Deploy with GAIA-X – Auf dem Weg zur digitalen Souveränität per Knopfdruck

Digitale Souveränität beschreibt die Fähigkeit, die digitale Transformation in Bezug auf Hardware, Software, Diensten und Kompetenzen selbstbestimmt zu gestalten. Gemeinsame Standards, modulare Architekturen und der Einsatz von Open Source im öffentlichen Sektor gelten als zentrale Säulen für die digitale Souveränität und Interoperabilität, und GAIA-X wird voraussichtlich einen wichtigen Beitrag zur praktischen Umsetzung der digitalen Souveränität in Europa leisten.

Vor diesem Hintergrund haben sich führende Europäische Cloud-Experten von Cloud & Heat, Charité / deNBI, D3TN, ecsec, IONOS, publicplan, Red Hat / IBM, Scheer und Trusted Cloud zusammengeschlossen, um die Machbarkeit des Deployments von zusammengesetzten Open Source Anwendungen, wie zum Beispiel Nextcloud mit der kürzlich vorgestellten eID-Login App, über die Orchestrator-Engine Krake in geeignete Cloud-Umgebungen, wie durch entsprechende Benutzeranforderungen und den Selbstbeschreibungen der Anbieter bestimmt, zu demonstrieren. Die Anwendung von eIDAS-konformen Identitätsmanagement-Diensten, wie diese durch SkIDentity bereitgestellt werden, gewährleistet zudem das geforderte hohe Sicherheitsniveau, die Einhaltung der einschlägigen rechtlichen Rahmenbedingungen und die einfache Anwendung in ganz Europa.

Der vorgestellte Prototyp „Deploy with GAIA-X“ bildet den Ausgangspunkt für die Implementierung des geplanten deutschen öffentlichen Code-Verzeichnisses „Ort für öffentlichen Code”, das die digitale Souveränität auf allen Ebenen des deutschen öffentlichen Sektors fördern soll – von der kommunalen Ebene über die Bundesländer bis hin zur Bundesebene.

Willkommen in der Zukunft des Vertrauens

Noch bevor die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung (eID) und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS) am 1. Juli 2016 in vollem Umfang in Kraft getreten ist, hatte sich ein gesamteuropäisches Expertenteam unter der Leitung der Ruhr-Universität Bochum und der ecsec GmbH im EU-finanzierten FutureTrust Projekt zusammengefunden, um die Bereitstellung und Nutzung elektronischer Identifizierungs- (eID) und Vertrauensdienste (Trust Services) zu erleichtern. In mehr als drei Jahren intensiver Forschungs- und Entwicklungsarbeit sind im FutureTrust-Projekt zahlreiche bemerkenswerte Innovationen entstanden, die nun einer breiten Öffentlichkeit zugänglich gemacht und im vorliegenden Blogbeitrag im Überblick vorgestellt werden.

Überblick über die FutureTrust Systemarchitektur

Überblick über die FutureTrust Systemarchitektur

Wie in der obigen Abbildung dargestellt, adressiert das FutureTrust Projekt große Teile des eIDAS-Ökosystems und integriert verschiedene FutureTrust Services und FutureTrust Pilotanwendungen sowie die „Globale Vertrauensliste“ (Global Trust List), die Informationen über Anbieter von Vertrauensdiensten in den europäischen Mitgliedstaaten und darüber hinaus liefert.

Es gibt die folgenden wesentlichen FutureTrust Services

  • den gesamteuropäischen eID-Broker (eID-Broker, eID),
  • den Signatur- und Siegelerstellungsdienst (Signature Generation & Sealing Service, SigS),
  • den Validierungsdienst (Validation Service ValS),
  • den Bewahrungsdienst (Preservation Service PresS),

und die folgenden FutureTrust Pilotanwendungen

  • ein portugiesischer Dienst für elektronische SEPA-eMandate (eMandate),
  • ein österreichischer Dienst für elektronische Rechnungen (eInvoice),
  • ein georgischer Dienst für elektronische Apostillen (eApostille) und
  • das deutsche eIDAS-Portal, mit dem nach einer eID-basierten Identifizierung Zertifikate ausgestellt werden können.

Hintergrund, Motivation und Probleme – sowie Lösungen von FutureTrust!

Wie in der Abbildung unten dargestellt, gibt es derzeit[1] rund 200 Vertrauensdiensteanbieter (QTSP) in Europa, die qualifizierte Zertifikate für elektronische Signaturen ausstellen sowie etwa 100 Anbieter von qualifizierten Zeitstempeln.

