Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Online-Ausweisfunktion

Im Zuge der Digitalisierung von Geschäfts- und Verwaltungsprozessen ist die sichere elektronische Identifizierung von entscheidender Bedeutung, um das Vertrauen in elektronische Dienstleistungen sicherzustellen.

Die Online-Ausweisfunktion wurde entwickelt, um dieses Vertrauen zu ermöglichen. Sie basiert auf staatlich ausgegebenen Chipkarten (eID-Karten), welche zertifizierte Chips und starke kryptographische Protokolle verwenden. Hierbei handelt es sich um:

  1. den Personalausweis für deutsche Bürgerinnen und Bürger,
  2. den Aufenthaltstitel für in Deutschland lebende Mitbürgerinnen und Mitbürger aus Staaten außerhalb der EU,
  3. die eID-Karte für Bürgerinnen und Bürger der EU und des EWR.
Der Personalausweis Der Personalausweis
Der Personalausweis Quelle: Bundesministerium des Innern - BMI

Der Chip der eID-Karte enthält die persönlichen Daten des Besitzers und dient als Sicherheitsanker zum Schutz dieser Daten sowie der Authentifizierung des Besitzers.

Die Online-Ausweisfunktion nutzt eine starke Zwei-Faktor-Authentisierung mit Faktoren "Besitz" (eID-Karte) und "Wissen" (6-stellige PIN). Neben den persönlichen Daten enthält die eID-Karte zudem die entsprechenden Schlüssel, um die Authentisierung zu ermöglichen. Die PIN wird benötigt, um das Zustimmung des Inhabers auszudrücken und den Authentifizierungsprozess zu starten.

Gegenseitige Authentisierung

Blickt man auf die analoge Welt, so ist dem Ausweisinhaber normalerweise bekannt, gegenüber wem er seine Identität nachweist. Der Identitätsnachweis erfolgt üblicherweise direkt vor Ort gegenüber der Gegenstelle ohne die Einbeziehung von Dritten. Die Online-Ausweisfunktion transferiert dieses Prinzip in die digitale Welt. Die Grundprinzipien dieser elektronischen Identifikation sind:

  • Die gegenseitige Authentisierung zwischen dem auf der eID-Karte enthaltenen Chip und der angefragten Gegenseite einerseits, andererseits aber auch der Authentifizierung der Gegenstelle gegenüber dem Chip der eID-Karte.
  • Die direkte Kommunikation mittels eines sicheren Ende-zu-Ende verschlüsselten Kommunikationskanals zwischen der Gegenstelle und dem Chip der eID-Karte, ohne die Einbeziehung von Dritten in diesen Vorgang.
Gegenseitige Authentifizierung zwischen Karteninhaber und Diensteanbieter Gegenseitige Authentifizierung
Gegenseitige Authentifizierung zwischen Karteninhaber und Diensteanbieter

Der Zugriff auf jegliche Daten ist hierbei nur nach einer erfolgreichen Authentifizierung der Gegenstelle und der zugehörigen Zugriffsrechte möglich. Im Unterschied zu Signatur-basierten eID-Systemen erhält die Gegenseite keinen permanenten Beweis für die erfolgte Authentisierung, was aus Sicht des Datenschutzes von Vorteil ist.

Authentisierungsmechanismus

Der Authentisierungsmechanismus der Online-Ausweisfunktion ist die General Authentication Procedure (siehe: BSI-TR 03110)

Authentisierungsmechanismus Authentisierungsmechanismus
Authentisierungsmechanismus

Weitere Informationen

Weitere Informationen

Zurück zu Elektronische Identitäten

Kurz-URL:
https://www.bsi.bund.de/dok/8920706