Sicherheitskatalog für digitale Identitäten vom BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nutzte den Digitalgipfel der Bundesregierung am 28. und 29. Oktober 2019, um sein Security Framework für digitale Identitäten vorzustellen. Damit könnte Deutschland eine Vorreiterrolle beim Entwickeln von sicheren hoheitlichen oder privatwirtschaftlichen digitalen Identitäten einnehmen.

Was sind digitale Identitäten?

Digitale oder maschinelle Identitäten zeigen sich bezüglich der Sicherheit und Wettbewerbsfähigkeit von Unternehmen relevant. Solche digitalen Identitäten besitzen – ähnlich wie wir Menschen – ganz bestimmte Eigenschaften, durch die sie sich voneinander unterscheiden. Digitale Identitäten sind beispielsweise kryptografische Schlüssel oder auch digitale Zertifikate. Sie bilden die Basis, um zwischen Maschinen innerhalb des Internets Vertrauen zu schaffen. In unserem Beitrag „Darknet: Digitale Zertifikate gestohlen“ finden Sie weitere Informationen rund um Maschinenidentitäten.

Sicherheitskatalog gemäß der eIDAS-Verordnung

Das eID Security Framework vom BSI ist als Grundlage zur Erfüllung der eIDAS-Verordnung zu verstehen. Diese eIDAS-Verordnung enthält verbindliche und europaweit geltende Regelungen aus den Bereichen „Elektronische Identifizierung“ sowie „Elektronische Vertrauensdienste“. Weiter finden sich hier Regelungen für die Ausstellung digitaler Website-Zertifikate sowie fürs Zustellen elektronischer Einschreiben.

In der eIDAS-Verordnung werden drei Vertrauensniveaus definiert: „niedrig“, „substanziell“ und „hoch“. Für die grenzüberschreitendende gegenseitige Anerkennung zwischen verschiedenen Identifizierungssystemen bilden diese Vertrauensniveaus den Rahmen. Die „Technische Richtlinie TR-03107“ führt das Konzept der Vertrauensniveaus speziell für den deutschen Markt weiter aus. Hier finden sich auch Prozesse, die über die reine Identifizierung hinausgehen, wie etwa Authentisierung oder Transaktionen.

Die eIDAS-Verordnung schafft also einheitliche Rahmenbedingungen fürs grenzüberschreitende Nutzen elektronischer Identifizierungsmittel sowie Vertrauensdienste. Damit löst sie die Richtlinie 1999/93/EG ab. Die eIDAS-Verordnung ist europaweit seit Juli 2016 unmittelbar in allen 28 EU-Mitgliedsstaaten und im Europäischen Wirtschaftsraum wirksam. Das BSI hat entscheidend an der eIDAS-Verordnung mitgewirkt.

Das neue eID Security Framework des BSI

Häufig vertrauen User auf die Authentifizierungs-Angebote der führenden Online-Dienste. Wenngleich Betreiber solcher Dienste die persönlichen Nutzerdaten nach entsprechender Einwilligung für eigene Zwecke verwenden können, werden den Usern keine hochwertigen digitalen Identitäten angeboten. Um digitale Identitäten besser zu schützen, ist eine offene eID-Plattform in Kombination mit hardwarebasierter Sicherheit sinnvoll. Neben Service-Anbietern und Hardware-Herstellern können sich auch Entwickler zum Framework des BSI konform erklären. So dokumentieren diese, ihren Dienst bis zum Vertrauensniveau „substanziell“ gemäß eIDAS-Verordnung zu realisieren.

Das Ziel des Security Frameworks, welches auf der Website des BSI zum kostenfreien Download bereitsteht, erklärt BSI-Präsident Arne Schönbohm wie folgt: „Ohne digitale Identitäten funktioniert kein Online-Banking, kein Online-Shopping, keine Online-Services bei Behörden und Ämtern und auch kein Posting von Nachrichten in Sozialen Medien. So praktisch sie im digitalen Alltag für jeden Einzelnen geworden sind, so sehr stehen sie auch im Fokus von Cyber-Kriminellen: Identitätsdiebstahl, Fälschungen und die missbräuchliche Verwendung persönlicher Daten sind leider alltäglich geworden. Mit dem neuen Security Framework steuert das BSI hier wirksam dagegen.“

Haben Sie Anmerkungen zum Schutz digitaler Identitäten, so freuen wir uns auf Ihre Erfahrungen in den Kommentaren. Liegen Ihnen konkrete Fragen auf dem Herzen, treten Sie einfach in Kontakt mit uns – wir beraten Sie unverbindlich und auf Augenhöhe.