Nach fünfjähriger Planungs- und Entwicklungsarbeit steht mit dem neuen Personalausweis in Deutschland nun ein Ausweisdokument für das digitale Zeitalter zur Verfügung. Immer mehr Anwendungen, Dienstleistungen und deren Abwicklung finden inzwischen im Internet statt. Doch gerade dort, wo man sich nicht mehr persönlich im Geschäftsleben begegnet, spielt gegenseitiges Vertrauen eine wichtige Rolle: Online-Händler wollen Gewissheit haben, dass der mit dem neuen Personalausweis im Online-Shop bestellende Kunde wirklich existiert. Außerdem müssen sie ihn im Zweifelsfall erreichen und ihm die Rechnung verbindlich zusenden können. Die Kunden wiederum wollen sich vor betrügerischen Angeboten schützen.
Sicheres Bezahlverfahren im Internet
In der realen Welt identifizieren sich Geschäftspartner üblicherweise durch persönliches Erscheinen, direkte Barzahlung oder in besonderen Situationen durch den Personalausweis. Für die Identifikation im Internet fehlte jedoch bisher ein vertrauenswürdiger und hoheitlicher Mechanismus, so dass sich in den letzten Jahren viele teilweise teure und komplizierte Lösungen entwickelt haben. Das können Transaktionen sein, bei denen der Nutzer beziehungsweise Kunde seine sensiblen Kreditkarten- oder Bankkonto-Informationen über das Internet senden muss. Oder er wendet sich im Internet-Bezahlverfahren an eine Art Vermittler wie PayPal.
Neuer Personalausweis verhindert Medienbrüche
Darüber hinaus gibt es Online- oder Offline-Prozesse, die Passwörter oder TANs per Post an den Nutzer senden, um anschließend eine sichere Authentifizierung zu ermöglichen. Ihre Schwäche ist der Medienbruch in der Abwicklung. Hier schafft der neue Personalausweis Abhilfe. Er stellt Online-Anbietern und Anwendern eine sichere Grundlage für Web-Geschäfte bereit.
Was der neue Personalausweis kann
Der neue Personalausweis ist in erster Linie immer noch ein physisches Dokument zur persönlichen Vorlage. Durch das Scheckkartenformat ist er jetzt auch handlicher geworden. Die wichtigste Neuerung ist die Online-Ausweisfunktion. Die Daten, die sichtbar auf dem Ausweis aufgedruckt sind, sind auch digital auf dem Chip im Ausweisinneren hinterlegt samt biometrischem Passbild und optional zwei Fingerabdrücken.
Mit der Online-Funktion kann sich der Inhaber im Internet ausweisen. Zudem soll der neue Personalausweis Vertrauen schaffen, denn bevor der Bürger seine Ausweisdaten einem Dienstanbieter preisgibt, muss der sich gegenüber dem Nutzer mit einem staatlich legitimierten Berechtigungszertifikat ausweisen. Nur dieser Nachweis erlaubt es Anbietern, definierte Daten aus einem Personalausweis auszulesen.
Als weitere Neuerung ist der neue Personalausweis auf das Nachladen einer qualifizierten elektronischen Signatur vorbereitet. Mit dieser digitalen Unterschrift können Verträge rechtswirksam online abgeschlossen und unterzeichnet werden. Die Vorteile für Geschäfte im Internet liegen auf der Hand: Das Dokument schafft unabhängig von privatwirtschaftlichen Interessen Vertrauen im Internet. Zudem werden alle deutschen Staatsbürger innerhalb von zehn Jahren mit einem solchen Dokument ausgestattet sein, so dass eine flächendeckende Identifikations-Infrastruktur möglich ist. Die persönlichen Daten müssen nicht mehr händisch übertragen werden. Das vermeidet Fehler. Medienbrüche können effektiv und schnell vermieden werden.
