sichere und mobile eld für deutschland und europa€¦ · 21.01.2016 /c£) k i ......
TRANSCRIPT
Bundesministerium des Innern
Sichere und mobile elD für Deutschland und Europa
Referat Identifizierungssysteme, Pass- und Ausweiswesen
Andreas Polster
21.01.2016
Sichere elD
Nachhaltigkeit elD
security by design
privacy by design
usabilty & deployability
user centric security
#1 Bundesministerium I des Innern
Funktion § 18 PAuswG
Sicherheitsarchitektur auf sehr hohem Sicherheitslevel
Zertifizierung von Hard und Software
Datensparsamkeitskonzept (need to know principle)
Erforderlichkeitsprüfung durch das BVA („Zulassung“)
Willensentscheidung des Bürgers im Einzelfall
Akzeptanz und Verbreitung der Anwendung
Handhabbarkeit für Anbieter und Bürger
-> starker Einfluss auf die Nachfrage (Bedarf)
BMI IT I 4 | elD Funktion 25.01.20161 Seite 2
Sichere elD
Differenzierung des Bedarfs (Wer braucht was?)
Nutzungsverhalten der Zielgruppe (Bürger/ Kunde) Usability betrifft nicht nur die AusweisApp sondern die gesamte Anwendung (DIN EN ISO 9241 Ergonomie der Mensch-Maschine-Interaktion, BITV )
Nutzer in seinem Umfeld abholen (Lebenslage, Mobilgerät, Lesegerät,...)
Zielgruppen fragen und einbeziehen (Anwendungstest)
Sicherheitserfordernis und Wirtschaftlichkeit (Dienstanbieter* und Provider) Problembewusstsein für Cyber-Security und Datenschutz
Schutzerfordernis: Risiken, Sicherheits-Vorkommnisse, Einpreisen von Verlusten
Wirtschaftlichkeit: IT-Providing, Innovationszyklen, IT-Konsolidierung, Standardisierung
Anwenderunterstützung zur elD-Infrastruktur (elD-Service-Provider, Anwenderforum, Anwenderhandbuch,...)
Gesetzliche Normen und Vorgaben EGovG: TR-03107-2 - Schriftformersatz mit elektronischem Identitätsnachweis
EU Zahlungsdienste Rili 2 - Haftungsumkehr ohne 2-Faktor-Authentisierung des Kunden
EU elADS VO -Anerkennungspflicht notifizierter elD-Token anderer MS, Ablösung Sig Rili.,...
u.v.a.m.
*Diensteanbieter sind Anwender der elD-Infrastruktur des PA/eAT
Bundesministerium
des Innern
BMI IT I 4 | elD Funktion 25.01.20161 Seite 3
Sichere elD
Differenzierung des Bedarfs
Geschäftszweck Identifizierung/ Autorisierung/ Willenserklärung / Dokumentation
Gefährdung und Vertrauensniveau BSITR-03107 (Vertrauensdienste E-Gov) (ohne) Normal IS029115 Level of Assurance 1 2 elDAS VO Assurance Level (ohne) niedrig
Identifizierung von Personen nach TR-03107 Normal Passwort oder kryptografischer SW-Token Hoch Zwei Faktoren und kryptografischer HW-Token Hoch+ Zwei Faktoren und staatl. Absicherung durch elD-PA/eAT
Identifizierung von Diensten und sicheren Verbindungen nach TR-03107 Normal/ Hoch SSL-Zertifikat Hoch+ Berechtigungszertifikat gern. § 21 PAuswG
Willenserklärung nach TR-03107 Normal Nutzerinteraktion (Klick) oder fortgeschrittene eSignatur mit SW-Token oder TAN Hoch fortgeschrittene eSignatur mit HW-Token oder TAN Hoch+ qualifizierte eSignatur oder Formular mit eID-PA/ De-Mail mit sicherer Anmeldung
Hoch 3
substantiell
Hoch+ 4
hoch
Übermittlung von Dokumenten nach TR-03107 Normal
Bjndesmiristerij|rj®^'j^ des Innern Hoch +
Web-Upload mit SSL-Zertifikat o. S/MIME-E-Mail oder Versand OSCI mit Transportverschlüsselung/ eSig Web-Upload mit SSL-Zertifikat o. Versand mit OSCI mit E2E-Verschlüsselung/eSig oder De-Mail+s.Anm. Web-Upload mit eID-PA o. Versand De-Mail mit sicherer Anmeldung
BMI IT I 4 | elD Funktion 25.01.20161 Seite 4
Sichere elD
Differenzierung des Bedarfs
Gefahrenabschätzung TR 03107:
„Vertrauensniveau „hoch+“ sollte dann angestrebt werden, wenn besondere Rechtssicherheit erforderlich ist, sensible Daten verarbeitet werden bzw. wenn der sicheren Feststellung der Identität der Nutzer besondere Bedeutung zu kommt “
„Bei Geschäftsprozessen, bei denen im Fall eines Missbrauchs im Wesentlichen
keine Schäden entstehen, kann auf Mechanismen gemäß dieser Richtlinie
verzichtet werden
••• :::: IT-Planungsrat
Empfehlung des IT-Planungsrates vom 13.03. 2015: „Handreichung mit Empfehlungen für die Zuordnung von Vertrauensniveaus in der Kommunikation zwischen Verwaltung und Bürgerinnen und Bürger bzw. der Wirtschaft“
http://www.it-planungsrat.de/DE/Proiekte/Steuerungsproiekte/eIDStrategie/eID Strategie node.html
#1 Bundesministerium I des Innern
BMI IT I 4 | elD Funktion 25.01.20161 Seite 5
Sichere elD
Differenzierung des Bedarfs
elD-Funktion Personalausweis ist und bleibt stärkstes Authentisierungsmittel und Vertrauensanker!
Konzepte, technische Richtlinien und elD-Infrastruktur sind Kern der elD-Sicherheitsarchitektur
vom PA abgeleitete elD (sichere abgeleitete Identität) Authentisierungsmittel unterhalb Vertrauensniveau Hoch+ (Studien)
angemessenes Vertrauensniveau und bedarfsgerechte Nutzbarkeit
Herausgeber = Identityprovider / überprüfbare Bindung des Nutzers an Token
Service-Konto für Bürger und Unternehmen (ID-Komponente) Zentraler (technischer) Identifizierungsdienst für den Bürger und Unternehmen zum wirtschaftlichen Zugang
zu allen Verwaltungsdienstleistungen verschiedener Vertrauensniveaus
- Vereinfachte elD-Anwendung bei der Verwaltung (Berechtigungszertifikat, elD-Service)
- Freiwillige Nutzung durch Bürger und Unternehmen
- Verwaltungs-DL fordert Kontoeröffnung und Wiedererkennung mit elD gemäß Vertrauensniveau
- Speicherung von Bürgerdaten (bei Hoch+ = PA-Datensatz)
- Speicherung von Unternehmensstammtaten und ID-Daten bevollmächtigter Personen (Vollmacht)
- Interoperabler Verbund der Service-Konten der Länder (in Prüfung)
Mehrwertdienste: Postfach, Dokumentensafe,... (in Planung)
Bundesministerium
des Innern
BMI IT I 4 | elD Funktion 25.01.20161 Seite 6
mobile elD
Technologie
NFC Anwendung mit Krytochip Kontaktloses Bezahlen: NFC + EMVCo
E-Ticketing: NFC+ EMVCo oder/ und ISO 14443
PA-eID Anwendung: NFC+ ISO 14443 mobile Website + AusweisApp (in Erprobung)
Integration der AA2 in Apps (SDK geplant)
Bedarf für starke Authentisierung?
Konformität der NFC-Schnittstelle mit der elD-Funktion ISO 14443 - Konformität (Standardisierung)
Anwendung Pilotieren (VDV-E-Ticket Projekt “OPTIMOS“)
Geräteanbieter und Mobilnetzwerkanbieter gewinnen
Wettbewerb um den Mobilkunden
Bundesministerium
des Innern
BMI IT I 4 | elD Funktion 25.01.20161 Seite 7
mobile elD
Vertrauensniveaus Hoch+ und Hoch
elD-Funktion PA/eAT am Mobilgerät (Hoch+) Entwicklung mobile AusweisApp und SDK Verfügbarkeit Mobilgeräte mit NFC-Leser (NFC-Initiative; Bluetooth-Leser hpts. für iOS-Geräte) Erfordernis für starke mobile Authentisierung - Angebot mobiler elD-Anwendung Usability (Smartphone/Tablet + Karte)
Mobilgerät als Lesegerät für die elD-Funktion am PC (Hoch+) Entwicklung der Ausweis-Leser-App (als Teil der AusweisApp geplant) Verfügbarkeit Mobilgeräte mit NFC-Leser (NFC-Initiative; Bluetooth-Leser) Herausforderung für Usability (Handhabung PC+ Smartphone/Tablet+ Karte)
Sichere abgeleitete elD am Mobilgerät (Hoch) sehr unsichere Umgebung mit mindestens drei verschiedene Welten (iOS, Win, Android)
Vertrauensniveau Hoch verlangt Sicherheitselement im Mobilgerät (SIM, Krypto-Chip, TEE ...)
(Bürgerterminal mit elD) Authentifizierung mit elD-Funktion des PA ohne eigenen Client/ Lesegerät möglich (Hoch+) Authentifizierung ggf. auch mit mobiler ID (Hoch oder Normal) Verknüpfbar mit anderen Mehrwertanwendungen (Mintnahmeeffekt)
Bundesministerium
des Innern
BMI IT I 4 | elD Funktion 25.01.20161 Seite 8
elD in Europa
E-Government!
elDAS-Verordnung der EU Kommission Notifizierung der elD-Systeme ab 2015
Anerkennungspflicht notifizierter elD-Systeme ab 2018
DE elD auf Sicherheitsniveau „high level“ = Hoch+ geplant!
Anwender (EAP/ Berufsanerkennung, Studenten/Erasmus,...)
Online-Nutzung der nationalen elD im EU-Ausland:
1. elADS-Connector der EU-Kommission Software zur Verbindung der nationalen elD-Proxyserver
2. elADS- Middleware - aus DE und A zusätzliche Software für den Zugriff auf elD-Anwendungen nur in DE und A
Pilotierung (D) durch Konsortium: Governikus, BuDru, T-Systems, mtg,... (Konsortium und Förderantrag geplant)
Antrag zur Notifizierung der elD des PA/eAT (geplant 2016)
Information der elD-Diensteanbieter zu elDAS durch die Provider & BSI (2016geplant)
Bundesministerium
des Innern
BMI IT I 4 I elD Funktion 25.01.20161 Seite 9
Herausforderung
elD-Sicherheit
mmP1MWLI« PfMTgCMLAKQ T22000129 PERSONALAUSWEIS
Hoheitliches Dokument (Person)
Stärkung hoheitliche elD für die Öffentliche Sicherheit und Reisefreiheit (Passersatz)!
elD mit sehr hohem Schutzniveau
Wurzelidentität für das Internet Eröffnung von Benutzerkonten Schutz vertrauenswürdiger Daten elD-Anwendung im E-Government
Bundesministerium des Innern
Europa-elD (Person)
elDAS-Integration E-Government elDAS - eSignatur: Anwendungspotential
Dtsch. EU-Bürger-Residenzkarte
Smartphone als elD (Person)
Sicherheit und offener Standard NFC-IS01443-Fähigkeit Sichere abgeleitete elD (Hoch) Sicherheitselement SIM, Chip, TEE verso Sicherheit der elD im E-Commerce Unsicherheit Social-ID
elD am PC (Person)
Zertifizierung Smartphone als Katenleser Verbreitung durch Anbieter Multifunktionale Leser Terminalanwendung (ohne Privatleser)
elD im IoT (Person und Sache)
H INTERNETof ä
^Bindung der Sachen an Personen (Konzeptionsphase)
©
BMI IT I 4 | elD Funktion 25.01.20161 Seite 10
Vielen Dank für Ihre Aufmerksamkeit!
Kontakt
Bundesministerium des Innern Referat ITI4 [email protected] www.personalausweisportal.de
Bundesministerium
des Innern
1.11.2010 elektronischer
Personalausweis
E£5. ÜULLR
LRIIA 1
Üfwon 958568
BMI IT I 4 | elD Funktion 25.01.20161 Seite 11