Eine eID-Anwendung ist die von einem Diensteanbieter für die Online-Ausweisfunktion betriebene Webanwendung (Full Client) oder Web-Service (Integrated Client).

Diensteanbieter

Grundsätzlich wird zwischen den drei folgenden Kategorien von Diensteanbietern für die Online-Ausweisfunktion unterschieden. Das Testkonzept gilt aber prinzipiell für alle Diensteanbieter.

Der klassische Diensteanbieter ist eine natürliche oder juristische Person, die den elektronischen Identitätsnachweis zur Erfüllung eigener Geschäftszwecke benötigt.

Ein Identifizierungsdiensteanbieter bietet den elektronischen Identitätsnachweis über die Online-Ausweisfunktion als Dienstleistung in eigener Verantwortung für Dritte an. Diese Dienstleistung darf nur für eine einmalige Identifizierung des Ausweisinhabers erfolgen (einzelfallbezogen). Technisch unterschiedet sich ein Identifzierungsdiensteanbieter nicht von einem klassischen Diensteanbieter. Er stellt einen Spezialfall mit zusätzlichen rechtlichen Anforderungen dar.

Ein Vor-Ort-Diensteanbieter dagegen bietet keinen elektronischen Identitätsnachweis sondern eine medienbruchfreie Übernahme von Ausweisdaten in ein elektronisches Formular an (Vor-Ort-Auslesen). Die Identifizierung des Ausweisinhabers muss dabei vorab vom Vor-Ort-Diensteanbieter über einen klassischen Lichtbildabgleich unter physisch Anwesenden erfolgen. Die beim Vor-Ort-Auslesen nicht erforderliche PIN-Eingabe wird durch eine Erfassung der Zugangsnummer (CAN) ersetzt. Dafür benötigt der Vor-Ort-Diensteanbieter ein entsprechendes Berechtigungszertifikat.

Rahmenbedingungen

Die Technische Richtlinie BSI TR-03128 gibt einen Überblick über die rechtlichen und technischen Voraussetzungen, die Diensteanbieter für die Online-Ausweisfunktion erfüllen müssen. Eine Verpflichtung zur Zertifizierung einer eID-Anwendung nach Teil 2 dieser Richtlinie besteht nur für Identifizierungsdiensteanbieter. Allen Diensteanbietern wird aber empfohlen, ein Sicherheitskonzept zu erstellen.

Innerhalb der eID-Infrastruktur kommuniziert eine eID-Anwendung mit einem eID-Client gemäß BSI TR-03124 und mit dem zugehörigen eID-Server gemäß BSI TR-03130. Daher stellt die erfolgreiche Systemintegration einer eID-Anwendung bereits volle Interoperabilität her.

Tests der eID-Anwendung eines Diensteanbieters erfolgen beim jeweiligen eID-Service-Provider bzw. beim ausgewählten eID-Server. Der eID-Service-Provider muss seinen Diensteanbietern im Rahmen der Systemintegration Testmöglichkeiten zur Verfügung stellen. Als Integrationstest sollte die Einbindung der eID-Anwendung in einer Testumgebung durchgeführt werden. Hierbei ist auf eine fehlerfreie Kommunikation aller Komponenten zu achten. Außerdem sollten die geforderten Reaktionen gemäß Teil 1 der Technischen Richtlinie BSI TR-03130 gezeigt werden. Gefordert werden beispielsweise aussagekräftige Fehlermeldungen.

Entwicklungssystem

Da Diensteanbieter im Wesentlichen fertige Komponenten (eID-Server) integrieren und diese nicht selbst entwickeln, ist das Entwicklungssystem hier nicht relevant. Sofern im Einzelfall dennoch notwendig bzw. sinnvoll, finden ähnliche Prozesse Anwendung wie unter „Testsystem“ aufgeführt.

Testsystem

Zu Testzwecken stellt der eID-Server Hersteller bzw. der eID-Service-Provider seinen Kunden in der Regel eine Testanwendung zur Verfügung.

Identifizierungsdiensteanbietern wird empfohlen, ihren Kunden eine Testschnittstelle zur Integration der Dienstleistung in die eID-Anwendung des Kunden zur Verfügung zu stellen. Damit wäre es für den Identifizierungsdiensteanbieter in den meisten Fällen nicht mehr erforderlich, seinen Kunden eine zusätzliche physikalische Testmusterkarte bereitzustellen.

Wirksystem

Im Wirksystem kann ein Anwender mit seinem Echtausweis theoretisch jede zur Verfügung stehende eID-Anwendung nutzen. Auf dem Personalausweisportal steht eine Auflistung von produktiven eID-Anwendungen zur Verfügung.