- 1 -

Citizen Digital Assistant (CDA) - Ein sicherer Zugang zu e-Government - Diensten

Nico Maibaum1, Igor Sedov2 und Clemens H. Cap

Universität Rostock, Fachbereich Informatik Lehrstuhl für Informations- und Kommunikations-

dienste3

Albert-Einstein-Str. 21, 18059 Rostock

{maibaum, igor, cap}@informatik.uni-rostock.de

Marc Haase2 und Dirk Timmermann

Universität Rostock, Fachbereich Elektrotechnik und Informationstechnik, Institut für Angewandte Mikroelektronik

und Datentechnik

Richard-Wagner-Str. 31, 18119 Rostock-Warnemünde {marc.haase, dirk.timmermann}@etechnik.uni-rostock.de

1 Unterstützt durch die Heinz-Nixdorf Stiftung und durch das fünfte Rahmenprogramm der EU, Projekt FASME, IST-1999-10882 2 Unterstützt durch die Deutsche Forschungsgemeinschaft (DFG), SPP1079, Sicherheit in der Informations- und Kommunikationstechnik 3 Unterstützt durch die Heinz-Nixdorf Stiftung

Zusammenfassung Dieser Artikel stellt unseren Lösungsansatz für ein sicheres Bürgergerät vor, das zur Kommu-nikation mit Behörden und öffentlichen Institutionen eingesetzt werden kann. Dieses Gerät nennen wir Citizen Digital Assistant (CDA). Der CDA ist vergleichbar mit einer Kombination aus Mobiltelefon und PDA und ermöglicht den sicheren und vertrauenswürdigen Zugang zu e-Government – Dienstleistungen. Zur Gewährleistung von Sicherheit in e-Government Anwendungen haben wir fünf Module identifiziert, die wir im Folgenden als Frameworks bezeichnen. Das Subscriber Identity Fra-mework dient zur Verwaltung der Identität des Bürgers und zur Zugriffskontrolle auf den CDA. Das Secure Document Management Framework gewährleistet die Administration elekt-ronischer Dokumente und Credentials. Das Monitoring and Confidentiality Framework über-wacht die Systemfunktionen. Das Cryptographic Framework stellt Integrität, Authentizität und Vertraulichkeit sicher und das Communication Framework ermöglicht den Einsatz diver-ser drahtloser Kommunikationstechnologien. Des Weiteren veranschaulichen wir die prototypische Implementierung unseres Bürgergerä-tes. Keywords: E-Government, mobile Kommunikation, Sicherheit, elektronische Dokumente,

digitale Identität, Credentials 1. Einleitung Kosteneinsparungen, die Schaffung von mehr Transparenz, die Vereinfachung von Ver-waltungsprozessen und die Erhöhung der Bürgerfreundlichkeit sind nur einige Schlagwörter, welche die aktuellen Bestrebungen beim e-Government widerspiegeln. "Die Wettbewerbs-fähigkeit eines Landes und die Lebensqualität für die Bürgerinnen und Bürger hängen auch davon ab, wie gut und wie schnell der Staat Dienstleistungen erbringt", sagte Deutschlands Innenminister Otto Schily auf der Messe "Effizienter Staat" in Berlin im Jahre 2001. Ein Ziel in Deutschland und England ist es unter anderem, alle onlinefähigen Dienstleistungen des Bundes bis zum Jahre 2005 auch online anzubieten. Hierzu zählen die Onlineportale www.bund.de, www.ukonline.gov.uk und die elektronische Steuererklärung ELSTER (www.elster.de). Rund 90% aller Bestrebungen zur Umsetzung von Government in e-Government erfolgen über Onlineportale. Der Zugang zu diesen Dienstleistungen (Services)

- 2 -

erfolgt über den heimischen PC via Internet oder über diverse Arten von lokal installierten Kiosksystemen. Beispiel 1 - Identität eines Bürgers Der Einsatz der digitalen Signaturkarte soll überall eine eindeutige Identifikation und rechts-verbindliche elektronische Unterschrift ermöglichen. Die Zugangssicherung zu eindeutigen Identifikationsmerkmalen erfolgt über ein Passwort oder über eine Personal Identification Number (PIN). Diese sind auf einem entsprechenden Token hinterlegt, wie z.B. einer Smart-Card. Die Identifizierung und anschließende Authentifizierung erfolgt daher über etwas, was der Benutzer „besitzt“ (Token) und etwas, was er „weiß“ (PIN). An dieser Stelle entsteht das Problem, dass jede beliebige Person, die in den Besitz des Tokens gelangt und das Zugangs-wort kennt, sich für eine andere Person ausgeben kann. Durch eine gestohlene Signaturkarte und ausgespähte PIN ist es somit möglich, eine rechtsverbindliche Unterschrift unter falscher Identität zu leisten. Ob dieser Sachverhalt für die hohen Sicherheitsanforderungen im staatli-chen Bereich ausreichend ist, erscheint mehr als fraglich. Beispiel 2 - Digitale Signaturen Die zur Zeit auf dem Markt erhältlichen Signaturkarten besitzen kein eigenes Display. Dieses hat zur Folge, dass der Benutzer dem dahinter liegenden System beim Einsatz der Signatur-karte vertrauen muss (Kartenterminal, angeschlossener PC usw.), dass das, was er signiert, auch wirklich das ist, was er zuvor auf dem Bildschirm gesehen hat. Gerade Trojanische Pfer-de und diverse Computerviren stellen eine Gefahr dar, da sie den zu signierenden Datenstrom austauschen können. Die Anforderung „What You See Is What You Sign“ (WYSIWYS) kann mit den zur Zeit verfügbaren Produkten nicht zuverlässig gewährleistet werden. Beispiel 3 - Digitale Dokumente und Credentials Im e-Government existieren zahlreiche Dokumente, Berechtigungen und Vollmachten. So gibt es unter anderem Urkunden (Geburts-, Heirats- und Sterbeurkunden), Zeugnisse (allge-meine Hochschulreife, Diplom, Promotion), Visa und Parkberechtigungen. Papierbasierte Dokumente kann der Bürger selber im Aktenordner abheften. Die auf SmartCards basierten Lösungen haben nicht genügend freien Speicherplatz, um alle elektronischen Dokumente auf der Karte zu speichern. Was soll mit diesen elektronischen Dokumenten geschehen? Die in diesem Beispiel bereits erwähnten Berechtigungen und Vollmachten stellen das zweite Problem dar. Zum Teil sind Berechtigungen und Vollmachten weitergebbar (z.B. Parkberech-tigungen) und zum Teil sind sie zwar weitergebbar, aber nicht übertragbar (z.B. Führerschei-ne). Dieses sind nur zwei Beispiele für elektronische Dokumente mit entsprechenden Rechten und Berechtigungen, die das digitale Pendant zu papierbasierten Vollmachten, Rechten und Be-rechtigungen darstellen. Wie sollen diese auch als Credentials [CM01] bezeichneten Doku-mente verwaltet, erstellt, überwacht und weitergegeben werden? Ohne Lösung der zuvor geschilderten Probleme ist ein sicheres und vertrauenswürdiges Be-nutzen von e-Government - Dienstleistungen nicht möglich. In diesem Artikel stellen wir unseren Lösungsansatz vor und präsentieren unser Konzept eines Bürgergerätes. Dieses nennen wir CDA (Citizen Digital Assistant). Der CDA ist ein mobiles Kleingerät, vergleichbar mit einer Kombination aus Mobiltelefon und PDA. Es ermöglicht den sicheren und vertrauenswürdigen Zugriff auf e-Government - Dienste. Zur Gewährleis-tung dieser Sicherheit haben wir fünf Module identifiziert, die in Kapitel 2 vorgestellt werden. Dieses sind das Subscriber Identity Framework zur Verwaltung der Identität des Bürgers und zur Zugriffskontrolle auf den CDA, das Secure Document Management Framework zur Ad-ministration elektronischer Dokumente und Credentials, das Monitoring and Confidentiality

- 3 -

Framework zur Überwachung der Systemfunktionen, das Cryptographic Framework zur Gewährleistung von Integrität, Authentizität und Vertraulichkeit und das Communication Framework für den Einsatz diverser drahtloser Kommunikationstechnologien. In Kapitel 3 beschreiben wir die prototypische Implementierung unseres Bürgergerätes. Kapi-tel 4 fasst unsere Ergebnisse zusammen und veranschaulicht die Vorteile der Nutzung eines Citizen Digital Assistants für Bürger und öffentliche Verwaltungen. 2. Frameworks Die Identität einer Person in der realen Welt umfasst mehr als die im Personalausweis amtlich bestätigten fundamentalen Identitätsmerkmale. Vielmehr ist sie die Reflektion des Verhaltens und der Beziehungen einer Person zu weiteren Personen und Institutionen. Die fundamentalen Identitätsmerkmale dienen bei diesen Beziehungen als Referenz auf die jeweilige Person, um zu einem späteren Zeitpunkt Zuordnungen treffen zu können. Um in der realen Welt Informationen über die Identität einer Person zu bekommen, muss man zu dieser Person eine Beziehung aufbauen, z.B. mit der Person in direkten Kontakt treten. Welche Informationen über die reale Identität von der Person abgegeben werden, hängt von Zweck und Art der Beziehung ab. Als Ergebnis liegt ein Profil der Person vor, das nur die Informationen über die reale Identität enthält, die zur Erfüllung des Zweckes erforderlich sind. Die Aufbewahrung der gesammelten Profilinformationen erfolgt nur zu einem kleinen Teil elektronisch (z. B. im Organizer, PDA oder Mobiltelefon). Der größere Teil wird im Be-wusstsein der Personen aufbewahrt. Die Art der Aufbewahrung der Informationen ist daher mit einer dezentralen Speicherung vergleichbar. Außenstehende Personen können nur mit hohem technischen Aufwand versuchen, an die elektronisch gespeicherten Informationen he-ranzukommen. Rückschlüsse auf stattgefundene Beziehungen sind fast unmöglich. Im Gegensatz zur realen Welt erfolgt die Speicherung von Daten in der digitalen netzbasierten Welt vollständig elektronisch. Eine Person, die über das Internet kommuniziert, gibt ver-gleichbar zur realen Welt Informationen über ihre reale Identität weiter. Die Exklusivität der Information ist jedoch nicht wie in der realen Welt gewährleistet, da außenstehende Personen mit viel einfacheren Mitteln den Informationsfluss abhören können. In Abhängigkeit vom verwendeten Kommunikationsmedium (Email, Newsgroup, Chat etc.) werden diese Informationen teilweise dauerhaft gespeichert, sind jederzeit abrufbar und elektronisch durchsuchbar. Dadurch ist es möglich, ohne zuvor mit einer Person kommuniziert zu haben, aus den von ihr abgegebenen Informationen ein Profil zu erstellen. Zusätzlich lassen sich stattgefundene Kommunikationsbeziehungen ebenfalls rekonstruieren. Deswegen ist der Schutz der realen Identität in der digitalen Welt von hoher Bedeutung. Für bestimmte Transaktionen ist in der digitalen Welt ein Nachweis der realen Identität not-wendig. Hier kommt das elektronische Pendant der fundamentalen Identitätsmerkmale der realen Identität, die digitale Identität, zum Einsatz. Diese wird von einer amtlichen Behörde ähnlich dem Personalausweis ausgestellt bzw. elektronisch generiert. Zusätzlich enthält diese für Kryptographie und Signatur erforderliche Schlüsseldaten und bei Bedarf biometrische Informationen für die Authentifizierung des Nutzers gegenüber dem Träger der digitalen Identität. Der Träger der digitalen Identität ist ein Token, wie z.B. eine SmartCard oder ein USB-Stick, der über eine physikalische Schnittstelle mit dem CDA verbunden ist. Erst dieser Token verleiht dem CDA seine benutzerbezogene Identität und schaltet personenbezogene Daten, die sich bereits auf dem CDA oder auf externen Speichermedien befinden, frei.

- 4 -

Für viele Kommunikationsbeziehungen ist die reale Identität einer Person nicht von Interesse. An dieser Stelle kommen anonyme und pseudonyme Identitäten zum Tragen. „Anonymität ist, Aufenthaltsorte und Kommunikationsbeziehungen so zu verschleiern, dass keine Bewe-gungs-, Kommunikations- oder Zugriffsprofile einzelner Benutzer durch unautorisierte Dritte erstellt werden können“ [E01]. Durch den Einsatz von Pseudonymen lässt sich die reale Iden-tität ebenfalls verbergen. Jedoch ist es Dritten möglich, mit einem hohen Aufwand Bewe-gungs-, Kommunikations- und Zugriffsprofile einzelner Benutzer zu erstellen. In Deutschland gibt es ein Gesetz zur Informellen Selbstbestimmung [DSGMV97], welches besagt, dass jeder Bürger in der Lage sein soll herauszufinden, „wer, welche Daten über die eigene Person besitzt“. Dieses Gesetz ist jedoch in der digitalen Welt mehr als fragwürdig. Es bleibt zu klären, was das eigentlich schützenswürdige Gut ist und warum es dieses ist? Diese Frage ist nicht leicht zu beantworten, da es oftmals gegensätzliche Anforderungen bezüglich Anonymität, Authentizität und der Möglichkeit zur Personenidentifikation gibt. Ein Online-Shop ist beispielsweise nicht nur daran interessiert, sein Geld für die verkaufte Ware zu erhal-ten, sondern ist auch an weiteren Profil-Informationen des Kunden interessiert (z.B. finanziel-le Möglichkeiten, Interessen, Hobbys). Vom Standpunkt des Kunden aus sollten in der Regel nur die Informationen übermittelt werden, die für die Abwicklung eines Kaufes unbedingt notwendig sind. Im Folgenden stellen wir fünf Frameworks vor, die zur Erfüllung einer vertrauenswürdigen Kommunikation erforderlich sind. 2.1 Subscriber Identity Framework Das Subscriber Identity Framework umfasst alle Funktionen, die einen Zugriff auf die digitale Identität ermöglichen. Dazu gehören die Aktivierung der digitalen Identität auf dem CDA nach erfolgreicher Authentifizierung des Nutzers, die Bereitstellung einer Schnittstelle zum Zugriff auf die digitale Identität, sowie Funktionen zum Erstellen, Verwalten und Löschen von Pseudonymen. Der Authentifizierungsprozess innerhalb des Frameworks ist mehrstufig aufgebaut (siehe Ab-bildung 1). Die erste Stufe umfasst die gegenseitige Authentifizierung des Nutzers gegenüber der digitalen Identität des CDAs. Diese kann wahlweise über eine wissensbasierte Authentifi-zierung oder über ein biometrisches Erkennungsverfahren erfolgen. Ein auf biometrischen Daten beruhendes Verfahren hat den Vorteil, dass der Benutzer durch etwas authentifiziert wird, das er selber ist und nicht durch etwas was er weiß. Eine einfache Weitergabe dieser Zugangsberechtigung (vgl. PIN) ist nicht möglich. Die zweite Stufe realisiert die gegenseitige Authentifizierung des CDA gegenüber dem exter-nen Kommunikationsdienst. Hierbei verwendet der CDA Credentials (digitale Objekte mit Rechten und Berechtigungen) des Secure Document Frameworks (siehe Abschnitt 2.2). Die-ser Prozess wird durch den Security Manager des Cryptographic Frameworks (siehe Abschnitt 2.4) gesteuert und abgesichert.

