Potential der Bürgerkarte: Neupositionierung und Erweiterung

Das Konzept Bürgerkarte enthält innovative Konzepte, wie das bereichsspezifische Personen­kennzeichen und die Kombination einer kryptografischen Authentifizierung bei gleichzeitiger Restriktion der Weitergabe von Attributen durch den Benutzer. Allerdings führte die Umsetzung seit dem Start vor 10 Jahren zu keiner nennenswerten Marktdurchdringung. Im Folgenden werden die Möglichkeiten für eine bessere Akzeptanz durch Erweiterungen, Neupositionierung und Nutzung von Synergien vorgeschlagen.

Das ursprüngliche Sicherheitsmodell der BK sah primär die Verwendung qualifizierter Signaturen in Dokumenten durch Bürger vor. Die rechtlichen Grundlagen waren primär am Anwendungsfall „Anbringen eines Bürgers“ orientiert. Allerdings sind die Geschäftsfälle im Bereich B2C und B2C wesentlich häufiger als e-Government Transaktionen; daher ist auch eine strategische Ausricht­ung an den Anforderungen der häufigsten Geschäftsfälle erforderlich.

Im Laufe der Zeit wurden die Sicherheitsmaßnahmen reduziert um die Verbreitung zu fördern. Allerdings wurde keine Differenzierung nach verschiedenen Sicherheitsstufen vorgenommen. Dadurch entstanden rechtliche und technische Schwierigkeiten sowohl die Sicherheit der höchsten Sicherheitsstufe zu erhalten und die notwendige Flexibilität und Einfachheit niedrigerer Sicherheitsstufen zu nutzen. Um die guten und nützlichen Kernfunktionen der Bürgerkarte in Zukunft verwenden zu können sollte das Konzept in Hinsicht auf folgende Punkte erweitert werden:

  • Ausrichtung der Strategie an Web-Anwendungen und nicht-hoheitlichen Anwendungsfällen.
  • Abgestufte Sicherheit um ein breite Basis von Authentifizierungsverfahren zu ermöglichen.
  • Erweiterung des Prävention ausgerichteten Sicherheitsmodells um Erkennung und Reaktion.
  • Öffnung für in den letzten Jahren etablierten Industriestandards, um eine breitere technische Basis zu erreichen.

2. Erweiterungsmöglichkeiten

2.1 Schwerpunkt der Anwendungsfälle

Die Bürgerkarte ist aus den datenschutzrechtlichen Ansprüchen der Kommunikation des Bürgers mit der Verwaltung entstanden. Die Menge der Geschäftsfälle im G2C- und G2B-Bereich ist allerdings gering im Verhältnis zu B2C und B2B, und deren Anforderungen sind nicht mit dem eGovernment deckungsgleich. Daher muss die Strategie aus dem Bereich B2C und B2B gesteuert werden.

2.2 Einführung eines mehrstufigen Sicherheitssystems

Die Kernfunktion der Bürgerkarte – die Personenbindung an das ZMR – soll in ein Identitätsmanagementsystem mit mehrstufiger Sicherheit (Stufen 2 bis 4) eingebracht werden, das für die verschiedenen Stufen angemessene Eigenschaften bereitstellt:

Stufe

Vertrauen

Kosten 3a[1]

Authentifizierung

Zertifikat

Identitätsüberprüfung

1

gering

0

Passwort

keines

keine

2

durch-schnittlich

25€

Einfache Token

optional

Know-your-Customer
(z.B. Brief)

3

hoch

150€

SW-Token,
2-Faktor-Token
MITM-Prävent.

TLS, fort-geschrittene Signatur

Face-to-face
(auch eigenhändige Zustellung)

4

sehr hoch

400€

HW-Token,

Pfad Validierung

Qualifizierte Signatur, Holder-of-Key

Face-to-face

Um das System in die Breite zu bringen, ist vor allem die Verfügbarkeit vieler Anwendungen notwendig. Dazu wieder muss ein abgestuftes System zur Verfügung gestellt werden bei dem geringere Anforderungen geringeren finanziellen Hürden und weniger Aufwand für den Benutzer gegenüberstehen. Durch eine einheitliche technische und rechtliche Infrastruktur können Synergien zwischen den Sicherheitsstufen genutzt werden.

Die Stufe 1 wird hier nicht betrachtet. eIDs können nicht verkauft werden da es billig ist sie in die Anwendungen zu integrieren.

In der Stufe 2 sind alternative Modelle zur Bezahlung des Identitätsproviders zu überlegen, wie Kundenbindungsprogramme oder Werbefinanzierung.

Die Subventionierung der eID sollte vorerst primär auf die Stufe 3 abzielen, da hier eine wesentlich breitere Verwendung besteht. Sie ist hinreichend für fast alle Geschäftsfälle, und vor allem auch mit mobilen Geräten möglich, während Smartcards praktisch nur auf Windows-PCs ausgerollt werden können.

Die Sicherheitsstufe 4 sollte ohne Kompromisse umgesetzt werden, wird vorerst eher auf Spezialbereiche mit hohen Sicherheits- und Haftungsregelungen wie Notare beschränkt bleiben.

2.3 Angebot für den Business-Sektor

Eine Aufwertung für den Enterprise-Bereich durch attraktive Serviceangebote und Verfügbarkeitsgarantien könnte die Anwendung in Unternehmen und im Finanzdienstleistungsbereich ermöglichen.

2.4 Sicherheitsmodell nicht auf Prävention beschränken

Vorbeugende IT-Sicherheit ist einerseits nur unvollständig machbar und überfordert auch die meisten Benutzer. Die Erkennung von Angriffen und die Reaktion darauf vervollständigen das Sicherheitsmodell.

Sicherheitskonzepte aus dem Bankwesen sind bewährt und sollten adaptiert werden. Z.B. sind Banküberweisungen für einen Zeitraum stornierbar, in dem der Kontobesitzer die Kontoauszüge erhält und die Überweisungen überprüfen kann. Kreditkartentransaktionen haben durch Plausibilitäts­prüfungen im Hintergrund einen zusätzlichen Sicherheitsfaktor außerhalb des Autorisierungsvorgangs. Ähnliche Konzepte sind für andere Transaktionen möglich. Eine monatliche „Signaturbestätigungsliste“ könnte in Kombination mit einem Widerrufszeitraum eine zusätzliche Sicherheit schaffen, oder die Einsicht in Abfrageprotokolle der eigenen personenbezogenen Daten den Datenschutz verbessern.

2.5 Positionierung als Identitätsprovider für Webanwendungen

Da bei der weitaus überwiegenden Anzahl von Geschäftsfällen nicht Dokumente signiert, sondern Benutzer an Diensten angemeldet werden, sollte die Bürgerkarte primär als Authentifizierungs­funktion für Online-Dienste positioniert werden. Alle darüber hinausgehenden Funktionen wie Ver­tretung und GDA-Token sollten getrennt als Attribute-Provider, Dienste oder auch Infocards reali­siert werden.

2.6 Unterstützung durch Industriestandards

Im Umfeld von SAML und OpenID werden Normen, Produkte, Open-Source Implementierungen und Zertifizierungsdienste angeboten, die eine wesentlich breitere Basis als das derzeitige Konzept BK haben. Dadurch ist es einfacher und kostengünstiger sowohl Identitätsprovider aufzubauen, als auch Anwendungen einzubinden.

Auch bei der Einbindung von Smartcards sollte so weit wie möglich auf dem Betriebssystem aufgesetzt werden. Die Verwaltung der Personenbindung auf der Karte wäre zu überdenken.

2.7 Einbindung bestehender Identitätsprovider

Das Konzept sollte die Übernahme von registrierten Identitäten in bestehenden Anwendungen fördern. Statt einer Kopie (wie bei der Übernahme von FinOn) sollte eine dynamische Verwendung möglich sein, die dem Benutzer nur eine minimale Interaktion zur Einwilligung abverlangt.


3 Problemstellungen

3.1Geschäfts- und Finanzierungsmodell

Mangels Veröffentlichung ist die Zahl tatsächlicher Bürgerkartennutzer nicht bekannt. Insgesamt wurden bisher 160,000 BK aktiviert. Eine verbreitete Nutzung gibt es nur in stark regulierten und geschlossenen Bereichen wie Rechtsanwälten und Notaren. In einigen Bereichen (z.B. Dienstausweis) wird die BK ohne Personenbindung genutzt, also als einfach Signaturkarte.

