Digitale Identitäten im Kontext von E-Government-Anwendungen
Ausführungen zu einer sicheren Kommunikation zwischen Bürgern und Verwaltung
©2008
Bachelorarbeit
87 Seiten
Zusammenfassung
Inhaltsangabe:Einleitung:
Eine ganze Reihe von Verfahren der öffentlichen Verwaltung sind bereits heute als E-Government-Anwendungen umgesetzt. Dadurch wurden die damit einhergehenden Geschäftsprozesse zum Teil optimiert. Dies betrifft Aspekte der Interaktion, Information und Kommunikation zwischen Bürgern und der Verwaltung. Ein Bürger kann beispielsweise eine ganze Reihe von Informationen auf der Website einer Behörde einsehen und mit ihr per EMail kommunizieren. Jedoch lassen sich nach wie vor viele transaktionsorientierte Geschäftsprozesse aufgrund einer fehlenden Infrastruktur für digitale Identitäten nicht medienbruchfrei über das Internet abwickeln. Viele Verwaltungsakte erfordern eine eindeutige Identifizierung des Bürgers. Derzeit dient vor allem der Personalausweis als Dokument zum Nachweis der Identität in hoheitlichen manuellen Verfahren. Auf ihm werden die Identitätsdaten ausschließlich aufgedruckt und können somit nicht elektronisch übermittelt werden. Die betreffenden Genehmigungsverfahren können somit nicht medienbruchfrei abgewickelt werden. Der Bürger muss also zu ihrer Durchführung nach wie vor persönlich bei der jeweiligen Behörde erscheinen, damit ein Behördenmitarbeiter durch Inaugenscheinnahme des Personalausweises abgleichen kann, ob der Bürger derjenige ist, der er zu sein behauptet. Gäbe es die Möglichkeit, sich im Internet auf sichere Weise elektronisch zu identifizieren, so würde dies zu einer weiteren erheblichen Optimierung der hoheitlichen Verfahren führen. Viele Genehmigungsverfahren, die bislang ein umfangreiches Mitwirken von Behördenmitarbeitern erforderten, könnten dann automatisiert und elektronisch abgewickelt werden. Behördenmitarbeiter müssten nur noch in den Prozess eingreifen, wenn es einer Entscheidung bedarf, die nicht automatisiert abgebildet werden kann. Für den Bürger wiederum würde die Einführung einer digitalen Identität bedeuten, dass Behördengänge unnötig werden und er nicht an die Öffnungszeiten der jeweiligen Behörde gebunden ist.
Unter der Identität einer Person versteht man die Menge der Ausprägungen aller Attribute, die diese charakterisieren. Jede Person besitzt eine eindeutige Identität. Ändert sich die Ausprägung eines Attributs, beispielsweise des Alters, so behält die Person ihre Identität bei. Um eine Person in Geschäftsprozessen identifizieren zu können, bedarf es demnach einer unveränderlichen Teilmenge an Attributen, die eindeutig ist. Häufig wird hierzu ein gesondertes […]
Eine ganze Reihe von Verfahren der öffentlichen Verwaltung sind bereits heute als E-Government-Anwendungen umgesetzt. Dadurch wurden die damit einhergehenden Geschäftsprozesse zum Teil optimiert. Dies betrifft Aspekte der Interaktion, Information und Kommunikation zwischen Bürgern und der Verwaltung. Ein Bürger kann beispielsweise eine ganze Reihe von Informationen auf der Website einer Behörde einsehen und mit ihr per EMail kommunizieren. Jedoch lassen sich nach wie vor viele transaktionsorientierte Geschäftsprozesse aufgrund einer fehlenden Infrastruktur für digitale Identitäten nicht medienbruchfrei über das Internet abwickeln. Viele Verwaltungsakte erfordern eine eindeutige Identifizierung des Bürgers. Derzeit dient vor allem der Personalausweis als Dokument zum Nachweis der Identität in hoheitlichen manuellen Verfahren. Auf ihm werden die Identitätsdaten ausschließlich aufgedruckt und können somit nicht elektronisch übermittelt werden. Die betreffenden Genehmigungsverfahren können somit nicht medienbruchfrei abgewickelt werden. Der Bürger muss also zu ihrer Durchführung nach wie vor persönlich bei der jeweiligen Behörde erscheinen, damit ein Behördenmitarbeiter durch Inaugenscheinnahme des Personalausweises abgleichen kann, ob der Bürger derjenige ist, der er zu sein behauptet. Gäbe es die Möglichkeit, sich im Internet auf sichere Weise elektronisch zu identifizieren, so würde dies zu einer weiteren erheblichen Optimierung der hoheitlichen Verfahren führen. Viele Genehmigungsverfahren, die bislang ein umfangreiches Mitwirken von Behördenmitarbeitern erforderten, könnten dann automatisiert und elektronisch abgewickelt werden. Behördenmitarbeiter müssten nur noch in den Prozess eingreifen, wenn es einer Entscheidung bedarf, die nicht automatisiert abgebildet werden kann. Für den Bürger wiederum würde die Einführung einer digitalen Identität bedeuten, dass Behördengänge unnötig werden und er nicht an die Öffnungszeiten der jeweiligen Behörde gebunden ist.
Unter der Identität einer Person versteht man die Menge der Ausprägungen aller Attribute, die diese charakterisieren. Jede Person besitzt eine eindeutige Identität. Ändert sich die Ausprägung eines Attributs, beispielsweise des Alters, so behält die Person ihre Identität bei. Um eine Person in Geschäftsprozessen identifizieren zu können, bedarf es demnach einer unveränderlichen Teilmenge an Attributen, die eindeutig ist. Häufig wird hierzu ein gesondertes […]
Leseprobe
Inhaltsverzeichnis
Niclas Hoye
Digitale Identitäten im Kontext von E-Government-Anwendungen
Ausführungen zu einer sicheren Kommunikation zwischen Bürgern und Verwaltung
ISBN: 978-3-8366-3696-4
Herstellung: Diplomica® Verlag GmbH, Hamburg, 2009
Zugl. FernUniversität Hagen, Hagen, Deutschland, Bachelorarbeit, 2008
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte,
insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von
Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der
Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen,
bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung
dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen
der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik
Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in
diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme,
dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei
zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können
Fehler nicht vollständig ausgeschlossen werden und der Verlag, die Autoren oder
Übersetzer übernehmen keine juristische Verantwortung oder irgendeine Haftung für evtl.
verbliebene fehlerhafte Angaben und deren Folgen.
© Diplomica Verlag GmbH
http://www.diplomica.de, Hamburg 2009
Digitale Identitäten im Kontext von E-Government-Anwendungen
Ausführungen zu einer sicheren Kommunikation zwischen Bürgern und Verwaltung
Niclas Hoye
Ma.-Nr.: 6131808
niclas.hoye@gmx.de
Abstract
Bisher gibt es keine Möglichkeit, online und somit medienbruchfrei einen
sicheren Identitätsnachweis im Rahmen eines transaktionsorientierten
Geschäftsprozesses erbringen zu können. Durch Inkrafttreten der Europäischen
Dienstleistungsrichtlinie wird dies jedoch zwingend erforderlich. Um der
Anforderung zu genügen, wird der neue elektronische Personalausweis mit einer
elektronischen Identitätsfunktion ausgestattet sein. Wegen der Übertragung
sensibler personenbezogener Daten ist die Implementierung einer sicheren
Infrastruktur von zentraler Bedeutung. Da vorgesehen ist, die elektronische
Identitätsfunktion grenzüberschreitend in der EU anwenden zu können, müssen
entsprechende Architekturen etabliert werden, die Interoperabilität gewährleisten.
Ich möchte mich insbesondere herzlich bei Herrn Klinger bedanken, der mich unermüdlich
mit Informationen versorgt hat. Ebenfalls gilt mein Dank Herrn Dr. Brakmann vom
Landesinnenministerium NRW, der einige wertvolle Hinweise beigesteuert hat. Außerdem
bedanke ich mich bei Herrn Möller und Herrn Dr. Schiel vom Bundesministerium des Innern
und Herrn Bach und Herrn Bender vom Bundesamt für Sicherheit in der
Informationstechnologie für die Bereitstellung von teilweise noch unveröffentlichten
Entwurfsspezifikationen. Ganz besonderer Dank gilt auch meinen Eltern, die die mühevolle
Tätigkeit des Korrekturlesens auf sich genommen haben.
Einleitung... 1
1. Programmatische Einordnung
...
6
1.1. i2010 Eine Europäische Informationsgesellschaft für Wachstum und Beschäftigung
. 6
1.2. BundOnline 2005
...
8
1.3. Deutschland-Online
...
8
1.4. E-Government 2.0
...
9
1.5. E-Government-Handbuch
...
9
1.6. SAGA - Standards und Architekturen für E-Government-Anwendungen
...
9
1.7. eCard-Strategie
...
10
2. Rechtliche Einordnung
...
10
2.1. Europäische Dienstleistungsrichtlinie
...
11
2.2. Verwaltungsverfahrensgesetz: VwVfG
...
12
2.3. Telemediengesetz
...
13
2.4. Personalausweisgesetz
...
14
2.5. Signaturgesetz
...
16
2.6. Datenschutz
...
18
3. Notwendigkeit einer digitalen Identität im Zusammenhang mit E-Government-
Transaktionen
...
20
4. Ausgestaltung von Personenkennziffern in Deutschland
...
22
4.1. Handhabung digitaler Identitäten in ausgewählten Bereichen
...
24
4.1.1. Sozialversicherungsnummern
...
25
4.1.2. Steuer-Identifikationsnummer
...
26
4.1.3. Elektronische Gesundheitskarte (eGK)
...
27
4.1.4. Elektronischer Einkommensnachweis (ELENA)
...
28
5. Funktionen des ePA
...
30
5.1. Technische Realisierung des ePA
...
31
5.2. eID-Funktion
...
34
5.2.1. EAC-Protokoll
...
37
5.2.1.1. PACE-Protokoll
...
38
5.2.1.2. Terminal Authentication
...
38
5.2.1.3. Passive Authentication
...
39
5.2.1.4. Chip Authentication
...
39
6. Interoperabilität hinsichtlich der eID-Funktion
...
40
6.1. Interoperabilität innerhalb Deutschlands
...
41
6.1.1. Das eCard-API-Framework
...
41
6.1.1.1. Application-Layer
...
43
6.1.1.2. Identity-Layer
...
43
6.1.1.2.1. eCard-Interface
...
43
6.1.1.2.2. Management-Interface
...
45
6.1.1.3. Service-Access-Layer
...
46
6.1.1.3.1. ISO 24727-3-Interface
...
46
6.1.1.3.2. Support-Interface
...
47
6.1.1.4. Terminal-Layer
...
48
6.1.1.4.1. IFD-Interface
...
48
6.2. Interoperabilität innerhalb der EU
...
48
6.2.1. eID-Lösungen ausgewählter EU-Staaten
...
49
6.2.1.1. Estland
...
50
6.2.1.2. Österreich
...
50
6.2.1.3. Großbritannien
...
51
6.2.2. Verwendung des eCard-API-Frameworks als pan-europäische Middleware?
...
51
6.2.3. Pan European Proxy Services (PEPS)
...
52
7. Bürgerportale
...
58
7.1. Beispiel einer existierenden Lösung service-bw
...
60
8. Einsatzszenarien der eID-Funktion am Beispiel Rathaus21
...
61
Fazit...
61
Anhang A: Das PACE-Protokoll...63
Anhang B: Chip Authentication...67
Anhang C: Implementation von PEPS auf der Basis von SAML...68
Abkürzungsverzeichnis...74
Abbildungsverzeichnis...78
Literaturverzeichnis...
79
Einleitung
Eine ganze Reihe von Verfahren der öffentlichen Verwaltung sind bereits heute als
E-Government-Anwendungen umgesetzt. Dadurch wurden die damit einhergehenden
Geschäftsprozesse zum Teil optimiert. Dies betrifft Aspekte der Interaktion, Information und
Kommunikation zwischen Bürgern und der Verwaltung. Ein Bürger kann beispielsweise eine
ganze Reihe von Informationen auf der Website einer Behörde einsehen und mit ihr per EMail
kommunizieren. Jedoch lassen sich nach wie vor viele transaktionsorientierte
Geschäftsprozesse aufgrund einer fehlenden Infrastruktur für digitale Identitäten nicht
medienbruchfrei über das Internet abwickeln. Viele Verwaltungsakte erfordern eine eindeutige
Identifizierung des Bürgers. Derzeit dient vor allem der Personalausweis als Dokument zum
Nachweis der Identität in hoheitlichen manuellen Verfahren. Auf ihm werden die
Identitätsdaten ausschließlich aufgedruckt und können somit nicht elektronisch übermittelt
werden. Die betreffenden Genehmigungsverfahren können somit nicht medienbruchfrei
abgewickelt werden. Der Bürger muss also zu ihrer Durchführung nach wie vor persönlich bei
der jeweiligen Behörde erscheinen, damit ein Behördenmitarbeiter durch
Inaugenscheinnahme des Personalausweises abgleichen kann, ob der Bürger derjenige ist, der
er zu sein behauptet. Gäbe es die Möglichkeit, sich im Internet auf sichere Weise elektronisch
zu identifizieren, so würde dies zu einer weiteren erheblichen Optimierung der hoheitlichen
Verfahren führen. Viele Genehmigungsverfahren, die bislang ein umfangreiches Mitwirken
von Behördenmitarbeitern erforderten, könnten dann automatisiert und elektronisch
abgewickelt werden. Behördenmitarbeiter müssten nur noch in den Prozess eingreifen, wenn
es einer Entscheidung bedarf, die nicht automatisiert abgebildet werden kann. Für den Bürger
wiederum würde die Einführung einer digitalen Identität bedeuten, dass Behördengänge
unnötig werden und er nicht an die Öffnungszeiten der jeweiligen Behörde gebunden ist.
Unter der Identität einer Person versteht man die Menge der Ausprägungen aller Attribute, die
diese charakterisieren. Jede Person besitzt eine eindeutige Identität. Ändert sich die
Ausprägung eines Attributs, beispielsweise des Alters, so behält die Person ihre Identität bei.
Um eine Person in Geschäftsprozessen identifizieren zu können, bedarf es demnach einer
unveränderlichen Teilmenge an Attributen, die eindeutig ist. Häufig wird hierzu ein
gesondertes Ordnungsmerkmal verwendet. Partielle Identitäten bilden nur eine Teilmenge der
charakterisierenden Attribute einer Person ab. Sinnvollerweise sollte eine partielle Identität
solche Attribute beinhalten, die in dem jeweiligen Kontext adäquate Informationseinheiten
darstellen. Eine digitale Identität wiederum stellt die elektronische Repräsentation einer
partiellen Identität dar.
Derzeit verzichten viele Bürger in Deutschland auf die Nutzung von E-Government-
Anwendungen, da sie nicht in deren Sicherheit und generell der des Internet vertrauen. In den
Medien wird vielfach von entsprechenden Sicherheitslücken berichtet. So haben viele die
Sorge, dass ihre personenbezogenen Daten in die Hände Unbefugter gelangen (beispielsweise
durch Phishing-Atacken
1
) oder bei der Übertragung in böswilliger Absicht verfälscht werden
können. Kennt ein Unberechtigter erst die Identitätsdaten einer anderen Person, so kann er sie
dazu missbrauchen, deren Identität vorzutäuschen (Identitätsdiebstahl). Die Verwendung einer
digitalen Identität stellt also zunächst nur eine behauptete Identität (Claim) dar. Bei
Verwaltungsakten, die einen Nachweis der Identität erfordern, muss die behauptete Identität
also verifiziert werden. Dabei bestehen Sicherheitsziele bezüglich der Verbindlichkeit und
Vertraulichkeit der übertragenen Daten. ,,Unter dem Sammelbegriff Verbindlichkeit versteht
man das Ziel, dass die übertragenen Daten als 'gültig' angesehen werden können.
Insbesondere sind hierbei die Rechtsverbindlichkeit (im Sinne eines Vertragsabschlusses),
Erfüllung der Schriftform-Erfordernis (gemäß den rechtlichen Anforderungen) und die Nicht-
Abstreitbarkeit (Schutz gegen nachträgliches Bestreiten der Urheberschaft) zu gewährleisten.
Außerdem sind auch die Anforderungen Identifizierbarkeit des Absenders (Möglichkeit der
eindeutigen Zuordnung der Identifikations-Daten), Eindeutigkeit der Abbildung der
Authentisierungs-Daten auf den Datenbestand und Integrität der Daten (Schutz gegen
Veränderung von Daten bei deren Übertragung) wichtig. Für viele Fachverfahren ist auch der
Zeitpunkt der Identitätsfeststellung wesentlich, also die Frage nach der Notwendigkeit einer
Ex-ante-Authentifizierung (Authentifizierung vor Erbringung der Dienstleistung)." [AIEG02,
S. 10] Letzteres gilt für Verfahren, die zunächst die Vorlage des Personalausweises erfordern,
per se. ,,Unter Vertraulichkeit versteht man das Ziel, dass kein unberechtigter Dritter Kenntnis
der übertragenen Daten erhält. Insbesondere sind hierbei die Sicherheit der Datenübertragung
(Schutz gegen Mitlesen bei der Datenübermittlung) und die Adressierbarkeit des Empfängers
(Schutz gegen Übermittlung der Daten an einen unberechtigten Dritten) zu gewährleisten."
[AIEG02, S. 10]
Da bei Verwendung einer digitalen Identität der Nachweis durch Inaugenscheinnahme entfällt,
müssen gleichwertige Sicherheitsfunktionen implementiert werden. Dabei müssen folgende
Funktionen zur Verfügung stehen:
1
Der Versuch mit Hilfe gefälschter seriös wirkender WWW-Adressen in betrügerischer Absicht an sensible
Daten einer Person zu gelangen.
·
Authentisierung Die Kommunikationspartner müssen nachweisen, dass sie
tatsächlich diejenigen sind, die sie zu sein vorgeben.
·
Authentifizierung Die Kommunikationspartner müssen die Authentisierungsdaten
auf Korrektheit prüfen.
·
Identifizierung Die Identitätsdaten des Kommunikationspartners werden ermittelt.
·
Autorisierung Man prüft die Berechtigung des Kommunikationspartners zum
Ausführen bestimmter Operationen und gewährt entsprechenden Zugriff.
·
Kryptographie Damit Unberechtigte nicht in den Besitz der ausgetauschten Daten
gelangen, müssen Verschlüsselungsmechanismen zur Verfügung stehen.
Es existieren theoretisch drei unterschiedliche Methoden sich zu authentisieren:
·
Wissen um ein Geheimnis man erbringt den Nachweis, dass man eine Information
hat, die sonst niemandem zugänglich sein sollte, bspw. durch Eingabe eines
Passwortes oder einer PIN-Nummer.
·
Besitz eines Gegenstands nur der Besitzer des Gegenstandes kann sich
authentifizieren, bspw. durch Einführen einer Chipkarte in einen entsprechenden
Kartenterminal.
·
Anwesenheit man weist nach, dass man während der Authentisierung vor Ort ist,
bspw. durch Inaugenscheinnahme oder durch das Erfassen und Abgleichen von
biometrischen Merkmalen.
Keiner der aufgeführten Methoden bietet absolute Sicherheit. Ein Unberechtigter könnte
durch eine Phishing-Attacke Wissen über eine PIN-Nummer erlangen oder durch Diebstahl in
den Besitz einer Chipkarte gelangen. Die höchste Sicherheit bezüglich einer elektronischen
Authentisierung würde das Erfassen und Abgleichen biometrischer Merkmale bieten. Das
Auslesen biometrischer Merkmale ist jedoch nach dem deutschen Passgesetz lediglich
Polizeivollzugsbehörden, der Zollverwaltung, Pass-, Personalausweis- und Meldebehörden
zur Feststellung der Echtheit des Dokuments und der Identität des Inhabers gestattet.
2
Darüber
hinaus steht die dafür benötigte Infrastruktur nicht in einem ausreichenden Maß zur
Verfügung. Eine deutliche Optimierung der Sicherheit gegenüber der Anwendung nur einer
Methode lässt sich durch die Kombination der Authentisierungsprinzipien Wissen und Besitz
2
Die entsprechenden Passagen des Gesetzes sollen bei der anstehenden Novellierung des
Personalausweisgesetzes in dieses übernommen werden.
erzielen.
Die Bundesregierung plant für Ende 2009
die Einführung des elektronischen
Personalausweises (ePA). Neben den bisherigen Funktionen als Dokument zur Identifizierung
durch Inaugenscheinnahme und als Reisedokument, soll er um digitale Identitätsdaten
erweitert werden, um mit ihm einen elektronischen Identitätsnachweis (eID-Funktion)
erbringen zu können. Die eID-Funktion kann auf Veranlassung des ePA-Inhabers auf dem
Chip abgeschaltet aber auch später wieder eingeschaltet werden. Des Weiteren sollen wie
beim elektronischen Reisepass (ePass) biometrische Merkmale elektronisch vorgehalten
werden. Das Lichtbild ist dabei verpflichtend elektronisch zu erfassen, während der ePA-
Inhaber frei darüber entscheiden können soll, ob seine Fingerabdrücke gespeichert werden.
Geplant ist auch, dass man optional ein Signaturzertifikat von einer gewerblichen
Zertifizierungsstelle nachladen kann. Da der Personalausweis jedoch nicht über ein
Personenkennzeichen verfügt (die Seriennummer darf nicht zum Abruf personenbezogener
Daten verwendet werden), ist die Signaturfunktion nicht dazu geeignet, verfahrensspezifische
elektronische Dokumente zu ,,unterschreiben", welche die Angabe eines
Personenkennzeichens erfordern, wenn dieses nicht auf andere sichere Weise in den Prozess
eingebracht wird. Mit der Einführung des ePA hat in Deutschland in einigen Jahren jeder
Bürger die Option, in den Besitz einer digitalen Identität zu gelangen, was mit einiger
Sicherheit zu einer vermehrten Nutzung von E-Government-Anwendungen führen wird.
Dies wird jedoch nur dann eintreten, wenn die Bürger von der Sicherheit des ePA überzeugt
sind. Neben den datenschutzrechtlichen Erfordernissen soll dieser Tatsache durch folgende
Anforderungen an die Implementierung des ePA Rechnung getragen werden:
·
Die Authentisierung und Freigabe der verifizierten Identitätsdaten (elektronischer
Identitätsnachweis) soll unter der Kontrolle des Besitzers des ePA stehen.
·
Zur erhöhten Sicherheit sind die beiden Authentisierungsprinzipien Wissen und Besitz
zu kombinieren (Authentizität). Dadurch wird eine starke Bindung zwischen dem ePA
und dessen Inhaber hergestellt.
·
Es sollen nur die Identitätsdaten übermittelt werden, die in dem jeweiligen Kontext
benötigt werden (Prinzip der Datensparsamkeit). Des Weiteren sollen nur solche
Entitäten Zugriff auf die Identitätsdaten des ePA haben, die dazu von staatlicher Seite
berechtigt sind.
·
Die Übertragung der Daten muss über einen gesicherten Kanal erfolgen, so dass kein
Unberechtigter Zugriff auf die Daten erlangen kann (Vertraulichkeit).
·
Der Empfänger der Identitätsdaten muss sich ebenfalls gegenüber dem ePA und dem
Besitzer des ePA auf sichere Weise authentisieren.
Das Thema elektronische Identität (eID) ist jedoch nicht nur im nationalen sondern auch im
europäischen Kontext von Belang. In Kapitel 1 wird erläutert, welche E-Government-
Programme auf EU- und auf BRD-Ebene sich mit dem Thema befassen und welche Vorgaben
bezüglich der Umsetzung einer eID erarbeitet wurden. Selbstverständlich gibt es auch einige
gesetzliche Normen, die dabei zu berücksichtigen sind und andere, die den Erfordernissen
entsprechend anzupassen sind. Sie werden in Kapitel 2 vorgestellt. In Kapitel 3 wird die
Notwendigkeit der Einführung digitaler Identitäten erläutert. Der Umgang mit
Personenkennzahlen in Deutschland wird in Kapitel 4 beschrieben. Die Rechtslage macht die
Verwendung bereichsspezifischer Personenkennzahlen erforderlich. Wie dies umgesetzt wird,
wird beispielhaft an einigen aktuellen Projekten der Bundesverwaltung erörtert. Kapitel 5
befasst sich mit der technischen Realisierung des ePA. Besonderes Augenmerk wird dabei auf
die Spezifikation des Protokolls zur Implementierung der eID-Funktion gerichtet. Aspekte der
Interoperabilität der eID-Funktion werden in Kapitel 6 beleuchtet. Dies betrifft zum einen
Interoperabilität der Chipkarten, die im Rahmen der Kartenprojekte der Bundesregierung
ausgegeben werden. Zum anderen betrifft es die grenzüberschreitende Interoperabilität der
unterschiedlichen eID-Lösungen der EU-Staaten. In Kapitel 7 wird mit den Bürgerportalen
eine weitere Lösung der Bundesregierung beschrieben, mit der die Erbringung eines sicheren
elektronischen Identitätsnachweises möglich ist. Zuletzt werden in Kapitel 8 Einsatzszenarien
der eID-Funktion dargestellt.
1. Programmatische Einordnung
Eine ganze Reihe von Programmen sowohl auf EU-Ebene als auch auf nationaler Ebene
beschäftigen sich mit der Ausgestaltung von E-Government und definieren entsprechende
Rahmenvorgaben. In dieser Ausarbeitung werden auszugsweise die ,,wichtigsten" vorgestellt.
1.1.
i2010 Eine Europäische Informationsgesellschaft für
Wachstum und Beschäftigung
Die i2010-Initiative
3
löste im Jahr 2005 die eEurope-Initiative
4
ab. Sie stellt das strategische
Rahmenwerk für die Informationsgesellschaft und die Medien der Europäischen Kommission
dar. Die
i2010-Initiative
soll die Modernisierung der Informations- und
Kommunikationstechnologie (IKT) befördern, um den weiteren Ausbau der digitalen
Verwaltung und Wirtschaft in Europa zu forcieren. Als Motor für Innovation und
Produktivität nimmt sie damit eine zentrale Rolle zur Umsetzung der erneuerten Lissabon-
Strategie
5
[EULS05] ein. Sie umfasst gemeinsame Maßnahmen der EU-Staaten, die darauf
ausgerichtet sind, Europa dynamischer und wettbewerbsfähiger zu machen, um höheres
Wachstum und Beschäftigungsimpulse zu erzielen. Die i2010-Initiative verfolgt dabei drei
Ziele:
·
Die Bildung eines einheitlichen europäischen Informationsraums
·
Innovation und Investition in die Forschung von IKT
·
E-Inclusion
6
, Verbesserung öffentlicher Dienstleistungen und der Lebensqualität durch
den Einsatz von IKT
Zentrale Instrumente zur Verbesserung öffentlicher Dienstleistungen sind die
Implementierung des eGovernment Action Plan
7
[EUAP06] und die Überarbeitung des
3
http://ec.europa.eu/information_society/eeurope/i2010/index_en.htm
4
http://ec.europa.eu/information_society/eeurope/i2010/archive/eeurope/index_en.htm
5
Die Lissabon-Strategie wurde im Jahr 2000 von den Staats- und Regierungschefs der EU-Mitgliedstaaten
beschlossen. Ihr erklärtes Ziel ist es, die EU bis 2010 zum wettbewerbsfähigsten und dynamischsten
wissensgestützten Wirtschaftsraum der Welt zu machen.
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2005:0330:FIN:DE:PDF
6
E-Inclusion zielt darauf ab, dass Personen, die keinen Zugang zum Internet haben bzw. hinsichtlich
ihrer Fertigkeiten im Umgang mit digitalen Medien benachteiligt sind, nicht von der Teilhabe an diesen
ausgeschlossen werden.
7
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2006:0173:FIN:DE:PDF
European Interoperability Framework
für pan-europäische E-Government-Services
8
(EIF)
[EIF04] und der das Framework ergänzenden Architecture Guidelines
9
[EUAG04].
Die Hauptziele des eGovernment Action Plan sind nach [EUAP06, S.4 f.]
·
das Vorantreiben der digitalen Integration behördlicher Dienste,
·
hohe Nutzerzufriedenheit, Transparenz und Verantwortlichkeit sowie ein geringerer
Verwaltungsaufwand und Effizienzgewinne,
·
die Einführung sichtbarer Schlüsseldienste für Bürger und Unternehmen bis 2010
soll die Vergabe öffentlicher Aufträge zu 100 % elektronisch möglich sein und zu 50
% auch tatsächlich elektronisch abgewickelt werden,
·
die Schaffung der Voraussetzungen den Bürgern und Unternehmen soll bis 2010
europaweit ein bequemer, sicherer, interoperabler und authentifizierter Zugang zu
öffentlichen Diensten zur Verfügung stehen
·
und die Stärkung der Bürgerbeteiligung und der demokratischen
Entscheidungsprozesse.
Das EIF definiert Standards und Richtlinien, die beschreiben, wie Organisationen im Kontext
von E-Government miteinander interagieren sollen. Es umfasst Empfehlungen hinsichtlich
der Verfügbarkeit, der Mehrsprachigkeit, der Sicherheit, des Schutzes persönlicher Daten, der
Subsidiarität, der Verwendung offener Standards und der Nutzung von Open Source Software
und multilateraler Lösungen. Der Anspruch des EIF ist, die nationalen Interoperabilitäts-
Frameworks zu ergänzen und nicht zu ersetzen. Konformität zum EIF soll demnach durch
Realisierung einer zusätzlichen pan-europäischen Schicht in den nationalen Frameworks
erzielt werden. Die recht abstrakt formulierten Empfehlungen des EIF werden durch die
Architecture Guidelines konkretisiert. Sie enthalten Leitlinien bezüglich der zu verwendenden
Produkte, Datenformate, Schnittstellen, Protokolle, Middleware und Sicherheitstechnologien.
So wird z.B. der Einsatz solcher Produkte wie das Computernetz TESTA und die
Kollaborationsplattform CIRCA, Systeme wie PKI
10
und Standards wie SAML, SOAP und
8
http://ec.europa.eu/idabc/servlets/Doc?id=19529
9
http://ec.europa.eu/idabc/servlets/Doc?id=19280
und
http://ec.europa.eu/idabc/servlets/Doc?id=19281
10
Ein System zum Erstellen, Verteilen und Prüfen von digitalen Zertifikaten. Jedes Zertifikat ist mit einem
asymmetrischen Schlüsselpaar (ein privater und ein öffentlicher) verknüpft, mit deren Hilfe elektronische
Kommunikation (durch Verschlüsselung und Signatur) abgesichert werden kann. Der Empfänger benötigt
dazu das Wissen um den öffentlichen Schlüssel des Senders. Ein Zertifikat wird von einer
Zertifizierungsstelle ausgestellt und unter Verwendung ihres eigenen privaten Signaturschlüssels signiert. Bei
einer hierarchischen PKI erhält die Zertifizierungsstelle ihr Signaturzertifikat von einer ,,übergeordneten"
Zertifizierungsstelle, welche wiederum das Zertifikat signiert usw. So entsteht eine Zertifikatskette. Der
,,obersten" Zertifizierungsstelle müssen beide Kommunikationspartner vertrauen.
SSL befördert.
1.2.
BundOnline 2005
Die E-Government-Initiative BundOnline 2005
11
wurde im Jahr 2000 von der
Bundesregierung als Bestandteil einer umfassenden Verwaltungsmodernisierung ins Leben
gerufen. Sie hatte zum Ziel, alle internetfähigen Dienstleistungen der Bundesverwaltung
online bereitzustellen. Die Initiative wurde 2005 abgeschlossen. Zu dem Zeitpunkt standen
440 internetfähige Dienstleistungen online zur Verfügung, die u.a. zentral über das Portal von
BundOnline 2005 aufgerufen werden können. Jedoch handelt es sich bei den verwirklichten
Dienstleistungen im Wesentlichen um die Bereitstellung von Informationen.
Transaktionsorientierte Dienstleistungen wurden nur sehr geringfügig verwirklicht. Im
Abschlussbericht
12
[BOAB06] wird explizit darauf hingewiesen, dass rechtliche
Rahmenbedingungen eine behörden- und nutzerfreundliche Ausgestaltung der elektronischen
Dienstleistungen behindern. Dies gelte insbesondere für Verfahren, die die Schriftform
erfordern. Diese seien zukünftig darauf zu untersuchen, ob sie durch starke
Authentisierungsverfahren ersetzt werden können.
1.3.
Deutschland-Online
Deutschland-Online
13
ist die gemeinsame E-Government-Strategie von Bund, Ländern und
Kommunen. Sie wurde im Jahr 2003 beschlossen. Ziel ist es, die heterogenen IT-
Landschaften von Bund, Ländern und Kommunen möglichst medienbruchfrei zu integrieren,
so dass sich über alle Verwaltungsebenen hinweg einheitliche und durchgängige Online-
Dienstleistungen herausbilden. Grundlage der Strategie ist ein Aktionsplan
14
[DOAP07], in
dem die einzelnen Vorhaben von Deutschland-Online aufgeführt sind. Ein zentrales Vorhaben
ist die Entwicklung eines Modells für die IT-Umsetzung der EU-DLR und einer geeigneten
IT-Architektur. Des Weiteren sollen technische Standards und solche für den Datenaustausch
festgelegt werden, die die Interoperabilität zwischen nationalen und europäischen Behörden
gewährleisten.
11
http://www.kbst.bund.de/nn_836326/Content/Egov/Initiativen/Bol/bol.html__nnn=true
12
http://www.kbst.bund.de/cln_028/nn_832262/Content/Egov/Initiativen/Bol/bol.html__nnn=true
13
http://www.deutschland-online.de/DOL_Internet/broker
14
http://www.deutschland-online.de/DOL_Internet/binarywriterservlet?imgUid=3d71060b-9a89-5311-4fbf-
1b1ac0c2f214&uBasVariant=22222222-2222-2222-2222-222222222222
1.4.
E-Government 2.0
E-Government 2.0
15
stellt das Nachfolgeprogramm von BundOnline 2005 dar und wurde 2006
als Teil der übergreifenden Strategie Zukunftsorientierte Verwaltung durch Innovation
16
ins
Leben gerufen. Zudem ist das Programm darauf ausgerichtet, den Vorgaben des eGovernment
Action Plan der i2010-Initiative gerecht zu werden. Die Bundesregierung hat sich vier
strategische Ziele gesetzt, die wesentlich zur Modernisierung der öffentlichen Verwaltung
beitragen sollen. Neben dem Ausbau des E-Government Angebots und der Implementierung
medienbruchfreier Prozessketten, sind dies die Ausgestaltung elektronischer Identitäten und
die Bereitstellung einer sicheren Kommunikationsinfrastruktur. Hierbei bilden ein E-Identity-
Konzept, welches sich mit dem Austausch von Identitätsdaten zwischen Behörden befasst, der
ePA und staatlich zertifizierte Bürgerportale die zentralen Themen. Des Weiteren werden
E-Government-Anwendungen auf die Verwendungsmöglichkeit der eID-Funktion des ePA hin
untersucht.
1.5.
E-Government-Handbuch
Das E-Government-Handbuch
17
[EGH06] wird vom Bundesamt für Sicherheit in der
Informationstechnologie (BSI) herausgegeben. Es bietet Entscheidungsträgern der
öffentlichen Verwaltung in den Bereichen Organisation, Informationstechnik und
E-Government eine Orientierungshilfe zum IT-Einsatz mit besonderem Augenmerk auf
sicherheitstechnische Aspekte. Das Handbuch ist in Module untergliedert. So existieren
beispielsweise Module zu den Themen Datenschutz, Verschlüsselung, sicherer
Kommunikation, sicherer Integration und Authentifizierung in E-Government-Anwendungen.
1.6.
SAGA - Standards und Architekturen für E-Government-
Anwendungen
SAGA
18
[SAGA08] stellt als ein weiteres Modul des E-Government-Handbuchs das deutsche
Pendant zu dem EIF und den Archictecture Guidelines der EU-Kommission dar. Das
15
http://www.kbst.bund.de/cln_028/nn_839178/Content/Egov/Initiativen/EGov2/EGov2.html__nnn=true
16
http://www.verwaltung-innovativ.de/
17
http://www.bsi.bund.de/fachthem/egov/3.htm
18
http://www.kbst.bund.de/saga
Dokument bietet Empfehlungen für den Entwurf technischer Architekturen und einzelner IT-
Anwendungen. Es wurde erstmals im Jahr 2002 von der Koordinierungs- und Beratungsstelle
der Bundesregierung für Informationstechnik in der Bundesverwaltung (KBSt) veröffentlicht
und liegt mittlerweile in der Version 4.0 vor.
1.7.
eCard-Strategie
Die eCard-Strategie wurde 2005 von der Bundesregierung beschlossen. Diese sieht vor, dass
Chipkarten, die zukünftig von der Bundesverwaltung flächendeckend ausgegeben werden,
rechtsgültig und einheitlich für E-Government- und E-Business-Anwendungen genutzt
werden können. So ist vorgeschrieben, dass Signatur-, Authentisierungs- und
Verschlüsselungsmechanismen interoperabel ausgestaltet werden. Derzeitig betrifft dies die
elektronische Gesundheitskarte (eGK), den ePA und die Anwendungen elektronischer
Einkommensnachweis (ELENA) und die elektronische Steuererklärung (ELSTER).
Das BSI hat im Kontext der eCard-Strategie das eCard-API-Framework
(
siehe Kapitel 6.1.1)
entwickelt, welches mit Hilfe von einheitlichen und plattformunabhängigen Schnittstellen die
Interaktion zwischen den Applikationen und den genannten Chipkarten vereinheitlichen soll.
2. Rechtliche Einordnung
Eine Vielzahl von Rechtsvorschriften kommen im Kontext der Verwendung digitaler
Identitäten in E-Government-Anwendungen und des ePA im speziellen zum Tragen. In dieser
Ausarbeitung werden nur die zentralen Vorschriften erwähnt, da ansonsten der Rahmen
gesprengt werden würde. Einige von ihnen müssen auf zukünftige Erfordernisse hin angepasst
werden. Darüber hinaus müssen andere Sachverhalte durch neue Vorschriften geregelt
werden. Die Vorgaben der Europäischen Dienstleistungsrichtlinie machen es erstmals
erforderlich, eine elektronische Identifizierung von Personen zuzulassen und somit eine
entsprechende technische Infrastruktur zur Verfügung zu stellen. Das
Verwaltungsverfahrensgesetz regelt die Handhabung von Verwaltungsakten wie z.B.
Genehmigungsverfahren. Es muss auf die Belange der Europäischen Dienstleistungsrichtlinie
hin angepasst werden. E-Government-Anwendungen stellen Telemedien im Sinne des
Telemediengesetzes dar. Es enthält u.a. datenschutzrechtliche Vorgaben, die bei der
Bereitstellung von Onlinediensten einzuhalten sind. Das Personalausweisgesetz muss
zukünftig dem Umstand gerecht werden, dass der ePA personenbezogene Daten elektronisch
vorhält, die zur sicheren Erbringung eines Identitätsnachweises genutzt werden können. Der
ePA soll darauf ausgelegt sein, dass auf ihn eine qualifizierte elektronische Signatur (siehe
Kap. 2.5)
nachgeladen werden kann. Hierbei sind die Regelungen des Signaturgesetzes zu
beachten. Zum Schutz der informationellen Selbstbestimmung regeln Datenschutzvorschriften
den Umgang mit personenbezogenen Daten.
Es existieren eine ganze Reihe spezialgesetzlicher Vorschriften zur Handhabung von
Identifizierungsmechanismen in unterschiedlichen Verfahren. Diese sind daraufhin zu prüfen,
inwieweit die eID-Funktion des ePA genutzt werden kann, und ggf. entsprechend anzupassen.
Des Weiteren müssen rechtliche Rahmenbedingungen für die Einsatzmöglichkeiten der eID-
Funktion des ePA geschaffen werden. Dies betrifft auch die Rechte und Pflichten der
beteiligten Kommunikationspartner. Nach [GKEP08] ist vorgesehen, dass sich der Empfänger
der Identitätsdaten zuvor mit einem Berechtigungszertifikat (siehe Kap. 5.2) gegenüber dem
ePA ,,ausweisen" muss. Hierzu müssen Rechtsvorschriften festgelegt werden, die regeln, nach
welchen Vorgaben die Zertifikate auszustellen sind, wie die PKI zu implementieren ist und
welche Behörde als Wurzel-CA
19
zu fungieren hat. Dabei muss geklärt werden, nach welchen
Regeln die beteiligten Akteure agieren und welche organisatorischen und technischen
Maßnahmen sie zu ergreifen haben.
2.1.
Europäische Dienstleistungsrichtlinie
Als wesentlicher Bestandteil zur Umsetzung der Lissabon-Strategie wurde am 12. Dezember
2006 die Europäische Dienstleistungsrichtlinie
20
(EU-DLR) [EUDLR06] vom EU-Parlament
und vom Europäischen Rat beschlossen. Sie sieht den Ausbau des europäischen Binnenmarkts
für Dienstleistungen vor. Sie beinhaltet obligatorische Vorgaben an die EU-Mitgliedstaaten,
die bis Ende 2009 umzusetzen sind. Zum einen werden sie dazu verpflichtet, nationales
Recht, wo es im Widerspruch zu der EU-DLR steht, entsprechend anzupassen.
21
Zum anderen
19
Die oberste Zertifizierungsstelle, der alle an einer PKI teilnehmenden Akteure vertrauen. Sie stellt das erste
Zertifikat einer Zertifikatskette aus.
20
http://eur-lex.europa.eu/LexUriServ/site/de/oj/2006/l_376/l_37620061227de00360068.pdf
21
EU-DLR Art. 3 Abs. 1
müssen die Einzelstaaten dafür Sorge tragen, die Voraussetzungen dafür zu schaffen, dass
Anbieter von Dienstleistungen nicht an deren Ausübung behindert werden. Hierzu zählen der
Abbau bürokratischer Hindernisse hinsichtlich der Niederlassungsfreiheit
22
und die
Einrichtung eines einheitlichen Ansprechpartners für die Anbieter von Dienstleistungen.
Dieser hat die Anbieter bei allen Verfahren und Formalitäten zu unterstützen, die für die
Aufnahme der Dienstleistungstätigkeit erforderlich sind.
23
Des Weiteren muss der einheitliche
Ansprechpartner dem Anbieter Informationen zur Verfügung stellen, die er zur Ausübung der
Dienstleistungstätigkeit benötigt.
24
Für die Verwendung elektronischer Identitäten im Kontext von E-Government-Anwendungen
sind die Vorgaben zur elektronischen Verfahrensabwicklung von zentraler Bedeutung. ,,Die
Mitgliedstaaten stellen sicher, dass alle Verfahren und Formalitäten, die die Aufnahme oder
die Ausübung einer Dienstleistungstätigkeit betreffen, problemlos aus der Ferne und
elektronisch über den betreffenden einheitlichen Ansprechpartner oder bei der betreffenden
zuständigen Behörde abgewickelt werden können." [EUDLR06, Art. 8, Abs. 1] Dadurch ist es
für die öffentliche Verwaltung in den EU-Statten erstmals zwingend erforderlich, technisch
und organisatorisch die Möglichkeit bereitzustellen, einen elektronischen Identitätsnachweis
erbringen zu können.
2.2.
Verwaltungsverfahrensgesetz: VwVfG
Das bundesdeutsche VwVfG
25
[DVVG04] regelt das behördliche Verwaltungsverfahren wie
beispielsweise die Handhabung von Verwaltungsakten. Dessen Bestimmungen wurden von
zahlreichen Bundesländern wortgleich in deren Verwaltungsverfahrensgesetzen
aufgenommen, von anderen jedoch teilweise ergänzt oder modifiziert. Im Jahr 2002 wurde
das VwVfG um eine Generalklausel (§ 3a) zur elektronischen Kommunikation im E-
Government erweitert, womit der Bedeutung dieser Kommunikationsform bezüglich
Verwaltungsverfahren Rechnung getragen wurde. ,,Die Übermittlung elektronischer
Dokumente ist zulässig, soweit der Empfänger hierfür einen Zugang eröffnet." [DVVG02,
§3a Satz 1] Nach dem VwVfG besteht demnach kein Zwang für Bundesbehörden,
elektronisch übermittelte Dokumente im Rahmen eines Verwaltungsverfahrens zu
22
EU-DLR Art. 9 ff.
23
EU-DLR Art. 6 Abs. 1
24
EU-DLR Art. 7
25
http://bundesrecht.juris.de/vwvfg/index.html
akzeptieren. Dies steht im klaren Widerspruch zur EU-DLR. Somit ist es notwendig, das
bundesdeutsche VwVfG in Kürze zu überarbeiten. Ebenso müssen weitere Vorgaben der EU-
DLR im VwVfG Berücksichtigung finden, wie die Einrichtung eines einheitlichen
Ansprechpartners etc. Das gleiche gilt für die Verwaltungsverfahrensgesetze der Länder.
Beispielsweise hat das Land Baden-Württemberg §3a, Abs. 1 dahingehend ergänzt, dass es im
Ermessen der Behörde liegt, ob sie elektronisch verschlüsselte und signierte Dokumente
akzeptiert. Im Entwurf zur Novellierung des VwVfG wird die Einrichtung des einheitlichen
Ansprechpartners und die elektronische Verfahrensabwicklung geregelt. ,,Die einheitliche
Stelle nimmt Anzeigen, Anträge, Willenserklärungen und Dokumente entgegen und leitet sie
unverzüglich an die zuständigen Behörden weiter." [EVVG08, § 71b Satz 1] ,,Das Verfahren
nach diesem Abschnitt [gemeint ist Abschnitt 1a, der das Verfahren über eine einheitliche
Stelle regelt, Anmerkung NH] wird auf Verlangen in elektronischer Form abgewickelt. [...]"
[EVVG08, § 71e Satz 1]
Weiterhin geht die Generalklausel des VwVfG zur elektronischen Kommunikation auf die
Möglichkeit der elektronischen Übermittlung von Dokumenten ein, für die die Schriftform
erforderlich ist. ,,Eine durch Rechtsvorschrift angeordnete Schriftform kann, soweit nicht
durch Rechtsvorschrift etwas anderes bestimmt ist, durch die elektronische Form ersetzt
werden. In diesem Fall ist das elektronische Dokument mit einer qualifizierten elektronischen
Signatur nach dem Signaturgesetz zu versehen. Die Signierung mit einem Pseudonym, das die
Identifizierung der Person des Signaturschlüsselinhabers nicht ermöglicht, ist nicht zulässig."
[DVVG04, §3a Satz 2].
2.3.
Telemediengesetz
E-Government-Anwendungen sind im Sinne des Telemediengesetzes (TMG)
26
[DTMG07]
Telemedien. Das TMG. legt u.a. fest, dass ein Diensteanbieter den Nutzer zu Beginn des
Vorgangs über Zweck, Umfang und Art der Erhebung von personenbezogenen Daten zu
informieren hat.
27
Darüber hinaus muss technisch und organisatorisch sichergestellt sein, dass
kein Dritter Kenntnis von der Nutzung des Dienstes haben darf.
28
Eine Maßnahme, um dies
sicherzustellen, ist beispielsweis die Bereitstellung des URL eines Onlinedienstes über
HTTPS.
26
http://bundesrecht.juris.de/tmg/BJNR017910007.html
27
TMG § 13 Satz 1
28
TMG § 13 Satz 4
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Jahr
- 2008
- ISBN (eBook)
- 9783836636964
- DOI
- 10.3239/9783836636964
- Dateigröße
- 849 KB
- Sprache
- Deutsch
- Institution / Hochschule
- FernUniversität Hagen – Informatik
- Erscheinungsdatum
- 2009 (Oktober)
- Note
- 1,5
- Schlagworte
- elektronischer personalausweis european proxy services bürgerportal
