Inhaltsverzeichnis

1.  Einleitung und Aufbau der Arbeit.  1

2.  Erläuterung grundlegender Begriffe.  2

2.1  Identitätsmanagement  2

2.2  Elektronische Identifikatoren (eIDs)  2

2.3  Der elektronische Personalausweis  3

2.3.1  Aufbau und Daten  3

2.3.2  Anwendungsbereiche  4

2.4  Gesetzliche Rahmenbedingungen  8

3.  Anforderungen und Lösungen an den ePA in Verbindung mit dem IDM  8

3.1  Ausgewählte Anforderungen  8

3.1.1  Sicherheit.  9

3.1.2  Keine Erstellung anbieterübergreifender Nutzerprofile.  9

3.1.3  Beweisbarkeit einzelner Attribute  9

3.1.4  Transparenz der Identitäten.  9

3.1.5  Standardisierung  9

3.1.6  Transparenz der Anwendung  9

3.1.7  Nutzerfreundlichkeit  10

3.2  Ausgewählte Lösungsansätze.  10

3.2.1  Sicherheit.  10

3.2.2  Keine Erstellung anbieterübergreifender Nutzerprofile.  11

3.2.3  Beweisbarkeit einzelner Attribute  12

3.2.4  Transparenz der Identitäten.  12

3.2.5  Standardisierung  12

3.2.6  Transparenz der Anwendung  13

3.2.7  Nutzerfreundlichkeit  13

4  Ablauf einer Onlinebestellung mit gegenseitiger Authentifizierung  14

4.1  Voraussetzungen  14

4.2  Ablauf der Bestellung mit gegenseitiger Authentifizierung  14

5  Grenzen und Potentiale des ePA in Verbindung mit IDM  15

5.1  Ausgewählte Grenzen  15

5.1.1  Datenschutz und Datensicherheit.  15

5.1.2  Steuerung der Dienstanbieter problematisch.  16

5.1.3  Fehlende Akzeptanz in der Bevölkerung.  16

5.1.4  Verlust der Anonymität bis hin zum Rausschmiss  17

5.1.5  Ausgrenzung  17

5.2  Ausgewählte Potentiale  18

5.2.1  Datenschutz und Datensicherheit.  18

5.2.2  eCommerce und eGovernment  18

5.2.3  Fälschungssicherheit und Terrorabwehr  19

5.2.4  Kinder- und Jugendschutz  19

6  Schlussbetrachtung  19

Abk  ürzungsverzeichnis  

B2B  Business-To-Business  

B2G  Business-To-Government  

B2C  Business-To-Consumer  

C2C  Consumer-To-Consumer  

BMI.  Bundesministerium des Innern  

BSI  Bundesamt für Sicherheit  

EC  Karte. Electronic Cash Karte  

eCommerce.  electronic Commerce  

eGovernment.  electronic Government  

eIDs.  elektronische Identifikatoren  

ELSTER  elektronische Lohnsteuer  

ePA  elektronischer Personalausweis  

IDM.  Identitätsmanagement  

ITAS  Institut für Technologiefolgenabschätzung  

und  Systemanalyse  

PersAuswG  Personalausweisgesetz  

PIN  Persönliche Identifikationsnummer  

RFID.  Radio-Frequency Identification  

SigG  Signaturgesetz  

TAN  Transaktionsnummer  

Abbildungsverzeichnis   

Abbildung  2-1: Aufbau des elektronischen Personalausweises  03

Abbildung  2-2: Die Pseudonymfunktion.  08

Abbildung  3-1: Ablauf der gegenseitigen Authentifizierung.  11

Abbildung  4-1: Identitätsnachweis bei der Onlinebestellung.  15

Seite  I  V

1. Einleitung und Aufbau der Arbeit

Das Bundeskabinett hat am 23. Juli 2008 dem Entwurf des Gesetzes über Personalausweise und den elektronischen Identitätsnachweis zugestimmt. (vgl. BMI 2009a)

Der neue elektronische Personalausweis (ePA) wird seit dem 1. November 2010 in Deutschland ausgegeben. Sein Inhaber kann sich damit eindeutig und sicher im Internet authentifizieren, um Onlineangebote von Behörden im Rahmen von eGovernment und privaten Unternehmen im Rahmen von eCommerce zu nutzen. (vgl. Zeit Online 2010a)

Mit dem Wandel des klassischen Identitätsdokuments zu einem multifunktionalen Ausweisdokument ist diesem der Weg in das Internetzeitalter geöffnet. Doch was steckt genau hinter dem Begriff „elektronischer Personalausweis“? Handelt es sich um eine Technik, die zukünftig unser Leben in der digitalen Welt erleichtern wird? Oder entstehen dadurch heute nicht absehbare Risiken für unsere Privatsphäre, weil durch den ePA eine direkte Verbindung zwischen unserer digitalen und unserer tatsächlichen Identität entsteht?

Die folgende Arbeit untersucht Auswirkungen des ePA auf das Identitätsmanagement. Dazu beschreibt Kapitel 2 relevante Begriffe und gesetzliche Rahmenbedingungen. Kapitel 3 stellt Anforderungen an den ePA in Verbindung mit dem Identitätsmanagement sowie ausgewählte Lösungsansätze dar. Am Beispiel des Onlinewebshops wird in Kapitel 4 eine mögliche Anwendung des neuen Personalausweises in der Praxis aufgezeigt. Der Schwerpunkt der Betrachtung liegt dabei auf der gegenseitigen Authentifizierung. Kapitel 5 stellt Grenzen und Potentiale des ePA in Verbindung mit Identitätsmanagement dar. Kapitel 6 fasst die Ergebnisse der Arbeit zusammen und schließt mit einem Fazit ab.

Seite 1

2. Erläuterung grundlegender Begriffe

2.1 Identitätsmanagement

Identitätsmanagement (IDM) im Sinne von Identitätsverwaltung findet ohne die Unterstützung von Computern durch die Ausgestaltung unserer Rollen im täglichen Leben statt. Ein Mensch kann mehrere Identitäten haben: Student, Angestellter, Vater, Vorgesetzter. Menschen geben sich je nach Situation anders, verraten nicht jedem gleich viel über sich und verwalten damit ihre Identität.

Im Folgenden werden Komponenten näher beschrieben, die erforderlich sind, um IDM in Verbindung mit eIDs (elektronische Identifikatoren) betreiben zu können. (vgl. Sorge et al. 2008 S. 337ff) Ausgangspunkt der Betrachtung ist der Nutzer, der durch eine Menge von Attributen beschrieben werden kann. Das können z.B. Name, Geburtsdatum und Haarfarbe aber auch Vorlieben und Gewohnheiten sein. Teilmengen dieser Attribute bilden eine partielle Identität. Diese kann durch Pseudonyme identifiziert werden. Die vollständige Vereinigung dieser Attribute bildet die vollständige Identität. Angenommen, der Inhaber eines ePA - als Beispiel für eine eID-Lösungmöchte sich gegenüber einem Dritten - also einem Dienstanbieteridentifizieren, dazu aber nicht mehr Attribute preisgeben als erforderlich: Die dazu erforderliche Verwaltung von Pseudonymen und partiellen Identitäten heißt IDM. Jugendschutzsysteme benötigen zum Beispiel nur das Attribut „Alter“ bzw. die Information, ob ein Nutzer über 18 Jahre alt ist oder nicht. Der Chip des ePA wird von einem Lesegerät ausgelesen. Das setzt voraus, dass das Lesegerät an einen Rechner angeschlossen ist, der unter der Kontrolle des Nutzers sein kann - aber nicht muss. Chip, Lesegerät und Rechner bilden damit die Anwenderseite. Über ein Rechnernetz, wie z.B. das Internet, wird eine Verbindung zu weiteren Komponenten hergestellt. Als derzeit gängige Anwendung des IDMs ist das Single Sign On zu nennen. Der Nutzer identifiziert sich dabei einmalig und kann dann verschiedene Dienste nutzen.

2.2 Elektronische Identifikatoren (eIDs)

Unter eIDs werden Lösungen verstanden, die die „Identität einer natürlichen oder juristischen Person beim Zugang zu elektronischen Diensten garantieren und das Vertrauen der an einer elektronischen Transaktion beteiligten Personen herstellen.“ (Meints et al. 2006, S. 560ff)

Seite 2

Wurden bisher im Internet vor allem Lösungen geschafften, die auf Wissen basierten - gemeint ist hier die Authentifizierung mit Username und Passwort -, „lässt sich in der Regel ein höheres Sicherheitsniveau und eine stärkere Bindung an eine Person durch die zusätzliche Überprüfung von Besitz erreichen.“ (Sorge et al. 2008, S. 337ff)

Chipkarten sind zum Beispiel ein geeignetes Mittel dafür. Das trifft auch auf elektronische Ausweise wie den ePA zu, der einen RFID (Radio-Frequency Identification) Chip enthält und im Folgenden genauer vorgestellt wird.

Abb.: 2-1 Der Aufbau des elektronischen Personalausweises (vgl. BSI 2010a)

2.3 Der elektronische Personalausweis

2.3.1 Aufbau und Daten

Seit 1. November 2010 wird in Deutschland der neue ePA an die Bürger vergeben. Das moderne Identifikationsdokument löst damit den bisherigen Personalausweis ab. Der alte Ausweis behält bis zum jeweiligen Ablaufdatum seine Gültigkeit. Ein vorzeitiger Wechsel zum neuen Personalausweis ist jederzeit möglich. (vgl. Schmeh 2009, S. 140) Der elektronische Ausweis ist genau wie der bisherige Ausweis zehn Jahre gültig. Für Personen unter 24 Jahren beträgt die Gültigkeitsdauer sechs Jahre. (vgl. PersAuswG 2009, S.1349).

Abbildung 2-1 zeigt ein Muster des neuen Ausweises. Verändert hat sich bei dem neuen Ausweis optisch zunächst einmal die Größe: Das neue Ausweisdokument wird in Scheckkartenformat ID-1 ausgeliefert. Im Inneren des Ausweises ist ein kontaktloser RFID-Chip untergebracht, auf dem Informationen über die Identität des Inhabers gespeichert sind. (vgl. Fraunhofer 2009) Auf dem Chip des Ausweises befinden sich Daten zum Familienname, Geburtsname, Vorname(n), Doktorgrad, Geburtstag, Geburtsort, Lichtbild, Anschrift, Staatsangehörigkeit, Seriennummer, Ordensname und Künstlername. Die Daten auf dem Chip können elektronisch abgefragt werden. Das ist im § 18 des Personalausweisgesetzes (PersAuswG) geregelt.

Seite 3