Das Smartphone als Ausweisersatz?
Bundesregierung plant virtuelle Variante des elektronischen Personalausweises
Mit großen Erwartungen wurde vor zehn Jahren der elektronische Personalausweis eingeführt, der den Nutzern eine einfache und sichere Identifikation im Internet ermöglichen sollte. Doch die vielversprechende „eID“-Funktion konnte sich bei den Bürgerinnen und Bürgern nicht durchsetzen.
Weder bei Behörden noch bei Unternehmen gibt es derzeitig genügend Einsatzmöglichkeiten des elektronischen Personalausweises. Banken oder Mobilfunkanbieter, die Kunden zweifelsfrei identifizieren müssen, setzen in der Regel auf Video-Ident oder Post-Ident. Zu den wenigen eID-Unterstützern zählen lediglich die Direktbanken Comdirect und DKB.
Nun fördert das Wirtschaftsministerium die Entwicklung einer virtuellen Version des Ausweisdokumentes, die auf dem Smartphone gespeichert werden kann. Dadurch sollen Nutzer sich künftig allein mit dem Smartphone online ausweisen können, eine schnellere und einfachere Handhabung, die Video-Ident oder Post-Ident zukünftig überflüssig machen könnte.
Zu diesem Zweck arbeitet die Bundesdruckerei im Rahmen des Projektes „Optimos 2.0“ an der Erstellung eines entsprechenden Produktes und hat bereits eine lauffähige Demoversion entwickelt. Das für Ausweisfragen zuständige Innenministerium prüft schon gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die Rahmenbedingungen für eine Markteinführung der App.
Im E-Ausweis befindet sich ein Chip, auf dem die aufgedruckten Identitätsdaten wie Name und Anschrift des Inhabers gespeichert sind. Will ein Unternehmen oder eine Behörde die Daten über das Internet auslesen, muss der Ausweis zunächst in ein entsprechendes Kartenlesegerät gesteckt und die PIN des Inhabers eingegeben werden. Danach prüft die Software im Chip, ob die Gegenseite ein Berechtigungszertifikat des Bundesverwaltungsamtes vorweisen kann und ermöglicht im Anschluss die verschlüsselte Datenübertragung.
Ein ähnlicher Sicherheitschip, auch Secure Element genannt, ist mittlerweile auch in vielen Smartphones enthalten und wird etwa für Bezahldienste wie Apple Pay genutzt. Die Bundesdruckerei lässt im Rahmen des Optimos-Projektes nun auch die Software des elektronischen Personalausweises auf solchen Chips laufen, indem sie ein sogenanntes Applet darauf legen. Bislang ist allerdings nur das Samsung Galaxy S20 offiziell für den virtuellen Personalausweis freigegeben, da es als einziges Gerät den strikten Anforderungen des BSI an Systeme zur elektronischen Identifizierung entspricht. Andere Konzerne wie Apple und Google verwenden in ihren Geräten zwar auch die benötigten Sicherheitschips, müssen diese aber erst noch für die deutsche Ausweis-Applet freigeben und die Technik vom BSI überprüfen lassen.
Bei Sicherheitsfragen verweist die Bundesdruckerei auf kryptografische Verfahren, die das Applet und die Ausweisdaten während der Ersteinrichtung schützten. Danach kann ausschließlich die signierte Android-App der Bundesdruckerei auf das Applet zugreifen, während andere Apps und sogar das Betriebssystem keinerlei Zugriffsrechte besitzen.
Dennoch ist der virtuelle Ausweis der Kombination aus Lesegerät und Personalausweis im Bereich der IT-Sicherheit unterlegen. Die neue Lösung ist nämlich nur für das untere und das mittlere von drei „Vertrauensniveaus“ der europäischen eIDAS-Verordnung geeignet. Die klassische eID-Funktion mit physischem E-Personalausweis erfüllt hingegen auch das höchste Sicherheitsniveau. Somit würde die Smartphone-Variante zum Beispiel für einen Online-Antrag auf Bafög nicht ausreichen. Damit ist der virtuelle Personalausweis zwar eine gute Ergänzung zum physischen Ausweis mit AusweisApp und Pin, kann diese aus Sicherheitsgründen aber noch nicht ersetzen.
Aufgrund seiner hohen Sicherheitsstandards bietet das BSI-zertifizierte Kommunale Rechenzentrum Minden-Ravensberg/Lippe (krz) daher weiterhin einige Anwendungsmöglichkeiten für die Online-Ausweisfunktion in den Kreisen Herford, Lippe und Minden-Lübbecke an, die hier zusammengestellt sind.