|
Durch die Möglichkeiten der eID‐Funktion des neuen Personalausweises (nPA) werden in Kürze vier Welten vor dem Hintergrund der „Smart City“ mehr und mehr zusammenwachsen. Die Welt der Ausweisdokumente, der eTickets im ÖPV, des E‐Governments und der Kundenbindungskarten. Bürgerinnen und Bürger werden schon bald ganz konkret erleben können, wie sie über einen entsprechenden Chipkartenleser an ihrem heimischen PC, Dienste aus allen vier Welten in Anspruch nehmen.
eTickets im ÖPV – Kunden des Verkehrsverbund Rhein‐Ruhr (VRR)
Das IT‐Sicherheitskit enthält neben einem Chipkartenleser eine Software, die das Auslesen von Chipkarten des ÖPV ermöglicht. Darüber hinaus entwickeln mehrere Verkehrsunternehmen des VRR gerade neue Konzepte zum Verkauf elektronischer Tickets über das Internet. Elektronische Tickets sollen zukünftig mit Hilfe eines Chipkartenlesers am heimischen PC direkt auf die Chipkarte des Kunden geschrieben werden.
Kundenbindungskarten – Kunden der Stadtwerke Münster
Die Kundenbindungskarte „PlusCard“ des örtlichen Versorgers und des lokalen Handels in Münster wird mit dem eTicket‐System des ÖPV verknüpft. Auf einer gemeinsamen Kontaktlos‐Chipkarte werden den Bürgerinnen und Bürgern das elektronische Ticket, der Zugang zum Stadtwerkeportal, der Online‐Abschluss von Energieversorgungsverträgen, der Zugang zu städtischen Einrichtungen bis hin zu übergreifenden Bonus‐und Rabattprogrammen angeboten. Mit dem im IT‐Sicherheitskit enthaltenen Kartenleser kann der Karteninhaber über das Internet auf sein Kundenkonto zugreifen.
E‐Government ‐ Bürgerinnen und Bürger der Stadt Münster
Die Stadt Münster sowie weitere beteiligte Kommunen haben sich zu einer kommunalen Kooperation zusammengeschlossen. Sie werden im Rahmen der elektronischen Identität des neuen Personalausweises neue Online‐Antragsverfahren wie z.B. Parkausweise für soziale Dienste, Einzugsermächtigungen oder Genehmigungen für Veranstaltungen entwickeln und dem Bürger über den Chipkartenleser am heimischen PC zugänglich machen.
Die IT‐Sicherheitskits werden im Zeitraum von November 2010 bis Dezember 2011 von den Projektpartnern abgegeben.
Multicard übernimmt als Konzeptentwickler die zentrale Koordination und Planung zur Ausgabe der IT‐Sicherheitskits.
• Was ist ein IT-Sicherheitskit?
• Wo und ab wann kann ich ein kostenloses IT-Sicherheitskit erhalten?
• Wo erhalte ich weitere IT-Sicherheitskits für meine Familienmitglieder?
• Kann ich ein IT-Sicherheitskit für den neuen Personalausweis auch kaufen?
• Kann ich Chipkartenleser für den neuen Personalausweis auch ohne
IT-Sicherheitskit kaufen?
• Muss ich einen zertifizierten Leser nutzen?
• Sind Lesegeräte für den neuen Personalausweis sicher?
• Wo kann ich den neuen Personalausweis Online nutzen?
• Wir möchten den elektronischen Identitätsnachweis des neuen Personalausweises in
unser Internetangebot einbinden.
Welche Hilfestellungen gibt es dazu?
• Wo erhalte ich weiterführende Informationen zum neuen Personalausweis?
Was ist ein IT-Sicherheitskit?
Der Bund gewährt nach § 44 i.V. mit § 23 Bundeshaushaltsordnung (BHO) auf der Grundlage des beschlossenen IT-Investitionsprogramms im Rahmen des Pakts für Beschäftigung und Stabilität in Deutschland nach Maßgabe dieser Richtlinie und der Allgemeinen Verwaltungsvorschriften zu § 44 BHO (VV-BHO) Zuwendungen zur Verbesserung der Infrastruktur für die Nutzung elektronischer Karten (eCards). Dabei steht die Förderung einer modernen IT-Infrastruktur zur Nutzung von eCards ebenso im Vordergrund wie die Förderung von Vorhaben zur Verbesserung des eCard-basierten Angebots an öffentlichen und privatwirtschaftlichen Dienstleistungen. Der Zuwendungszweck soll durch die verbilligte oder unentgeltliche Abgabe von IT-Sicherheitskits mit Kartenlesern an Endverbraucher in der Bundesrepublik Deutschland erreicht werden.
In einem offenen Zuwendungsverfahren haben u.a. Unternehmen, Verbände, Institutionen und Medien Konzepte zur Verteilung von Sicherheitskits eingereicht, aus welchen das Bundesministerium des Innern aus einer Vielzahl an Anträgen zehn Konzepte ausgewählt hat.
Weitere Informationen zu den jeweiligen Konzepten finden Sie am Ende der Seite unter dem Punkt Weiterführende Informationen. IT-Sicherheitskits gemäß o.g. Definition müssen einen Lesegerät (in der Regel Basisleser), Informationen zur Nutzung von Chipkarten wie dem neuen Personalausweis sowie weitere von den Zuwendungsempfängern individuell zusammengestellte Bestandteile (z.B. Zugang zu webbasierten Anwendungen oder Antivirensoftware) enthalten.
Alle Lesegeräte müssen gemäß der Technischen Richtlinie TR-03119 des Bundesamts für Sicherheit in der Informationstechnik (BSI) zertifiziert sein.
Alle über unsere Projektpartner verteilten IT-Sicherheitskits enthalten ein zertifiziertes Lesegerät von SCM Microsystems und eine CD u.A. mit dem Link zur Installation der Software Ticketinfo mit der Sie in Verbindung mit dem Lesegerät Nahverkehrs-Chipkarten auslesen können.
Wo und ab wann kann ich ein kostenloses IT-Sicherheitskit erhalten?
Eine Liste mit den Abgabestellen für die kostenlose Abgabe von IT Sicherheitskits der beteiligten Projektpartner (Kompetenzcenter elektronisches Fahrgeldmanagement NRW, Verkehrsverbund Rhein‐Ruhr, Stadt Münster, Stadtwerke Münster) finden Sie hier als PDF
Wo erhalte ich weitere IT-Sicherheitskits für meine Familienmitglieder?
Dies ist abhängig von dem Angebot unserer Partner. Für weitergehende Informationen empfehlen wir den Besuch deren Webseiten.
Kann ich ein IT-Sicherheitskit für den neuen Personalausweis auch kaufen?
Ja. Unabhängig von den geförderten IT-Sicherheitskits gibt es ab 1. November im Fachhandel oder unter www.chipdrive.de ein komplettes IT-Sicherheitskit mit Basisleser für den neuen Personalausweis, Informationsbroschüre und einer 12 Monatslizenz für AVIRA AntiVir Premium im Wert von € 19,95 zum Einführungspreis von € 24,95 an. Avira AntiVir Premium wehrt nicht nur Viren, Würmer, Trojaner, Rootkits, Phishing, Ad- und Spyware ab, sondern schützt Sie auch beim Surfen und Emailen – dank WebGuard, AntiDrive-by und MailGuard.
Kann ich Chipkartenleser für den neuen Personalausweis auch ohne IT-Sicherheitskit kaufen?
Ja. In Abhängigkeit der Mengen entweder direkt bei den Vertriebsmitarbeitern der SCM Microsystems oder bei unseren Vertriebspartnern.
Muss ich einen zertifizierten Leser nutzen?
Nur die Nutzung eines zertifizierten Chipkartenlesers garantiert Ihnen Sicherheit im Umgang mit dem neuen Personalausweis und anderen Chipkarten. Wir empfehlen dringend nur Lesegeräte zu verwenden, die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemäß den Anforderungen der Technischen Richtlinie TR-03119 zertifiziert und zugelassenen sind. Sie erkennen diese Leser an Hand eines auf dem Typenschild aufgebrachten Bundesadlers mit TR- und Zertifikatsnummer als Nachweis der Zertifizierung.
Die aktuellen Zertifizierungslisten finden sie hier.
Lesegeräte, die diese Zertifizierung nicht haben, stellen keine vertrauenswürdige Komponente dar und sollten zur Sicherstellung des korrekten Umgangs mit Ihren Daten nicht verwendet werden.
Sind Lesegeräte für den neuen Personalausweis sicher?
In Medien wird gelegentlich behauptet, dass es „für Betrüger problemlos möglich sei, sensible Daten des Personalausweises abzufangen – inklusive der geheimen, sechsstelligen PIN-Nummer“. Ist das richtig?
Nach unserer Einschätzung kann nur durch vorsätzliches deaktivieren des seit der Einführung von Windows®XP automatisch installierten Windows®Sicherheitscenters und unter ganz bestimmten Voraussetzungen allein die PIN abgefangen werden, was jedoch nicht dazu führt, dass andere sensible Daten abgefangen werden können. Dies ist unabhängig der Art des verwendeten Lesegerätes also sowohl bei Basis-, Standard- bzw. Komfortlesegeräten möglich. Grundsätzlich kann immer davon ausgegangen werden, dass eine PIN in jedem System, bei denen PINs verwendet werden (z. B. ec-Karten, Mobiltelefone), ausgespäht werden kann, sei es durch den „Blick über die Schulter“ oder dadurch, dass die PIN aufgeschrieben und Dritten zugänglich gemacht wird. Auch technisch ist es nicht mit 100-prozentiger Sicherheit zu verhindern, dass PIN-Eingaben am Computer oder an Lesegeräten abgefangen werden. Auch in Lesegeräte integrierte PIN-Tastaturen können dies nicht gänzlich ausschließen.
Die Risiken des dargestellten Szenarios sind nicht neu. Es galt von Anfang an die Wahrscheinlichkeit des Risikos des Missbrauchs im Verhältnis der Kosten der Schutzmaßnahmen abzuwägen. Genau aus diesem Grund sind drei Klassen von geeigneten Lesegeräten geschaffen worden. Kostengünstige Basislesegeräte sind für eine weite Verbreitung und Akzeptanz ausschließlich der neuen eID-Funktion gedacht und geeignet. Rechtsgeschäfte mit qualifizierten Signaturen im Internet hingegen können nur mit wesentlich teureren Komfort-Lesegeräten durchgeführt werden. Die Überwachung der Tauglichkeit der Lesegeräte für jede Anwendung übernimmt die AusweisApp.
Zusätzlichen Schutz vor Auslesen der PIN durch Keylogger oder ähnliche Malwareprogramme bei der Verwendung von Basislesegeräten bietet die in der Nutzungssoftware – der so genannten AusweisApp – vorhandene virtuelles PIN-Tastatur, die die PIN-Eingabe mit der Maus am Bildschirm ermöglicht. Diese Technik kommt auch bereits bei mehreren Onlinebanking-Lösungen zum Einsatz.
Für die Nutzung des neuen Personalausweises vom eigenen PC ist immer eine Zwei-Faktor-Authentisierung (Besitz plus Wissen) notwendig. Das heißt, dass man die Ausweiskarte besitzen UND die PIN kennen muss. Wenn einer der beiden Faktoren, also der Ausweis oder die PIN, abhandenkommt, ist es auch für Betrüger noch immer nicht möglich, an sensible Daten zu gelangen. Darüber hinaus kann die PIN vom Ausweisinhaber jederzeit eigenständig geändert werden, wenn der Verdacht besteht, dass sie Dritten bekannt geworden ist. Im Verlustfall kann ein Personalausweis wie eine Kreditkarte umgehend telefonisch gesperrt werden, so dass die Online-Ausweisfunktion nicht mehr verwendet werden kann. Selbst bei der Verwendung von Basislesegeräten ist damit das Sicherheitsniveau im Vergleich zu heute üblichen Methoden (Benutzername und Passwort) deutlich höher.
Es ist nicht vorstellbar, dass die kryptografischen Sicherheitsalgorithmen und -protokolle des neuen Personalausweises überwunden wurden. Das Sicherheitsniveau des Chips im neuen Personalauseis selbst gilt sogar als höchstmöglicher Sicherheitsstandard. Somit kann behauptet werden, dass keine Sicherheitslücke beim neuen Personalausweis besteht.
Zu den Sorgfaltspflichten jedes Computernutzers im Internet grundsätzlich und nicht nur beim Umgang mit dem neuen Personalausweis gehört es, sein Computersystem mit geeigneten Mitteln (Firewall, Virenscanner, Aktualisierungen des Betriebssystems) frei von Schadsoftware zu halten. Wer diesen Pflichten nicht nachkommt empfehlen wir dringend auf jegliche Verbindung mit dem Internet zu verzichten und auch die relevanten Funktionen des neuen Personalausweises nicht zu nutzen.
Wo kann ich den neuen Personalausweis Online nutzen?
Einige Anbieter haben bereits eine Berechtigungszertifikat erhalten und gehen demnächst online.
• Anbieter anzeigen
Wir möchten den elektronischen Identitätsnachweis des neuen Personalausweises in unsere Internetangebot einbinden. Welche Hilfestellungen gibt es dazu?
Grundlegende Informationen erhalten Sie hier.
Weitere Hilfestellungen und Partner zur Umsetzung finden Sie bei der privatwirtschaftliche Initiative mit Rundum-Service im Hinblick auf die Nutzung des Neuen Personalausweises Ausweis-Portal.de.
Wo erhalte ich weiterführende Informationen zum neuen Personalausweis?
http://www.cio.bund.de
https://www.bsi.bund.de
http://www.personalausweisportal.de
http://www.ccepa.de
CHIPDRIVE®
Webshop
Datasheet & specs Downloads
|
