Digitale Identitäten im Kontext von E-Government-Anwendungen

Bachelorarbeit von Niclas Hoye

Einleitung:

Eine ganze Reihe von Verfahren der öffentlichen Verwaltung sind bereits heute als E-Government-Anwendungen umgesetzt. Dadurch wurden die damit einhergehenden Geschäftsprozesse zum Teil optimiert. Dies betrifft Aspekte der Interaktion, Information und Kommunikation zwischen Bürgern und der Verwaltung. Ein Bürger kann beispielsweise eine ganze Reihe von Informationen auf der Website einer Behörde einsehen und mit ihr per EMail kommunizieren. Jedoch lassen sich nach wie vor viele transaktionsorientierte Geschäftsprozesse aufgrund einer fehlenden Infrastruktur für digitale Identitäten nicht medienbruchfrei über das Internet abwickeln. Viele Verwaltungsakte erfordern eine eindeutige Identifizierung des Bürgers. Derzeit dient vor allem der Personalausweis als Dokument zum Nachweis der Identität in hoheitlichen manuellen Verfahren. Auf ihm werden die Identitätsdaten ausschließlich aufgedruckt und können somit nicht elektronisch übermittelt werden. Die betreffenden Genehmigungsverfahren können somit nicht medienbruchfrei abgewickelt werden. Der Bürger muss also zu ihrer Durchführung nach wie vor persönlich bei der jeweiligen Behörde erscheinen, damit ein Behördenmitarbeiter durch Inaugenscheinnahme des Personalausweises abgleichen kann, ob der Bürger derjenige ist, der er zu sein behauptet. Gäbe es die Möglichkeit, sich im Internet auf sichere Weise elektronisch zu identifizieren, so würde dies zu einer weiteren erheblichen Optimierung der hoheitlichen Verfahren führen. Viele Genehmigungsverfahren, die bislang ein umfangreiches Mitwirken von Behördenmitarbeitern erforderten, könnten dann automatisiert und elektronisch abgewickelt werden. Behördenmitarbeiter müssten nur noch in den Prozess eingreifen, wenn es einer Entscheidung bedarf, die nicht automatisiert abgebildet werden kann. Für den Bürger wiederum würde die Einführung einer digitalen Identität bedeuten, dass Behördengänge unnötig werden und er nicht an die Öffnungszeiten der jeweiligen Behörde gebunden ist.

Unter der Identität einer Person versteht man die Menge der Ausprägungen aller Attribute, die diese charakterisieren. Jede Person besitzt eine eindeutige Identität. Ändert sich die Ausprägung eines Attributs, beispielsweise des Alters, so behält die Person ihre Identität bei. Um eine Person in Geschäftsprozessen identifizieren zu können, bedarf es demnach einer unveränderlichen Teilmenge an Attributen, die eindeutig ist. Häufig wird hierzu ein gesondertes Ordnungsmerkmal verwendet. Partielle Identitäten bilden nur eine Teilmenge der charakterisierenden Attribute einer Person ab. Sinnvollerweise sollte eine partielle Identität solche Attribute beinhalten, die in dem jeweiligen Kontext adäquate Informationseinheiten darstellen. Eine digitale Identität wiederum stellt die elektronische Repräsentation einer partiellen Identität dar.

Derzeit verzichten viele Bürger in Deutschland auf die Nutzung von E-Government-Anwendungen, da sie nicht in deren Sicherheit und generell der des Internet vertrauen. In den Medien wird vielfach von entsprechenden Sicherheitslücken berichtet. So haben viele die Sorge, dass ihre personenbezogenen Daten in die Hände Unbefugter gelangen (beispielsweise durch Phishing-Atacken) oder bei der Übertragung in böswilliger Absicht verfälscht werden können. Kennt ein Unberechtigter erst die Identitätsdaten einer anderen Person, so kann er sie dazu missbrauchen, deren Identität vorzutäuschen (Identitätsdiebstahl). Die Verwendung einer digitalen Identität stellt also zunächst nur eine behauptete Identität (Claim) dar. Bei Verwaltungsakten, die einen Nachweis der Identität erfordern, muss die behauptete Identität also verifiziert werden. Dabei bestehen Sicherheitsziele bezüglich der Verbindlichkeit und Vertraulichkeit der übertragenen Daten. ‘Unter dem Sammelbegriff Verbindlichkeit versteht man das Ziel, dass die übertragenen Daten als 'gültig' angesehen werden können. Insbesondere sind hierbei die Rechtsverbindlichkeit (im Sinne eines Vertragsabschlusses), Erfüllung der Schriftform-Erfordernis (gemäß den rechtlichen Anforderungen) und die Nicht-Abstreitbarkeit (Schutz gegen nachträgliches Bestreiten der Urheberschaft) zu gewährleisten. Außerdem sind auch die Anforderungen Identifizierbarkeit des Absenders (Möglichkeit der eindeutigen Zuordnung der Identifikations-Daten), Eindeutigkeit der Abbildung der Authentisierungs-Daten auf den Datenbestand und Integrität der Daten (Schutz gegen Veränderung von Daten bei deren Übertragung) wichtig. Für viele Fachverfahren ist auch der Zeitpunkt der Identitätsfeststellung wesentlich, also die Frage nach der Notwendigkeit einer Ex-ante-Authentifizierung (Authentifizierung vor Erbringung der Dienstleistung).’ [AIEG02, S. 10] Letzteres gilt für Verfahren, die zunächst die Vorlage des Personalausweises erfordern, per se. ‘Unter Vertraulichkeit versteht man das Ziel, dass kein unberechtigter Dritter Kenntnis der übertragenen Daten erhält. Insbesondere sind hierbei die Sicherheit der Datenübertragung (Schutz gegen Mitlesen bei der Datenübermittlung) und die Adressierbarkeit des Empfängers (Schutz gegen Übermittlung der Daten an einen unberechtigten Dritten) zu gewährleisten.’ Da bei Verwendung einer digitalen Identität der Nachweis durch Inaugenscheinnahme entfällt, müssen gleichwertige Sicherheitsfunktionen implementiert werden. Dabei müssen folgende Funktionen zur Verfügung stehen:

Authentisierung – Die Kommunikationspartner müssen nachweisen, dass sie tatsächlich diejenigen sind, die sie zu sein vorgeben.

Authentifizierung – Die Kommunikationspartner müssen die Authentisierungsdaten auf Korrektheit prüfen.

Identifizierung – Die Identitätsdaten des Kommunikationspartners werden ermittelt.

Autorisierung – Man prüft die Berechtigung des Kommunikationspartners zum Ausführen bestimmter Operationen und gewährt entsprechenden Zugriff.

Kryptographie – Damit Unberechtigte nicht in den Besitz der ausgetauschten Daten gelangen, müssen Verschlüsselungsmechanismen zur Verfügung stehen.

Es existieren theoretisch drei unterschiedliche Methoden sich zu authentisieren:

Wissen um ein Geheimnis – man erbringt den Nachweis, dass man eine Information hat, die sonst niemandem zugänglich sein sollte, bspw. durch Eingabe eines Passwortes oder einer PIN-Nummer.

Besitz eines Gegenstands – nur der Besitzer des Gegenstandes kann sich authentifizieren, bspw. durch Einführen einer Chipkarte in einen entsprechenden Kartenterminal.

Anwesenheit – man weist nach, dass man während der Authentisierung vor Ort ist, bspw. durch Inaugenscheinnahme oder durch das Erfassen und Abgleichen von biometrischen Merkmalen.

Keiner der aufgeführten Methoden bietet absolute Sicherheit. Ein Unberechtigter könnte durch eine Phishing-Attacke Wissen über eine PIN-Nummer erlangen oder durch Diebstahl in den Besitz einer Chipkarte gelangen. Die höchste Sicherheit bezüglich einer elektronischen Authentisierung würde das Erfassen und Abgleichen biometrischer Merkmale bieten. Das Auslesen biometrischer Merkmale ist jedoch nach dem deutschen Passgesetz lediglich Polizeivollzugsbehörden, der Zollverwaltung, Pass-, Personalausweis- und Meldebehörden zur Feststellung der Echtheit des Dokuments und der Identität des Inhabers gestattet. Darüber hinaus steht die dafür benötigte Infrastruktur nicht in einem ausreichenden Maß zur Verfügung. Eine deutliche Optimierung der Sicherheit gegenüber der Anwendung nur einer Methode lässt sich durch die Kombination der Authentisierungsprinzipien Wissen und Besitz erzielen.

Die Bundesregierung plant für Ende 2009 die Einführung des elektronischen Personalausweises (ePA). Neben den bisherigen Funktionen als Dokument zur Identifizierung durch Inaugenscheinnahme und als Reisedokument, soll er um digitale Identitätsdaten erweitert werden, um mit ihm einen elektronischen Identitätsnachweis (eID-Funktion) erbringen zu können. Die eID-Funktion kann auf Veranlassung des ePA-Inhabers auf dem Chip abgeschaltet aber auch später wieder eingeschaltet werden. Des Weiteren sollen wie beim elektronischen Reisepass (ePass) biometrische Merkmale elektronisch vorgehalten werden. Das Lichtbild ist dabei verpflichtend elektronisch zu erfassen, während der ePA-Inhaber frei darüber entscheiden können soll, ob seine Fingerabdrücke gespeichert werden. Geplant ist auch, dass man optional ein Signaturzertifikat von einer gewerblichen Zertifizierungsstelle nachladen kann. Da der Personalausweis jedoch nicht über ein Personenkennzeichen verfügt (die Seriennummer darf nicht zum Abruf personenbezogener Daten verwendet werden), ist die Signaturfunktion nicht dazu geeignet, verfahrensspezifische elektronische Dokumente zu ‘unterschreiben’, welche die Angabe eines Personenkennzeichens erfordern, wenn dieses nicht auf andere sichere Weise in den Prozess eingebracht wird. Mit der Einführung des ePA hat in Deutschland in einigen Jahren jeder Bürger die Option, in den Besitz einer digitalen Identität zu gelangen, was mit einiger Sicherheit zu einer vermehrten Nutzung von E-Government-Anwendungen führen wird.

Dies wird jedoch nur dann eintreten, wenn die Bürger von der Sicherheit des ePA überzeugt sind. Neben den datenschutzrechtlichen Erfordernissen soll dieser Tatsache durch folgende Anforderungen an die Implementierung des ePA Rechnung getragen werden:

Die Authentisierung und Freigabe der verifizierten Identitätsdaten (elektronischer Identitätsnachweis) soll unter der Kontrolle des Besitzers des ePA stehen.

Zur erhöhten Sicherheit sind die beiden Authentisierungsprinzipien Wissen und Besitz zu kombinieren (Authentizität). Dadurch wird eine starke Bindung zwischen dem ePA und dessen Inhaber hergestellt.

Es sollen nur die Identitätsdaten übermittelt werden, die in dem jeweiligen Kontext benötigt werden (Prinzip der Datensparsamkeit). Des Weiteren sollen nur solche Entitäten Zugriff auf die Identitätsdaten des ePA haben, die dazu von staatlicher Seite berechtigt sind.

Die Übertragung der Daten muss über einen gesicherten Kanal erfolgen, so dass kein Unberechtigter Zugriff auf die Daten erlangen kann (Vertraulichkeit).

Der Empfänger der Identitätsdaten muss sich ebenfalls gegenüber dem ePA und dem Besitzer des ePA auf sichere Weise authentisieren.

Das Thema elektronische Identität (eID) ist jedoch nicht nur im nationalen sondern auch im europäischen Kontext von Belang. In Kapitel 1 wird erläutert, welche E-Government-Programme auf EU- und auf BRD-Ebene sich mit dem Thema befassen und welche Vorgaben bezüglich der Umsetzung einer eID erarbeitet wurden. Selbstverständlich gibt es auch einige gesetzliche Normen, die dabei zu berücksichtigen sind und andere, die den Erfordernissen entsprechend anzupassen sind. Sie werden in Kapitel 2 vorgestellt. In Kapitel 3 wird die Notwendigkeit der Einführung digitaler Identitäten erläutert. Der Umgang mit Personenkennzahlen in Deutschland wird in Kapitel 4 beschrieben. Die Rechtslage macht die Verwendung bereichsspezifischer Personenkennzahlen erforderlich. Wie dies umgesetzt wird, wird beispielhaft an einigen aktuellen Projekten der Bundesverwaltung erörtert. Kapitel 5 befasst sich mit der technischen Realisierung des ePA. Besonderes Augenmerk wird dabei auf die Spezifikation des Protokolls zur Implementierung der eID-Funktion gerichtet. Aspekte der Interoperabilität der eID-Funktion werden in Kapitel 6 beleuchtet. Dies betrifft zum einen Interoperabilität der Chipkarten, die im Rahmen der Kartenprojekte der Bundesregierung ausgegeben werden. Zum anderen betrifft es die grenzüberschreitende Interoperabilität der unterschiedlichen eID-Lösungen der EU-Staaten. In Kapitel 7 wird mit den Bürgerportalen eine weitere Lösung der Bundesregierung beschrieben, mit der die Erbringung eines sicheren elektronischen Identitätsnachweises möglich ist. Zuletzt werden in Kapitel 8 Einsatzszenarien der eID-Funktion dargestellt.

Inhaltsverzeichnis:

Textprobe:

Kapitel 2.6 Datenschutz Der Datenschutz basiert in Deutschland insbesondere auf dem Recht auf informationelle Selbstbestimmung, welches besagt, dass jeder grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen kann. Es wird vom deutschen Recht nicht ausdrücklich erwähnt, sondern leitet sich vom 1983 vom Bundesverfassungsgericht gefällten Volkszählungsurteil ab. Dieses verhinderte diefür 1983 geplante Volkszählung, welche eine Totalerfassung aller Bürger unter Einbeziehung personenbezogener Daten vorsah. Die Volkszählung wurde daraufhin in abgewandelter Form erst 1987 durchgeführt. Die personenbezogenen Daten wurden in anonymisierter Weise erhoben, womit gewährleistet war, dass eine Verknüpfung der Daten mit der zugehörigen Person nicht möglich war. Die zentrale Begründung des Urteils lautet: ‘Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen.’ Das Recht auf informationelle Selbstbestimmung gilt nach jedoch nicht unumschränkt. Ist eine Erhebung personenbezogener Daten in Hinblick auf das Allgemeininteresse notwendig, so kann das Recht auf der Grundlage entsprechender Gesetze begrenzt werden. Die Erhebung der Daten muss jedoch den Grundsatz der Verhältnismäßigkeit wahren. Eine Totalerhebung ist nur dann rechtmäßig, wenn sie nur einzelne Lebensbereiche abzubilden vermag, die zu keiner gänzlichen oder teilweisen Registrierung und Katalogisierung der Persönlichkeit und damit zur Erstellung eines Persönlichkeitsprofils führt. Daraus folgt jedoch, dass die Erschließung eines derartigen Datenverbundes durch eine unbeschränkte Verknüpfung der erhobenen Daten mit den bei den Verwaltungsbehörden vorhandenen, oder durch die Verwendung eines einheitlichen Personenkennzeichens oder sonstigen Ordnungsmerkmals unzulässig ist.

Das Volkszählungsurteil machte eine Novellierung des Bundesdatenschutzgesetzes (BDSG) und der Datenschutzgesetze der Länder erforderlich. Diese regeln den Umgang mit personenbezogenen Daten insbesondere in Hinblick auf deren Erhebung, Speicherung, Nutzung und Verarbeitung in Behörden und deren Übermittlung an Dritte. Dem im Volkszählungsurteil erhobenen Grundsatz der Verhältnismäßigkeit bezüglich der Erhebung personenbezogener Daten wird im BDSG durch die Formulierung davon abgeleiteter Grundsätze Rechnung getragen. Von besonderer Relevanz für den Umgang mit elektronischen Identitäten im Kontext von E-Business- und E-Government-Anwendungen sind die Grundsätze der Zweckbindung, der Zweckentsprechung und der Datenvermeidung und Datensparsamkeit. Der Grundsatz der Zweckbindung besagt, dass Daten, die für einen bestimmten Zweck erhoben wurden, für keine anderen Zwecke verwendet werden dürfen. Unter Zweckentsprechung ist zu verstehen, dass neben den für den jeweiligen Zweck unbedingt benötigten Daten keine weiteren Daten erhoben werden dürfen. Dem wird dadurch Rechnung getragen, indem es lediglich gestattet ist, personenbezogene Daten zu erheben, zu erfassen und zu verarbeiten, wenn dies durch Regelungen des BDSG oder andere Rechtsvorschriften ausdrücklich gestattet wird oder wenn die Person, über die Daten erhoben werden soll, seine Einwilligung dazu gibt. Hinsichtlich der genannten Maßnahmen liegt also ein Verbot mit Erlaubnisvorbehalt vor. Der Grundsatz der Datenvermeidung und Datensparsamkeit konkretisiert den Grundsatz der Zweckentsprechung. Er legt fest, dass die Erstellung oder Auswahl von Datenverarbeitungssystemen darauf ausgerichtet sein muss, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.

Darüber hinaus beeinflusste das Volkszählungsurteil die Formulierung der Europäischen Datenschutzrichtlinie, die den EU-Mitgliedsstaaten Mindeststandards hinsichtlich der nationalen Datenschutzgesetze vorschreibt.