Geschäftsmodell eID

Inhaltsverzeichnis

Der Bund erbringe bewusst eine Infrastrukturvorleistung, erklärte der im Bundesinnenministerium (BMI) für das Pass- und Ausweiswesen zuständige Referatsleiter Andreas Reisen auf der Omnicard, dem Leitkongress der Chipkarten-Branche in Berlin. Vor den rund 300 Industrievertretern warb er für die eID-Funktion des neuen elektronischen Personalausweises (ePA), die mehr Vertrauen zwischen Anbietern und Kunden in den E-Commerce bringen soll. Mit ihr werden die Bürger beim Online-Shopping, Online-Banking oder beim Gang ins virtuelle Rathaus entscheiden können, wem sie welche Angaben über sich online übermitteln. Gleichzeitig soll die Wirtschaft in die Pflicht genommen werden, sich gegenüber dem Bürger zuverlässig als Online-Partner auszuweisen und datenschutzrechtliche sowie sicherheitstechnische Anforderungen einzuhalten.

Gegenseitige Authentisierung

Nachdem der Bundestag das Vorhaben im Dezember billigte, ist Mitte Februar die Zustimmung der Länderkammer zu erwarten. Derzeit bereitet das BMI einen einjährigen, umfassenden Anwendungstest vor, der am 1. Oktober starten wird. Die eID-Funktion dient zur gegenseitigen Authentisierung von Diensteanbietern und Bürgern. Sie ersetzt zum Beispiel das übliche Login mit Username und Passwort, indem sie die Anmeldung an den Besitz der Ausweiskarte und die allein dem Inhaber bekannte sechsstellige PIN knüpft. Umgekehrt werden berechtigte Diensteanbieter, also von der Vergabestelle für Berechtigungszertifikate (VfB) beim Bundesverwaltungsamt zertifizierte Anbieter, Name, Geburtsdatum oder Anschrift aus dem Personalausweis online abfragen dürfen. Dabei behält der Bürger die gezielte Freigabe seiner persönlichen Daten in der Hand – dies mehr noch als im herkömmlichen Geschäftsverkehr, wo bei der Sichtvorlage des Personalausweises die aufgedruckten Angaben offen lesbar sind. „Dadurch unterscheidet sich der deutsche ePA von allen anderen elektronischen Ausweisprojekten in der Welt“, erklärte Reisen.

Mit den eID-Anwendungstests sollen unter anderem die Altersverifikation, die Registrierung für Benutzerkonten, die Verwendung von Pseudonymen, das automatische Ausfüllen von Webformularen, die Anmeldung bei der elektronischen Bundespost DE-Mail und Zugangskontrollen zum Firmengelände getestet werden. „Wer eine Idee hat, sollte sich bei uns registrieren lassen“, warb Reisen. Diensteanbieter, die sich bis zum 28. Februar auf der Webseite des Bundes-CIO (www.cio.bund.de) anmelden, bekämen viele Infrastrukturleistungen kostenfrei zur Verfügung gestellt – die Top 10 sogar einen eID-Server, 100 Kartenleser, 100 Testkarten und Unterstützung bei der Integration der Software-Komponenten.

Rechtsgeschäfte ohne Signatur

Der Personalausweis wird aus unserer Sicht zu einer Eintrittskarte“, meint Christian von Hammel-Bonten von der Wirecard AG, einem Anbieter virtueller Kreditkarten auf Guthabenbasis: Wer bei dem Münchner Zahlungsdienstleister ein Prepaid-Konto anlegt, erhält eine gültige Kreditkartennummer mit Sicherheitscode und Ablaufdatum, mit der man beim Webshopping Kartenzahlungen vornehmen kann, die dann gegen das Guthabenkonto verrechnet werden. In Zusammenarbeit mit Giesecke&Devrient hat Wirecard die eCard-API, die Middleware zur Einbindung der eID-Funktion des elektronischen Personalausweises, intern bereits getestet.

Beim normalen Internet-Banking allerdings kann die eID die TANs nicht ersetzen, mit denen man analog zur manuellen Unterschrift auf einem Überweisungsträger Aufträge autorisiert. TANs wird man also auch weiterhin brauchen, es sei denn, man nutzt das dritte „Fach“ des ePA und lädt sich auf eigene Kosten eine Qualifizierte Elektronische Signatur (QES) hinein, wodurch der Ausweis zu einer vollwertigen Signaturkarte im elektronischen Geschäftsverkehr wird.

„Im Online-Banking sehen wir aktuell den Einsatz noch nicht“, meint jedoch Matthias Büger von der Deutschen Bank. Die eID erspare zwar einen Medienbruch bei der Kontoeröffnung, für die bisher noch die Vorlage des Personalausweises in der Filiale oder im PostIdent-Verfahren nötig ist, doch dass die eID irgendwann einmal präsentiert worden ist, ließe sich nur schwer beweissicher dokumentieren. Zudem bereite der Bank ein online eingerichtetes Konto auch praktische Probleme: „Man hat plötzlich keine Unterschriftsprobe mehr vom Kunden.“

Hoheitlich abgeschottet

Einen Zugriff über die eID-Funktion auf den hoheitlichen Bereich des Personalausweises, also die elektronisch gespeicherten biometrischen Daten, werde es in kommerziellen Anwendungen nicht geben, betonte BMI-Vertreter Reisen in Berlin. Doch in Brüssel steht die strikte Trennung offenbar bereits zur Disposition. Auf der Omnicard legte der für „IT-Großsysteme und Biometrie“ zuständige Abteilungsleiter in der EU-Generaldirektion Justiz und Inneres, Frank Paul, ein flammendes Plädoyer für die flächendeckende Ausweitung biometrischer Identifizierungsanwendungen ab. Schon bei den biometrischen Reisepässen habe Deutschland eine „erfreuliche Vorreiterrolle“ gespielt; „Volksaufstände“ habe es bei der Einführung in den Meldebehörden nicht gegeben, sondern die Betroffenen hätten den Nutzen der Abgabe der biometrischen Daten „ohne Weiteres eingesehen“.

Jetzt peilt Paul als nächstes Einsatzfeld den Zahlungsverkehr an, „weil der Kreditkartenbetrug ein immer drängenderes Problem werden wird“. Zwar habe die Brüsseler Kommission, wie er einräumte, für dieses Thema „bisher kein Mandat“, man müsse sich ihm aber widmen. Widerstand gegen biometrische eIDs seitens der Bürger sieht er nicht. „Jeder wird den praktischen Nutzen sofort einsehen“, nur der Bundesdatenschutzbeauftragte „Herr Schaar hat hier besonders dedizierte Ansichten“, spottete der EU-Beamte. (pmz) (ha)