WIEN.ID – Single Sign-on Login für Wiener

Die WienID: Einfaches und sicheres Login-Verfahren für Verwaltungsdienste für Wiener Bürger*innen.

 

Zusammenfassung Wien.ID

In der Wiener Stadtverwaltung besteht Bedarf an einem einfachen und sicheren Single Sign-on für ein interoperables Service- bzw. Bürgerkonto der österreichischen Hauptstadt

Die WienID bietet eine Komplettlösung für ein Servicekonto, das aus drei Modulen besteht:

  • Die Digitale ID für Bürger, Unternehmen und andere Organisationen sowie die damit verbundene Validierung des ID-Inhabers
  • Das an die ID angeschlossene E-Mail-Konto/-Postfach für die Kommunikation
  • Den Dokumentensafe für das Ablegen von Dokumenten

Die WienID basiert auf quelloffener Software bzw. Protokollen und ist kompatibel mit zukünftigen Anforderungen nach der europäischen eIDAS-Verordnung.

Die WienID soll über die Nutzung für Verwaltungsangelegenheiten hinaus auch für Wiener Infrastrukturanbieter (Strom, Gas, Wasser, Verkehr) sowie Online-Angebote von Internet-Anbietern und auch bei den größten österreichischen Internet-Portalen integriert werden. So wird ein nahtloses Surfen im Internet von Zalando über Otto bis Vattenfall und Hotel.de möglich.

Gerade bei Shopping-Portalen ist es manchmal erforderlich, nicht nur Adresse und Zahlungsdaten anzugeben, sondern auch weitere Informationen wie die Schuhgröße oder den bevorzugten Handy-Typ. Diese Informationen können bei der WienID hinterlegt – und dann nach dem Einloggen an das Shopping-Portal übergeben werden.

 

Die Single Sign-on Herausforderung und die Lösung dazu

Jeder, der sich im Internet bewegt, hat heute meistens Dutzende, wenn nicht sogar Hunderte von Kombinationen aus Benutzernamen und Passwort (kurz Login-Daten) für die verschiedensten Online-Dienste gesammelt – für den Zugang zu einer Behördenwebseite, das Online-Banking, den Mobilfunkanbieter und oftmals für Facebook, Google, Amazon und Ebay.

Die sichere Verwahrung und Verwaltung dieser sensiblen Daten ist eine große Herausforderung und führt häufig zu unsicherem oder sorglosem Umgang mit den Daten. So werden einfache Passwörter gerne bei vielen Diensten immer wieder verwendet. Werden die Zugangsdaten dann auch noch in einer ungesicherten Excel- oder Word-Datei aufbewahrt, erleichtert dies Datendieben das Abfischen – manchmal mit fatalen Auswirkungen.

Viele Anbieter fördern den laxen Umgang mit den Login-Daten noch, indem sie einfache Passwörter wie „1234“ oder „maria“ erlauben. Die meisten Bürgern wissen zwar, dass „1234“ kein sicheres Passwort ist, viele sind aber auch zu bequem um sich ein komplexes und sicheres Passwort auszudenken, nur weil einfach mal etwas bestellt werden soll.

Da die Anzahl der Online-Angebote weiter steigt, kommen jedes Jahr eine ganze Reihe neuer Login-Daten hinzu. Außerdem müssen immer wieder die gleichen Registrierungsdaten wie Name, Adresse, Telefon, etc. eingegeben werden.

Um diesem Dilemma zu entkommen, haben amerikanische Online-Dienste wie Google, Facebook oder LinkedIn ein Login-Verfahren entwickelt, mit dem Internet-Nutzer sich nur ein einziges Mal einloggen müssen, um Zugang zu mehreren, zumeist größeren Diensten zu erhalten. Genannt wird dieses einmalige Eingeben von Login-Daten „Single-Sign-On“ – kurz SSO – oder „Once Only“. In Österreich sind etwa die SSOs der Social-Media-Plattformen Facebook und XING beliebt.

Problematisch an den Login-Verfahren von Facebook und Co. ist, dass sie teilweise alle eingegebenen Daten des Nutzers, seine Kommunikation, seine Bewegungen und sein gesamtes Surf-Verhalten aufzeichnen und monetarisieren – beispielsweise in Form von auf den Nutzer zugeschnittener Online- oder E-Mail-Werbung oder der Weitergabe der Daten an Dritte in aller Welt. Diese Verfahren entsprechen selten den europäischen Datenschutzrichtlinien. Ist ein Internet-Nutzer damit nicht einverstanden, kann er von diesen, zugegebenermaßen bequemen, Login-Verfahren nicht profitieren.

Die bisherigen von Behörden bereitgestellten Verfahren schützen und respektieren die Daten des Bürgers zwar sehr viel besser, finden aber kaum Akzeptanz. Single Sign-On Dienste wie beispielsweise im Rahmen des europäische elDAS-Projektes sind nicht nur komplex, sie erfordern außerdem den Besitz eines Lesegerätes für den elektronischen Personalausweis, auch eID-Karte oder nPA bzw. ePA genannt. Von den rund 5% der Bürger[1], die ein solches Lesegerät besitzen, scheitern eine Vielzahl bereits an der Installation des Gerätes, so dass von den ca. 500.000 in verkauften Geräten wahrscheinlich keine 5 Prozent in wirklicher Benutzung sind.

 

Die drei Teile der Wien.ID

Die WienID als Bürgerkonto beinhaltet die folgenden drei Module:

  • Digitale Identität / Validierung
  • E-Mail-Konto / Postfach
  • Dokumentensafe

Digitale Identität / Validierung

Das Kernmodul ist eine auf dem ID4me-Protokoll basierende digitale Identität für Bürger und Unternehmen. Aus Sicht des Inhabers basiert seine ID auf einer E-Mail-Adresse oder einem anderen String (s.u.) sowie einem sicheren Passwort.

Die ID beinhaltet einen weitgehend unveränderlichen, validierten Datenteil (Ausweisdaten) und einen individuell vom Inhaber gestaltbaren Datenteil (z.B. Schuhgröße). Zusätzlich wird der Inhaber der ID validiert um die ID für die Nutzung von Behördendienstleistungen nach der eIDAS-Verordnung zu qualifizieren.

Die Validierung soll mittels jeweils gängiger Verfahren (Face-to-face in der Behörde, eID-Reader, AusweisApp2, VideoIdent, Bankkonto, Schufa, u.a.) oder direkt über einen eID-Service-Provider erfolgen. Als Vertrauenslevel (Level of Assurance, kurz LoA) können dabei die LoAs „low“, „substantial“ und „high“ bedient werden.

E-Mail-Konto / Postfach

Das zweite Modul ist ein mit der ID verbundenes E-Mail-Konto. In diesem E-Mail-Konto speichert der ID-Inhaber* die E-Mail-Kommunikation, die er mit der Stadt Wien und anderen Behörden im Rahmen des Verwaltungsportals des Bundes und auch auf europäischer Ebene austauscht. Um eine höhere Sicherheit der Kommunikation auf elektronischem Weg zu gewährleisten, kann zusätzlich eine qualifizierte elektronische Signatur implementiert werden.

Dokumentensafe

Als drittes Modul umfasst die WienID einen so genannten Dokumentensafe. Damit erhalten Bürger und Unternehmen bzw. juristischen Personen einen langfristig sicheren digitalen Platz für die Dokumente, die sie mit Behörden austauschen. In dem Dokumentensafe können alle ausgetauschten Dokumente archiviert werden. Der Dokumentensafe ist ein DSGVO-kompatibler, gesicherter Online-Speicher in Verbindung mit dem E-Mail-Konto, der diese in gewohnter Weise (wie auf dem PC oder Smartphone) erweitert.

Der Dokumentensafe gewährleistet eine einfache und sichere Ablage von Dokumenten verschiedener Datentypen, von denen einige eine hohe Sicherheit und Vertraulichkeit erfordern. Er ermöglicht damit auch eine Historie der Behördenkontakte.

Ausgebaut werden kann die WienID bei Bedarf um weitere Services wie z.B. Zahlungsmodule für das E-Payment mit aktuellen Zahlungswegen wie Rechnung, Kreditkarte, Lastschrifteinzug, PayPal oder ApplePay.

Die Wien.ID setzt auf Benutzerfreundlichkeit

Der Bedarf nach einem universell verwendbaren Login nach dem Single Sign-on Prinzip besteht. Zudem wollen Internetnutzer sich über eine gelernte und überaus beliebte Kombination aus Benutzername und Passwort einloggen. Diese beiden Prinzipien sind die Basis für die WienID.

Die WienID verwendet als benutzerfreundlichen Benutzernamen eine einfach zu merkende E-Mail-Adresse oder einen Domainnamen und ein sicheres Passwort. So können die Zugangsdaten beispielsweise lauten:

BENUTZER:               tom.huber@wien.id

PASSWORT:              1978war-ich-Finnland! (das ist ein sicheres Beispielpasswort)

Alternativ zu einer @wien.id E-Mail-Adresse kann der Nutzer auch seine bisherige E-Mail-Adresse als Token für das Servicekonto verwenden. Die WienID kann aber auch an eine .at- oder .wien-Internetadresse geknüpft sein:

BENUTZER:               tom@huber.at

BENUTZER:               tom471@gmx.at

BENUTZER:               tomhuber.at

BENUTZER:               huber.wien

Durch die beliebte Kombination aus intuitivem Benutzername und einem sicheren Passwort wird eine hohe Akzeptanz der WienID unter Bürgern und Unternehmen erreicht.

Mit der WienID können auch Bürger, die noch keine E-Mail-Adresse haben, erstmals eine kostenlose individuelle und eigene E-Mail-Adresse erhalten.

 

Die Wien.ID basiert auf offenen Standards

Im Gegensatz zu anderen, proprietären Identitätslösungen basiert das der WienID technisch zu Grunde liegende Protokoll – ID4me – auf dem robusten und weltweit verbreiteten Domain-Namen-Systems (DNS). Es nutzt etablierte offene und sehr sichere OpenID Connect- und OAuth-Standards.

Ins Leben gerufen hat diese Identitätslösung die ID4me AISBL, ein in Brüssel eingetragenen Verband, der von Internet-Organisationen wie United Internet (1&1), Denic (.de), i2 Coalition, GoDaddy (größer Registrar weltweit) und einer Reihe anderer Organisationen, darunter auch weitere Betreiber großer Länderendungen wie Nominet (.uk) sowie dem eco (Verband der Internetwirtschaft). Zusammen stellen die Partner weit über 50 Millionen potentieller Kunden dar.

Die Hauptfunktion von ID4me ist das Universal Digital Profile (UDP) des Nutzers. Das Profil erfüllt zwei Hauptfunktionen der digitalen Identität:

  • Autorisierung eines Benutzers für den Zugriff auf beliebige Dritte, die ID4me-Identifikatoren akzeptieren („Single Sign-On“ auf Internetebene)
  • Kontrollierte, DSGVO-konforme Weitergabe der personenbezogenen Daten des Nutzers an die vom Nutzer angesprochenen Dritten.

Eines der weiteren Merkmale der WienID ist, dass der Inhaber der ID jederzeit mit seinen Daten und der Authentifizierung von einem der zahlreichen Dienstleister zu einem anderen umziehen kann. Dieses Merkmal bietet keine andere Identitätslösung.

Die auf dem ID4me-Protokoll basierende WienID ist damit bisherigen Single Sign-on Lösungen wie etwa von Google, Facebook oder Verimi in punkto Sicherheit und Datenschutz deutlich überlegen.

 

Zusammenfassung

Mit unserem Angebot einer sicheren und authentifizierten E-Mail-Adresse erhält der Bürger ein so genanntes Single Sign-on (also nur 1x einloggen) Bürgerkonto und ein zentrales digitales Postfach mit dem er die Möglichkeit hat, Online-Angebote von Kommunen und anderen öffentlichen Stellen zu nutzen. Die Authentifizierung erfolgt mit dem neuen Personalausweis, der Nutzer bekommt einen zur E-Mail-Adresse gleichlautenden Benutzernamen und ein doppelt gesichertes Passwort (2-Faktor-Authentifizierung).

Mit unserem Dienstleistungsangebot WIEN.ID werden dann eindeutige E-Mail-Adressen wie hubert.meyer@wien.id vergeben. Wir schnüren damit ein integriertes Dienstleistungspaket für die intelligente Digitalisierung der Verwaltungs- und Geschäftsprozesse der Wiener Bürgerinnen und Bürger sowie Unternehmen und anderen Organisationen in Wien.

Bürgerinnen und Bürger sowie Unternehmen und andere Organisationen in Wien sollen ihre Verwaltungsakte ohne Medienbrüche und Gang zum Amt online abwickeln können, Behörden- als auch Verwaltungsebenen übergreifend. Die sichere Übertragung und Speicherung von persönlichen und Unternehmensdaten und ein digitaler Austausch von Unterlagen und Informationen soll zusätzlich ermöglicht werden. Alle Verwaltungsdienstleistungen sollen über einen einheitlichen Zugang erreicht und unter Nutzung der gleichen Identifizierungskomponente einer E-Mail-Adresse abgewickelt werden können. Sowohl natürliche als auch juristische Personen können so eindeutig authentifiziert werden.