Suchergebnisse

Die eIDAS-2.0.-Verordnung wird die digitale Identität europaweit regeln. (Symbolbild) – Public Domain Generiert mit MidjourneyWährend in Europa die Verhandlungen zur digitalen Identität fast fertig sind, macht das Innenministerium einen Konsultationsprozess zum Thema. Eine Kleine Anfrage aus dem Bundestag veranschaulicht ein Wirrwarr aus Konzepten, Projekten, Zuständigkeiten und Interessen.

Inhaltsangabe: Bisher gibt es keine Möglichkeit, online und somit medienbruchfrei einen sicheren Identitätsnachweis im Rahmen eines transaktionsorientierten Geschäftsprozesses erbringen zu können. Durch Inkrafttreten der Europäischen Dienstleistungsrichtlinie wird dies jedoch zwingend erforderlich. Um der Anforderung zu genügen, wird der neue elektronische Personalausweis mit einer elektronischen Identitätsfunktion ausgestattet sein. Wegen der Übertragung sensibler personenbezogener Daten ist die Implementierung einer sicheren Infrastruktur von zentraler Bedeutung. Da vorgesehen ist, die elektronische Identitätsfunktion grenzüberschreitend in der EU anwenden zu können, müssen entsprechende Architekturen etabliert werden, die Interoperabilität gewährleisten. Die vorliegende Studie beleuchtet zunächst, welche E-Government-Programme auf EU- und auf BRD-Ebene sich mit dem Thema befassen und welche Vorgaben bezüglich der Umsetzung einer elektronischen Identität erarbeitet wurden. Selbstverständlich gibt es auch einige gesetzliche Normen, die dabei zu berücksichtigen sind und andere, die den Erfordernissen entsprechend anzupassen sind. Sie werden ebenfalls vorgestellt. Im Anschluss wird die Notwendigkeit der Einführung digitaler Identitäten erläutert. Die Studie beschreibt den Umgang mit Personenkennzahlen in Deutschland. Die Rechtslage macht die Verwendung bereichsspezifischer Personenkennzahlen erforderlich. Wie dies umgesetzt wird, wird beispielhaft an einigen aktuellen Projekten der Bundesverwaltung erörtert. Die weiteren Kapitel befassen sich insbesondere mit der technischen Aspekten von elektronischen Identitäten. Zunächst wird beschrieben, wie der neue elektronsiche Personalausweis umgesetzt werden wird. Besonderes Augenmerk wird dabei auf die Spezifikation des Protokolls zur Implementierung der elektronsichen Identitätsfunktion gerichtet und es werden Aspekte der Interoperabilität der Funktion beleuchtet. Dies betrifft zum einen Interoperabilität der Chipkarten, die im Rahmen der Kartenprojekte der Bundesregierung ausgegeben werden. Zum anderen betrifft es die grenzüberschreitende Interoperabilität der unterschiedlichen eID-Lösungen der EU-Staaten. Mit den sogenannten Bürgerportalen wird eine weitere Lösung der Bundesregierung beschrieben, mit der die Erbringung eines sicheren elektronischen Identitätsnachweises möglich ist. Zuletzt werden mögliche Einsatzszenarien der elektronischen Identitätsfunktion dargestellt.