Es gibt derzeit  rund 200 Vertrauensdiensteanbieter (QTSP) in Europa, die qualifizierte Zertifikate für elektronische Signaturen ausstellen sowie etwa 100 Anbieter von qualifizierten Zeitstempeln

Damit ist das „eIDAS-Ökosystem“ hinsichtlich dieser grundlegenden Vertrauensdienste, die bereits vor dem Inkrafttreten der eIDAS-Verordnung existierten, sehr gut entwickelt. In ähnlicher Weise gibt es inzwischen in Europa eine beachtliche Zahl von Anbietern für qualifizierte Zertifikate zur Ausstellung elektronischer Siegel (93) bzw. Webseiten-Authentifizierung (41), so dass die Marktentwicklung hier auf einem guten Weg zu sein scheint. Auf der anderen Seite gibt es bislang nur sehr wenige Anbieter von qualifizierten Validierungs- (13), Bewahrungs- (10 bzw. 11) oder Einschreiben-Zustelldiensten (15) und die – gerade in Verbindung mit der Fernsignatur – sehr vielversprechende Option zur Ausstellung von qualifizierten Zertifikaten auf Basis einer geeigneten elektronischen Identifizierung (Art. 24 (1) (b) eIDAS-Verordnung) scheint bislang noch nicht praktisch umgesetzt und am Markt verfügbar zu sein.

In Erwartung dieser absehbaren Entwicklung hat das FutureTrust Projekt auf den Erfahrungen und Vorarbeiten aus einschlägigen Vorprojekten (wie z.B. STORK, STORK 2.0, FutureID, e-SENS, SD-DSS, Open eCard, OpenPEPPOL und SkIDentity) aufgebaut, um so die bestehenden Lücken durch Adressieren der folgenden Probleme (P1-P6) so weit wie möglich zu schließen und maßgeschneiderte Lösungen (->) anzubieten:

  • Kein Open Source Validierungsdienst -> der FutureTrust Validierungsdienst (ValS)
  • Kein standardisierter Bewahrungsdienst -> der FutureTrust Bewahrungsdienst (PresS)
  • Keine eID-basierte Zertifikatsausstellung -> das eIDAS-Portal der deutschen Universitäten
  • Kein universeller Signaturerstellungsdienst -> der FutureTrust Signatur- und Siegelerstellungsdienst (SigS)
  • Grenzüberschreitende und außereuropäische Transaktionen sind eine Herausforderung -> der gesamteuropäische eID-Broker
  • Grundlegender Forschungsbedarf im Bereich Sicherheit, Vertrauen und Vertrauenswürdigkeit

P1. Kein Open Source Validierungsdienst -> der FutureTrust Validierungsdienst (ValS)

Viele derzeit verfügbare Komponenten zur Prüfung elektronischer Signaturen und Siegel sind

  • auf bestimmte Dokument- und Signaturformate eingeschränkt (beispielsweise unterstützt der kostenfrei verfügbare Adobe Reader nur die Prüfung von elektronischen Signaturen und Siegeln im PAdES-Format gemäß ETSI EN 319 142),
  • leicht angreifbar und/oder
  • proprietäre Komponenten, deren Quellen nicht öffentlich verfügbar sind,

so dass die Vertrauenswürdigkeit eines Prüfungsergebnisses nur sehr schwer eingeschätzt werden kann.

Außerdem, wie in der Abbildung oben dargestellt, gibt es bislang in Europa nur sehr wenige qualifizierte Validierungsdienste für qualifizierte elektronische Signaturen oder Siegel. 

Vor diesem Hintergrund hat das FutureTrust-Projekt, einen umfassenden Validierungsdienst (ValS) entwickelt, der fortgeschrittene elektronische Signaturen und Siegel (AdES) sowie zugehörige Signaturobjekte, wie z.B. X.509 Zertifikate oder Evidence Records, auf Basis konfigurierbarer Signaturprüfungsrichtlinien („Signature Validation Policies“) unterstützt und das Validierungsergebnis in einem maschinenlesbaren XML- oder JSON-basierten Validierungsbericht zurückgibt (vgl. ETSI TS 119 102-2 und OASIS DSS v1.0 Comprehensive Multi-Signature Verification Report Profile).

Format

Standard

Beschreibung

CAdES

ETSI EN 319 122

ASN.1-basierte Signatur auf Basis der „Cryptographic Message Syntax

XAdES

ETSI EN 319 132

XML-basierte Signatur auf Basis der „XML Digital Signature

PAdES

ETSI EN 319 142

in PDF-Dokument eingebettete CAdES-Signatur

JWS

RFC 7515

JSON-basierte Signatur für Webanwendungen, zukünftig ebenso JAdES

X.509

X.509

Ermöglicht die Überprüfung des Status und der Vertrauenswürdigkeit eines X.509-Zertifikats (siehe auch RFC 5280) anhand einer geeigneten Vertrauensliste.

ERS

RFC 4998

Evidence Records, die es ermöglichen, effiziente Nachweise der Existenz bestimmter Daten zu einem bestimmten Zeitpunkt zu erbringen.

Weitere Details zum FutureTrust Validation Service (ValS), der in Kürze als Open Source zur Verfügung gestellt wird, werden in einem kommenden Blogbeitrag veröffentlicht.

P2. Kein standardisierter Bewahrungsdienst -> der FutureTrust Bewahrungsdienst (PresS)

Die wohlbekannte Tatsache, dass signierte Objekte ihren Beweiswert verlieren, wenn kryptographische Algorithmen schwach werden, stellt Anwendungen, die die Aufrechterhaltung der Integrität und Authentizität signierter Daten über lange Zeiträume – oder sogar für die Ewigkeit – erfordern, vor sehr große Herausforderungen. Während die technische Richtlinie BSI TR-03125 (TR-ESOR) bereits vor FutureTrust erste spezifische Komponenten für den Beweiswerterhalt spezifiziert hat, sind die entsprechenden ETSI-Standards für Bewahrungsdienste (vgl. beispielsweise ETSI TS 119 511 und ETSI TS 119 512) eben erst fertig gestellt worden.

Vor diesem Hintergrund waren ausgewählte Experten des FutureTrust Teams aktiv an der einschlägigen Standardisierungsarbeit in OASIS DSS-X und ETSI ESI beteiligt, so dass das FutureTrust Projekt in der Lage war, eine vertrauenswürdige Referenzimplementierung des Europäischen Standards für Bewahrungsdienste zu schaffen.

Weitere Details zum FutureTrust Bewahrungsdienst (PresS) werden in einem kommenden Blogbeitrag veröffentlicht.

P3. Keine eID-basierte Zertifikatsausstellung -> das eIDAS-Portal der deutschen Universitäten

Vor der Ausstellung eines qualifizierten Zertifikats an eine natürliche oder juristische Person, müssen gemäß Art. 24 der eIDAS-Verordnung die Identität und gegebenenfalls spezifische Attribute des Zertifikatsinhabers überprüft werden. Darüber hinaus existieren auch ähnliche Anforderungen an die Ausstellung von nicht qualifizierten Zertifikaten, die innerhalb der Public-Key-Infrastruktur des Deutsches Forschungsnetzes (DFN-PKI) ausgegeben werden. Diese Infrastruktur, die nach ETSI EN 319 411-1 auditiert ist, kann für verschiedene Zwecke – d.h. neben der elektronischen Signatur auch zur E-Mail-Verschlüsselung, Authentifizierung und für die Absicherung von Webseiten – genutzt werden. Neben der persönlichen Identifizierung vor Ort (Art. 24 (1) a)), erlaubt die eIDAS-Verordnung auch die Identifizierung per eID (Art. 24 (1) b)), per qualifizierter Signatur bzw. per qualifiziertem Siegel (Art. 24 (1) c)) oder über sonstige, national anerkannte, Identifizierungsmethoden mit gleichwertiger Sicherheit (Art. 24 (1) d)). Während die wachsende Zahl der notifizierten eID-Systeme und die Verfügbarkeit des gesamteuropäischen eID-Brokers die Verwendung von eID-Mitteln für die Identitätsprüfung bei der Zertifikatsregistrierung nahe legen, scheint diese Option in der Praxis noch nicht verfügbar zu sein. Vor diesem Hintergrund hat das FutureTrust- Projekt ein intelligentes eID-basiertes System zur Zertifikatsregistrierung entwickelt, das es ermöglicht, hochschulspezifische Zugangsdaten mit eID-basierter Identitätsverifizierung zu kombinieren, um am Ende einen vollständig elektronischen Prozess zur Zertifikatsverwaltung innerhalb der DFN-PKI zu erhalten.

Weitere Details zu diesem neuartigen System zur Zertifikatsverwaltung, das als „eIDAS-Portal“ der an FutureTrust teilnehmenden deutschen Universitäten bezeichnet wird, werden in einem kommenden Blogbeitrag behandelt.

P4. Kein universeller Signaturerstellungsdienst -> der FutureTrust Signatur- und Siegelerstellungsdienst (SigS)

Auch wenn Zertifikate bereits ausgestellt sind, heißt dies noch lange nicht, dass man sie leicht zur Erstellung von Signaturen oder Siegeln in Webanwendungen nutzen kann. Einen universellen Dienst, mit dem man beliebige Chipkarten- oder Fernsignatur-basierte Zertifikate unterschiedlicher Anbieter nutzen könnte, gibt es bislang scheinbar nicht. Durch das von LuxTrust S.A. in Zusammenarbeit mit dem FutureTrust-Partner ecsec GmbH entwickelte ChipGateway-Protokoll und die Erweiterung und Anpassung des Protokolls und der Architektur zur Unterstützung der Besonderheiten des deutschen Personalausweises sowie der jüngst bei OASIS DSS-X und ETSI ESI entwickelten Signaturstandards, sind hier wichtige Grundlagen für den im FutureTrust-Projekt anvisierten universellen Signaturerstellungsdienst geschaffen worden.

Weitere Details zum der FutureTrust Signatur- und Siegelerstellungsdienst (SigS) sowie den dazugehörigen Standards von OASIS und ETSI werden in einem kommenden Blogbeitrag behandelt.

P5. Grenzüberschreitende und außereuropäische Transaktionen sind eine Herausforderung -> der gesamteuropäische eID-Broker

Kapitel II der eIDAS-Verordnung, das sich mit eID-Systemen befasst, zielt auf die Schaffung eines standardisierten einheitlichen Interoperabilitätsrahmen mit klar definierten Prozessen, Sicherheitsstufen, Mindestanforderungen und Schnittstellen ab, beabsichtigt aber nicht, die jeweiligen nationalen eID-Systeme zu vereinheitlichen. Dabei können die EU-Mitgliedstaaten ihr nationales eID-System notifizieren, so dass die entsprechenden eID-Mittel europaweit auf einem bestimmten Sicherheitsniveau anerkannt werden, nachdem eine sorgfältige Prüfung („Peer Review“) durchgeführt wurde und das förmliche Notifizierungsverfahren mit einer Veröffentlichung im Amtsblatt der Europäischen Union abgeschlossen wurde (siehe beispielsweise 2019/C 150/06). Für die technische Umsetzung des eID-Rahmenwerks sind so genannte „eIDAS-Knoten“ vorgesehen, die bei grenzüberschreitenden Prozessen zwischen den Anwendungs- und Authentifizierungsdiensten vermitteln. Bisher sind die vorgesehenen „eIDAS-Knoten“ noch nicht vollständig im Produktivbetrieb und das „eIDAS-Netzwerk“ auf EU-Mitgliedsstaaten und Länder des Europäischen Wirtschaftsraums beschränkt. Vor diesem Hintergrund, hat das FutureTrust-Projekt – aufbauend auf einschlägige Vorarbeiten aus FutureID und SkIDentity – einen intelligenten gesamteuropäischen eID-Broker entwickelt, der durch die europäischen Patente EP2439900 und EP2919145 geschützt ist, eine Vielzahl von Standards sowie notifizierte Identifizierungsmittel aus Deutschland, Estland, Luxemburg, Belgien und Portugal unterstützt. Die entsprechenden Details werden in einem zukünftigen Blog-Beitrag erläutert.

Während die grenzüberschreitende Identifizierung innerhalb Europas schon nicht ganz einfach ist, kommen bei der elektronischen Abwicklung von Transaktionen mit außereuropäischen Partnern weitere Herausforderungen hinzu, die auf datenschutzrechtliche Besonderheiten bei der Übermittlung personenbezogener Daten an Drittländer (vgl. DSGVO, Kapitel 5) oder bislang fehlende internationale Abkommen zur gegenseitigen Anerkennung von Vertrauensdiensten gemäß Artikel 14 der eIDAS-Verordnung zurückzuführen sind. Leider gibt es keine zur eIDAS-Verordnung vergleichbare globale Gesetzgebung, so dass im FutureTrust-Projekt entsprechende Grundlagenforschung im Bereich rechtlicher, organisatorischer und technischer Aspekte durchgeführt werden musste, die sich in entsprechenden Publikationen und dem Prototyp einer „Globalen Vertrauensliste“ (gTSL) widerspiegelt. Die gTSL ist eine Open-Source-Komponente für die vertrauenswürdige Verwaltung von Trusted Lists nach ETSI TS 119 612, die mit den anderen FutureTrust Diensten oder als eigenständiger Dienst bereitgestellt werden kann und die Gegenstand eines zukünftigen Blog-Beitrags sein wird.

P6. Grundlegender Forschungsbedarf im Bereich Sicherheit, Vertrauen und Vertrauenswürdigkeit

Die fortlaufende Sicherheitsforschung fördert regelmäßig Sicherheitsprobleme und Schwachstellen zu Tage und hinsichtlich der zentralen Begriffe „Vertrauen“ und „Vertrauenswürdigkeit“ scheint es bislang nicht einmal fundierte und allgemein akzeptierte Definitionen zu geben, ganz zu schweigen von global akzeptierten abgestuften Sicherheitsmindestanforderungen. Deshalb war es notwendig, diese grundlegenden Aspekte von „Vertrauen“ und „Vertrauenswürdigkeit“ im Rahmen des FutureTrust-Projektes wissenschaftlich zu erörtern und zu analysieren, bevor formale Modelle entwickelt werden konnten, die umfassende Vertrauensmodelle beschreiben, die letztendlich die Grundlage für den objektiven Vergleich der Vertrauenswürdigkeit verschiedener Identifizierungs- und Vertrauensdienste bildeten.

Zusammenfassung, Würdigung und Ausblick

Der vorliegende Blog-Beitrag gibt einen kompakten Überblick über die wichtigsten Probleme, die im Rahmen des FutureTrust Projekts, das am 1. Juni 2016 begann und von der Europäischen Kommission im Rahmen des EU-Rahmenprogramms für Forschung und Innovation (Horizont 2020) unter der Fördervereinbarung Nr. 700542 gefördert wurde, addressiert und gelöst wurden.

Wie oben erläutert, wurden im FutureTrust-Projekt nicht nur wichtige Grundlagen im Bereich von Sicherheit, Vertrauen und Vertrauenswürdigkeit erforscht, sondern es wurde auch der Standardisierungsprozess in zentralen Bereichen aktiv begleitet und es wurden zahlreiche Dienste entwickelt, die den Einsatz von eID und elektronischer Signaturtechnologie in realen Anwendungen erleichtern, indem sie die oben beschriebenen Probleme angegangen sind.

Die praktische Anwendbarkeit der Konzepte und Softwarekomponenten wurde in mehreren Pilotanwendungen demonstriert, wie z.B. einem portugiesischen Dienst für elektronische SEPA-eMandate, einem österreichischen Dienst für elektronische Rechnungen (eInvoice), einem georgischen Dienst für elektronische Apostillen (eApostille) und nicht zuletzt dem deutschen eIDAS-Portal, das die Ausstellung von Zertifikaten nach einer eID-basierten Identifizierung ermöglicht.

Die FutureTrust Dienste und die FutureTrust Anwendungen werden nun Schritt für Schritt der breiten Öffentlichkeit zur Verfügung gestellt und Interessenten werden ermutigt, sich mit den FutureTrust Experten in Verbindung zu setzen, um über maßgeschneiderte Lösungen für individuelle Bedürfnisse zu sprechen.

 

[1] Vergleicht man die aktuellen Zahlen (Juli 2019) mit den Zahlen eines aktuellen deutschen Artikels, der in der DuD 2019/04 erschienen ist, so zeigt sich, dass die Zahl der qualifizierten Vertrauensdiensteanbieter leicht wächst.

 

 

 

Innovationspreis Bayern 2016 für SkIDentity als Auftakt für Digitalisierungsoffensive „BayernID“

Nach verschiedenen internationalen Auszeichnungen im letzten Jahr und dem erfolgreichen Abschluss einschlägiger Zertifizierungsverfahren wurde die oberfränkische ecsec GmbH gestern Abend für „SkIDentity–Mobile eID as a Service“ mit dem renommierten Innovationspreis Bayern 2016 ausgezeichnet. Die von der bayerischen Wirtschaftsministerin Ilse Aigner, dem Präsidenten des Bayerischen Industrie- und Handelskammertags, Dr. Eberhard Sasse, und dem Präsidenten der Arbeitsgemeinschaft der bayerischen Handwerkskammern, Georg Schlagbauer, verliehene Auszeichnung bildet den Auftakt für die „BayernID“-Initiative – die auf vertrauenswürdige Identitäten gestützte Digitalisierungsoffensive der bayerischen Wirtschaft.

Innovationspreis Bayern 2016 für „SkIDentity – Mobile eID as a Service“

Bayerns Wirtschaftsministerin Ilse Aigner hat gestern in feierlichem Rahmen im Ehrensaal des Deutschen Museums in München zusammen mit dem Präsidenten des Bayerischen Industrie- und Handelskammertags, Dr. Eberhard Sasse, und dem Präsidenten der Arbeitsgemeinschaft der bayerischen Handwerkskammern, Georg Schlagbauer, den Innovationspreis Bayern 2016 verliehen. Unter insgesamt 187 nominierten Unternehmen wurde die oberfränkische ecsec GmbH für „SkIDentity – Mobile eID as a Service“ ausgezeichnet. „Ich gratuliere dem Unternehmen ecsec GmbH zum Gewinn des Innovationspreises 2016. Mit der Verwandlung elektronischer Identitätsdokumente (eID) in sichere und mobil nutzbare „Cloud Identitäten“, die leicht in beliebigen Cloud- und Webanwendungen für die datenschutzfreundliche Authentifizierung genutzt werden können, hat ecsec einen wichtigen Beitrag für eine sichere und benutzerfreundliche vernetzte Welt geleistet. Es ist außerdem eine wesentliche Voraussetzung für eine erfolgreiche Digitalisierung der Wirtschaft und Gesellschaft“, so Bayerns Wirtschaftsministerin Ilse Aigner.

Sichere elektronische Identitäten für eine erfolgreiche Digitalisierung der Wirtschaft

Die kürzlich vom Bundesminister des Innern vorgelegte „Cyber-Sicherheitsstrategie für Deutschland 2016“ sieht die Bereitstellung und Nutzung sicherer elektronischer Identitäten als wichtige Grundlage für eine nachhaltig erfolgreiche Digitalisierung der Wirtschaft vor: „Einen Kernpunkt stellen die Ausweisdokumente mit Online-Ausweisfunktion dar, mit dem die Bundesregierung bereits eine hochsichere und datensparsame Identifikationsmöglichkeit im Netz bereitstellt. Ziel ist es, die Onlineausweisfunktion – und davon abgeleitete sichere Identitäten – als Standard-Identifizierungsmittel für sensible Dienste zu etablieren, fortzuentwickeln und vergleichbar sichere Lösungen auch in der Wirtschaft zu fördern.“

Durch den ausgezeichneten SkIDentity-Dienst kann unter anderem der elektronische Personalausweis, die österreichische Sozialversicherungskarte (e-card), die estnische Identitätskarte und „e-Residency ID“ sowie diverse Signatur- und Bankkarten für die sichere Umsetzung elektronischer Geschäftsprozesse genutzt werden. Durch das von der Zertifizierungsstelle der TÜV Informationstechnik GmbH (TÜViT) ausgestellte Zertifikat für den SkIDentity-Dienst gemäß dem „Trusted Cloud Datenschutz-Profil für Cloud-Dienste“ (TCDP) mit der höchsten Schutzklasse III und die Zertifizierung der „Secure Cloud Infrastructure (SkIDentity)“ gemäß ISO 27001 auf Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI-IGZ-250) wurde der Nachweis erbracht, dass im SkIDentity-Dienst selbst höchste Ansprüche an Datenschutz und Datensicherheit erfüllt sind.

„BayernID“ – die integrierte Digitalisierungsoffensive für die bayerische Wirtschaft

Der elektronische Personalausweis wird in Bayern bereits seit längerer Zeit erfolgreich für die Digitalisierung von Verwaltungsprozessen genutzt und seit dem 01.07.2016 ist auch die eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Europäischen Binnenmarkt vollständig anwendbar. Darüber hinaus fördert der Freistaat Bayern mit dem „Digitalbonus.Bayern“ die sichere Digitalisierung von Geschäftsprozessen in kleinen und mittleren bayerischen Unternehmen.

Vor diesem Hintergrund haben sich führende bayerische Technologieanbieter, Beratungsunternehmen und Digitalisierungsexperten ausgewählter Industrie- und Handelskammern zusammengeschlossen und mit dem „BayernID“-Paket (http://BayernID.de) ein integriertes Dienstleistungspaket für die intelligente Digitalisierung der Geschäftsprozesse in bayerischen Unternehmen geschnürt. Dieses Paket umfasst die kompetente und unverbindliche Beratung zu generellen Digitalisierungsmaßnahmen und Aspekten der IT-Sicherheit, zeigt die mit der eIDAS-Verordnung verbundenen Chancen auf und stellt bei Bedarf vertrauenswürdige Identitäten, sowie weitere Cloud- und Vertrauensdienste zu Vorzugskonditionen bereit. Neben der mit dem Innovationspreis Bayern 2016 ausgezeichneten ecsec GmbH wird die „BayernID“-Initiative vom international führenden Technologiekonzern Giesecke & Devrient GmbH, dem Fraunhofer-Institut für Arbeitswirtschaft und Organisation (IAO), der SiXFORM GmbH, der Urospace GmbH, dem insbesondere in Bayern aktiven Verein zur Förderung der Nutzung der Online-Ausweisfunktion buergerservice.org e.V., dem IT-Cluster Oberfranken e.V., dem Institut für Informationssysteme der Hochschule Hof (iisys), dem in München ansässigen Anbieter des iDGARD-Dienstes Unsicon GmbH sowie den Industrie- und Handelskammern für Mainfranken Würzburg-Schweinfurt und für Oberfranken Bayreuth unterstützt und ist offen für weitere Partner, die konstruktiv an der Digitalisierung der bayerischen Wirtschaft mitwirken möchten.

Bestandteil der „BayernID“ ist insbesondere auch der neuartige „Video Ident Service“ von Giesecke & Devrient, mit dem der Personalausweis zur Eröffnung eines Bankkontos, zur Aktivierung einer Prepaid SIM-Karte oder zur Identifizierung eines Versicherten im Gesundheitswesen ohne Kartenlesegerät genutzt werden kann. Analog kann damit auch der beim Carsharing regelmäßig notwendige Check des Führerscheins nunmehr online erfolgen. „Wir freuen uns, mit unseren benutzerfreundlichen Sicherheitstechnologien in der BayernID-Initiative einen Beitrag zur erfolgreichen Digitalisierung der bayerischen Wirtschaft leisten zu können“, kommentiert Frank Nordmann, verantwortlich für den Bereich Public Sector bei Giesecke & Devrient. „Die Überprüfung der Identität und des damit verbundenen Dokumentes geschieht wahlweise im Browser oder auch mobil in einer Smartphone App, wobei stets eine elektronische Prüfung der vielfältigen in das Ausweisdokument integrierten Sicherheitsmerkmale und ein Abgleich der Benutzerinformationen stattfindet.“

Der in München ansässige gemeinnützige Verein buergerservice.org e.V. unterstützt die „BayernID“-Initiative mit der vom Verein entwickelten SID-Box (Secure Identity-Box). Mit Hilfe der SID-Box kann mit geringstem Aufwand ein Terminal für die direkte Verwendung der Online-Ausweisfunktion des Personalausweises, ein digital Service Point, hergestellt werden. Unternehmen, Institutionen und Behörden sind damit in der Lage, allen Personen in ihrem Umfeld (Mitarbeitern, Kunden, Mitgliedern usw.), den Zugang zur „BayernID“ auf sehr einfache Art und Weise zu ermöglichen. Die ersten digital Service Points werden derzeit in Kooperationen von Kommune, IHK und buergerservice.org in der Stadt Ansbach und im Landkreis Würzburg eingerichtet.

SkIDentity vom BSI gemäß ISO 27001 und von TÜViT gemäß Trusted Cloud Datenschutz-Profil zertifiziert

Heute wurde im Bundesministerium für Wirtschaft und Energie (BMWi) das von der Zertifizierungsstelle der TÜV Informationstechnik GmbH (TÜViT) ausgestellte Zertifikat für den SkIDentity-Dienst gemäß dem „Trusted Cloud Datenschutz-Profil für Cloud-Dienste“ (TCDP) mit der höchsten Schutzklasse III an die ecsec GmbH übergeben. Außerdem hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die „Secure Cloud Infrastructure (SkIDentity)“ gemäß ISO 27001 auf Basis von IT-Grundschutz zertifiziert (BSI-IGZ-250).

Datenschutz und Datensicherheit das Fundament für erfolgreiche Digitalisierung

Im Rahmen der heutigen Abschlussveranstaltung des Pilotprojekts „Datenschutz-Zertifizierung für Cloud-Dienste“ wurden nicht nur die bemerkenswerten Projektergebnisse samt des auf Basis von ISO/IEC 27002 und ISO/IEC 27018 erarbeiteten Kriterienkatalogs vorgestellt, sondern auch das von der Zertifizierungsstelle der TÜV Informationstechnik GmbH (TÜViT) für den SkIDentity-Dienst ausgestellte Zertifikat gemäß des „Trusted Cloud Datenschutz-Profil für Cloud-Dienste“ übergeben. Wie im Zuge des Prüf- und Zertifizierungsverfahrens nachgewiesen wurde, erfüllt der SkIDentity-Dienst die anspruchsvollen Anforderungen der höchsten Schutzklasse III, so dass mit SkIDentity auch besonders sensible Daten in rechtskonformer Weise verarbeitet werden können.

SkIDentity-Technologie ist nun nicht nur ausgezeichnet, sondern auch zertifiziert

Der bereits mehrfach ausgezeichnete¹ SkIDentity-Dienst (https://skidentity.de) wurde im Rahmen der „Trusted Cloud“ Initiative mit Unterstützung des BMWi entwickelt. Durch ihn können elektronische Identitätsdokumente (eID), wie z.B. der elektronische Personalausweis, sehr leicht in Cloud- und Webanwendungen genutzt werden. Hierbei können aus den elektronischen Ausweisdokumenten kryptographisch geschützte „Cloud Identitäten“ abgeleitet, auf beliebige Smartphones übertragen und dort für die starke pseudonyme Authentisierung oder einen selbstbestimmten Identitätsnachweis in der Cloud genutzt werden. Durch SkIDentity müssen in den angeschlossenen Cloud- und Webanwendungen keine Passworte mehr gespeichert werden, die gestohlen und missbraucht werden könnten.

Wie dem vom BSI ausgestellten Zertifikat (BSI-IGZ-250) entnommen werden kann, war nicht nur der Identitätsmanagement-Dienst von SkIDentity Gegenstand des Zertifizierungsverfahrens gemäß ISO 27001 auf Basis von IT-Grundschutz, sondern die komplette „Secure Cloud Infrastructure (SkIDentity)“, die für den hochsicheren Betrieb von weiteren Cloud- und Webanwendungen genutzt werden kann. „Die Verarbeitung von sensitiven Daten innerhalb von Cloud-Diensten erfordert hohe Sicherheitsstandards. Ein transparenter Nachweis über die korrekte Umsetzung eines angemessenen Sicherheitskonzeptes kann nur über ein neutrales Zertifizierungsverfahren erbracht werden,“ ergänzt Bernd Kowalski, Abteilungspräsident im Bundesamt für Sicherheit in der Informationstechnik. „Bei der Zertifizierung von SkIDentity wurde gezeigt, dass auch die besonders hohen Anforderungen, die mit der Nutzung des Personalausweises in Cloud-Diensten einhergehen, über eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz nachgewiesen werden können.“

¹ Siehe https://www.skidentity.de/auszeichnungen/ .

SkIDentity nutzt zertifizierte Open eCard App

SkIDentity nutzt die kürzlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gemäß der Technischen Richtlinie (TR) 03124 (eID-Client) zertifizierte Version der Open eCard App. Das erstmalig für eine Open Source Komponente und zugleich ohne Mängel im Prüfbericht vergebene Zertifikat ist bis 08.12.2020 gültig und ermöglicht die vertrauenswürdige Nutzung elektronischer Ausweise in SkIDentity unter Linux, Mac OS und Windows.

Plattformunabhängiger und leichtgewichtiger eID-Client für SkIDentity

Durch die konstruktive Zusammenarbeit von industriellen und akademischen Experten ist im Open eCard Projekt (http://openecard.org) eine leichtgewichtige und plattformunabhängige Implementierung des eCard-API-Frameworks gemäß BSI TR-03112 entstanden, die neben dem neuen Personalausweis viele weitere Chipkarten („eCards“), wie z.B. die elektronische Gesundheitskarte (eGK), die Vorläuferkarten des elektronischen Heilberufsausweises (HBA), diverse Bank- und Signaturkarten sowie verschiedenen Europäische Ausweiskarten unterstützt. Auf dieser Grundlage ist mit der Open eCard App ein benutzerfreundlicher eID-Client gemäß BSI TR-03124 entstanden, der nun vom BSI zertifiziert worden ist. Durch die modulare und auf dem internationalen Standard ISO/IEC 24727 basierende Architektur kann die Open eCard App sehr leicht erweitert und nahtlos in moderne Webanwendungen wie SkIDentity integriert werden.

Mit kontinuierlicher Verbesserung und stringentem Qualitätsmanagement zum BSI-Zertifikat ohne Spezifikationsabweichung oder Mangel

Um bei der breit einsetzbaren Open eCard App neben der Konformität zu den einschlägigen technischen Richtlinien des BSI ein allgemein hohes Maß an Qualität sicherzustellen, hat das Bayerische Staatsministerium der Finanzen, für Landesentwicklung und Heimat bereits im letzten Jahr ein Zertifizierungsverfahren gemäß BSI TR-03124 eröffnet. Durch einen kontinuierlichen Verbesserungsprozess und das stringente, an die internationalen Standards ISO/IEC 9001 und ISO/IEC 90003 angelehnte, Qualitätsmanagement-System, das sich auf das inzwischen als Open Source verfügbare eID-Client-Testbed des BSI stützt, konnte die aktuelle Version 1.2 der Open eCard App nun erfolgreich der Zertifizierung durch das BSI zugeführt werden. Damit hat erstmals ein unter einer Open Source Lizenz bereitgestellter eID-Client ein BSI-Zertifikat gemäß BSI TR-03124 erhalten. „Ganz besonders stolz sind wir darauf, dass der zum Zertifikat gehörende Prüfbericht keine Spezifikationsabweichungen oder Mängel enthält“, ergänzt der „Open eCard Project Maintainer“ Tobias Wich. „Dies unterstreicht einerseits die hohe Qualität der Open eCard Software und schafft auf der anderen Seite weiteres Vertrauen in die im Umfeld des elektronischen Personalausweises eingesetzten Technologien.“

„Wie sich am Beispiel von ‚SkIDentity‘ zeigt, war die Open eCard App auf Grund ihrer Sicherheit, Erweiterbarkeit und Benutzerfreundlichkeit schon mehrmals das Fundament einer ausgezeichneten Systemlösung“, ergänzt Dr. Detlef Hühnlein, Geschäftsführer der ecsec GmbH und Leiter des SkIDentity Projektes. „Es freut uns sehr, dass ein erstes Ergebnis unserer Arbeit offenbar nicht mehr nur ausgezeichnet, sondern nun auch zertifiziert ist.“