FAQ

FAQ

Was ist "starke Authentisierung"?

Im Zuge der "Authentisierung" weist ein Benutzer seine im vorliegenden Anwendungsfall relevante "partielle Identität" nach und bestätigt bei Bedarf die Echtheit von zusätzlichen Transaktionsdaten. Hierfür erzeugt er unter Verwendung entsprechender Sicherheitsmerkmale Authentisierungsdaten, die er dem Empfänger zur Prüfung vorlegt. Die partielle Identität umfasst neben einem im vorliegenden Kontext eindeutigen Identifikator (Pseudonym) unter Umständen weitere Identitätsattribute (Name, Vorname, Addresse, Geburtsdatum, Kontoverbindung, Bonitätsinformation etc.). Der Empfänger prüft schließlich die Authentisierungsdaten im Zuge der "Authentifizierung" (vgl. [Hühn08]).

"Starke Authentisierung" bezeichnet ein Verfahren "unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt" (vgl. [2015/2366/EU, Artikel 4 (30)]).

Welche Verfahren werden in der Praxis genutzt?

In der wissenschaftlichen Literatur und in internationalen Standards finden sich unzählige unterschiedliche Verfahren für die Authentifizierung, so dass die vollständige Aufzählung aller existierenden Verfahren sicherlich den Rahmen des vorliegenden Beitrags sprengen würde bzw. grundsätzlich unmöglich erscheint. Vielmehr wurde im Rahmen der Diskussion unter den in der verbandsübergreifenden Arbeitsgruppe mitwirkenden Experten ein grobes Klassifizierungsschema entwickelt, in das sich die in der Praxis eingesetzten Verfahren einteilen lassen.
Eine generelle Beobachtung ist, dass von den grundsätzlich möglichen Faktorkombinationen (Besitz + Wissen, Besitz + Inhärenz, Wissen + Inhärenz) in der Praxis die Kombination aus Besitz und Wissen klar dominiert und biometrische Authentifizierungsmechanismen im Internet bislang kaum in der Praxis eingesetzt werden.
Aktuell werden für die Authentifizierung im Internet insbesondere die nachfolgend aufgeführten Authentisierungstoken, jeweils in Verbindung mit einem zusätzlichen wissensbasierten Faktor (z.B. PIN), eingesetzt.

Elektronischer Personalausweis

Elektronische Ausweisdokumente, wie z.B. der elektronische Personalausweis, können zur starken Authentisierung im Internet genutzt werden. Im Fall des Personalausweises wird hierfür ein geeignetes Kartenterminal oder Smartphone benötigt und das so genannte „Extended Access Control“ Protokoll (Version 2) gemäß [TR-03110] ausgeführt. Für den Zugriff auf die im Ausweis gespeicherten Daten wird ein so genanntes Berechtigungszertifikat benötigt, durch das Bürgerinnen und Bürger die Identität des zugreifenden Online-Dienstanbieters und den Zweck des Datenzugriffs erkennen können. Auf dem Personalausweis sind die in § 18 PAuswG aufgeführten Identitätsattribute (d.h. Familienname, Geburtsname, Vornamen, Doktorgrad, Tag der Geburt, Ort der Geburt, Anschrift, Dokumentenart, Ordensname, Künstlername) gespeichert. Außerdem können mit dem so genannten „dienste- und kartenspezifischen Kennzeichen“ sehr datenschutzfreundliche, anwendungsspezifische Pseudonyme berechnet werden und es kann darüber hinaus eine datenschutzfreundliche Altersverifikation oder Wohnortbestätigung durchgeführt werden.

Signaturtoken

Bei einem Signaturtoken wird zur Authentisierung letztlich eine digitale Signatur über eine so genannte „Challenge“ erstellt, in die eine von der prüfenden Instanz gewählte Zufallszahl einfließt. Wie der letztlich zu signierende Wert gebildet wird, ist bei den verschiedenen auf diesem Prinzip basierenden standardisierten Authentisierungsprotokollen geringfügig unterschiedlich. Das Signaturtoken kann als Signaturkarte ausgeprägt sein, so dass man damit auch qualifizierte elektronische Signaturen erstellen oder Banktransaktionen mittels [FinTS] absichern kann. Um eine Chipkarte zur Authentisierung nutzen zu können, ist ein entsprechendes Chipkartenterminal notwendig, das im Regelfall über die USB-Schnittstelle an einen Rechner angeschlossen wird. Um die Benutzerfreundlichkeit zu erhöhen, kann die Chipkarte mit dem Kartenterminal integriert und beispielsweise als USB-Token realisiert sein. Ein technisch sehr einfach gehaltenes, über USB oder per NFC nutzbares Token, das zur Signatur-basierten Authentisierung – und im Regelfall nur dazu – verwendet werden kann, ist das von der FIDO-Alliance spezifizierte „Universal Second Factor“ (U2F) Token.

TAN-basierte Verfahren

Sowohl beim elektronischen Personalausweis als auch bei den Signatur-Token, muss für die Realisierung des Protokollablaufs eine technische Kommunikationsschnittstelle zwischen dem Endgerät des Nutzers (PC, Tablet, Smartphone etc.) und dem kryptographischen Authentisierungstoken vorhanden sein. Für Anwendungsbereiche in denen eine derartige Schnittstelle nicht oder nur schwer realisiert werden kann, empfiehlt sich der Einsatz von TAN-basierten Verfahren zur starken Authentisierung, da hier die Übertragung der als Authentisierungscode fungierenden TAN vom Authentisierungstoken zum Endgerät durch den Nutzer selbst erfolgen kann. Hierbei existieren vielfältige Varianten, die insbesondere danach unterschieden werden können, ob die TAN beim Benutzer oder auf der Serverseite erzeugt wird.
Beim chipTAN-Verfahren wird zusätzlich zu einer Bankkarte ein mobiler TAN-Generator zur Entgegennahme der zu schützenden Transaktionsdaten und zur dezentralen Erzeugung der TAN benötigt. In ähnlicher Form existieren viele verschiedene „Einmalpasswortgeneratoren“, die in der Regel aus einem geheimen Schlüssel, einer Sequenznummer, dem Zeitpunkt und/oder einer Challenge eine zur starken Authentisierung geeignete TAN erzeugen, die vom Benutzer typischer Weise auf einem anderen , vertrauenswürdigen Endgerät des Benutzers, z.B. zusätzlich zu einer Authentisierung mit Benutzername und Passwort, in ein entsprechendes Webformular eingegeben wird.
Die Erzeugung der TAN muss nicht zwingend dezentral beim Benutzer erfolgen, sondern sie kann zentral erzeugt und wie beim mobileTAN-Verfahren oder der österreichischen Handysignatur als SMS auf ein Mobiltelefon übertragen werden.

Smartphone-basierte Verfahren

Neben den vorher beschriebenen Verfahren zur starken Authentifizierung werden in der Praxis zunehmend auch Smartphone-basierte Verfahren eingesetzt. Hierbei wird das zur Authentisierung genutzte Schlüsselmaterial in einer sicheren Ausführungsumgebung gespeichert und angewandt. Der Authentisierungsvorgang kann über interne Mechanismen der gängigen Smartphone-Betriebssysteme oder extern per NFC oder durch QR-Code gestartet werden.
Ein Beispiel für den breitflächigen Einsatz eines Smartphone-basierten Verfahrens zur starken Authentisierung und Identifizierung ist die schwedische „E-Legitimation“. Hierbei handelt es sich um ein elektronisches Identifizierungsmittel (eID), das von den schwedischen Banken herausgegeben wird und vom schwedischen Staat legitimiert ist. Mit der BankID/ Mobilt BankID können sich Privatpersonen im Internet gegenüber Unternehmen, Banken und Behörden identifizieren und mittels fortgeschrittener elektronischer Signaturen Verträge abschließen. Alle Privatpersonen, die über eine schwedische Personennummer verfügen, können sich eine BankID ausstellen lassen. Für die mobile Authentisierung benötigt der Bürger die Schwedische Schwedische Personennummer, die BankID /Mobilt BankID und die BankID Sicherheits-APP. Die BankID/ Mobilt BankID nutzt ein Softtoken , ist zwei Jahre lang gültig und kann über die Bank gesperrt werden. Falls man das Passwort vergisst, muss man eine neue BankID beantragen.
Die Verwendung ist sehr einfach: Der Anwender öffnet über einen Browser die Internetseite des gewünschten Dienstleistungsanbieters, z.B. seinen digitalen Behördenbriefkasten. Gleichzeitig muss auf dem Handy die BankID Sicherheits-APP gestartet sein und der Anwender bestätigt die Legitimation oder die Signaturerstellung jeweils mit seinem 8-stelligen Sicherheitscode.
Alle wichtigen Lebensbereiche des Bürgers sind bereits abgedeckt. Es kann z.B. der Zugriff auf medizinische Daten, Krankenversicherung, Arbeitsamt, Elektronischer Postkasten für Behördenbriefe, Kreditauskünfte und nicht zuletzt die elektronische Steuererklärung genutzt werden.

Sonstige Verfahren

Wie oben erwähnt, sind grundsätzlich weitere Verfahren zur starken Authentisierung denkbar, die andere Authentisierungstoken und –protokolle sowie zusätzlich oder alternativ zum Faktor Wissen biometrische Merkmale nutzen. Darüber hinaus kann in bestimmten Anwendungsszenarien die Auswertung von zusätzlichen Merkmalen, wie z.B. der aktuelle Ort des Zugreifenden und beispielsweise der Zeitpunkt des Zugriffs, sinnvoll sein.