Der neue Personalausweis ist Teil einer komplexen und hoch sicheren eID-Systemarchitektur. Zu den Eckpfeilern dieses Systems gehören, abgesehen von dem Identitätsdokument, das Lesegerät, die Ausweis-App und so genannte Berechtigungszertifikate. Der eID-Service verknüpft diese Bausteine und ermöglicht es Bürgern und Diensteanbietern, auf Basis der Online-Ausweisfunktion miteinander zu kommunizieren und Geschäfte abzuschließen. Er stellt den beteiligten Parteien also gewissermaßen die Räumlichkeiten zur Verfügung, in denen sie sich begegnen.
Foto: Bundesdruckerei
Vereinfacht dargestellt läuft der Dialog zwischen den Beteiligten wie folgt ab:
1. Der Bürger möchte beispielsweise ein Produkt in einem Online-Shop erwerben und sich mittels seiner Online-Ausweisfunktion gegenüber dem Diensteanbieter zu erkennen geben. Er sendet daher eine Anfrage an den Diensteanbieter.
2. Um die Identität des Käufers eindeutig zu authentifizieren, wird die Anfrage an den eID-Service weitergeleitet.
3. Der eID-Service authentifiziert zunächst den Diensteanbieter, dann übermittelt er dem Nutzer das Berechtigungszertifikat des Diensteanbieters (siehe Grafik oben). Erst dann ermittelt er die freigegebenen Daten für den Diensteanbieter, die auf dem Chip hinterlegt sind.
4. Dem Bürger wird in einer Maske auf seinem Bildschirm die Auswahl der zu übermittelnden Daten angezeigt. Er schränkt die Daten gegebenenfalls ein. Der eID-Service übermittelt daraufhin die ausgewählten Informationen an den Diensteanbieter.
5. Anschließend bestätigt dieser die Anfrage des Käufers und leitet die weiteren Schritte ein - etwa den Versand der Ware und die Rechnungstellung.
Der eID-Service ermöglicht also eine gegenseitige Authentifikation im Internet
Um die Online-Ausweisfunktion zu nutzen, müssen Bürger und Diensteanbieter die entsprechenden Voraussetzungen schaffen. Sie benötigen zum einen spezielle Hard- und Software, um auf dem Chip gespeicherte Daten auslesen zu können. Zum anderen müssen sie ihre Berechtigung mittels geeigneter Zertifikate nachweisen.
Starter-Kit Ausweisinhaber
Der Bürger entscheidet selbst, ob er Online-Ausweisfunktion und QES des Dokuments nutzen möchte. Falls er sich dafür entscheidet, braucht er Folgendes, um sie bei Transaktionen im Internet zu verwenden:
PIN: Der Ausweisinhaber muss jede Datenübermittlung mit seiner sechsstelligen Geheimnummer (PIN) autorisieren. Nachdem der Bürger den neuen Personalausweis beantragt hat, erhält er, bevor er das Dokument abholt, zunächst einen PIN-Brief von der Bundesdruckerei. Dieser enthält die fünfstellige Transport-PIN, die Entsperrnummer (PUK) und ein Sperrkennwort. Der Ausweisinhaber sollte die Transport-PIN sofort nach Erhalt durch eine selbst gewählte Geheimnummer ersetzen.
PUK: (Personal Unblocking Key, auch Entsperrnummer) Die PUK ist zehnstellig und nur dem Ausweisinhaber bekannt. Er besteht ausschließlich aus Ziffern. Wird die PIN des Personalausweises dreimal falsch eingegeben, so wird sie gesperrt. Durch Eingabe des PUK kann die Sperrung aufgehoben werden.
Sperrkennwort: Das Sperrkennwort ist ein leicht zu merkendes Wort (z.B. Lokomotive). Geht der Personalausweis verloren oder wird er gestohlen, muss der Inhaber den Ausweis nebst seinen Funktionen mithilfe des Sperrkennworts sperren lassen. Den jeweiligen Begriff wissen nur der Ausweisinhaber und die ausstellende Meldestelle. Das Sperrkennwort gibt der Anwender - anders als PIN und PUK - nicht am Computer ein. Vielmehr fragen Mitarbeiter der Sperrhotline oder der Personalausweisbehörde es ab.
Lesegerät: Im Handel sind vom BSI zugelassene Lesegeräte erhältlich. Der Bürger kann sie am aufgedruckten kreisförmigen grün-blauen Logo des neuen Personalausweises erkennen.
Zertifikat: Um die QES des Ausweises anwenden zu können, benötigt der Bürger ein Zertifikat. Dieses Zertifikat kann er bei einem Zertifizierungsdiensteanbieter (ZDA), wie z.B. der Bundesdruckerei, erwerben.
Signatur-PIN für QES: Die Signatur-PIN verwendet der Ausweisinhaber, wenn er ein Dokument elektronisch unterschreiben möchte.
Treibersoftware: Die so genannte Ausweis-App ermöglicht die Kommunikation zwischen Ausweis und Computer. Sie steht für die Betriebssysteme Windows, Linux und Mac OS zur Verfügung und ist unter www.ausweisapp.bund.de kostenlos herunterzuladen.
Starter-Kit Diensteanbieter
Diensteanbieter müssen klar definierte Vorgaben gemäß § 21 des deutschen Personalausweisgesetzes (PAuswG) erfüllen und dies schriftlich nachweisen. Darüber hinaus brauchen sie Folgendes, um die Online-Ausweisfunktion oder die QES in ihr Angebot zu integrieren.
Berechtigung: Die Vergabestelle für Berechtigungszertifikate (VfB), ein Referat des Bundesverwaltungsamts, fordert vom Anbieter eine freiwillige Selbsterklärung zum Datenschutz. Außerdem benötigt sie einen Nachweis, inwieweit die Daten, die der Diensteanbieter auslesen möchte, für sein Angebot erforderlich sind. Die erteilte Berechtigung der VfB ist maximal drei Jahre gültig.
Berechtigungszertifikate: Ist die Berechtigung erteilt, kann das Unternehmen einen individuellen Bereitstellungsvertrag mit einem ZDA abschließen. D-TRUST , das Trustcenter der Bundesdruckerei, ist ein solcher ZDA. Die Berechtigungszertifikate authentifizieren den Diensteanbieter, sind nur wenige Tage gültig und werden automatisch regelmäßig erneuert. Besteht ein Verdacht auf Datenmissbrauch, werden die Zertifikate nicht weiter ausgestellt.
eID-Service: Er wird von Hochsicherheitsunternehmen bereitgestellt, mit denen der Diensteanbieter einen Vertrag schließen kann. Der eID-Service der Bundesdruckerei ermöglicht es, mithilfe des Berechtigungszertifikats die auf dem Chip des Personalausweises gespeicherten Daten zu lesen.
SAML 2.0 Token: SAML steht für Security Assertion Markup Language und ist ein Standard für den sicheren Austausch von Authentifizierungen und Autorisierungen zwischen Domains. SAM LAssertions sind Aussagen, anhand derer ein eID-Service-Provider Zugang zu bestimmten Dienstleistungen gewährt. Der SAM L-Token beinhaltet die Informationen vom Ausweis und wird dem Diensteanbieter zur Weiternutzung zur Verfügung gestellt.
Token-Zertifikate: Sie erlauben dem Diensteanbieter den Zugriff auf den eID-Service. Der zugehörige private Diensteanbieter-Schlüssel ist nur dem Diensteanbieter bzw. der eID-Service-Schlüssel der Bundesdruckerei bekannt. Mit diesen Schlüsseln werden die SAM L 2.0 Token signiert sowie anschließend für den Empfänger verschlüsselt. So wird innerhalb des SSL-Tunnels eine zweite individuell gesicherte Verbindung aufgebaut.
SSL-Zertifikate: SSL steht für Secure Sockets Layer und ist ein Sicherheitsprotokoll. Es ermöglicht sichere Datenübertragungen im Internet. SSL-Zertifikate benötigen Diensteanbieter, um die Kommunikation mit Nutzern ihrer Website zu verschlüsseln. Die Zertifikate können sie bei einem ZDA erwerben.
Vorteile des eID-Service
Foto: Bundesdruckerei
So gerüstet, können Diensteanbieter den eID-Service im vollen Umfang nutzen und sich im Wettbewerb positionieren. Banken und Versicherungen haben die Möglichkeit, Antragsteller eindeutig und entsprechend den Anforderungen des Geldwäschegesetzes (GWG) zu identifizieren. Bei einer Kontoeröffnung oder dem Abschluss einer Versicherungspolice kann die Legitimation des Vertragspartners am PC erfolgen, ein persönliches Vorsprechen ist nicht mehr nötig. Die elektronische Identifikation ist sowohl für den Bürger als auch für den Diensteanbieter attraktiv. Denn sie funktioniert medienbruchfrei, ist zeitsparend und kostengünstig. Manche Anbieter sind aufgrund ihres altersbeschränkten Angebots gesetzlich verpflichtet, das Alter ihrer Kunden zu erfragen. Dies ist problemlos mit der Altersverifikation des eID-Service möglich.
Die bereits genannten Anwendungen Altersverifikation oder aber auch die Wohnortbestätigung sowie die Pseudonymfunktion (siehe Neuer Personalausweis: Alle Fakten und Features) sind weitere interessante Angebote, die Diensteanbieter für ihre potenziellen Nutzer auf ihrer Website bereitstellen können. Der eID-Service übernimmt das Auslesen der dafür erforderlichen Daten. Herzstück des eID-Service ist ein spezieller Server (der eID-Server). Als Hard- und Softwarekomponente ermöglicht er die Kommunikation zwischen dem PC des Ausweisinhabers, dessen Ausleseterminal und dem Diensteanbieter. Er übermittelt und verwaltet die Berechtigungszertifikate des Diensteanbieters, prüft die Echtheit des Chips im neuen Personalausweis und gleicht Sperrlisten ab.
Der eID-Service verfügt über zwei Schnittstellen: eine innere und eine äußere. Die innere Schnittstelle ist mit dem eCard API Framework des BSI (TR-03112) konform und ermöglicht den Informationsaustausch mit dem Personalausweis. Sie umfasst kryptografische Protokolle sowie die Zugriffskontrollen PACE und EAC. Die äußere Schnittstelle liefert über einen international standardisierten Token (SAML 2.0 Assertion) die auf dem Chip des neuen Personalausweises gespeicherten Daten an den Diensteanbieter.
Sicherheitsmechanismen
Verschiedene Protokolle und Verfahren schützen die personenbezogenen Daten, die auf dem Chip hinterlegt sind. Sie prüfen darüber hinaus die Echtheit des neuen Personalausweises und machen ihn fälschungssicher. Dabei kommt den Lösungen, die die kontaktlose Schnittstelle zwischen Ausweis und Lesegeräten absichern, eine besondere Bedeutung zu.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert folgende Protokolle und Maßnahmen:
PACE: Password Authenticated Connection Establishment Zugriffskontrolle, schützt vor Auslesen des kontaktlosen Chips
EAC: Extended Access Control Erweiterte Zugriffskontrolle, bestehend aus den zwei Subprotokollen CA (Chip Authentication) und TA (Terminal Authentication)
PA: Passive Authentication Prüfung der Echtheit und Unverfälschtheit der Daten auf dem Chip
RI: Restricted Identification Erzeugung von chip- und anwenderspezifischen Pseudonymen
PKI: Public Key Infrastructure Hierarchie von digitalen Zertifikaten: CSCA (Country-Signing-Certification-Authority) und CVCA (Country-Verifying-Certification-Authority)
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI):
"Innovationen für eine eID-Architektur in Deutschland"
-
PACE Password Authenticated Connection Establishment
PACE stellt zum einen sicher, dass der kontaktlose Chip im neuen Personalausweis nicht ohne Eingabe der sechsstelligen eID-PIN ausgelesen werden kann. Diese PIN ist nur dem Ausweisinhaber bekannt. Zum anderen gewährleistet die Zugriffskontrolle, dass die Daten verschlüsselt an das Lesegerät übertragen werden.
-
EAC Extended Access Control
EAC beinhaltet verschiedene Protokolle. EAC umfasst die Subprotokolle Chip Authentication (CA) und Terminal Authentication (TA). Diese werden zusammen mit PACE und Passive Authentication (PA, siehe unten) ausgeführt. CA baut eine sichere Verbindung zum Chip auf und erkennt geklonte Chips. TA schützt die sensiblen Daten des neuen Personalausweises vor dem Zugriff durch Unbefugte. Der Chip gibt bestimmte Daten nur dann zum Lesen frei, wenn das Lesegerät eine Berechtigung für den Zugang zu genau diesen Daten nachweist.
-
PA Passive Authentication
PA prüft die Echtheit und Unverfälschtheit der Daten auf dem kontaktlosen Chip. Nur der offiziell vom BMI beauftragte Ausweishersteller, die Bundesdruckerei, ist befugt, Daten auf dem Chip des neuen Personalausweises zu speichern. In den Meldestellen können diese Daten mithilfe der Änderungsterminals bearbeitet werden. Bei der Herstellung signiert die Bundesdruckerei die gespeicherten Daten digital mit dem so genannten Document-Signing-Zertifikat. Dieses wiederum ist mit dem Country-Signing-Certification-Authority-Certificate (CSCA-Zertifikat) der Nation signiert, die das Ausweisdokument ausstellt. Beim Auslesen des neuen Personalausweises wird mithilfe der PA die Signatur des Chips geprüft und bis zum CSCA-Zertifikat zurückverfolgt.
-
RI Restricted Identification
RI erzeugt automatisch Pseudonyme für einen individuellen Chip und einen bestimmten Anbieter. Sie ermöglichen es einem Diensteanbieter, den Chip basierend auf dem zuvor erhaltenen Pseudonym wiederzuerkennen - und zwar ohne personenbezogene Daten auszulesen. Dabei werden für verschiedene Diensteanbieter unterschiedliche Pseudonyme generiert. Es ist daher nicht möglich, dass verschiedene Anbieter Pseudonyme untereinander abgleichen und Informationen über Nutzer austauschen. Dieses Verfahren dient dem Datenschutz.
Das BMI hat verschiedene Studien in Auftrag gegeben, um die Sicherheit der verwendeten Protokolle zu prüfen. Die Technische Universität Darmstadt hat etwa im Rahmen ihrer Studie "Sicherheitsanalyse des EAC-Protokolls (Technische Universität Darmstadt, Projekt 826, Studie "Sicherheitsanalyse des EA C-Protokolls", 11. Oktober 2010.)" geprüft, ob die sensiblen Daten durch die Ausführung der Protokolle vertraulich bleiben und sich authentische Teilnehmer erfolgreich dem Partner gegenüber ausweisen können.
In ihrem Abschlussbericht stellen die Studienleiter fest: "Die kryptografischen Verfahren gewährleisten ausreichende Sicherheit diesbezüglich." Und die auf Internetsicherheit spezialisierte Fachhochschule Gelsenkirchen hält im Ergebnis ihrer Studie zu "Restrisiken beim Einsatz der AusweisApp auf dem Bürger-PC zur Online-Authentisierung mit Penetration-Test (Institut für Internet-Sicherheit an der Fachhochschule Gelsenkirchen, Zwischenbericht "Restrisiken beim Einsatz der Ausweis-App auf dem Bürger-PC zur Online-Authentisierung mit Penetration-Test", Oktober 2010.)" fest: "Die eID-Funktion weist im Vergleich zur herkömmlichen Authentisierung mit Passwörtern ein höheres Sicherheitsniveau auf."
Sperrmanagement
Foto: Bundesdruckerei
Was aber passiert, wenn Unbefugte einen gestohlenen oder gefundenen neuen Personalausweis einsetzen? In diesem Fall greift das Sperrmanagement des elektronischen ID-Dokuments. Der Ausweisinhaber ist verpflichtet, die zuständige Personalausweisbehörde über den Verlust des Personalausweises zu informieren. Diese veranlasst die Sperrung beim Sperrlistenbetreiber, trägt sie in das Personalausweisregister ein und meldet den Verlust gemäß § 11 Absatz 5 Personalausweisgesetz unverzüglich der Polizei.
Nach Eintrag in die Sperrliste lässt sich die Online-Ausweisfunktion nicht mehr nutzen. Auf diese Weise ist sichergestellt, dass keine Dienste für den aktuellen Besitzer des Ausweises erbracht werden. Eine gegebenenfalls genutzte QES-Funktion muss der Ausweisinhaber beim ZDA sperren lassen, bei dem er das Signaturzertifikat erworben hat.
Die so genannte globale Sperrliste wird vom Bundesverwaltungsamt (BVA) geführt, regelmäßig aktualisiert und den ZDA zur Verfügung gestellt. Die Sperrung der gängigen Chipkarten, wie zum Beispiel von Karten für die QES, erfolgt in der Regel über einen chipindividuellen öffentlichen Schlüssel. Dieser wird über eine Sperrliste abgeglichen. Dieses Merkmal ist personenbezogen, da es den Chip und seinen Inhaber eindeutig identifiziert. Die datenschutzfreundliche Konzeption der elektronischen Ausweisfunktion verbietet einen solchen Mechanismus. Vor diesem Hintergrund werden diensteanbieterspezifische Sperrlisten erzeugt.
Jeder Ausweis übersendet im Zuge des elektronischen Identitätsnachweises ein dienste- und kartenspezifisches Sperrmerkmal an den Diensteanbieter. Dieser gleicht das Sperrmerkmal gegen die individuelle, diensteanbieterspezifische Sperrliste ab. ZDA übernehmen es, für jeden Dienst aus einer globalen Sperrliste eine diensteanbieterspezifische Sperrliste zu erstellen. Dieses Verfahren erlaubt es, Personalausweise zu sperren, ohne dass in einem zentralen Register personenbezogene Daten gespeichert werden müssen.
Auch dank der Leistungen des eID-Service und der ZDA schützt das Gesamtsystem "neuer Personalausweis" nicht nur die personenbezogenen Daten der Bürger, sondern bewahrt Bürger und Diensteanbieter auch vor wirtschaftlichem Schaden durch missbräuchlich eingesetzte Identitätsdokumente.
Dieser Beitrag ist ein Auszug aus dem eID-Service Pocketguide - bereitgestellt mit freundlicher Genehmigung der Bundesdruckerei.