungssimulation vergleichsweise einfach. Da hier immer von bestehenden Nutzeraccounts ausgegangen wird, werden keine Cookies benötigt. Bei der Simulation ohne epa werden die Logindaten mittels JavaScript überprüft und somit nur die Logindaten des Erika Mustermann Profils akzeptiert. Bei der epa gestützten Simulation ist dies nicht nötig, da der passwortgestützte Login durch die epa Authentisierung ersetzt ist. Bei den ebay Seiten wurde zur Komplexitätsreduktion lediglich der Kopfbereich mittels HTML-Code nachgebaut. Der Rest der Seiten wurde über Screenshots und Image Maps realisiert. Dies erscheint für die Simulation als ausreichend. Erweiterungen sind trotzdem leicht möglich, da sich gerade die dafür nötigen Verlinkungen im oberen Abschnitt der ebay Seiten befinden. Ansonsten können Links, wie bereits teilweise realisiert, über Image Maps eingefügt werden. Alle nicht benötigten Links wurden auch hier deaktiviert bzw. führen auf eine kurze Informationsseite. Die Verlinkungen der Seiten sind auch hier über relative Verweise realisiert. Die Grafiken sind lokal abgelegt. 101 Für die Darstellung wurde ein möglichst schlankes CSS-Stylesheet erstellt, welches unter teilweiser Verwendung der original Stylesheets von aufgebaut wurde. Für die genaue Abfolge der HTML-Seiten sei hier auf Abb. 11 und 12 in Kap. 4.2 verwiesen. Einbindung der Applets Auch hier sind die Applets in separate Frameseiten eingebunden: ebay_login_f1.htm sowie ebay_login_f2.htm für den Login bei ebay kauf5_f1.htm sowie kauf5_f2.htm für den während des Einkaufs erforderlichen PayPal Login 99 siehe Kap siehe Kap siehe Tab Webprojekte 50

61 Diese sind auch hier über iframes in die HTML-Seiten der Simulation integriert. Die Einbettung der Applets folgt dem selben Schema wie bei der PayPal Simulation. Die entsprechenden Parameter sind Kap. 5.3 zu entnehmen. 5.3 Simulationsapplets Wie schon erwähnt beruht die Simulation der eid-anwendung auf der vom Konsortium CampusPilot zur Verfügung gestellten Simulationssoftware. Daher sei hier zunächst auf die dazugehörige Dokumentation 102 verwiesen. Da die grundlegende Struktur der Anwendungen erhalten wurde, werden hier nur die Veränderungen und Erweiterungen dokumentiert. Der grundlegende Aufbau und die Funktionen können dem CampusPilot Handbuch entnommen werden. Sollen die Applets verändert werden, so empfiehlt es sich, sich zunächst mit dem Handbuch und dann mit der hiesigen Dokumentation vertraut zu machen. Um lediglich einen Überblick über die Änderungen und Funktionalität zu bekommen und wie die bestehenden Applets einzubinden sind, ist diese Dokumentation ausreichend. Die CampusPilot Simulationssoftware besteht aus drei Komponenten: 1. Terminal Detector, um den Namen des angeschlossenen Kartenlesers zu ermitteln. Dieser kann, wenn der Name des Kartenlesers nicht bekannt ist, bei Bedarf in unveränderter Form verwendet werden. Daher wird hier nicht näher auf diese Tool eingegangen. 2. Card Detector, dieser erkennt, ob ein epa oder ersatzweise eine kompatible Smart- Card auf den Kartenleser aufgelegt wurde. 3. eid-simulationssoftware, übernimmt die Simulation der ecard API und der Interaktionen während der eid-anwendung. Die beiden letzten Applets wurden im Zuge der Entwicklung der vorliegenden Simulation angepasst und erweitert. Sie werden in den folgenden Abschnitten genauer erläutert Card Detector Der Card Detector ist ein Java-Applet, welches periodisch überprüft, ob auf den angeschlossenen Kartenleser eine SmartCard aufgelegt wurde. Wird eine SmartCard erkannt, so wird per HTTP-Redirect auf eine festgelegte URL weitergeleitet. Der Status 102 Vowé (2009) Simulationsapplets 51

62 Klassenname CampusPilotCard- Detector ConfigReader Messages Imagepanel Beschreibung und Änderungen Diese Klasse steuert das periodische Prüfen des Kartenlesers und die Weiterleitung zur Redirection URL. Hier wurde lediglich das Abrufen der Applet Parameter ergänzt (Quellcode Z. 130ff), sowie das vervollständigen der Redirection URL mithilfe des Parameters url. Diese Klasse wurde neu hinzugefügt und ist für das Auslesen der externen Konfigurationsdatei verantwortlich. Diese Klasse stellt Methoden bereit, um mittels Key auf die config.properties Datei zuzugreifen. Die Methoden wurden insoweit geändert, dass nun auch der Parameterwert von confignr beim Auslesen berücksichtigt wird. Zusätzlich werden die Einträge hier bei Bedarf um den Installationspfad ergänzt. Diese Klasse regelt die Darstellung des Applets. Tabelle 3: Änderungen des Card Detectors bezüglich der vom Konsortium CampusPilot zur Verfügung gestellten Version des Kartenlesers wird dabei durch entsprechende Grafiken angezeigt. 103 Dieses Applet wurde in die Webapplikation eingebunden, um den Nutzer beim Login oder der Registrierung an entsprechender Stelle zum Auflegen des epa aufzufordern und ihn über das korrekte Auflegen zu informieren. Der Umfang der Webapplikation macht den Aufruf des Applets an mehreren Stellen der Simulation, mit einer angepassten Weiterleitung notwendig. Der ursprüngliche Ansatz, die Redirect URL in einer internen Konfigurationsdatei ( config.properties ) anzulegen, erfordert bei jeder Änderung der Ordnerstruktur oder des Speicherortes der Webapplikation ein erneutes Kompilieren des Applets. Dazu kommt, dass für jeden Appletaufruf, nachdem auf eine jeweils andere URL weiterleiten soll, ein eigenständig kompiliertes Applet erforderlich ist. Verwendung einer externen Konfigurationsdatei Um diese Problematik zu umgehen und damit die Flexibilität und den Aufwand bei Verwendung des Applets zu verbessern, wurden an dem ursprünglichen Applet einige Änderungen vorgenommen. So ist der mit dieser Arbeit bereitgestellte Card Detector über Parameter und eine externe Konfigurationsdatei steuerbar. Die Konfigurationsdatei 103 vgl. Vowé (2009), S Simulationsapplets 52

63 ist lediglich im selben Verzeichnis wie die kompilierte Jar-Datei des Card Detectors abzulegen. In Tab. 3 werden die Ergänzungen und Anpassungen an den Java Klassen des ursprünglichen Card Detectors erläutert. Der selbe Ansatz mit Parametern und externer Konfigurationsdatei wurde auch bei dem unten erläuterten eid-simulationsapplet gewählt. Die externe Konfigurationsdatei mit dem Namen externalconfig.txt muss für den Card Detector folgende Einträge enthalten: 1. CardTerminal=BEZEICHNUNG - Hier ist der Name des angeschlossenen Kartenlesers einzutragen. Dieser kann, wenn nicht bekannt, mit Hilfe des Terminal Detectors 104 ermittelt werden. 2. Installation.URL=VERZEICHNIS - Hier ist das Installationsverzeichnis der Webapplikation als URL anzugeben. Dieser wird für den HTTP-Redirect benötigt. Hierdurch ist es möglich, bei den weiter unten beschriebenen Parametern, als Weiterleitungs- URL relative Adressen innerhalb der Webapplikation anzugeben. Der Aufbau der Konfigurationsdatei für das Simulationsapplet ist gleich. Daher kann für Card Detector und eid-simulationsapplet die selbe Konfigurationsdatei verwendet werden. Der Aufbau einer beispielhaften Konfigurationsdatei findet in Kap Erweiterung auf parametrisierten Appletaufruf Zusätzlich wurde das Applet so verändert, dass es mit Parametern gestartet werden muss. Die anzugebenden Parameter sind dabei: 1. confignr - Hier sind die Werte 1 für PayPal und 2 für ebay einzutragen. Diese Nummer wird für den Zugriff auf die config.properties -Datei verwendet. 105 Dadurch wird es möglich, beispielsweise verschiedene Grafiken für unterschiedliche Szenarien dynamisch auszuwählen. Damit kann für die PayPal-, als auch für die ebay Simulation ein und das selbe Applet verwendet werden. 2. url - Hier ist die relative URL innerhalb der Webapplikation der Seite anzugeben, auf die nach Kartenerkennung weiterzuleiten ist. 104 vgl. Vowé (2009), S. 4 ff. 105 für Grundlagen zur config.properties Datei vgl. ebd., S. 8 ff 5.3. Simulationsapplets 53

64 Ein korrekter Appletaufruf sieht folgendermaßen aus: <applet codebase="." code="de.fhg.sit.campuspilot.carddetector.campuspilotcarddetector" width="500" height="180" archive="../applets/yabecarddetector.jar"> <param name="confignr" value="2"> <param name="url" value="eb/ebay_login_f2.htm"> </applet> Änderungen der interene Konfigurationsdatei Die schon erwähnte config.properties -Datei wurde erhalten. Hier sind weiterhin die Konfigurationen vorzunehmen, die selten angepasst werden müssen. Der Eintrag config.cardterminal wurde entfernt, da diese Konfiguration wie beschrieben über die externe Konfigurationsdatei vorgenommen wird. Der Eintrag config.redirectionurl wurde in die Einträge config.redirectionurl.1 und config.redirectionurl.2 aufgespalten, um für PayPal und ebay verschiedene Einträge zu ermöglichen. Die.1 und.2 werden dabei für die Referenzierung verwendet, um entsprechend dem Parameter confignr den Eintrag zur Laufzeit auswählen zu können. Als Konvention für die Werte der Konfigurationseinträge muss eingehalten werden, dass alle Einträge, die mit dem Pfad des Installationsverzeichnises zu verknüpfen sind, mit einem / beginnen. Alle anderen Werte beginnen mit einem Buchstaben. Da die Werte für die config.redirectionurl nicht fest, sondern über die Parameterübergabe gesteuert werden sollen, ist für das aktuelle Setup hier jeweils als Wert nur ein / eingetragen. Mit diesem Konzept, ist die interne config.properties -Datei nur anzupassen, wenn beispielsweise andere Grafiken in das Applet eingefügt oder die Konfigurationsdatei betreffende Änderungen am Quellcode vorgenommen werden und ein Neukompilieren damit unumgänglich ist. Das Applet wurde von CampusPilotCardDetector in YabeCardDetector umbenannt. Die interne Ordnerstruktur sowie die Klassennamen wurden jedoch nicht verändert. Der Aufbau des Eclipse-Projektes entspricht weiterhin dem im Handbuch beschriebenen vgl. Vowé (2009), S Simulationsapplets 54

65 Abbildung 13: Anzeige der Datenschutzerklärung Auch am Kompilierungsvorgang mittels Ant wurde außer der Namensgebung nichts verändert eid-simulationssoftware Mit diesem Applet wird die Simulation der ecard API umgesetzt. Entsprechend dem Gesetz zum elektronischen Personalausweis werden drei interaktive Dialoge eingeblendet. Diese sind fester Bestandteil der in Kap beschriebenen eid-authentisierung. Folgende Dialoge werden dargestellt: Anzeige der Datenschutzerklärung des Diensteanbieters Anzeige und Auswahl der auszulesenden Ausweisdaten Abfrage der eid-pin Abschließend wurde noch abweichend von der ursprünglichen CampusPilot Simulation ein vierter Dialog eingefügt. Dieser zeigt lediglich den (simulierten) Fortschritt des Auslesevorgangs nach der PIN Eingabe an. Der Dialog wurde eingefügt um die Simulation abzurunden, ist jedoch nicht gesetzlich vorgeschrieben. Abb. 13 bis Abb. 16 zeigen die Dialoge, die für den Anbieter PayPal erstellt wurden. Um auch hier eine möglichst große Flexibilität zu erreichen, wurden analog zum Card 5.3. Simulationsapplets 55

66 Abbildung 14: Auswahl der auszulesenden Ausweisdaten Abbildung 15: eid-pin Abfrage Abbildung 16: Fortschrittsanzeige des Auslesevorgangs der Ausweisdaten 5.3. Simulationsapplets 56

67 Detector einige Änderungen an dem Simulationsapplet vorgenommen. Das Applet wurde von CampusPilotSimulation in YabeSimulation umbenannt, um Verwechslungen zu vermeiden. Die innere Struktur des Eclipse-Projekts wurde aber auch hier vollständig beibehalten. Diese kann dem CampusPilot Handbuch entnommen werden. 107 Hier erfolgte auch eine Umstellung auf einen Appletaufruf mit Parameterübergabe und eine externe Konfigurationsdatei, um ein häufiges Neukompilieren zu vermeiden. Darüber hinaus ist es dadurch möglich, die ebay und die PayPal Simulation mit ein und dem selben Applet durchzuführen. Des weiteren kann über einen Parameter gesteuert werden, ob eine Registrierung mit vollständiger Authentisierung oder eine Restricted Identification mittels Pseudonym simuliert werden soll. Verwendung einer externen Konfigurationsdatei Die externe Konfigurationsdatei für die Simulationssoftware benötigt, zusätzlich zu den für den Card Detector notwendigen, zwei weitere Einträge und hat damit den folgenden Aufbau: 1. CardTerminal=NAME - Hier ist wie bereits bekannt der Name des angeschlossenen Kartenlesers einzutragen. 2. Installation.URL=VERZEICHNIS - Hier ist ebenso wie beim Card Detector erläutert das Installationsverzeichnis der Webapplikation als URL anzugeben. 3. Delay to applet start=verzögerung - Hier ist in Millisekunden die Verzögerung anzugeben, mit der das Simulationsapplet starten soll, wenn ein epa auf dem Kartenleser erkannt wurde. Aktuell sind dies 3000 Millisekunden. 4. Delay for card reading=verzögerung - Hier ist in Millisekunden die Zeit anzugeben, die es dauern soll, bis der simulierte Auslesevorgang abgeschlossen ist. Hierfür sind aktuell 6000 Millisekunden veranschlagt. Die Timings sind der ursprünglichen CampusPilot Simulation entnommen, welche auf gemessenen Timings einer tatsächlichen Realisierung des ecard API Frameworks beruhen. Da diese sich durch technische Verbesserungen schnell ändern können, ist es sinnvoll auch die hier erstellte Simulation problemlos anpassen zu können, wenn neue Erkenntnisse zu den Timings vorliegen. 107 vgl. Vowé (2009), S. 13 ff Simulationsapplets 57

68 Parametrisierter Appletaufruf Die Parameterübergabe ist ähnlich derer des Card Detectors: 1. mode - Hier ist anzugeben, ob eine Registrierung registration oder ein Login login mittels Restricted Identification simuliert werden soll. 2. confignr - Hier sind wieder die Werte 1 für PayPal und 2 für ebay einzutragen. Diese Nummer wird auch hier für den Zugriff auf config.properties -Datei verwendet. 3. url - Hier ist die relative URL innerhalb der Webapplikation der Seite anzugeben, auf die nach Abschluss des Authentisierungsverfahrens weitergeleitet werden soll. Ein korrekter Aufruf des eid-simulationsapplets sieht folgendermaßen aus: <applet codebase="." archive="../applets/yabesimulation.jar" code="de.fhg.sit.campuspilot.simulation.campuspilotsimulation" width="0" height="0"> <param name="mode" value="login"> <param name="confignr" value="2"> <param name="url" value="eb/ebay_eingeloggt.htm"> </applet> Änderungen der interene Konfigurationsdatei Die Änderungen machten erneut eine Anpassung der config.properties -Datei notwendig. 108 Alle URLs, die von dem Applet zu Weiterleitungszwecken - beispielsweise bei Fehlern - verwendet werden, wurden auf relative URLs innerhalb der Webapplikation umgestellt. Dabei ist darauf zu achten, dass jeweils mit einem / zu beginnen ist, um die Verknüpfung mit dem Pfad des Intallationsverzeichnisses aus der externen Konfigurationsdatei zu erreichen. Darüber hinaus wurde der Eintrag config.cardterminal entfernt und alle Konfigurationsschlüssel, die auf anbieterspezifische Dateien wie Grafiken etc. verweisen, aufgesplittet und jeweils um die Anhängen.1 sowie.2 erweitert. Dieses Vorgehen erlaubt 108 siehe dazu auch Vowé (2009), S. 14 ff 5.3. Simulationsapplets 58

69 theoretisch eine Erweiterung des Simulationsapplets auf beliebige andere Anbieter, für die die Authentisierung dann mit diesem Applet simuliert werden könnte ohne jeweils neu zu kompilieren. Die Weiterleitung bei erfolgreichem Abschluss der Authentsierungssimulation erfolgt zu der URL, die sich aus dem Pfad des Installationsverzeichnisses und dem im Parameter url angegebene relativen Pfad ergibt. Der Eintrag hierfür in der config.properties - Datei besteht daher wieder nur aus einem /. Die Fehlerseiten, auf die das Applet weiterleitet, müssen sich bei der hier gegebenen Konfiguration in einem Ordner namens errors im Installationsverzeichnis der Simulation befinden. Tab. 4 gibt einen Überblick über die wichtigsten Klassen des Eclipse-Projektes und den Veränderungen bezüglich der ursprünglichen CampusPilot Version. Weniger wichtige und nicht veränderte Klassen werden nicht aufgeführt. Darüber hinaus wurden die Grafiken im Unterverzeichnis gui/pics und die AGB Texte im Unterverzeichnis gui/html an die PayPal und ebay Simulation angepasst. Das Deployment des Applets erfolgt weiterhin unverändert wie im CampusPilot Handbuch beschrieben, ist jedoch nur bei grundlegenden Änderungen am Quellcode oder bei Erweiterungen des Applets notwendig. Ansonsten erfolgt die Konfiguration über die externe Konfigurationsdatei externalconfig.txt und die Parameterübergabe bei Applet- Aufruf. Wie schon erwähnt können der Card Detector und das eid-simulationsapplet die selbe externalconfig.txt -Datei verwenden, die dann alle vier Einträge für das eid- Simulationsapplet enthalten muss Simulationsapplets 59

70 Klassenname CampusPilot- Simulation ConfigReader Messages AGBDialog SelectDialog WaitDialog Beschreibung und Änderungen Diese Klasse steuert den Gesamtablauf der eid- Authentisierung sowie das Vervollständigen der Redirection URL mithilfe des Parameters url. Hier wurde die Parameterabfrage aufgenommen und die Verwendung der Parameter an den entsprechenden Stellen sowie der Aufruf des zusätzlichen vierten Dialoges implementiert. Diese Klasse wurde neu hinzugefügt und ist für das Auslesen der externen Konfigurationsdatei verantwortlich. Diese Klasse stellt Methoden bereit, um mittels Key auf die config.properties -Datei zuzugreifen. Die Methoden wurden insoweit geändert, dass nun auch der Parameterwert von confignr beim Auslesen berücksichtigt wird. Zusätzlich werden die Einträge hier bei Bedarf um den Installationspfad ergänzt. Die Daten der externen Konfigurationsdatei werden diesen Methoden als Parameter übergeben, um wiederholte Zugriffe auf die Datei zu vermeiden; sie wird beim Start des Applets einmalig ausgelesen. Dies ist eine der GUI Klassen. Sie regelt die Darstellung der Datenschutzerklärung. Um das Gültigkeitsdatum des Berechtigungszertifikates nicht immer im Text der Datenschutzerklärung im Unterverzeichnis gui/html anpassen zu müssen, wurde die Klasse erweitert. Es wird bei jeder Simulation das aktuelle Rechnerdatum ausgelesen und damit der Berechtigungszeitraum aktualisiert. Diese GUI Klasse ist für die Darstellung des Dialogs zur Auswahl der erforderlichen Datengruppen zuständig. Diese wurde darauf angepasst, dass bei Wahl einer Loginsimulation über den Applet-Parameter mode lediglich die Übertragung des Pseudonyms gefordert wird. Bei dieser GUI Klasse handelt es sich um den vierten Dialog, welcher den Fortschritt des Auslesevorgangs darstellt. Er wird während der Verzögerung, die über den Delay for card reading Eintrag in der externen Konfigurationsdatei festgelegt wurde, angezeigt. Die Ablaufgeschwindigkeit des Statusbalkens wird automatisch an die Verzögerung angepasst. Tabelle 4: Änderungen der eid-simulationssoftware bezüglich der vom Konsortium CampusPilot zur Verfügung gestellten Version 5.3. Simulationsapplets 60

71 6 Verfahrensanalyse Dieses Kapitel stellt die Vor- und Nachteile der Registrierung und Authentisierung mit und ohne Verwendung der eid-funktion des epa im Vergleich dar. Dabei werden speziell Unterschiede bei den beiden zuvor vorgestellten Anwendungsfällen untersucht und bewertet. Hinzu kommt eine allgemeine Beurteilung in Bezug auf ecommerce bzw. ebusiness, da sich die Vor- und Nachteile prinzipiell auf alle Bereiche erweitern lassen, die einen Identitätsnachweis oder eine Authentisierung erfordern. 6.1 Vorteile der eid-funktion Zunächst werden Stärken und Vorteile herausgearbeitet, die bei der Verwendung des epas als Authentifikationsmittel entstehen. Dabei werden im Folgenden verschiedene Varianten der Registrierung und anschließend verschiedene Authentisierungsverfahren betrachtet Registrierungsverfahren im Vergleich Um einen Dienst eines Diensteanbieters nutzen zu können, ist in der Regel zunächst eine Erstanmeldung bzw. Registrierung erforderlich. Hierbei wird das für den späteren Authentisierungsvorgang notwendige Passwort und der Benutzername angelegt. Außerdem erfolg hier bei Diensten, die dies erfordern, die Identifizierung der sich registrierenden Person. Beim Registrierungsvorgang, der hier am Beispiel von PayPal dargestellt wurde, muss der Nutzer personenbezogene Daten, wie in etwa Name, Anschrift und Alter angeben. Allerdings besteht in diesem Anwendungsfall für den Diensteanbieter nicht die Möglichkeit, die eingegebenen Daten zu überprüfen. Die Identität des sich registrierenden Nutzers muss auf anderem Wege überprüft werden. PayPal nutzt hierfür einen Datenabgleich mit der Schufa sowie ebay. Für Adresse und Bankkonto muss explizit nachgewiesen werden, dass der Nutzer auch tatsächlich Zugriff darauf hat, was mittels Bestätigungs und Probeüberweisungen geschieht. Jedoch kann auch damit die Identität eines Nutzers nicht eindeutig sichergestellt werden. Dies ermöglicht Betrug und Identitätsdiebstahl. Ein Angreifer könnte sich mit den Identitätsdaten einer betroffenen Person bei PayPal registrieren. Sind diese Daten in sich stimmig kommt es beim Schufaabgleich nicht zu einer Warnung. Hat der Angreifer zu- 61

72 sätzlich die Anmeldedaten für einen Onlinebanking Account ausgespäht, so kann er auch die Kontoregistrierung und Verifizierung problemlos durchführen, da er Zugriff auf das Konto hat. TAN Verfahren schützen hier nicht, da in der Regel für die Einsicht in Kontoauszüge keine TANs benötigt werden. Anschließend kann der Angreifer Geld an ein anderes PayPal Konto schicken oder auf fremde Rechnung mittels des angelegten PayPal Accounts einkaufen. Wird ein eindeutiger Identitätsnachweis gefordert oder ist dieser, wie bei der Eröffnung eines Bankkontos gesetztlich vorgeschrieben, so müssen Verfahren wie PostIdent 109 in Anspruch genommen werden. Ein klarer Nachteil von den verschiedenen Verfahren zur Identitätsprüfung ist der Aufwand und die Zeit, die dafür in Anspruch genommen werden. Die PayPal Probeüberweisungen nehmen in der Regel 2-3 Tage in Anspruch, 110 die der Nutzer abwarten muss ehe er sein Konto bestätigen und damit die PayPal Dienste voll nutzen kann. Für PostIdent muss zusätzlich eine Postfiliale aufgesucht werden, um eine Unterschrift auf einem entsprechenden Formular verifizieren zu lassen. Dieser zusätzliche Aufwand schränkt die Komfortabilität erheblich ein und kann potentielle Nutzer von einer Registrierung abhalten. Der epa hingegen stellt mit der eid-funktion einen Identitätsnachweis mit hoheitlicher Echtheitsgarantie bereit. Dazu kommt, dass die persönlichen Daten für das Registrierungsverfahren direkt vom epa übertragen werden können. Daher wird die manuelle Eingabe persönlicher Daten bei einer Registrierung unnötig, was den Komfort für den Nutzer erhöht und außerdem die Gefahr unabsichtlicher Falscheingaben wie Tippfehler verringert. Es müssen lediglich Daten eingegeben werden, welche nicht auf dem epa gespeichert sind. Darüber hinaus können zusätzliche Prüfungen der Identität durch den Diensteanbieter entfallen. Prinzipiell kann der Registrierungsvorgang damit deutlich verkürzt werden und eine volle Dienstnutzung ist direkt nach der Registrierung ohne weitere Wartezeiten möglich. Gleichzeitig wird die Sicherheit erhöht, da eine Registrierung unter falschem Namen nicht mehr möglich ist. Wird der epa zusätzlich für den Login verwendet, sind auch bestehende Konten vor Missbrauch geschützt, da zur Freigabe von Zahlungen der epa und die zugehörige eid-pin benötigt werden. Ein weiterer Vorteil bei Nutzung des epas ist, dass sich auch der Nutzer sicher sein kann, mit einem autorisierten Diensteanbieter zu kommmunizieren, da der epa das Berech- 109 vgl. Deutsche Post. 110 vgl. PayPal Vorteile der eid-funktion 62

73 tigungszertifikat des Diensteanbieters überprüft. Aufgrund der Notwendigkeitsprüfung bei Antragsstellung für ein Berechtigungszertifikat 111 kann der Nutzer davon ausgehen, dass die vom Anbieter angefragten Daten auch tatsächlich notwendig sind und der Datenschutz beim Diensteanbieter ein angemessenes Niveau erfüllt. Allerdings kann dadurch nicht verhindert werden, dass der Anbieter im Nachhinein weitere Daten fordert. Insgesamt kann mit der eid-funktion gegenseitiges Vertrauen bei den Transaktionspartnern erreicht werden, da ein Identitätsklau bzw. -missbrauch durch die nachweisbare Identität nicht mehr ohne weiteres möglich ist Authentisierungsverfahren im Vergleich Grundsätzlich lassen sich für Authentisierungsverfahren drei Faktoren einsetzen: 1. Wissen (PIN, TAN) 2. Besitz (SmartCard, Token) 3. Sein (Biometrie) Dabei sind Zwei-Faktor Verfahren, die beispielsweise Wissen und Besitz kombinieren, denjenigen Verfahren, die nur einen Faktor einsetzten, überlegen. Dies lässt sich leicht an der Tatsache erkennen, dass PINs ausspioniert oder erraten und SmartCards entwendet werden können. Durch die Kombination mehrerer Faktoren können dabei Nachteile einzelner kompensiert werden. Beim Einsatz von Biometrie ist die Bindung an den Inhaber von vornherein gegeben, jedoch muss auch hier ein Merkmal zunächst mit einer bestimmten Person in Verbindung gebracht werden. Das geschieht beispielsweise bei einer Registrierung, bei der die Identität anderweitig nachgewiesen werden muss. Alle nicht rein wissensbasierten Verfahren sind jedoch deutlich aufwändiger umzusetzen und damit mit deutlich höheren Kosten verbunden. Außerdem wird zusätzliche Hardund Software notwendig, um solche Verfahren nutzen zu können. Dazu sind für den Einsatz die entsprechenden Infrastrukuren notwendig, um beispielsweise die auf einer SmartCard abgelegten Zerifikate verifizieren zu können. Der Aufwand und die Kosten sind ein Haupthindernis, weswegen sich solche Verfahren gerade im ecommerce und ebusiness bisher nicht auf breiter Front durchsetzen konnten. 112 Gängiges Authentisierungsverfahren im ecommerce ist das Ein-Faktor Verfahren bei dem man sich mittels Benutzername und Passwort authentisiert. 111 siehe Kap siehe auch Kap Vorteile der eid-funktion 63

74 Passwortverfahren haben den Vorteil, sehr einfach umsetzbar zu sein. Darüber hinaus kann man sich problemlos von jedem Rechner aus, der über einen Internetzugang verfügt, auf seinen bestehenden Nutzerkonten anmelden. Passwortverfahren punkten somit mit Einfachheit und sehr hoher Verfügbarkeit. Jedoch haben Passwortverfahren den Nachteil, dass sich Nutzer eine Vielzahl verschiedener Benutzernamen und Passwörter merken müssen. Daher werden meist einfache und damit unsichere Passworte gewählt, die sich ein Nutzer leicht merken kann, oder es werden gar verschiedene Nutzerkonten mit dem selben Passwort verwendet. Diese Schwachstellen werden auch mit dem gewählten Profil für die Simulationen verdeutlicht. 113 Häufig können Passwörter durch Hintergrundrecherchen zur betroffenen Person herausgefunden oder einfach erraten werden. Darüber hinaus sind rein wissensbasierte Verfahren anfällig für Phishing oder andere Methoden, mit denen Passwörter ausspioniert werden können. Der epa bietet hier ein deutlich höheres Maß an Sicherheit. Mit ihm wird ein Smart- Card basiertes zwei Faktor Authentisierungsverfahren ohne zusätzlichen Antrag durch den Nutzer bei einem Drittanbieter und ohne Infrastrukturaufwendungen durch den Diensteanbieter möglich. Gerade im Hinblick auf die Diensteanbieter ebay und PayPal ist dies ein wichtiger Punkt, da Zahlungsdienstleister, Auktionen und Bankangebote die Hauptangriffsziele von Phishing-Attacken sind. 114 Dazu kommt, dass sich der Nutzer lediglich die eid-pin merken muss. Die manuelle Verwaltung von Benutzernamen und Passworten entfällt, da diese vom epa übernommen wird. Das Problem unsicherer Passworte für die Authentisierung wird damit gelöst. Betrachtet man den Ablauf bei der Authentisierung beispielsweise bei der ebay Simulation, so stellt man kaum große Unterschiede fest. Die Anmeldung wird nicht beschleunigt, wie dies bei der Registrierung der Fall ist, sondern der normale Authentisierungsdialog mit Benutzername- und Passworteingabe wird durch die eid-authentisierung ersetzt. Die Vorteile sind hier in der höheren Sicherheit 115 und dem komfortablen Identitästmanagement zu sehen. 113 siehe Kap vgl. APWG (2009), S siehe Kap Vorteile der eid-funktion 64

75 6.2 Nachteile der eid-funktion Sowie bei der Registrierung als auch beim wiederholten Login birgt die Verwendung der eid-funktion auch Nachteile. Zunächst ist die Nutzung der eid mit zusätzlichem Aufwand verbunden, da zumindest der epa auf dem Lesegerät plaziert werden muss. Dazu kommt, dass der epa immer für den Authentisierungsvorgang vorliegen muss. Hat man ihn beispielsweise vergessen, ist ein Zugriff auf Nutzerkonten oder eine Neuregistrierung unmöglich. Dazu kommt, dass beispielsweise bei Verlust oder Diebstahl bis zur Neuausstellung kein Zugriff auf entsprechende Online-Dienste möglich ist. Bei einer durchschnittlichen Dauer von 2-3 Wochen bis ein neuer Personalausweis fertiggestellt ist, 116 ist dies als starke Einschränkung zu sehen. Außerdem besteht noch das in Kap. 2.4 beschriebene Problem, wie ein Diensteanbieter einen neuen epa wiedererkennt. Der Nutzer muss, will er die eid-funktion nutzen, über einen Rechner mit angeschlossenem, vom BSI zertifizierten Kartenlesegerät und installierter Clientsoftware (Bürger- Client) verfügen. Selbst wenn man davon ausgeht, dass ein interessierter Nutzer diese Anschaffungen tätigt, so sind diese Komponenten zunächst nur am heimischen PC verfügbar. Will ein Nutzer dagegen Online-Dienste unterwegs ohne Zugriff auf den eigenen PC nutzen, kann nicht von einer Verfügbarkeit des eid-verfahrens ausgegangen werden. Sollte sich die eid-funktion durchsetzen, so kann nach einer gewissen Übergangszeit selbst von der entsprechenden Austattung in Internetcafés ausgegangen werden. Bei einer gewünschten Dienstenutzung beispielsweise im Urlaub, ist jedoch eher davon auszugehen, dass die entsprechende Hard- und Software nicht zur Verfügung steht, da es sich bei der eid um ein lokales, auf Deutschland beschränktes System handelt. Damit bliebe die Dienstenutzung unterwegs unmöglich oder zumindest stark eingeschränkt. Würde man, um diese Einschränkung zu vermeiden, weiterhin passwortbasierte Verfahren parallel zur eid-authentisierung zulassen, so wäre der Sicherheitsgewinn zunichte gemacht, da ein System nur die Sicherheit bieten kann, die seine schwächste Komponente bietet. Diese käme dann gerade in a priori unsicheren Umgebungen wie Internetcafés zum Einsatz. Auf Seiten der Anbieter sind als Nachteile der höhere Aufwand bei der Einbindung der Authentisierungsverfahren zu sehen. Zur Nutzung der eid-funktion muss ein eid- Server betrieben werden. Da dieser auch durch einen Dienstleister betrieben werden kann, der die Authentifizierung als Service für verschiedene Diensteanbieter durch- 116 vgl. Stadt Dieburg Nachteile der eid-funktion 65

76 Ablauf eid-funktion LI&6#& K<-43%5#&-13%,#(%)*)#&%- 43%53(6-#)(#*-#.789#&:)+# A<-?#)%#&"#)%3(6-53B- #.789#&:)+#-C&':)/#& D<-E,)F8-3(/-G#&B)(1"13%,#(%)*)#&3(6 L#&#+,%)63(6*8 5#&%)>)$1% #.789#&:)+#- C&':)/#& M<-L#*%0%)63(6- /3&+,-C.4 N<-=(5#)6#(-/#&-O#"/#& #.789#&:#& Abbildung 17: Ablauf eid-funktion mit eid-service Provider (Margraf (2009), S. 16) führt, 117 kann der Aufwand für einzelne Diensteanbieter wiederrum verringert werden. Abb. 17 zeigt den Ablauf einer Online-Authentisierung unter Zuhilfenahme eines solchen eid-service Providers. Zusätzlichen Aufwand stellt dazu das Antragsverfahren dar, bei dem verschiedene Nachweise zu Datenschutz und Notwendigkeit der erhobenen Daten erbracht werden müssen. 118 Geht man davon aus, dass bei seriösen Anbietern ein entsprechendes Datenschutzniveau und der Grundsatz der Datensparsamkeit eingehalten werden, ist dieser Aufwand nicht als übermäßig zu werten. J! 6.3 Allgemeine Bewertung Allgemein ist die bereits mehrfach erörterte höhere Sicherheit als Vorteil des epa Einsatzes im ecommerce zu sehen, die sowohl Kunden als auch Anbietern zu gute kommt. Die nachweisbare Identität führt zu schnelleren und komfortableren Registrierungsvorgängen und kann mit einer schnelleren Verfügbarkeit von Diensten einhergehen, was wiederum gut für Kunden und Anbieter ist. Anbieter können daraus auf vielerlei Weise profitieren. So können mit unkomplizierteren und sichereren Verfahren möglicherweise zusätzliche Kunden gewonnen werden, denen bisher der Aufwand zu hoch oder das Angebot zu unsicher war. Dazu werden Identitätsbetrug und die damit verbundenen 117 vgl. Bundesamt für Sicherheit in der Informationstechnik (2009c), S. 14 ff. 118 siehe Kap Allgemeine Bewertung 66