Der elektronische Personalausweis Inhaltsverzeichnis 1. Einleitung und Aufbau der Arbeit. 1 2. Erläuterung grundlegender Begriffe. 2 2.1 Identitätsmanagement 2 2.2 Elektronische Identifikationen (eIDs) 2 2.3 Der elektronische Personalausweis 3 2.3.1 Aufbau und Daten 3 2.3.2 Anwendungsbereiche 4 2.4 Gesetzliche Rahmenbedingungen 8 3. Anforderungen und Lösungen an den ePA in Verbindung mit dem IDM 8 3.1 Ausgewählte Anforderungen 8 3.1.1 Sicherheit. 9 3.1.2 Keine Erstellung anbieterübergreifender Nutzerprofile. 9 3.1.3 Beweisbarkeit einzelner Attribute 9 3.1.4 Transparenz der Identitäten. 9 3.1.5 Standardisierung 9 3.1.6 Transparenz der Anwendung 9 3.1.7 Nutzerfreundlichkeit 10 3.2 Ausgewählte Lösungsansätze. 10 3.2.1 Sicherheit. 10 3.2.2 Keine Erstellung anbieterübergreifender Nutzerprofile. 11 3.2.3 Beweisbarkeit einzelner Attribute 12 3.2.4 Transparenz der Identitäten. 12 3.2.5 Standardisierung 12 3.2.6 Transparenz der Anwendung 13. 3.2.7 Nutzerfreundlichkeit 13 4 Ablauf einer Onlinebestellung mit gegenseitiger Authentifizierung 14 4.1 Voraussetzungen 14 4.2 Ablauf der Bestellung mit gegenseitiger Authentifizierung 14 5 Grenzen und Potentiale des ePA in Verbindung mit IDM 15 5.1 Ausgewählte Grenzen 15 5.1.1 Datenschutz und Datensicherheit. 15 5.1.2 Steuerung der Dienstanbieter problematisch. 16 5.1.3 Fehlende Akzeptanz in der Bevölkerung. 16 5.1.4 Verlust der Anonymität bis hin zum Rausschmiss Abkürzungsverzeichnis B2B Business-To-Business B2G Business-To-Government B2C Business-To-Consumer C2C Consumer-To-Consumer BMI. Bundesministerium des Innern BSI Bundesamt für Sicherheit EC Karte. Electronic Cash Karte eCommerce. electronic Commerce eGovernment. electronic Government eIDs. elektronische Identifikatoren ELSTER elektronische Lohnsteuer ePA elektronischer Personalausweis IDM. Identitätsmanagement ITAS Institut für Technologiefolgenabschätzung und Systemanalyse PersAuswG Personalausweisgesetz PIN Persönliche Identifikationsnummer RFID. Radio-Frequency Identification SigG Signaturgesetz TAN Transaktionsnummer Abbildungsverzeichnis Abbildung 2-1: Aufbau des elektronischen Personalausweises 03 Abbildung 2-2: Die Pseudonymfunktion. 08 Abbildung 3-1: Ablauf der gegenseitigen Authentifizierung. 11 Abbildung 4-1: Identitätsnachweis bei der Onlinebestellung. 15 Seite I V 1. Einleitung und Aufbau der Arbeit Das Bundeskabinett hat am 23. Juli 2008 dem Entwurf des Gesetzes über Personalausweise und den elektronischen Identitätsnachweis zugestimmt. (vgl. BMI 2009a) Der neue elektronische Personalausweis (ePA) wird seit dem 1. November 2010 in Deutschland ausgegeben. Sein Inhaber kann sich damit eindeutig und sicher im Internet authentifizieren, um Onlineangebote von Behörden im Rahmen von eGovernment und privaten Unternehmen im Rahmen von eCommerce zu nutzen. (vgl. Zeit Online 2010a) Mit dem Wandel des klassischen Identitätsdokuments zu einem multifunktionalen Ausweisdokument ist diesem der Weg in das Internetzeitalter geöffnet. Doch was steckt genau hinter dem Begriff „elektronischer Personalausweis“? Handelt es sich um eine Technik, die zukünftig unser Leben in der digitalen Welt erleichtern wird? Oder entstehen dadurch heute nicht absehbare Risiken für unsere Privatsphäre, weil durch den ePA eine direkte Verbindung zwischen unserer digitalen und unserer tatsächlichen Identität entsteht? Die folgende Arbeit untersucht Auswirkungen des ePA auf das Identitätsmanagement. Dazu beschreibt Kapitel 2 relevante Begriffe und gesetzliche Rahmenbedingungen. Kapitel 3 stellt Anforderungen an den ePA in Verbindung mit dem Identitätsmanagement sowie ausgewählte Lösungsansätze dar. Am Beispiel des Onlinewebshops wird in Kapitel 4 eine mögliche Anwendung des neuen Personalausweises in der Praxis aufgezeigt. Der Schwerpunkt der Betrachtung liegt dabei auf der gegenseitigen Authentifizierung. Kapitel 5 stellt Grenzen und Potentiale des ePA in Verbindung mit Identitätsmanagement dar. Kapitel 6 fasst die Ergebnisse der Arbeit zusammen und schließt mit einem Fazit ab. Seite 1 2. Erläuterung grundlegender Begriffe 2.1 Identitätsmanagements Identitätsmanagement (IDM) im Sinne von Identitätsverwaltung findet ohne die Unterstützung von Computern durch die Ausgestaltung unserer Rollen im täglichen Leben statt. Ein Mensch kann mehrere Identitäten haben: Student, Angestellter, Vater, Vorgesetzter. Menschen geben sich je nach Situation anders, verraten nicht jedem gleich viel über sich und verwalten damit ihre Identität. Im Folgenden werden Komponenten näher beschrieben, die erforderlich sind, um IDM in Verbindung mit eIDs (elektronische Identifikationen) betreiben zu können. (vgl. Sorge et al. 2008 S. 337ff) Ausgangspunkt der Betrachtung ist der Nutzer, der durch eine Menge von Attributen beschrieben werden kann. Das können z.B. Name, Geburtsdatum und Haarfarbe aber auch Vorlieben und Gewohnheiten sein. Teilmengen dieser Attribute bilden eine partielle Identität. Diese kann durch Pseudonyme identifiziert werden. Die vollständige Vereinigung dieser Attribute bildet die vollständige Identität. Angenommen, der Inhaber eines ePA - als Beispiel für eine eID-Lösungmöchte sich gegenüber einem Dritten - also einem Dienstanbieteridentifizieren, dazu aber nicht mehr Attribute preisgeben als erforderlich: Die dazu erforderliche Verwaltung von Pseudonymen und partiellen Identitäten heißt IDM. Jugendschutzsysteme benötigen zum Beispiel nur das Attribut „Alter“ bzw. die Information, ob ein Nutzer über 18 Jahre alt ist oder nicht. Der Chip des ePA wird von einem Lesegerät ausgelesen. Das setzt voraus, dass das Lesegerät an einen Rechner angeschlossen ist, der unter der Kontrolle des Nutzers sein kann - aber nicht muss. Chip, Lesegerät und Rechner bilden damit die Anwenderseite. Über ein Rechnernetz, wie z.B. das Internet, wird eine Verbindung zu weiteren Komponenten hergestellt. Als derzeit gängige Anwendung des IDMs ist das Single Signal On zu nennen. Der Nutzer identifiziert sich dabei einmalig und kann dann verschiedene Dienste nutzen. 2.2 Elektronische Identifikationen (eIDs) Unter eIDs werden Lösungen verstanden, die die „Identität einer natürlichen oder juristischen Person beim Zugang zu elektronischen Diensten garantieren und das Vertrauen der an einer elektronischen Transaktion beteiligten Personen herstellen.“ (Meints et al. 2006, S. 560ff) Seite 2 Wurden bisher im Internet vor allem Lösungen geschafften, die auf Wissen basierten - gemeint ist hier die Authentifizierung mit Username und Passwort -, „lässt sich in der Regel ein höheres Sicherheitsniveau und eine stärkere Bindung an eine Person durch die zusätzliche Überprüfung von Besitz erreichen.“ (Sorge et al. 2008, S. 337ff) Chipkarten sind zum Beispiel ein geeignetes Mittel dafür. Das trifft auch auf elektronische Ausweise wie den ePA zu, der einen RFID (Radio-Frequency Identifikation) Chip enthält und im Folgenden genauer vorgestellt wird. Abb.: 2-1 Der Aufbau des elektronischen Personalausweises (vgl. BSI 2010a) 2.3 Der elektronische Personalausweis 2.3.1 Aufbau und Daten Seit 1. November 2010 wird in Deutschland der neue ePA an die Bürger vergeben. Das moderne Identifikationsdokument löst damit den bisherigen Personalausweis ab. Der alte Ausweis behält bis zum jeweiligen Ablaufdatum seine Gültigkeit. Ein vorzeitiger Wechsel zum neuen Personalausweis ist jederzeit möglich. (vgl. Schmeh 2009, S. 140) Der elektronische Ausweis ist genau wie der bisherige Ausweis zehn Jahre gültig. Für Personen unter 24 Jahren beträgt die Gültigkeitsdauer sechs Jahre. (vgl. PersAuswG 2009, S.1349). Abbildung 2-1 zeigt ein Muster des neuen Ausweises. Verändert hat sich bei dem neuen Ausweis optisch zunächst einmal die Größe: Das neue Ausweisdokument wird in Scheckkartenformat ID-1 ausgeliefert. Im Inneren des Ausweises ist ein kontaktloser RFID-Chip untergebracht, auf dem Informationen über die Identität des Inhabers gespeichert sind. (vgl. Fraunhofer 2009) Auf dem Chip des Ausweises befinden sich Daten zum Familienname, Geburtsname, Vorname(n), Doktorgrad, Geburtstag, Geburtsort, Lichtbild, Anschrift, Staatsangehörigkeit, Seriennummer, Ordensname und Künstlername. Die Daten auf dem Chip können elektronisch abgefragt werden. Das ist im § 18 des Personalausweisgesetzes (PersAuswG) geregelt.
Posted on: Thu, 22 Aug 2013 22:40:40 +0000
Trending Topics
Recently Viewed Topics
© 2015