Der von der Bundesregierung geplante neue elektronische Personalausweis (ePA) wird neben verbesserten hoheitlichen Sicherheitselementen voraussichtlich auch neue Möglichkeiten zur Sicherung elektronischer Geschäftsprozesse bieten. Insbesondere die geplanten Bürgerkartenfunktionen, wie Online-Zugriffskontrolle, Adressverifikation oder Altersnachweis, können die Sicherheit von internetbasierten Transaktionen wesentlich verbessern. Damit diese neuen Möglichkeiten auch im privaten und geschäftlichen Einsatz beim Bürger und bei den Anwendern Akzeptanz finden, gilt es die „Einsatzfelder des neuen elektronischen Personalausweises in Verwaltung und Wirtschaft“ entsprechend auszuloten und zu fördern. Am 20. Juni 2007 wurde vom BITKOM Fachausschuss Identitäts- und Rollenmanagement deswegen zu diesem Thema ein Workshop durchgeführt, an dem neben den verantwortlichen Behördenvertretern und Vertretern der ITK-Industrie auch zahlreiche Vertreter potentieller Anwendungsanbieter teilnahmen. Der Fachausschuss hat sich entschlossen Schlussfolgerungen aus den Workshop- Ergebnissen in Form des vorliegenden Positionspapiers zusammenzufassen und Empfehlungen und Leitlinien für eine erfolgreiche Einführung des ePA zu geben. Dieses Positionspapier bezieht sich ausdrücklich auf die neuen Möglichkeiten des ePA zur Sicherung elektronischer Geschäftsprozesse. Da die Sicherheitselemente und biometrischen Funktionen des ePA ausschließlich der hoheitlichen Anwendung vorbehalten sind, sind diese folglich nicht Thema dieser Stellungnahme. Mission Ziel ist es den elektronischen Personalausweis als ein einheitliches Verfahren für die Identifizierung und die Authentisierung bei elektronischen Transaktionen zu etablieren. Der ePA identifiziert mich als Bürger und Geschäftspartner gleichermaßen in der virtuellen Welt wie in der realen Welt. Mit dem ePA sollen wirtschaftlich schnellere und angenehmere Prozesse online realisiert werden. Erste Anwendungen des ePA im Online-Handel soll es ab der Ausgabe des neuen elektronischen Personalausweises geben. Vision – Der ePA ist kostengünstig, komfortabel und kundenfreundlich: Er ist einfach handhabbar, sicher sowie universell – sprich vielseitig – und verbindlich einsetzbar. – – Der ePA hilft nachhaltig, unsere Geschäftsprozesse zu optimieren und getätigte Investitionen zu schützen. Die Rationalisierungseffekte und Kostenersparnisse in den Geschäftprozessen bzw. Fachverfahren sind signifikant. – Der ePA ist mittelfristig auch international interoperabel und EU-weit einsetzbar. – Der ePA vermindert nachhaltig den Betrug im Online-Handel. Er erzielt einen Vertrauenszuwachs bei elektronischen Transaktionen und trifft auf eine breite Akzeptanz in der Bevölkerung. Der ePA bietet einen einheitlichen Standard bei der Umsetzung des Kinder- und Jugendschutzes. – Jedes Neugerät ist mit einem Kartenleser und entsprechender Software ausgestattet, die den ePA unterstützen. Empfehlungen zur Umsetzung der Vision Die technischen Sicherheitselemente des elektronischen Personalausweises sind wichtig, dürfen jedoch nicht isoliert betrachtet werden. Gleichzeitig müssen die zugehörigen Prozesse – insbesondere für die Online- und Offline-Benutzung des ePA und für Berechtigungsabfragen – definiert sowie die dafür benötigten Rollen und Verantwortlichkeiten bestimmt werden. Außerdem müssen die Bürgerkartenfunktionen des ePA für Benutzer und Anwendungsanbieter einfach bedienbar bzw. in die Geschäftsprozesse integrierbar sein. Für alle Beteiligten muss den Kosten ein entsprechender, materieller oder immaterieller Nutzen gegenüberstehen. Der ePA muss gesellschaftlich akzeptiert sein und politisch durchgesetzt werden. Dazu müssen entsprechende Anreize geschaffen, aber auch bestehende gesetzliche Auflagen berücksichtigt und notfalls den Erfordernissen angepasst werden. Diese Rahmenbedingungen und Umsetzungsempfehlungen lassen sich in sechs folgende Kategorien zusammenfassen: FIN – Geschäftsmodell Die wirtschaftsfreundlichen Rahmenbedingungen sind festgelegt und erfolgsversprechende Geschäftsmodelle für Anwendungen im Bereich eCommerce aber auch für den Offline-Einsatz sind entwickelt. Zu den möglichen Dienstleistungen gehören die Online-Authentisierung, die Adressverifikation und der Altersnachweis, letzterer auch anonym oder zumindest pseudonym. TEC – Technische Lösung Die notwendige Infrastruktur ist aufgebaut und wird mit entsprechenden Service Levels betrieben. Die eCard-API läuft stabil und wird von den Anwendungsanbietern eingesetzt. ePA-Leser sind verfügbar und massenhaft ausgerollt. Idealerweise sind alle Neugeräte gleichzeitig mit der Einführung des ePA entsprechend ausgerüstet. IUS – Gesetze, Bestimmungen und Standards Der rechtliche Rahmen für den ePA und für Transaktionen, die mit dem ePA ausgeführt werden, sind mit der Industrie abgestimmt. Das Gesetzgebungsverfahren wird zügig durchlaufen. Rechtliche Anpassungen, wie die Gültigkeit der elektronischen Textform anstatt der Schriftform, werden – soweit notwendig – umgesetzt. Die Haftung bei sorgsamer Benutzung des ePA und etwaige Haftungsbeschränkungen sind geklärt. ORG – Organisation und Prozesse Betriebs- und Geschäftsprozesse sind angepasst: Prozessanpassungen und – vereinfachungen, wie beim PostIdent-Verfahren, werden umgesetzt. Datenaustausch zwischen den Prozesseignern ist – auf sicherem Wege – möglich. Einzelne Prozessschritte sind integriert und, wo immer anwendbar, ist der ePA international interoperabel. USE – Ergonomie und Benutzung Der ePA gibt das Gefühl von Sicherheit, ist einfach handhabbar, sowie vielseitig und verbindlich einsetzbar. Die Benutzung des ePA setzt lediglich den gewohnten Umgang mit einer Karte und die Eingabe einer PIN voraus, erfordert vom Bürger jedoch keine Detailkenntnisse über Zertifikate, digitale Signaturen, PKI usw. – ganz ähnlich wie eine Bankkarte. POL – Politik und Gesellschaft Der ePA und seine Funktionalität werden vermarktet. Pilotversuche mit Musteranwendungen werden durchgeführt. Eine Kampagne zur Förderung des ePA und mit Anreizen für den Bürger zur Beschleunigung des Roll-Outs wird lanciert. Beispielsweise können in einer Anfangsphase von 2-3 Jahren an alle jüngeren Antragsteller gratis Lesegeräte herausgegeben werden. 90% der Bürger, die einen ePA einsetzen können und wollen, sollten ihn spätestens 3 Jahre nach der Einführung besitzen. bitkom@bitkom.org www.bitkom.org