STRATEGIE17. August 2020

Der mobile Personalausweis kommt! Das Identity-Interview mit Dr. Matthias Schwan, Bundesdruckerei

Der mobile Personalausweis kommt! Das Identity-Interview mit Dr. Matthias Schwan, Bundesdruckerei
Dr. Matthias Schwan, BundesdruckereiBundesdruckerei

Mobile Identität, also der Personalausweis im Smartphone, ist ein Teilprojekt von OPTIMOS. Vor wenigen Wochen meldete Samsung (Pressemeldung, 23.07.2020), dass es geschafft sei. Rudolf Linsenbarth (IT Finanzmagazin) im Fachgespräch mit Dr. Matthias Schwan (Bundesdruckerei).

Herr Dr. Schwan, für einige Samsung-Geräte scheinen die Entwicklungen nun abgeschlossen zu sein. Ab wann wird der Bürger das nutzen können?

Derzeit arbeiten wir intensiv an der Produktentwicklung einer mobilen ID. Die technischen Voraussetzungen sind geschaffen. Bis zur Ausstellung und Nutzung des mobilen Personalausweises sind nun Zulassungsverfahren beim BMI und BSI zu durchlaufen. Einen genauen Zeitplan können wir daher aktuell nicht nennen.

Samsung deckt in Deutschland einen Marktanteil von gut 20% ab. Wie sieht es mit den anderen Herstellern aus? Was ist mit Huawei, Xiaomi und vor allem mit Apple?

Sofern Geräte weiterer Hersteller die technischen Voraussetzungen erfüllen, können diese ebenfalls verwendet werden. Gespräche werden mit vielen Anbietern geführt.

Wo werden jetzt die Personalausweisdaten gespeichert?

Die im Personalausweisgesetz beschriebenen personenbezogenen Daten der Online-Ausweisfunktion wie Name, Adresse und Geburtsdatum werden in der mobilen Variante im eID Applet des eSE gespeichert – genau wie im Chip des physischen Dokuments.

Zu berücksichtigen ist, dass es sich um ein ID-System auf substanziellem Vertrauensniveau handelt. Sollte ein Online-Dienst bzw. Service-Provider ein hohes Sicherheitsniveau fordern, wird der Nutzer aufgefordert, die Online-Ausweisfunktion mit dem physischen Dokument zu nutzen.”

In der Pressemeldung werden Samsung, BSI, Bundesdruckerei und Telekom als Partner in diesem Projekt genannt. Können Sie bitte kurz skizzieren, wer dabei welche Funktion übernimmt.

Samsung ist der erste reichweitenstarke OEM mit Anbindung an das Trusted Service Management System, kurz TSMS. Vom BSI kommen die Vorgaben zur IT-Sicherheit sowie zu den zu beachtenden Standards und Technischen Richtlinien. Die Bundesdruckerei als Produzent der Personalausweise übernimmt auch in der digitalen Ausprägung des Dokuments das Lifecycle-Management für das ID-System. T-Systems Security stellt das TSMS bereit.

Autor Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
In meinem Artikel zu Optimos 2 (zum Artikel…) hatte ich ja bereits grob angerissen, wie der Enrolment-Vorgang, also das Laden des Personalausweises in das Smartphone funktionieren könnte. Trifft diese Annahme den Weg zur mobilen Identität mit dem Personalausweis?

Ja, die Annahme ist grundsätzlich korrekt. Dahinter verbirgt sich ein Lifecycle-Management, das sich in die vier Phasen Provisionierung, Personalisierung, Nutzung und Verwaltung unterteilt.

Um den Ausweis in das Smartphone zu bekommen, braucht es neben den in der Pressemitteilung genannten Partnern zusätzlich noch den Betreiber eines eID-Servers. Wie ist in diesem Konstrukt für alle Beteiligten eigentlich das Geschäftsmodell? Soll der Bürger für den Ausweis im Smartphone extra bezahlen?

Im Rahmen des Förderprojekts OPTIMOS 2.0 des BMWi arbeiten Industrieunternehmen und Forschungseinrichtungen an der Definition und Umsetzung einer Provisionierungs-Infrastruktur für JavaCard Applets (das TSMS). Diese soll anwendungs- und herstellerübergreifend sowie diskriminierungsfrei zugänglich sein.

Ziel ist es, den mobilen Personalausweis als Teil des physischen Ausweises anzubieten.”

Der mobile Personalausweis auf dem Smartphone kann die Provisionierungs-Infrastruktur zur Umsetzung einer sicheren und einfachen Identifizierungs- und Authentifizierungslösung für private Online-Diensteanbieter und Verwaltungsanwendungen nutzen.

Samsung

Online-Dienste, die heute bereits die Online-Ausweisfunktion des physischen Ausweises über einen eID-Server integriert haben, können damit zusätzlich den mobilen Personalausweis als Identifizierungsmittel nutzen. Zudem können europäische Dienstanbieter, die an das eIDAS-Netzwerk angeschlossen sind, eine Identifizierung über den mobilen Personalausweis auf dem Vertrauensniveau “substanziell” anbieten. Die Geschäftsmodelle für das Betreiben eines eID-Servers bleiben unverändert.

Embedded Secure Elements und dazugehörige JavaCard Applets sind über mobile Identitäten hinaus für eine Reihe weiterer Anwendungen mit erhöhtem Sicherheitsbedarf interessant, so dass sich darüber der Betrieb des TSMS mitfinanziert.”

Wir haben bisher nur über die Speicherung im Secure Element unter Kontrolle des Smartphone Herstellers gesprochen. Es gibt ja auch Überlegungen, die Daten in der eUICC, also einem Speicherbereich, der unter der Hoheit der Mobilfunkunternehmen liegt, abzulegen. Wie weit ist hier die Entwicklung?

Die technische Umsetzung als Proof-of-Concept ist bereits erfolgt. Die App mit eID-Applet und Anbindung an den eID-Server konnte in Zusammenarbeit mit Mobilnetzbetreibern bereits auf Google Pixel Phones getestet werden. Bevor ein Betrieb im Feld erfolgen kann, müssen noch weitere technische und organisatorische Rahmenbedingungen geklärt werden.

Das derzeitige Problem für die Nutzung der eID-Funktion ist, dass es zu wenige Angebote gibt und die Bürger ihre Ausweis-PIN nicht kennen. Wie soll die mobile Identität hier Abhilfe schaffen?

Hier gibt es viele Möglichkeiten. So könnte das Neusetzen der Ausweis-PIN oder auch die Aktivierung einer deaktivierten Online-Ausweisfunktion des physischen Dokumentes zukünftig auch ohne Gang in die Meldebehörde erfolgen. Weiterhin wäre das Ausstellen des mobilen Personalausweises über die Online-Ausweisfunktion des physischen Ausweises und NFC-Schnittstelle des Smartphones alternativ auch vor Ort in der Behörde oder …

… in zusätzlichen Trustpoints wie Banken oder der Post denkbar.”

Diese Alternativen benötigen nicht die Kenntnis der Online-Ausweis-PIN oder den Besitz eines physischen Dokuments.

Am Konzept, dass nur Unternehmen mit einem Berechtigungszertifikat Ausweisdaten lesen können, soll aber auch in der mobilen Variante nicht gerüttelt werden?

Dieses Konzept ist für beide Seiten sinnvoll, für den Nutzer und für den Diensteanbieter. Unternehmen können durch die Novellierung des Personalausweisgesetzes 2017 – zusätzlich zum möglichen Betrieb eines eigenen eID-Servers oder der Anbindung an einen eID-Service – einen Identifizierungsdiensteanbieter, kurz IDA, nutzen. Ein Online-Dienst kann beispielsweise den IDA “AusweisIdent” über eine einfache OpenID-Connect-Schnittstelle einbinden. Die Ausweisdaten werden mit dem Berechtigungszertifikat des IDA gelesen. Ein individuelles Berechtigungszertifikat für die Nutzung der Online-Ausweisfunktion benötigt das Unternehmen in diesem Szenario nicht.

