Zwei-Faktor-Authentisierung: Nutzung des neuen Personalausweises wird erleichtert

Fast täglich werden digitale Identitätsdaten gestohlen, sei es durch Schadprogramme beim Nutzer, sei es durch erfolgreiche Angriffe auf Diensteanbieter. Oft werden Millionen von Datensätzen entwendet, allzu häufig nicht oder nur schwach verschlüsselt. Der Schwarzhandel mit Identitätsdaten blüht. Der BSI-Lagebericht 2016 weist darauf hin, dass zunehmend Identitätsdaten auf den Schwarzmarkt kommen, die offenbar aus lange zurückliegenden Diebstählen stammen. Nach wie vor erfolgt die überwältigende Menge aller Authentisierungsvorgänge im Internet mit einer Kombination aus Benutzername und Passwort. IT-Sicherheitsexperten sind sich einig, dass die Umstellung auf Zwei-Faktor-Authentisierung das Mittel der Wahl ist, um unberechtigte Zugriffe auf digitale Dienste zu verhindern. Zwei-Faktor-Authentisierung bedeutet, dass für eine erfolgreiche Authentisierung zwei unterschiedliche Faktoren nötig sind, zum Beispiel ein Geheimnis (wie das Passwort) und ein Smartphone oder auch ein Fingerabdruck und eine Chipkarte. Vom Geldautomaten ist die Zwei-Faktor-Authentisierung mittels Karte und PIN bekannt.

Mit der Einführung des neuen Personalausweises mit Chip im November 2010 sind in Deutschland die Voraussetzungen für eine umfassende digitale Zwei-Faktor-Authentisierung im digitalen Geschäftsverkehr geschaffen worden. Seit der Einführung sind ca. 51 Millionen derartige Personalausweise (und elektronische Aufenthaltstitel) ausgegeben worden. Gleichwohl konnte sich die elektronische Ausweisfunktion des Personalausweises zur Authentisierung nur in Nischenbereichen durchsetzen, etwa bei Anfragen an die staatliche Rentenversicherung, das Flensburger Punkteregister oder im Bereich von Versicherungen. Grund dafür ist unter anderem die überaus komplizierte rechtlich-organisatorische Konstruktion des sogenannten “elektronischen Identitätsnachweises” im Personalausweis, ein Ergebnis der Datenschutzbedenken, die gegen die Einführung des neuen Ausweises vorgebracht wurden.

Mit dem jetzt vom Deutschen Bundestag verabschiedeten Gesetz zur Förderung des elektronischen Identitätsnachweises soll die Nutzung des Personalausweises für die Zwei-Faktor-Authentisierung erleichtert werden. Das Gesetz schafft drei praktische Vereinfachungen für die Nutzung der digitalen Funktion des Personalausweises:

  1. Der elektronische Identitätsnachweis, also das Online-Ausweisen, steht zukünftig bei jedem ausgegebenen Personalausweis zur Verfügung. Bislang konnten die Bürgerinnen und Bürger entscheiden, ob sie diese Funktion einschalten wollten. Dies hatten nur ein Drittel der Bürgerinnen und Bürger getan. Zukünftig gibt es diese Wahlfreiheit nicht mehr, alle neu ausgegebenen Ausweis sind digital nutzbar. Ob sie dann tatsächlich für ein Login genutzt werden, steht den Ausweisinhabern natürlich weiterhin frei. Bei den vor Inkrafttreten des geänderten Gesetzes bereits ausgegebenen Ausweisen kann die elektronische Funktion nachträglich kostenfrei eingeschaltet werden.
  2. Unternehmen, die den digitalen Ausweis als Authentisierungsinstrument gegenüber ihren digitalen Diensten nutzen wollen, müssen zukünftig nicht mehr für jede einzelne Anwendung eine Berechtigung beantragen und die Erforderlichkeit der jeweils benötigten Daten nachweisen. Zukünftig reicht es aus, wenn ein Unternehmen eine generelle Berechtigung zum digitalen Auslesen der Personalausweise seiner Kunden beantragt. Anschließend kann die Funktion in verschiedensten Websites oder Terminal-Anwendungen verwendet werden. Der Umgang mit den dabei erhobenen Daten richtet sich nach dem allgemeinen Datenschutzrecht.
  3. Zukünftig können die Daten aus dem Chip des Ausweises auch “offline” ausgelesen werden. Wer beispielsweise an einem Behörden- oder Postschalter oder auch gegenüber einem Serviceterminal Name, Anschrift und Geburtsdatum angeben will, kann dies digital mit seinem Ausweis tun, ohne dass die Geheimnummer eingegeben werden muss und eine Online-Verbindung aufgebaut werden muss. Bislang konnte der Ausweisinhaber selbst auf ausdrücklichen Wunsch seine eigenen Daten aus dem Ausweis nicht digital bereitstellen, wenn das Gegenüber keine Online-Verbindung mit entsprechendem Berechtigungszertifikat hatte.

Mit den Gesetzesänderungen wird die Einbindung der Authentisierung mit Hilfe des Personalausweises deutlich vereinfacht. Schon heute stehen 17 Millionen digital vorbereitete Personalausweise in Deutschland zur Verfügung; ihre Nutzung wird jetzt für die Unternehmen sehr viel leichter. Durch die verpflichtende Einschaltung kommen jedes Jahr 6-7 Millionen weitere nutzbare Ausweise hinzu.

Wesentliche Hürde für die Zwei-Faktor-Authentisierung mit dem Personalausweis bleibt nun nur noch die Bereitstellung von Kartenlesern. Inzwischen können erste Android-Smartphones mit geeigneter Software als NFC-Kartenleser für Personalausweise genutzt werden. Mit der weiteren Verbreitung einer solchen mobilen digitalen Authentisierung könnte dem Personalausweis eine Schlüsselrolle bei der Zwei-Faktor-Authentisierung zukommen.

Zum beschlossenen Gesetz: http://dipbt.bundestag.de/dip21.web/bt?rp=http://dipbt.bundestag.de/dip21.web/searchDocuments/simple_search.do?nummer=391/17%26method=Suchen%26herausgeber=BR%26dokType=drs

Zur Nutzung der Authentisierung des neuen Personalausweises an Smartphones:
https://www.ausweisapp.bund.de/ausweisapp2-home/

Martin Schallbruch, 29. Mai 2017