Inhaltsverzeichnis

Die Motivation für Unternehmen, solche nPa-basierten Dienste anzubieten, liegt auf der Hand: "Für den Allianz-Kunden bedeutet das mehr Komfort. Zusätzlich erhöht der nPa die Sicherheit für unsere Kunden und für die Allianz als Unternehmen", sagt Davor Benda, Referent für E-Business bei der Allianz. Auch Behörden wollen durch den nPa ihre Prozesse optimieren, indem sie beispielsweise Informationen dem Bürger nun auf digitalem Wege zusenden.

Um den nPa in die eigenen Systeme zu integrieren, ist mitunter allerdings ein größerer Umbau der IT-Landschaft nötig, wie beispielsweise der VRR erfahren musste. Man habe die Komplexität des Themas unterschätzt, gibt Nils Zeino-Mahmalat zu, Leiter des Kompetenzcenters für elektronisches Fahrgeldmanagement beim VRR. Da die dezentralen Selbstbedienungsterminals von außen auf die Vertriebssoftware des Verkehrsverbundes zugreifen, muss nun auch das Vertriebssystem selbst sowie das Firewall-Konzept überdacht werden.

Bei einem internationalen Konzern wie Fujitsu sind die Herausforderungen bei der Einführung des nPa noch wesentlich komplexer – hier stößt nämlich eine nationalstaatliche Lösung auf die Anforderungen der weltweiten Warenwirtschaft. Wenn beispielsweise die Software für einen Online-Shop von den US-Kreditinstituten zertifiziert wurde, kann ein Systementwickler dort nicht einfach ein zusätzliches Authentifizierungsverfahren wie den nPa anflanschen, denn das würde die Zertifizierung ungültig machen. Fujitsu hat sich bereits seine nPa-Lösung zertifizieren lassen. Diese lässt sich so nicht nur für den eigenen Shop nutzen, sondern kann als Software-Baustein international vermarktet werden.

Wie der nPa-fähige Online-Shop von Fujitsu in der Praxis funktioniert, kann Matthias Matuschka, der als sogenannter Testbegleiter als Schnittstelle zwischen Wirtschaft und Behörden fungiert, bereits zeigen: Auf der Anmeldeseite des Shops informiert das nPa-Logo darüber, dass Registrierungen auch per Personalausweis möglich sind. Matuschka legt den Ausweis auf das Lesegerät und klickt die entsprechende Schaltfläche auf der Anmeldeseite an. Daraufhin öffnet sich ein Fenster, das wie die Installationsroutine einer Software aussieht. Es zeigt, welche Daten nun an Fujitsu übertragen werden sollen – in diesem Fall Name und Adresse von Matuschka. Wer bestimmte Einträge nicht senden will, der kann das Häkchen in der jeweiligen Zeile wegklicken. Um die Transaktion abzuschließen, gibt Matuschka nun noch seine sechsstellige PIN ein.

Damit nicht jeder zwielichtige Webshop auf die Bequemlichkeit seiner Kunden spekulieren und die Ausweisdaten abgreifen kann, müssen Online-Anbieter Berechtigungszertifikate beim Bundesverwaltungsamt beantragen. Dabei haben sie nachzuweisen, welche Daten sie wozu erheben möchten. Die Angaben aus diesem Zertifikat – bis hin zur Telefonnummer des Datenschutzbeauftragten im Unternehmen – bekommt der Nutzer bei jeder nPa-Abfrage zu sehen. So erfährt er stets, welche Online-Firma zu welchem Zweck Daten aus seinem Pass auslesen will.

Über das Berechtigungszertifikat kann der Staat vorab ge-nau definieren, wer welche Informationen auslesen darf. Das ermöglicht unter anderem eine anonyme Altersverifikation. Wenn etwa ein Porno-Anbieter per nPa-Abfrage wissen will, ob ein Nutzer volljährig ist, kann die Pass-Anwendung ein schlichtes "ja" oder "nein" zurückschicken. Anders als bei herkömmlichen Methoden bleiben alle übrigen Daten dem Anbieter verborgen. Datenschützer, die frühzeitig vom Bundesinnenministerium (BMI) in die Entwicklung des nPa einbezogen wurden, urteilen dementsprechend wohlwollend. Sogar eine Anmeldung per Pseudonym ist mit dem nPa möglich. Dazu wird der Ausweis über einen internen Schlüssel eindeutig gegenüber dem Anbieter identifiziert, ohne die Identität des Passinhabers preiszugeben. Solche pseudonymen Web-Identitäten gelten als gangbarer Kompromiss zwischen völliger Anonymität und der Preisgabe persönlicher Daten im Netz.

Die Bundesdruckerei arbeitet bereits an Konzepten, den nPa auch in die mobile Welt zu integrieren. Handys, die den Funkstandard "Near Field Communication" beherrschen, könnten eigene Lesegeräte überflüssig machen. Eine erste Konzeptstudie zeigte die Bundesdruckerei auf der diesjährigen Computermesse CeBIT. Doch bis dahin müssen erst einmal im Hier und Jetzt gewaltige Herausforderungen bewältigt werden: Von der Größenordnung und dem Auftragswert her sei der nPa das ehrgeizigste Ausweisprojekt der Welt, sagt Andreas Reisen, Leiter des Referats für Pass- und Ausweiswesen im BMI. Er muss 15 Teilprojekte koordinieren, bei denen Behörden wie das Bundeskriminalamt (BKA), das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesverwaltungsamt (BVA) zuarbeiten.