Zulassungsverfahren der Anbieter
Bevor Firmen ihren Kunden die Möglichkeiten des digitalen Ausweises anbieten können, muss das Bundesverwaltungsamt in Köln diesen Dienst zulassen. Voraussetzung ist zunächst, die so genannte Erforderlichkeit nachzuweisen. Das kann entweder eine gesetzliche Vorgabe sein, wenn Verwaltungen beispielsweise Daten benötigen, um Bescheide auszustellen. Oder es besteht ein kreditorisches Risiko für den Dienstanbieter. Die Vergabestelle für Berechtigungszertifikate entscheidet darüber, welche Ausweisdaten der Dienstanbieter abfragen darf. Bei Erfolg erhält der Dienstanbieter eine üblicherweise auf drei Jahre begrenzte Berechtigung. Mit diesem Bescheid kann er sich bei einem Berechtigungszertifikate-Anbieter (BerCA) ein technisches Berechtigungszertifikat erstellen lassen. Nur mit diesem Zertifikat darf der Online-Anbieter auf die persönlichen Daten zugreifen, und auch das nur dann, wenn der Eigentümer des Ausweises die Daten mit Hilfe einer sechsstelligen Geheimzahl (PIN) freigegeben hat.
Infrastruktur für den Personalausweis
Auf Seiten des Unternehmens sind zudem einige technische Voraussetzungen notwendig. Viele Vorarbeiten wurden bereits in den vergangenen Jahren vom Bundesinnenministerium sowie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesverwaltungsamt geleistet. Das Herzstück ist die Public Key Infrastructure (PKI), die für Berechtigungszertifikate und das Sperr-Management notwendig ist. Das BSI betreibt die Wurzelzertifizierungsinstanz (Root-CA). Im Bundesverwaltungsamt (BVA) sind die Vergabestelle für Zertifikate und der Sperrdienst beheimatet. Die Behörde übermittelt den Berechtigungszertifikate-Anbietern die Sperrlisten und die Bescheide.
Die von diesen Dienstleistern erstellten Berechtigungszertifikate können dann technisch umgesetzt und in den eID-Server eingespielt werden. Dieser übernimmt die Kommunikationsverbindung für die sichere, verschlüsselte und gegen Manipulationen geschützte Übermittlung der Daten zwischen Ausweischip und Dienstanbieter. Der Minirechner auf dem Personalausweis prüft hierbei selbständig das Berechtigungszertifikat des Dienstanbieters auf Echtheit, Unversehrtheit und Gültigkeit. Treten dabei Unstimmigkeiten auf, bricht der Chip die Kommunikation mit dem Dienstanbieter ab, ohne Daten zu übertragen. Der eID-Server des Dienstanbieters prüft seinerseits, ob der Personalausweis einen hoheitlich zertifizierten Chip enthält und das Dokument gültig ist.
Elektronischer Identitätsnachweis durch Dienstleister
Damit ein Dienstanbieter die Online-Ausweisfunktion nutzen kann, benötigt er die Hard- und Software eines eID-Servers, der sich üblicherweise in die vorhandene IT integrieren lässt. Jedes Unternehmen kann den Rechner selbst betreiben oder bei Bedarf auslagern. Übernimmt ein externer Anbieter den elektronischen Identitätsnachweis, wird diese Dienstleistung als "eID-Service" und der Dienstleister als "eID-Service-Provider" bezeichnet. Dabei handelt es sich um eine Auftragsdatenverarbeitung nach Paragraf 11 des Bundesdatenschutzgesetzes. In jedem Fall ist der Dienstanbieter der Inhaber der Berechtigung, die die Vergabestelle für Berechtigungszertifikate (VfB) ausstellt. Unabhängig davon, ob er die eID-Server selbst betreibt oder ausgelagert hat, muss er Sorge tragen, dass alle Vorgaben und Anforderungen eingehalten werden.
Die Grenzen des neuen Personalausweises
Schon in den nächsten zwölf Monaten werden über acht Millionen Bürger den neuen Personalausweis in den Händen halten, obwohl sich das Interesse am neuen Perso derzeit noch in Grenzen hält. Das ist, verglichen mit der derzeitigen Verbreitung von Smartcards mit qualifizierten elektronischen Signaturen, eine enorme Zahl. Doch die Online-Ausweisfunktion ist optional. Der Ausweisinhaber muss diese Funktion nicht freischalten und nutzen. Auch ist der Personalausweis ein Dokument für deutsche Staatsbürger. Zwar wird es ab Mai 2011 einen elektronischen Aufenthaltstitel geben, also ein Dokument für Ausländer in Deutschland, doch werden auf absehbare Zeit die nichtdeutschen Europäer keine Online-Ausweisfunktion bekommen, die mit der deutschen Lösung kompatibel ist. Der Personalausweis kann also die sichere und vertrauenswürdige Identifikation im Internet gewähren, allerdings nur in Deutschland und nicht über die Grenzen hinaus.
Kosten des eID-Servers
Das digitale Ausweisdokument greift auf die aktuellsten kryptografischen Verfahren zurück und setzt ein wohl weltweit einmaliges Datenschutzkonzept um. Dies bringt enorme technische Herausforderungen mit sich. Die eID-Server lassen sich relativ einfach in bestehende Web-Infrastrukturen einbinden. Für den Betrieb des eID-Servers, für einen ausgelagerten eID-Service und vor allem für die Berechtigungszertifikate und Sperrlisten fallen laufende Kosten an. Ein Unternehmen, das den Personalausweis als Identifikationsmedium einsetzen möchte, sollte mit mindestens 5000 Euro pro Jahr kalkulieren. Mit wachsender Verbreitung der erforderlichen Infrastruktur dürften die Kosten jedoch sinken.
Der Weg zur nPA-Lösung
1. Ein Anwendungsszenario definieren.
2. Einen Antrag bei der Vergabestelle für Berechtigungszertifikate (VfB) stellen.
3. Von einem Berechtigungszertifikate-Anbieter (BerCA) ein entsprechendes Dokument ausstellen lassen.
4. Das Zertifikat in einen eID-Server beziehungsweise eID-Service integrieren.
5. Den eID-Server an die eigene Internet-Infrastruktur anbinden.
6. Den Dienst in die eigene Web-Seite einpflegen.
Was Privatbenutzer für den "Perso" brauchen
Auch auf die Privathaushalte, die sichere Geschäfte im Web abschließen möchten, kommen finanzielle Lasten zu. Voraussetzung ist zunächst einmal, dass Interessenten die Online-Ausweisfunktion bei Erhalt des neuen Personalausweises kostenlos freischalten lassen. Darüber hin- aus benötigen sie ein Kartenlesegerät, das den Chip des Personalausweises anspricht. Einfache Ausführungen sind bereits ab 20 Euro erhältlich. Komfortable Kartenleser, die unter anderem für den Einsatz der qualifizierten Signatur notwendig sind, schlagen mit 70 Euro und mehr zu Buche. Das Bundesinnenministerium unterstützt das Ausrollen dieser Kartenleserinfrastruktur und hat im Rahmen des Konjunkturpakets 25 Millionen Euro zur Verfügung gestellt. Neben dem Kartenleser benötigt der Nutzer der Online-Ausweisfunktion auch eine Software, die eine Ende-zu-Ende-Verschlüsselung zwischen Personalausweis-Chip und dem eID-Server des Providers unterstützend aufbaut. Das BMI stellt ab Anfang 2011 eine kostenfreie Software für unterschiedliche Betriebssysteme zum Download bereit.
Mehr gegenseitiges Vertrauen
Das Interesse von Unternehmen und Verwaltungen an dem neuen digitalen Dokument wächst stetig, gleichwohl der neue Personalausweis auch noch Gefahren birgt und Kritiker auf den Plan ruft. Das liegt nicht zuletzt daran, dass die Integration von Personalausweis- und vorhandener Web-Infrastruktur effiziente Prozesse im E-Government und im E-Business ohne Medienbrüche erlaubt. Die datenschutzfreundliche Konzeption des Ausweises schafft gegenseitiges Vertrauen zwischen den an Online-Transaktionen Beteiligten. Unterm Strich ist die Einführung des neuen Personalausweises ein wichtiger Schritt auf dem Weg zu einer einfachen Integration, effizienten Nutzung und einem verlässlichem Schutz digitaler Identitäten in hoheitlichen und kommerziellen Systemen. Vielfältige Möglichkeiten und Lösungen warten aber noch darauf, entwickelt zu werden. (jha)