• RI Restricted Identification
  RI erzeugt automatisch Pseudonyme für einen individuellen Chip und einen bestimmten Anbieter. Sie ermöglichen es einem Diensteanbieter, den Chip basierend auf dem zuvor erhaltenen Pseudonym wiederzuerkennen - und zwar ohne personenbezogene Daten auszulesen. Dabei werden für verschiedene Diensteanbieter unterschiedliche Pseudonyme generiert. Es ist daher nicht möglich, dass verschiedene Anbieter Pseudonyme untereinander abgleichen und Informationen über Nutzer austauschen. Dieses Verfahren dient dem Datenschutz.

Das BMI hat verschiedene Studien in Auftrag gegeben, um die Sicherheit der verwendeten Protokolle zu prüfen. Die Technische Universität Darmstadt hat etwa im Rahmen ihrer Studie "Sicherheitsanalyse des EAC-Protokolls (Technische Universität Darmstadt, Projekt 826, Studie "Sicherheitsanalyse des EA C-Protokolls", 11. Oktober 2010.)" geprüft, ob die sensiblen Daten durch die Ausführung der Protokolle vertraulich bleiben und sich authentische Teilnehmer erfolgreich dem Partner gegenüber ausweisen können.

In ihrem Abschlussbericht stellen die Studienleiter fest: "Die kryptografischen Verfahren gewährleisten ausreichende Sicherheit diesbezüglich." Und die auf Internetsicherheit spezialisierte Fachhochschule Gelsenkirchen hält im Ergebnis ihrer Studie zu "Restrisiken beim Einsatz der AusweisApp auf dem Bürger-PC zur Online-Authentisierung mit Penetration-Test (Institut für Internet-Sicherheit an der Fachhochschule Gelsenkirchen, Zwischenbericht "Restrisiken beim Einsatz der Ausweis-App auf dem Bürger-PC zur Online-Authentisierung mit Penetration-Test", Oktober 2010.)" fest: "Die eID-Funktion weist im Vergleich zur herkömmlichen Authentisierung mit Passwörtern ein höheres Sicherheitsniveau auf."

Sperrmanagement

Was aber passiert, wenn Unbefugte einen gestohlenen oder gefundenen neuen Personalausweis einsetzen? In diesem Fall greift das Sperrmanagement des elektronischen ID-Dokuments. Der Ausweisinhaber ist verpflichtet, die zuständige Personalausweisbehörde über den Verlust des Personalausweises zu informieren. Diese veranlasst die Sperrung beim Sperrlistenbetreiber, trägt sie in das Personalausweisregister ein und meldet den Verlust gemäß § 11 Absatz 5 Personalausweisgesetz unverzüglich der Polizei.

Nach Eintrag in die Sperrliste lässt sich die Online-Ausweisfunktion nicht mehr nutzen. Auf diese Weise ist sichergestellt, dass keine Dienste für den aktuellen Besitzer des Ausweises erbracht werden. Eine gegebenenfalls genutzte QES-Funktion muss der Ausweisinhaber beim ZDA sperren lassen, bei dem er das Signaturzertifikat erworben hat.

Die so genannte globale Sperrliste wird vom Bundesverwaltungsamt (BVA) geführt, regelmäßig aktualisiert und den ZDA zur Verfügung gestellt. Die Sperrung der gängigen Chipkarten, wie zum Beispiel von Karten für die QES, erfolgt in der Regel über einen chipindividuellen öffentlichen Schlüssel. Dieser wird über eine Sperrliste abgeglichen. Dieses Merkmal ist personenbezogen, da es den Chip und seinen Inhaber eindeutig identifiziert. Die datenschutzfreundliche Konzeption der elektronischen Ausweisfunktion verbietet einen solchen Mechanismus. Vor diesem Hintergrund werden diensteanbieterspezifische Sperrlisten erzeugt.

Jeder Ausweis übersendet im Zuge des elektronischen Identitätsnachweises ein dienste- und kartenspezifisches Sperrmerkmal an den Diensteanbieter. Dieser gleicht das Sperrmerkmal gegen die individuelle, diensteanbieterspezifische Sperrliste ab. ZDA übernehmen es, für jeden Dienst aus einer globalen Sperrliste eine diensteanbieterspezifische Sperrliste zu erstellen. Dieses Verfahren erlaubt es, Personalausweise zu sperren, ohne dass in einem zentralen Register personenbezogene Daten gespeichert werden müssen.

Auch dank der Leistungen des eID-Service und der ZDA schützt das Gesamtsystem "neuer Personalausweis" nicht nur die personenbezogenen Daten der Bürger, sondern bewahrt Bürger und Diensteanbieter auch vor wirtschaftlichem Schaden durch missbräuchlich eingesetzte Identitätsdokumente.

Dieser Beitrag ist ein Auszug aus dem eID-Service Pocketguide - bereitgestellt mit freundlicher Genehmigung der Bundesdruckerei.