Hart­je Bruns

Die siche­re Ver­wal­tung der per­so­nen­be­zo­ge­nen Daten und digi­ta­len Iden­ti­tä­ten ste­hen seit eini­ger Zeit in Wirt­schaft und Ver­wal­tung ganz oben auf der Agen­da. Ver­stärkt wird der Hand­lungs­druck durch neue gesetz­li­che bzw. regu­la­to­ri­sche Bestim­mun­gen wie die DSGVO, die ePri­va­cy-Richt­li­nie und PSD2. Das Ver­trau­en der Nut­zer in das Inter­net wird durch die stei­gen­de Zahl von Iden­ti­täts­dieb­stäh­len auf eine Pro­be gestellt. Auf der ande­ren Sei­te sind Unter­neh­men und Ban­ken bei vie­len Gele­gen­hei­ten gehal­ten, die Iden­ti­tät ihrer Kun­den zwei­fels­frei fest­zu­stel­len. Wel­che Lösun­gen ste­hen zur Ver­fü­gung, um den geschil­der­ten Her­aus­for­de­run­gen begeg­nen zu kön­nen, wel­che Rol­le kön­nen dabei der Neue Per­so­nal­aus­weis (nPA) und die eID über­neh­men? Wel­ches Poten­zi­al birgt die Block­chain-Tech­no­lo­gie und inwie­weit kön­nen ver­teil­te Iden­ti­täts­quel­len neue Ser­vices her­vor­brin­gen? Im Gespräch mit Bank­stil gibt Hart­je Bruns (Foto), vom Port­fo­lio­ma­nage­ment der Gover­ni­kus KG, einen Ein­blick in die aktu­el­le Situa­ti­on in den Berei­chen E‑Government und eID. Dar­über hin­aus wirft er einen Blick in die nähe­re Zukunft, wobei die Kom­bi­na­ti­on ver­trau­ens­wür­di­ger digi­ta­ler Iden­ti­tä­ten eine Schlüs­sel­stel­lung über­neh­men könnte.

Herr Bruns, was genau macht Governikus?

Die Gover­ni­kus KG ist ein seit 1999 eta­blier­ter IT-Lösungs­an­bie­ter für Sicher­heit und Rechts­ver­bind­lich­keit elek­tro­ni­scher Kom­mu­ni­ka­ti­on und elek­tro­ni­scher Doku­men­te. Gegrün­det als bre­men online ser­vices im Jahr 1999, beschäf­tigt sich die Gover­ni­kus KG inten­siv mit dem Schutz per­so­nen­be­zo­ge­ner Daten. Als Pio­nier im E‑Go­vern­ment- und E‑Ju­s­ti­ce-Bereich liegt der Fokus des Port­fo­li­os auf der Unter­stüt­zung zur Digi­ta­li­sie­rung der Ver­wal­tungs­pro­zes­se, die auch im Rah­men der Digi­ta­len Agen­da der Bun­des­re­gie­rung gefor­dert wird.

Der­zeit im Fokus sind ins­be­son­de­re die Iden­ti­fi­ka­ti­on an Ser­vice­kon­ten für Pri­vat­per­so­nen oder Unter­neh­men in Deutsch­land und per­spek­ti­visch in der Euro­päi­schen Uni­on unter Berück­sich­ti­gung von Inter­ope­ra­bi­li­täts­aspek­ten. Alle nach eIDAS noti­fi­zier­ten eID-Token wer­den für die inner-euro­päi­sche Kom­mu­ni­ka­ti­on durch das Unter­neh­men berück­sich­tigt. Über den CEF-Call (Con­nec­ting Euro­pe Faci­li­ty) TREATS öff­net die deut­sche Ver­wal­tung erst­mals die eID-Infra­struk­tur des Per­so­nal­aus­wei­ses für den EU-wei­ten Zugang mit Iden­ti­fi­zie­rungs­mit­teln ande­rer Mit­glieds­staa­ten. Gover­ni­kus hat für das Pro­jekt die Kon­sor­ti­al­füh­rer­schaft übernommen.

