Bei der Einführung elektronischer Ausweisdokumente stellt sich nicht nur die Frage, wie hoch die Akzeptanz elektronischer Funktionen sowohl auf der Seite der Bürger, als auch auf der Seite der Unternehmen sein wird, sondern auch, ob das Vertrauen in diese Technik groß genug ist, so dass der Bürger bspw. die Unterschrift unter den Kaufvertrag eines Autos über eine qualifizierte elektronische Signatur vom heimischen PC aus tätigt. Um eine möglichst breite Akzeptanz zu schaffen ist es daher wichtig, dass die Anwendungen problemlos funktionieren und es genügend Anwendungsmöglichkeiten, gerade auch in der privaten Wirtschaft gibt. Dies versucht das Bundesministerium des Innern (BMI) schon frühzeitig durch einen zentral koordinierten Anwendungstest für den neuen Personalausweis sicherzustellen. Das Ziel besteht darin, Probleme bereits vor der Einführung aufzudecken und auszuräumen, sowie den Bürgern bereits zum Start des neuen Personalausweises differenzierte Einsatzmöglichkeiten zu bieten. Teilnehmer an diesem Anwendungstest sind u.a. große deutsche Unternehmen wie Siemens, Allianz oder auch T-Systems.
Das Ziel dieser Arbeit ist es, mögliche Anwendungsbereiche des neuen Personalausweises in der privaten Wirtschaft aufzuzeigen. Hierzu wird zunächst auf den Aufbau des Ausweises, den damit verbundenen neuen Funktionen und auf die implementierten Sicherheitsmechanismen eingegangen. Danach erfolgt eine Beschreibung einzelner ausgewählter Anwendungsbereiche. Im Anschluss daran findet eine Bewertung der Vor- und Nachteile des Einsatzes des neuen Personalausweises sowohl aus der Sicht der Kunden, als auch aus der Sicht der privaten Wirtschaft statt.
Inhaltsverzeichnis
1 Einleitung
2 Grundlagen
2.1 Funktion
2.2 Spezifikationen
2.2.1 Ausweisformat
2.2.2 Ausweiszonen
2.2.3 RF-Chip
2.2.4 Anwendungen
2.2.4.1 Biometrieanwendung
2.2.4.2 eID
2.2.4.3 QES
2.2.5 Spezielle Funktionen
2.3 Lesegeräte
2.4 Rechtliche Voraussetzungen
3 Sicherheitsmaßnahmen
3.1 Physikalische Sicherheitsmerkmale
3.2 Biometrische Sicherheitsmerkmale
3.3 Kryptografische Sicherheitsmerkmale
3.3.1 Zertifikate
3.3.2 Public Key Infrastructure
3.3.3 Password Authenticated Connection Establishment
3.3.4 Extended Access Control
3.3.4.1 Terminal Authentication
3.3.4.2 Chip Authentication
3.3.5 Passive Authentication
3.3.6 Restricted Identification
3.4 Zugriffsrechte
3.5 Terminaltypen
3.6 Passwörter
3.7 Sperrmechanismen
4 Authentisierung
4.1 Diensteanbieter
4.2 Bürgerclient
4.3 eID-Server
4.4 Ablauf
5 Anwendungsbereiche in der privaten Wirtschaft
5.1 Mobile Anwendungen
5.1.1 NFC
5.1.2 Automobile
5.2 Personenverkehr
5.2.1 Fluggastabfertigung
5.2.2 E-Ticketsystem
5.3 Internetanwendungen
5.3.1 Foren
5.3.2 Soziale Netzwerke
5.3.3 Kundenportale
5.3.4 Zugang zu jugendgefährdenden Seiten
5.3.5 Online-Kontoeröffnung
5.3.6 Online-Versicherungsbeantragung
5.4 Handel
5.4.1 Onlineshops
5.4.2 Kundenkarten
5.4.3 Automaten
5.5 Sonstige Anwendungsbereiche
5.5.1 Versicherungsbeantragung
5.5.2 SB-Terminals
5.5.3 Dienstausweise
6 Bewertung
6.1 Sicherheit gegenüber Angriffen
6.2 Verschlüsselung
6.3 Sperrlisten
6.4 Datenqualität
6.4.1 Fehlerhafte Daten
6.4.2 Fehlende Daten
6.4.2.1 Personenbezogene Daten
6.4.2.2 QES
6.4.2.3 Postleitzahl
6.5 Anwendungstest
6.6 Datenschutz
6.7 Datensicherheit
6.8 Kosten
6.8.1 Für den Kunden
6.8.2 Für die private Wirtschaft
6.9 Risiken
6.9.1 Für den Kunden
6.9.2 Für die private Wirtschaft
6.10 Nutzen
6.10.1 Für den Kunden
6.10.2 Für die private Wirtschaft
7 Fazit
Zielsetzung & Themen
Die Arbeit untersucht das Potenzial und die praktischen Anwendungsbereiche des neuen Personalausweises außerhalb von E-Government-Prozessen in der privaten Wirtschaft. Ziel ist es, aufzuzeigen, wie durch eine sichere elektronische Identifikation und Authentifizierung Geschäftsprozesse optimiert, Medienbrüche vermieden und die Datenqualität erhöht werden kann, unter Berücksichtigung von Sicherheitsaspekten und Akzeptanzfaktoren.
- Grundlagen des neuen Personalausweises (Technik, RF-Chip, Sicherheitsmerkmale)
- Sicherheitsarchitektur und Datenschutzmechanismen (PKI, PACE, EAC, Zertifikate)
- Anwendungsfelder in Mobilität, Handel, Internet und Versicherungen
- Bewertung von Sicherheit, Kosten, Risiken und Nutzen für Kunden und Unternehmen
- Praxiserfahrungen durch den zentral koordinierten Anwendungstest des BMI
Auszug aus dem Buch
3.3.2 Public Key Infrastructure
Mithilfe einer PKI können digitale Zertifikate ausgestellt, signiert, verteilt und vor allem überprüft werden. Für den neuen Personalausweis lassen sich grundsätzlich zwei PKIs unterscheiden. Damit die Daten im Personalausweis signiert und damit deren Authentizität und Integrität gesichert werden können, wird die Country Signer Certificate Authority (CSCA) vom BSI betrieben (vergleiche Abbildung 3). Die CSCA bildet die Wurzel-Zertifizierungsstelle einer zweistufigen PKI. Sie erstellt regelmäßig entsprechende Wurzelzertifikate. Mit den privaten Schlüsseln dieser Wurzelzertifikate werden dann die Zertifikate des Document Signer (DS) signiert. Die Document Signer Zertifikate werden vom Pass- und Ausweishersteller genutzt. In Deutschland erfüllt diese Aufgabe nur die Bundesdruckerei. Mithilfe des, im Document Signer Zertifikat enthaltenen, privaten Schlüssel werden die Daten der erstellten Personalausweise signiert. Sowohl das CSCA-Zertifikat, als auch das DS-Zertifikat werden zur Überprüfung der Zertifikatskette im Personalausweis gespeichert.
Damit ein Zugriffsschutz auf die einzelnen Anwendungen des neuen Personalausweises stattfinden kann, wird vom BSI noch eine zweite PKI betrieben. Innerhalb dieser PKI werden Zertifikate vergeben, welche entsprechende Zugriffsberechtigungen enthalten. Die PKI ist in insgesamt drei Stufen unterteilt, wobei die Country Verifying Certificate Authority (CVCA) die Wurzel-Zertifizierungsstelle bildet (vergleiche Abbildung 4). Sie erstellt regelmäßig entsprechende Wurzelzertifikate. Mit den privaten Schlüsseln dieser Wurzelzertifikate werden dann die Zertifikate der Document Verifier (DV) der einzelnen DV-Instanzen signiert. Nach den DV-Instanzen bilden die Terminals die dritte Stufe der PKI. Die DV-Instanzen sorgen dafür, dass die Terminals Berechtigungszertifikate für das Lesen des Personalausweises erhalten. Bei diesem Prozess werden auch die entsprechenden Zugriffsrechte auf die einzelnen Anwendungen des Personalausweises vergeben. Je nach Anwendungsbereich werden dabei unterschiedliche Document Verifier betrieben. Diese dienen der Qualitätssicherung beim Ausweishersteller, den Anwendungen in den Ausweisbehörden, dem hoheitlichen Kontrollwesen durch Polizei und Grenzkontrolle, der Zertifizierung von Signaturterminals und der Vergabe von Berechtigungs-CA für die jeweiligen Diensteanbieter.
Zusammenfassung der Kapitel
1 Einleitung: Die Einleitung beleuchtet die zunehmende Digitalisierung von Geschäftsprozessen und die Notwendigkeit, durch elektronische Identitätsausweise Medienbrüche zu vermeiden und Sicherheit zu gewährleisten.
2 Grundlagen: In diesem Kapitel werden der technische Aufbau des neuen Personalausweises, die Spezifikationen des RF-Chips, die verschiedenen Ausweiszonen sowie die für die Nutzung erforderlichen Lesegeräte und rechtlichen Rahmenbedingungen detailliert beschrieben.
3 Sicherheitsmaßnahmen: Das Kapitel erläutert umfassend die physischen, biometrischen und kryptografischen Sicherheitsmerkmale, die PKI-Strukturen, Zugriffsrechte sowie die Authentisierungsverfahren und Sperrmechanismen.
4 Authentisierung: Hier wird der Prozess der Online-Authentisierung, die Rolle von Diensteanbietern und eID-Servern sowie die Funktion des Bürgerclients als Schnittstelle zwischen Kunde und Anwendung dargestellt.
5 Anwendungsbereiche in der privaten Wirtschaft: Das Kapitel präsentiert konkrete Einsatzmöglichkeiten des Personalausweises, darunter mobile Anwendungen, Personenverkehr, Internetanwendungen und verschiedene Dienstleistungen in Handel und Versicherungswesen.
6 Bewertung: Es erfolgt eine detaillierte Analyse der Sicherheit, Verschlüsselung, Datenqualität, Kosten, Risiken und des Nutzens für Kunden und die Privatwirtschaft, basierend auf Ergebnissen des Anwendungstests.
7 Fazit: Die Arbeit fasst zusammen, dass der Personalausweis erhebliche Komfort- und Sicherheitsvorteile bietet, deren Erfolg jedoch maßgeblich von der Akzeptanz, der Lösung von Haftungsfragen und einer kontinuierlichen Sicherheitsanpassung abhängt.
Schlüsselwörter
Neuer Personalausweis, eID-Anwendung, Authentisierung, QES, Sicherheit, RF-Chip, PKI, Datenschutz, Digitale Signatur, Anwendungstest, Bürgerclient, RFID, Altersverifikation, Private Wirtschaft, Datensparsamkeit
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit analysiert die Möglichkeiten und Herausforderungen des Einsatzes des neuen Personalausweises (nPA) für Anwendungsbereiche außerhalb der öffentlichen Verwaltung, speziell in der privaten Wirtschaft.
Was sind die zentralen Themenfelder der Publikation?
Die zentralen Themen umfassen die technischen Grundlagen des nPA, die Sicherheitsarchitektur (insbesondere PKI und Kryptografie), die praktische Anwendung in verschiedenen Branchen sowie eine kritische Bewertung von Nutzen, Kosten und Risiken.
Was ist das primäre Ziel der Untersuchung?
Ziel ist es, aufzuzeigen, wie Unternehmen den neuen Personalausweis nutzen können, um Geschäftsprozesse durch sichere elektronische Identifizierung und rechtsverbindliche Signaturen effizienter und medienbruchfrei zu gestalten.
Welche wissenschaftliche Methode wird in der Arbeit verwendet?
Die Arbeit basiert auf einer theoretischen Aufarbeitung der technischen Richtlinien und Konzepte (z.B. vom BSI) sowie der Analyse von Ergebnissen und Erkenntnissen aus dem zentral koordinierten Anwendungstest des BMI mit verschiedenen Unternehmen.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in technische Grundlagen, die Sicherheits- und PKI-Architektur, die Funktionsweise der Authentisierung, eine detaillierte Auflistung von Anwendungsbereichen (von Mobile bis Handel) sowie eine umfassende Bewertung dieser Aspekte.
Welche Schlüsselwörter charakterisieren die Arbeit am besten?
Neuer Personalausweis, eID, Sicherheit, Datenschutz, PKI, Bürgerclient, Authentisierung, QES, private Wirtschaft und Anwendungstest.
Welche Bedeutung hat das Zertifikate-Management für die Sicherheit?
Zertifikate dienen der Beglaubigung öffentlicher Schlüssel und sind essenziell, um die Vertrauenswürdigkeit der Kommunikation zwischen dem Ausweis, den Terminals und den Dienstanbietern sicherzustellen und Zugriffsrechte zu steuern.
Warum ist die Unterscheidung zwischen hoheitlichen und nicht-hoheitlichen Aufgaben wichtig?
Diese Unterscheidung regelt, wer (z.B. Polizei vs. Online-Shop) auf welche Daten zugreifen darf. Nicht-hoheitliche Stellen erhalten nur eingeschränkte Berechtigungen, um den Datenschutz gemäß der Datensparsamkeit zu wahren.
Was ist die Rolle des Bürgerclients?
Der Bürgerclient fungiert als clientseitige Software auf dem Rechner des Kunden. Er ermöglicht die sichere Kommunikation zwischen dem Kartenlesegerät und dem eID-Server und dient der Interaktion mit dem Nutzer, beispielsweise zur Freigabe von Daten.
Welche Rolle spielt die Altersverifikation in der privaten Wirtschaft?
Sie ermöglicht es Unternehmen, rechtssicher zu prüfen, ob Kunden ein bestimmtes Alter erreicht haben (z.B. für den Erwerb von FSK-18-Medien), ohne dass dabei das vollständige Geburtsdatum oder andere unnötige Daten übermittelt werden müssen.
- Arbeit zitieren
- Patrick Offer (Autor:in), 2010, Der neue Personalausweis abseits des E-Governments, München, GRIN Verlag, https://www.hausarbeiten.de/document/164255
