Slider Kollaboration der publicplan GmbH

Servicekonto und Co. - Digitale Identitäten in der Verwaltung

Blog

Kontakt

publicplan GmbH

Kennedydamm 24
40476 Düsseldorf

 

Tel +49 (0)211 635501-80
Fax +49 (0)211 635501-89

 

Torstraße 218
10115 Berlin

 

Tel +49 (0)30 6098980-80
Fax +49 (0)30 6098980-89

infoatpublicplan.de

Servicekonto und Co. - Digitale Identitäten in der Verwaltung

Autor
André Claaßen
Datum

Im echten Leben ist es einfach: Wir zeigen unseren Personalausweis und unsere Identität ist zweifelsfrei festgestellt. Im digitalen Raum ist die Feststellung der Identität einer Person schwieriger. Wie kann ein Benutzer zweifelsfrei identifiziert und als legitim erkannt werden? Eine erfolgreiche Verwaltungsdigitalisierung erfordert eine rechtssichere und nutzerfreundliche Lösung für diese Frage. In diesen Artikel stellen wir Lösungen wie das Servicekonto und andere neue Ideen vor und erklären, worauf Verwaltungen dabei achten müssen.

 

Maske für eine Authentifizierung mit Portraitfotos im Hintergrund als Sinnbild für den Login beim Servicekonto

Was ist eine digitale Identität?

Die Frage, was eine Identität überhaupt ist, beantwortet die Bundesdruckerei als Anbieter für IT-Sicherheitslösungen wie folgt:

Die Identität ist einmalig und unverwechselbar. Sie wird anhand charakteristischer Eigenschaften definiert, den Identitätsattributen. Diese können körperliche Merkmale oder persönliche Daten, wie Name und Geburtsdatum sein.

In der digitalen Welt geben wir unsere Identität oft zu erkennen. Ob wir Geld überweisen, digital einkaufen oder uns in sozialen Netzen bewegen. Wir identifizieren uns immer wieder über unterschiedliche Verfahren, zum Beispiel über eine Bankverbindung oder durch Angabe eines Benutzernamens und das entsprechende Passwort. Unter Authentifizierung versteht man dabei die formale Überprüfung einen Identität.

Europa mischt mit: Die eIDAS-Verordnung

Eine Voraussetzung für den europäischen digitalen Binnenmarkt ist die Klärung der Frage, wie Daten im digitalen Raum vertraulich und sicher ausgetauscht werden können. Mit der eIDAS-Verordnung (englisch für electronic Identifikation, Authentication and trust Services) ist seit dem 1.7.2016 eine Antwort auf diese Frage europäisches Recht.

Zwei Punkte sind für unser Thema der digitalen Identität von zentraler Bedeutung:

  1. eIDAS verlangt, dass alle Behörden die elektronischen Identitäten anderer Länder verarbeiten können. Wir sprechen also von einer Interoperabilität auf europäischer Ebene.
  2. Die eIDAS-Verordnung definiert drei Vertrauensniveaus für eine sichere Identifizierung: "niedrig", "substanziell" und "hoch".

Die Vertrauensniveaus definieren das Risiko des Identitätsmissbrauchs:

  • Ein "niedriges" Vertrauensniveau mindert die Gefahr des Identitätsdiebstahls.
  • Ein "substanzielles" Vertrauensniveau reduziert die Gefahr des Identitätsmissbrauchs erheblich.
  • Das Vertrauensniveau "hoch" erfordert eine Verhinderung des Identitätsdiebstahls.

Technisch gesehen könnte ein niedriges Niveau durch Angabe des Benutzernamens und Passworts erreicht werden. Ein substanzielles Niveau erfordert beispielsweise eine Zertifikatsdatei und ein hohes Niveau kann über eine sichere Smartcard, wie dem neuen Personalausweis (nPA), erreicht werden.

Jetzt wird es "substanziell"

Das Onlinezugangsgesetz definiert 575 OZG Leistungen, die bis Ende 2022 online zur Verfügung gestellt werden sollen. Nach unserer fachlichen Einschätzung erfordern zwischen 70-80 Prozent der im OZG-Katalog definierten Leistungen das Vertrauensniveau "substanziell".

Das bedeutet, dass ein wesentlicher Erfolgsfaktor für den Portalverbund in der einfachen Authentifizierung mit der Vertrauensstufe "substanziell" begründet ist. Eine Anmeldung mit Benutzername und Passwort reicht für die meisten Behördenanliegen nicht aus.

Ein Beispiel für eine sehr sichere Identifizierung ist der elektronische nPA, der bei der Bürgerschaft keinen Anklang gefunden hat. Neben fehlendem Marketing haben auch ein teures Lesegerät und nahezu keine Angebote zur geringen Popularität des nPAs beigetragen.

Stattdessen existieren mittlerweile andere technische Lösungen, die eine digitale Anmeldung für Behördendienste möglich machen.

 

Login Button mit Menschen im Hintergrund als Sinnbild für die Authentifizierung beim Servicekonto

Das Servicekonto im geplanten Portalverbund

Im Rahmen der Umsetzung des Onlinezugangsgesetzes arbeitet der Bund an einem bundesweiten Servicekonto. Über dieses Servicekonto können sich Bürger, Organisationen und Unternehmen je nach erforderlichem Vertrauensniveau anmelden.

Das Servicekonto für den Bund soll folgende Leistungen anbieten:

  • Die elektronische Identifizierung der Bürger und Unternehmen
  • Ein elektronisches Postfach zur bidirektionalen und sicheren Behördenkommunikation
  • Ein Unternehmenskonto mit Vertreterregelung für zum Beispiel Wohnungsbaugesellschaften oder Autohäuser.

Das neue Servicekonto soll mit allen bestehenden Servicekonten der verschiedenen Länder oder Kommunen verknüpft werden. Dann wäre ein einheitlicher bundesweiter Zugriff auf Behördenleistungen endlich Realität.

Drei Ideen für eine sichere und einfache Authentifizierung

Unserer Einschätzung nach erfordern nur zehn Prozent der OZG-Anliegen die höchste Sicherheitsstufe. Für diese Anliegen ist die Nutzung des neuen Personalausweises (nPA) obligatorisch. Daher ist es wichtig, dass eine Anmeldung nach dem eIDAS-Vertrauensniveau "substanziell" so nutzerfreundlich wie möglich ist.

Wir stellen Ihnen drei Ideen vor, die dazu konkret auf den Ebenen Bund, Land und Kommune erarbeitet und geprüft werden:

  • Der Bund arbeitet auf Wunsch der Länder daran, dass sehr erfolgreiche Elster-Zertifikat der Finanzverwaltung für das Servicekonto nutzbar zu machen. Insgesamt sind derzeit ca. sechs Millionen Elster-Zertifikate im Umlauf, die dann auch für Behördengänge genutzt werden könnten.
  • Das Land Thüringen setzt ab Herbst 2019 eine Lösung des Dienstleisters Verimi für alle digitalen Verwaltungsangebote ein. Verimi bietet als Allianz der Bundesdruckerei mit verschiedenen DAX-Konzernen eine digitale Identität an, die für Banken, Wirtschaft und Verwaltung gleichermaßen nutzbar wäre. Nach Aussage von Verimi sind Kundendaten gemäß der DSGVO geschützt und werden nicht an Dritte weitergegeben.
  • Auf kommunaler Ebene arbeiten die Digitalen Modellkommunen Gelsenkirchen und Aachen gemeinsam mit einem Start-up an einer sicheren mobilen Identität unter dem Namen Bürger-ID. Nach einer Testphase in diesem Jahr soll die Lösung auch anderen Kommunen zur Verfügung gestellt werden.

Alle Lösungen unterstützten das eIDAS-Vertrauensniveau "substanziell" und reklamieren auch für sich, dass sie vollständig in bestehende Servicekonten eingebunden werden können.

Unser Tipp: Machen Sie sich die digitalen Angebote zu Nutze

Mit den hier genannten Lösungen lassen sich bereits viele Verfahren digitalisieren, die eine Anmeldung erfordern. Allen voran unterstützt zum Beispiel das Servicekonto die Vorbereitung auf den Portalverbund. Aber auch eine nutzerfreundliche Authentifizierung per Smartphone wird sich in Zukunft durchsetzen.

Nutzen Sie die bereits bestehenden Lösungen! Achten Sie auf Einfachheit und setzen Sie nach Möglichkeit nur ein System zur Authentifizierung ein. Mit jeder digitalen Anmeldung sparen Sie dem Bürger einen Gang zu Behörde. Sie entlasten Ihre Mitarbeiter und meistern einen weiteren Meilenstein zur Digitalisierung Ihrer Verwaltung.

Wir setzen unsere Expertise gerne für Ihre Digitalvorhaben ein. Sprechen Sie uns an.