Elektronischer Personalausweis: Hart im Zeitplan
Mit der Ausgabe der neuen elektronischen Personalausweise (ePA) und ihrer eID-Funktion ist auch der Aufbau einer Infrastruktur verbunden. Damit die eID vom Bürger zur Authentisierung in E-Commerce- und E-Government-Anwendungen genutzt werden kann, benötigt der User außer dem ePA einen Kartenleser und eine spezielle Software, den sogenannten Bürgerclient. Im Hintergund müssen zudem ein oder mehrere eID-Server die sichere Abwicklung der Authentisierungsvorgänge zwischen dem Kunden und Dienstanbieter übernehmen. Zur Infrastruktur gehört auch ein Portal, von dem der Client heruntergeladen werden kann und das Unterstützungsleistungen sowie FAQs anbietet.
Diese Komponenten werden unter der Projektleitung von Siemens IT Solutions and Services in einem Konsortium mit den Partner OpenLimit (Bürgerclient) und der Bundesdruckerei (eID-Service) entwickelt. Wie Hubert Geml von Siemens jetzt auf der Omnicard in Berlin erläuterte, setzt der Bürgerclient als Middleware das 'eCard API Framework' (BSI TR-03112) um und "ermöglicht auch die Online-Authentisierung mit anderen eCards", also beispielsweise der elektronischen Gesundheitskarte, Signaturkarten, ELSTER oder ELENA – so sie denn in der geplanten Form kommen. Die Ver- und Entschlüsselung von E-Mails sowie als Option die qualifizierte elektronische Signatur (QES) "sind weitere Funktionalitäten, die der Bürgerclient anbietet".
Die Software wird diverse Betriebssysteme unterstützen. Mit Microsoft XP und Vista ist das bereits im Anwendungstest der Fall; noch in diesem Monat werden laut Geml Mac OS X und Ubuntu hinzukommen, weitere sollen folgen. Die Nutzung des Client ist derzeit mit den Browsern Explorer, Firefox und Safari möglich. Der eID-Service wiederum, der sich bei jeder Online-Datenabfrage aus dem neuen Ausweis durch einen dazu berechtigten Webshop einschaltet, entspreche der Richtlinie TR-03130 des BSI, werde in einem hochsicheren Trust Center betrieben und setze in der realisierten Architektur auf "eine saubere Trennung zwischen der eID-Kernfunktionalität, den eID-Cryptodiensten, und Hintergrundsystemen wie der Berechtigungs-PKI und dem Sperrdienst".
Die mit dem Bürgerclient einsetzbaren Kartenleser müssen der BSI-Richtlinie TR-03119 entsprechen. Die lässt drei Kategorien von Lesegeräten für die eID-Anwendungen zu, den Basisleser (Cat B), den Standardleser (Cat S) und den Komfortleser (Cat K). Gemeinsam ist allen die kontaktlose Schnittstelle nach ISO 14443 zur Karte sowie die eCard-API zum Host PC. Gegenüber der Basisversion werden Cat-S-Geräte die Möglichkeit zu sicheren Firmwareupdates bieten und über ein eigenes PIN-Pad zur sicheren Eingabe der sechsstelligen Geheimzahl verfügen. Beim Komfortleser kommen darüber hinaus ein zweizeiliges Display, ein kontaktbehaftetes Interface nach ISO 7816 sowie die Zertifizierung nach den Common Criteria hinzu. Mit den Cat-K-Geräten lassen sich dann auch, sofern der Inhaber diese Option des neuen Ausweises nutzt, qualifizierte elektronische Signaturen erstellen, vor allem aber kann man mit ihnen dank der zusätzlichen Schnittstelle auch die kontaktbehafteten HBCI-Karten zum Online-Banking oder die GeldKarte weiter nutzen.
"Wir haben relativ schnell die Technische Richtlinie des BSI umsetzen können", erklärte Dietmar Wendling von der SCM Microsystems GmbH auf der Kongressmesse in Berlin. Sein Unternehmen bietet Produkte in allen drei Kategorien mit den Treibern für die Betriebssysteme MS Windows 2000, XP, Vista, Mac OS X und Linux an. Der für das Geschäftsfeld EGovernment bei SCM zuständige Manager glaubt, dass die eID-Funktion zu einer "Killer-Applikation" wird. "Die kritische Masse von Bürgern mit positiven Erfahrungen", ist Wendling überzeugt, "erzeugt den 'me too'-Effekt".
Bereits seit Oktober läuft ein zentral koordinierter Anwendungstest mit 30 Dienstanbietern, in dem Mitarbeiter der beteiligten Firmen die eID- und QES-Funktionen des Ausweises im Zusammenspiel mit den entwickelten Anwendungen und dem eID-Service erproben. Anfang Januar hat jetzt die zweite Phase mit einem offenen Feldtest begonnen, an dem jedes interessierte Unternehmen teilnehmen kann. Zur Zeit haben sich mehr als 80 Firmen gemeldet, weitere sind aber willkommen. "Das ist kein closed shop", betonte der Bundes-CIO und Staatssekretär im Bundesinnenministerium, Hans Bernhard Beus auf der Omnicard. "Wir sind glücklich und zufrieden über jeden, der sich dafür interessiert, um auf die Weise die Zahl der Anwendungen zu erhöhen".
Bislang liege man im Zeitplan, erklärte Siemens-Manager Geml. Im Februar wird mit der Verabschiedung der Personalausweis-Verordnung durch den Bundesrat gerechnet. Vom 1. Mai an sollen die Diensteanbieter ihre Anträge für die Berechtigungszertifikate zum Wirkbetrieb bei der Vergabestelle (VfB) im Bundesverwaltungsamt einreichen können. Parallel dazu, ab Ende März, sollen der Bürgerclient und der eID-Server in der Version 2 in die Zertifizierung nach Common Criteria EAL3+ gehen. Die Abnahme durch den Auftraggeber, das Bundesinnenministerium, ist im Zeitraum von Juli bis Mitte September vorgesehen. Beobachter indes halten den Zeitplan für ein Entwicklungsprojekt in dieser Größenordnung angesichts noch vieler offener Fragen für "gewagt". So sei bisher noch nicht einmal bekannt, wie die Berechtigungszertifikate aussehen, warf Torsten Wunderlich von der Datev in die Diskussion ein. Doch Geml blieb optimistisch. "Wir sehen derzeit keine Hindernisse größerer Natur, die den Zeitplan in irgendeiner Weise in Frage stellen würden". (Richard Sietmann) / (jk)
Quelle: Heise.de