E-Government-Initiative für De

Transcription

E-Government-Initiative
für De-Mail und den Personalausweis
BARMER GEK
Grobkonzept: Der Personalausweis mit eID-Funktion in der Online
Geschäftsstelle der BARMER GEK
Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der Ergebnisdokumente, die im
Rahmen der E-Government-Initiative für De-Mail und den Personalausweis erstellt wurden. Deshalb
werden die jeweils Verantwortlichen im Impressum auf der letzten Seite der Dokumente genannt. Sie
stehen Ihnen für inhaltliche Fragen zur Verfügung.
Der Personalausweis mit eID-Funktion
in der Online Geschäftsstelle
der BARMER GEK
Autorinnen:
Petra Kellermann-Mühlhoff
Vivian Werner
Stand: 16. September 2014
1
Nutzung der eID-Funktion der Online-Geschäftsstelle der BARMER GEK
Inhaltsverzeichnis
1.
Hintergrundinformationen ...................................................................................4
2.
Informationen zum E-Government-Gesetz .........................................................5
3.
Persönlicher Bereich der BARMER GEK ...........................................................7
3.1.
Beschreibung des Online-Bereiches
7
3.2.
Sicherheitsstufenkonzept der Online-Geschäftsstelle
8
3.3.
Ablaufprozess der Anmeldung mittels Online-Ausweis
8
4.
Beantragung des Berechtigungszertifikates .....................................................13
4.1.
Beantragungsweg
13
4.2.
Notwendige Angaben für den Antrag des Berechtigungszertifikates
13
5.
IT-Lösungsskizze .............................................................................................15
5.1.
Komponenten des Online-Ausweis-Login
5.2.
Integration der Online-Ausweis-Funktion des Personalausweises in das
bestehende Sicherheits-Stufen-Konzept
15
15
5.3.
Fehlermöglichkeiten
16
5.4.
Erweiterung Profilapplikation und Backend Applikation Server (BAS)
18
6.
Beauftragung der externen Dienstleister ..........................................................18
6.1.
… für die Anwendungsentwicklung
18
6.2.
… für das Berechtigungszertifikat
18
6.3.
… für den eID-Server
19
7.
Kostenkalkulation: Schätzung Stand Mai 2014 .................................................20
8.
Verwendete Quellen.........................................................................................21
2
Abbildungsverzeichnis:
Abbildung 1: Regelungen des E-Government-Gesetzes........................................................ 5
Abbildung 2: Persönlicher Bereich BARMER GEK – Rubrik Formulare ................................. 7
Abbildung 3: Beispielhafter Ablaufprozess „User will Ausweis erstmals nutzen“ über Rubrik
„Jetzt registrieren“ ............................................................................................10
Abbildung 4: Beispielhafter Ablaufprozess „Login“ über Schnellzugriff „Formulare A-Z“ und
Rubrik „Persönlicher Bereich“ auf der Homepage ............................................11
Abbildung 5: Beispielhafter Ablaufprozess „Formularauswahl“ über Schnellzugriff „Formulare
A-Z“ und Rubrik „Persönlicher Bereich“ auf der Homepage ............................12
Abbildung 6: Komponenten des Login mittels eID-Funktion ..................................................15
Wenn im Nachfolgenden die männliche Schreibweise wie Versicherter, User und Nutzer verwendet
wird, dient dies ausschließlich der besseren Lesbarkeit.
3
1.
Hintergrundinformationen
Mit dem E-Government-Gesetz, das am 1. August 2013 in Kraft getreten ist, sind
Verwaltungen verpflichtet bis zum 1. Januar 2015 in Verwaltungsverfahren, in denen
sie die Identität einer Person auf Grund einer Rechtsvorschrift feststellen oder aus
anderen Gründen eine Identifizierung für notwendig erachten, die Nutzung des elektronischen Identitätsnachweises nach dem Personalausweisgesetz anzubieten.
In der Kommunikation zwischen den Versicherten und ihrer Krankenkasse kann die
Identität auch mit der elektronischen Gesundheitskarte nach § 291 Absatz 2a Satz 4
des SGB V elektronisch nachgewiesen werden. 1 Somit ist der Einsatz der OnlineAusweisfunktion des Personalausweises für Krankenkassen nicht zwingend. Die eGK
verfügt jedoch noch nicht über eine entsprechende Funktion und der zeitliche Horizont, bis wann sie als Zugangsschlüssel genutzt werden kann, ist noch offen.
