Zusammenfassung

15 Fragen und Antworten rund um den eID-Service

06.02.2012
Können Diensteanbieter den eID-Service im Vorfeld testen? Solche und 14 weitere Fragen und Antworten zum eID-Service finden Sie in diesem Artikel.

Bei dem eID-Service handelt es sich um eine neue Technologie. Wie kann ein Diensteanbieter sicher sein, dass der Service hält, was er verspricht?

Die Bundesdruckerei hat bereits erfolgreich einen umfangreichen Anwendungstest durchgeführt und ihren eID-Service für über 40 Firmen und Institutionen bereitgestellt.

Woher bezieht ein interessierter Diensteanbieter weitere Informationen zum eID-Service?

Der Diensteanbieter kann die Experten der Bundesdruckerei unter der Rufnummer +49 (0)30–2598-0 oder per Mail an info@bundesdruckerei.de kontaktieren. Allgemeine Informationen zum eID-Service stehen auf folgenden Seiten zur Verfügung: www.bundesdruckerei.de, www.personalausweisportal.de

Welche IT-Komponenten benötigt ein Diensteanbieter, wenn er die Online-Ausweisfunktion (eID-Funktion) in sein Angebot integrieren möchte?

Der Diensteanbieter tauscht mittels Webservice-Kommunikation Daten mit der Bundesdruckerei aus. Dafür erhält er neben der Schnittstellen-Beschreibung auch eine Beispiel-Implementation.

Welche Voraussetzungen müssen Unternehmen oder Behörden (Diensteanbieter) erfüllen, um eine Berechtigung für die Nutzung der Online-Ausweisfunktion in ihrem Angebot zu erhalten?

Die Berechtigung wird auf Antrag durch die Vergabestelle für Berechtigungszertifikate (VfB), ein Referat des Bundesverwaltungsamts, mittels Berechtigungsbescheid erteilt. Im Antragsverfahren sind vom Anbieter verschiedene Unterlagen und Informationen einzureichen, wie z. B. der Nachweis, inwieweit die Daten, die der Diensteanbieter auslesen möchte, für sein Angebot erforderlich sind. Der erteilte Bescheid der VfB ist maximal drei Jahre gültig.

Welche Vorteile hat ein eID-Service gegenüber einem vom Diensteanbieter selbst betriebenen Server?

Sollte ein Diensteanbieter einen eigenen Server betreiben wollen, muss er die strengen Anforderungen erfüllen, die in der Technischen Richtlinie BSI TR-03127 "Architektur elektronischer Personalausweis und elektronische Aufenthaltstitel" des Bundesamts für Sicherheit in der Informationstechnik (BSI) dargestellt sind. Das wäre mit einem erheblichen personellen und materiellen Aufwand verbunden. Daher entscheiden sich viele für den so genannten eID-Service, den akkreditierte Zertifizierungsdiensteanbieter (ZDA ) wie D-TRUST, das Trustcenter der Bundesdruckerei, bereitstellen. Die Vorteile auf einen Blick:

Welche Berechtigungszertifikate braucht ein Diensteanbieter, um die Online-Ausweisfunktion in sein Angebot zu integrieren?

Sobald die Vergabestelle für Berechtigungszertifikate die Berechtigungerteilt hat, kann die Behörde oder das Unternehmen einen individuellen Bereitstellungsvertrag mit einer Berechtigungs-CA (BerCA) abschließen: D-TRUST , das Trustcenter der Bundesdruckerei, ist eine solche BerCA. Die Berechtigungszertifikate authentifizieren den Diensteanbieter gegenüber dem Ausweisinhaber. Sie sind nur wenige Tage gültig und werden automatisch regelmäßig erneuert.

Wie hoch sind die Kosten für den Diensteanbieter?

Die Kosten für die Anbindung eines eID-Service können in Abhängigkeit von den konkreten Anforderungen des Kunden und der vorliegenden IT- Infrastruktur variieren. Der Diensteanbieter kann bei der Bundesdruckerei ein individualisiertes Angebot erfragen.

Welche Leistungen übernehmen eID -Service-Anbieter für staatliche Stellen und privatwirtschaftliche Unternehmen, die den neuen Personalausweis online als Authentifizierungsdokument akzeptieren?

Der eID-Service-Anbieter liest die für den Diensteanbieter freigegebenen Daten aus dem neuen Personalausweis aus. Diese Freigabe ist abhängig von den Vorgaben der Vergabestelle für Berechtigungszertifikate (VfB), von den Anforderungen des Diensteanbieters und natürlich vom Inhaber des Ausweises, der jede Datenübermittlung mit seiner eID-PIN autorisieren muss.

Was passiert bei Verdacht auf Datenmissbrauch?