Abbildung 1: Mehrstufiger Authentifizierungsprozess

Bürger CDA Umgebung Überprüfung der Identität

Überprüfung d. Credentials

- 5 -

Nach erfolgreicher Authentifizierung wird die digitale Identität aktiviert, und ist über eine standardisierte Schnittstelle in das Gesamtsystem eingebunden. Für die Behandlung von Pseudonymen lässt sich diese Schnittstelle ebenfalls einsetzen. Eine Modifikation der amtlich erstellten digitalen Identität ist jedoch nicht möglich. 2.2 Secure Document Management Framework Wie bereits in Beispiel 3 der Einleitung erwähnt, ist beim Einsatz von digital signierten Do-kumenten auch deren persistente Speicherung von zentraler Bedeutung. Gleiches gilt auch bei der Verwaltung von Credentials. Diese sind Objekte der virtuellen Welt, respektive digitale Dokumente, die als Träger von Rechten mit bestimmten Eigenschaften fungieren. Sie sind somit das digitale Pendant zu papierbasierten Vollmachten, Rechten und Berechtigungen. Um eine gesicherte Authentisierung und entsprechende Autorisierung auf Basis von Credenti-als zu ermöglichen, sind deren Rollenverteilung, Stellvertreterfunktionen und unterschiedliche Kategorien von Rechten (transitiv/intransitiv, teilbar, verbrauchbar, eingeschränkte Zugriffs-möglichkeiten usw.) zu berücksichtigen [CM01]. SmartCards als Speicher für vertrauliche Daten sind aufgrund ihrer eingeschränkten Spei-cherkapazität für diesen Zweck ungeeignet. Die Anforderungen an das Management der digitalen Dokumente sind ausreichende Spei-cherkapazität, Monitoring - Fähigkeit, verschlüsselte Ablage der Dokumente, die Möglichkeit zum Backup der Daten und eine zentrale Verwaltung der Dokumente, die das Anlegen, Ko-pieren, Transferieren und Löschen adäquat unterstützt. Das Secure Document Management Framework versucht die genannten Anforderungen um-zusetzen. 2.3 Monitoring and Confidentiality Framework Die auf dem Markt erhältlichen Signaturkarten erlauben es dem Benutzer nicht, transaktions-bezogene Daten zu überprüfen, die zur Signatur an die Karte gesendet werden. Ohne eine direkte, verifizierte Ausgabemöglichkeit auf der Karte kann nicht gewährleistet werden, dass das, was der Benutzer zu unterschreiben glaubt, auch wirklich das ist, was er zuvor auf dem Bildschirm gesehen hat. Der Nutzer muss in diesem Fall dem Kartenterminal vertrauen. Das Monitoring und Confidentiality Framework ist für die Verwaltung, Überwachung und das Protokollieren/Logging (Security Audit) von (vertrauenswürdigen) Transaktionen und an-kommenden oder abgehenden Verbindungen verantwortlich. Der Benutzer erhält dadurch die Möglichkeit, einen Überblick über übertragene Informationen zu erhalten. Bevor identitätsbezogene Daten das Gerät verlassen, werden sie dem Benutzer nochmals prä-sentiert. Nur nach der willentlichen Bestätigung des Benutzers erfolgt der Transfer oder die Bearbeitung dieser Daten. In Abhängigkeit des situativen Kontextes erfolgt diese über einen OK Button, durch eine Personal Identification Number oder eine biometrische Authentifizie-rung. Bei der Durchführung von Transaktionen, die Credentials bzw. personbezogene Daten benut-zen, ist eine enge Kopplung mit dem Cryptographic Framework (siehe folgender Abschnitt) erforderlich.

- 6 -

2.4 Cryptographic Framework Eine wichtige Anforderung an Kommunikationsbeziehungen ist die Unterstützung multilate-raler Sicherheit, damit die Sicherheitsanforderungen der beteiligten Kommunikationspartner erfüllt werden können. Vor dem Zustandekommen einer Kommunikationsbeziehung werden die individuellen Sicherheitsanforderungen zwischen den Kommunikationspartnern ausge-handelt. Bei diesem Prozess werden drei Sicherheitsebenen unterschieden: unilaterale, bilate-rale und multilaterale Sicherheit [FP97]. Unilaterale Sicherheit beschreibt die persönlich ver-fügbare Sicherheit, bilaterale Sicherheit, die Sicherheit zwischen zwei Kommunikationspart-nern und multilaterale Sicherheit, die Sicherheit zwischen mehreren Kommunikationspart-nern. Das Cryptographic Framework umfasst kryptographische Algorithmen und Protokolle zur Gewährleistung der Sicherheit, zur Behandlung von digitalen Dokumenten und Credentials und einen Security Manager zur Steuerung der Sicherheitsfunktionen. Zu den Algorithmen und Protokollen des Frameworks gehören der Austausch von Schlüssel-paaren, die Verschlüsselung des Kommunikationskanals, der Schutz der Datenintegrität und die digitale Signatur. Als kryptographische Algorithmen werden softwarebasierte, hardwarebasierte und technolo-giespezifische Algorithmen der Kommunikationstechnologien unterstützt. Die Entscheidung welcher Algorithmus verwendet werden soll, hängt von Faktoren wie Geschwindigkeit, Stromverbrauch oder kryptographischer Stärke ab. 2.5 Communication Framework Das Communication Framework umfasst die zum Informationsaustausch mit verschiedenen Kommunikationspartnern (zwischen CDA und „Außenwelt“) erforderlichen Kommunika-tionstechnologien und eine zur einheitlichen Steuerung dieser Technologien erforderliche Network Management Komponente. Die Kommunikationsverbindung erfolgt über drahtlose Übertragungstechnologien. Die Wahl der Technologie hängt von der erforderlichen Übertragungsentfernung ab. Hierbei unterschei-det das Framework zwischen Kurz-, Mittel- und Langstreckenverbindungen. Für die Kurz-strecke (~1-10m) werden IrDA und Bluetooth, für die Mittelstrecke (10~300m) IEEE 802.11 WLAN und für die Langstrecke GSM & UMTS unterstützt. Die Wahl einer drahtlosen Kommunikationstechnologie ist aus Sicht einer leichteren Abhör-barkeit von Funkwellen im ersten Moment vielleicht nicht empfehlenswert, jedoch aus Grün-den der Mobilität und Flexibilität durchaus sinnvoll. Darüber hinaus bieten diese Technolo-gien mit Ausnahme von IrDA bereits integrierte Funktionen zur Absicherung der Kommuni-kation. Tabelle 1 gibt einen kurzen Überblick über die Technologien und deren Sicherheitsei-genschaften. Obwohl IrDA keinerlei Sicherheitsfunktionen besitzt, lässt es sich sehr gut für die Übertra-gung von empfindlichen Daten einsetzen, da sich die Übertragungsstrecke bis auf wenige Zentimeter verkürzen lässt. Dadurch wird der angreifbare Übertragungskanal stark verklei-nert. Die gerichtete und fokussierte Übertragung durch Lichtwellen schränkt diesen nochmals ein.

- 7 -

In Bezug auf die Sicherheitsprobleme von Bluetooth und WLAN lässt sich sagen, dass eine Nutzung der Sicherheitsfunktionen trotz bekannter Sicherheitslücken im Sinne einer mehrstu-figen Sicherheitsstrategie dennoch die Sicherheit des Gesamtsystems erhöht. Die Network Management Komponente enthält die zur Ansteuerung der Technologien erfor-derlichen Protokollstacks. Durch Kapselung der individuellen Funktionalität der Technolo-gien besitzt diese Komponente eine abstakte Schnittstelle, die einen Zugriff auf die zu ver-wendenden Technologien stark vereinfacht. Sie enthält Funktionen zum Finden von Kommu-nikationspartnern, zum Auf- und Abbauen der Verbindungen und zum Senden und Empfan-gen von Daten.

Name Sicherheitsfunktionen Reichweite / Zellgröße Datenrate IrDA Keine 1 m 4 Mb/s Bluetooth Authentifizierung & Ver-

schlüsselung (128 Bit) 10m (bis 100m) 720 Kb/s

IEEE 802.11 (WLAN)

Authentifizierung & Ver-schlüsselung (104 Bit)

30-360 m 11 Mb/s

GSM Authentifizierung & Ver-schlüsselung (64 Bit)

bis 35-40 km 8-16 kb/s

UMTS Authentifizierung & Ver-schlüsselung (128 Bit)

bis 2 km 2 Mb/s

Tabelle 1: Technische Eigenschaften der unterstützen Kommunikationstechologien

3 Realisierung und Implementierung Unsere prototypische Implementierung (siehe auch Abbildung 2) basiert auf dem iPAQ 3870 der Firma Compaq, dessen vorinstalliertes Betriebssystem (Microsoft WindowsCE Version 3.0) durch das Open Source Betriebssystem Linux (Kernel 2.4.18) ersetzt wurde. Diese Li-nux-Version lässt sich durch zusätzliche Sicherheitskomponenten des LukaOS-Projektes der Universität München [LU02] erweitern. Als Kommunikationsinterface (Communication Framework) stehen folgende Technologien zur Verfügung: IrDA, Bluetooth und WLAN. An der Integration von GSM wird gegenwärtig gearbeitet. Die Anbindung von UMTS wird bei Verfügbarkeit der entsprechenden Technolo-gie implementiert. Softwareseitig wird ein Ad-Hoc Manager für die Steuerung des Communi-cation Framework eingesetzt. Über einen Service Discovery Manager erfolgt die Suche nach verfügbaren Diensten (Service Discovery). Die Funktionalität des Cryptographic Frameworks wird durch die Security Manager API rea-lisiert. Diese verwaltet und überwacht alle sicherheitsrelevanten Funktionen und Einstellun-gen des CDAs. Die Authentifizierung des Nutzers kann wahlweise über Login/Passwort, PIN oder über einen biometrischen Fingerabdruck-Sensor erfolgen. Letzterer wird durch das TopSec ID Modul der Firma Siemens realisiert. Des Weiteren benutzt der Security Manager die Sicherheitsfunktionalität des OpenSSL [OSSL] Frameworks. Die Signatur und Verifikation von Datenpaketen erfolgt über RSA Zer-tifikate. Die Datenintegrität wird durch MD5 und SHA1 sichergestellt. Für die Verschlüsse-

- 8 -

lung stehen als symmetrisches Verfahren 3DES (ECB, CBC, CFB, OFB) und als asymmetri-sches Verfahren RSA zur Verfügung. Der Security Manager unterstützt gegenwärtig die in Bluetooth integrierte Sicherheitsfunktionalität.

Abbildung 2: Module des Citizen Digital Assistant

Die Funktionalität des Subscriber Identity Moduls erfolgt über den Identitätsmanager der an der Universität Freiburg [GJ01] entwickelt wurde. Als Identitätstoken des Subscriber Identity Frameworks wird eine Java-basierte SmartCard verwendet, die im Rahmen des EU Forschungsprogramms FASME (Facilitating Administra-tive Services for Mobile Europeans) entwickelt wurde [RM02]. Das Monitoring und Confidentiality Framework und das Secure Document Management Framework werden gegenwärtig implementiert. 4. Zusammenfassung und Ausblick In diesem Artikel wurde unser Konzept eines Citizen Digital Assistants vorgestellt. Dieses ist ein mobiles Bürgergerät, welches einen sicheren und vertrauenswürdigen Zugriff auf e-Government-Dienste ermöglicht und sowohl für den Bürger als auch die Behörde folgende Vorteile mit sich bringt:

• Behörden setzten im Back-Office Bereich elektronische Bearbeitungssysteme ein. Die Schnittstelle zum Bürger ist jedoch immer noch papierbasiert. Die Konvertierung der elektronischen Daten nach Papier verläuft fast ausschließlich maschinell, jedoch bei der Konvertierung in die entgegengesetzte Richtung ist eine manuelle Bearbeitung er-forderlich. Beim Einsatz des CDAs entfällt dieser Medienbruch.

• Für den Bürger besteht keine Notwendigkeit mehr, vor dem Besuch einer Behörde sei-

ne Dokumente zusammenzusuchen, da sich diese in der Regel bereits auf dem CDA

Identity Token

Siemens TopSec ID Module

Communication Framework (IrDA, Bluetooth, WLAN, GSM,

UMTS)

Compaq IPAQ 3870 (Linux 2.4.18)

Subscriber Identity Frame-work

Secure Document Manage-ment Framework

Monitoring and Confidenti-ality Framework

- 9 -

befinden bzw. sich bei Bedarf auf das Gerät übertragen lassen. Des Weiteren kann der CDA als Kommunikationsinterface zur Secure Card Extension (SCE) benutzt werden. Die SCE ist eine virtuelle Speichererweiterung für SmartCards [CMH02].

• Die Behörde kann elektronische Formulare online zur Verfügung stellen, die der CDA

über seine Kommunikationsschnittstelle abrufen kann. Dieses erhöht die Verfügbar-keit der Behörde und erspart dem Bürger zusätzliche Wege.

• Die Fehlerrate bei der Angabe von personenbezogenen Daten wird minimiert, da der

CDA mittels seiner Profilinformation elektronisch Dokumente personalisieren kann.

• Der CDA kann als Kommunikationsgerät für die Interaktion mit jedem Kommunikati-onspartner und als Mittler zwischen diesen dienen. Beim Einsatz in behördlichen Ein-richtungen kann das Gerät über die vorhandene Infrastruktur oder mittels spontaner Vernetzung über einen Access Point kommunizieren. Hierbei agiert der CDA im Auf-trag des Bürgers (der CDA „spricht“ stellvertretend für den Bürger).

Das von uns vorgestellte Konzept zeigt, wie unter der Voraussetzung der fünf identifizierten Frameworks, ein sicherer und vertrauenswürdiger Zugang zu e-Government Dienstleistungen ermöglicht wird. Kernpunkte sind hierbei der mobile Zugang zu diesen Dienstleistungen, der Umgang mit der digitalen Identität des Bürgers und die Verwaltung elektronischer Dokumen-te und Credentials. Literatur: [CM01] Cap, C. H. und Maibaum, N.; Digital Identity and it's Implications for Electronic Government in

Towards the E-Society - E-Commerce, E-Business, and E-Government; Kluwer Academic Pub-lishers, Boston.

[CMH02] Cap, C. H., Maibaum, N. und Heyden, L.; JavaCard-kontrollierter, sicherer Zugriff auf persönli-che Dokumente und Berechtigungen – Konzept, Implementierung und Leistungsmessung; 32. Jahrestagung der Gesellschaft für Informatik, 2002

[DSGMV97] Gesetz zum Schutz des Bürgers beim Umgang mit seinen Daten, Landesdatenschutzgesetz Mecklenburg-Vorpommern, 1997.

[E01] Eckert, C.; IT-Sicherheit: Konzepte – Verfahren – Protokolle, Oldenbourg, München, 2001. [FP97] Federrath, H. und Pfitzmann, A.; Bausteine zur Realisierung mehrseitiger Sicherheit in G. Mül-

ler und A. Pfitzmann (Hrsg.): Mehrseitige Sicherheit in der Kommunikationstechnik, Addison-Wesley-Longmann, 1997.

[GJ01] Gerd tom Markotten, D. und Jendricke, U.; Identitätsmanagement im E-Commerce in it+ti Informationstechnik und Technische Informatik, 43(5):236-245, 2001.

[LU02] LUCA - ein sicheres, mobiles Endsystem der nächsten Generation; TU München; http://wwwspies.informatik.tu-muenchen.de/SPP/index.shtml

[OSSL] OpenSSL Projekt, http://www.openssl.org [RM02] Riedl, R. und Maibaum, N.; FASME - From Smartcards to Holistic IT-Architectures for Inter-

state E-Government in R. Traunmüller und R. Lenk (Eds.) Electronic Government, First Interna-tional Conference, EGOV2002, Springer LCNS 2456, 2002.