Elektronische Identität

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Michael Patrick Kelly - iD ft. Gentleman - YouTube https://www.youtube.com/watch?v=lKqdEjvnH04

Im realen Leben ist ein Informationsaustausch oder eine Transaktion mit nicht-trennbarer Zusatzinformation über den jeweils Austauschenden verbunden. Bei digitalen Interaktionen zwischen Personen oder Objekten werden Bits übertragen, die keine solchen Zusatzinformationen implizit beinhalten, es sei denn, sie werden explizit den zu übertragenden Daten hinzugefügt, um den Authentifizierungsprozess (Prüfung der Behauptung einer partiellen Identität) bei Interaktionen im Netz zum Nachweis der elektronischen Identität zu ermöglichen.

Um eine vertrauensvolle bidirektionale Kommunikation zu ermöglichen, müssen Mechanismen der gegenseitigen Identifikation etabliert werden. Gegenseitiges Vertrauen wird nur dann erreicht, wenn ein sicherer und gesicherter Austausch von Identitätsinformationen stattfindet. Als Vorbild kann hier die Online-Ausweisfunktion des neuen Personalausweises dienen. Zukünftig werden verstärkt digitale Identitäten für Dienste und Objekte vergeben (Internet der Dinge); auch hier muss dieser Grundsatz gelten.

Elektronische/Digitale Identitäten für Personen, Dienste und Organisationen

Seit dem 1.11.2010 bzw. 1.9.2011 gibt es in Deutschland den neuen (elektronischen) Personalausweis (nPA) bzw. den elektronischen Aufenthaltstitel (eAT) für Drittstaatsangehörige mit Wohnsitz in Deutschland. Ein personalisierter Mikroprozessor in beiden Ausweisdokumenten (Chipkarten) realisiert eine gegenseitige Authentifizierung zweier Kommunikationspartner (Diensteanbieter und Ausweisinhaber) über das Internet, so dass jede Partei weiß, mit wem sie kommuniziert.


Identität des Ausweisinhabers

An Stelle der Überprüfung der Übereinstimmung körperlicher Merkmale (Abgleich des Gesichtsbildes) tritt in der elektronischen Welt die Eingabe einer geheimen PIN. Durch diesen Prozess (Ausweis und PIN, auch Zweifaktor-Authentisierung genannt) beweist der Besitzer des Personalausweises, auch Inhaber, d.h. rechtmäßiger Besitzer des Personalausweises zu sein.


Identität des Diensteanbieters

Ein weiteres Ziel ist, dass sich nicht nur der Personalausweisinhaber gegenüber einem Dienstanbieter authentisiert, sondern auch der Dienstanbieter gegenüber dem Personalausweisinhaber; die Authentifizierung soll also gegenseitig sein. Dies geschieht über ein so genanntes Berechtigungszertifikat, das Dienstanbieter erhalten. In diesem sind neben Angaben zur Gültigkeit und zum Inhaber des Zertifikates auch ein öffentlicher Schlüssel und die Kategorien der Daten, die der Dienstanbieter vom Chip des Personalausweises lesen darf, enthalten. Diese Zertifikate erhalten Dienstanbieter von einer staatlichen Stelle, der Vergabestelle für Berechtigungszertifikate (VfB). Dabei muss der Dienstanbieter ein berechtigtes Interesse nachweisen, personenbezogene Daten aus dem elektronischen Personalausweis auszulesen.


Erforderlichkeitsprüfung

Das berechtigte Interesse wird innerhalb einer Erforderlichkeitsprüfung festgestellt und stellt die Voraussetzung für die Vergabe von Berechtigungszertifikaten dar. Beispielsweise erhalten Dienste, die eine Altersverifikation durchführen müssen, lediglich Zugriff auf das Datum, das beschreibt, ob der Inhaber ein gewisses Alter über- oder unterschritten hat. Andere Dienste, wie zum Beispiel Online-Versandhäuser, können darüber hinaus auch Zugriff auf Daten wie Name, Vorname und Wohnadresse erhalten, d.h. die Berechtigung garantiert, dass der Diensteanbieter nur die Daten auslesen kann, die für seinen jeweiligen Prozess erforderlich sind.[1]. Mit der Kombination aus Ausweiskarte (Besitz) und Geheimnummer (Wissen) ist eine Zweifaktor-Authentisierung gegeben, die ein hohes Sicherheitsniveau erreicht und damit eine sichere Alternative zu herkömmlichen Registrierungs-, Identifizierungs- und Login-Prozessen (z.B. PostIdent-Verfahren) ist.


Europäische Aktivitäten

In der Europäischen Union wird die Verwendung der elektronischen Identifizierung und darauf basierender „Vertrauensdienste“, z.B. Verwendung der elektronischen Signatur vereinfacht und harmonisiert. Der EU-Rat hat am 24. Juli 2014 einen entsprechenden Verordnungsentwurf über die elektronische Identifizierung (eIDAS) angenommen (http://register.consilium.europa.eu/doc/srv?l=EN&f=PE%2060%202014%20INIT). Firmen, Behörden und Bürger sollen damit in die Lage versetzt werden, Dokumente in der gesamten EU elektronisch zu unterzeichnen und zu zertifizieren. Die Mitgliedsstaaten werden verpflichtet, eID-Systeme anderer EU-Länder unter bestimmten Umständen offiziell anzuerkennen. Nach dem Inkrafttreten der Verordnung wird die bisherige europäische Signatur-Richtlinie ungültig.


Definitionen

Identität und Teilidentitäten einer Person in verschiedenen Rollen (Quelle: achelos GmbH)

Entität

Eine Entität (von lateinisch entitas, entitatis f, Substantiv, abgeleitet von ens "seiend", etwas Seiendes) ist eine (natürliche oder juristische) Person oder ein Objekt (z.B. ein Gerät, eine technische Komponente, ein Dienst, Daten etc.), jeweils charakterisiert durch mindestens ein eindeutiges Merkmal, auch Attribut genannt.

Attribut

Ein Attribut ist ein bestimmtes, mit einem Namen versehenes Merkmal oder eine Eigenschaft einer Entität.

Identität

Die Identität (von lateinisch identitas, identitatis f, Substantiv zusammengesetzt aus lateinisch idem „derselbe, dasselbe“ und entitas das Seiende) einer Entität ist bestimmt durch die Menge ihrer Attribute, wobei eine Entität genau eine Identität besitzt.

Identifizierung

Identifizierung ist der Vorgang, eine Entität anhand von behaupteten, beobachteten oder zugewiesenen Attributen zu bestimmen.

Partielle Identität

Eine Teilidentität oder Partielle Identität ist eine bestimmte Untermenge von Attributen einer Entität.

Elektronische Identität

Eine Elektronische Identität oder synonym eine Digitale Identität ist die elektronische Repräsentation einer partiellen Identität.

Interaktionen im realen Leben sind grundsätzlich mit der Identität der handelnden Personen in ihren unterschiedlichen Rollen verbunden, z.B. wird die Kassiererin in einem Geschäft jemanden nach einem (gegebenenfalls mehrfachem) Einkauf aufgrund seines Äußeren wiedererkennen (vgl. Abbildung).


Einzelnachweis

  1. Margraf, Marian: Der elektronische Identitätsnachweis des zukünftigen Personalausweises, in: 19. SIT Smartcard Workshop 3./4. Februar 2009, Tagungsband, Hrsg. Waldmann, U.; Knies, Th., Darmstadt 2009, Seite 2f)


Literaturhinweis

Hühnlein, Detlef: Identitätsmanagement in: DuD Datenschutz und Datensicherheit 3/2008 Seite 163ff


Siehe auch



Diese Seite wurde zuletzt am 18. August 2017 um 14:57 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Lutz Martiny.

Anzeigen