STRATEGIE6. Juli 2020

Mobile Identitäten mit OPTIMOS 2.0: der Personalausweis im Smartphone

Rudolf Linsenbarth
Rudolf Linsenbarth

Optimos ist ein bis Sommer 2020 laufendes Förderprojekt des BMWi (Bundesministerium für Wirtschaft und Energie). Gesucht wird eine Infrastruktur, bei der Anbieter von schutzbedürftigen Diensten diese sicher auf dem Smartphone speichern können. Was sich dahinter verbirgt, erklärt

von Rudolf Linsenbarth

Für Optimos 2.0 wurde das Vorläuferprojekt Optimos mit einem etwas anderen Anflugwinkel aufgegriffen: Damals lag der Fokus beim Ticketing, insbesondere im hochpreisigen Bereich (Jahrestickets für 1000€ und höher). In Optimos 2.0 sind zudem noch Themen wie Payment, digitaler Schlüssel für Carsharing und der Personalausweis hinzugekommen.

Mobile Identitäten mit OPTIMOS 2.0: der Personalausweis im Smartphone
BMWi
Etwas unschärfer wird es auf der entsprechenden Webseite des BMWi. Dort wird über das Ziel gesprochen, mobile eID-Services mit dem Schutzniveau „substanziell“ und „hoch“ nach der EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen (eIDAS) anzubieten.

Bevor ich darauf näher eingehe, betrachten wir einmal das Setup von Optimos 2.0. Die Kernanforderungen sind ein offenes und praxistaugliches Ökosystems:

  • diskriminierungsfrei zugänglich für Service-Anbieter und Technologielieferanten
  • Große Auswahl an Diensteanbietern für die Kunden
  • Vollumfängliche Unterstützung von nationalen und europäischen Vorgaben zu IT-Sicherheit und Datenschutz
An Optimos beteiligte Unternehmen
BMWi
Bei der Umsetzung hat man sich auf die Ablage von sicherheitskritischen Daten in einem Secure Element begrenzt. Das Projekt steht und fällt also mit dem Aufbau einer TSM Infrastruktur.

Hier wurde ein Konzept wieder ausgegraben, das die Mobilfunk-Unternehmen vor 5 Jahren als gescheitert abgehakt hatten. Zudem wundert mich, dass der Use Case Payment mit dabei ist. Mit Tokenisation hat sich bereits weltweit eine andere Lösung durchgesetzt. Ich denke nicht, dass die Banken noch einmal Geld in die Hand nehmen, um ein Paralleluniversum aufzubauen.

Verwirrend finde ich auch das nachfolgende Schaubild:

BMWi
Ein Secure Element (SE) befindet sich nicht im luftleeren Raum. Irgendjemand hat die Kontrolle und entscheidet, wer dort etwas speichern darf. Im Falle der embedded SE’s sind das die Smartphone-Hersteller. Damit ich also ein Applet dahin laden kann, benötige ich für jeden dieser Hersteller einen sogenannten Issuer TSM. Genau dasselbe braucht es auf der anderen Seite, wo die entsprechenden Services/Applets bereitgestellt werden. Hier spricht man von einem Service Provider TSM.

Autor Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Ich gehe jetzt mal davon aus, dass das, was in der Mitte steht und in anderen Folien als Optimos Trusted Service Management System bezeichnet wird, die Drehscheibe ist, mit der Service Provider TSM und Issuer TSM zusammengeführt werden sollen.

Optimos 2.0: Viele offene Fragen

Was mir dann noch fehlt, ist der Service Provider für den eigentlichen Personalausweis. Außerdem verstehe ich nicht, warum die einzelnen Applets für Payment und Transport als eID App’s bezeichnet werden. Verbirgt sich hinter Optimos der ganz große Wurf zum Thema eID?

Aber zurück zum Ausweis im Smartphone. Die grundsätzliche Idee ist es, ein Applet vergleichbar mit dem des aktuellen „neuen Personalausweises“ in ein Secure Element im Smartphone zu bringen. Durch eine Personalisierung wird es dann zur mobilen ID-Karte des Bürgers. Das BSI hat hierzu die technische Richtlinie BSI TR-03159 Mobile Identities“ erstellt.

Die Idee hat einen gewissen Charme und verdient es, etwas genauer betrachtet zu werden. Da mir detaillierte Angaben fehlen, wie eine solche Umsetzung aussehen würde, habe ich den Prozess einmal skizziert, wie ich ihn umsetzen würde. Nachfragen bei verschiedenen Stakeholdern haben bestätigt, dass ich damit im Groben auf der richtigen Spur bin.

Die nachfolgende Beschreibung setzt voraus, dass eine TSM Infrastruktur bereits etabliert ist. Also der Berechtigungsprozess ein Applet in das SE zu laden, wird hier ausgeblendet.

Beginnen möchte ich noch einmal damit, wie der Ausweis bereits heute am Smartphone genutzt werden kann.

Nutzung der Identifikation mit dem neuen Personalausweis am Smartphone

Optimos: Identifikation per Smartphone
Rudolf Linsenbarth
Mit dem Browser geht man auf die Seite eines Diensteanbieters, wo eine Identifikation erforderlich ist. Über den eID Client wie z.B. die AusweisApp2 werden der eID Server und der Personalausweis per NCF-Schnittstelle angesprochen. Nachdem der Ausweisbesitzer seine PIN in die App eingegeben hat, werden die Ausweisdaten zum Diensteanbieter übertragen und der Identifikationsvorgang ist beendet.

Als nächstes schauen wir darauf, wie der Ausweis ins Handy geladen wird.

Provisionierung des Personalausweises als mobile Identität ins Smartphone

Rudolf Linsenbarth
Speicherort sollen besonders gesicherte Hardware-Bereiche des Smartphones wie Secure Element oder die SIM-Karte sein. Der Vorgang könnte zum Beispiel von einer Mobile eID App angestoßen werden. Ich habe beispielhaft die Bundesdruckerei als Entität gesetzt, die das Applet dafür bereitstellt. Was hier als Trusted Service Manager dargestellt wird, sind insgesamt 2 Services. Der Issuer TSM mit dem Recht, eine Security Domain im SE zu erstellen, sowie der SP TSM, der das Applet dort gesichert ablegt, ohne dass es vom Issuer TSM manipuliert werden kann. Nachdem das Applet ins Smartphone geladen worden ist, muss es noch personalisiert werden. Also die „Blanko-Ausweis“-Variante muss noch mit den Daten seines Besitzer beschrieben werden. Dazu kann man den physischen Ausweis hernehmen. Über die NFC-Schnittstelle nimmt die App Kontakt zum Ausweis und einem eID Server auf, dabei werden wieder nach Eingabe der PIN die Ausweisdaten ausgelesen und im Applet gespeichert. Die Verwendung des Ausweises im Smartphone ist dann mit einer PIN oder einem biometrischen Merkmal abgesichert.

Rudolf Linsenbarth

Nutzung der mobilen Identität

Nachdem der Ausweis im Smartphone gespeichert wurde, kann er zum Einsatz kommen. Die Identifikation bei einem Diensteanbieter ist vom Ablauf her dieselbe wie beim Einsatz des Plastikausweises. Man erspart sich eben, den Ausweis mitführen zu müssen und ans Smartphone zu halten. Ob die Nutzung des Ausweises im Smartphone dann wieder an einen eID Server gebunden wird, ist eine optionale Variante und hängt auch davon ab, wie stark sich der Staat in das Produkt einbringen will.

Wird das funktionieren?

Nein, im Augenblick sehe ich dafür keine Chance.”

Scheitern wird es am Aufbau einer geräteübergreifenden TSM Infrastruktur. Jeder neue Hardware-Hersteller, dessen Produkte Speicherort eines Ausweises werden sollen, muss an den TSM angebunden werden. Was im Falle des iPhone noch überschaubar ist, zerfasert spätestens in der Android-Welt.

Auch scheint mir noch nicht klar, wer hier der „Applet Lieferant“ sein wird.

BMWi
Trotzdem halte ich den Ausweis im Smartphone für ein lohnenswertes Projekt. Was ich aber vermisse, sind Antworten auf die folgenden Fragen:

  1. Welche Probleme sollen mit dem „Smartphone-Ausweis“ gelöst werden? Ist es nur ein weiterer Punkt aus der „lasse deinen Ledergeldbeutel zu Hause“ Story?
  2. Soll diese mobile Identität den Personalausweis vollumfänglich ersetzen können?
  3. Wer darf mobile Identitäten verwalten?
  4. Ist der Anbieter der mobilen Identität frei in der Entwicklung seines Geschäftsmodells?
  5. Kann die mobile Identität nur vom Personalausweis mit eID-Funktion abgeleitet werden und wenn nein, welche alternativen Verfahren sollen noch zugelassen werden?
  6. Was ist mit der Gültigkeit einer mobilen Identität? Exakt dieselbe Laufzeit der Identität von der sie abgeleitet worden ist, unbegrenzt oder maximal für den Zeitraum von ein oder zwei Jahren?
  7. Wenn der Personalausweis die einzige Ankeridentität für das Herleiten ist, warum glaubt man dann an einen Erfolg?
  8. Wird für die Nutzung der mobilen Identität ebenfalls ein Berechtigungszertifikat benötigt?
  9. Ist das Secure Element der einzige Weg für eine mobile Identität, um das Vertrauensniveau Substantial zu erreichen?
  10. Soll die mobile Identität notifiziert werden?

Ich antizipiere einmal, dass die mobile Identität wahrscheinlich nicht den vollen Umfang des jetzigen Personalausweises haben soll. Das Produkt wird wahrscheinlich irgendwo zwischen Plastikausweis und Video Ident angesiedelt sein.

Was wir dann benötigen, ist eine Definition, unter welchen Voraussetzungen eine mobile Identität das Vertrauensniveau substantial erhält. Dabei sollten dann auch Möglichkeiten wie FIDO mit in die Lösungsmenge einbezogen werden. Dieses Vorgehen schafft Planungssicherheit für die Anbieter von mobilen Identitäten und wird zu einer Belebung des Marktes beitragen.

Ein einseitiges Setzen auf das Secure Element ist aber nicht zielführend!”Rudolf Linsenbarth

Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert