Anzeige
STRATEGIE27. August 2018

“Identifizierung muss kosten­günstiger sein als bei Post- und VideoIdent” – Interview Dr. Klein, Governikus

Dr. Stephan Klein, Geschäftsführer der GovernikusGovernikus

Governikus stellt IT-Sicherheits­software zum Schutz personen­bezogener Daten her – bisher vorwiegend für die öffentliche Verwaltung und Justiz. Im Falle der eIDAS-Verordnung hat Governikus sogar zwei EU-Projekte mit internationaler Konsortialführerschaft übernommen. Rudolf Linsenbarth hat mit Dr. Klein (CEO Governikus) gesprochen – über eID, starke Authentifizierung – und warum das nun auch für den Finanzsektor relevant wird.

Herr Dr. Klein, was sind die Gründe für den jüngst beschlossenen Eigentümerwechsel?

Governikus arbeitet unter anderem sehr eng mit dem IT-Planungsrat (ein Steuerungsgremium, in dem der Bund und alle Bundesländer vertreten sind) zusammena und verantwortet inzwischen drei sog. „Anwendungen des IT-Planungsrates“. Durch diese Veränderung soll unsere Bindung an die öffentliche Verwaltung und konkret an den IT-Planungsrat noch stärker werden.

Der Eigentümerwechsel
Governikus war seit der Gründung 1999 ein Public Private Partnership-Unternehmen. 55,1 % der Anteile befinden sich im Besitz der Freien Hansestadt Bremen (Stadtgemeinde). 44,9 % hielten bisher drei langjährige private Kommanditisten (Brekom, Telekom, Sparkasse Bremen). Gemäß Senatsbeschluss vom 21.08.2018 werden diese Anteile nun auf das Land Bremen übertragen, die Verträge hierzu sollen noch in dieser Woche unterzeichnet werden.

Sehen Sie einen Trend hin zu mehr cloudbasierten Angeboten oder will die Mehrheit Ihrer Kunden dann doch einen eigenen eID Server?

Es gibt einen klaren Trend zu cloudbasierten Diensten. Innerhalb der ÖV bedeutet das allerdings auch, dass es besondere Anforderungen an das Rechenzentrum und vor allem den Standort gibt. Hier sind die etablierten IT-Dienstleister der ÖV in einer besonderen Rolle. Sie sind einerseits besonders geeignet, die­se Diens­te an­zu­bie­ten, an­de­rer­seits aber auch be­son­ders ge­for­dert, die Vor­tei­le oh­ne Ein­bu­ße von Si­cher­heit zu ge­währ­leis­ten. Da­mit sind ne­ben an­de­ren Me­cha­nis­men die Go­ver­ni­kus-Pro­duk­te Teil der Lö­sung und zu­gleich cloudfä­hi­ge An­wen­dung.

Beim eID-Service für den Personalausweis ist zumeist ein teures HSM erforderlich. Viele unserer Kunden haben uns gebeten, den eID-Service vorübergehend anzubieten, anstatt selbst in die Hardware zu investieren. Vorübergehend bedeutet zwischenzeitlich acht Jahre. Wir freuen uns, dass die Bundesdruckerei sowie die IT-Dienstleister krz Lemgo und ITDZ Berlin auf der Basis von Governikus Autent ebenfalls diese Dienstleistung anbieten.

Die Governikus Produkte
Das Go­ver­ni­kus-Port­fo­lio lässt sich in drei The­men­fel­der un­ter­glie­dern: Se­cu­re Iden­ti­ty, Se­cu­re Com­mu­ni­ca­ti­on und Se­cu­re Da­ta. Die Ver­zah­nung die­ser drei Fel­der nimmt im Zu­ge der Di­gi­ta­li­sie­rung mehr und mehr zu, so dass die Pro­duk­te und Lö­sun­gen in­ner­halb die­ser Fel­der oft auch auf zen­tra­le Kom­po­nen­ten zu­rück­grei­fen und mit­tels stan­dar­di­sier­ter Schnitt­stel­len nicht nur un­ter­ein­an­der, son­dern auch in be­ste­hen­de In­fra­struk­tu­ren in­te­griert wer­den kön­nen. Auf Pro­dukt­ebe­ne stellt sich das wie folgt dar:

1. Secure Identity
Das zen­tra­le Pro­dukt für das Iden­ti­täts­ma­nage­ment ist Go­ver­ni­kus Au­tent. Es han­delt sich da­bei um ei­ne „Mul­ti-eID-Lö­sun­g“, die mit­tels eID-Ser­ver di­ver­se Iden­ti­täts­pro­vi­der er­reich­bar macht und das Hand­ling der un­ter­schied­li­chen To­ken über­nimmt. Zu nen­nen sind hier z.B. die On­line-Aus­weis­funk­ti­on des Per­so­nal­aus­wei­ses bzw. elek­tro­ni­schen Auf­ent­halts­ti­tels, Ser­vice­kon­ten (die der­zeit im Be­reich der öf­fent­li­chen Ver­wal­tung ent­ste­hen), Ve­r­i­mi oder auch Bank- und Spar­kas­sen­kon­ten. Aber auch an­de­re Zer­ti­fi­ka­te kön­nen über Go­ver­ni­kus Au­tent ein­ge­bun­den wer­den. Dar­über hin­aus las­sen sich Ser­vice­kon­ten mit den Bau­stei­nen, die das Pro­dukt zur Ver­fü­gung stellt, um­set­zen.

Auf der Cli­ent­sei­te ist das vor al­lem auch die Aus­weisAp­p2 des Bun­des, die wir im Auf­trag des Bun­des­mi­nis­te­ri­ums des In­nern, für Bau und Hei­mat (BMI) so­wie dem Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) ent­wi­ckeln und pfle­gen. Die Aus­weisAp­p2 wird al­len Nut­zern der On­line-Aus­weis­funk­ti­on kos­ten­frei zur Ver­fü­gung ge­stellt.

2. Secure Communication
Der Da­ten­aus­tausch per­so­nen­be­zo­ge­ner Da­ten mit und in­ner­halb der öf­fent­li­chen Ver­wal­tung und der Jus­tiz ba­siert auf dem er­folg­rei­chen und si­che­ren Pro­to­koll­stan­dard OSCI. Über die­sen wird ei­ne star­ke En­de-zu-En­de-Ver­schlüs­se­lung und mit­tels elek­tro­ni­scher Si­gna­tu­ren und an­ge­schlos­se­ner Ver­zeich­nis­diens­te die In­te­gri­tät und Au­then­ti­zi­tät ge­währ­leis­tet und da­bei voll­stän­dig pro­to­kol­liert. 2018 er­war­ten wir an­nä­hernd ei­ne Mil­li­ar­de OSCI-Trans­ak­tio­nen, die über die Go­ver­ni­kus OSCI-Midd­le­wa­re ab­ge­wi­ckelt wer­den. Die­se ist flä­chen­de­ckend in Deutsch­land im Ein­satz. Das OSCI-Pro­to­koll ist auch die Ba­sis für die Jus­tiz­kom­mu­ni­ka­ti­on, die über das EGVP (elek­tro­ni­sches Ge­richts- und Ver­wal­tungs­post­fach) ab­ge­wi­ckelt wird. Ne­ben der Midd­le­wa­re ha­ben wir ent­spre­chen­de OSCI-Cli­ent­pro­duk­te, als Fat­cli­ent oder in­te­grier­te Ver­sio­nen im Port­fo­lio.

Da si­che­re Kom­mu­ni­ka­ti­on mehr und mehr an Be­deu­tung zu­nimmt, glei­cher­ma­ßen sich aber auch die un­ter­schied­li­chen Ka­nä­le und Ver­schlüs­se­lungs­stan­dards meh­ren, ha­ben wir mit dem Go­ver­ni­kus Mul­ti­Mes­sen­ger (GMM) ei­ne Mul­ti­ka­nal-Kom­mu­ni­ka­ti­ons­platt­form ent­wi­ckelt. Der GMM bün­delt qua­si „vor der Klam­mer“ al­le Nach­rich­ten­ka­nä­le, wie OSCI, EGVP, DE-Mail, E-POST, ver­schlüs­sel­te E-Mail (S/MI­ME und PGP) etc. Die ers­ten eu­ro­päi­schen eID­AS-no­ti­fi­zier­ten Ein­schreib­zu­stell­diens­te (wie dies in Deutsch­land die DE-Mail und E-POST sind) wer­den in Kür­ze eben­falls ein­ge­bun­den. Die Nach­rich­ten wer­den vom GMM emp­fan­gen, sämt­li­che Prü­fun­gen von Si­gna­tu­ren, Vi­ren etc. durch­ge­führt und in­ner­halb der Or­ga­ni­sa­ti­on in ge­wünsch­te Sys­te­me über­ge­ben. Die Ori­gi­nal­nach­richt bleibt da­bei im­mer vor­han­den und kann di­rekt in ECM- und DMS-Sys­te­me über­ge­ben wer­den oder aber auch an be­weis­wert­er­hal­ten­de Sys­te­me für die Lang­zeit­auf­be­wah­rung. Der Rück­weg funk­tio­niert eben­falls über den GMM, das gan­ze Zer­ti­fi­kats­hand­ling über­nimmt er auch. Wie wir es vom OSCI-Stan­dard ge­wohnt sind, ha­ben wir ei­ne durch­gän­gi­ge Pro­to­kol­lie­rung ein­ge­baut.

3. Secure Data
Hier geht es neu­er­dings ne­ben der elek­tro­ni­schen Si­gna­tur in al­len Ni­veaus (al­so von der ein­fa­chen über fort­ge­schrit­te­nen bis hin zur qua­li­fi­zier­ten elek­tro­ni­schen Si­gna­tur) um die eID­AS-kon­for­me Fern-Si­gna­tur. Un­se­re Pro­duk­te und Lö­sun­gen er­mög­li­chen den Ein­satz al­ler Si­gna­tur­for­men und na­tür­lich auch die Ve­ri­fi­ka­ti­on, auch in­ter­na­tio­na­ler Si­gna­tur­for­ma­te. Bei der Fern-Si­gna­tur spielt na­tür­lich wie­der die Au­then­ti­sie­rung ei­ne gro­ße Rol­le, denn mit ir­gend­ei­ner elek­tro­ni­schen Iden­ti­tät muss die­ses ja aus­ge­löst wer­den. Die Sze­na­ri­en rund um die Fern-Si­gna­tur sind sehr span­nend, denn erst­ma­lig wer­den die Kos­ten für ei­ne au­then­ti­sier­te und be­stä­tig­te elek­tro­ni­sche Si­gna­tur auf den­je­ni­gen ver­la­gert, der ei­ne Si­gna­tur ver­langt. Bis­lang la­gen die Kos­ten im­mer beim Nut­zer, der im Zwei­fels­fall bei elek­tro­ni­schen Vor­gän­gen dann eben doch den Me­di­en­bruch ge­wählt, lie­ber aus­ge­druckt und hän­disch un­ter­zeich­net hat, um z. B. bei ei­ner Kon­to­er­öff­nung, Ver­trags­un­ter­zeich­nun­gen u.ä. das Do­ku­ment dann per Post ein­zu­rei­chen.

Sobald Si­gna­tu­ren im Spiel sind, geht es auch dar­um, den Be­weis­wert die­ser zu er­hal­ten. Wie kann si­cher­ge­stellt wer­den, dass die Si­gna­tur ei­nes Do­ku­men­tes auch nach vie­len Jah­ren noch prüf­bar ist und auch bei­spiels­wei­se nach ei­nem Hard­ware­tausch die In­te­gri­tät des Do­ku­ments im­mer noch ge­währ­leis­tet ist? Da­zu gibt es ei­ne Tech­ni­sche Richt­li­nie des BSI, die sog. TR-ESOR. Go­ver­ni­kus LZA ist ge­mäß die­ser TR zer­ti­fi­ziert und kann über Stan­dard­schnitt­stel­len an je­des be­lie­bi­ge ECM-, DMS- oder eAk­ten-Sys­tem an­ge­bun­den wer­den.

Aus welchen der Bereiche, Behörden, Versicherungen, Banken und Industrie kommen ihre Kunden überwiegend?

Unsere Kunden kommen zu 90% aus der deutschen öffentlichen Verwaltung. Allerdings verschaffen uns die Themen zunehmend auch Kontakte in andere Branchen, wo zuvor schon erwähnt.

Der Personalausweis ist online ja nicht nur für E-Government interessant, sondern damit lässt sich bspw. die mit Abstand schnellste und kostengünstigste Online-Kontoeröffnung umsetzen. Da sind das Post-Ident und auch das Video-Ident deutlich unterlegen.”

Darüber hinaus bietet der Personalausweis auch Banken und Sparkassen die Möglichkeit, dass er in der Filiale einfach elektronisch eingelesen werden kann – ohne PIN-Eingabe durch den Ausweisinhaber. Legitimationsprüfungen werden so nicht nur schneller, sondern nebenbei auch fehlerfrei. Und zukünftig muss die Legitimation nicht nur bei der Kontoeröffnung erfolgen, sondern regelmäßig. Ermöglicht wurde das sog. „Vor-Ort-Auslesen“ durch die 2017 beschlossene Änderung des Personalausweisgesetzes. Die Beispiele zeigen, dass einige unserer Lösungen auch in anderen Branchen sehr gut einsetzbar sind.

WebID ruft für eine Geldwäsche-konforme Identifizierung einen Preis zwischen 6 und 7 € je Vorgang auf. Die anderen Video-Ident-Anbieter Wettbewerber liegen wahrscheinlich in einer gleichen Größenordnung. Wo platziert sich Governikus da im Vergleich?

Auf jeden Fall darunter, wenn Sie auf unsere Lösung AusweisIDent anspielen, die wir gemeinsam mit der Bundesdruckerei anbieten werden. Und das ist ja auch logisch, denn eine durchgehend digitale und zudem schnelle Identifizierung muss kostengünstiger sein als eine mehrminütige Identifikation durch Mitarbeiter in der Post oder im Video-Chat.

Zur Erläuterung: Bei AusweisIDent handelt es sich um eine Dienstleistung als Identifizierungsdiensteanbieter mittels Online-Ausweisfunktion. D. h. ein Anbieter braucht weder selbst eine eID-Infrastruktur und Berechtigungszertifikate. AusweisIDent fungiert als „Mittler“ und liefert über angebundene, sichere Schnittstellen die Daten aus dem Personalausweis. Die Abrechnung erfolgt transaktionsbasiert.

Sie sagen, eine Authentifizierung per eID sei signifikant günstiger. Warum sind Banken und Mobilfunkunternehmen dann beim Einsatz dieser Technologie so zurückhaltend?

Wir stehen ja erst am Anfang und der Erfolg wird sich schon einstellen.”

Das Personalausweisgesetz wurde vor einem Jahr so geändert, dass die für Banken und Sparkassen, aber auch andere Branchen interessanten Services wie AusweisIDent oder das Identifizieren in einer Filiale ohne PIN erst rechtlich möglich wurden. Die technische Lösung besteht aus mehr als Hard- und Software, vor allem eine Reihe von Zertifizierungen sind erforderlich. Das dauert eben seine Zeit.

Aber wenn erst einmal klar wird, dass jetzt schon 60 Mio. Personalausweise einfach elektronisch ausgelesen werden können in einer sog. Vor-Ort-Situation, also in einer Filiale, dann werden sich Unternehmen mit Filialen und dem Bedarf an einer korrekten Identifizierung ihrer Kunden das demnächst gut überlegen müssen, wenn sie andere Verfahren wählen.”

Gibt es Überlegungen mit einem der Video-Ident-Anbieter in eine Kooperation einzusteigen?

Nein, Überlegungen aktiv auf einen Video-Ident-Anbieter zuzugehen, gibt es bei uns im Haus derzeit nicht. Wir sind allerdings auch noch von keinem Video-Ident-Anbieter angesprochen worden.

Klar ist, dass wir jedenfalls nicht als Anbieter in das Video-Ident einsteigen, das ist einfach nicht unser Business.”

Wir sehen das eher ergänzend, denn bei einer Kontoeröffnung mit AusweisIDent sprechen wir ja nur diejenigen an, die eine PIN zum Personalausweis und ein Lesegerät oder Android-Smartphone besitzen. Das werden zwar zunehmend mehr Menschen, weil seit einem Jahr zu jedem neuen Personalausweis auch die PIN zugesandt wird und ein Smartphone durch die AusweisApp2 zum Kartenleser wird. Trotzdem muss man konstatieren, dass am Video-Ident jeder teilnehmen kann, der über eine Kamera am PC oder Smartphone verfügt. Insofern sehen wir im Video-Ident eine teure Massenanwendung, die allmählich zurückgedrängt werden wird von der günstigeren und schnelleren Lösung AusweisIDent, an der Stand heute aber noch nicht so viele Menschen teilnehmen können wie am Video-Ident.

Beide Angebote haben also ihre Berechtigung und das wird letztlich der Markt entscheiden.”

Unternehmen, die eine Kundenidentifizierung anfordern, benötigen jetzt nicht mehr ein eigenes Zertifikat, sondern können sich auf ein globales Zertifikat Ihres Dienstleisters abstützen. Sehen Sie, dass die eID Funktion des nPA durch diese Gesetzesänderung, einen Schub erhält?

Das ist jedenfalls ein wichtiger Baustein, um Anwendungen mit dem Personalausweis für die Diensteanbieter attraktiver zu machen. Es wurde kostengünstiger und einfacher, weil nur ein Berechtigungszertifikat beim Bundesverwaltungsamt beantragt und bei der Bundesdruckerei bezogen werden muss. Das geht alles auf die gesetzlichen Änderungen am Ende der vergangenen Legislaturperiode zurück.

Ein Schub wird aber nur dann entstehen, wenn neben den rechtlichen und technischen Voraussetzungen die ökonomischen Ergebnisse stimmen.”

Und genau da haben wir gute Argumente.

Sie haben ja bereits eine weitere Neuerung, das sogenannte „Vor-Ort Auslesen“ des Ausweises angesprochen. Hier werden die Kundendaten direkt vom Personalausweis erfasst. Die Personalausweis PIN wird dazu nicht benötigt wird. Wann sehen wir hier die ersten Angebote?

Wir sind da schon in der Umsetzung mit namhaften Instituten der Finanzbranche. Faktisch geht es nur um die Übertragung der maximal 14 Datenfelder aus dem Ausweis in ein Formular der Kernbankanwendung.”

Aber es entstehen eben keine Eingabe-Fehler, ganz anders beim Abtippen durch einen Menschen. Und die Erfassung korrekter Kundendaten ist nicht nur bei der Kontoeröffnung wichtig, sondern im Prinzip regelmäßig aufgrund der neuen Anforderungen der EU-Verordnung zur Geldwäsche und weil viele Kunden bspw. ihren Umzug oder eine Namensänderung nicht sofort aktiv mitteilen. Am Ende des Tages haben alle Beteiligten einen Vorteil, weil schneller, ohne Fehlerbehaftung und dadurch günstiger. Wir versprechen uns dadurch auch einen Schub für die Online-Ausweisfunktion im Allgemeinen. Wer einmal in einer Filiale den Nutzen des Personalausweises erkannt hat, wird diesen auch künftig online einsetzen wollen.

Die Fragen stellte Rudolf Linsenbarth
Rudolf Linsenbarth be­schäf­tigt sich mit Mo­bi­le Pay­ment, NFC, Kun­den­bin­dung und di­gi­ta­ler Iden­ti­tät. Er ist seit über 15 Jah­ren in den Be­rei­chen Ban­ken, Con­sul­ting, IT und Han­del tä­tig. Lin­sen­barth ist pro­fi­lier­ter Blog­ger im Fi­nanz­be­reich und kom­men­tiert bei Twit­ter un­ter @holimuk die aktuellen Entwicklungen. Alle Beiträge schreibt Rudolf Linsenbarth im eigenen Namen.

Wie sieht es beim Vor-Ort Auslesen mit den Zertifikaten aus? Geht das mit einem zentralen Dienstleister Zertifikat?

