Bundesamt für Sicherheit in der Informationstechnik

Online-Ausweisfunktion

Im Zuge der Digitalisierung von Geschäfts- und Verwaltungsprozessen ist die sichere elektronische Identifizierung von entscheidender Bedeutung, um das Vertrauen in elektronische Dienstleistungen zu sicherzustellen.

Die Online-Ausweisfunktion wurde entwickelt dieses Vertrauen zu ermöglichen und basiert auf staatlich ausgegebenen Chipkarten (eID-Karten), welche zertifizierte Chips und starke kryptographische Protokolle verwenden. Hierbei handelt es sich dabei um:

  1. den Personalausweis, ausgegeben an deutsche Bürgerinnen und Bürger sowie
  2. den Aufenthaltstitel, ausgegeben an in Deutschland lebende Nicht-EU-Bürger.

Der Personalausweis Der Personalausweis Der Personalausweis Quelle: Bundesministerium des Innern - BMI

Der Chip der eID-Karte enthält die persönlichen Daten des Besitzers und dient als Sicherheitsanker zum Schutz dieser Daten sowie der Authentifizierung des Besitzers.

Die Online-Ausweisfunktion nutzt eine starke Zwei-Faktor-Authentifizierung mit Authentisierungsfaktoren "Besitz" (eID-Karte) und "Wissen" (6-stellige PIN). Neben den persönlichen Daten enthält die eID-Karte zudem die entsprechenden Schlüssel, um die Authentisierung zu ermöglichen Die PIN wird benötigt, um das Zustimmung des Inhabers auszudrücken und den Authentifizierungsprozess zu starten.

Gegenseitige Authentisierung

Blickt man auf die analoge Welt, so ist dem Inhaber eines Ausweises normalerweise bekannt, gegenüber wem oder welcher Institution er seine Identität nachweist, da die Identifizierung vor Ort in einem Büro der jeweiligen Behörde oder eines Unternehmens erfolgt. Hierbei erfolgt Identitätsnachweis üblicherweise direkt gegenüber der Gegenstelle ohne die Einbeziehung von Dritten.

Die Online-Ausweisfunktion transferiert dieses Prinzip in die digitale Welt. Die Grundprinzipien der elektronischen Identifikation sind

  • die gegenseitige Authentisierung zwischen dem auf der eID-Karte enthaltenen Chip und der angefragten Gegenseite (oder Service Provider) einerseits, andererseits aber auch der Authentifizierung der Gegenstelle gegenüber dem Chip der eID-Karte.
  • die direkte Kommunikation mittels eines sicheren Ende-zu-Ende verschlüsselten Kommunikationskanals zwischen der Gegenstelle und dem Chip der eID-Karte, ohne die Einbeziehung von Dritten in diesen Vorgang

Gegenseitige Authentifizierung zwischen Karteninhaber und Diensteanbieter Gegenseitige Authentifizierung Gegenseitige Authentifizierung zwischen Karteninhaber und Diensteanbieter

Der Zugriff auf jegliche Daten ist hierbei nur nach einer erfolgreichen Authentifizierung der Gegenstelle und der zugehörigen Zugriffsrechte möglich. Im Unterschied zu Signatur-basierten eID-Systemen erhält die Gegenseite keinen permanenten Beweis für die erfolgte Authentisierung, was aus Sicht des Datenschutzes von Vorteil ist.

Authentisierungsmechanismus

Der Authentisierungsmechanismus der Online-Ausweisfunktion ist die General Authentication Procedure (siehe: BSI-TR 03110)

Authentisierungsmechanismus Authentisierungsmechanismus Authentisierungsmechanismus

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK