Die im Hintergrund ablaufenden technischen Prozesse sind vollständig automatisiert. Dank eines im hohen Maße selbsterklärenden Verfahrens und der intuitiven Benutzerführung können sowohl Bürger als auch Anbieter die Funktionen des neuen Personalausweises online wie offline unkompliziert nutzen. Drei Beispiele zeigen, was dabei im Detail passiert.
Identifikation personenbezogener Daten
Frau Mustermann eröffnet ein Konto
Um ein Konto bei einer Bank eröffnen zu können, müssen Kunden sich bei dem Kreditinstitut mit einem hoheitlichen Identitätsdokument ausweisen. Das ist in Deutschland im Geldwäschegesetz und in der Abgabenverordnung verbindlich festgeschrieben. Bislang suchten Kunden dafür direkt eine Filiale auf, wo ein Kundenberater ihre persönlichen Daten anhand des Dokuments in die entsprechenden Bankformulare eintrug. Einzige Alternative zum Termin bei der Bank war das Postident-Verfahren, bei dem man sich statt zur Bank zur örtlichen Postfiliale begeben musste. Mit der Online-Ausweisfunktion, deren Nutzung immer mehr Finanzdienstleister auf ihren Websites anbieten, lässt sich dieses Prozedere deutlich bequemer und kundenfreundlicher gestalten.
Eine Kundin, im Folgenden Erika Mustermann genannt, hat zunächst im örtlichen Einwohnermeldeamt ihre Online-Ausweisfunktion freischalten lassen und auf ihrem PC die AusweisApp installiert. Zusätzlich hat sie sich im Handel ein vom BSI zugelassenes Komfortlesegerät besorgt und an ihren PC angeschlossen. Sie ruft am Rechner die Seite ihrer künftigen kontoführenden Bank auf und sieht dort nach, ob und für welche Geschäfte das Institut die Identifikation mit dem elektronischen Identitätsnachweis anbietet.
Anhand des angezeigten Zertifikats stellt Frau Mustermann fest, dass das Unternehmen eine Berechtigung für Kontoeröffnungen mithilfe des neuen Personalausweises erhalten hat: Die Bank darf auf die Datenkategorien Familienname und Vorname, Tag und Ort der Geburt, Anschrift sowie auf die Wohnortverifikation zugreifen, sofern der Bürger, in diesem Fall Frau Mustermann, es zulässt.
Frau Mustermann klickt sich nun durch das Produktangebot der Bank und wählt ein spezielles Privatkonto aus. Auf dem Bildschirm erscheint eine Aufforderung, sich für eine Anfrage zur Kontoeröffnung mithilfe eines ID-Dokuments mit Online Ausweisfunktion zu erkennen zu geben. Dafür legt Frau Mustermann ihren Ausweis auf das Lesegerät, damit die Daten auf dem integrierten Chip ausgelesen werden können. Noch bevor der Ausleseprozess startet, prüft der eID-Server als Vermittlungsinstanz zwischen Nutzer und Anbieter, ob die Bank das nötige Berechtigungszertifikat für die Abfrage der Daten hat.
Am PC von Frau Mustermann erscheint eine Maske mit den vom Diensteanbieter gewünschten Daten. Frau Mustermann wählt die Informationen ab, die sie nicht übermitteln möchte, und schaltet ihre Auswahl durch Eingeben der PIN zur Übermittlung an den eID-Server frei.
Über PACE- und EAC-gesicherte Verbindungen werden die Daten aus dem Chip gelesen und an den Diensteanbieter in einem SAM L 2.0 Token sicher übermittelt. Für die Kundin ist der Prozess damit vorerst abgeschlossen. Sie nimmt ihren Ausweis vom Lesegerät, wählt bei Bedarf besondere Optionen für ihr Konto in der Online-Anfrage der Bank aus und schickt sie per Mausklick ab. Jetzt kann das Kreditinstitut ihre Anfrage bearbeiten und davon ausgehen, dass die Identität seiner potenziellen Kundin korrekt ist.
Online-Authentisierung mithilfe von Restricted Identification
Frau Mustermann tritt in einem sozialen Netzwerk unter einem Pseudonym auf
Wer häufig auf Online-Portalen oder in sozialen Netzwerken unterwegs ist, kennt das Problem: Als Nutzer muss man sich eine Vielzahl von Passwörtern und Benutzernamen merken, um sich auf diesen Websites einloggen zu können. Die Online-Ausweisfunktion des neuen Personalausweises eröffnet Frau Mustermann auch hier eine Möglichkeit, sich den Alltag zu erleichtern.
Mithilfe der Pseudonymfunktion kann sie sich in Portale einloggen, ohne dabei persönliche Daten angeben zu müssen. Wie genau sie dabei vorgeht, hängt vom Angebot des jeweiligen Diensteanbieters ab. Dieser kann innerhalb eines gewissen Rahmens selbst festlegen, wie das Verfahren zum Einloggen mithilfe der Pseudonymfunktion gestaltet sein soll. Zur Illustration der Mechanik wird daher im Folgenden nur ein fiktiver, beispielhafter Vorgang beschrieben.
Frau Mustermann möchte in einem sozialen Netzwerk ihre Identität schützen. Dafür prüft sie zunächst auf dessen Website anhand des dort einsehbaren Zertifikats, ob der Diensteanbieter die Online-Ausweisfunktion unterstützt und auch den Einsatz der Pseudonymfunktion akzeptiert. Ist das der Fall, wählt sie im Menü des Diensteanbieters die Option "Anmelden" aus. Sie legt, sobald die entsprechende Aufforderung am Bildschirm erscheint, ihren neuen Personalausweis auf das Lesegerät. Der eID-S erver prüft zunächst, ob der Diensteanbieter alle nötigen aktuellen Zertifikate für den Anmeldeprozess besitzt. Erfüllt er die Voraussetzungen, wird Frau Mustermann zur Eingabe ihrer persönlichen eID- PIN aufgefordert. Erst wenn sie diese eingetippt hat, liest das Lesegerät ihre Daten aus.
Auf einer Bildschirmmaske wählt Frau Mustermann daraufhin bis auf die Pseudonymfunktion alle Kategorien ab: Je nachdem, auf was für einem Portal sie sich anmelden möchte, kann sie auf die Preisgabe persönlicher Daten vollständig verzichten. Soweit der Diensteanbieter eine Anmeldung allein über ein Pseudonym zulässt, schaltet Frau Mustermann durch Eingabe der eID- PIN die Kategorie "Pseudonym" zur Übertragung an den eID-S erver frei. So ist sichergestellt, dass dieses Netzwerk Frau Mustermanns Chip jederzeit wiedererkennen kann - ohne dass die Ausweisinhaberin dafür persönliche Daten freigeben müsste.
Da das Pseudonym vom eID-Server individuell für dieses spezielle Angebot erzeugt wurde, kann das soziale Netzwerk auch keinerlei Abgleich mit weiteren Pseudonymen desselben Nutzers für andere Anbieter durchführen. Frau Mustermanns Identität ist so gut wie derzeit technisch möglich geschützt: Sofern sie beim Surfen im sozialen Netzwerk nicht selbst Angaben über sich macht, die diese Identität enthüllen, bleibt sie für den Diensteanbieter und andere Nutzer anonym. Loggt Frau Mustermann sich das nächste Mal in das Netzwerk ein, wiederholt sie den beschriebenen Vorgang einfach - das authentisierte Terminal des Anbieters erkennt sie automatisch wieder.
Dieses Verfahren vereinfacht nicht nur für die Nutzer, sondern auch für den Diensteanbieter die Abläufe: Weil es zum Beispiel überflüssig wird, vergessene Passwörter oder Benutzernamen zurückzusetzen, sinkt der administrative Aufwand. Diensteanbieter können glaubhaft darauf verweisen, dass sie den Datenschutzbestmöglich gewährleisten und ihr Angebot strengsten Anforderungen an die Sicherheit gerecht wird.
Altersverifikation beim Online-Kauf
Frau Mustermann bestellt Wein über das Internet
Ob ein Nutzer, der im Netz Spirituosen, Filme für Erwachsene oder ähnliche Produkte bestellt, die Altersvorgaben dafür erfüllt, lässt sich für Anbieter nur schwer überprüfen. Meist müssen sie sich auf die Ehrlichkeit ihrer Kunden verlassen. Die Online-Ausweisfunktion des neuen Personalausweises macht eine sichere Altersverifikation für die Anbieter deutlich einfacher.
Der Online-Shop, bei dem Frau Mustermann Wein bestellt, hat bei einem Zertifikateanbieter ein Berechtigungszertifikat dafür erworben, neben Namen und Adresse auch die Volljährigkeit seiner Kunden per Online-Ausweisfunktion überprüfen zu können. Statt des genauen Geburtsdatums übermittelt der eID-Server in diesem Fall bei Bestellungen nur, ob die Altersvorgabe erfüllt wird oder nicht.
Wie in den bereits erläuterten Beispielen wählt Frau Mustermann zunächst ein Angebot aus, in diesem Fall eine Kiste Wein. Sie legt, sobald die entsprechende Aufforderung am Bildschirm erscheint, ihren neuen Personalausweis auf das Lesegerät. Der eID-Server prüft zunächst, ob der Diensteanbieter alle nötigen aktuellen Zertifikate für die Datenübermittlung besitzt. Auf der Bildschirmmaske erscheinen jetzt diejenigen Datenkategorien, die der Weinhändler gerne abrufen möchte.
Frau Mustermann wählt diejenigen ab, die sie nicht übermitteln möchte, und gibt ihre persönliche eID- PIN über die Tastatur ein. Über PACE- und EAC-gesicherte Verbindungen werden die Daten aus dem Ausweis ausgelesen. Der Weinhändler erhält die Daten in einem SAML 2.0 Token vom eID-Service. Jetzt kann der Anbieter mit großer Sicherheit darauf vertrauen, dass Frau Mustermann die Altersgrenze für den Erwerb von Alkohol bereits erreicht hat. Sobald ihre Bestellung abgeschlossen ist, kann der Händler die Ware versenden.
Dieser Beitrag ist ein Auszug aus dem eID-Service Pocketguide - bereitgestellt mit freundlicher Genehmigung der Bundesdruckerei.