Hartje Bruns

Die sichere Verwaltung der personenbezogenen Daten und digitalen Identitäten stehen seit einiger Zeit in Wirtschaft und Verwaltung ganz oben auf der Agenda. Verstärkt wird der Handlungsdruck durch neue gesetzliche bzw. regulatorische Bestimmungen wie die DSGVO, die ePrivacy-Richtlinie und PSD2. Das Vertrauen der Nutzer in das Internet wird durch die steigende Zahl von Identitätsdiebstählen auf eine Probe gestellt. Auf der anderen Seite sind Unternehmen und Banken bei vielen Gelegenheiten gehalten, die Identität ihrer Kunden zweifelsfrei festzustellen. Welche Lösungen stehen zur Verfügung, um den geschilderten Herausforderungen begegnen zu können, welche Rolle können dabei der Neue Personalausweis (nPA) und die eID übernehmen? Welches Potenzial birgt die Blockchain-Technologie und inwieweit können verteilte Identitätsquellen neue Services hervorbringen? Im Interview gibt Hartje Bruns (Foto), vom Portfoliomanagement der Governikus KG, einen Einblick in die aktuelle Situation in den Bereichen E-Government und eID. Darüber hinaus wirft er einen Blick in die nähere Zukunft, wobei die Kombination vertrauenswürdiger digitaler Identitäten eine Schlüsselstellung übernehmen könnte.

Herr Bruns, was genau macht Governikus?

Die Governikus KG ist ein seit 1999 etablierter IT-Lösungsanbieter für Sicherheit und Rechtsverbindlichkeit elektronischer Kommunikation und elektronischer Dokumente. Gegründet als bremen online services im Jahr 1999, beschäftigt sich die Governikus KG intensiv mit dem Schutz personenbezogener Daten. Als Pionier im E-Government- und E-Justice-Bereich liegt der Fokus des Portfolios auf der Unterstützung zur Digitalisierung der Verwaltungsprozesse, die auch im Rahmen der Digitalen Agenda der Bundesregierung gefordert wird.

Derzeit im Fokus sind insbesondere die Identifikation an Servicekonten für Privatpersonen oder Unternehmen in Deutschland und perspektivisch in der Europäischen Union unter Berücksichtigung von Interoperabilitätsaspekten. Alle nach eIDAS notifizierten eID-Token werden für die inner-europäische Kommunikation durch das Unternehmen berücksichtigt. Über den CEF-Call (Connecting Europe Facility) TREATS öffnet die deutsche Verwaltung erstmals die eID-Infrastruktur des Personalausweises für den EU-weiten Zugang mit Identifizierungsmitteln anderer Mitgliedsstaaten. Governikus hat für das Projekt die Konsortialführerschaft übernommen.

Die Nutzung der Dienstleistungen des Staates im Internet durch die Bürger (E-Government) scheint noch ausbaufähig – oder täuscht der Eindruck? Können Sie Beispiele nennen?

Die Nutzung der Dienstleistungen sowie die Angebote der öffentlichen Verwaltung sind ausbaufähig. Über diesen Zustand sind sich viele Vertreter der öffentlichen Verwaltung sehr bewusst. Es wurden verschiedene Gesetzesinitiativen ins Leben gerufen in im vergangenen Jahr verabschiedet. Zum Beispiel das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz – OZG), in dem sich die Verwaltung dazu verpflichtet, in den kommenden fünf Jahren die Verwaltungsdienstleistungen elektronisch verfügbar zu machen.

Aber auch der Bekanntheitsgrad von bestehenden Anwendungen ist verbesserungsfähig. Mit der Online-Beantragung eines polizeilichen Führungszeugnisses und der Möglichkeit, online ein KFZ stillzulegen, stehen bereits sehr gute Anwendungen bereit. Leider werden häufig die Vorteile des Online-Ausweises bei der Berichterstattung nicht hinreichend berücksichtigt.

Welche Rolle übernehmen der neue Personalausweis (nPA) und die eID in dem Zusammenhang, d.h inwieweit können sie zu einer höheren Akzeptanz von E-Government-Services beitragen? 

Die Online-Ausweisfunktion von Personalausweis und elektronischem Aufenthaltstitel ermöglichen überhaupt erst eine sichere und eindeutige digitale Verwaltung unter höchsten Sicherheitsstandards. Die von der Regierung ausgegebenen Online-Ausweise fungieren als hoheitliche Dokumente die online als Sicherheitstoken eingesetzt werden können. Die Anwendung der Online-Ausweisfunktion ermöglicht die digitale Durchführung für die bis dato immer ein persönliches Erscheinen unter Vorlage des Ausweises inkl. Unterschrift von Nöten waren.

Die Online-Ausweisfunktion des Personalausweises und Aufenthaltstitels wurde am 26.09.17 auf dem höchstmöglichen Vertrauensniveau gemäß eIDAS-Verordnung an die EU-Kommission notifiziert. Im Rahmen des Notifizierungsprozesses hatten die europäischen Mitgliedsstaaten die Möglichkeit, das eID-System für die Online-Ausweisfunktion zu begutachten und haben ihm das höchste Vertrauensniveau bestätigt. Damit gehen die Mitgliedsstaaten die Verpflichtung ein, die Anwendungen ihres Landes, die ein hohes Vertrauensniveau benötigen, ab Ende September auch über die Online-Ausweisfunktion zu ermöglichen. (vgl. auch https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/ElektronischeIdentitaeten/Online-Ausweisfunktion/eIDAS-Notifizierung/eIDAS-Notifikation_node.html)

Dadurch wird die Deutsche ID für die gesamte europäische Verwaltung geöffnet.

An die Stelle des Bürgerkontos tritt das Service Konto – was war der Anlass bzw. was ändert sich dadurch?

Hierbei ging es vor Allem um die Konnotation mit dem Begriff „Bürgerkonto“. Das Servicekonto wird Bürgern und Organisationen, wie z.B. Unternehmen und Vereinen, das Handeln mit der öffentlichen Verwaltung erleichtern.

Was genau bezweckt der Portalverbund?

Im Rahmen der Neuregelung des Bund-Länder-Finanzausgleichs ab 2020 einigten Bund und Länder sich im Dezember 2016 darauf, ihre Verwaltungsportale unter Berücksichtigung der föderalen Strukturen zu einem gemeinsamen Portalverbund zu verknüpfen.

Durch diesen Portalverbund sollen Bürgerinnen, Bürger und Unternehmen die von ihnen gewünschte Dienstleistung und die zu dieser Dienstleistung bereitgestellten Informationen – unabhängig davon, auf welchem Verwaltungsportal sie einsteigen – direkt, schnell, einfach und sicher mit drei Klicks erreichen können.

Auf allen Verwaltungsebenen sollen Bürger- und Unternehmenskonten als Identifizierungskomponenten für die einfache Abwicklung von Verwaltungsdienstleistungen angeboten werden. Durch Speicherung wichtiger Daten in den Nutzerkonten müssen die Daten nicht stets neu eingegeben werden. Zudem wird die sichere elektronische Kommunikation mit der zuständigen Behörde vereinfacht.

Zur Bereitstellung eines zentralen und einfachen Zugangs zu seinen Online-Dienstleistungen erstellt der Bund 2017 ein neues Serviceportal, das Teil des Portalverbunds sein wird.

Könnte man die eID in Kombination mit dem Service-Konto auch für andere Anwendungen außerhalb von E-Government verwenden – z.B. beim Online-Einkauf oder im Banking?

Die elektronische Identität von Personalausweis und elektronischem Aufenthaltstitel eignet sich für jeden Online-Geschäftsfall, in dem eine Identität zweifelsfrei und mit hohem Authentisierungslevel belegt werden muss. Die Online-Ausweisfunktion schützt sowohl den Verbraucher als auch den Anbieter vor Identitätsdiebstahl und macht das Netz dadurch sicherer. Willenserklärung können somit online abgegeben werden. Einen Überblick über sämtliche Angebote erhält man allerdings im Anbieterverzeichnis der AusweisApp2. Dort werden alle Angebote gelistete, die mit der Online-Ausweisfunktion nutzbar sind und gemeldet werden.

Die Nutzung von Servicekonten zur Identifizierung auch außerhalb der öffentlichen Verwaltung scheint da der nächste logische Schritt. Hierfür müssen die datenschutzrechtlichen Rahmenbedingungen geschaffen werden, da die Zweckbindung der Datenerhebung zurzeit auf die Nutzung von Angeboten der öffentlichen Verwaltung beschränkt ist. Es spricht vieles dafür, dass ein Nutzer seine Daten anlassbezogen auch für die Nutzung von Anwendung außerhalb der öffentlichen Verwaltung freigeben können sollte.

Mit dem im Gesetz zur Förderung des elektronischen Identitätsnachweises verankerten Vor-Ort-Auslesen werden die Angebote außerhalb des E-Governments wachsen. Beispiele für eine solche Anwendung ist das sogenannte „Vor-Ort-Auslesen von Ausweisdaten unter Anwesenden“, bei dem nach dem Lichtbild-Abgleich die Daten durch die Eingabe der aufgedruckten CAN („Card Access Number“) durch einen Mitarbeiter eingegeben werden. Durch diesen Vorgang wird es möglich, Daten aus dem Ausweis elektronisch auszulesen, um diese dann für die automatisierte Weiterverarbeitung zu verwenden. Das erspart das mühsame und fehleranfällige abtippen oder kopieren des Ausweises.

Dieses Jahr treten verschiedene regulatorische Bestimmungen in Kraft, die nicht ohne Einfluss auf die Identifizierung bzw. Authentifizierung im Netz sind – wie PSD2 und die DSGVO/GDPR – wie reagiert Governikus darauf?

Sicherheit, Datenschutz und informationelle Selbstbestimmung sind seit jeher Leitsätze im Handeln und in der Softwareentwicklung der Governikus. Die Governikus KG ist ein etablierter IT-Lösungsanbieter für Sicherheit und Rechtsverbindlichkeit elektronischer Kommunikation und elektronischer Dokumente. Seit ihrer Gründung beschäftigt sich die Governikus KG intensiv mit dem Schutz personenbezogener Daten.

Bei der Erhebung und Verarbeitung personenbezogener sind durch §3a des Bundesdatenschutzgesetzes Datenvermeidung und Datensparsamkeit vorgegeben. Diese Vorgabe setzen wir in Entwurf und Implementierung („Privacy by Design“) und Konfiguration („Privacy by Default“) unserer Softwareprodukte um.

Könnte man Governikus auch als Vertrauensdienst oder als Identitätsdienstleister bezeichnen?

Die Governikus bietet selbst keinen Vertrauensdienst an. Mit den von der Governikus erstellten Komponenten können Vertrauensdienste aufgebaut werden. Die Governikus betreibt einen eID-Service zur Nutzung der Online-Ausweisfunktion für Diensteanbieter. In diesem Fall handelt es sich nicht um einen Identitätsdienstleister im Sinne des §2 (3a) des Gesetzes über Personalausweise und den elektronischen Identitätsnachweis (Personalausweisgesetz – PAuswG).

Welche Rolle übernimmt die eIDAS-Reglung für elektronische Unterschriften bei der Verwirklichung des digitalen europäischen Binnenmarktes – bietet Governikus dafür Lösungen an?

Die Einführung der eIDAS-Verordnung (eIDAS-VO) stellt mit ihren vielfältigen neuen Möglichkeiten in Bezug auf Interoperabilität, Anwendungsraum, Abbildung möglicher Szenarien sowie einsetzbarer Hardware besondere Anforderungen an die zu Grunde liegende (Software-)Infrastruktur. Die Komponenten stellen Funktionen bereit, die bei Signaturen und Fernsignaturen im Inland und in der europäischen Gemeinschaft notwendig sind. Die regulatorischen Vorgaben im qualifizierten Bereich haben hierbei eine besondere Relevanz und wurden berücksichtigt. Die Funktionen in Kontext elektronischer Unterschrift sind: Anbringung, Überprüfung von Signaturen und Zertifikaten und unterstützende kryptografische Funktionen.

Wie ist der aktuelle Stand bei der AusweisApp2 – insbesondere mit Blick auf die Nutzung über mobile Endgeräte? Gibt es etwas Neues zum Thema iOS?

In 2017 gab es viele Neuerungen rund um die AusweisApp2. Angefangen haben wir zu Anfang des Jahres mit der Veröffentlichung einer Android-Version. Es folgt eine Lizenz-Änderung zur European Union Public Licence (EUPL) womit der Quellcode der AusweisApp offiziell auf Github Open Source gestellt wurde. Im weiteren Verlauf des Jahres wurde dann ein Software Development Kit für die mobile Integration der Online-Ausweisfunktion ausgeliefert, ein Leitfaden für die optimale Einrichtung und Darstellung eines Online-Angebots für Diensteanbieter erstellt und eine Reihe an Video-Tutorials zur Unterstützung angefertigt und auf YouTube bereitgestellt. Die iOS-Version konnte währenddessen im Feldtest von Interessenten getestet werden. Die Veröffentlichung der Version ist für 2018 geplant. Da die NFC-Schnittstelle der Apple-Geräte derzeit nicht vollständig freigegeben ist, bedurfte es bis vor kurzem einem entsprechenden Bluetooth-Karteleser. Mit dem Winter-Release (1.14.0) der AusweisApp2, können nun Android-Endgeräte als Kartenleser eingesetzt werden. So kann das jeweilige Android-Smartphone oder Tablet als Kartenleser für Verbindungen von Android zu Android und Android zu iOS, Mac OS X, macOS und Windows eingesetzt werden.

Welchen Beitrag könnte die Blockchain in Zukunft bei der sicheren Identifizierung im Netz leisten?

Blockchain ist eine spannende Technik, die ihre volle Stärke dann ausspielt, wenn eine vertrauenswürdige dritte Instanz nicht durch eine Organisationseinheit abgebildet werden kann oder soll. Eins der Grundprinzipien in Blockchains ist die Anonymität bzw. Pseudonymität. Das klingt zunächst wie ein Widerspruch zur sicheren und verbindlichen Identifizierung.  Aus unserer Sicht kann der Einsatz von Blockchaintechnologie neue spannende Einsatzfelder schaffen in denen gute benutzerzentrierte Identifizierungen möglich werden. Auch die in einigen Blockchain Implementierungen vorhandene Möglichkeit von „Smart Contracts“ könnte die Verknüpfung von Identifizierung und Diensterbringung technisch erzwingen. Bei allen Chancen, die in Blockchain-Technologie gesehen werden können, sollte nicht vergessen werden, dass diese Technik nicht kostenlos ist. Es ist gerade im Bereich der öffentlichen Verwaltung nicht immer zwangsläufig günstiger, Lösungen auf Blockchain-Technologie zu betreiben, anstatt sie durch ein hoheitliches Rechenzentrum betreiben zu lassen.

Was sind die spannendsten Themen im Bereich Identifikationstechnologien in den nächsten Jahren – welche Rolle werden bzw. können biometrische Verfahren übernehmen?

Biometrie ist ein sehr spannendes Thema, das in vielen Ländern viel selbstverständlicher eingesetzt wird, als hierzulande. In dieser Hinsicht sehen wir spannende und datenschutzkonforme Entwicklungen. Als eine große technische Herausforderung sehen wir die sichere Aufbewahrung von kryptografischen Schlüsseln oder Zugangsdaten, da die elektronische Identität in der Regel eine lange Lebenszeit hat. Auch zu Benutzernamen und Kennwörter müssen trotz des hohen Komforts in absehbarer Zeit Alternativen gefunden werden, die ein ähnliches Maß an Sicherheit gewährleisten. Auch dafür bietet sich u.U. der Einsatz von Biometrie bzw. kombinierten Verfahren an. Große Chancen sehen wir in der Fido-Alliance, einem Zusammenschluss von Anbietern wie z.B. Microsoft oder Google. Die Fido Alliance widmet sich unter dem Motto „Simpler, Stronger Authentication“ einer komfortablen zwei-Faktor Authentisierung.

Besonders spannend sind aus unserer Sicht verteilte Identitätsquellen. Servicekonten, eIDAS, PSD2 und weitere Anbieter aus dem privaten Sektor bilden eine große Palette an vertrauenswürdigen Identitäten, die, wenn sie kombiniert werden können, Dienste ermöglichen, die sonst vielleicht nicht möglich wären.

Herr Bruns, vielen Dank für das Gespräch!

Crosspost von Bankstil

 

Schreibe einen Kommentar