STRATEGIE1. Juni 2020

Identity: Der Online-Personalausweis – seit 10 Jahren Ladehemmung

Ausweis im SCM SCL011von Fujitsu, SCM Microsystems, Identive
SCM SCL011Fujitsu, SCM Microsystems, Identive

Egal ob di­gi­ta­ler Be­hör­den­gang, GwG-kon­for­me Iden­ti­fi­zie­rung, Re­gis­trie­rung ei­ner SIM-Kar­te oder die Nut­zung ei­nes Ver­trau­ens­diens­tes für die qua­li­fi­zier­te elek­tro­ni­sche Si­gna­tur, der auf dem Si­cher­heits­ni­veau „hoch“ no­ti­fi­zier­te „neue Personalausweis“ ist in jedem dieser Regelwerke die bevorzugte Methode zur Fernidentifikation. Trotzdem wird die eID-Funktion des Ausweises seit seiner Einführung bislang in der Praxis sehr wenig genutzt.

von Rudolf Linsenbarth

Viele Startprobleme sind mittlerweile behoben. Zum Beispiel wird der Ausweis seit der Änderung des Personalausweisgesetzes 2017 immer mit aktivierter Online-Funktion ausgeliefert. Zusätzlich ist ein weiter Anwendungsfall hinzugekommen, das sogenannte Vor-Ort-Auslesen, eine zuverlässige Form der digitalen Datenübernahme auf Basis der auf dem Ausweis aufgedruckten „Card Access Number“ (CAN) statt der PIN. Nicht mehr jedes Unternehmen, das den Ausweis auslesen will. benötigt ein eigenes Berechtigungszertifikat. Das Auslesen kann jetzt ein sogenannter Identifizierungsdiensteanbieter (IDA) mit einem zentralen Zertifikat übernehmen. Außerdem kann der Ausweis seit einigen Jahren auch direkt an einem Android-Smartphone mit NFC-Unterstützung ausgelesen werden. Das iPhone weist diese Funktion ab Herbst letzten Jahres auf.

Der neue Personal-Ausweis

Führt das den Ausweis jetzt zum Erfolg?

Eat your own dog food”

Solange die Angebote der Kommunen, Länder und vor allem des Bundes, dem Herausgeber des Personalausweises, so spärlich sind, darf sich allerdings niemand wundern, wenn die Privatwirtschaft sich hier ebenfalls zurückhält.

Wie funktioniert eigentlich das Auslesen aus dem Personalausweis?

Im Datenschutz- und Sicherheitskonzept des nPA ist vorgesehen, dass nur jemand mit einem berechtigten Interesse die elektronische Funktion nutzen kann und der Betroffene beim Ausweisen – aus Datenschutzsicht beispielgebend – klar darüber informiert werden kann, wer auf seine Daten zugreift. Dazu benötigt man ein Berechtigungszertifikat und das gibt es vom Bundesverwaltungsamt in Köln. Das Berechtigungszertifikat muss allerdings in einer besonders geschützten Umgebung gespeichert werden, dem sogenannten eID-Server.

Ausweis-MusterWeiterhin benötigt man auch einen eID-Client also eine Software, die mit dem eID-Server kommuniziert. Die notwendigen Funktionen beschreibt die Technische Richtlinie des BSI. Wer sich die Softwareentwicklung ersparen möchte, findet hier eine Liste bereits zugelassener eID Clients.

Ablauf der Identifikation per Ausweis
BSI

Der Ablauf zum Auslesen des Ausweises sieht dann schematisch so aus (siehe Bild rechts).

Als nächstes sollen die Möglichkeiten betrachtet werden, an einen eID-Server zu kommen.

  1. Entwicklung eines eigenen eID-Server
    Die Spezifikationen werden vom BSI zur Verfügung gestellt, man kann also einen solchen Server selber entwickeln und zertifizieren lassen.
  2. Erwerb einer Software-Lizenz
    Etwas einfacher ist es, den Server bei einem Anbieter, der so einen Server bereits entwickelt hat, zu lizenzieren. Folgende Unternehmen sind Anbieter eines eID-Servers:
    – Governikus GmbH & Co. KG
    – MTG AG
    – OpenLimit SignCubes AG
  3. Nutzung eines Cloud-basierten eID-Service
    Wer den Server nicht selbst im eigenen Rechenzentrum betreiben will, kann einen eID-Service im Rechenzentrum eines Dienstleisters nutzen und dort sein Berechtigungszertifikat speichern.
    Dienstleister mit einem entsprechenden Angebot sind hier gelistet.
  4. Beauftragung eines Identifizierungsdienstes
    Will man weder einen Server in einem Rechenzentrum betreiben, noch ein Berechtigungszertifikat beim Verwaltungsamt beantragen, kann man einen Identifizierungsdienst beauftragen. Solch einen Service bieten derzeit die folgenden Unternehmen an:
    – AusweisIDent der Bundesdruckerei (*)
    – AUTHADA ident von der AUTHADA GmbH (*)
    – identity eID der identity Trust Management AG
    – POSTIDENT der Deutschen Post AG
    – Signicat Assure der Signicat GmbH (*)
    – SkIDentity der ecsec GmbH
    – mvneco GmbH (*)

*Diese Unternehmen sind zusätzlich zertifizierte Identifizierungsdiensteanbieter (IDA) und dürfen daher auch Ausweise im Auftrag ihrer Kunden im nicht regulierten Umfeld (z. B. E-Commerce) auslesen

Die Hürde, den ePerso zur Identifizierung anzubieten, liegt mit Beauftragung eines Identifizierungsdienstes erheblich niedriger als vor 10 Jahren. Wo klemmt es jetzt noch?

Die große Unbekannte ist die „effektive Reichweite“, also der Prozentsatz in der Bevölkerung, die bereits eine PIN für die Ausweisidentifizierung gesetzt hat. Untersuchungen dazu hat es nie gegeben. Es ist nicht hilfreich bei diesem Thema die Augen zu schließen, wenn man vermutet, dass die Zahlen schlecht sind. Wir brauchen hier dringend belastbare Zahlen! Nur dann können die richtigen Maßnahmen ergriffen werden!

Die Fragen stellte Rudolf Linsenbarth
Experte für Digitale Identität und Identifizierung: Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Als weitere Maßnahme sollten die Kommunen proaktiv auf die Nutzer zugehen und diese auffordern, ihre PIN zu setzen. Falls die Bürger ihren PIN-Brief verloren haben oder sich damals entschieden haben, den Ausweis nicht freizuschalten, kann das durch einen Besuch im Bürgeramt behoben werden. Dort können alle Ausweise wieder aktiviert werden. Der Ansatz, die eID-Funktion nachträglich zu aktivieren, ist besonders vielversprechend, wenn er mit einem konkreten Anreiz, wie dem FiftyFifty Taxi Projekt aus dem Landkreis Lichtenfels, verknüpft wird. Darüber hinaus sollte zukünftig generell auf die Gebühren für die nachträgliche Aktivierung der eID-Funktion verzichtet werden.

Ein anderer Punkt ist, dass beim Einsatz des ePerso im privaten Bereich das Potenzial nicht ausgeschöpft wird. Wer z. B. bei der Comdirect ein Konto eröffnet, muss erst alle Personalausweisdaten manuell eintippen und wird danach erst zur eID-Authentifizierung geleitet, wo die Daten dann noch mal automatisch ausgelesen werden. Leider sind die Antragsstrecken hier noch auf konventionelle und umständliche Identifizierungsverfahren wie Video-Ident ausgerichtet.

Fazit

Trotz all dem oben gesagten halte ich den „neuen Personalausweis“ für unverzichtbar. Er ist bisher das einzige Medium, bei dem eine Fernidentifizierung nachweislich mit hoher Sicherheit möglich ist.”

So etwas ist für mich die prinzipielle Voraussetzung, um abgeleitete Identitäten mit einem niedrigeren Vertrauenslevel herzustellen. Weiterhin sehe ich derzeit nur wenige Produkte, die bei der geforderten Sicherheit für Vertrauensdienste eine gleich hohe Bequemlichkeit bieten. Ein Video-Ident vor einer QES ist für mich von der UX her ein Unding!

Aber der wichtigste Punkt ist, dass der Personalausweis derzeit die beste Möglichkeit darstellt, nach einem Identitätsdiebstahl wieder die Kontrolle über die eigene digitale Identität zu erlangen.

Der Ausweis ist unser Vertrauensanker für die digitale Identität!”

Rudolf Linsenbarth
Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert