ePortale und eCards für eBürger

Der zweitägige CAST-Workshop Biometrics and eCards beschäftigte sich in diesem Jahr vom 12. bis 13. Juli in Darmstadt mit der biometrischen 3D-Gesichtserkennung und eCards als Grundlage für Bürgerdienste.

Den ersten, englischsprachigen Tag hatten die Wissenschaftler für sich, die die 3D-Erkennung vorantreiben. Deutsch ging es am zweiten Tag weiter, mit deutschen Themen wie der eCard-Strategie der Regierung, der Steuererklärung und den Bürgerportalen. Auf großes Interesse stieß dabei OpenElster als Angebot der Finanzbehörden für alle Anwender, sich über ein Webportal gratis ein Zertifikat für verschiedene Behördengänge zu besorgen.

Hatte sich noch der Vorläufer der CAST-Workshops, der PKI-Workshop 2007, mit dem Tal der Enttäuschungen über die digitale Signatur befasst, so lag diesmal der Hauch einer Aufbruchstimmung über der Tagung. Mit der digitalen Signatur geht es voran – nicht nur, weil große Krankenkassen ihre elektronischen Gesundheitskarten mit einer solchen Signatur ausrüsten wollen.

Noch wichtiger dürfte der Umstand sein, dass sich die Fachleute Gedanken darüber machen, was der Normalbürger von dieser Technologie hat. Bei dem wiederum fallen im Durchschnitt zwei Behördenkontakte pro Jahr an; er interessiert sich darum herzlich wenig für das Thema eGovernment und digitale Behördengänge.

Als Mittler zwischen modernen Behörden und ihren Bürger-Kunden stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) darum sein Konzept der Bürgerportale vor. Bei diesen privat betriebenen Services soll sich der Bürger unter Vorlage des ePersonalausweises (oder mit Hilfe eines anderen verbindlichen ID-Verfahrens) eine Mailadresse besorgen, über die die gesamte Behördenkommunikation verläuft. Zum Authentisierungs- und Postfachdienst der Bürgerportale soll ein "Dokumentensafe" gehören, in dem elektronische Dokumente (Dateien mit elektronischen Signaturen) beweissicher langzeitarchiviert werden.

Wie Thomas Biere vom BSI erläuterte, soll ein Netz von Bürgerportalen einen "sicheren Kommunikationsraum im Internet aufspannen", über den Bürger auch untereinander vertrauliche Nachrichten austauschen können. Die ersten Portale sollen 2008/2009 eingerichtet werden und sich über Gebühren finanzieren. Eine vertrauliche Mail zwischen Bürger und Behörde könnte etwa 1 Euro Porto kosten.

Als völlig kostenloser Weg will sich dagegen OpenElster etablieren, ein geplantes Angebot deutscher Finanzbehörden in Form eines Webportals. OpenElster beruht auf der Überlegung, die vom Elster-Trustcenter vergebenen Zertifikate für andere Behördendienste und/oder Bürgerportale zur Verfügung zu stellen. Auf diese Weise soll das Wachstum von Elster, das gegenwärtig bei 30.000 Zertifikaten im Monat liegt, gesteigert werden. Elster, das die Signaturkarten aller namhaften deutschen Trustcenter unterstützen soll, möchte mit seinem kostenlosen Software-Zertifikat eine Daten-Drehscheibe für Firmen, Behörden und Bürger werden.

Vor dem Hintergrund der derzeit anlaufenden Vergabe einer einheitlichen Steuer-Identifikationsnummer rechnet sich das bayerische Landesamt für Steuern als zuständige Elster-Projektbehörde gute Chancen für Elster-Zertifikate aus. In der lebhaften Diskussion nach dem Vortrag von Projektleiterin Christine Randlkofer äußerten Datenschützer Bedenken, ob die Behörde, die die nationale ID besorgt, Zertifikatsdienste übernehmen darf.

Ein weiterer Höhepunkt des CAST-Workshops war der Vortrag von Georgios Raptis von der Bundesärztekammer zum elektronischen Arztausweis. Erstmals wurden die sonst eher diffus geäußerten Bedenken der Ärzte zur elektronischen Gesundheitskarte technisch konkret.

Neben der zur Zeit noch fehlenden Möglichkeit, mit einer Komfort- oder Stapelsignatur eRezepte zu signieren, geht es den Ärzten vor allem um die Langzeitarchivierung medizinischer Daten. Ärztliche Befunde, die heute mit einem Heilberufsausweis verschlüsselt gespeichert werden, könnten bei entsprechenden Fortschritten in der Kryptographie von Unbefugten entschlüsselt werden, so die Befürchtung der Mediziner.

Außerdem könnten Ärzte Probleme haben, an ihre eigenen Patientendossiers zu kommen, wenn sie einen neuen Ausweis bekommen. Aus diesem Grunde plädierte Raptis für die Einführung einer übergreifenden "Telematik-ID" für Ärzte als "Username", über den alte und neue Zertifikate verwaltet werden.

Außerdem schlug Raptis ein völlig überarbeitetes Speicherkonzept für die Daten (Befunde, eRezepte) vor, die auf zentralen Servern abzulegen sind, wo sie später bei Bedarf mit stärkerer Kryptografie umschlüsselt werden können. Dabei sollen die VPN-Konnektoren in den Arztpraxen die Daten mit One Time Pads verschlüsseln und zu einem Langzeit-Serverdienst schicken. Die One Time Pads selbst sollen noch einmal symmetrisch verschlüsselt zu einem anderen Server geschickt werden, der die Object Tickets mit den asymmetrischen Schlüsseln aller Zugriffsberechtigten verschlüsselt.

Dass sich mit dem "Raptis-Verfahren" das gesamte Datenvolumen verdoppelt, sei kein Problem, sondern gängige Praxis moderner Datenspiegelungskonzepte, so der Erfinder. Dass das gesamte Verfahren auf eine komplett neue "Gesundheitskarte 2.0" herausläuft, müsse im Sinne der Langzeitsicherheit akzeptiert werden.

Weitere Referate der Tagung beschäftigten sich mit dem umfangreichen eCard-API-Framework, das derzeit in der Version 0.8 kommentiert wird, sowie mit dem BioAPI als einem Bestandteil dieses Frameworks. Es soll noch in diesem Sommer als Version 1.0 veröffentlicht und dann in weiten Teilen als internationale Norm eingereicht werden. (Detlef Borchers) / (psz)