Der Beitrag thematisiert die fortschreitende Erosion mentaler Identitätskonzepte, die in der Spätmoderne durch einen neuen Körperkult ersetzt werden. Er beschreibt virtuelle Kommunikationsprozesse im elektronischen Netz und zeigt, wie hier der bereits maßgeblich durch Medienbilder erzeugte Leib immer weniger als Garant für eine glaubwürdige und authentische Kommunikation gelten kann. Ausgehend von einer Analyse von Chat-Kommunikation, Spielen in mittelalterlichen Spielwelten und dem Umgang mit Egoshootern wird darauf verwiesen, dass der virtuelle Raum eine Institution der (Identitäts-)Absicherung sein kann. Diese Absicherung wird auf unterschiedliche Weise geleistet: neueste hochbewertete Technik wird in Kombination mit veralteten Konzepten eingesetzt. Damit sichern die medialen Räume das Authentizitätserleben, indem der Körper in die Strukturen eingebunden wird. Auf der Basis dieser doppelten Sicherheit, der klaren Strukturen und der körperlichen Vernetzung wird es möglich, ohne Identitätsverlust mit den Grenzen zu spielen. (ICH)

Der neue Personalausweis ermöglicht mit seiner eID-Funktion erstmals einen elektronischen Identitätsnachweis, womit sich der Ausweisinhaber bei verschiedensten Diensten im Internet authentisieren kann. Doch beim Einsatz des elektronischen Identitätsnachweises können aus ganz unterschiedlichen Gründen Schäden bei den beteiligten Personen entstehen. Diese Schadensursachen lassen sich in zwei große Gruppen einteilen: das Fehlschlagen des Identitätsnachweises und den Missbrauch des Identitätsnachweises.Das Fehlschlagen des Identitätsnachweises liegt vor, wenn die Authentisierung trotz ordnungsgemäßer Bedienung nicht gelingt und somit eine Handlung des Ausweisinhabers verzögert oder ausgeschlossen wird. Von einem Missbrauch spricht man, wenn ein Dritter den elektronischen Identitätsnachweis unter der Identität des Ausweisinhabers verwendet. Der Autor untersucht, wer für das Fehlschlagen bzw. den Missbrauch des Identitätsnachweises das Risiko trägt und gegebenenfalls haftet. Außerdem wird erörtert, ob aufgrund der Vornahme des elektronischen Identitätsnachweises ein Anscheinsbeweis dahingehend besteht, dass eine Erklärung vom Ausweisinhaber stammt

Inhaltsangabe: Eine ganze Reihe von Verfahren der öffentlichen Verwaltung sind bereits heute als E-Government-Anwendungen umgesetzt. Dadurch wurden die damit einhergehenden Geschäftsprozesse zum Teil optimiert. Dies betrifft Aspekte der Interaktion, Information und Kommunikation zwischen Bürgern und der Verwaltung. Ein Bürger kann beispielsweise eine ganze Reihe von Informationen auf der Website einer Behörde einsehen und mit ihr per EMail kommunizieren. Jedoch lassen sich nach wie vor viele transaktionsorientierte Geschäftsprozesse aufgrund einer fehlenden Infrastruktur für digitale Identitäten nicht medienbruchfrei über das Internet abwickeln. Viele Verwaltungsakte erfordern eine eindeutige Identifizierung des Bürgers. Derzeit dient vor allem der Personalausweis als Dokument zum Nachweis der Identität in hoheitlichen manuellen Verfahren. Auf ihm werden die Identitätsdaten ausschließlich aufgedruckt und können somit nicht elektronisch übermittelt werden. Die betreffenden Genehmigungsverfahren können somit nicht medienbruchfrei abgewickelt werden. Der Bürger muss also zu ihrer Durchführung nach wie vor persönlich bei der jeweiligen Behörde erscheinen, damit ein Behördenmitarbeiter durch Inaugenscheinnahme des Personalausweises abgleichen kann, ob der Bürger derjenige ist, der er zu sein behauptet. Gäbe es die Möglichkeit, sich im Internet auf sichere Weise elektronisch zu identifizieren, so würde dies zu einer weiteren erheblichen Optimierung der hoheitlichen Verfahren führen. Viele Genehmigungsverfahren, die bislang ein umfangreiches Mitwirken von Behördenmitarbeitern erforderten, könnten dann automatisiert und elektronisch abgewickelt werden. Behördenmitarbeiter müssten nur noch in den Prozess eingreifen, wenn es einer Entscheidung bedarf, die nicht automatisiert abgebildet werden kann. Für den Bürger wiederum würde die Einführung einer digitalen Identität bedeuten, dass Behördengänge unnötig werden und er nicht an die Öffnungszeiten der jeweiligen Behörde gebunden ist. Unter der Identität einer Person versteht man die Menge der Ausprägungen aller Attribute, die diese charakterisieren. Jede Person besitzt eine eindeutige Identität. Ändert sich die Ausprägung eines Attributs, beispielsweise des Alters, so behält die Person ihre Identität bei. Um eine Person in Geschäftsprozessen identifizieren zu können, bedarf es demnach einer unveränderlichen Teilmenge an Attributen, die eindeutig ist. Häufig wird hierzu ein gesondertes Ordnungsmerkmal verwendet. Partielle Identitäten bilden nur eine Teilmenge der charakterisierenden Attribute einer Person ab. Sinnvollerweise sollte eine partielle Identität solche Attribute beinhalten, die in dem jeweiligen Kontext adäquate Informationseinheiten darstellen. Eine digitale Identität wiederum stellt die elektronische Repräsentation einer partiellen Identität dar. Derzeit verzichten viele Bürger in Deutschland auf die Nutzung von E-Government-Anwendungen, da sie nicht in deren Sicherheit und generell der des Internet vertrauen. In den Medien wird vielfach von entsprechenden Sicherheitslücken berichtet. So haben viele die Sorge, dass ihre personenbezogenen Daten in die Hände Unbefugter gelangen (beispielsweise durch Phishing-Atacken) oder bei der Übertragung in böswilliger Absicht verfälscht werden können. Kennt ein Unberechtigter erst die Identitätsdaten einer anderen Person, so kann er sie dazu missbrauchen, deren Identität vorzutäuschen (Identitätsdiebstahl). Die Verwendung einer digitalen Identität stellt also zunächst nur eine behauptete Identität (Claim) dar. Bei Verwaltungsakten, die einen Nachweis der Identität erfordern, muss die behauptete Identität also verifiziert werden. Dabei bestehen Sicherheitsziele bezüglich der Verbindlichkeit und Vertraulichkeit der übertragenen Daten. 'Unter dem Sammelbegriff Verbindlichkeit versteht man das Ziel, dass die übertragenen Daten als 'gültig' angesehen werden können. Insbesondere sind hierbei die Rechtsverbindlichkeit (im Sinne eines Vertragsabschlusses), Erfüllung der Schriftform-Erfordernis (gemäß den rechtlichen Anforderungen) und die Nicht-Abstreitbarkeit (Schutz gegen nachträgliches Bestreiten der Urheberschaft) zu gewährleisten. Außerdem sind auch die Anforderungen Identifizierbarkeit des Absenders (Möglichkeit der eindeutigen Zuordnung der Identifikations-Daten), Eindeutigkeit der Abbildung der Authentisierungs-Daten auf den Datenbestand und Integrität der Daten (Schutz gegen Veränderung von Daten bei deren Übertragung) wichtig. Für viele Fachverfahren ist auch der Zeitpunkt der Identitätsfeststellung wesentlich, also die Frage nach der Notwendigkeit einer Ex-ante-Authentifizierung (Authentifizierung vor Erbringung der Dienstleistung).' [AIEG02, S. 10] Letzteres gilt für Verfahren, die zunächst die Vorlage des Personalausweises erfordern, per se. 'Unter Vertraulichkeit versteht man das Ziel, dass kein unberechtigter Dritter Kenntnis der übertragenen Daten erhält. Insbesondere sind hierbei die Sicherheit der Datenübertragung (Schutz gegen Mitlesen bei der Datenübermittlung) und die Adressierbarkeit des Empfängers (Schutz gegen Übermittlung der Daten an einen unberechtigten Dritten) zu gewährleisten.' Da bei Verwendung einer digitalen Identität der Nachweis durch Inaugenscheinnahme entfällt, müssen gleichwertige Sicherheitsfunktionen implementiert werden. Dabei müssen folgende Funktionen zur Verfügung stehen: Authentisierung – Die Kommunikationspartner müssen nachweisen, dass sie tatsächlich diejenigen sind, die sie zu sein vorgeben. Authentifizierung – Die Kommunikationspartner müssen die Authentisierungsdaten auf Korrektheit prüfen. Identifizierung – Die Identitätsdaten des Kommunikationspartners werden ermittelt. Autorisierung – Man prüft die Berechtigung des Kommunikationspartners zum Ausführen bestimmter Operationen und gewährt entsprechenden Zugriff. Kryptographie – Damit Unberechtigte nicht in den Besitz der ausgetauschten Daten gelangen, müssen Verschlüsselungsmechanismen zur Verfügung stehen. Es existieren theoretisch drei unterschiedliche Methoden sich zu authentisieren: Wissen um ein Geheimnis – man erbringt den Nachweis, dass man eine Information hat, die sonst niemandem zugänglich sein sollte, bspw. durch Eingabe eines Passwortes oder einer PIN-Nummer. Besitz eines Gegenstands – nur der Besitzer des Gegenstandes kann sich authentifizieren, bspw. durch Einführen einer Chipkarte in einen entsprechenden Kartenterminal. Anwesenheit – man weist nach, dass man während der Authentisierung vor Ort ist, bspw. durch Inaugenscheinnahme oder durch das Erfassen und Abgleichen von biometrischen Merkmalen. Keiner der aufgeführten Methoden bietet absolute Sicherheit. Ein Unberechtigter könnte durch eine Phishing-Attacke Wissen über eine PIN-Nummer erlangen oder durch Diebstahl in den Besitz einer Chipkarte gelangen. Die höchste Sicherheit bezüglich einer elektronischen Authentisierung würde das Erfassen und Abgleichen biometrischer Merkmale bieten. Das Auslesen biometrischer Merkmale ist jedoch nach dem deutschen Passgesetz lediglich Polizeivollzugsbehörden, der Zollverwaltung, Pass-, Personalausweis- und Meldebehörden zur Feststellung der Echtheit des Dokuments und der Identität des Inhabers gestattet. Darüber hinaus steht die dafür benötigte Infrastruktur nicht in einem ausreichenden Maß zur Verfügung. Eine deutliche Optimierung der Sicherheit gegenüber der Anwendung nur einer Methode lässt sich durch die Kombination der Authentisierungsprinzipien Wissen und Besitz erzielen. Die Bundesregierung plant für Ende 2009 die Einführung des elektronischen Personalausweises (ePA). Neben den bisherigen Funktionen als Dokument zur Identifizierung durch Inaugenscheinnahme und als Reisedokument, soll er um digitale Identitätsdaten erweitert werden, um mit ihm einen elektronischen Identitätsnachweis (eID-Funktion) erbringen zu können. Die eID-Funktion kann auf Veranlassung des ePA-Inhabers auf dem Chip abgeschaltet aber auch später wieder eingeschaltet werden. Des Weiteren sollen wie beim elektronischen Reisepass (ePass) biometrische Merkmale elektronisch vorgehalten werden. Das Lichtbild ist dabei verpflichtend elektronisch zu erfassen, während der ePA-Inhaber frei darüber entscheiden können soll, ob seine Fingerabdrücke gespeichert werden. Geplant ist auch, dass man optional ein Signaturzertifikat von einer gewerblichen Zertifizierungsstelle nachladen kann. Da der Personalausweis jedoch nicht über ein Personenkennzeichen verfügt (die Seriennummer darf nicht zum Abruf personenbezogener Daten verwendet werden), ist die Signaturfunktion nicht dazu geeignet, verfahrensspezifische elektronische Dokumente zu 'unterschreiben', welche die Angabe eines Personenkennzeichens erfordern, wenn dieses nicht auf andere sichere Weise in den Prozess eingebracht wird. Mit der Einführung des ePA hat in Deutschland in einigen Jahren jeder Bürger die Option, in den Besitz einer digitalen Identität zu gelangen, was mit einiger Sicherheit zu einer vermehrten Nutzung von E-Government-Anwendungen führen wird. Dies wird jedoch nur dann eintreten, wenn die Bürger von der Sicherheit des ePA überzeugt sind. Neben den datenschutzrechtlichen Erfordernissen soll dieser Tatsache durch folgende Anforderungen an die Implementierung des ePA Rechnung getragen werden: Die Authentisierung und Freigabe der verifizierten Identitätsdaten (elektronischer Identitätsnachweis) soll unter der Kontrolle des Besitzers des ePA stehen. Zur erhöhten Sicherheit sind die beiden Authentisierungsprinzipien Wissen und Besitz zu kombinieren (Authentizität). Dadurch wird eine starke Bindung zwischen dem ePA und dessen Inhaber hergestellt. Es sollen nur die Identitätsdaten übermittelt werden, die in dem jeweiligen Kontext benötigt werden (Prinzip der Datensparsamkeit). Des Weiteren sollen nur solche Entitäten Zugriff auf die Identitätsdaten des ePA haben, die dazu von staatlicher Seite berechtigt sind. Die Übertragung der Daten muss über einen gesicherten Kanal erfolgen, so dass kein Unberechtigter Zugriff auf die Daten erlangen kann (Vertraulichkeit). Der Empfänger der Identitätsdaten muss sich ebenfalls gegenüber dem ePA und dem Besitzer des ePA auf sichere Weise authentisieren. Das Thema elektronische Identität (eID) ist jedoch nicht nur im nationalen sondern auch im europäischen Kontext von Belang. In Kapitel 1 wird erläutert, welche E-Government-Programme auf EU- und auf BRD-Ebene sich mit dem Thema befassen und welche Vorgaben bezüglich der Umsetzung einer eID erarbeitet wurden. Selbstverständlich gibt es auch einige gesetzliche Normen, die dabei zu berücksichtigen sind und andere, die den Erfordernissen entsprechend anzupassen sind. Sie werden in Kapitel 2 vorgestellt. In Kapitel 3 wird die Notwendigkeit der Einführung digitaler Identitäten erläutert. Der Umgang mit Personenkennzahlen in Deutschland wird in Kapitel 4 beschrieben. Die Rechtslage macht die Verwendung bereichsspezifischer Personenkennzahlen erforderlich. Wie dies umgesetzt wird, wird beispielhaft an einigen aktuellen Projekten der Bundesverwaltung erörtert. Kapitel 5 befasst sich mit der technischen Realisierung des ePA. Besonderes Augenmerk wird dabei auf die Spezifikation des Protokolls zur Implementierung der eID-Funktion gerichtet. Aspekte der Interoperabilität der eID-Funktion werden in Kapitel 6 beleuchtet. Dies betrifft zum einen Interoperabilität der Chipkarten, die im Rahmen der Kartenprojekte der Bundesregierung ausgegeben werden. Zum anderen betrifft es die grenzüberschreitende Interoperabilität der unterschiedlichen eID-Lösungen der EU-Staaten. In Kapitel 7 wird mit den Bürgerportalen eine weitere Lösung der Bundesregierung beschrieben, mit der die Erbringung eines sicheren elektronischen Identitätsnachweises möglich ist. Zuletzt werden in Kapitel 8 Einsatzszenarien der eID-Funktion dargestellt.

Ziel dieser Studie ist die Identifikation von wichtigen politischen sowie technologischen Voraussetzungen für eine erfolgreiche Umsetzung eines elektronischen Bürgerdossiers (eBürgerdossier) in der Schweiz. Dabei liegt der Fokus auf einzelnen Anwendungsfällen, wobei eine begrenzte Anzahl Fälle ausgewählt und für die Beurteilung eines Sachverhalts kontrastiert werden. Leitende Frage ist es, welche politischen und technologischen Voraussetzungen notwendig sind, um den jeweiligen Anwendungsfall mit dem eBürgerdossier zu realisieren. Gesamthaft sowie für jeden Anwendungsfall individuell wird zudem der Nutzen einer erfolgreichen Einführung des eBürgerdossiers betrachtet. Dabei werden neben den ökonomischen Auswirkungen auf die beteiligten Akteure sowie die gesamte Volkswirtschaft auch der gesellschaftliche und politische Nutzen evaluiert. Es zeigt sich, dass aus der technologischen Perspektive neben dem Plattformmanagement das Interaction, Identify und Access Management sowie das Dokumenten- und Datenmanagement für alle Anwendungsfälle übergreifende Hauptvoraussetzungen sind. Eine weitere wesentliche Voraussetzung für alle betrachteten Anwendungsfälle ist zudem die Sicherstellung eines passenden Policy Enforcement, welches die Berechtigungen konform der geltenden Bestimmungen auf die Daten und Dokumente sicherstellt. Politisch betrachtet liegt die zentrale Voraussetzung in der Schaffung einer entsprechenden Governance, die den Bürger/die Bürgerin oder den Einwohner/die Einwohnerin als Inhaber/in und Souverän/in des eBürgerdossiers in den Mittelpunkt stellt. Basierend auf den aufgezeigten Anwendungsfällen stellen dabei die Rolle von Bürger/in und Einwohner/in als Inhaber/in des eBürgerdossiers mit der resultierender Daten- und Informationshoheit zum einen sowie die Garantie der Daten- und Informationssicherheit durch Betreiber und Leistungsanbieter des eBürgerdossiers und der freie Zugang von privaten und öffentlichen Organisationen zur Infrastruktur des eBürgerdossiers zum anderen, die grundlegenden Eckpunkte einer solchen gemeinsamen Governance-Lösung dar. Zudem sollte eine eindeutige Departementszugehörigkeit auf Stufe Bund die öffentliche Koordination und Legitimation des eBürgerdossiers sicherstellen.Für die erfolgreiche Umsetzung des eBürgerdossiers in der Schweiz müssen somit Bürger/innen und Einwohner/innen zu jedem Zeitpunkt in der Mitte aller Konstruktionen stehen. Transparenz und Vertrauen sowie die Sicherheit müssen gewährleistet und entsprechende Lösungen sollten dezentral, aber vollständig sein. Zuerst ist dabei die notwendige Governance-Umgebung sicherzustellen. Des Weiteren muss von staatlicher Seite her eine elektronische Identität zur Verfügung gestellt sowie eine Akkreditierungs- und Zertifizierungsstelle geschaffen werden. Da die Anfangsinvestitionen zudem als eher hoch eingestuft werden und die Rentabilität von sehr vielen nicht direkt beeinflussbaren Faktoren abhängt, besteht eine Notwendigkeit bezüglich eines öffentlichen Anstosses für den Aufbau des eBürgerdossiers. Dabei scheint es von Vorteil zu sein, auf bereits verfügbare und funktionierende Lösungen zurückzugreifen bzw. diese zu adaptieren. Ziel muss es sein, die am besten geeigneten und verfügbaren Komponenten intelligent einzukaufen und sich nicht mit grossen, teuren sowie sich langsam entwickelnden Projekten zu behindern, die in erster Linie in unflexible Systeme münden. Aggregiert über alle Anwendungsfälle ermöglicht ein eBürgerdossier in den Bereichen politische Partizipation, Standortattraktivität und Wohlfahrt für alle gesellschaftspolitischen Dimensionen substanzielle qualitative Verbesserungen. Ökonomisch betrachtet kann zudem von einem durchweg positiven Effekt eines eBürgerdossiers gesprochen werden. Allein aus den betrachteten Anwendungsfällen heraus konnte ein Nutzen identifiziert werden, der rund 0,13% des Schweizer Bruttoinlandsproduktes (BIP) beträgt. Das Potenzial über alle möglichen Einsatzgebiete hinweg wird sogar mit bis zu 1% des Schweizer BIP beziffert.

'In der Forschung zum Themenfeld Minderheiten und Medien hat sich der Schwerpunkt in den letzten Jahren von der Frage der Repräsentation und des Zugangs von Minderheitenangehörigen zur Medienproduktion in den Bereich der Medienrezeption verlagert. Fragen nach der Bedeutung von Medien für die Konstruktion von (migrantischer) Identität und der zunehmende transnationale Charakter von Medienlandschaften stehen im Zentrum der jüngeren Rezeptionsforschung (Busch 1999b; Cottle 2000). In Österreich ist dagegen selbst noch die Frage des Medienzugangs von Minderheiten nach wie vor nicht ausreichend beantwortet. Unser Artikel versucht eine Auseinandersetzung mit diesem Thema vor dem Hintergrund von Husbands Modell einer multi-ethnischen öffentlichen Sphäre. Weiters gehen wir auch auf die Rezeption von Medienangeboten durch MigrantInnen in Österreich ein.' (Autorenreferat)

Der Schutzgegenstand personenbezogener Daten gemäß Art. 4 Nr. 1 DS-GVO wird auf den Schutz der kontext-spezifischen personalen Identitäten erweitert. In Anbetracht der gleichzeitigen Realisierung etwa der kulturellen, wirtschaftlichen und sozialen Identität bedarf es eines spiegelbildlichen Identitätsschutzes aus dem offline-Kontext für den online-Kontext. Dies verlangt die spieltheoretisch begründete Verhandlungsfähigkeit der Bilder personaler Identitäten, damit sich der Selbstdatenschutz mit einem Mediationsagenten wirksam ausüben lässt. Demnach sollte ein iteratives "identity management by design" zur technischen Gestaltungsanforderung werden, um dem Prinzip einer verhandlungsfähigen personalen Identität im Online-Kontext gerecht zu werden.