Die auf die geringe tatsächliche Nutzung umgelegten Kosten sind daher sehr hoch. Allerdings kann man die angelaufenen Kosten für die Bereitstellung der Bürgerkarten zum Großteil als Innovationsfinanzierung sehen. Für den weiteren Betrieb stellt sich jedoch die Frage wie hoch das Risiko eines Scheiterns durch die erhebliche finanzielle Belastung durch Verluste der A-Trust ist, wenn die Strategie nicht grundsätzlich geändert wird.

Rückblickend kann daraus klar erkannt werden, dass die Strategie, mit einem hochwertigen und aufwändigen Authentifizierungsverfahren einen breiten Bereich von Anwendungen zu erschießen, vom Markt auch geschenkt nicht angenommen wird. Zwei Behördenkontakte pro Bürger und Jahr bilden keine ausreichende Basis im e-Government, und in der Privatwirtschaft konnte man das System nur in eng abgegrenzten, regulierten Bereichen (Notare, RA) durchsetzen. Der Anwendungs­fall Patientenidentifikation könnte bei der ELGA etwas größere Nutzungszahlen mit sich bringen, allerdings bleibt abzuwarten, ob das System mit einer mTAN-Authentifizierung konkurrenzfähig ist und vom Bürger akzeptiert wird.

Daher liegt dem BK-Konzept noch kein tragfähiges Geschäftsmodell zu Grunde.

3.2 Sicherheitsanspruch und Kompromisse

Der ursprüngliche Ansatz, die höchste Sicherheitsstufe breit auszurollen und für sämtliche Anwendungen zu verwenden wurde nicht angenommen. Zur Anpassung wurden später Kompromisse eingeführt:

  • Entfall des zertifizierten Kartenlesers mit separater Tastatur, wodurch die PIN-Eingabe nicht mehr vor Schadsoftware geschützt ist.
  • BK-Aktivierung über RSA-Brief, wodurch die Kontrolle über den Registrierungsprozess vermindert wird (keine spezifische Schulung des Personals, keine Unterschrift des Empfängers die Sicherheitsbelehrung gelesen zu haben).
  • SMS-Authentifizierung bei der mobilen Signatur: Der private Schlüssel liegt im HSM des Providers und die Auslösung einer Signatur erfolgt ohne kryptografische Sicherung per SMS. Das ist in der Praxis ziemlich brauchbar, aber keine durchgängige kryptografische Sicherung.
  • Keine Sicherstellung einer 2-Faktor-Authentifizierung: Eine mobile Signatur kann auf einem Smartphone ausgelöst werden, wo SMS- und Webclient integriert sind. Entsprechende für den Benutzer nicht erkennbare Angriffe wurden bereits demonstriert.
  • Der Fokus auf dokumentenzentrierte Anwendungsfälle hat die Vernachlässigung der session-orientierten Fälle mit sich gebracht, die heute aber fast ausschließlich verwendet werden. Für hohe Sicherheitsstufen fehlt die kryptografische Bindung der Authentifizierung an die Session, wodurch mit der Bürgerkarte im derzeitigen Stand nur eine mittlere Sicherheit erzielt werden kann.

Die für sich ausgesprochen sinnvollen Kompromisse führen in der Kombination mit der Vorgabe der qualifizierten Signatur dazu, dass einfachere und schwächere Verfahren dennoch zu einer qualifizierten Signatur führen, die dem Signator eine hohe Haftung und problematische Beweislast auferlegt.

3.3 Sicherheitsmodell ausschließlich an Prävention orientiert

Die digitale Signatur war sehr stark von dem Anwendungsfall getrieben, bei dem unbekannte Teil­nehmer das erste Mal in eine Beziehung treten und diese erstmalige Transaktion vertrauens­würdig gemacht werden soll. Dadurch wurde fast nur Prävention betrieben, während Sicherungs­systeme in anderen Bereichen immer auf den drei Faktoren Prävention, Erkennung und Reaktion beruhen. Z.B. ist ein Bankomat nicht nur ein Safe mit einer hohen Sicherheitsklasse, sondern auch mit einem Alarmsystem verbunden, damit ein Angriff erkannt wird, und durch die Polizei verfolgt werden kann.

Eine zusätzliche Sicherung von Transaktionen auf Geschäftsprozessebene ist zwar weniger elegant, sorgt aber für eine bessere Akzeptanz der Endbenutzer.

3.4 Haftungsregelung für Signator ungeeignet

Im Gegensatz zur händischen Unterschrift ist das Risiko einer digitalen Signatur für die meisten Benutzer und auch für die meisten IT-Experten nicht einschätzbar. Die Beweislast liegt jedoch beim Signator. Wie sich die Überforderung des Konsumenten durch komplexe Vertrags­bedingungen des ZDA tatsächlich bei einem Rechtsstreit auswirkt ist für alle Beteiligten ungewiss.

3.5 Schwäche in der Bereichstrennung

Die Berechnung des bereichsspezifischen Personenkennzeichens für Behörden hat eine Schwäche in der Architektur, weil die Berechnung des bPK nicht in der vom Benutzer kontrol­lierten Umgebung erfolgt, sondern im Service-seitigen MOA-Modul, das ja der Service Provider selbst betreiben kann. Somit gibt es keine technische Vorkehrung, dass ein Insider in der Behörde Stammzahlen speichert.

Abgesehen davon sollte der Nutzen der Bereichstrennung für jeden Verfahren evaluiert werden, die Name und Geburtsdatum von Personen verlangen bzw. verwenden. Hier ist der Mehraufwand für bPK und vor allem Fremd-bPK nicht zu rechtfertigen, da die Personenreferenzen auch ohne bPK genauso sicher zusammengeführt werden können[2].

Generell sollte eine Erweiterung der Bereichstrennung mittles bPK und Fremd-bPK überlegt werden, weil ein Teil der Anwendungsfälle aus der Sicht des benutzerzentrischen Identitäts­managements nicht abgedeckt wird:

  • Temporäre Identifier (bPK sind persistent, Identifier für eine Session sind temporär)
  • Abgrenzung pro eGov-Service (Trennung erfolgt nur pro Bereich)

 

3.6 Technische Normen die kein Industriestandard sind

Das Konzept Bürgerkarte nutzt eine Vielzahl technischen Standards, die in Summe aus der Sicht des Service Providers eine proprietäre Schnittstelle bilden, die international nicht unterstützt wird. Auch bei der Einbindung der Smartcards in Betriebssysteme hatte man sich relativ weit von Windows & Co entfernt.


4 Anhang

Richtwerte für die Bereitstellung von elektronischen Identitäten

Im Folgenden werden die Kosten für die Bereitstellung einer eID für 2 Jahre geschätzt:

Stufe 1: Bei Authentifizierungsverfahren mittel Selbstbedienung, bei der nur die Zustellbarkeit von Emails überprüft wird, tendierten in den Kosten gegen Null.

Stufe 2: 25€ (10€ Identitätsprüfung, 1 x jährlich Helpdesk-Call wegen vergessenem Passwort @ 5€)

Stufe 3: 150€ (100€ fortgeschrittenes Zertifikat, 0,5h Support)

Stufe 4:

  • 45€ bzw. 120 € für ein CC-zertifiziertes Kartenterminal (Durchschnittswerte für Klasse 2 bzw. 3)
  • Bei der qualifizierten Signatur liegt der Bereich etwa zwischen 20€ (SwissID) und 55€ (S-Trust) jährlich. Das inkludiert ca. 2€ für die Kosten der Karte. Servicelevels für professionelle Anwendungsbereiche können weitere Mehrkosten verursachen.
  • Für die Unterstützung der Endanwender im SOHO-Bereich sind für Smartcard-basierende Lösungen eine bis mehrere Stunden PC-Support zu rechnen.

Für drei Jahre wären etwa 400€ benutzerseitige Gesamtkosten für Einzelanwender wie in einer Arztordination zu berechnen, wobei später über Skalierungseffekte Einsparungen möglich sein sollten.

Ein Preisvergleich mit Enterprise-Lösungen wäre noch sinnvoll, um die Kosten in den Stufen 3 und 4 besser einzugrenzen.



[1]Siehe "Richtwerte für die Bereitstellung von elektronischen Identitäten"

[2]Die Personen mit gleichen Namen und Geburtsdatum sind weniger als die Doubletten und gehen somit im Rauschen der Fehlerquote unter.