Wird es auch andere Wege der Provisionierung für eine mobile Identität als über eine Ableitung des Plastikausweises geben?

Auch hier gibt es viele Überlegungen und Möglichkeiten, die in der Entscheidungshoheit der Politik und zuständigen Behörden liegen. Daher sollte diese Frage eher an die entsprechenden hoheitlichen Stellen gerichtet werden.

Grundsätzlich wäre beispielsweise die Ausstellung des mobilen Personalausweises auch in der Meldebehörde oder weiterer Trustpoints denkbar. Vorstellbar wäre auch: Der Bürger müsste nicht notwendigerweise den Personalausweis zur Identifizierung vorlegen, sondern alternativ den Reisepass mit Meldebestätigung. Hiermit würden auch Bürger angesprochen werden, die derzeit keinen physischen Personalausweis besitzen. Der mobile Personalausweis würde damit zu einem eigenständigen digitalen Dokument mit eigener Gültigkeit. Er wäre zum Beispiel weiterhin gültig, auch wenn der physische Ausweis verlorenginge. Bürger könnten auch dann weiterhin Online-Dienste nutzen. Übrigens könnten zusätzliche mobile Personalausweise auf weitere Smartphones ausgestellt werden.

Wird die mobile Identität auch einen hoheitlichen Bereich enthalten, so dass diese zum Beispiel auch für eine Grenzkontrolle verwendet werden kann?

Bislang gibt es dazu keine konkreten Pläne. Der mobile Personalausweis setzt ausschließlich die Online-Ausweisfunktion um.”

Es gibt Überlegungen und Aktivitäten der Internationalen Zivilen Luftfahrtorganisation ICAO, den elektronischen Reisepass in Form von “Digital Travel Credentials” auch ohne physisches Passbuch etwa für die elektronische Beantragung von Einreisevisa oder die elektronische Grenzkontrolle verfügbar zu machen.

Wäre denn die Entwicklung einer hoheitlichen Mobile Identität eigentlich aufwändig, oder ist das mehr eine Frage des politischen Willens?

Auch diese Frage sollte eher an die entsprechenden hoheitlichen Stellen gerichtet werden.

Neben dem Personalausweis ist ja auch die Rede davon, weitere Ausweisdokumente wie Führerschein und Krankenversicherungskarte oder Auto- und Wohnungsschlüssel auf dem Mobiltelefon zu hinterlegen. Wie weit sehen Sie hier die Entwicklung?

Im BMWI-Projekt „Schaufenster sichere Digitale Identitäten“ plant die Bundesdruckerei in einem großen Konsortium zusammen mit der Ekom21 und dem Bundesland Hessen eine Ableitung des Führerscheins aus Fahrerlaubnisregistern in eine ID-Wallet des Smartphones. Grundlage sind bestehende internationale Standards für mobile Führerscheine, um eine internationale Interoperabilität zu ermöglichen. Die Bundesdruckerei arbeitet im Förderprojekt VEGA des Bundesgesundheitsministeriums an der Ableitung der elektronischen Gesundheitskarte auf das Smartphone unter Nutzung der Optimos-Technik.

Das Hinterlegen der verschiedenen behördlich und nicht-behördlich ausgegebenen Dokumente in einer ID-Wallet hätte den Vorteil, dass alle Dokumente gleich hohe Sicherheits- und Datenschutzanforderungen erfüllen.”

Zudem könnten Diensteanbieter in einem Identifizierungsvorgang etwa Daten aus dem mobilen Personalausweis, Führerschein und Fahrzeugschein anfragen – dies würde den Nutzerkomfort erhöhen.

Herr Dr. Schwan, vielen Dank für das Interview!Rduolf Linsenbarth

Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert