Chris Grieger syngenio AG Kontoeröffnung online mit dem neuen Personalausweis
Kontoeröffnung online - mit dem neuen Personalausweis Chris Grieger syngenio AG 17.04.2012
Agenda Überblick npa Rechtslage PostIdent vs. npa Kontoeröffnung Technische Umsetzung Protokolle Clients Simulation Kontoeröffnung mit dem npa Analyse der Beispiele 2
Überblick Daten Daten in hoher Qualität Familienname und Vornamen Geburtsdatum und -ort Anschrift und Postleitzahl (Ordens- bzw. Künstlername) (Doktorgrad) (biometrische Daten) Freiwillige Freischaltung Online-Ausweisfunktion (eid) Pseudonymfunktion Alters- und Wohnortverifikation Qualifizierte elektronische Signatur (QES) 3
Wichtige Begriffe Dienstanbieter (DA) Jeder der den npa zur Umsetzung von Geschäftsvorfällen nutzt Identifiziert sich durch ein offiziell vergebenes Dienstanbieter-Berechtigungszertifikat Betreibt einen eid-server oder nimmt eid-service in Anspruch Vergabestelle für Berechtigungszertifikate (VfB) Prüft Geschäftsvorfälle des DA und erteilt daraufhin Genehmigung für die Ausstellung von Berechtigungszertifikaten Zertifizierungsdienstanbieter (ZDA) eid-server Stellt Berechtigungszertifikate aus Kapselt die Komplexität der elektronischen Identitätsfunktion Implementiert die technische Richtlinie TR-03130 des BSI Wichtigste techn. Komponente in der eid-architektur eid-service / Identity Provider (IdP) Stellt eid-server als Dienstleistung bereit Erweiterte Schnittstellen Bietet teilweise Testumgebungen an 4
Überblick Online-Ausweisfunktion (eid) Sichere Übermittlung qualitativ hochwertiger Daten über das Internet Basiert auf einer Public-Key-Infrastruktur (PKI) Voraussetzung auf Kundenseite: npa mit aktivierter, kostenloser Online-Ausweisfunktion Lesegerät (Empfehlung: Komfortlesegerät) Kostenlose Software (AusweisApp) 5
Überblick Online-Ausweisfunktion (eid) Der Dienstanbieter identifiziert sich gegenüber dem Benutzer und dem Personalausweis mit seinem offiziellen Berechtigungszertifikat Es entsteht ein Vertrauensverhältnis zwischen dem offiziell vergebenen Berechtigungszertifikat und dem Ausweis als hoheitlichem Dokument 6
Überblick Alters- und Wohnortverifikation Der Dienstanbieter kann den Ausweis nutzen um alters- oder wohnortbeschränkte Inhalte anzubieten Als Abfrageergebnis werden dabei kein Daten übermittelt sondern lediglich ob die Prüfung positiv / negativ ausgefallen ist Regionale Dienstleistungen können auf gemeldete Bürger eingegrenzt werden Kunde Alters- / Ortseingeschränkte Dienstleistung eid-service 7
Überblick Pseudonymfunktion Für jeden Dienstanbieter kann eine Dienste- und kartenspezifische Kennung vom Ausweis werden Dienste- und kartenspezifische Kennung = Pseudonym Authentischer Nutzer mit Daten z.b. Name und Anschrift Dienst (mit Authentifizierung) Mit diesem kann der Kunde vom Dienstanbieter eindeutig identifiziert werden Kann als Ersatz für Benutzername / Kennwort dienen eid Service npa Eindeutiges Pseudonym (Karten- und dienstspezifisches Kennzeichen) 8
Überblick Qualifizierte elektronische Signatur Erfordert aktive eid-funktion Signiert Dokumente eindeutig und ermöglicht nachträgliche Überprüfung auf Änderung Ermöglicht rechtsverbindliche Unterschrift für digitale Formulare Persönliches Zertifikat muss vom Nutzer bei einem Zertifizierungsdiensteanbieter bestellt werden Ermöglicht nicht nur die Identifikation eines Kunden, sondern die rechtssichere Unterschrift und Beweislastumkehr Bisher gibt es leider keine Zertifizierungsdiensteanbieter die Zertifikate für den Einsatz auf dem npa erstellen! 9
Überblick Rechtslage Falls Dienstleistungen angeboten werden die nicht der Einlagensicherung unterliegen: Unterschrift erforderlich ( 23a Abs. 1 Satz 4 KWG) Einwilligung zur SCHUFA-Abfrage muss vom Nutzer gegeben werden Es gilt: z.b. bei Girokonto mit eingeräumter Überziehungsmöglichkeit Einwilligung zur Schufa-Abfrage muss aktiv bestätigt werden ( Opt-In ) Gültige Lösung: nicht vormarkierte Check-Box als Pflichtfeld Archivierung der Einwilligung + Pseudonym abspeichern ist ausreichend 10
Überblick Rechtslage Was gibt es Neues zu beachten? Personalausweisgesetz ( 21 PAuswG) Erfordert Nachweis, dass auszulesende Daten für den Geschäftszweck benötigt werden Geschäftszweck darf nicht rechtswidrig sein Datenschutz und sicherheits Richtlinien müssen definiert und eingehalten werden Geschäftszweck!= Datenübermittlung an Dritte Geldwäschegesetz (GwG 6 Abs. 2 Nr. 2) Nach Gesetzesänderung im Dezember 2011 bei Konto-/Depoteröffnung keine Erstüberweisung von Referenzkonto eines gleichen Inhabers mehr nötig Pseudonym muss dem Kunden zugeordnet und abgespeichert werden 11
PostIdent vs. npa - Kontoeröffnung Kosten pro Transaktion PostIdent: ~7 pro PostIdent Coupon, ~20 pro manueller Nachbearbeitung npa: Keine Kosten / Vorgang Abbruchquote PostIdent: npa: Hoch Gering, kein Medienbruch Zeit bis zum ersten Login PostIdent: Mehrere Tage npa: Wenige Minuten 12
PostIdent vs. npa - Kontoeröffnung Kontoeröffnung mit dem npa sorgt für einen Aha! -Effekt Zugriff auf Mein Konto nach wenigen Minuten Geringer Aufwand für den Kunden Entscheidungskriterium Hä? Bin ich schon http://www.spiegel.de/panorama/leute/0,1518,668181,00.html 13
PostIdent vs. npa - Kontoeröffnung Wir wollen den npa zur Kontoeröffnung einsetzen! Was nun? Gewünschte Anwendungsfälle definieren Beantragung der benötigten Zertifikate (DA-Berechtigungszertifikat) Wo müssen Anpassungen erfolgen? Fachprozesse Technik (Frontend + Backend) Parallelbetrieb zum PostIdent Verfahren Denn: Nicht jeder hat einen npa, Freischaltung für eid und ein Lesegerät Fragen: eid-server oder eid-service? Welche Clients gibt es und wie fühlen sie sich in der Benutzung an? Welche Lösung integriert sich gut in die bestehende Systemarchitektur? 14
Technische Umsetzung Variablen und Auswirkungen des Lösungsansatzes Nutzerempfinden (Vertrauen und Bedienbarkeit) Komplexität der Implementierung Mögliche Anbieter Unterscheidung nach Stärke der Integration Look-And-Feel Technischen Vorbedingungen 15
Technische Umsetzung Protokolle SAML (BSI TR-03130 Anhang A) Security Assertion Markup Language (XML) Benutzer agiert als sicherer Vermittler zwischen Dienstanbieter und Identity Provider Web Browser SSO Profil mit POST-Binding Unterstützt von: Bundesdruckerei, AGETO, bos Web Services (BSI TR-03130) SOAP-XML Kommunikation der Abfrageergebnisse direkt zwischen Dienstanbieter und Identity Provider / eid-service Datenaustausch über Polling Mechanismus AGETO eid-gateway JSON Interface Rückgabe SAML 16
Technische Umsetzung SAML Grundlegendes SAML wird für Single-Sign-On Lösungen verwendet Informationsaustausch über SAML Request und SAML Response Identity Provider bestätigt über eine SAML Assertion die Authentizität eines Benutzers Browser als Vermittler zwischen DA und IdP Verschlüsselung auf Transportebene Verschlüsselung und Signierung auf Datenebene Zertifikate: Separates Signatur- und Verschlüsselungszertifikat (.X509) Jeweils für Identity Provider und Dienstanbieter 17
Technische Umsetzung SAML Anfragen des Dienstanbieters werden über den Kunden an den Identitätsdienstleister weitergeleitet SAML Protokoll aus BSI TR-03130 18
Technische Umsetzung Web Service Nach TR-03130 Informationsaustausch über WS-Polling Dienstanbieter ruft periodisch den Web Service des eid-service auf Muss durchgeführt werden bis ein Verarbeitungsergebnis vorliegt Danach erfolgt die Weiterleitung zur Anwendung Erhöhte Komplexität im Backend Behandlung von Abbrüchen und Timeouts Erhöhte Last 19
Technische Umsetzung Verfügbare Clients Bisher zwei Varianten Externe Applikation (Java) Aufruf erfolgt über ein spezielles <object/> Tag auf einer HTML Seite Dafür benötigtes Plugin wird mit der AusweisApp ausgeliefert und installiert (ecard Client Initiator) Unterstützung für: Firefox, Internet Explorer (ab 6), iceweasel (ab 3) Direkt im Browser (Java Applet) Direkt in die Website integriert Einzige Voraussetzung ist ein installiertes JRE Kann zu Problemen führen wenn aktive Inhalte durch Sicherheitsregeln verboten sind 20
Technische Umsetzung Verfügbare Clients Offizielle Anwendung Größe ~60MB bis 110MB je nach Betriebssystem Installationspakete für Windows XP / Vista / 7 Ubuntu Linux > 10.04 (unity wird nicht unterstützt!) Debian Linux 5 & 6 OpenSuse Linux > 11.3 Download: https://www.ausweisapp.bund.de/ 21
Technische Umsetzung Verfügbare Clients Vorteile: Offizielle Anwendung Wird von allen eid-service Anbietern und eid-servern unterstützt Kostenfrei Nachteile: Downloadgröße Design ist nicht anpassbar Langsam Bremst den Rechner beim Systemstart bemerkbar aus 22
Technische Umsetzung Integration in den Kontoeröffnungsprozess Simulation eid-service: Client: Bundesdruckerei offizielle AusweisApp 23
Beispielanwendung Bundesdruckerei und AusweisApp Klare optische Trennung zwischen dem Dienstanbieter (Bank) und dem Identity Provider (Bundesdruckerei) Wird als separate Dienstleistung wahrgenommen Support sollte vom Identity Provider geliefert werden Kann zu Unsicherheit oder Misstrauen führen Optisch schwache Integration in den Kontoeröffnungsprozess Komplexität der Implementierung Sandbox wird zum Testen zur Verfügung gestellt Java-Bibliothek für SAML und Webservice-Schnittstelle AusweisApp ein schwergewichtiger Client 24
Technische Umsetzung Integration in den Kontoeröffnungsprozess Simulation eid-service: Client: bremen online services GmbH AutentApp (bos) 25
Beispielanwendung bremen online services und AutentApp(let) Vollständige Integration in die Seite des Dienstanbieters Applet kann an die Corporate Identity angepasst werden Wird nicht als Dienst eines Drittanbieters wahrgenommen Support wird beim Dienstanbieter gesehen AusweisApp wird nicht benötigt Komplexität der Implementierung bos bietet Unterstützung bei der Implementierung.NET und Java-Bibliothek für SAML und Webservice- Schnittstelle AutentApp wird während der Nutzung heruntergeladen Verkürzt weiter die Zeit bis zum ersten Login 26
Technische Umsetzung eid-gateway Kriterien schließen einzelne Gesamtpakete von eid-services aus: z.b. zu wenig Zugriffe pro Minute (Bundesdruckerei: 12) Verfügbarkeit ist nicht ausreichend Wartungsfenster liegen ungünstig Implementierung: Python, PHP, Ruby Mögliche Lösung: Nutzung eines eid-gateways Bietet einheitliche Schnittstelle zu beliebigen eid-servern oder eid-services z.b. eid-gateway als einfache Ruby Schnittstelle und bos AutentApp als Clientlösung 27
Technische Umsetzung AGETO eid-gateway Kapselt die Kommunikation von Dienstanbieter Anwendung und eid-service (Identity Provider) Zwischen Dienstanbieter und Identity Provider geschaltet Stellt Web Service Schnittstelle bereit Unabhängig von bestimmten Technologien Clientbibliotheken für.net Java PHP, JavaScript, Ruby etc. Kann an eid-server oder eid-services verschiedenster Anbieter angebunden werden 28
Technische Umsetzug AGETO eid-gateway Client Größe ~700 KB Benötigt installierte offizielle AusweisApp (noch!) Java Application (.jar) Unabhängig vom Computer-Betriebssystem Benötigt lediglich ein JRE (Abhängigkeit zur AusweisApp schränkt jedoch momentan noch ein!) Darf nur einem geschlossenen Benutzerkreis angeboten werden Unterstützt die Anzeige des Berechtigungszertifikatsinhabers auf Standard- und Komfortlesegeräten 29
Zusammenfassung Der Schlüssel zum Erfolg mit npa für die Online Kontoeröffnung ist die integrierte Gestaltung der drei Ebenen: Fachprozesse Gestaltung Online-Funktionen (Benutzerfreundlichkeit) Technische Umsetzung 30 Der Vergleich verschiedener eid-service Anbieter lohnt sich Kombination von eid-gateway und eid- Service kann neue Lösungsmöglichkeiten eröffnen
Vielen Dank für Ihre Aufmerksamkeit! Kontoeröffnung online - mit dem neuen Personalausweis Chris Grieger syngenio AG 17.04.2012 31
Technische Umsetzung SAML 32
Technische Umsetzung Web Service WS-Polling 33
Technische Umsetzung Web Service Technische Umsetzung AGETO eid-gateway 34