Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) nutzte den Digitalgipfel der Bundesregierung am 28. und 29. Oktober 2019, um sein Security Framework f\u00fcr digitale Identit\u00e4ten vorzustellen. Damit k\u00f6nnte Deutschland eine Vorreiterrolle beim Entwickeln von sicheren hoheitlichen oder privatwirtschaftlichen digitalen Identit\u00e4ten einnehmen.<\/p>\n
Digitale oder maschinelle Identit\u00e4ten zeigen sich bez\u00fcglich der Sicherheit und Wettbewerbsf\u00e4higkeit von Unternehmen relevant. Solche digitalen Identit\u00e4ten besitzen \u2013 \u00e4hnlich wie wir Menschen \u2013 ganz bestimmte Eigenschaften, durch die sie sich voneinander unterscheiden. Digitale Identit\u00e4ten sind beispielsweise kryptografische Schl\u00fcssel oder auch digitale Zertifikate. Sie bilden die Basis, um zwischen Maschinen innerhalb des Internets Vertrauen zu schaffen. In unserem Beitrag „Darknet: Digitale Zertifikate gestohlen“<\/a> finden Sie weitere Informationen rund um Maschinenidentit\u00e4ten.<\/p>\n Das eID Security Framework vom BSI ist als Grundlage zur Erf\u00fcllung der eIDAS-Verordnung zu verstehen. Diese eIDAS-Verordnung enth\u00e4lt verbindliche und europaweit geltende Regelungen aus den Bereichen „Elektronische Identifizierung“ sowie „Elektronische Vertrauensdienste“. Weiter finden sich hier Regelungen f\u00fcr die Ausstellung digitaler Website-Zertifikate sowie f\u00fcrs Zustellen elektronischer Einschreiben.<\/p>\n In der eIDAS-Verordnung werden drei Vertrauensniveaus definiert: „niedrig“, „substanziell“ und „hoch“. F\u00fcr die grenz\u00fcberschreitendende gegenseitige Anerkennung zwischen verschiedenen Identifizierungssystemen bilden diese Vertrauensniveaus den Rahmen. Die „Technische Richtlinie TR-03107“ f\u00fchrt das Konzept der Vertrauensniveaus speziell f\u00fcr den deutschen Markt weiter aus. Hier finden sich auch Prozesse, die \u00fcber die reine Identifizierung hinausgehen, wie etwa Authentisierung oder Transaktionen.<\/p>\n Die eIDAS-Verordnung schafft also einheitliche Rahmenbedingungen f\u00fcrs grenz\u00fcberschreitende Nutzen elektronischer Identifizierungsmittel sowie Vertrauensdienste. Damit l\u00f6st sie die Richtlinie 1999\/93\/EG ab. Die eIDAS-Verordnung ist europaweit seit Juli 2016 unmittelbar in allen 28 EU-Mitgliedsstaaten und im Europ\u00e4ischen Wirtschaftsraum wirksam. Das BSI hat entscheidend an der eIDAS-Verordnung mitgewirkt.<\/p>\n H\u00e4ufig vertrauen User auf die Authentifizierungs-Angebote der f\u00fchrenden Online-Dienste. Wenngleich Betreiber solcher Dienste die pers\u00f6nlichen Nutzerdaten nach entsprechender Einwilligung f\u00fcr eigene Zwecke verwenden k\u00f6nnen, werden den Usern keine hochwertigen digitalen Identit\u00e4ten angeboten. Um digitale Identit\u00e4ten besser zu sch\u00fctzen, ist eine offene eID-Plattform in Kombination mit hardwarebasierter Sicherheit sinnvoll. Neben Service-Anbietern und Hardware-Herstellern k\u00f6nnen sich auch Entwickler zum Framework des BSI konform erkl\u00e4ren. So dokumentieren diese, ihren Dienst bis zum Vertrauensniveau „substanziell“ gem\u00e4\u00df eIDAS-Verordnung zu realisieren.<\/p>\n Das Ziel des Security Frameworks, welches auf der Website des BSI zum kostenfreien Download bereitsteht, erkl\u00e4rt BSI-Pr\u00e4sident Arne Sch\u00f6nbohm wie folgt: „Ohne digitale Identit\u00e4ten funktioniert kein Online-Banking, kein Online-Shopping, keine Online-Services bei Beh\u00f6rden und \u00c4mtern und auch kein Posting von Nachrichten in Sozialen Medien. So praktisch sie im digitalen Alltag f\u00fcr jeden Einzelnen geworden sind, so sehr stehen sie auch im Fokus von Cyber-Kriminellen: Identit\u00e4tsdiebstahl, F\u00e4lschungen und die missbr\u00e4uchliche Verwendung pers\u00f6nlicher Daten sind leider allt\u00e4glich geworden. Mit dem neuen Security Framework steuert das BSI hier wirksam dagegen.“<\/p>\n Haben Sie Anmerkungen zum Schutz digitaler Identit\u00e4ten, so freuen wir uns auf Ihre Erfahrungen in den Kommentaren. Liegen Ihnen konkrete Fragen auf dem Herzen, treten Sie einfach in Kontakt<\/a> mit uns \u2013 wir beraten Sie unverbindlich und auf Augenh\u00f6he.<\/p>\nSicherheitskatalog gem\u00e4\u00df der eIDAS-Verordnung<\/h2>\n
Das neue eID Security Framework des BSI<\/h2>\n