Authentisierung und Autorisierung im E-Government. Zeit für einen Paradigmenwechsel



Ähnliche Dokumente
Welche Chancen hat der npa?

Was meinen die Leute eigentlich mit: Grexit?

Die Post hat eine Umfrage gemacht

Die Bundes-Zentrale für politische Bildung stellt sich vor

E-Government Sondertransporte (SOTRA) Registrierung von Benutzerkennung

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Was ist Leichte Sprache?

Freie Zertifikate für Schulen und Hochschulen

1. Einleitung Abfrage des COON-Benutzernamens Ändern des Initial-Passwortes Anmelden an der COON-Plattform...

cardtan im HYPO NOE Electronic Banking

Professionelle Seminare im Bereich MS-Office

Anleitung zur Umstellung des 3D-Secure Verfahrens von statischer PIN auf das TAN-Verfahren

Digital signierte Rechnungen mit ProSaldo.net

Sicherheit im Online-Banking. Verfahren und Möglichkeiten

Fotostammtisch-Schaumburg

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

HTBVIEWER INBETRIEBNAHME

Geld Verdienen im Internet leicht gemacht

e-books aus der EBL-Datenbank

VERWALTUNG VON DER SCHNELLSTEN SEITE. usp.gv.at

Willkommen zum itan-verfahren im Online-Banking der apobank. Umstellung von WISO Mein Geld 2009 Professional auf itan ab 19.

Das Persönliche Budget in verständlicher Sprache

TELIS FINANZ Login App

Alle gehören dazu. Vorwort

In diesem Tutorial lernen Sie, wie Sie einen Termin erfassen und verschiedene Einstellungen zu einem Termin vornehmen können.

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Anleitung zur Umstellung des 3D-Secure Verfahrens von statischer PIN auf das TAN-Verfahren

Erstanmeldung/Vergabe einer eigenen PIN und eines Benutzernamens (Alias) 1. Vergabe Ihrer eigenen fünfstelligen PIN

Info zum Zusammenhang von Auflösung und Genauigkeit

Steganos Secure Schritt für Schritt-Anleitung für den Gastzugang SCHRITT 1: AKTIVIERUNG IHRES GASTZUGANGS

Elternumfrage Kita und Reception. Campus Hamburg

Online-Banking aber sicher.

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

Der Kontowecker: Einrichtung

Anlegen eines Facebook-Profils (Privat-Profil) für BuchhändlerInnen und andere -- Stand Mai 2011

Die elektronische Signatur. Anleitung

-Verschlüsselung viel einfacher als Sie denken!

Erstellen einer digitalen Signatur für Adobe-Formulare

DER SELBST-CHECK FÜR IHR PROJEKT

Eigenen Farbverlauf erstellen

Schrittweise Anleitung zur Erstellung einer Angebotseite 1. In Ihrem Dashboard klicken Sie auf Neu anlegen, um eine neue Seite zu erstellen.

Partnerportal Installateure Registrierung

Anleitung über den Umgang mit Schildern

IdM-Studie der Hochschule Osnabrück Identity Management lokal oder aus der Cloud?

Wie Sie beliebig viele PINs, die nur aus Ziffern bestehen dürfen, mit einem beliebigen Kennwort verschlüsseln: Schritt 1

Da unser Girokonto kostenlos ist, können Sie sich woanders etwas mehr gönnen.

Die Anmeldung zum Prüfungsvorbereitungsportal von Westermann in fünf einfachen Schritten:

Die Liebe und der Verlust

Online bezahlen mit e-rechnung

Kapsch Carrier Solutions GmbH Service & Support Helpdesk

ELBA-business Electronic banking fürs Büro. Digitale Signatur. ELBA-business 5.7.0

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

Wichtige Information zur Verwendung von CS-TING Version 9 für Microsoft Word 2000 (und höher)

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

NEVARIS Umstellen der Lizenz bei Allplan BCM Serviceplus Kunden von der NEVARIS SP Edition auf NEVARIS Standard/Professional

Ihren Kundendienst effektiver machen

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Installationsanweisung Gruppenzertifikat

Jeder in Deutschland soll ab Mitte 2016 ein Konto eröffnen können.

Bitte beachten Sie die Installations-/Systemvoraussetzungen und freigegebenen Betriebssysteme.

EARSandEYES-Studie: Elektronisches Bezahlen

Kurzanleitung zur Erlangung eines Software-Zertifikats (*.pfx Datei) und zur Verwendung in PA32 und DBH32 v2

Entwicklung des Dentalmarktes in 2010 und Papier versus Plastik.

Nicht über uns ohne uns

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

SAMMEL DEINE IDENTITÄTEN::: NINA FRANK :: :: WINTERSEMESTER 08 09

Lizenzierung von System Center 2012

boniup das BackOffice Einstiegsmöglichkeiten: Was be.findet sich im BackOffice? oder

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

1. TEIL (3 5 Fragen) Freizeit, Unterhaltung 2,5 Min.

the RTL Group intranet Ihr guide

Einrichten des Elektronischen Postfachs

Einmalige Registrierung des Arbeitnehmers im ElsterOnline-Portal

Anwendungsbeispiele Sign Live! Secure Mail Gateway

Dienst zur Verwaltung der Zugangsverwalter (VZU) Schritt-für-Schritt-Anleitung

Pflegende Angehörige Online Ihre Plattform im Internet

Volksbank BraWo Führungsgrundsätze

Überprüfung der digital signierten E-Rechnung

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

SSZ Policy und IAM Strategie BIT

Online-Fanclub-Verwaltung

Elternzeit Was ist das?

Was ist pcon.update? Girsberger Manual Registrierung pcon.update Service - Marketing Edition Sep Seite 1

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

VR-NetWorld Software Einrichtung einer Bankverbindung PIN/TAN-Verfahren

Schumacher, Chris Druckdatum :11:00

Das Leitbild vom Verein WIR

Arbeiten mit dem Outlook Add-In

Online Banking. Nutzung von Online Banking. Ergebnisse repräsentativer Meinungsumfragen im Auftrag des Bankenverbandes April 2011

Leit-Bild. Elbe-Werkstätten GmbH und. PIER Service & Consulting GmbH. Mit Menschen erfolgreich

Fotos und Videos von Ihnen und von Ihren Kindern und Jugendlichen

Mehr Geld verdienen! Lesen Sie... Peter von Karst. Ihre Leseprobe. der schlüssel zum leben. So gehen Sie konkret vor!

STORK. Secure IdenTity AcrOss BoRders LinKed. Bernd Zwattendorfer Wien,

Kurzeinstieg in VR-Ident personal

Informationen Zur Ticketregistrierung

Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis?

Die Online-Meetings bei den Anonymen Alkoholikern. zum Thema. Online - Meetings. Eine neue Form der Selbsthilfe?

Einrichtung des WLANs so funktioniert s // DHBW Mosbach / Campus Bad Mergentheim / IT Service Center

Was ich als Bürgermeister für Lübbecke tun möchte

Elternumfrage Kindergarten (mit Krippe und Vorschule) Phorms Campus München

Transkript:

Authentisierung und Autorisierung im E-Government Zeit für einen Paradigmenwechsel Prof. Dr. Herbert Kubicek Institut für Informationsmanagement Bremen (ifib)/ Universität Bremen Übersicht: 1. Aus den Erfahrungen mit elektronischen Signaturen lernen 2. Das herrschende eid-paradigma 3. Ein vergleichendes Forschungsprojekt 4. Kritik des Sicherheitsparadigmas 5. Innovationsbarriere Kartenleser 6. Argumente für einen Paradigmenwechsel 7. Forschungsbedarf 8. Aussichten für die eid in Europa 1

1. Aus Erfahrungen mit elektron. Signaturen lernen Herbert Kubicek: Die digitale Signatur zwischen Bürger und Verwaltung Erleichterung oder Erschwernis? 7. Deutscher IT-Sicherheitskongreß des BSI, S. 11-22 In vielen Sprachen ist der Begriff Odyssee zu einem Synonym für lange Irrfahrten geworden. Aber wer irrt in diesem Fall? Ende des 24 Gesangs: An zwei aufeinander folgenden Abenden erzählt Odysseus den Phaiaken und ihrem König Alkinoos seine Geschichte. Anschließend beschenken sie ihn reich und bringen ihn heim nach Ithaka. 1. Aus Erfahrungen mit elektron. Signaturen lernen Die digitale Signatur zwischen Bürger und Verwaltung Erleichterung oder Erschwernis? Aufwändiger Beschaffungsprozess - Registrierung, - teures Jahres-Abo - Erwerb und Installation Kartenleser - Erwerb und Installation Client-Software + komplizierte Nutzung (Starten des Clients, mehrere zusätzl. Dialogschritte) -> für ungewissen Nutzen (was kann man damit machen, was sonst nicht geht?) -> in nicht nachvollziehbarer und daher nicht unbedingt vertrauensbildender Art und Weise 2

1. Aus Erfahrungen mit elektron. Signaturen lernen Die digitale Signatur zwischen Bürger und Verwaltung Erleichterung oder Erschwernis? Löst man die Probleme der digitalen Signatur durch Verkürzung der Registrierungs- und/oder der Dialogschritte beim Signieren? ODER Ist es wie beim Starten des Auto-Motors, dass man nicht die Kurbel sicherer und einfacher machen muss, sondern... 1. Aus Erfahrungen mit elektron. Signaturen lernen Die digitale Signatur zwischen Bürger und Verwaltung Erleichterung oder Erschwernis? Bisher hatte ich aber keine Anhaltspunkte, wie das alternative Paradigma* aussehen könnte. Durch ein vergleichendes Forschungsprojekt habe ich nun Anhaltspunkte gefunden: Der Schlüssel liegt in einer Verlagerung der Schwerpunkte der Maßnahmen für mehr Sicherheit im E-Government von der Authentisierung zur Autorisierung. *) Das Wort Paradigma... bedeutet Beispiel, Vorbild, Muster oder Abgrenzung, Vorurteil ; in allgemeinerer Form auch Weltsicht oder Weltanschauung. 3

2. Das herrschende eid-paradigma Viele Bürgerinnen und Bürger informieren sich im Internet, verzichten aber aufgrund von Sicherheitsbedenken auf Online-Transaktionen. Sicherheitsbedenken betreffen insbesondere die Angst vor - Phishing / Identity Theft, - sowie im E-Commerce vor mangelhafter Lieferung / Reklamationen etc. Vor Identitätsdiebstahl soll eine elektronische Identität und eine stärkere Authentisierung schützen. Im E-Government können bisher viele Dienstleistungen nicht komplett online angeboten werden, weil eine sichere Authentisierung fehlt. 2. Das herrschende eid-paradigma Authentisierung ist der Nachweis der Identität einer Person (Autorisierung ist die Prüfung einer Berechtigung dieser Person) Authentisierungsverfahren im E-Government und E-Commerce: Benutzername und Password Benutzername, Password und TAN (OTP) ID-Attribute und Zertifikat insbes. Name, Vorname, Geb.Datum, PKZ aus Melderegister - Software-Zertifikat - Chip - ohne PIN Schutz - mit PIN Schutz Starke Authentisierung beruht auf Besitz und Wissen Stärkste ( = sicherste) Authentisierung 4

By 2010 European citizens and businesses shall be able to benefit from secure means of electronic identification that maximise user convenience while respecting data protection regulations. Such means shall be made available under the responsibility of the Member States but recognised across the EU. 2. Das herrschende eid-paradigma eid in Europa: Manchester Ministerial Conference 2005: Weitestgehende Gewährleistung des Datenschutzes Möglichst hohe Sicherheit Elektronischer Steigerung von Onlne- Transaktionen im E-Government und E-Commerce Identitätsnachweis Möglichst hoher Nutzungskomfort 2. Das herrschende eid-paradigma eid in Europa Föderativer Ansatz Network of Trust: Wechselseitige Anerkennung: 4 Authentication Assurance Level EU Kommission fördert einen Large Scale Pilot zur Interoperabilität der unterschiedlichen nationalen eids, an dem mehr als 11 Mitgliedstaaten teilnehmen -> https://www.eidstork.eu Antragsteller (Bürger /Kunde) Nutzer R E G I S T R I E R U N G ID-Daten eid + Beglaubigung + Token Authentisierung (Log-In) Zugang zum Online-Dienst Registrierungsstelle Verifikationsstelle eid-herausgeber Herausgeber des eid-tokens Dienste- Anbieter (Relying Party) A U T H E N T I S I E R U N G Bestätigung Anfrage zur Gültigkeit der Beglaubigung 5

2. Das herrschende eid-paradigma Je höher der Authentication Assurance Level -> desto größer die Sicherheit von Transaktionen und Nutzern im Internet Die optimistische These Möglichst hohe Sicherheit Elektronischer -> desto größer ihr Vertrauen in diese Sicherheit -> desto größer die Nutzerzahl und Nutzungsintensität bei E-Government und E-Commerce Weitestgehende Gewährleistung des Datenschutzes Steigerung von Onlne- Transaktionen im E-Government und E-Commerce Identitätsnachweis Möglichst hoher Nutzungskomfort 3. Ein vergleichendes Forschungsprojekt Neben der technischen Sicherheitsdiskussion gibt es - zumindest in einigen Ländern eine kontroverse öffentliche Diskussion über Folgen für die staatliche Überwachung und den Datenschutz und darüber, wie die Identitäten in den sozialen Netzwerken gewählt werden und wie sie wirken, bis hin zur philosophischen Fragen, was überhaupt eine Identität ist 12 6

3. Ein vergleichendes Forschungsprojekt Einige Länder haben schon früher eine nationale eid eingeführt: Finnland 1999 Estland 2002 Schweden 2003 Dänemark 2003 Belgien 2004 Österreich 2004 Spanien 2006. Länder mit eid-karten 2007 Daher können die dortigen Erfahrungen untersucht und Schlussfolgerungen für den neuen deutschen Personalsausweis gezogen werden, der seit dem 1. 11. 2010 ausgegeben wird. 3. Ein vergleichendes Forschungsprojekt Systemic Change of the Identification of Citizens by Government Electronic Identity Management as a Complex Technical Innovation Gefördert durch and its Organisational, Legal and Cultural Matching in Selected European Countries Juli 2007 April 2010 in Kooperation mit Studies on Media, Information and Telecommunication at the Vrije Universiteit Brussel, part of IBBT, the Interdisciplinary Institute for Broadband Technology. 7

3. Ein vergleichendes Forschungsprojekt Funktionale und technische Unterschiede Online-Authentisierung Elektronische Signatur Nationales Ausweisdokument Europ. Reisedokument 3. Ein vergleichendes Forschungsprojekt Unterschiede zwischen den nationalen eid-systemen AUT BEL GER ESP carrier card national ID-card Nein X X X card character obligatory / age Geburt > 12 >16 >14 card function authentication (online) authentication (visual) Opt in Opt in Opt in X (X) X X X e-signature X Opt out Opt in X eid attribute national register number X X visual data: Dep. On X X o address card X X X o owners photograph contact/contactless chip contact contact RFID contact PIN-protected data X X X X Biometric face Digital fingerprints X Opt in X X 8

3. Ein vergleichendes Forschungsprojekt Online-Authentisierung Elektronische Signatur Estland Finnland Schweden Dänemark Nationales Ausweisdokument Europäisches Reisedokument Estland Finnland Schweden Dänemark eid + esig wird in Lizenz von einem Konsortium aus Banken und Telekom- Unternehmen auf dem PA implementiert Nachdem die eid auf dem PA nicht nachgefragt wurde, wurde das PIN/TAN Verfahren der Banken über ein gemeinsames Portal auch für E- Government akzeptiert. eid in Lizenz von Banken herausgegeben, als SW- Zertifikat (99%) oder auf Bankkarte (1%) Kein PA, Digitale Signatur für E- Gov (OCES) als SW- Zertifikat, seit 2010 mit eid der Banken NET ID fusioniert zur NEM ID, von Banken in Lizenz herausgegeben, immer noch SW-Zertifikat 9

3. Ein vergleichendes Forschungsprojekt Die Systeme weisen ein hohes Maß an Pfadabhängigkeit in organisatorischer Hinsicht auf. Das heißt sie sind tief in den nationalen Institutionen und Traditionen verwurzelt Aktivierung (Opt in) und Nutzung bei elektron. Steuererklärung im Vergleich Stärke des Rang 1 1 1 8 1 7 1 Verfahrens Grad (4) (4) (4) (2) (4) (3) (4) 10

Anteile unterschiedlicher Authentisierungsverfahren bei der elektronischen Steuererklärung 99% 4. Innovationsbarriere Kartenleser Erfolgsfaktoren für die Adaption von Produktinnovationen nach Everett Rogers Für Wen? / Wessen Vergewisserung? Exklusive Anwendungen? Geringeres Phishing-Risiko? Nur noch eine PIN? Insbes. Online-Banking 11

6. Argumente für einen Paradigmenwechsel Schwerpunkt Authentisierung Schwerpunkt Autorisierung eid auf Schwerpunkt nationalem ID-Dokument Schwerpunkt Banken haben in den letzten Jahren Ein Ausweis Authentisierung für zwei Welten Autorisierung die Online-Sicherheit nicht beim LogeID auf nationalem ID- In, sondern bei den einzelnen Dokument Ein Ausweis für Transaktionen verbessert. Bestimmender zwei Welten Einfluss nationaler IT- Pragmatisch nach Kosten-Nutzen Sicherheitsbehörden ohne Abwägungen Beachtung der Kosten Zertifikate / Kryptographie Von der frei wählbaren über die vorgegebene TAN bis zur mtan und itan Verkennt den Unterschied zwischen den beiden Welten Kann das Internet nicht so sicher machen wie die Grenzkontrollen Die statische eid kann die dynamische TAN nicht ersetzen 6. Argumente für einen Paradigmenwechsel Die größte Nutzung findet die eid, wo sie - von Banken (mit)herausgegeben wird und - beim Online-Banking eingesetzt werden kann Wenn die E-Government-Akteure die Banken nicht von der eid überzeugen können, sollten sie sich von den Sicherheitslösungen der Banken überzeugen lassen Deutschland kann versuchen, es wie die Esten zu machen. Wenn das nicht zustande kommt, bleibt als Alternative die Strategie der Finnen 12

6. Argumente für einen Paradigmenwechsel In Estland wird die eid aus dem Melderegister entnommen und auf Antrag zusammen mit einer elektronischen Signatur auf den Personalausweis oder ein Mobiltelefon geladen. - Sie wird von einem Konsortium aus Banken und einem Telekom-Unternehmen herausgegeben und - kann beim Online-Banking eingesetzt werden. Es gibt - exklusive Anwendungen, insbes. i-voting - beobachtbare Anwendungen, z.b. im ÖPNV, - sicherheitsbedingte Vorteile (höheres Limit bei Überweisungen - alle Komponenten aus einer Hand - breit angelegte Kampagnen zur Internetsicherheit mit der eid 7. Forschungsbedarf Das Wort Paradigma... bedeutet Beispiel, Vorbild, Muster oder Abgrenzung, Vorurteil ; in allgemeinerer Form auch Weltsicht oder Weltanschauung. Daher müssen die hier vorgetragenen Thesen systematisch und gründlich überprüft werden. Durch - repräsentative Bestimmung, worauf sich die Sicherheitsbedenken unterschiedlicher Bevölkerungsgruppen beziehen, - systematische Zuordnung von geeigneten Massnahmen zu diesen Risiken - subjektive Kosten-Nutzenanalysen für unterschiedliche Massnahmen aus der Sicht unterschiedlicher Nutzergruppen für eid und TAN-Verfahren, - objektive vergleichende Produkttests für eid und TAN-Verfahren, - u.a. nach den Rogers-Kriterien 13

8. Aussichten für die eid in Europa Für die eid auf dem deutschen Personalausweis wage ich die Prognose in Bezug auf Opt-In, Angebote und Nutzung von 50% / 10% / 20%. Bei der Suisse ID müsste nach meinen Thesen der USB Stick stärker nachgefragt werden als die Karten-Variante. Zum Standard werden beide im jeweiligen Land nicht werden. Dazu sind die Anforderungen von Anwendungen und verschiedenen Nutzergruppen zu unterschiedlich. Der epa und die Suisse ID sind für Erst-Registrierungen mit hohen Sicherheitsanforderungen geeignet, aber nicht für wiederkehrende Transaktionen 8. Aussichten für die eid in Europa Für die eid auf dem deutschen Personalausweis wage ich die Prognose in Bezug auf Opt-In, Angebote und Nutzung von 50% / 10% / 20%. Bei der Suisse ID müsste nach meinen Thesen der USB Stick stärker nachgefragt werden als die Karten-Variante. Zum Standard werden beide nicht im jeweiligen Land werden. Dazu sind die Anforderungen von Anwendungen und verschiedenen Nutzergruppen zu unterschiedlich. Der epa und die Suisse ID sind für Erstregistrierungen mit hohen Sicherheitsanforderungen geeignet, aber nicht für wiederkehrende Transaktionen. Daher dürfte national und erst recht international die Vielfalt eher noch größer werden 14

8. Aussichten für die eid in Europa Die bestehenden Sicherheitslücken bei Online-Transaktionen im E-Government löst man m. E. nicht, indem man versucht die kartenbezogenen und krytpographiebasierten Verfahren der Authentisierung und Autorisierung noch etwas einfacher zu machen. Man muss die umständliche Anlasserkurbel durch einfach zu bedienende, fehlerrobuste und gewohnheitskonforme Verfahren ergänzen, wenn der Zündfunke für E-Government überspringen soll. Zum Nachlesen Länderfallstudien (in Englisch) sind erschienen In einer Special Issue des Springer-Online-Journal Identity in the Information Society, Vol. 3 No. 1, Juni 2010 http://www.springer.com/computer/journal/12394 Ausführliche vergleichende Analyse in Kubicek, Herbert; Noack, Torsten: Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis? Der neue Personalausweis im europäischen Vergleich. Münster: LIT Verlag 2010 Kontakt: kubicek@ifib.de 15

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback