- Anzeigen -


Authentisierung mit dem Personalausweis


Einfachere Integration der Online-Ausweisfunktion in Anwendungen
BSI ermöglicht Zertifizierung von eID-Kernels und eIDAS-Middleware

- Anzeigen -





Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Technische Richtlinie BSI TR-03124 (https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03124/index_htm.html) um Test- und Anwendungsprofile erweitert, auf deren Basis eine Zertifizierung von Softwarebibliotheken zur Integration der Online-Authentisierung mit dem Personalausweis in (mobilen) Anwendungen möglich ist. Softwarebibliotheken sind eine Alternative zum vollständigen eID-Client - wie etwa der (mobilen) AusweisApp2 (https://www.ausweisapp.bund.de/download/) - und können von Anbietern genutzt werden, um die Identifizierung mit dem Personalausweis in eigene Apps zu integrieren. Mit einer Zertifizierung wird die korrekte und sichere Funktion der eID-Client-Software sichergestellt.

Die Technische Richtlinie BSI TR-03124 spezifiziert den eID-Client, der den Authentisierungsvorgang mit dem Personalausweis auf Seiten des Nutzers koordiniert. Auch Hersteller entsprechender Softwarebibliotheken (eID-Kernel) können diese nun vom BSI zertifizieren lassen. Darüber hinaus legt das BSI mit der Erweiterung der Technischen Richtlinie BSI TR-03130-4 (https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03130/TR-03130_node.html) den Grundstein für die Zertifizierung der Softwarekomponente für die grenzüberschreitende Identifizierung (eIDAS-Middleware) mit der Online-Ausweisfunktion gemäß eIDAS-Verordnung.

Die eIDAS-Verordnung (https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/eIDAS/eIDAS_node.html) regelt die rechtlichen Rahmenbedingungen für die gegenseitige Anerkennung von elektronischen Identifizierungsmitteln und Vertrauensdiensten für den Europäischen Wirtschaftsraum. Im Bereich der elektronischen Identifizierung wird hierdurch die grenzüberschreitende Abwicklung von Verwaltungsdienstleistungen auf europäischer Ebene erheblich vereinfacht. So können Mitgliedsstaaten ihre nationalen eID-Systeme bei der EU-Kommission notifizieren. Während die Notifizierung auf freiwilliger Basis erfolgt, müssen elektronische Identifizierungssysteme nach der Notifizierung von Verwaltungsdienstleistungen anderer Mitgliedsstaaten ab September 2018 verbindlich anerkannt werden.

Zu diesem Zweck stellt Deutschland den anderen EU-Mitgliedsstaaten sowie der EU-Kommission eine Middleware bereit ("German eIDAS-Middleware"). Diese implementiert einen angepassten eID-Server mit einer eIDAS-Schnittstelle gemäß den Vorgaben in Teil 3 der Technischen Richtlinie BSI TR-03130 und realisiert den serverseitigen Bestandteil des Authentisierungsprozesses mit der Online-Ausweisfunktion. Für den elektronischen Identitätsnachweis
(https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/ElektronischeIdentitaeten/Online-Ausweisfunktion/online-ausweisfunktion_node.html)
können Personalausweise und elektronische Aufenthaltstitel genutzt werden, die ab dem 1. November 2010 bzw. 1. September 2011 ausgestellt wurden.

Beide Karten enthalten die Online-Ausweisfunktion: einen Chip mit den gleichen persönlichen Daten, die auch auf der Karte zu sehen sind. Da die Daten immer verschlüsselt übertragen werden, schützt die Online-Ausweisfunktion vor Datendiebstahl und -missbrauch.

Hierzu nutzt die Online-Ausweisfunktion eine starke Zwei-Faktor-Authentifizierung basierend auf "Besitz" (eID-Karte) und "Wissen" (6-stellige PIN), wodurch die Sicherheit der Anwendung gewährleistet ist. (BSI: ra)

eingetragen: 11.07.17
Home & Newsletterlauf: 10.08.17


- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Unternehmen

  • Neue Anforderungen im Cloud-Zeitalter

    Barracuda Networks und Awingu, Anbieterin für Browser-basierten Unified Workspace, arbeiten künftig auf Basis einer Technologiepartnerschaft zusammen. Diese vereint Barracudas performantes Sicherheits- und Zero-Touch-Lösungsportfolio mit Awingus schlüsselfertiger Browser-basierter Workspace-Lösung.

  • Legacy-Applikationen sichern

    cirosec veranstaltet im März 2017 wieder ihre "TrendTage" rund um innovative Themen im IT-Sicherheitsbereich. Schwerpunkte bilden dieses Mal die Sicherheit von Windows-Umgebungen, Endgeräten und Webapplikationen. Stationen der TrendTage sind Köln (12. März 2018), Frankfurt (13. März 2018), Stuttgart (14. März 2018) und München (15. März 2018). Die Teilnahme ist kostenlos. Nach einer kurzen Begrüßung durch den Geschäftsführer Stefan Strobel gibt cirosec-Berater Christian Strache Einblicke in die Sicherheit von Windows-Umgebungen.

  • Exklusiver Kreis an Secucloud-Teilhabern

    Secucloud, Anbieterin von Security-as-a-Service-Lösungen für ISPs und Telekomanbieter, hat ihre Series-B-Finanzierungsrunde im Umfang von mehreren Millionen Euro abgeschlossen. Die eingeworbenen Mittel stammen vollständig von Sonae Investment Management. Secucloud steht im schnell wachsenden Markt für Cybersicherheit in und aus der Cloud an vorderster Linie und nutzt dabei das Netz von Telekomanbietern, um Sicherheitslösungen für alle vernetzten Geräte wie Smartphones, Tablets und IoT-Devices sowohl im Endkonsumenten- als auch Unternehmenssegment anzubieten.

  • Prefix- oder BGP-Hijacks identifizieren & abwehren

    Mit der Präsentation von neuen Cybersicherheitsentwicklungen endete am 9. Januar der erste Durchlauf des hessisch-israelischen Partnerschafts-Accelerators (HIPA). Beim Abschlussevent in der hessischen Landesvertretung in Berlin zeigten die teilnehmenden Projektteams neue Lösungsansätze zur Qualitätskontrolle von Cloud-Diensten, zur Sicherheit von Internet-Infrastrukturen sowie zur Abwehr von Spam-Attacken und Denial-of-Service-Angriffen auf E-Mail-Konten. HIPA ist der erste und einzige deutsch-israelische Accelerator mit Schwerpunkt auf Cybersicherheit.

  • Security von Embedded-Systemen

    Zum dritten Mal findet die erneut hochkarätig besetzte Podiumsdiskussion "Safe for the Future" im Rahmen der embedded world statt. Auch dieses Mal dreht sich im Messezentrum Nürnberg alles rund um die Security von Embedded-Systemen und der Absicherung von Rechnern und Kommunikationskanälen. Zentrales Thema ist der Schutz vernetzter eingebetteter Systeme im Internet der Dinge. Im Fokus stehen dieses Mal unter anderem die Fragestellungen mit welchen Maßnahmen kritische Infrastrukturen geschützt werden, was kritische Infrastrukturen und Anwendungen sind, und welche Maßnahmen für vermeintlich unkritische Anwendungen übernommen werden können.