Wir alle tragen ihn im Portemonnaie: den Personalausweis mit Online-Funktion. Aber nutzen wir ihn auch, den ePerso? Das tun die wenigsten. Man braucht entweder ein spezielles Lesegerät oder eine App auf dem Smartphone. Um hier nachzuhelfen und digitale Prozesse voranzubringen, hatte das Bundeswirtschaftsministerium das Projekt Optimos gestartet.
„Der Personalausweis mit der Online-Funktion ist eins der sichersten und datenschutzfreundlichsten Systeme der Welt“, sagt Olaf Clemens. Aber die Nutzerfreundlichkeit ließ noch zu wünschen übrig. Daher kam die Überlegung, die Online-Ausweisfunktion vom Smartphone aus zu nutzen. Aber wie kann man dies so lösen, dass der Datenschutz gewahrt bleibt? Also ohne dass Smartphone-Hersteller, die in Asien oder den USA ansässig sind, auf die die Daten zugreifen können?
Ganz einfach: Man kontrolliert den im Smartphone verbauten Sicherheitschip. Im Projekt Optimos tüftelt man seit Jahren daran, wie es gehen könnte. Für den Nutzer ist es später einfach in der Anwendung, aber die Entwicklung hat es in sich. Dahinter steckt ein ganzes ID-System, also nicht nur eine App. Hintergrund ist der: Verliert der Nutzer das Smartphone, auf dem seine Daten gespeichert sind, so muss er seine Identität, die er einmal angelegt hat, auch sperren können.
Nutzerkonto auf dem Bundesportal erstellen
Welche Anwendungen sind mit den ePerso und dem Smartphone, dessen Chip die Daten des Personalausweises aufnimmt, möglich? Wann haben Anwender*innen einen echten Nutzen? Beispielsweise kann der Personalausweis vom Smartphone zukünftig zum Anlegen eines Nutzerkontos im Bundesportal zur Verfügung stehen – und damit als eine Art „Basis-Login“ für alle Dienste aus dem Onlinezugangsgesetz (OZG). Über das Smartphone werden dann die Daten aus dem Personalausweis übertragen – die Identifizierung findet auf einem sehr hohen Niveau und medienbruchfrei statt.
Zukunftsmusik ist die Verbindung zum Fahrerlaubnisregister – daran arbeitet die Bundesdruckerei zurzeit mit Verfahrensentwicklern im BMWi-Projekt „Schaufenstersichere digitale Identitäten“. Ziel ist hier: den mobilen Führerschein auf dem Smartphone zu personalisieren. Die Anwendung soll es ermöglichen, die Informationen auf das Smartphone zu bekommen: Welches Fahrzeug darf ich führen? Muss ich eine Brille tragen? Wie lange ist der Führerschein gültig? Der mobile Führerschein hätte großes Nutzungspotential, etwa beim Buchen eines Car-Sharing Wagens.
Kontaktlos in der Führerscheinkontrolle
Ein weiterer Fall, in der ein mobiler Führerschein zum Einsatz kommen könnte, ist eine Polizeikontrolle. Über das Smartphone könnte der Polizist die Daten mit einem entsprechenden Gerät einlesen und prüfen. Da dies nach ISO-Standard geschieht, funktioniert das Verfahren auch außerhalb Deutschlands. Eine Führerscheinkontrolle wäre hier ebenso durchführbar wie in Belgien oder Österreich. Das Ganze ist auch über einen Abstand von 1,5 Metern möglich, das haben die Entwickler bereits getestet - und damit auch in Pandemie-Zeiten eine sehr gute Lösung.
Die Umsetzung: datensicher und dezentral
Wie kommen aber nun die Daten des Personalausweises nun aber auf das Smartphone? Vorab: Zunächst werden ausschließlich Android-Mobiltelefone unterstützt. Im Teil 1 wird das Smartphone vorbereitet: Der Nutzer lädt sich eine App herunter und im Hintergrund wird im Sicherheitselement (SE) ein eigener Bereich erstellt, auf dem eine Software eingespielt wird. Lädt man die App aus dem Store herunter, werden verschiedene Voraussetzungen geprüft: Ist ein Sicherheitselement überhaupt vorhanden, gibt es ein NFC, um Daten abzuleiten? Ist das gewährleistet, wird der Nutzer nach einer PIN gefragt, so wie man das von Banking Apps kennt.
Im zweiten Teil, der „Personalisierung“, werden die Daten aus einer sicheren, vertrauenswürdigen Quelle über einen sicheren Kanal auf das Smartphone aufgebracht. Dazu wird der Personalausweis an das Smartphone gehalten, die PIN eingegeben und nun bringt das Hintergrundsystem die Daten in das Sicherheitselement ein. Somit sind die Daten unter Kontrolle des Nutzers, sie liegen dezentral im Chip des Geräts, nicht zentral auf einem Server gespeichert. „Das ist ein großer Vorteil“, sagt Produktmanager Olaf Clemens, „der Nutzer hat die Kontrolle über seine Daten. Allerdings muss er, wenn er sein Smartphone verliert, sich erneut anmelden, da sie nicht zentral gespeichert sind.“ Aber das ist wohl das kleinere Übel.