Ein Blick in die Kamera oder ein Druck mit dem Finger auf eine Sensoroberfläche und schon wird der Nutzer verifiziert. So oder so ähnlich sieht heutzutage eine typische Routine an Smartphones, Tablet, Notebooks oder Türschlössern aus. Biometrie bietet Chancen für eine unkomplizierte und nutzerfreundlicheAuthentisierung, die aber auch ihre Schwachpunkte, wie auch andere Authentisierungsfaktoren, mit sich bringt.
Wie werden biometrische Verifikationssysteme von Benutzern angenommen und wie gut sind diese in ihrer biometrischen Performanz und Resistenz gegenüber Präsentationsangriffen? Nationale und internationale Richtlinien und Standards definieren hierfür wichtige Anforderungen und ermöglichen eine Vergleichbarkeit der Systeme. Entsprechende Systeme werden von Herstellern entwickelt und letztendlich auf Konformität durch Prüflabore getestet.

Im Rahmen der gerade laufenden turnusgemäßen Revision der eIDAS Verordnung ist vorgesehen ein europäisches Identitätenökosystem aufzubauen, das auf der Nutzung der sogenannten EU-DI Wallet basiert. Parallel zu den diesbezüglichen Verhandlungen im Rat wird in der eIDAS Expert Group an den technologischen Grundlagen gearbeitet. Darauf aufbauend wird es voraussichtlich in 2023 Use-case Piloten und auch eine Referenzimplementierung der Wallet geben. In 2023 werden in diesem Kontext viele Fragen beantwortet sein, manche aber noch intensiv diskutiert werden. Ziel dieser Session/dieses Vortrages wäre es den aktuellen Stand darzustellen und die verschiedenen Positionen der Vortragenden gegenüberzustellen und idealerweise eine Diskussion zu ermöglichen.

Digitale Identitäten sind das Schlüsselelement einer sicheren und nachhaltigen Digitalisierung. Mit dem Schaufensterprogramm „Sichere Digitale Identitäten“ fördert das BBundesministerium für Wirtschaft und Klimaschutz (BMWK) Projekte, die herausragende Ansätze für offene, interoperable und einfach nutzbare ID-Ökosysteme in Modellregionen in ganz Deutschland entwickeln und anwendungsnah erproben. In der 60-minütigen Vortragssession werden die Referent:innen eine erste Zwischenbilanz ziehen und einen Ausblick geben.

Auf Basis der eIDAS Verordnung aus dem Jahre 2014 ist es gelungen, in Europa einen weitgehend harmonisierten Binnenmarkt für qualifizierte Vertrauensdienste zu schaffen. Allerdings sind die Einsatzpotenziale von elektronischen Siegeln, Zustell- und Bewahrungsdiensten in vielen Bereichen der (deutschen) Wirtschaft und Verwaltung noch gering entwickelt.
In diesem Panel wird erörtert, welche Rolle die Europäische und nationale Regulatorik dabei spielt und welche neuen Chancen und Herausforderungen durch die Novellierung der eIDAS Verordnung entstehen können. Zuvor wird über den Stand der Implementierung von Vertrauensdiensten in Deutschland aus regulatorischer Sicht sowie über Erfahrungen aus der Auditpraxis berichtet.

Etliche Verwaltungsleistungen wurden in den vergangenen Jahren digitalisiert und für Bürgerinnen und Bürger online zur Verfügung gestellt. Dabei spielt die elektronische Identität eine große Rolle. Nutzerkonten und der Online-Ausweis sind hier probate Mittel, wenn auch noch nicht flächendeckend bei allen Bürgerinnen und Bürgern im Einsatz. Darüber hinaus nehmen die Anforderungen an interne Mit- und Freizeichnungsprozesse mit Workflows zu, um auch Verwaltungsintern optimal agieren zu können: mit und ohne Hardware. Das Tutorial erläutert wie das Portfolio des IT-Planungsratsprodukts „Anwendung Governikus“ diese Prozesse unterstützen kann.

Mobile Endgeräte sind bei der Inanspruchnahme digitaler Dienstleistungsangebote nicht mehr wegzudenken. Gleichzeitig steigen damit die Ansprüche an die technische Sicherheit und Vertrauenswürdigkeit dieser Geräte, um die mit den digitalen Diensten und den persönlichen Daten der Nutzer verbundenen Werte angemessen zu schützen. Für die Sicherheit der Mobilfunknetze gibt es dafür seit über 30 Jahre die SIM-Technologie, welche in den nächsten Jahren zunehmend durch die eSIM ersetzt werden wird. Die eSIM-Technologie bietet sich gleichzeitig als HW-Sicherheitsplattform Plattform auch für andere Anwendungen wie eID- bzw. ID-Wallet-Funktionen an. SEs werden von Herstellern und z.B. von der Finanzwirtschaft seit einigen Jahren bereits in diesem Sinne verwendet. Meist stehen dafür aber keine offenen Standards zur Verfügung und Drittdienstleister können nicht ohne weiteres diese von den Endgeräteherstellern bereitgestellte Technologie Anspruch nehmen.
Mit dem in 2022 von der EU-Kommission bereitgestellten „Digital Markets Act“ wurde aber eine Möglichkeit geschaffen, dass die sog. „Gatekeeper“ ihre Sicherheitstechnologie – z.B. für eID-Dienstleistungen – unter bestimmten Randbedingungen zur Verfügung stellen.
Viele Hersteller setzen bereits Sicherheitselemente wie oder vergleichbar zur eSIM für die Sicherheit von Anwendungen ein. Im Rahmen der eIDAS-Novelle wird z.B. das Sicherheitsniveau „hoch“ gefordert, welches praktisch nur mit einer derartigen Sicherheitstechnologie zu erreichen ist. Hier stellt sich die Frage, wie weit die dafür erforderlichen offenen technischen Standards verfügbar sind, um derartige Sicherheitselemente für die eID-Funktion zu nutzen. Welche Anstrengungen werden unternommen, um das zu erreichen und wie schnell ist eine Verbreitung der eSIM-/SE-Technologie im Markt zu erwarten?
Das BMI hat für den Online-Ausweis bereits ein Smart eID Gesetz bereitgestellt und ein gleichnamiges Projekt zur Umsetzung gestartet. Technische Experten aus dem Standardisierungsgeschehen und Hersteller werden uns zum Stand technischen Lösungen berichten.

In vielen Use-Cases ist eine Identitätsprüfung natürlicher Personen erforderlich, z.B. im Zuge einer Kontoeröffnung bei einem Kreditinstitut. In der Vergangenheit waren Identitätsprüfungen ausschließlich vor Ort möglich. Durch Vorlage eines ID-Dokumentes hat eine autorisierte Person anhand gespeicherter biometrischer Charakteristika (u.a. Gesicht) geprüft, ob es sich wirklich um die entsprechende natürliche Person handelt und das vorgelegte ID-Dokument authentisch ist. Seit einigen Jahren ist in diversen Anwendungsdomainen auch eine Fernidentifikation möglich. In diesem Fall nutzt eine natürliche Person für eine Identitätsprüfung eine Webcam oder die Kamera in einem Smartphone und ein entfernter Operator nimmt eine Identitätsprüfung auf Basis der übertragenen Videoinhalten vor. Allerdings: Eine Fernidentifikation eröffnet sowohl neue Möglichkeiten sich als eine andere natürliche Person auszugeben und schränkt die Prüfbarkeit der Authentizität eines ID-Dokumentes durch einen Operator erheblich ein.