„16 Millionen digitale Identitäten gestohlen“, „Identitätsdiebstahl betrifft 3 Millionen Deutsche“ – nicht erst seit diesen Schlagzeilen ist deutlich geworden, dass digitale Identitäten gefährdet sind. Von den 1.500 Cyberangriffen, die im Jahr 2014 durchgeführt wurden (ein Anstieg zum Vorjahr um 49 Prozent!) zielten über 54 Prozent auf Identitätsdiebstahl ab, so eine Studie von SafeNet. Diese Ergebnisse zeigen einmal mehr sehr deutlich, wie wichtig der Schutz digitaler Identitäten inklusive der zugehörigen Zugangsdaten auch für interne Systeme ist.
Bereits seit 2010 steht mit der eID-Funktion des Personalausweises eine Infrastruktur zur Verfügung, die nicht nur eine 2-Faktor-Authentisierung – Besitz und Wissen – sondern auch eine gegenseitige Authentisierung ermöglicht. Hierfür benötigt man den Personalausweis mit aktivierter Online-Ausweisfunktion, eine Software, die der Bund kostenlos zur Verfügung stellt sowie auf Seiten des Anbieters einer Dienstleistung einen eingebundenen sog. eID-Server, der die vom Ausweis ausgelesenen Daten übergibt. Allerdings benötigt man für den Einsatz eines solchen eID-Servers eine Berechtigung, die vom Bundesverwaltungsamt erteilt wird. D. h. ich weise mit dem Besitz des Personalausweises und dem Wissen der von mir selbst vergebenen PIN nach, wer ich bin und Dienstleistungsanbieter (beispielsweise Behörden, Versicherungen, Banken, Online-Shops etc.) weisen sich mir gegenüber durch die Anzeige ihres Berechtigungszertifikates aus. Das klingt zunächst einmal kompliziert – ist es aber nicht. Die Implementierung eines eID-Servers ist nicht allzu aufwändig und es gibt am Markt einige eID-Service-Provider, die den Server für ihre Kunden betreiben und bei der Implementierung unterstützten, darunter beispielsweise die Bundesdruckerei oder die Governikus KG, die seit über 15 Jahren Sicherheitssoftware für Bund, Länder und Kommunen entwickelt.
DIE ZUKUNFT ELEKTRONISCHER IDENTITÄTEN
Mit der digitalen Agenda sowie dem E-Government-Gesetz hat der Gesetzgeber die Weichen gestellt, die Nutzung der Online-Ausweisfunktion zu vereinfachen. Darüber hinaus gibt es auf europäischer Ebene die Bestrebung, die vorhandenen eID-Infrastrukturen der einzelnen EU-Mitgliedstaaten so mit einander zu „verknüpfen“, dass eine EU-weite Nutzung möglich ist. Und hier liegt das Augenmerk natürlich auf der Nutzung im mobilen Umfeld.
Einen ersten Schritt hat das Bundesinnenministerium gemacht, indem die kostenlose Anwendung für die Nutzung – die AusweisApp2 –ab April auch für mobile Betriebssysteme zur Verfügung steht und genutzt werden kann. Richtig praktikabel wird dies allerdings erst, wenn bei sämtlichen mobilen Endgeräten die NFC-Schnittstellen freigegeben sind, solange wird ein externer Kartenleser benötigt. Darüber hinaus müssen auch die Webseiten der Dienstleistungen für die mobile Umgebung optimiert werden. Da ist sicherlich noch einiges zu tun, der Bund hat allerdings den ersten Schritt gemacht.
Sicherlich werden wir künftig auch mit sog. abgeleiteten Identitäten uns nur mit unserem Handy ausweisen können, wobei der Personalausweis dann bei der Erstauthentifizierung zum Einsatz kommt. Hier gibt es bereits mehrere Projekte, eines davon beispielsweise die FIDO-
Alliance, bei der sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stark engagiert.
»Der Personalausweis bietet auch für zukünftige Szenarien mit sogenannten abgeleiteten Identitäten, beispielsweise auf dem Smartphone, einen sicheren Schutz vor Identitätsdiebstahl.«
Petra Waldmüller-Schantz; Leitung PR, Governikus GmbH & Co. KG