ePA, sichere Identitäten und Telematikinfrastruktur
ePA, sichere Identitäten und Telematikinfrastruktur

Anforderungen und Anwendungen von Zwei-Faktor-Authentisierung

In unterschiedlichen Anwendungskontexten wurden im Digitalausschuss der Einsatz und die Ausgestaltung der sog. Zwei-Faktor-Authentisierung diskutiert. Die Zwei-Faktor-Authentisierung bezeichnet den Identitätsnachweis eines Nutzers/einer Nutzerin mittels der Kombination zweier unterschiedlicher und unabhängiger Komponenten, sog. Faktoren (z. B. Wissen und Besitz, also Passwort und Karte).

Was die allgemeinen fachlichen Anforderungen an eine starke Authentisierung anbelangt, verweisen wir auf einen Artikel in der Zeitschrift Datenschutz und Datensicherheit (Bender/Kügler: Was ist starke Authentisierung? In: DuD --- Datenschutz und Datensicherheit, Ausgabe 4-2016, S. 212-216). Zur empfohlenen Schutzbedarfsanalyse siehe ausführlich den Leitfaden Elektronische Kommunikation und Digitalisierung in der Sozialversicherung (Punkt 4.2.3.1).

Für die elektronische Übermittlung von individuellen Informationen (persönliche, individualisierte Daten), die nach der Schutzbedarfsanalyse in die Sicherheitskategorien „substanziell“ und „hoch“ einzustufen sind, ist eine Zwei-Faktor-Authentisierung erforderlich. Zusätzlich zu Benutzername und Passwort ist bei Abruf/Übermittlung von Daten, die in die Sicherheitskategorie „hoch“ eingestuft sind (z. B. Gesundheitsdaten), ein weiterer Sicherheitsfaktor --- wie z. B. ein an das Smartphone des Versicherten übermittelter Transaktionscode --- erforderlich.

Je nach Anwendungsart der Authentifizierung (Erstauthentifizierung oder Authentifizierung für den dauerhaften Zugang) und Schutzbedarfsklassifizierung der personenbezogenen Daten können folgende Verfahren benutzt werden:

  • Video-Ident-Verfahren --- Erstauthentifizierung, Sicherheitskategorie „hoch“,
  • Registrierung vor Ort mit Personalausweis --- Erstauthentifizierung, Sicherheitskategorie „hoch“,
  • Online-Ausweisfunktion des Personalausweises --- Erstauthentifizierung und Dauerzugang, Sicherheitskategorie „hoch“,
  • Benutzername, Passwort, mTAN --- Dauerzugang, Sicherheitskategorie „hoch“,
  • Fingerprint --- Dauerzugang, Sicherheitskategorie „substanziell“,
  • Benutzername, Passwort, per Post übermitteltes Passwort (oder QR-Code) - Erstauthentifizierung, Sicherheitskategorie „hoch“.

Hoch sichere Authentifizierungsmittel wie die elektronische Identitätsfeststellung des neuen Personalausweises oder der neuen eGK sollen in die Überlegungen der Träger einbezogen werden. Um die Sicherheit durch zusätzliche Authentifizierungsfaktoren weiter zu erhöhen, kann auch die erweiterte Multi-Faktor-Authentifizierung (MFA) mit mehr als zwei Faktoren eingesetzt werden.

Im Ergebnis empfehlen wir die Ausgestaltung der Prozesse im Kundenbereich nach der höchsten Schutzbedarfsklassifizierung „hoch“ zu richten, um später weitere Funktionen in die Anwendung leichter integrieren zu können.

(Stand. 26.08.2024)