Der neue Personalausweis Bilanz und Perspektiven nach 6 Monaten Praxis Christian Welzel Forschungsgruppe Elektronische Identitäten Berlin Mai 2011 Wer bin ich? Über Über 18 21 Unter 67
Wer bin ich elektronisch? Über Über 18 21 Unter 67 Evolution im Internet Level of Interaction Inside Connected Individual Time
Jeder Mensch ist Viele! Viele unterschiedliche Identitäten: Internet Was ist eine elektronische Identität? Eine elektronische Identität ist die digitale Version von bisher verwendeten Identitäten Aussagen einer öffentlichen Instanz über eine Person (Subject) Langlebender Bezeichner (I dentifier) Satz an Behauptungen (Claims, Attribute), die Eigenschaften und Berechtigungen beschreiben Personen haben mehrere digitale Identitäten für verschiedene Zwecke Die jeweils relevante muss verwendet werden Die Benutzung bedingt, dass der rechtmäßige Besitz bewiesen wird
Elektronische Identitäten Evolution von Identitätsmanagement Username Password SingleSignOn Einmalanmeldung: Durch eine einmalige Authentifizierung kann der Nutzer auf alle Rechner und Dienste zugreifen, für die er berechtigt ist. Federated Id Architekturansatz um den Austausch von Informationen über Unternehmen hinweg zu ermöglichen. Nutzerzentrierter Ansatz Der Nutzer steht im Mittelpunkt des Identitätsmanagements und behält die Kontrolle über seine Daten. Identity Convergence Einbindung, Kopplung und Integration unterschiedlicher Identity-Lösungen (beispielsweise biometrische Daten) Zeit Identity Management Identifizieren / Registrieren / bei Identitätsprovider Authentifizieren Login Dienste, Web sites, Communities Autorisieren Berechtigungen zuweisen Zugriff erlauben/verbieten Überwachen Nachweisen der Nutzung Managen Sicheres Identity Management umfasst: Identifizieren und Registrieren von Nutzern Authentifizieren von Nutzern Autorisieren von Nutzern für spezifischen Zugang oder Zugriff (nur Grobautorisierung, Feinautorisierung wird vom Dienst durchgeführt) Überwachen und Nachweisen der Nutzung (Auditing) Managen von Nutzeridentität(en) und Berechtigungen (Verwalten von Lebenszyklus, Sessions und Sicherheitskontext)
Der neue Personalausweis eid Beispiele in Europa Wirtschaftliche Aspekte Bereits 8 Mitgliedsstaaten mit eids, weitere werden folgen Nationale und grenzüberschreitende elektronische Dienstleistungen Neue Geschäftsfelder im Internet durch sichere und vertrauenswürdige e Identifikation möglich
Identitätsmanagement Welche Rolle kann der neue Personalausweis spielen? Für den Umgang mit Identitäten in der virtuellen Welt ist sicheres Identitätsmanagement wichtig Es umfasst die Verwaltung aller elektronischer Identitäten von Personen und Objekten in ihrem gesamten Lebenszyklus Identifizieren / Registrieren Der neue Personalausweis kann hierzu einen Beitrag leisten und die Punkte Identifikation, Registrierung und Authentifizierung abdecken. Authentifizieren Autorisieren Audit Managen Der neue Personalausweis Funktionen Zum 1. November 2010 Einführung des neuen Personalausweises. Er vereint den herkömmlichen Sichtausweis mit drei neuen elektronischen Funktionen im Scheckkartenformat
