Kein Schindluder mit der eID

0
1815
Notifizierungen, Zertifizierungen und Verschlüsselungen sollen die eID-Produkte und -Dienstleitungen sicherer und damit vertrauensvoller gestalten, damit die Digitalisierung keinen bitteren Beigeschmack für die Bürger enthält. (Foto: geralt, CC0, https://pixabay.com/)

Die elektronische Identität (eID) und die damit einhergehende electronic Identifikation, Authentifikation and trust Services (eIDAS)-Verordnung bringen Europa und die Bürger sowie die Unternehmen hinsichtlich der Digitalisierung voran. Dabei befinden sie sich in einem Spannungsfeld zwischen Zertifizierungen, Verschlüsselungen und Notifizierungen, damit die Zukunft und die digitale Identität so sicher wie möglich ist. Das Thema “IT-Sicherheit und Kommunikation” wird sich ebenso auf dem Netzwerk “Digitaler Staat” vom 2. bis 3. April 2019 wiederfinden.

Matthias Fischer aus dem Referat für Cybersicherheit, Wirtschaft und Gesellschaft des Bundesinnenministeriums (BMI) erläuterte die baldige formale Annahme des Cyber Security Acts: “Mit dem Act wird ein einheitlicher Zertifizierungsrahmen etabliert und implementiert, der für IT-Produkte, IT-Services und IT-Dienstleistungen im europäischen Binnenmarkt gilt.” Im Endeffekt gebe der Act vor, was die einzelnen Zertifizierungsschemata enthalten sollen. Vor allem Sicherheitsanforderungen und die Vertrauensniveaus würden sich dort wiederfinden. “Damit soll die Zertifizierung von Technologien der Informationstechnik effizienter und schneller werden, indem auch Zertifikate dann europaweit gelten und anerkannt werden.” Jedoch sei der Zertifizierungsrahmen freiwillig, die Anbieter müssten ihre Produkte nicht zertifizieren. Wiederum könne die Kommission jederzeit diesen Rahmen verbindlich machen, merkte er auf der Omnisecure 2019 an.

Digitalen Gau vermeiden

Datenschutz ist immer auch eine Frage von Datensicherheit und beim Verschicken sowie Aufbewahren von hochsensiblen Informationen mittlerweile ebenso eine Frage des kryptografischen Verfahrens dahinter. Dr. Dennis Kügler, Referatsleiter Chip-Sicherheitsanalyse, Bundesamt für Sicherheit in der Informationstechnik (BSI), betonte, dass hierfür in einen guten Zufallsgenerator investiert werden müsse. Dann könnte Cyber-Angriffen, die auch auf verschlüsselte Nachrichten abzielen, etwas entgegengesetzt werden. Er merkte an, dass viele Angriffsmöglichkeiten nicht vorhergesehen werden könnten. Zufall sei dabei wichtig in der Kryptografie. Denn die Abwehr scheitere daran, dass etwas bei der Zufallsgenerierung nicht stimme. So sei bei der Verwendung von “schlechten” Schlüsseln in der Kryptografie das Rückrechnen des Schlüssels möglich. “Die Verwendung von erprobten und offenen Standards bietet sich zum Schutz an. Ebenso das Implementieren von, falls möglich zertifizierten, Standardkomponenten. Ferner sollte der Schlüssel in Hardware-Sicherheitselementen aufbewahrt werden”, erläuterte Kügler.

Notifizierung in der Europäischen Union

Damit das Vertrauen in das jeweilige Produkt und Dienstleistung für eID gegeben ist, müssen diese von den anderen EU-Mitgliedstaaten notifiziert, also anerkannt, werden. Das erste Produkt hierbei war der deutsche Personalausweis mit seiner eID-Funktion. Hierbei wird auch das Peer Review-Verfahren angewandt, bei welchem sich gegenseitig Feedback gegeben wird. “Das Verfahren funktioniert dabei grundsätzlich gut und ist sinnvoll”, erläuterte Dr. Jens Bender, Referent im Referat eID-Technologien und Chipkarten, vom BSI. Es helfe dem gegenseitigen Verständnis und dem Vertrauen der Systeme. Aber nicht immer gehe es in die Detailfragen hinein, denn das Verfahren sei kein Audit, welche sehr zeitaufwändig seien. Noch nicht abschließend geklärt sei, wenn ein Identitätsprovider mit einem neuen Produkt auf den Markt möchte. Bisher würden drei Möglichkeiten existieren.

Entweder er müsse sich nur an den nationalen notifizierten Anforderungen orientieren, er werde in eine Provider-Liste aufgenommen oder er müsse sich selbst notifizieren und damit als vertrauenswürdig eingestuft werden. Zur letzteren Option tendiert Bender: “Jedem potenziellen Identitätsprovider sollte man sich anschauen können und jeder Teilnehmer sollte sich dem Peer Review stellen.”

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here