Datenmissbrauch läge vor, wenn der Diensteanbieter sein Berechtigungszertifikat für Geschäfte nutzen würde, die er zuvor bei der Beantragung der Berechtigung nicht genannt hat, oder wenn er die Kundendaten an Dritte weitergeben würde. Die Vergabestelle für Berechtigungszertifikate kann bei Verdacht auf Datenmissbrauch die Berechtigung widerrufen. Die technischen Berechtigungszertifikate der ZDA sind nur zwei Tage gültig und würden in diesem Fall nicht erneuert werden.

Was passiert, wenn ein Nutzer sich weigert, vom Diensteanbieter abgefragte Datenkategorien freizugeben?

In diesem Fall werden die Daten nicht ausgelesen und nicht übermittelt, denn der Inhaber des neuen Personalausweises muss die Datenübermittlung mit seiner PIN bestätigen und ihr so zustimmen. Grundsätzlich besitzt der Diensteanbieter eine Berechtigung der Vergabestelle für Berechtigungszertifikate für die Abfrage bestimmter Daten. Wenn der Ausweisinhaber diese nicht vollständig übermitteln möchte, entscheidet der Diensteanbieter, ob er den Vorgang fortsetzen möchte oder nicht.

Wie finden Diensteanbieter einen leistungsfähigen eID-Service-Anbieter?

Auf der Website www.personalausweisportal.de sind die verfügbaren eID-Service-Anbieter aufgeführt.

Für welche Branchen bietet der eID-Service der Bundesdruckerei seine Leistungen an?

Grundsätzlich können Unternehmen aus allen Branchen, die für ihr Internetangebot die Online-Ausweisfunktion anbieten möchten, den eID-S ervice der Bundesdruckerei nutzen.

Welche Vorteile hat das Integrieren der Online-Ausweisfunktion (und damit verbunden das Anbinden an einen eID -Service) gegenüber der Verwendung von Passwort und PIN für Online-Angebote?

Das Nutzen der Online-Ausweisfunktion hat sowohl für den Bürger als auch für den Diensteanbieter entscheidende Vorteile:

Können Diensteanbieter den eID-Service im Vorfeld testen?

Ja, die Möglichkeit besteht in verschiedenen Phasen des Projekts. Wenn sich ein Diensteanbieter für die Anbindung eines eID-Service interessiert, empfiehlt die Bundesdruckerei zunächst den Einsatz in einer Testumgebung: Dabei wird der Kanal für den Datenaustausch zwischen Diensteanbieter und Bundesdruckerei bereits abgebildet. Vordefinierte Nachrichten und Fehlercodes werden versendet, sodass sich der Diensteanbieter auf die Liveschaltung umfassend vorbereiten kann. Beispielsweise werden folgende Szenarien durchgespielt: Der Ausweisinhaber gibt die falsche PIN ein oder erteilt keine Datenfreigabe.

Identitätskarten kommen in der Testumgebung nicht zum Einsatz. Dies findet im Rahmen eines Tests in der so genannten Referenzumgebung statt. Ein Testlauf in der Referenzumgebung entspricht zu nahezu 100 Prozent der tatsächlichen Umsetzung und ist beispielsweise für das Vorführen der eID-Service-Anwendung innerhalb des Unternehmens zu empfehlen. Grundsätzlich ist es möglich, bereits nach der Probe in der Testumgebung den eID-Service livezuschalten.

Datenschutz spielt für Diensteanbieter eine besondere Rolle. Wie werden bei Anwendung der Online-Ausweisfunktion Datenschutz und Datensicherheit gewährleistet?

Der neue Personalausweis bietet maximale Sicherheit für die Daten des Bürgers. Er schützt vor Identitätsdiebstahl und verhindert mithilfe von Sicherheitsprotokollen und -mechanismen, dass Unbefugte Informationen unberechtigt auslesen, kopieren oder verändern können. Bevor Daten übertragen werden, prüft der Ausweis, ob der anfragende Dienst oder die anfragende Behörde dazu berechtigt sind, diese Informationen abzufragen. Ein unbemerktes Auslesen der Daten ist nicht möglich.

Darüber hinaus sind alle Informationen und Übertragungen mit international anerkannten und etablierten technischen Verfahren (Verschlüsselung und Signatur) geschützt. Auch im Internet sind die persönlichen Informationen des Bürgers sicher: Nur wer den Ausweis besitzt und die sechsstellige PIN kennt, kann Informationen zur Übermittlung freigeben. Daten werden nur zwischen dem Ausweisinhaber und dem Diensteanbieter ausgetauscht. Das Gesamtsystem, das die Daten des neuen Personalausweises vor unberechtigten Zugriffen schützt, ist auf einem sehr hohen technischen Sicherheitsniveau. Auch der Chip genügt höchstmöglichen Sicherheitsstandards. Das konkrete Niveau der Sicherheit hängt ebenso wie bei anderen Anwendungen, etwa dem Online-Banking oder Internetshopping, von der Computerumgebung des Nutzers ab.

Dieser Beitrag ist ein Auszug aus dem eID-Service Pocketguide - bereitgestellt mit freundlicher Genehmigung der Bundesdruckerei.