Allgemeine technische Hinweise
Maßgeblich für die Umsetzung eines Dienstes mit Online-Ausweisfunktion sind die Technischen Richtlinien des BSI. Darüber hinaus geben wir Ihnen in diesem Kapitel Hinweise und Erklärungen zu häufig auftretenden Problemen.
HTTPS-Verbindung
Nutzen Sie für Ihren gesamten Webauftritt grundsätzlich eine HTTPS-Verbindung.
URL zur eID-Aktivierung auf Desktop und mobilen Systemen
Desktop: Verwenden Sie auf Desktopsystemen (Windows, macOS) zum Aufruf der AusweisApp folgende URL: http://127.0.0.1:24727/eID-Client
Mobile Systeme: Aus Kompatibilitätsgründen ist es zwingend notwendig, auf mobilen Systemen einen anderen Aufruf zu verwenden. Nutzen Sie hier ausschließlich die folgende URL: eid://127.0.0.1:24727/eID-Client
iPad: Mit iOS 13 hat Apple den Safari-Browser auf iPads so geändert, dass er standardmäßig alle Webseiten im „Desktop-Modus“ aufruft. Bieten Sie die eid-URL im Zweifelsfall zusätzlich zur http-URL an.
Hinweise zur Nutzung von Browsern auf mobilen Systemen
Auf mobilen Systemen führt der Aufruf der AusweisApp immer zu einer Anfrage an das Betriebssystem. Für den Browser ist der Vorgang mit dieser Anfrage abgeschlossen und Ihr Webauftritt bleibt im Browser unverändert geöffnet. Bei installierter AusweisApp wird diese durch das Betriebssystem geöffnet und der Auslesevorgang durchgeführt. Dieser Vorgang führt am Ende zu einer weiteren Anfrage an das Betriebssystem, die im Auslesevorgang erhaltene URL zu öffnen.
Bei Android ist es möglich, den aufrufenden Browser zu erkennen und das Betriebssystem anzuweisen, diesen Browser zu nutzen. Bei iOS funktioniert das nicht und es wird immer der im System eingestellte Standardbrowser benutzt. In jedem Fall wird ein neuer Tab geöffnet. Ihr Webservice darf sich deshalb nicht auf lokal gespeicherte Informationen wie Cookies oder Session-Parameter verlassen. Auch bei der Verwendung von „privaten Fenstern“ oder ähnlichen Systemen würde dies zu Problemen führen.
Der einzig zuverlässige Weg führt darüber, den Authentifizierungsdienst so zu konfigurieren, dass alle notwendigen Informationen zur Fortführung des Logins in der URL enthalten sind, die am Ende des Auslesevorgangs geöffnet wird.
Sichere Anbindung der Online-Ausweisfunktion
Eine wesentliche Funktionalität der Online-Ausweisfunktion ist der „sichere Rücksprung“ zum Anbieter. Auf diese Weise wird sichergestellt, dass die Nutzenden nach der Authentisierung in der AusweisApp garantiert zur Webseite des zugehörigen Diensteanbieters zurückgeleitet werden. Dieser Rücksprunglink wird von der AusweisApp geprüft und verhindert Phishing oder ungewollte Datenabflüsse.
Dies setzt jedoch voraus, dass der Rücksprunglink auch spezifikationskonform umgesetzt wird. Erst die durch den Rücksprung in den Browser aufgerufene Adresse ist die durch die Online-Ausweisfunktion authentisierte Verbindung (Kanalbindung). Je nach Plattform bzw. Betriebssystem und Umsetzung seitens der Webanwendung, kann es sich hierbei um dieselbe Verbindung handeln, die auch bereits vor Aufruf der AusweisApp bestand. Wird durch den Rücksprung hingegen eine neue Verbindung aufgebaut, dürfen die Ressourcen bzw. die Daten der Nutzenden nur in dieser neuen Verbindung bereitgestellt werden und nicht über die ursprünglich bestehende Verbindung abrufbar sein. Insbesondere auf mobilen Systemen, bei denen aus technischen Gründen durch den Rücksprung ein neuer Tab geöffnet wird, ist dies durch ein geeignetes Session-Management sicherzustellen.
Ein weiterer wichtiger Punkt ist die Übertragung der ausgelesenen Personendaten vom eID-Server zu Ihrem Hintergrundsystem. Dies erfolgt je nach Umsetzung über SOAP, SAML oder ggf. auch OpenIDConnect. Für alle diese Protokolle gibt es empfohlene Konfigurationen, die eine sichere und integritätsgeschützte Kommunikation garantieren.
Bitte beachten Sie bei der Anbindung der Online-Ausweisfunktion an Ihre Anwendung auch die ergänzenden Sicherheitshinweise aus den Technischen Richtlinien des BSI, insbesondere BSI TR-03128-1, BSI TR03124-1 und BSI TR-03130-1.
Pseudonymfunktion
Bei Verwendung des Online-Ausweises können Sie neben den persönlichen Daten des Ausweisinhabers oder der Ausweisinhaberin auch ein Pseudonym auslesen bzw. berechnen. Das Pseudonym ist ein Wiedererkennungszeichen, das für jede Ausweiskarte und jeden Dienst individuell erstellt wird. Daher wird es als „dienste- und kartenspezifisches Kennzeichen (DKK)“ bezeichnet.
Wenn Ihr Dienst die Pseudonymfunktion für die Wiederanmeldung unterstützt, müssen nach PIN-Eingabe nicht mehr alle persönlichen Daten übertragen werden. Die Unterstützung wird aus Gründen der Datensparsamkeit empfohlen.
Neues Pseudonym bei Ausweiswechsel
Das Pseudonym ist per Gesetz an die Ausweiskarte und an jeden einzelnen Dienst gebunden. Dies dient dem Datenschutz der Ausweisinhaberinnen und Ausweisinhaber. Denn durch die Pseudonymfunktion können keine Nutzungsprofile über verschiedene Dienste und Diensteanbieter hinweg erstellt werden. Auch ein User-Tracking über einen Ausweiswechsel hinweg wird hierbei ausgeschlossen.
Naturgemäß ändert sich das berechnete Pseudonym bei einer neuen Ausweiskarte. Hier bietet der Online-Ausweis die Möglichkeit, Nutzerinnen und Nutzer über ihr neues Ausweisdokument zu identifizieren und anschließend das neue Pseudonym zur Wiedererkennung zu registrieren.
Migration des Pseudonyms
Um Ihren Nutzerinnen und Nutzern auch nach einem Ausweiswechsel weiterhin Zugang zu Ihrem Online-Dienst über das Pseudonym gewähren zu können, ist eine Migration von der alten zur neuen Ausweiskarte erforderlich. Diese Migration kann nur über Daten erfolgen, die unabhängig von der alten Ausweiskarte sind, da das Pseudonym, wie oben bereits erwähnt, gesetzlich an die Ausweiskarte und an jeden einzelnen Dienst gebunden ist.
Nachfolgend drei Möglichkeiten für die Migration des Pseudonyms von der alten auf die neue Ausweiskarte:
1. Nutzung eines „Einmal-Kennworts“
Sie können Ihren Nutzerinnen und Nutzern im Vorfeld eines anstehenden Ausweiswechsels ein Einmal-Kennwort nach Login mit der alten Ausweiskarte bereitstellen. Nach dem Ausweiswechsel und einem Login mit der neuen Ausweiskarte fordern Sie Ihre Nutzerinnen und Nutzer zur Eingabe des Einmal-Kennworts auf. Anschließend können diese das Pseudonym der neuen Ausweiskarte verknüpfen.
2. Nutzung eines „Fallback-Tokens“
Falls vorhanden, können Ihre Nutzerinnen und Nutzer neben dem Online-Ausweis ein weiteres (Hardware-) Token zur Authentifizierung hinterlegen. Dieses zusätzliche Token kann zur Registrierung der neuen Ausweiskarte verwendet werden.
3. Wiedererkennung über andere personenbezogene Daten
Sie können im Nutzerkonto Ihres Dienstes weitere personenbezogene Daten Ihrer Nutzerinnen und Nutzer speichern, die über die Grenzen der Ausweiskarte hinweg konstant bleiben – z.B. Vorname, Geburtsname, -datum oder -ort. An diesen Daten kann die Person auch nach dem Ausweiswechsel wiedererkannt werden.
Invalidierung von Session-IDs
Beachten Sie, dass ihr Dienst Session-IDs nicht durch HEAD-Requests invalidiert. Einige Systeme, inbesondere ChromeOS, senden einen preflight HEAD-Request zur Refresh-URL. Wird durch den HEAD-Request die Session-ID invalidiert so führt der nachfolgende Redirect im Browser zu einem Fehler.
Session-Timeouts
Wir empfehlen für Session-Timeouts eine Mindestlänge von 13 Minuten - Für Nutzende ist es immer ärgerlich, wenn sie aufgrund von Timeouts einen gestarteten Vorgang nicht abschließen können. Bedenken Sie, dass Personen, die assistive Technologien wie einen Screenreader benutzen, unter Umständen deutlich mehr Zeit für die Navigation und Nutzung der AusweisApp und den Abschluss des Ausweisprozesses benötigen.