Nein, das sind zwei getrennte Vorgänge. Ein Diensteanbieter benötigt für einen Online-Vorgang ein Berechtigungszertifikat, für das Vor-Ort-Auslesen wird ein separates Zertifikat benötigt. Den Antrag dazu schreiben wir inzwischen in wenigen Minuten. Das ist allenfalls eine kleine Hürde, bei der wir und auch das Bundesverwaltungsamt gerne behilflich sind. Überhaupt ist die Vergabestelle für Berechtigungszertifikate beim BVA eine kleine agile Truppe, die sehr kompetent berät und ziemlich unbürokratisch rüberkommt, wenn ich das mal so salopp ausdrücken darf.

Wäre es denkbar, das „Vor-Ort Auslesen“ auch als „Ausfüllhilfe“ im Internet oder für das Smartphone zu verwenden?

Schon wieder lautet meine Antwort leider Nein. Es klingt leider negativ, dabei ist es doch sehr positiv, dass der Gesetzgeber sich zu einem sehr guten Kompromiss durchgerungen hat.

Kompromiss heißt hier, dass der Ausweis zwar ohne PIN eingesetzt werden kann und damit sind schon bald über 70 Mio. Personalausweise und auch alle rund 8 Mio. sog. elektronische Aufenthaltstitel für das Vor-Ort-Auslesen nutzbar.”

Aber ein Abgleich des Fotos auf dem Ausweis mit der Person, die ihn vor Ort vorlegt, muss schon erfolgen. Das lässt sich auch per Video nicht lösen, einmal aus Sicherheitsgründen und zum anderen, weil das Gesetz es eben nicht erlaubt. Online kann der Ausweis nur mit der Online-Ausweisfunktion und dem PIN eingesetzt werden, das können inzwischen schon 25 Mio. Ausweisinhaber. Das sind auch nicht gerade wenige, aber es sind eben nicht alle Besitzer eines elektronischen Personalausweises.

nPA und eID früher ...
Früher … BMI

Bei den Anbietern für die eID Auslesefunktion des neuen Personalausweises gab es in den vergangenen Jahren eine Ausdünnung des Feldes. Wie sehen Sie die Wettbewerbssituation?

Man braucht schon einen langen Atem in diesem Feld und den hat nicht jedes Unternehmen oder ist bereit zu investieren. Wir haben da aufgrund unserer langfristigen Verträge und vor allem aufgrund unserer klaren Überzeugung, dass der Personalausweis das beste Instrument gegen Identitätsdiebstahl im Internet ist, eine klare Haltung:

Wir tun alles, was in unserer Macht steht, damit die Vorteile des Personalausweises erkennbar werden und sich durchsetzen.”

Welchen Ansatz favorisieren Sie für die eID Identifizierung? Verwendung der in Ihrem Hause entwickelten AusweisApp2, oder Lieferung eines SDK, für die Integration in die Apps Ihrer Kunden? Ist es bei der Auswahl von Bedeutung, ob der Kunde ein eigenes Berechtigungszertifikat hat?

Natürlich beide, denn jeder Ansatz hat klare Vorteile. Die Verwendung der vom Bundesinnenministerium finanzierten AusweisApp2 erzeugt eine klare Wiedererkennung, ganz egal, welche Anwendung aus welcher Branche auf dem Ausweis basiert. Wer sich mal seinen Flensburger Punktestand angesehen hat, wird auch in der Lage sein, ein Girokonto mittels AusweisApp2 zu eröffnen oder Zugang zu seinen Versicherungsdaten zu erhalten.

Andererseits wünschen sich viele Anbieter, die eine eigene App nutzen, dass diese eigene App niemals während einer Transaktion verlassen werden muss, weil das statistisch zu nennenswerten Abbrüchen führt und darüber hinaus ja auch etwas mit der eigenen Corporate Identity zu tun hat. Da hat es klare Vorteile, dass ein Bank- oder Versicherungskunde in der Bank- oder Versicherungs-App bleibt, wenn er die Identifikation mittels Personalausweis durchführt. Die ist ja nie Selbstzweck, sondern immer nur Mittel zum Zwecke, also bspw. erforderlich um persönliche Daten einzusehen oder um ein Konto zu eröffnen.

In beiden Fällen kann der Diensteanbieter entweder ein eigenes Berechtigungszertifikat nutzen oder unser Gemeinschaftsangebot AusweisIDent nutzen, für das wir bzw. unser Partner – die Bundesdruckerei – das erforderliche Berechtigungszertifikat besitzt.

Verimi

Ist die Positionierung als eigenständiger Identity Provider, wie etwa VERIMI und YES, für Governikus auch eine Option?

Schon wieder eine Frage auf die ich mit Nein antworten muss.

Wir kooperieren mit YES und Verimi, weil wir neben dem Personalausweis – bei aller Sympathie – eben auch andere elektronische Identitäten nutzbar machen wollen. Das entscheiden doch die Bürgerinnen und Bürger, mit welcher elektronischen Identität sie sich zu erkennen geben wollen.”

Manchmal ist allerdings ein hohes Vertrauensniveau erforderlich und da kommt dann nur der hoheitliche Personalausweis in Frage. Es gibt aber viele Anwendungen mit einem mittleren oder normalen Vertrauensniveau und da gibt es zunehmend interessante Lösungen. Unsere Aufgabe ist es, alle diese Lösungen für einen Einsatz im E-Government nutzbar zu machen. Dazu gehören dann auch die Nutzerkonten, die von der ÖV selbst zunehmend angeboten werden. Bei vielen dieser elektronischen Identitäten ist es übrigens für die Erstregistrierung sehr sinnvoll, den Personalausweis einzusetzen. Das sieht man auch bei YES und Verimi so und folglich ergänzen deren Angebote und unsere Produkte sich geradezu ideal.

Hat Governikus auch eine Signaturlösung im Portfolio? Wenn ja, basiert diese auf einem Zertifikat im Ausweis, oder ist es eine Fernsignaturlösung?

Endliche eine Frage, auf die ich mit einem klaren Ja antworten kann. Wir bieten mit dem Governikus Signer schon seit Jahren eine Lösung zum Signieren mit Signaturkarte und Leser an. Auch fortgeschrittene Signaturen auf Basis von Software sind natürlich möglich. Den Governikus Signer gibt es als Stand alone Lösung und integriert in Fachverfahren und Web Anwendungen.

Neu wird der Governikus-Signing-Broker sein, der den Signer erweitert um eine Lösung zur Fernsignatur. Hier bemühen wir uns gerade um eine technisch-organisatorische Lösung, bei der sich ein Bürger nach dem Ausfüllen eines Formulars aussuchen kann, wie er sich identifizieren möchte, damit eine einmalige sog. Fernsignatur für ihn erzeugt und angebracht werden kann. Das kann dann eine Identifikation mittels Bank- oder Sparkassenkonto sein, aber auch mittels Verimi oder Servicekonto der ÖV. Dann sind zwar immer unterschiedliche Fernsignaturanbieter zu involvieren, aber auch hier verfolgen wir den Ansatz, dass wir alle relevanten Anbieter verfügbar machen wollen, so dass letztlich die meisten Bürger am Ende des ausgefüllten Formulars eine bereits vorhandene elektronische Identität einsetzen können. Der eine nutzt sein Bankkonto, der andere sein Verimi-Account, etc. Und das muss dann für den Bürger kostenfrei sein, weil es zentral bspw. durch die Bundesländer finanziert wird. Ein solches Modell besprechen wir gerade mit allen Akteuren und die technische Umsetzung ist da auch schon sehr weit vorangeschritten.

Welche weiteren Dienstleistungen gibt es noch, oder sind auf der Roadmap? Können Sie den Banken z.B. Lösungen beim Thema starke Authentifizierung für die PSD2 und dem Autorisieren von Transaktionen anbieten?

AusweisIDent eignet sich ganz klar auch als starke Authentifizierung nach der Zahlungsverkehrs-Richtlinie der EU. Wenn Banken der Sparkassen es neben eigenen Angeboten in ihre Prozesse einbauen wollen, würde uns das natürlich sehr freuen.”

Das gleiche gilt für die Autorisierung einzelner Transaktionen, allerdings wird hier jedes Institut die Kosten und die Zeit einer einzelnen Transaktion im Blick behalten. Und sehr sichere Transaktionen sind eben nicht ganz so schnell und nicht ganz so preiswert wie solche, die mit weniger Rechenaufwand für die zugrundeliegende Kryptografie auskommen. Ich würde keiner Bank empfehlen, auf die eigenen Lösungen zur Authentisierung zu verzichten. Aber eine Ergänzung zur Erhöhung der Verfügbarkeit, zumal bei annähernd gleichen Kosten, kann man sich bestimmt auch gut in der Kreditwirtschaft vorstellen. Zumindest deuten das unsere Gesprächspartner an.

... eID heute
Heute … per eID ausweisen per NFCBMI

Die AusweisApp2 wurde zuletzt um Themen wie Smartphone als Lesegerät oder „Vor-Ort-Auslesen“ ergänzt. Welche weiteren Entwicklungsfeatures sind hier geplant?

Das ist ja erstmal eine tolle Neuerung, dass ich mein Android Smartphone neben meinen Laptop lege, über das WLAN koppele und schon habe ich einen Kartenleser für den Personalausweis.”

Das muss sich jetzt weiter durchsetzen und es nimmt übrigens den Herstellern von Kartenlesern kein Geschäft weg. Denn ehrlicherweise würden viele Menschen, die zwar eine kostenfreie App installieren, alternativ keinesfalls Geld ausgeben für eine weitere Hardware. Der Markt der Kartenlesegerät Hersteller liegt vor allem dort, wo Leser für viele Nutzer eingesetzt werden, bspw. beim Vor-Ort-Auslesen in der Filiale von Bank, Sparkasse, Telefonanbieter, etc. Oder an einem Kiosk-Terminal im Rathaus. Zurück zu ihrer Frage nach den neuen Features für die AusweisApp2, da ist doch einiges zu nennen:

Aktuell arbeiten wir gerade an diversen Themen. Die Oberfläche der stationären AusweisApp2 wird komplett überarbeitet, Nutzer werden künftig eine Feature-Preview integriert haben, das Thema der App in Firmennetzwerken, und einige technische Erleichterungen werden mit dem Winterrelease zertifiziert zur Verfügung stehen.

Weiter in der Planung sind eine verbesserte Open Source-Unterstützung für Linux-/Unix-Nutzer sowie eine Instant-App. Falls also ein Nutzer die AusweisApp2 gar nicht installiert hat, über einen Online-Dienst die Nutzung dennoch aufruft, übernimmt diese das Download-Handling aus dem Playstore.”

Darüber hinaus werden wir Diensteanbietern mehr Usability-Informationen für die Integration in den eigenen Dienst zur Verfügung stellen.

Zu guter Letzt, wie sieht es mit dem iPhone aus? Gibt es schon einen Prototyp, mit dem ein direktes Auslesen des nPA am Gerät möglich ist?

Geplant ist auch ein iOS-Release. Die iOS-Variante befindet ist zwar im Grunde seit geraumer Zeit fertig, allerdings derzeit nur zum Testen freigegeben. Grund dafür ist, dass Apple die NFC-Schnittstelle nach wie vor nicht freigegeben hat.”

Allerdings haben wir unabhängig von unserer Beauftragung durch BMI/BSI aktuell selbst einen Kooperationspartner aus dem Kartenlesersegment mit der Herstellung von Prototypen für Aufstecklesegeräte über den Lightning-Anschluss für iOS-Geräte beauftragt. Unser Partner sieht hier ebenfalls einen Markt, wir finanzieren nun erstmal die Forschungs- und Prototypenkosten. Sämtliche derzeit am Markt verfügbaren Alternativen im Bluetooth- oder Steckbereich sind entweder teuer und/oder im Handling, nennen wir es mal optimierungsbedürftig, oder in Kombination mit der Online-Ausweisfunktion nicht stabil funktionsfähig.

Interessant ist das allemal für moderne Finanzinstitute, die ihre Kunden vor Ort mittels iPad beraten und mal eben nebenbei die Legitimation durchführen wollen, natürlich per Vor-Ort-Auslesen.

Herr Dr. Klein – vielen herzlichen Dank für das ausführliche Gespräch!Rudolf Linsenbarth

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert