Der mobile Personalausweis kommt! Das Identity-Interview mit Dr. Matthias Schwan, Bundesdruckerei

Mobile Identität, also der Personalausweis im Smartphone, ist ein Teilprojekt von OPTIMOS. Vor wenigen Wochen meldete Samsung (Pressemeldung, 23.07.2020), dass es geschafft sei. Rudolf Linsenbarth (IT Finanzmagazin) im Fachgespräch mit Dr. Matthias Schwan (Bundesdruckerei).

Herr Dr. Schwan, für einige Samsung-Geräte scheinen die Entwicklungen nun abgeschlossen zu sein. Ab wann wird der Bürger das nutzen können?

Derzeit arbeiten wir intensiv an der Produktentwicklung einer mobilen ID. Die technischen Voraussetzungen sind geschaffen. Bis zur Ausstellung und Nutzung des mobilen Personalausweises sind nun Zulassungsverfahren beim BMI und BSI zu durchlaufen. Einen genauen Zeitplan können wir daher aktuell nicht nennen.

Samsung deckt in Deutschland einen Marktanteil von gut 20% ab. Wie sieht es mit den anderen Herstellern aus? Was ist mit Huawei, Xiaomi und vor allem mit Apple?

Sofern Geräte weiterer Hersteller die technischen Voraussetzungen erfüllen, können diese ebenfalls verwendet werden. Gespräche werden mit vielen Anbietern geführt.

Wo werden jetzt die Personalausweisdaten gespeichert?

Die im Personalausweisgesetz beschriebenen personenbezogenen Daten der Online-Ausweisfunktion wie Name, Adresse und Geburtsdatum werden in der mobilen Variante im eID Applet des eSE gespeichert – genau wie im Chip des physischen Dokuments.

Zu berücksichtigen ist, dass es sich um ein ID-System auf substanziellem Vertrauensniveau handelt. Sollte ein Online-Dienst bzw. Service-Provider ein hohes Sicherheitsniveau fordern, wird der Nutzer aufgefordert, die Online-Ausweisfunktion mit dem physischen Dokument zu nutzen.”

In der Pressemeldung werden Samsung, BSI, Bundesdruckerei und Telekom als Partner in diesem Projekt genannt. Können Sie bitte kurz skizzieren, wer dabei welche Funktion übernimmt.

Samsung ist der erste reichweitenstarke OEM mit Anbindung an das Trusted Service Management System, kurz TSMS. Vom BSI kommen die Vorgaben zur IT-Sicherheit sowie zu den zu beachtenden Standards und Technischen Richtlinien. Die Bundesdruckerei als Produzent der Personalausweise übernimmt auch in der digitalen Ausprägung des Dokuments das Lifecycle-Management für das ID-System. T-Systems Security stellt das TSMS bereit.

In meinem Artikel zu Optimos 2 (zum Artikel…) hatte ich ja bereits grob angerissen, wie der Enrolment-Vorgang, also das Laden des Personalausweises in das Smartphone funktionieren könnte. Trifft diese Annahme den Weg zur mobilen Identität mit dem Personalausweis?

Ja, die Annahme ist grundsätzlich korrekt. Dahinter verbirgt sich ein Lifecycle-Management, das sich in die vier Phasen Provisionierung, Personalisierung, Nutzung und Verwaltung unterteilt.

Um den Ausweis in das Smartphone zu bekommen, braucht es neben den in der Pressemitteilung genannten Partnern zusätzlich noch den Betreiber eines eID-Servers. Wie ist in diesem Konstrukt für alle Beteiligten eigentlich das Geschäftsmodell? Soll der Bürger für den Ausweis im Smartphone extra bezahlen?

Im Rahmen des Förderprojekts OPTIMOS 2.0 des BMWi arbeiten Industrieunternehmen und Forschungseinrichtungen an der Definition und Umsetzung einer Provisionierungs-Infrastruktur für JavaCard Applets (das TSMS). Diese soll anwendungs- und herstellerübergreifend sowie diskriminierungsfrei zugänglich sein.

Ziel ist es, den mobilen Personalausweis als Teil des physischen Ausweises anzubieten.”

Der mobile Personalausweis auf dem Smartphone kann die Provisionierungs-Infrastruktur zur Umsetzung einer sicheren und einfachen Identifizierungs- und Authentifizierungslösung für private Online-Diensteanbieter und Verwaltungsanwendungen nutzen.

Online-Dienste, die heute bereits die Online-Ausweisfunktion des physischen Ausweises über einen eID-Server integriert haben, können damit zusätzlich den mobilen Personalausweis als Identifizierungsmittel nutzen. Zudem können europäische Dienstanbieter, die an das eIDAS-Netzwerk angeschlossen sind, eine Identifizierung über den mobilen Personalausweis auf dem Vertrauensniveau “substanziell” anbieten. Die Geschäftsmodelle für das Betreiben eines eID-Servers bleiben unverändert.

Embedded Secure Elements und dazugehörige JavaCard Applets sind über mobile Identitäten hinaus für eine Reihe weiterer Anwendungen mit erhöhtem Sicherheitsbedarf interessant, so dass sich darüber der Betrieb des TSMS mitfinanziert.”

Wir haben bisher nur über die Speicherung im Secure Element unter Kontrolle des Smartphone Herstellers gesprochen. Es gibt ja auch Überlegungen, die Daten in der eUICC, also einem Speicherbereich, der unter der Hoheit der Mobilfunkunternehmen liegt, abzulegen. Wie weit ist hier die Entwicklung?

Die technische Umsetzung als Proof-of-Concept ist bereits erfolgt. Die App mit eID-Applet und Anbindung an den eID-Server konnte in Zusammenarbeit mit Mobilnetzbetreibern bereits auf Google Pixel Phones getestet werden. Bevor ein Betrieb im Feld erfolgen kann, müssen noch weitere technische und organisatorische Rahmenbedingungen geklärt werden.

Das derzeitige Problem für die Nutzung der eID-Funktion ist, dass es zu wenige Angebote gibt und die Bürger ihre Ausweis-PIN nicht kennen. Wie soll die mobile Identität hier Abhilfe schaffen?

Hier gibt es viele Möglichkeiten. So könnte das Neusetzen der Ausweis-PIN oder auch die Aktivierung einer deaktivierten Online-Ausweisfunktion des physischen Dokumentes zukünftig auch ohne Gang in die Meldebehörde erfolgen. Weiterhin wäre das Ausstellen des mobilen Personalausweises über die Online-Ausweisfunktion des physischen Ausweises und NFC-Schnittstelle des Smartphones alternativ auch vor Ort in der Behörde oder …

… in zusätzlichen Trustpoints wie Banken oder der Post denkbar.”

Diese Alternativen benötigen nicht die Kenntnis der Online-Ausweis-PIN oder den Besitz eines physischen Dokuments.

Am Konzept, dass nur Unternehmen mit einem Berechtigungszertifikat Ausweisdaten lesen können, soll aber auch in der mobilen Variante nicht gerüttelt werden?

Dieses Konzept ist für beide Seiten sinnvoll, für den Nutzer und für den Diensteanbieter. Unternehmen können durch die Novellierung des Personalausweisgesetzes 2017 – zusätzlich zum möglichen Betrieb eines eigenen eID-Servers oder der Anbindung an einen eID-Service – einen Identifizierungsdiensteanbieter, kurz IDA, nutzen. Ein Online-Dienst kann beispielsweise den IDA “AusweisIdent” über eine einfache OpenID-Connect-Schnittstelle einbinden. Die Ausweisdaten werden mit dem Berechtigungszertifikat des IDA gelesen. Ein individuelles Berechtigungszertifikat für die Nutzung der Online-Ausweisfunktion benötigt das Unternehmen in diesem Szenario nicht.

Wird es auch andere Wege der Provisionierung für eine mobile Identität als über eine Ableitung des Plastikausweises geben?

Auch hier gibt es viele Überlegungen und Möglichkeiten, die in der Entscheidungshoheit der Politik und zuständigen Behörden liegen. Daher sollte diese Frage eher an die entsprechenden hoheitlichen Stellen gerichtet werden.

Grundsätzlich wäre beispielsweise die Ausstellung des mobilen Personalausweises auch in der Meldebehörde oder weiterer Trustpoints denkbar. Vorstellbar wäre auch: Der Bürger müsste nicht notwendigerweise den Personalausweis zur Identifizierung vorlegen, sondern alternativ den Reisepass mit Meldebestätigung. Hiermit würden auch Bürger angesprochen werden, die derzeit keinen physischen Personalausweis besitzen. Der mobile Personalausweis würde damit zu einem eigenständigen digitalen Dokument mit eigener Gültigkeit. Er wäre zum Beispiel weiterhin gültig, auch wenn der physische Ausweis verlorenginge. Bürger könnten auch dann weiterhin Online-Dienste nutzen. Übrigens könnten zusätzliche mobile Personalausweise auf weitere Smartphones ausgestellt werden.

Wird die mobile Identität auch einen hoheitlichen Bereich enthalten, so dass diese zum Beispiel auch für eine Grenzkontrolle verwendet werden kann?

Bislang gibt es dazu keine konkreten Pläne. Der mobile Personalausweis setzt ausschließlich die Online-Ausweisfunktion um.”

Es gibt Überlegungen und Aktivitäten der Internationalen Zivilen Luftfahrtorganisation ICAO, den elektronischen Reisepass in Form von “Digital Travel Credentials” auch ohne physisches Passbuch etwa für die elektronische Beantragung von Einreisevisa oder die elektronische Grenzkontrolle verfügbar zu machen.

Wäre denn die Entwicklung einer hoheitlichen Mobile Identität eigentlich aufwändig, oder ist das mehr eine Frage des politischen Willens?

Auch diese Frage sollte eher an die entsprechenden hoheitlichen Stellen gerichtet werden.

Neben dem Personalausweis ist ja auch die Rede davon, weitere Ausweisdokumente wie Führerschein und Krankenversicherungskarte oder Auto- und Wohnungsschlüssel auf dem Mobiltelefon zu hinterlegen. Wie weit sehen Sie hier die Entwicklung?

Im BMWI-Projekt „Schaufenster sichere Digitale Identitäten“ plant die Bundesdruckerei in einem großen Konsortium zusammen mit der Ekom21 und dem Bundesland Hessen eine Ableitung des Führerscheins aus Fahrerlaubnisregistern in eine ID-Wallet des Smartphones. Grundlage sind bestehende internationale Standards für mobile Führerscheine, um eine internationale Interoperabilität zu ermöglichen. Die Bundesdruckerei arbeitet im Förderprojekt VEGA des Bundesgesundheitsministeriums an der Ableitung der elektronischen Gesundheitskarte auf das Smartphone unter Nutzung der Optimos-Technik.

Das Hinterlegen der verschiedenen behördlich und nicht-behördlich ausgegebenen Dokumente in einer ID-Wallet hätte den Vorteil, dass alle Dokumente gleich hohe Sicherheits- und Datenschutzanforderungen erfüllen.”

Zudem könnten Diensteanbieter in einem Identifizierungsvorgang etwa Daten aus dem mobilen Personalausweis, Führerschein und Fahrzeugschein anfragen – dies würde den Nutzerkomfort erhöhen.

Herr Dr. Schwan, vielen Dank für das Interview!Rduolf Linsenbarth