Arbeitsgruppe Identitätsprüfung
Zweck: Vorbereitung des Workshops im Februar 2020
(Zurück zur Workshop-Seite)
Thema: Verfahren zur Identitätsprüfung eID, Video- oder Postident
Koordination: Silke Meyer, Thomas Wolfram
Teilnehmende: (bei Interesse bitte eintragen)
- Andreas Borm
- Thorsten Michels
Infos
- Die DFN-Geschäftsstelle hat bisher nur mit Postident Erfahrungen: Für die PKI werden in geringem Umfang Einzelpersonen verifiziert, die dann für ihre Einrichtung Zertifikate erstellen dürfen und weitere Personen bestimmen, die aus ihrem Haus Zertifikate für die Einrichtung holen dürfen. Bisher lief das alles auf Papier mit Unterschriftenvergleich. Die GS hat dafür einen kleinen Rahmenvertrag mit der Post. Für eine edu-ID würde das nicht skalieren.
- Die Post stellt aber auch bei Postident auf ein papierloses Portal um, das verschiedene Verfahren anbietet. Thomas hat letztens ein Postident-Verfahren gemacht, da wurde der NPA hinter dem Tresen ins Lesegerät gesteckt. Laut der Deutschen Post kann man bereits wählen zwischen
- Identifikation in der Filiale mit Ausweisdokument und Papier-Coupon oder Coupon in der Postident App,
- Online-Identifikation durch Videochat mit Servicepersonal, ggf. mit zusätzlicher TAN an Handy mit Postident App
- mobiler Identifikation mit eID und Postident App (NFC),
- Foto-Ident mit Postident App (QR-Code mit App scannen, eigene Dokumente fotografieren, Videosequenz des eigenen Gesichts mit Smartphone aufnehmen. Im Unterschied zu VIdeochat hat man hier offenbar keinen Kontakt zum Serviceteam.
Video-Ident
Funktionsweise: Andreas
- beim Video-Ident findet der Identifizierungsprozess online (z.B. per PC, Tablet, Smartphone) statt
- hierfür wird man per Link auf die Seite des entsprechenden Unternehmens geleitet (kann auch ein ext. Service-Dienstleister sein)
- der dortige Mitarbeiter geht nach einem speziellen Prozedere per Videochat verschiedene Dinge durch, wobei auch die beiden Seiten des Personalausweises in die Kamera gehalten werden müssen und ggf. der eine oder andere Sicherheitscode bestätigt werden muss
- FAQ von IDnow
eID
Funktionsweise: Thomas
- FAQ im Personalausweis-Portal
- internationale Nutzbarkeit??? Liste der bereits notifizierten eID-Systeme anderer EU-Mitgliedstaaten
- Vorteil von eID gegenüber Videoident: Es können gefilterte Informationen übertragen werden. Bei Videoident wird mehr gespeichert als für eine Identifizierung nötig ist (siehe z.B. Tätigkeitsbericht Bundesdatenschutzbeauftragte*r).
- Im Personalausweisportal ist beschrieben, wie man Dienstanbieter wird.
Pro und Contra
(bitte ergänzen)
Pro | Contra | |
---|---|---|
Postident | unabhängig von Endgeräten, Software und Internetverbindung | |
Videoident | niederschwellig, ortsunabhängig | Ist das Vertrauensniveau hier niedriger als bei eID oder Postident? Welche Attribute werden gespeichert und sind das mehr als nötig? |
Fotoident | niederschwellig, ortsunabhängig | Ist das Vertrauensniveau hier niedriger als bei eID oder Postident? Welche Attribute werden gespeichert und sind das mehr als nötig? |
eID | Ortsunabhängig, potenziell EU-weit nutzbar/kompatibel. Möglichkeit, nur die für eine Identifizierung relevanten Attribute zu speichern. | Akzeptanz steigt langsam, momentaner Verbreitungsgrad ist regional unterschiedlich, unklar, mit welchen technischen Herausforderungen Nutzer*innen konfrontiert werden |
Ergebnisse
- Die AG favorisiert bisher eID mit nPA und Videoident, also mehr als nur ein Verfahren. Postident auf Papier könnte als Fallback genutzt werden, falls die anderen Wege nicht gangbar sind.
- Jedes Verfahren müsste im Fall der edu-ID outgesourct werden. Dabei ist ein mögliches Szenario, nur die Dienstleistung auszulagern, die zentrale Datenbank jedoch in eigener Hand (z.B. beim DFN-CERT) zu halten.
- Wahrscheinlich wäre eine Ausschreibung nötig.
Fragen
- Wie „international kompatibel“ sollte/müsste die Identitätsprüfung im ersten Wurf sein? Gleich so groß wie möglich denken oder erstmal an Immatrikulation von Personen denken, die sich bereits in Deutschland befinden?
- Müssen wir ausschreiben, wenn wir finden, dass die Post ein so umfangreiches Angebot zur Verfügung stellt?
- Welche Kriterien müsste ein Anbieter im Hinblick auf eine Ausschreibung erfüllen?
- Welche Verfahren werden unterstützt?
- Welche internationalen Dokumente/aus wievielen/welchen Ländern werden unterstützt?
- Wie „gut“ muss bei Video-Ident geprüft werden? Es scheint außer einer Echtzeit-VC mit Serviceanbieter auch Anbieter zu geben, bei denen man abfotografierten Personalausweis hinschickt. Was brauchen wir genau bzw. wie bilden wir unterschiedliche Genauigkeit ab?