Die Nut­zung der Dienst­leis­tun­gen des Staa­tes im Inter­net durch die Bür­ger (E‑Government) scheint noch aus­bau­fä­hig – oder täuscht der Ein­druck? Kön­nen Sie Bei­spie­le nennen?

Die Nut­zung der Dienst­leis­tun­gen sowie die Ange­bo­te der öffent­li­chen Ver­wal­tung sind aus­bau­fä­hig. Über die­sen Zustand sind sich vie­le Ver­tre­ter der öffent­li­chen Ver­wal­tung sehr bewusst. Es wur­den ver­schie­de­ne Geset­zes­in­itia­ti­ven ins Leben geru­fen in im ver­gan­ge­nen Jahr ver­ab­schie­det. Zum Bei­spiel das Gesetz zur Ver­bes­se­rung des Online­zu­gangs zu Ver­wal­tungs­leis­tun­gen (Online­zu­gangs­ge­setz – OZG), in dem sich die Ver­wal­tung dazu ver­pflich­tet, in den kom­men­den fünf Jah­ren die Ver­wal­tungs­dienst­leis­tun­gen elek­tro­nisch ver­füg­bar zu machen. 

Aber auch der Bekannt­heits­grad von bestehen­den Anwen­dun­gen ist ver­bes­se­rungs­fä­hig. Mit der Online-Bean­tra­gung eines poli­zei­li­chen Füh­rungs­zeug­nis­ses und der Mög­lich­keit, online ein KFZ still­zu­le­gen, ste­hen bereits sehr gute Anwen­dun­gen bereit. Lei­der wer­den häu­fig die Vor­tei­le des Online-Aus­wei­ses bei der Bericht­erstat­tung nicht hin­rei­chend berücksichtigt.

Wel­che Rol­le über­neh­men der neue Per­so­nal­aus­weis (nPA) und die eID in dem Zusam­men­hang, d.h inwie­weit kön­nen sie zu einer höhe­ren Akzep­tanz von E‑Go­vern­ment-Ser­vices beitragen? 

Die Online-Aus­weis­funk­ti­on von Per­so­nal­aus­weis und elek­tro­ni­schem Auf­ent­halts­ti­tel ermög­li­chen über­haupt erst eine siche­re und ein­deu­ti­ge digi­ta­le Ver­wal­tung unter höchs­ten Sicher­heits­stan­dards. Die von der Regie­rung aus­ge­ge­be­nen Online-Aus­wei­se fun­gie­ren als hoheit­li­che Doku­men­te die online als Sicher­heits­to­ken ein­ge­setzt wer­den kön­nen. Die Anwen­dung der Online-Aus­weis­funk­ti­on ermög­licht die digi­ta­le Durch­füh­rung für die bis dato immer ein per­sön­li­ches Erschei­nen unter Vor­la­ge des Aus­wei­ses inkl. Unter­schrift von Nöten waren. 

Die Online-Aus­weis­funk­ti­on des Per­so­nal­aus­wei­ses und Auf­ent­halts­ti­tels wur­de am 26.09.17 auf dem höchst­mög­li­chen Ver­trau­ens­ni­veau gemäß eIDAS-Ver­ord­nung an die EU-Kom­mis­si­on noti­fi­ziert. Im Rah­men des Noti­fi­zie­rungs­pro­zes­ses hat­ten die euro­päi­schen Mit­glieds­staa­ten die Mög­lich­keit, das eID-Sys­tem für die Online-Aus­weis­funk­ti­on zu begut­ach­ten und haben ihm das höchs­te Ver­trau­ens­ni­veau bestä­tigt. Damit gehen die Mit­glieds­staa­ten die Ver­pflich­tung ein, die Anwen­dun­gen ihres Lan­des, die ein hohes Ver­trau­ens­ni­veau benö­ti­gen, ab Ende Sep­tem­ber auch über die Online-Aus­weis­funk­ti­on zu ermög­li­chen. (vgl. auch https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/ElektronischeIdentitaeten/Online-Ausweisfunktion/eIDAS-Notifizierung/eIDAS-Notifikation_node.html)

Dadurch wird die Deut­sche ID für die gesam­te euro­päi­sche Ver­wal­tung geöffnet.

An die Stel­le des Bür­ger­kon­tos tritt das Ser­vice Kon­to – was war der Anlass bzw. was ändert sich dadurch?

Hier­bei ging es vor Allem um die Kon­no­ta­ti­on mit dem Begriff „Bür­ger­kon­to“. Das Ser­vice­kon­to wird Bür­gern und Orga­ni­sa­tio­nen, wie z.B. Unter­neh­men und Ver­ei­nen, das Han­deln mit der öffent­li­chen Ver­wal­tung erleichtern.

Was genau bezweckt der Portalverbund?

Im Rah­men der Neu­re­ge­lung des Bund-Län­der-Finanz­aus­gleichs ab 2020 einig­ten Bund und Län­der sich im Dezem­ber 2016 dar­auf, ihre Ver­wal­tungs­por­ta­le unter Berück­sich­ti­gung der föde­ra­len Struk­tu­ren zu einem gemein­sa­men Por­tal­ver­bund zu verknüpfen.

Durch die­sen Por­tal­ver­bund sol­len Bür­ge­rin­nen, Bür­ger und Unter­neh­men die von ihnen gewünsch­te Dienst­leis­tung und die zu die­ser Dienst­leis­tung bereit­ge­stell­ten Infor­ma­tio­nen – unab­hän­gig davon, auf wel­chem Ver­wal­tungs­por­tal sie ein­stei­gen – direkt, schnell, ein­fach und sicher mit drei Klicks errei­chen können.

Auf allen Ver­wal­tungs­ebe­nen sol­len Bür­ger- und Unter­neh­mens­kon­ten als Iden­ti­fi­zie­rungs­kom­po­nen­ten für die ein­fa­che Abwick­lung von Ver­wal­tungs­dienst­leis­tun­gen ange­bo­ten wer­den. Durch Spei­che­rung wich­ti­ger Daten in den Nut­zer­kon­ten müs­sen die Daten nicht stets neu ein­ge­ge­ben wer­den. Zudem wird die siche­re elek­tro­ni­sche Kom­mu­ni­ka­ti­on mit der zustän­di­gen Behör­de vereinfacht.

Zur Bereit­stel­lung eines zen­tra­len und ein­fa­chen Zugangs zu sei­nen Online-Dienst­leis­tun­gen erstellt der Bund 2017 ein neu­es Ser­vice­por­tal, das Teil des Por­tal­ver­bunds sein wird.

Könn­te man die eID in Kom­bi­na­ti­on mit dem Ser­vice-Kon­to auch für ande­re Anwen­dun­gen außer­halb von E‑Government ver­wen­den – z.B. beim Online-Ein­kauf oder im Banking?

Die elek­tro­ni­sche Iden­ti­tät von Per­so­nal­aus­weis und elek­tro­ni­schem Auf­ent­halts­ti­tel eig­net sich für jeden Online-Geschäfts­fall, in dem eine Iden­ti­tät zwei­fels­frei und mit hohem Authen­ti­sie­rungs­le­vel belegt wer­den muss. Die Online-Aus­weis­funk­ti­on schützt sowohl den Ver­brau­cher als auch den Anbie­ter vor Iden­ti­täts­dieb­stahl und macht das Netz dadurch siche­rer. Wil­lens­er­klä­rung kön­nen somit online abge­ge­ben wer­den. Einen Über­blick über sämt­li­che Ange­bo­te erhält man aller­dings im Anbie­ter­ver­zeich­nis der AusweisApp2. Dort wer­den alle Ange­bo­te gelis­te­te, die mit der Online-Aus­weis­funk­ti­on nutz­bar sind und gemel­det werden.

Die Nut­zung von Ser­vice­kon­ten zur Iden­ti­fi­zie­rung auch außer­halb der öffent­li­chen Ver­wal­tung scheint da der nächs­te logi­sche Schritt. Hier­für müs­sen die daten­schutz­recht­li­chen Rah­men­be­din­gun­gen geschaf­fen wer­den, da die Zweck­bin­dung der Daten­er­he­bung zur­zeit auf die Nut­zung von Ange­bo­ten der öffent­li­chen Ver­wal­tung beschränkt ist. Es spricht vie­les dafür, dass ein Nut­zer sei­ne Daten anlass­be­zo­gen auch für die Nut­zung von Anwen­dung außer­halb der öffent­li­chen Ver­wal­tung frei­ge­ben kön­nen sollte. 

Mit dem im Gesetz zur För­de­rung des elek­tro­ni­schen Iden­ti­täts­nach­wei­ses ver­an­ker­ten Vor-Ort-Aus­le­sen wer­den die Ange­bo­te außer­halb des E‑Governments wach­sen. Bei­spie­le für eine sol­che Anwen­dung ist das soge­nann­te „Vor-Ort-Aus­le­sen von Aus­weis­da­ten unter Anwe­sen­den“, bei dem nach dem Licht­bild-Abgleich die Daten durch die Ein­ga­be der auf­ge­druck­ten CAN („Card Access Num­ber“) durch einen Mit­ar­bei­ter ein­ge­ge­ben wer­den. Durch die­sen Vor­gang wird es mög­lich, Daten aus dem Aus­weis elek­tro­nisch aus­zu­le­sen, um die­se dann für die auto­ma­ti­sier­te Wei­ter­ver­ar­bei­tung zu ver­wen­den. Das erspart das müh­sa­me und feh­ler­an­fäl­li­ge abtip­pen oder kopie­ren des Ausweises.

Die­ses Jahr tre­ten ver­schie­de­ne regu­la­to­ri­sche Bestim­mun­gen in Kraft, die nicht ohne Ein­fluss auf die Iden­ti­fi­zie­rung bzw. Authen­ti­fi­zie­rung im Netz sind – wie PSD2 und die DSGVO/​GDPR – wie reagiert Gover­ni­kus darauf?

Sicher­heit, Daten­schutz und infor­ma­tio­nel­le Selbst­be­stim­mung sind seit jeher Leit­sät­ze im Han­deln und in der Soft­ware­ent­wick­lung der Gover­ni­kus. Die Gover­ni­kus KG ist ein eta­blier­ter IT-Lösungs­an­bie­ter für Sicher­heit und Rechts­ver­bind­lich­keit elek­tro­ni­scher Kom­mu­ni­ka­ti­on und elek­tro­ni­scher Doku­men­te. Seit ihrer Grün­dung beschäf­tigt sich die Gover­ni­kus KG inten­siv mit dem Schutz per­so­nen­be­zo­ge­ner Daten.

Bei der Erhe­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner sind durch §3a des Bun­des­da­ten­schutz­ge­set­zes Daten­ver­mei­dung und Daten­spar­sam­keit vor­ge­ge­ben. Die­se Vor­ga­be set­zen wir in Ent­wurf und Imple­men­tie­rung („Pri­va­cy by Design“) und Kon­fi­gu­ra­ti­on („Pri­va­cy by Default“) unse­rer Soft­ware­pro­duk­te um.

Könn­te man Gover­ni­kus auch als Ver­trau­ens­dienst oder als Iden­ti­täts­dienst­leis­ter bezeichnen?

Die Gover­ni­kus bie­tet selbst kei­nen Ver­trau­ens­dienst an. Mit den von der Gover­ni­kus erstell­ten Kom­po­nen­ten kön­nen Ver­trau­ens­diens­te auf­ge­baut wer­den. Die Gover­ni­kus betreibt einen eID-Ser­vice zur Nut­zung der Online-Aus­weis­funk­ti­on für Diens­te­an­bie­ter. In die­sem Fall han­delt es sich nicht um einen Iden­ti­täts­dienst­leis­ter im Sin­ne des §2 (3a) des Geset­zes über Per­so­nal­aus­wei­se und den elek­tro­ni­schen Iden­ti­täts­nach­weis (Per­so­nal­aus­weis­ge­setz – PAuswG).

Wel­che Rol­le über­nimmt die eIDAS-Reg­lung für elek­tro­ni­sche Unter­schrif­ten bei der Ver­wirk­li­chung des digi­ta­len euro­päi­schen Bin­nen­mark­tes – bie­tet Gover­ni­kus dafür Lösun­gen an?

Die Ein­füh­rung der eIDAS-Ver­ord­nung (eIDAS-VO) stellt mit ihren viel­fäl­ti­gen neu­en Mög­lich­kei­ten in Bezug auf Inter­ope­ra­bi­li­tät, Anwen­dungs­raum, Abbil­dung mög­li­cher Sze­na­ri­en sowie ein­setz­ba­rer Hard­ware beson­de­re Anfor­de­run­gen an die zu Grun­de lie­gen­de (Software-)Infrastruktur. Die Kom­po­nen­ten stel­len Funk­tio­nen bereit, die bei Signa­tu­ren und Fern­si­gna­tu­ren im Inland und in der euro­päi­schen Gemein­schaft not­wen­dig sind. Die regu­la­to­ri­schen Vor­ga­ben im qua­li­fi­zier­ten Bereich haben hier­bei eine beson­de­re Rele­vanz und wur­den berück­sich­tigt. Die Funk­tio­nen in Kon­text elek­tro­ni­scher Unter­schrift sind: Anbrin­gung, Über­prü­fung von Signa­tu­ren und Zer­ti­fi­ka­ten und unter­stüt­zen­de kryp­to­gra­fi­sche Funktionen.

Wie ist der aktu­el­le Stand bei der AusweisApp2 – ins­be­son­de­re mit Blick auf die Nut­zung über mobi­le End­ge­rä­te? Gibt es etwas Neu­es zum The­ma iOS?

In 2017 gab es vie­le Neue­run­gen rund um die AusweisApp2. Ange­fan­gen haben wir zu Anfang des Jah­res mit der Ver­öf­fent­li­chung einer Android-Ver­si­on. Es folgt eine Lizenz-Ände­rung zur Euro­pean Uni­on Public Licence (EUPL) womit der Quell­code der Aus­weis­App offi­zi­ell auf Git­hub Open Source gestellt wur­de. Im wei­te­ren Ver­lauf des Jah­res wur­de dann ein Soft­ware Deve­lo­p­ment Kit für die mobi­le Inte­gra­ti­on der Online-Aus­weis­funk­ti­on aus­ge­lie­fert, ein Leit­fa­den für die opti­ma­le Ein­rich­tung und Dar­stel­lung eines Online-Ange­bots für Diens­te­an­bie­ter erstellt und eine Rei­he an Video-Tuto­ri­als zur Unter­stüt­zung ange­fer­tigt und auf You­Tube bereit­ge­stellt. Die iOS-Ver­si­on konn­te wäh­rend­des­sen im Feld­test von Inter­es­sen­ten getes­tet wer­den. Die Ver­öf­fent­li­chung der Ver­si­on ist für 2018 geplant. Da die NFC-Schnitt­stel­le der Apple-Gerä­te der­zeit nicht voll­stän­dig frei­ge­ge­ben ist, bedurf­te es bis vor kur­zem einem ent­spre­chen­den Blue­tooth-Kar­te­le­ser. Mit dem Win­ter-Release (1.14.0) der AusweisApp2, kön­nen nun Android-End­ge­rä­te als Kar­ten­le­ser ein­ge­setzt wer­den. So kann das jewei­li­ge Android-Smart­phone oder Tablet als Kar­ten­le­ser für Ver­bin­dun­gen von Android zu Android und Android zu iOS, Mac OS X, macOS und Win­dows ein­ge­setzt werden. 

Wel­chen Bei­trag könn­te die Block­chain in Zukunft bei der siche­ren Iden­ti­fi­zie­rung im Netz leisten?

Block­chain ist eine span­nen­de Tech­nik, die ihre vol­le Stär­ke dann aus­spielt, wenn eine ver­trau­ens­wür­di­ge drit­te Instanz nicht durch eine Orga­ni­sa­ti­ons­ein­heit abge­bil­det wer­den kann oder soll. Eins der Grund­prin­zi­pi­en in Block­chains ist die Anony­mi­tät bzw. Pseud­ony­mi­tät. Das klingt zunächst wie ein Wider­spruch zur siche­ren und ver­bind­li­chen Iden­ti­fi­zie­rung.  Aus unse­rer Sicht kann der Ein­satz von Block­chain­tech­no­lo­gie neue span­nen­de Ein­satz­fel­der schaf­fen in denen gute benut­zer­zen­trier­te Iden­ti­fi­zie­run­gen mög­lich wer­den. Auch die in eini­gen Block­chain Imple­men­tie­run­gen vor­han­de­ne Mög­lich­keit von „Smart Con­tracts“ könn­te die Ver­knüp­fung von Iden­ti­fi­zie­rung und Dienst­er­brin­gung tech­nisch erzwin­gen. Bei allen Chan­cen, die in Block­chain-Tech­no­lo­gie gese­hen wer­den kön­nen, soll­te nicht ver­ges­sen wer­den, dass die­se Tech­nik nicht kos­ten­los ist. Es ist gera­de im Bereich der öffent­li­chen Ver­wal­tung nicht immer zwangs­läu­fig güns­ti­ger, Lösun­gen auf Block­chain-Tech­no­lo­gie zu betrei­ben, anstatt sie durch ein hoheit­li­ches Rechen­zen­trum betrei­ben zu lassen. 

Was sind die span­nends­ten The­men im Bereich Iden­ti­fi­ka­ti­ons­tech­no­lo­gien in den nächs­ten Jah­ren – wel­che Rol­le wer­den bzw. kön­nen bio­me­tri­sche Ver­fah­ren übernehmen?

Bio­me­trie ist ein sehr span­nen­des The­ma, das in vie­len Län­dern viel selbst­ver­ständ­li­cher ein­ge­setzt wird, als hier­zu­lan­de. In die­ser Hin­sicht sehen wir span­nen­de und daten­schutz­kon­for­me Ent­wick­lun­gen. Als eine gro­ße tech­ni­sche Her­aus­for­de­rung sehen wir die siche­re Auf­be­wah­rung von kryp­to­gra­fi­schen Schlüs­seln oder Zugangs­da­ten, da die elek­tro­ni­sche Iden­ti­tät in der Regel eine lan­ge Lebens­zeit hat. Auch zu Benut­zer­na­men und Kenn­wör­ter müs­sen trotz des hohen Kom­forts in abseh­ba­rer Zeit Alter­na­ti­ven gefun­den wer­den, die ein ähn­li­ches Maß an Sicher­heit gewähr­leis­ten. Auch dafür bie­tet sich u.U. der Ein­satz von Bio­me­trie bzw. kom­bi­nier­ten Ver­fah­ren an. Gro­ße Chan­cen sehen wir in der Fido-Alli­ance, einem Zusam­men­schluss von Anbie­tern wie z.B. Micro­soft oder Goog­le. Die Fido Alli­ance wid­met sich unter dem Mot­to „Simp­ler, Stron­ger Authen­ti­ca­ti­on“ einer kom­for­ta­blen zwei-Fak­tor Authentisierung. 

Beson­ders span­nend sind aus unse­rer Sicht ver­teil­te Iden­ti­täts­quel­len. Ser­vice­kon­ten, eIDAS, PSD2 und wei­te­re Anbie­ter aus dem pri­va­ten Sek­tor bil­den eine gro­ße Palet­te an ver­trau­ens­wür­di­gen Iden­ti­tä­ten, die, wenn sie kom­bi­niert wer­den kön­nen, Diens­te ermög­li­chen, die sonst viel­leicht nicht mög­lich wären. 

Herr Bruns, vie­len Dank für das Gespräch!

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert