HamburgID

HamburgID: Einfaches und sicheres Login-Verfahren für Bürger*innen.

 

Zusammenfassung

In der Hamburger Verwaltung besteht Bedarf an einem einfachen und sicheren Single Sign-on für ein interoperables Service- bzw. Bürgerkonto der Hansestadt.

Die HamburgID bietet eine Komplettlösung für ein Servicekonto, das aus drei Modulen besteht:

  • Die Digitale ID für Bürger, Unternehmen und andere Organisationen sowie die damit verbundene Validierung des ID-Inhabers
  • Das an die ID angeschlossene E-Mail-Konto/-Postfach für die Kommunikation
  • Den Dokumentensafe für das Ablegen von Dokumenten

Die HamburgID basiert auf quelloffener Software bzw. Protokollen und ist kompatibel mit zukünftigen Anforderungen nach dem deutschen Onlinezugangsgesetz (OZG) sowie der europäischen eIDAS-Verordnung.

Die HamburgID soll über die Nutzung für Verwaltungsangelegenheiten hinaus auch für Hamburger Infrastrukturanbieter (Strom, Gas, Wasser, Verkehr) sowie Online-Angebote von Internet-Anbietern und auch bei den größten deutschen Internet-Portalen integriert werden. So wird ein nahtloses Surfen im Internet von Zalando über Otto bis Vattenfall und Hotel.de möglich.

Gerade bei Shopping-Portalen ist es manchmal erforderlich, nicht nur Adresse und Zahlungsdaten anzugeben, sondern auch weitere Informationen wie die Schuhgröße oder den bevorzugten Handy-Typ. Diese Informationen können bei der HamburgID hinterlegt – und dann nach dem Einloggen an das Shopping-Portal übergeben werden.

 

 

Die Single Sign-on Herausforderung und die Lösung dazu

Jeder, der sich im Internet bewegt, hat heute meistens Dutzende, wenn nicht sogar Hunderte von Kombinationen aus Benutzernamen und Passwort (kurz Login-Daten) für die verschiedensten Online-Dienste gesammelt – für den Zugang zu einer Behördenwebseite, das Online-Banking, den Mobilfunkanbieter und oftmals für Facebook, Google, Amazon und Ebay.

Die sichere Verwahrung und Verwaltung dieser sensiblen Daten ist eine große Herausforderung und führt häufig zu einem unsicheren oder sorglosen Umgang mit den Daten. So werden einfache Passwörter gerne bei vielen Diensten immer wieder verwendet. Werden die Zugangsdaten dann auch noch in einer ungesicherten Excel- oder Word-Datei aufbewahrt, erleichtert dies Datendieben das Abfischen – manchmal mit fatalen Auswirkungen.

Viele Anbieter fördern den laxen Umgang mit den Login-Daten noch, indem sie einfache Passwörter wie „1234“ oder „maria“ erlauben. Die meisten Bürger wissen zwar, dass „1234“ kein sicheres Passwort ist, viele sind aber zu bequem, um sich ein komplexes und sicheres Passwort auszudenken, nur weil sie mal etwas bestellen wollen.

Da die Anzahl der Online-Angebote weiter steigt, kommen jedes Jahr eine ganze Reihe neuer Login-Daten hinzu. Außerdem müssen immer wieder die gleichen Registrierungsdaten wie Name, Adresse, Telefon, etc. eingegeben werden.

Um diesem Dilemma zu entkommen, haben amerikanische Online-Dienste wie Google, Facebook oder LinkedIn ein Login-Verfahren entwickelt, mit dem Internet-Nutzer sich nur ein einziges Mal einloggen müssen, um Zugang zu mehreren, zumeist größeren Diensten zu erhalten. Genannt wird dieses einmalige Eingeben von Login-Daten „Single-Sign-On“ – kurz SSO – oder „Once Only“. In Deutschland sind etwa die SSOs der Social-Media-Plattformen Facebook und XING beliebt.

Problematisch an den Login-Verfahren amerikanischer Anbieter wie von Facebook und Co.[1] ist, dass sie teilweise alle hinterlegten Daten des Nutzers, seine Kommunikation, seine Bewegungen und sein gesamtes Surf-Verhalten aufzeichnen und monetarisieren – beispielsweise in Form von auf den Nutzer zugeschnittener Online- oder E-Mail-Werbung oder der Weitergabe der Daten an Dritte in aller Welt. Diese Verfahren entsprechen selten den europäischen Datenschutzrichtlinien. Ist ein Internet-Nutzer damit nicht einverstanden, kann er von diesen, zugegebenermaßen bequemen, Login-Verfahren nicht profitieren.

Die bisherigen von Behörden bereitgestellten Verfahren schützen und respektieren die Daten des Bürgers zwar sehr viel besser, finden aber kaum Akzeptanz. Single Sign-On Dienste wie beispielsweise im Rahmen des europäische elDAS[2]-Projektes sind nicht nur komplex, sie erfordern außerdem den Besitz eines Lesegerätes für den elektronischen Personalausweis, auch eID-Karte oder nPA bzw. ePA genannt. Von den 5% der Bürger[3], die ein solches Lesegerät besitzen, scheitern eine Vielzahl bereits an der Installation des Gerätes, so dass von den ca. 500.000 in Deutschland verkauften Geräten wahrscheinlich keine 5 Prozent in wirklicher Benutzung sind.[4]

 

Die HamburgID basiert auf offenen Standards

Im Gegensatz zu anderen, proprietären Identitätslösungen basiert das der HamburgID technisch zugrunde liegende Protokoll – ID4me – auf dem robusten und weltweit verbreiteten Domain-Namen-Systems (DNS). Da ID4me-Protokoll ist ein Standard, der es auch anderen Anbietern erlaubt, darauf aufzubauen. ID4me nutzt etablierte, offene und sehr sichere OpenID Connect- und OAuth-Standards.

Ins Leben gerufen hat diese Identitätslösung die ID4me AISBL, ein in Brüssel eingetragenen Verband, der von Internet-Organisationen wie United Internet (1&1), Denic (.de), i2 Coalition, GoDaddy (größer Registrar weltweit) und einer Reihe anderer Organisationen, darunter auch weitere Betreiber großer Länderendungen wie Nominet (.uk) sowie dem eco (Verband der Internetwirtschaft). Zusammen stellen die Partner weit über 50 Millionen potentielle Kunden.

Eines der weiteren Merkmale der HamburgID ist, dass der Inhaber der ID jederzeit mit seinen Daten und der Authentifizierung von einem der zahlreichen Dienstleister zu einem anderen umziehen kann. Dieses Merkmal bietet keine andere Identitätslösung.

 

Referenzen

[1] https://www.facebook.com/notes/keith-watson/single-sign-on-notes/10150294801872451/

[2] https://www.heise.de/newsticker/meldung/Elektronische-Identifizierung-eIDAS-ist-die-Chance-fuer-ein-selbstbewusstes-Europa-3739714.html

[3] https://www.heise.de/newsticker/meldung/Studie-Die-deutsche-E-Government-Misere-weitet-sich-aus-3874754.html

[4] https://www.golem.de/news/eid-willkommen-in-der-egovernment-hoelle-1712-131794.html