Die neuen Funktionen eid und QES eid Elektronischer Identitätsnachweis QES - Qualifizierte elektronische Signatur Das bin ich Das habe ich unterschrieben Anzeige der Identität des Dienstanbieters Anzeige des zu unterschreibenden Dokuments oder der E-Mail Anzeige der angefragten Daten Personendaten-Freigabe mit PIN Personendaten-Übertragung Beispiele: Anmeldung /Registrierung, Altersnachweis, Pseudonym Signieren des Dokuments mit Signatur-PIN Eingabe Überprüfen der Signatur durch Empfänger Beispiele: Unterschreiben von Verträgen, Vollmachten, E-Mails Gegenseitiger Identitätsnachweis Rechtsichere elektronische Unterschrift Der neue Personalausweis wurde ausführlich erprobt Labor- und Funktionstests Test elektronischer Identitätsnachweis Test Zusammenspiel der Hardware und Software- Komponenten Konformitätstest Spezifikation Test- und Demonstrationszentrum neuer Personalausweis Studien/ Wissenschaftliche Untersuchungen Restrisiken beim Einsatz des Bürgerclients auf dem Bürger-PC Diverse White Paper zu Themen rund um den neuen Personalausweis Haftungsstudie Usabilitystudie Anwendungs- und Feldtest Ab 01.10.2009 Zentral koordinierter Anwendungstest für ausgewählte Teilnehmer Ab 1.1.2010 Offener Anwendungstest für alle Interessenten Feldtest in ca. 30 Personalausweisbehörden, ab 01.10.2009
Innovation Gegenseitiger Identitätsnachweis (Online-Ausweisfunktion) BürgerInnen Ist das Unternehmen real? Diensteanbieter weist sich mit Berechtigungszertifikat aus Diensteanbieter Wer ist die anfragende Person? Sowohl Bürger als auch Diensteanbieter können sich bei Nutzung des neuen PA auf die Identität ihres Gegenübers verlassen Bürger weist sich mit neuem PA aus Ökosystem etabliert sich 2 Berechtigungs-CA 3 eid-server-anbieter Über 5 eid-service-anbieter Viele kleinere und größere Support-Anbieter Siehe unter: http://www.ccepa.de/test-und-demozentrum
AusweisApp Durchwachsender Start Download unter: www.ausweisapp.bund.de Seit 3. Januar online für Microsoft-Betriebssysteme Erstmal ohne QES-Funktionalität Mac- und Linux-Variante noch nicht verfügbar Aber: Spannende OpenSource-Projekte, Java-Applet >100.000 Downloads Berechtigungszertifikate/ Online Stand Mai 2011: Über 60 Diensteanbieter haben Anträge gestellt Über 60 Berechtigungszertifikate wurden beantragt und genehmigt Es sind derzeit 24 Unternehmen online, weitere werden folgen Weiterhin großes Interesse an der Online-Ausweisfunktion Mehr Informationen unter: www.personalausweisportal.de Anwendungen online: www.ccepa.de/online-anwendungen
Verfügbare Anwendungen Stand: Mai 2011 E-Government Mein service-bw bremen online services Bundesagentur für Arbeit DATEV Deutsche Rentenversicherung Hagen.de (Stadt Hagen) Kraftfahrt-Bundesamt Stadt Münster Umweltbundesamt - Deutsche Emissionshandelsstelle E-Business allyve GmbH BearingPoint easy Login Kompetenzzentrum neuer Personalausweis ReinerSCT Tönjes Versicherungen / Finanzdienstleistungen Allianz CosmosDirekt Gothaer GDV Maklerpotal HUK24 LVM Versicherung SCHUFA VDG Versicherungswirtschaftlicher Datendienst Zurich Gruppe Personalausweise/ PAB Anzahl ausgelieferte npas (Mai 2011): ca. 4 Mio. Ausweise Unbestätigte Meldungen sprechen von ca. 30-50% BürgerInnen schalten die eid-funktion ein, vornehmlich Jüngere. ca. 5% der deutschen Internetnutzer
Identitätsnachweis - Datenauswahl Angefragte Datenfelder Für den genannten Zweck bitten wir Sie, die folgenden Daten aus Ihrem Anbieterinformationen Personalausweis zu übermitteln: Datenschutzerklärung Datenauswahl PIN-Eingabe Vorname(n) Ordens- oder Künstlername Familienname Ausweistyp Übermittlung Doktorgrad Ausstellendes Land Anschrift Wohnortbestätigung Geburtstag Altersbestätigung Geburtsort Pseudonym / Kartenkennung Wenn Sie mit der Übermittlung der ausgewählten Daten einverstanden sind, geben Sie bitte Ihre 6-stellige Personalausweis-PIN ein. Personalausweis-PIN Hilfe Zurück Weiter Abbrechen Die Infrastruktur Bürger /Anbieter Welche Komponenten werden für das Ausweisen im Internet benötigt? Auf Seiten des Bürgers Computer Internetbrowser Internetanbindung Nutzer-Software (AusweisApp) Kontaktloses Kartenlesegerät mit aktivierter Online-Ausweisfunktion Angebot Auf Seiten des Dienstanbieters Berechtigungszertifikat Anbindung an eid-server/eid-service Integration in eigenes Diensteangebot eid-service Der Personalausweis Kartenlesegeräte Basisleser (Cat-B) Einfacher Chipkartenleser mit kontaktloser Schnittstelle Kein PIN-Pad Qualifizierte elektronische Signatur wird nicht unterstützt Preis: ca. 35 Euro Standardleser (Cat-S) Multifunktionaler Chipkartenleser mit kontaktloser und optional kontaktbehafteter Schnittstelle PIN-Pad zur sicheren PIN-Eingabe Preis: ca 37* bzw. 68 Euro Komfortleser (Cat-K) Multifunktionaler Chipkartenleser mit kontaktloser und kontaktbehafteter Schnittstelle PIN-Pad zur sicheren PIN-Eingabe und Display Qualifizierte elektronische Signatur wird unterstützt Preis: ca. 120* bzw. 160 Euro Quelle: BearingPoint * Mit staatlicher Förderung
Verschiedene Kategorien von Kartenlesern Basiskartenleser 7 zertifiziert: Gemalto, Reiner SCT, SCM, HID, IDvation Standardkartenleser 1 zertifiziert: Reiner SCT Komfortkartenleser 1 zertifiziert: Reiner SCT Links zu den geeigneten Kartenlesern: https://www.ausweisapp.bund.de/pweb/cms/kartenleser.jsp http://www.ccepa.de/kartenleser Beantragung von Berechtigungszertifikaten Diensteanbieter Beantragung einer Berechtigung für das Auslesen von eid-daten aus dem Chip des Personalausweises Antrag Bescheid Gebühr Vergabestelle für Berechtigungszertifikate Antragsprüfung (Zweckbindung, Erforderlichkeit, Plausibilität usw.) Entscheidung, auf welche Daten der Diensteanbieter zugreifen darf Genehmigung oder Versagung Berechtigung Verwendung des Berechtigungszertifikats für den elektronischen Identitätsnachweis (Diensteanbieter weist sich damit gegenüber dem Ausweisinhaber aus) Bereitstellung Bereitstellung Zertifizierungsdiensteanbieter Ausstellung von Berechtigungszertifikaten (mit kurzen Laufzeiten) Sperrlisten für gestohlene/ verlorene Personalausweise
Die Infrastruktur Ablauf eid-funktion Diensteanbieter Nutzer authentisiert 1 8 Aufruf der Webseite Weiterleitung zum eid-service Provider 7 Datenübermittlung an Diensteanbieter 2 4 BürgerInnen Anzeige Formular Vorname 4 AusweisApp starten 3 Terminal- und Chipauthentisierung, Übermittlung der eid-daten 6 Nachname Alter... oder: PA- Geheimnis + Anbieternummer = Pseudonym 5 Bestätigung durch PIN, PACE Protokoll eid-service Provider Optionen für Diensteanbieter eid-service als Dienstleistung? eid-server kaufen oder mieten? eid-server als "do it-yourself" Projekt Implementierung gem. TRs Sicherheitsanforderungen für den Betrieb Sicherheitsanforderungen an die Räumlichkeiten (Zertifizierung gemäß ISO 27001 (Information Security Management System) Zertifizierung TÜV Trusted Site Level 3) Informationsworkshops: www.ccepa.de/veranstaltungsreihe
Test- und Demonstrationszentrum und SIT Aufbau und Angebot eines zentralen Anlaufpunktes und InfoPoint rund um den neuen Personalausweis zahlreiche Anwendungen mit dem neuen Personalausweis (plattformunabhängig, OpenSource, Automaten, mobile Geräte und vieles mehr) Evaluierung und Analyse von zukünftigen Produkten für den neuen Personalausweis Sicherheitstests der Kommunikationsprotokolle Christian Welzel Forschungsgruppe eidentitäten Kaiserin-Augusta-Allee 31, 10589 Berlin, Deutschland Tel + 49 30 3463 7377 Fax + 49 30 3463 8000 Internet: www.fokus.fraunhofer.de Email: christian.welzel@fokus.fraunhofer.de