Samsung, BSI, Bundesdruckerei und Telekom Security bringen gemeinsam Personalausweis aufs Smartphone

Samsung Galaxy S20 ist erstes mobiles Gerät mit sicherem Chip für mobile eID-Lösung in Deutschland + Hardware-basierter Schutz für die mobile eID + System für BSI-zertifizierte Drittanbieter zugänglich + Weitreichende Anwendungsszenarien möglich

Samsung Electronics, das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Bundesdruckerei (bdr) sowie die Deutsche Telekom Security GmbH bringen den elektronischen Personalausweis auf ausgewählte Samsung Galaxy Smartphones. Geplant ist dies noch im Laufe des Jahres, sobald die mobile eID-Lösung in Deutschland verfügbar ist. Im Rahmen der langjährigen Zusammenarbeit mit den deutschen Behörden bei der E-Government-Initiative hat Samsung gemeinsam mit den genannten Partnern die technischen Grundlagen für den kommenden Roll-out gelegt und eine hardwarebasierte Sicherheitsarchitektur entwickelt. Sie ermöglicht es den Bürgern, den Personalausweis als eID sicher auf dem eigenen Smartphone zu speichern. Nach der ersten Anmeldung wird der Personalausweis an einen sicheren Ort im Gerät übertragen.

Schützen, was wichtig ist

Die eigene Identität ist das höchste persönliche Gut. Um sicherzustellen, dass sie gut geschützt ist und Informationen der Bürger sicher aufbewahrt sind, muss die mobile eID-Lösung die strengen Sicherheitsanforderungen des BSI erfüllen. Deshalb haben die vier Partner eine ganzheitliche Architektur entwickelt, in deren Mittelpunkt das Fundament der Smartphone-Sicherheit steht – die Hardware. Dank eines sicheren Chips, der direkt in das Smartphone eingebaut ist, können Informationen lokal auf dem Gerät gespeichert werden und die Nutzer über die Verwendung ihrer Daten selbst entscheiden.

„Neben dem Personalausweis besitzt fast jeder Bürger in Deutschland auch ein Smartphone. Durch das Projekt OPTIMOS und in Kooperation mit Samsung und der Deutschen Telekom Security haben wir jetzt die Möglichkeit, das hohe Vertrauensniveau des physischen Dokuments mit der Nutzerfreundlichkeit des Smartphones zu verbinden“, sagt Dr. Stefan Hofschen, CEO der Bundesdruckerei. „Wir schaffen damit die Basis, um Souveränität und Vertrauen in einer stetig ,digitaler‘ und ,mobiler‘ werdenden Welt sicherzustellen. Digitale hoheitliche Identitäten und Berechtigungen können so zukünftig selbstbestimmt vom Bürger über die dazu von der bdr bereitgestellte App genutzt und verwaltet werden.“

Eine offene Sicherheitsplattform

Die mobile eID-Lösung wurde im Rahmen des Förderprojekts OPTIMOS 2.0 entwickelt. Ziel ist es, ein offenes Ökosystem zu schaffen, das die Technologie und Infrastruktur für eine sichere mobile Authentifizierung bereitstellt. Daher war es allen Partnern wichtig, dass die zugrundeliegende Sicherheitsarchitektur verschiedenen Anbietern von Identitätsdiensten offensteht.

„Je mehr wir unsere Lebens- und Arbeitswelt digitalisieren, desto wichtiger ist es, die eigene digitale Identität zu schützen. Folgerichtig entwickelt, fördert und zertifiziert das BSI eID-Lösungen und -Technologien, die dazu beitragen, die digitale Identität der Menschen zu schützen. Im Rahmen von OPTIMOS 2.0 war es unsere Aufgabe, die notwendigen Komponenten, Interfaces und Abläufe zu standardisieren, damit die entwickelte Technologie hohe Sicherheitsstandards erfüllt und für möglichst viele Endnutzer zur Verfügung steht“, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik.

Um dieses Ziel eines offenen Ökosystems zu erreichen, stellt Samsung das Software Development Kit (SDK) zu seinem eingebetteten Secure Element (eSE) Dritten zur Verfügung. (1)  Dies ermöglicht Service Providern und Anwendungsentwicklern, Applets für Trusted Service Manager (TSM) zu erstellen, die in die sichere, auf Chipsätzen basierende und für hoheitliche Anwendungen zertifizierte Plattform (2) geladen werden können. Als Ergebnis können Anwendungen und Dienste nahtlos mit dem eID-Programm zusammenarbeiten – die Voraussetzung für den Schutz der Informationen.

„Gemeinsam mit Samsung und der Bundesdruckerei haben wir ein umfassendes Ökosystem für sichere mobile Identitäten geschaffen. Dieses nutzt die Trusted Secure Elements der Smartphones für die Speicherung fälschungssicherer Identitätsinformationen. Für den Transport der Identitäten und die Datenspeicherverwaltung und damit das Life Cycle Management von jeder eID wird unser neu entwickeltes Trusted Service Management System eingesetzt, das die Basis für eine Vielzahl weiterer sicherer Anwendungen liefert“, so Thomas Fetten, CEO der Deutsche Telekom Security GmbH.

Samsung Galaxy S20: Das erste Gerät, das die neuen Sicherheitsanforderungen erfüllt

Die Smartphones der Samsung Galaxy S20-Serie, einschließlich das Galaxy S20, Galaxy S20+ und Galaxy S20 Ultra, werden die ersten sein, die sich zum eID Security Framework (3) des BSI für hoheitlichen Einsatz konform erklären können. Dank der im Samsung Galaxy S20 eingebetteten Sicherheitsarchitektur bietet die eID Lösung eine Sicherheitsstufe bis zum Niveau „substantial“ (4) gemäß eIDAS-Verordnung der EU. Diese Verordnung soll sicherstellen, dass EU-Bürger ihre nationalen eIDs grenzüberschreitend verwenden können und Missbrauch oder Änderungen der von den Regierungen ausgestellten Ausweise verhindert werden.

Die Galaxy S20-Serie bietet die höchste verfügbare Verschlüsselungsstufe, wie das kürzlich erhaltene Common Criteria Evaluation Assurance Level (CC EAL) 6+ (5) zeigt. Sie ist die neueste Serie von Samsung, die durch das branchenführende eSE gesichert wird. Weitere Modelle werden folgen. Das eSE speichert sensible Daten wie Kreditkarteninformationen, Dokumente und Schlüssel sicher auf dem Gerät und isoliert sie für maximalen Schutz. Wie ein Safe bietet ein separater Sicherheitsprozessor eine zusätzliche Sicherheitsebene, die zur Abwehr von Hardware-Angriffen entwickelt wurde. Damit wird der Zugriff auf die auf dem Gerät gespeicherten Informationen und das Kopieren der Daten verhindert.

„Wir sind unglaublich stolz darauf, dass unsere Samsung Galaxy S20-Serie als erstes Mobilgerät überhaupt die hohen Sicherheitsstandards des BSI für eID-Anwendungen im hoheitlichen Bereich erfüllt. Wir streben stets danach, unseren Kunden den höchstmöglichen Schutz zu bieten. Im Zuge der fortschreitenden Digitalisierung ist es unser Ziel, sicherzustellen, dass Mobilfunknutzer auf der ganzen Welt diese neuen Lösungen mit der Gewissheit genießen können, dass wir ihre Informationen sicher aufbewahren“, sagt Daniel Ahn, Corporate SVP und Leiter des Sicherheitsteams bei Mobile Communications Business bei Samsung Electronics.

So kann es mit der mobilen eID weitergehen

Die Online-Ausweisfunktion für den Personalausweis ist erst der Anfang. Mit der Möglichkeit, nicht nur den Ausweis, sondern auch andere wichtige Dokumente wie Führerschein, Krankenversicherungskarte oder sogar die Auto- und Wohnungsschlüssel auf dem Mobiltelefon zu hinterlegen, sind weitreichende Szenarien und Anwendungsfälle denkbar: mit dem Smartphone auf medizinische Unterlagen zugreifen oder ein Bankkonto eröffnen.

Der schnelle Weg zur Registrierung (6)

Die mobile Online-Ausweisfunktion wird für deutsche Bundesbürger mit einem Samsung Galaxy S20, Galaxy S20+ und Galaxy S20 Ultra zur Verfügung stehen. Nachdem sie die mobile Personalausweis-App der Bundesdruckerei aus dem Google Play Store heruntergeladen und installiert haben, können Galaxy S20-Besitzer ihren NFC-fähigen Personalausweis an die Rückseite des Smartphones halten, um ihre Identität zu bestätigen. Nach erfolgreicher Verifizierung wird die eID sicher im Gerät gespeichert und könnte zur Eröffnung eines Bankkontos, zur Nutzung von E-Government-Diensten und vielem mehr verwendet werden. (7)

(1)    Samsung Developers, Samsung eSE SDK, https://developer.samsung.com/ese/overview.html  
(2)    https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Sicherheitskatalog-eIDs_281019.html
(3)    https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03159/tr03159_node.html;jsessionid=958104D96504D3A5A1CBF1A320C18EE8.2_cid503
(4)    Substantial ist die zweite von drei (low, substantial, high) Sicherheitsstufen, die im Rahmen der eIDAS-Verordnung in der EU vergeben werden.
(5)    https://www.samsung.com/semiconductor/newsroom/news-events/samsung-elevates-data-protection-for-mobile-data-with-new-security-chip-solution/
(6)    Diese Beschreibung bezieht sich auf die Registrierung in Deutschland. Diese ist von Land zu Land unterschiedlich.
(7)    Vorbehaltlich der Verfügbarkeit des Dienstes.

Autor: kro