Perspektivisch werden immer mehr Prozesse zwischen Versicherten und Krankenkassen online abgewickelt. Da es bei Versichertendaten häufig um hochsensible Informationen geht, sind hohe Sicherheitsstandards erforderlich. Allerdings hat der Personalausweis mit der eID-Funktion als Zugangsschlüssel noch keine hohe Akzeptanz
bei den Bürger/innen, sodass nur wenige diese Funktion freigeschaltet haben und
nutzen. Es ist absehbar, dass sich dies, mit vermehrten Nutzungsmöglichkeiten für
die Online-Ausweisfunktion, in den nächsten Jahren, ändern wird. Die BARMER GEK
hat sich daher entschieden, ihren Versicherten die Authentisierung mittels eIDFunktion anzubieten und trägt damit zur Akzeptanzschaffung der OnlineAusweisfunktion und zu einem höheren Sicherheitsstandard im Webauftritt der
BARMER GEK bei.
Das vorliegende Papier ist ein Grobkonzept, welches die Nutzung der OnlineAusweisfunktion im Webauftritt der BARMER GEK beschreibt. Es wurde im Rahmen
der E-Government-Initiative mit Unterstützung des Bundesministerium des Inneren
erstellt. Die Feinkonzeption und die technische Umsetzung erfolgen nach Beendigung
der E-Government-Initiative.
1
Vgl. : Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften
Vom 25. Juli 2013. In: Bundesgesetzblatt Jahrgang 2013 Teil I Nr. 43, ausgegeben zu Bonn am 31. Juli
2013. S. 2754, Artikel 4 (2) und Sozialgesetzbuch (SGB) Erstes Buch (I) – Allgemeiner Teil - vom
11.12.1975 (BGBl. I S. 3015), zuletzt geändert durch G. vom 23.10.2012 (BGBl. I S. 2246), Dritter Abschnitt, §36a.
4
2.
Informationen zum E-Government-Gesetz
Die Regelungen des E-Government-Gesetzes treten wie folgt zeitlich gestaffelt in
Kraft:
Abbildung 1: Regelungen des E-Government-Gesetzes
Geschäftsvorgänge, die elektronisch abgewickelt werden, sind in zwei Gruppen einzuteilen und zwar in solche,
 die der Schriftform bedürfen und unterschrieben werden müssen.
 die nicht der Schriftform bedürfen und nicht unterschrieben werden müssen.
Fordert eine Rechtsvorschrift für eine abzugebende Erklärung die Schriftform, kann
diese im Geltungsbereich des Verwaltungsverfahrensgesetzes des Bundes durch die
Abgabe der Erklärung in Online-Formularen gewahrt werden. Hierbei muss ein sicherer Identitätsnachweis über die eID-Funktion des Personalausweises (§ 18 des Personalausweisgesetzes) oder des Aufenthaltstitels (§ 78 Abs. 5 des Aufenthaltsgesetzes) erfolgen. Der Identitätsnachweis kann auch über die elektronische Gesundheitskarte erfolgen. Nach derzeitigem Kenntnisstand ergibt sich im Bereich der BARMER
GEK auf der Ebene der Sachbearbeitung lediglich aus § 188 Abs. 3 SGB V ein
Schriftformerfordernis. Hier heißt es: „Der Beitritt [zur freiwilligen Mitgliedschaft d. V.]
5
ist schriftlich zu erklären 2“. Auch bei der Erteilung des SEPA-Mandates besteht nach
wie vor die Notwendigkeit der Kundenunterschrift. Ausschließlich im Bereich des Kartenzahlverfahrens (Ladenverkauf, Internet etc.) wird übergangsweise noch ein spezielles POST-Lastschriftverfahren akzeptiert. Für eine generell [gegenüber allen bezogenen Banken] gültige digitale Online-Erteilung gibt es derzeit keine rechtliche Grundlage. Daher muss die BARMER GEK weiterhin auf die Einreichung eines SEPAMandats in Schriftform (unterzeichnetes Formular) bestehen. Eine Online-Abwicklung
ist zurzeit möglich, indem das händisch unterschriebene Formular eingescannt wird
und der BARMER GEK über die Online-Geschäftsstelle übermittelt wird. Sollte perspektivisch von allen Banken die qualifizierte Signatur des Online-Ausweises für die
rechtsverbindliche Online-Abwicklung des SEPA-Mandates akzeptiert werden, könnte
auf die händische Unterschrift verzichtet werden.
2
Vgl. : Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften
Vom 25. ,Juli 2013. In: Bundesgesetzblatt Jahrgang 2013 Teil I Nr. 43, ausgegeben zu Bonn am 31. Juli
2013 und §36a SGB 1 sowie § 188 SGB V.
6
3.
Persönlicher Bereich der BARMER GEK
3.1. Beschreibung des Online-Bereiches
Die BARMER GEK bietet ihren Versicherten in ihrem Webauftritt bereits seit vielen
Jahren einen persönlichen Bereich an. Über diesen können eine Vielzahl von OnlineProzessen initiiert werden. Über den „Persönlichen Bereich“ können beispielsweise
Unterlagen hochgeladen, Anträge ausgefüllt und online verschickt werden. Darüber
hinaus gibt es ein elektronisches Postfach, in welchem eDokumente, die im Zusammenhang mit der Online-Kommunikation über den persönlichen Bereich entstehen,
abgelegt werden. Des Weiteren bietet die BARMER GEK Services, wie z. B. die elektronische Patientenquittung und den Zuzahlungsrechner.
Abbildung 2: Persönlicher Bereich BARMER GEK – Rubrik Formulare
Zurzeit sind 4 Sicherheits-Level für den Authentisierungsprozess realisiert (siehe Kapitel 3.2: Sicherheitsstufenkonzept der Online-Geschäftsstelle). Welches Level für
welchen Geschäftsprozess geeignet ist, hängt im Wesentlichen von dem erforderlichen Sicherheitslevel für die Transaktion der Daten und dem Schriftformerfordernis
ab. Die BARMER GEK hat im Rahmen einer Prozessanalyse beschlossen, das bestehende Stufenkonzept zur Registrierung für den persönlichen Bereich ihres We-
7
bauftrittes um das Verfahren „Identifikation mittels eID-Funktion des Personalausweises“ zu erweitern.
Ziel ist es, dass Versicherte mit hohem Sicherheitsanspruch die Authentisierung mittels der eID-Funktion nutzen können. Mit der Authentisierung mittels Online-AusweisFunktion, als neue Sicherheitsstufe 5, können auch Prozesse, die der Schriftform bedürfen, rechtsverbindlich online abgebildet werden – soweit nicht durch Rechtsvorschrift etwas anderes bestimmt ist (siehe Seite 5). Die BARMER GEK Versicherten
erhalten zukünftig - neben den bestehenden Authentisierungs-Verfahren - die Möglichkeit, sich für den Authentisierungsprozess mittels eID-Funktion zu entscheiden.
3.2. Sicherheitsstufenkonzept der Online-Geschäftsstelle
Im Webauftritt der BARMER GEK können Versicherte je nach ausgewähltem Sicherheitslevel verschiedene Verfahren zur Authentisierung nutzen. Zurzeit (Stand
1.9.2014) sind 4 Sicherheitsstufen realisiert. Versicherte können anonym ausschließlich Blankoanträge herunterladen. Mit der Authentisierung mit dem Personalausweis
mit Online-Ausweisfunktion, kommt eine weitere Stufe hinzu.
3.3. Ablaufprozess der Anmeldung mittels Online-Ausweis
Vor der Anmeldung mit der Online-Ausweisfunktion müssen die Nutzer selbst per
Klick zwischen „Registrierung“ und „Login“ entscheiden. Haben sich die User/innen
bei der Anmeldung nicht mit der Online-Ausweisfunktion registriert und wollen einen
Prozess auslösen, der der Schriftform bedarf, sind darauf hinzuweisen, dass eine Online-Abwicklung nur mit einer Anmeldung mit der Online-Ausweisfunktion möglich ist.
Einmalige Registrierung
Die Registrierung mittels eID-Funktion erfolgt grundsätzlich in 10 Schritten:
1.
Der Ausweisinhaber ruft den Webdienst der BARMER GEK auf.
2.
Der Webdienst der BARMER GEK leitet eine Authentisierungsanfrage an den
eID-Server weiter.
3.
Zwischen dem eID-Server sowie der Client-Software, dem Lesegerät und dem
Ausweis-Chip wird ein technisch sicherer Kanal aufgebaut und die Authentizität der BARMER GEK sowie die Authentizität und Integrität (Fälschungssicherheit) des Ausweises geprüft.
4.
Die Client-Software zeigt dem Ausweisinhaber das Berechtigungszertifikat der
BARMER GEK und die angefragten Ausweisdatenkategorien an.
5.
Mit der Eingabe seiner persönlichen sechsstelligen PIN bestätigt der Ausweisinhaber die Übermittlung der, aus dem Online-Ausweis, auszulesenden Da-
8
ten. Folgende Ausweis-Daten des Versicherten müssen für die Identifikation
als Versicherter ausgelesen werden: Vorname, Nachname und Geburtsdatum. Das Pseudonym wird ebenfalls ausgelesen und im Datenbestand der
BARMER GEK gespeichert, um das spätere Login für den User zu vereinfachen. 3 Das Pseudonym muss auch für den Fall gespeichert werden, dass die
BARMER GEK den Internetdienstleister wechselt und die Portierung der Daten nicht oder nicht schnell genug durchgeführt wird. Wäre dies der Fall, würden die Authentisierungsinformationen verloren gehen; was bedeuten würde,
dass sich die Versicherten wieder neu anmelden müssten.
6.
Die Ausweisdaten werden an den eID-Server übermittelt.
7.
Die Authentisierungsantwort und die Ausweisdaten werden ausgelesen. Der
eID-Server prüft die Authentisierungsergebnisse und entscheidet, ob die Authentisierung als erfolgreich anzusehen ist.
8.
Der eID-Server sendet eine Authentisierungsantwort und die Ausweisdaten an
die BARMER GEK.
9.
Die Versicherten erhalten die Mitteilung, dass sie sich erfolgreich authentisiert
haben, aber ihre Versichertennummer zur eindeutigen Identifikation noch angeben müssen. 4
10.
Identifikation: Mittels VNR werden dieselben Attribute des Versicherten aus
den Stammdaten des Internetauftrittes ausgelesen, die aus dem Ausweis
ausgelesen wurden und miteinander verglichen (somit wird sichergestellt,
dass die VNR auch zum Besitzer des Ausweises gehört).
Wird eine Mitgliedschaft festgestellt, erfolgt eine entsprechende Meldung an den User
und die einmalige Registrierung ist abgeschlossen.
3
Ein Telefonat mit dem Bundesverwaltungsamt ergab, dass die Speicherung des Pseudonyms bei der
Beantragung des Berechtigungszertifikates anerkannt wird.
4
Im Zusammenhang mit dem Antrag auf Mitgliedschaft würde dieses Verfahren i. d. R. so nicht funktionieren, da eine Person, die einen solchen Antrag online stellen würde, meist nicht bei der BARMER GEK
versichert ist. Es ist bei der weiteren Feinkonzeption zu entscheiden, wie mit diesem speziellen Geschäftsprozess verfahren werden soll, insbesondere im Hinblick auf den Antrag auf freiwillige Mitgliedschaft. Die Adressdaten sind in diesem Fall zusätzlich aus dem Ausweis auszulesen. Dies gilt es bei der
Beantragung des Berechtigungszertifikates zu berücksichtigen.
9
Abbildung 3: Beispielhafter Ablaufprozess „User will Ausweis erstmals nutzen“ über Rubrik „Jetzt registrieren“
10
Login
Bei jeder weiteren Session, die von den Nutzer/innen initiiert wird, erfolgt das Login mittels des Auslesens des eindeutigen Pseudonyms, das
bei der einmaligen Registrierung gespeichert wurde. Zusätzlich ist die Eingabe der PIN erforderlich. Das Pseudonym ist eine kryptische Zeichenkette, die eindeutig pro Diensteanbieter und Nutzer ist. Das bedeutet der Online-Personalausweis-User hätte bei der BARMER GEK ein
anderes Pseudonym, als bei einem anderen Diensteanbieter. Das Pseudonym wird im Chip des Personalausweises berechnet und es ist immer
gleich. Dazu werden ein Merkmal im Ausweis und ein Merkmal aus dem Berechtigungszertifikat des Anbieters verwendet. Anhand des eindeutigen Pseudonyms können die Nutzer/innen wiedererkannt werden, ohne dass nochmals persönliche Daten aus dem Ausweis ausgelesen werden müssen. Sollte eine eindeutige Identifikation fehlschlagen, sind die User zur Registrierung weiterzuleiten.
Abbildung 4: Beispielhafter Ablaufprozess „Login“ über Schnellzugriff „Formulare A-Z“ und Rubrik „Persönlicher Bereich“ auf der Homepage
11
Beispielhafter Ablaufprozess: Zugang über „Schnellzugriff“ und „Persönlicher Bereich“
Nicht registrierte Versicherte finden auf unterschiedlichen Wegen in den „Persönlichen Bereich“ und damit zu den jeweiligen Online-Prozessen.
Von der Startseite ausgehend können die User über die Rubriken „Persönlicher Bereich“ „Jetzt registrieren“, „Login für Mitglieder“ oder über der
Schnellzugriff zu den entsprechenden Online-Prozessen gelangen. Bei allen Wegen ist zu prüfen, ob ein entsprechender Hinweis zur Nutzung
der Online-Ausweisfunktion und den damit verbunden Online-Möglichkeiten und sicherheitstechnischen Vorzügen sinnvoll ist.
Abbildung 5: Beispielhafter Ablaufprozess „Formularauswahl“ über Schnellzugriff „Formulare A-Z“ und Rubrik „Persönlicher Bereich“ auf der Homepage
12
4.
Beantragung des Berechtigungszertifikates
4.1. Beantragungsweg
Zum Auslesen von Daten aus dem Personalausweis benötigt die BARMER GEK ein
sogenanntes Berechtigungszertifikat, das bei der Vergabestelle für Berechtigungszertifikate beim Bundesverwaltungsamt beantragt werden muss. Im Berechtigungszertifikat ist geregelt, zu welchem Geschäftszweck der Personalausweis von der BARMER
GEK eingesetzt werden darf und welche Daten aus dem Ausweis ausgelesen werden
dürfen. Die Gültigkeit dieses Zertifikats wird beim Aufruf der Online Funktion des Personalausweises von der AusweisApp (bzw. dem Chip im Personalausweis) geprüft.
Der Inhalt des Zertifikats (unter Anderem der Zweck des Auslesevorgangs) wird dem
Nutzer vor dem Auslesevorgang angezeigt. Wird ein Berechtigungszertifikat genehmigt, kann das Zertifikat technisch bei einem entsprechenden Zertifizierungsanbieter
eingerichtet werden.
Die Beantragung erfolgt schriftlich per Postident-Verfahren bzw. durch persönliche
Vorsprache bei der Vergabestelle für Berechtigungszertifikate (VfB) in Köln.
In den Beantragungsprozess sind drei Organisationen involviert: die Vergabestelle für
Berechtigungszertifikate (VfB) beim Bundesverwaltungsamt, der Berechtigungszertifikate-Anbieter und die BARMER GEK.
4.2. Notwendige Angaben für den Antrag des Berechtigungszertifikates
Angaben zur Identitätsfeststellung der BARMER GEK
 Juristische Personen
 Name, die Anschrift des Sitzes, die Unternehmensform und die Bevollmächtig-
ten, Kontaktdaten
 Kopie des Handelsregisterauszuges oder Errichtungsurkunde
 Angaben zu Personen/Firmen mit Wohnung oder Sitz außerhalb Deutschlands
 Beschreibung des Unternehmens und seiner Tätigkeitsfelder, Angaben der Un-
ternehmens-Webseite
 Beschreibung des BARMER GEK Diensteangebotes im Zusammenhang mit dem
Online-Ausweis
Zweck der Datenerhebung
Grundsätzlich sind drei Use-Cases für das Auslesen von Ausweisdaten relevant: 1.
der Erst-Registrierungsprozess, 2. die Durchführung von konkreten Online-
13
Geschäftsprozessen durch Versicherte und 3. die Durchführung von konkreten Online-Geschäftsprozessen durch Nicht-Versicherte (z. B. Antrag auf Mitgliedschaft). 5
Angabe der Datenkategorien und für jede Datenkategorie Geschäftszweck begründen
 Familienname
 Vorname
 Geburtsdatum
 Pseudonym
 Adresse bei Nicht-Versicherten
BARMER GEK - Angaben zum Datenschutz und Datensicherheit
 Name und E-Mail-Adresse des betrieblichen Datenschutzbeauftragten nach § 4f
BDSG
 Name, Sitz, Anschrift, Telefonnummer, E-Mail-Adresse der zuständigen Daten-
schutzaufsichtsbehörde
 IT-Sicherheitskonzept für die relevanten IT-Systeme
 IT-Sicherheitsbeauftragter
 Datenschutzkonzept und Auftragsdatenverhältnis(i.S.d. § 11 BDSG) mit beauf-
tragten Dienstleistern
5
Bei Online-Prozessen mit Nicht-Versicherten geht es zum einen um die zusätzlich auszulesenden
Adressdaten und zum anderen um die Verwendung der Unterschriftsfunktion des Online-Ausweises im
Zusammenhang mit dem Antrag auf freiwillige Mitgliedschaft. Es ist zu prüfen, wie der Use-Case „Antrag
auf freiwillige Mitgliedschaft“ zu einem späteren Zeitpunkt weiterentwickelt werden soll.
14
5.
IT-Lösungsskizze
5.1. Komponenten des Online-Ausweis-Login
Voraussetzung für die Bereitstellung eines Ausweis-Login durch die BARMER GEK,
ist die Einbindung der Schnittstelle eID-Anbindung (Java-Bibliothek, diese wird auch
als Konnektor bezeichnet), welche die Authentisierungsanfrage und -antwort zum
eID-Server übernimmt. Die folgende Abbildung stellt die Komponenten für ein Login
mittels Online-Ausweis und den Ablauf einer Authentisierungsanfrage und Authentisierungsantwort dar:
Abbildung 6: Komponenten des Login mittels eID-Funktion
5.2. Integration der Online-Ausweis-Funktion des Personalausweises in
das bestehende Sicherheits-Stufen-Konzept
Nach erfolgreicher Authentisierung und Identifikation des Versicherten, ist diesem für
die aktuelle Session die passende Rolle (WEB-VERSICHERTER-NPA) zuzuweisen.
Eine Vererbungslogik analog zur Beziehung WEB-Versicherter-Registriert/WebVersicherter-Aktiviert (Sicherheitsstufen 2 – 4) muss implementiert werden – allein per
Konfiguration lässt sich dies aktuell nicht lösen. (Zu beachten sind die möglichen Ab-
15
hängigkeiten zu bereits vorhandenen BAS-Anwendungen und CoreMedia, welche für
die bereits vorhandenen Rollen konfiguriert sind.)
Die vom Login abhängige Rolle wird in der aktuellen Session hinterlegt. Da sie nur in
der Session und nicht permanent hinterlegt wird, ist gesichert, dass sich ein Versicherter jederzeit auch für das alternative Standard-Login registrieren und aktivieren
kann. Er darf nicht automatisch aufgrund einer eID-Anmeldung aktiviert werden, da
für die alternativen Login-Varianten erst zu beweisen ist, dass es sich um denselben
Versicherten handelt, der bereits per Ausweis angemeldet war. Das bedeutet, dass
ein Versicherter, je nach aktuell verwendetem Login-Verfahren, mit verschiedenen
Sicherheitsleveln angemeldet sein kann und entsprechend in unterschiedlichem Umfang für die Online-Prozesse berechtigt ist. 6
5.3. Fehlermöglichkeiten
Fehlermöglichkeit beim Authentisierungsprozess mittels Online-Ausweis
Fehlerzustände, die bei der Bearbeitung einer Anfrage an die eID-Schnittstelle
auftreten, werden an die Web-Anwendung der BARMER GEK gemeldet. Versicherte erhalten seitens der BARMER GEK eine entsprechende Information. Da
der eID-Server-Anbieter zum jetzigen Zeitpunkt noch nicht ausgewählt wurde,
können die konkreten Fehlercodes u. U. von den hier dargestellten FehlercodeStandards abweichen. Entsprechend des auftretenden Fehlers erhalten die User
eine Meldung. Treten Fehler im Kontext der Nutzung der AusweisApp auf, können
sich Versicherte unter https://www.ausweisapp.bund.de informieren und Probleme
melden. Hierzu ist ein entsprechender Hinweis auf der BARMER GEK – Webseite
zu setzen. Die kostenfreie Sperrnotrufnummer 116 116 ist ebenfalls zu kommunizieren. Im Folgenden sind die Fehlermöglichkeiten tabellarisch dargestellt:
Fehlercode
.../common#internalError
.../useID#invalidPSK
Fehlerbeschreibung
Interner Fehler.
Ein Fehler ist aufgetreten,
der nicht mit den Fehlercodes abgebildet werden
kann.
Der initiale Pre-Shared Key
(PSK) ist ungültig.
Fehlermeldung
Nutzer bekommt eine Fehlermeldung, dass der Ausweis aufgrund eines technischen Problems nicht ausgelesen werden konnte.
Technische Fehlermeldung
6
Hier ist zu unterscheiden zwischen Identifikation und Berechtigung in der aktuellen Session (Anmeldung) aufgrund der aktuell gewählten Login-Variante/Anmeldung: Wenn ein Versicherter sich mit dem
Personalausweis mit Online-Ausweisfunktion anmeldet und alles machen darf (WEB-VERSICHERTERNPA), kann es sich bei seiner nächsten Anmeldung per 4-Felder-Login um einen „Identitäten-Diebstahl“
handeln (weil jemand seine Karte gefunden hat). Daher muss jedes Mal neu – je nach verwendeter Sicherheitsstufe bei der Anmeldung – entschieden werden, welche Rolle vergeben wird und welche Berechtigungen vorliegen. Dies wird dadurch gewährleistet, dass die Rolle immer nur für eine Session und
nicht dauerhaft gespeichert wird.
16
.../useID#tooManyOpenSessions
.../useID#missingArgument
.../useID#missingTerminalRights
.../getResult#noResultYet
.../getResult#invalidSession
.../getResult#invalidCounter
.../getResult#invalidDocument
Der von der WebAnwendung an den eIDServer übertragene PSK ist
ungültig und kann vom eIDServer nicht verarbeitet werden.
Zu hohe Auslastung.
Wegen zu hoher Auslastung
des eID-Servers konnte die
Anfrage nicht bearbeitet
werden.
Notwendige Parameter des
Funktionsaufrufs fehlen.
Die Funktion AgeVerification
oder PlaceVerification wurde
ausgewählt, die entsprechenden Request-Elemente
fehlen in der Anfrage.
Notwendige Rechte fehlen.
Die für die Beantwortung der
Anfrage notwendigen Rechte fehlen im TerminalBerechtigungszertifikat.
Die Anfrage ist noch nicht
abgeschlossen.
Der eID-Server kann diese
Anfrage noch nicht beantworten. Zu einem späteren
Zeitpunkt kann der Funktionsaufruf erfolgreich sein.
Die verwendete Session-ID
ist ungültig.
Die Session ist abgelaufen
oder wurde beantwortet und
somit gelöscht.
Der requestCounter wurde
nicht korrekt inkrementiert.
Die Anfrage ist ungültig und
wird nicht bearbeitet, da der
requestCounter kleiner oder
gleich dem zuletzt bearbeiteten Wert ist.
Der verwendete Personalausweis (PA)ist ungültig.
Durch die Überprüfung der
Sperrliste wurde festgestellt,
dass der verwendete PA ungültig ist.
Keine Fehlermeldung. Abfrage
Timeout – Meldung: Nutzer/in soll den Personalausweis nochmals auflegen.
Die Nutzer bekommen eine
Meldung, dass der Ausweis
gesperrt ist, defekt oder ungültig ist und das dieser daher erst nach Entsperren im
BARMER GEK Webauftritt
verwendet werden kann.
Überblick von Fehlercodes: vgl: Technische Richtlinie BSI, S. 41
Fehlermöglichkeiten beim Identifikationsprozess
Folgendes kann passieren: Die Versichertennummer wird nicht gefunden oder das
gespeicherte Pseudonym und die Versichertennummer passen nicht zusammen. Die
Versicherten sollten entsprechende Hinweise erhalten. Wie in diesem Fall konkret zu
verfahren ist, ist bei der Feinkonzeption zu berücksichtigen.
Fehlerhaftes Pseudonym beim Login mittels Personalausweis
Haben Versicherte einen neuen Online-Ausweis, ist das bei der BARMER GEK gespeicherte Pseudonym nicht mehr gültig, da das Pseudonym kartengebunden ist. U-
17
ser müssen in diesem Fall eine entsprechende Information erhalten, dass sie sich z.B.
neu registrieren müssen. Wie in diesem Fall konkret zu verfahren ist, ist bei der Feinkonzeption final zu klären.
5.4. Erweiterung Profilapplikation und Backend Applikation Server
(BAS)
Login-Seite
Die fachlichen Anforderungen (Siehe Abschnitt 3) sind entsprechend umzusetzen. Die
Entscheidung darüber, wie die Nutzeransicht gestaltet wird, richtet sich nach der in
nächster Zeit anstehenden Weiterentwicklung des Gesamtkonzeptes zur Authentisierung und Authentifizierung am Online-Portal der BARMER GEK.
eID-Anbindung
Damit das PA-Login-Formular die Authentisierungsanfrage – über den Browser und
die Ausweis-APP des Versicherten – an den eID-Server weiterleiten kann (siehe Abbildung 6, 2a – 2c), muss die eID-Anbindung mittels der verfügbaren Java-Bibliothek
umgesetzt werden. Hierbei wird auch von PA-Connector gesprochen.
Diese Java eID-Anbindung nimmt anschließend auch die Authentisierungsantwort
entgegen und verarbeitet diese (siehe Abbildung 6, 4a – 4c).
6.
Beauftragung der externen Dienstleister
6.1. … für die Anwendungsentwicklung
Hier sind im Rahmen des Implementierungsprozesses, mit dem für die OnlineGeschäftsstelle zuständigen externen Dienstleister der BARMER GEK, die Aufgaben
und die Finanzierung zu klären.
6.2. … für das Berechtigungszertifikat
Folgende Anbieter von Berechtigungszertifikaten sind aktuell auf
http://www.berechtigungszertifikat.de (Stand Ende April 2014) registriert:
Name
Adresse
Webauftritt
D-Trust D-TRUST
GmbH
Kommandantenstr. 15,
10969 Berlin
http://www.d-trust.net
T-Systems International GmbH (Deutsche
Telekom AG)
Hahnstr. 43d, D-60325
Frankfurt am Main
http://www.telesec.de
18
6.3. … für den eID-Server
Der eigentliche Auslesevorgang aus einem Personalausweis wird nicht durch eine
Anwendung der BARMER GEK durchgeführt, sondern wird nur durch einen sogenannten eID-Server geschehen. Der eID-Server ermöglicht es Diensteanbietern, die
Online-Ausweisfunktion in ihre bereits existierenden IT-Systeme zu integrieren. Er
steuert die elektronische Kommunikation zwischen dem persönlichen Bereich der
BARMER GEK und dem neuen Personalausweis der Versicherten. Das bedeutet, er
übernimmt die sichere Kommunikation mit der Client-Software (z.B. AusweisApp) und
dem Personalausweischip und gibt ausgelesene Daten an den Dienst weiter.
Der eID-Server wird von der BARMER GEK über eine technische Schnittstelle angesprochen und liest dann die Daten aus dem Personalausweischip aus (unter Vorlage
des Berechtigungszertifikats beim Chip des Personalausweises). Aufgrund der engen
Kopplung zwischen Berechtigungszertifikat und eID-Server werden Serverkomponenten und technisches Zertifikat häufig als Komplettpaket angeboten.
Eine Übersicht über am Markt verfügbare eID-Server Anbieter findet sich hier:
Name
Adresse
Webauftritt
AGETO
Winzerlaer Straße 2
07745 Jena
http://www.ageto.de/
Siemens AG, Siemens IT Otto-Hahn-Ring 6,
Solutions and Services
81739 München
http://www.siemens.com
Deutsche Post Com
GmbH, Geschäftsfeld
Signtrust
Postfach 10 01 13,
64202 Darmstadt
http://www.deutschepost.de
media transfer AG
Dolivostrasse 11,
64293 Darmstadt
http://www.mtg.de
init AG für Digitale Kommunikation
Köpenicker Str. 9,
10997 Berlin
http://www.init.de
Bundesdruckerei GmbH
Oranienstraße 91, D10969 Berlin
http://www.bundesdruckerei.
de
Governikus GmbH & Co.
KG
Am Fallturm 9, 28359
Bremen
http://www.governikus.com
19
7.
Kostenkalkulation: Schätzung Stand Mai 2014
Folgende Kosten werden für die Implementierung der Online-Ausweis-Funktion geschätzt.
Tätigkeiten
Einmalige Kosten
Anpassungen des Sicherheitskon-
5 PT
Jährliche Kosten
zeptes
Kosten für den eID-Server mit Be-
ca. 12.000 €
rechtigungszertifikat, Infrastruktur
und Testumgebung
Anwendungsentwicklung:
 Fachkonzept für den Im-
plementierungsteil auf
ca. 30 Personentage
+ ggf. weitere Abstimmungskosten
WLX.
 Abstimmung mit Back-
End- Applikation ServerTeam, Erweiterung der
Spezifikation des FormClients
Abstimmung bzgl. TestInfrastruktur
Gebühren Vergabestelle Bundes-
ca. 150 €
verwaltungsamt
20
8.
Verwendete Quellen
 http://www.personalausweisportal.de/SharedDocs/Downloads/DE/Ergebnisdokum
ente/Moerfelden-Walldorf_Architekturkonzept.pdf?blob=publicationFile
 http://www.die-eid-funktion.de/
 http://www.bmi.bund.de/DE/Themen/IT-Netzpolitik/E-Government/E-Government-
Gesetz/e-government-gesetz_node.html
 http://www.berechtigungszertifikat.de/beantragung_eines_berechtigungszertifikate
s.php
 http://www.berechtigungszertifikat.de/berechtigungszertifikat_eID_Server_eID_Se
rvices.php
 http://www.personalausweisportal.de/DE/Verwaltung/Technik/Online-Ausweisen/
 https://www.bsi.bund.de/DE/Themen/ElektronischeAusweise/TechnRichtlinien/tru
ndschutzprofile_node.html
 http://www.personalausweisportal.de/SharedDocs/Downloads/DE/Material-
Dienstleister/anwenderhandbuch.pdf?__blob=publicationFile
 http://www.die-eid-
funktion.de/downloads/Checkliste_zur_Sperrung_des_neuen_Personalausweises_bzw
_zur_Sperrung_der_eID_Funktion.pdf
 http://www.bva.bund.de/DE/Organisation/Abteilungen/Abteilung_S/nPA/Sperrman
agement/node.html
 https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03130/tr-
03130.html
 KommWis: IT-Sicherheitskonzeption zum Betrieb der Online-Bürgerdienste (OBD)
in Rheinland-Pfalz
 KommWis: OBD Ergänzende Sicherheitsanalyse
 KommWis: OBD Schutzbedarfsanalyse nach BSI-Grundschutz
 http://www.oeffentliche-
it.de/documents/18/12578/Personalausweis+Datenschutz+und+Datensicherheit
 http://www.oeffentliche-it.de/documents/18/12578/Personalausweis+eID-
Server+und+eID-Service
21
Herausgeber
Bundesministerium des Innern
IT-Stab, Referat ITI4
Alt-Moabit 101 D, 10559 Berlin
Bezugsquelle
Bundesministerium des Innern
E-Mail: [email protected]
Internet: www.personalausweisportal.de und www.de-mail.de
Tel.: +49.030.18681.0
Fax: +49.030.18681.2926
Veröffentlicht
Oktober 2014
HINWEIS
Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der Ergebnisdokumente,
die im Rahmen der E-Government-Initiative für De-Mail und den Personalausweis erstellt wurden.
Bitte wenden Sie sich bei inhaltlichen Fragen direkt an die hier genannten Ansprechpartner.
Verantwortlich für den Inhalt dieses Ergebnisdokumentes
BARMER GEK
Frau Kirsten Brachtendorf
Lichtscheider Str. 89, 42285 Wuppertal
Tel.: 0800.332060.99.3921
E-Mail: [email protected]
Internet: www.barmer-gek.de
Diese Veröffentlichung ist Teil der Öffentlichkeitsarbeit der Bundesregierung.
Sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt.

E-Government-Initiative für De

Transcription

Documents pareils

Neu ab 01.01.2012: Hautscreeningvertrag mit der Barmer GEK

Landessportverband Schleswig-Holstein e. V. Winterbeker Weg 49

BARMER GEK Kostenerstattung

Rundschreiben Berlin vom August 2005

Barmer TV 1846 Wuppertal Anmeldung

Ansprechpartner der einzelnen Ersatzkassen nach § 301 SGB V

März 2014 - Kassenärztliche Vereinigung Nordrhein

Vortrag Hr. Menn - AMD-Netz

Satzung des Sportvereins “Barmer Turngemeinde 1863 e.V.“