enhanced_encryption Funktionsbaustein: Authentifizierungfeedback
| Eigenschaft | Wert |
|---|---|
| Kennung | DArch-FBS-AUT |
| Hauptfähigkeit | E-Government |
| Geschäftsfähigkeit | E-Gov-Basisdienste |
| Version | 0.2 (06.05.2026) |
| GovStack-Bezug | Identity Building Block |
summarize 1 Management Summaryfeedback
Der Baustein „Authentifizierung" umfasst Funktionalitäten zur Überprüfung der behaupteten Identität einer natürlichen oder juristischen Person bzw. der Stellvertretung. Diese Identitäten können anderen Bausteinen bereitgestellt (z. B. zur Realisierung eines Single-Sign-On) werden. Der Baustein stellt ein Identity-Management für Bürgerinnen und Bürger sowie Unternehmen und Organisationen außerhalb der Verwaltung bereit.
description 2 Beschreibungfeedback
Der Baustein adressiert die externe Authentifizierung – also die Identitätsprüfung von Personen und Organisationen, die keine Beschäftigten der Bundesverwaltung sind. Er ermöglicht die sichere Anmeldung an Verwaltungsportalen, OZG-Leistungen und digitalen Bürgerdiensten über standardisierte Protokolle. Die Anbindung erfolgt über föderierte Identity Provider wie BundID, eIDAS-Knoten und privatwirtschaftliche Vertrauensdienste.
Dieser Baustein ist funktional verwandt mit dem Identity-Access-Management (SID). Die wesentlichen Abgrenzungskriterien sind:
| Kriterium | Authentifizierung (AUT) | IAM (SID) |
|---|---|---|
| Zielgruppe | Externe Nutzende: Bürger:innen, Unternehmen, Organisationen | Interne Nutzende: Beschäftigte der Bundesverwaltung |
| Fokus | Identitätsfeststellung und Anmeldung (Authentication) | Vollständiger Identity Lifecycle inkl. Autorisierung (AuthN + AuthZ) |
| Provisionierung | Keine – Identitäten kommen von externen IdPs (BundID, eIDAS) | Aktive (De-)Provisionierung über SCIM, Personalverwaltung |
| Autorisierung | Nicht in Scope – delegiert an Fachanwendungen oder SID | Zentrale RBAC/ABAC Policy Engine (PDP) |
| Typischer Kanal | Bürgerportale, OZG-Leistungen, Unternehmensservices | Behördeninterne Fachverfahren, APIs, Arbeitsplätze |
| Token-Weitergabe | SSO-Tokens für externe Dienste (BundID-Konnektierung) | Interne Föderation + Zero-Trust-Integration |
Im Zielbild kann AUT als Frontend-Authentifizierungsschicht für externe Nutzende verstanden werden, die auf den IAM-Baustein SID als Backend-Infrastruktur aufsetzt.
menu_book 3 Terminologiefeedback
Die folgende Tabelle definiert die zentralen Fachbegriffe des Authentifizierungsbausteins. Die Terminologie orientiert sich an eIDAS, OpenID Connect und den GovStack-Spezifikationen.
| Begriff | Definition |
|---|---|
| AUT | Funktionsbaustein Authentifizierung |
| Authentication | Überprüfung einer behaupteten Identität bei einem Anmeldevorgang |
| BundID | Zentrale digitale Identität für Bürger:innen im OZG-Kontext |
| eID | Elektronischer Identitätsnachweis, z. B. über den Online-Ausweis |
| eIDAS-Knoten | Infrastrukturkomponente für grenzüberschreitende Identitätsverifikation |
| EUDI | European Digital Identity – europäische digitale Identität, u. a. über die EUDI Wallet |
| Federation | Vertrauensbeziehung zwischen Identity Providern verschiedener Organisationen |
| IAM | Identity and Access Management – Verwaltung von Identitäten, Rollen und Zugriffsrechten |
| Identity Proofing | Erstmalige Feststellung und Verifizierung einer Identität anhand von Nachweisen |
| JWT | JSON Web Token – signiertes Tokenformat für Claims und Sitzungsinformationen |
| LoA | Level of Assurance – Vertrauensniveau der Identitätsfeststellung |
| MFA | Multi-Faktor-Authentifizierung – Kombination mehrerer unabhängiger Faktoren |
| OIDC | OpenID Connect – Protokollschicht für Authentifizierung auf Basis von OAuth 2.0 |
| OZG | Onlinezugangsgesetz – rechtlicher Rahmen für die Digitalisierung von Verwaltungsleistungen |
| SAML | Security Assertion Markup Language – XML-basiertes Föderationsprotokoll |
| Session | Zeitlich begrenzte, authentifizierte Sitzung zwischen Nutzer:in und Dienst |
| SID | Funktionsbaustein Identity-Access-Management im D-Stack |
| SSO | Single Sign-On – einmalige Anmeldung gewährt Zugriff auf mehrere Dienste |
| TLS | Transport Layer Security – Protokoll zur Absicherung der Transportverschlüsselung |
| Token | Kryptographisch gesicherter Nachweis einer erfolgreichen Authentifizierung (JWT, SAML Assertion) |
settings 4 Kernfunktionalitätenfeedback
Die Kernfunktionalitäten decken den Authentifizierungsprozess von der Identitätsfeststellung bis zur Sitzungsverwaltung ab. Sie bilden die Grundlage für die sichere Anmeldung externer Nutzender an Verwaltungsdiensten des Deutschland-Stacks.
4.1 Identitätsfeststellung (Identity Proofing)feedback
- Prüfung eines Merkmals: Passwort, Zertifikat, Hardware-Token, biometrisches Merkmal
- Validierung der übermittelten Nachweise
- Eindeutige Zuordnung zu einer digitalen Identität
4.2 Anmeldeverfahren (Authentication)feedback
- Entgegennahme der Anmeldedaten
- Validierung der Faktoren (Passwort, Zertifikat, Token)
- Absicherung der Kommunikation (TLS, gesicherte Kanäle)
- Schutz vor Angriffen (Bruteforce, Replay, Credential Stuffing)
4.3 Multi-Faktor-Authentifizierung (MFA)feedback
Unterstützung mehrerer Faktoren:
- Wissen – Passwort, PIN
- Besitz – Smartcard, Token, App
- Inhärenz – Biometrie
4.4 Token-Erzeugungfeedback
Nach erfolgreicher Authentifizierung stellt der Dienst ein vertrauenswürdiges Token aus:
- SAML-Assertion
- OAuth2-Access Token
- OpenID Connect ID Token
- JWT (JSON Web Token)
4.5 Sitzungsverwaltung (Session Lifecycle)feedback
- Session-Start und -Verlängerung (Refresh)
- Session-Beendigung
- Token-Invalidierung und Widerruf
4.6 Identity Federation und SSOfeedback
- Aufbau von Vertrauensbeziehungen mit anderen Organisationen
- Single Sign-On (SSO)
- Einbindung externer Identitäten (eIDAS, BundID, AD-Konten)
shield 5 Querschnittsanforderungenfeedback
Die Querschnittsanforderungen gelten für alle Authentifizierungsfunktionalitäten und leiten sich aus eIDAS, DSGVO und BSI-Vorgaben ab. Sie stellen sicher, dass der Baustein die hohen Sicherheitsanforderungen des öffentlichen Sektors erfüllt.
| Anforderung | Beschreibung |
|---|---|
| Logging und Audit-Trails | Lückenlose Protokollierung aller Authentifizierungsereignisse |
| Anomalie- und Risikoerkennung | Automatisierte Erkennung von Angriffsmustern (Bruteforce, Credential Stuffing) |
| Zero-Trust-Unterstützung | Kontinuierliche Verifikation – kein implizites Vertrauen nach initialer Anmeldung |
| Zertifikatsmanagement | Verwaltung und Rotation von TLS- und Signaturzertifikaten |
| Passwortregeln und Policies | Durchsetzung von Passwortrichtlinien, Sperrzeiten, Risiko-Scoring |
| Datenschutz (DSGVO) | Datenminimierung bei Identitätsattributen, Löschkonzepte |
| LoA-Konformität | Unterstützung der eIDAS-Vertrauensniveaus (niedrig, substanziell, hoch) |
checklist 6 Funktionale Anforderungenfeedback
Die funktionalen Anforderungen definieren die konkreten Leistungsmerkmale, die der Baustein bereitstellen muss. Sie orientieren sich am GovStack Identity Building Block und den OZG-Anforderungen für externe Authentifizierung.
| Anforderung | Beschreibung | Priorität |
|---|---|---|
| BundID-Integration | Anbindung des Nutzerkontos Bund als primärer IdP für Bürger:innen | REQUIRED |
| eIDAS-Knoten-Anbindung | Grenzüberschreitende Authentifizierung über europäische Identitäten | REQUIRED |
| EUDI-Wallet-Support | Annahme von Verifiable Presentations aus EUDI Wallets (OpenID4VP) | GEPLANT |
| SSO über Portale | Föderiertes Single Sign-On über alle angebundenen OZG-Leistungen | REQUIRED |
| MFA für LoA substanziell/hoch | Multi-Faktor-Authentifizierung bei erhöhten Vertrauensniveaus | REQUIRED |
| Self-Service Kontoverwaltung | Passwort-Reset, MFA-Registrierung ohne Verwaltungsaufwand | RECOMMENDED |
| Delegationsfähigkeit | Stellvertretungsregelungen für juristische Personen | RECOMMENDED |
database 7 Datenstrukturenfeedback
Der Baustein verarbeitet Identitätsdaten externer Nutzender, Session-Informationen und Token-Metadaten. Die Datenhaltung ist bewusst minimal gehalten – persistente Identitätsdaten verbleiben bei den externen Identity Providern (BundID, eIDAS-Knoten).
| Entität | Attribute | Speicherort |
|---|---|---|
| Session | Session-ID, User-Ref, Erstellzeit, Ablaufzeit, LoA | Session-Store (Redis/In-Memory) |
| Token | JWT/SAML, Issuer, Audience, Claims, Expiry | Kurzlebig (nicht persistiert) |
| Federation-Partner | Entity-ID, Zertifikat, Protokoll, Metadaten-URL | Konfiguration (IdP-Registry) |
| Audit-Event | Timestamp, Actor-Ref, Action, Result, IP | Event-Store / SIEM |
api 8 Service-Schnittstellenfeedback
Die Service-Schnittstellen ermöglichen die Anbindung externer Identity Provider und die Token-Weitergabe an Fachanwendungen. Der Baustein unterstützt die gängigen Föderationsprotokolle für den öffentlichen Sektor.
| Protokoll | Zweck | Spezifikation |
|---|---|---|
| OpenID Connect | Primärer Authentifizierungsstandard (Bürger:innen-Portale) | OpenID Connect Core 1.0 |
| SAML 2.0 | Legacy-Anbindung und eIDAS-Knotenkommunikation | OASIS SAML v2.0 |
| OAuth 2.1 | API-Token-Ausstellung (PKCE verpflichtend) | OAuth 2.1 Draft |
| OpenID4VP | Wallet-basierte Authentifizierung (EUDI Wallet) | OpenID4VP |
| eID-Interface | Personalausweis-Anbindung (nPA) | BSI TR-03124 |
account_tree 9 Interne Workflowsfeedback
Der Authentifizierungsbaustein ist als Frontend-Schicht konzipiert, die auf die Infrastrukturdienste des Deutschland-Stacks aufsetzt. Die folgenden Abhängigkeiten zeigen die Einbettung in das Gesamtsystem.
Direkte Abhängigkeiten:
- Identity-Access-Management (SID): Backend-IAM-Infrastruktur – AUT delegiert Token-Validierung und Policy-Entscheidungen an SID
- Nutzerkonto: Verwaltung der externen Benutzerkonten (Bürger:innen, Unternehmen)
- Digitale Brieftasche: EUDI Wallet als Authentifizierungsmittel über OpenID4VP
- BundID: Zentraler Identity Provider für OZG-Leistungen
- eIDAS-Knoten: Grenzüberschreitende Identitätsvermittlung
library_books 10 Weiterführende Informationen und Quellenfeedback
Dieser Abschnitt bündelt relevante Standards, Spezifikationen und weiterführende Referenzen für den Authentifizierungsbaustein. Die Quellen bilden die normative Grundlage für die technische Umsetzung.
10.1 Normative Quellenfeedback
- GovStack Identity Building Block Specification
- eIDAS-Verordnung (EU) Nr. 910/2014 und eIDAS 2.0 (EU 2024/1183)
- OpenID Connect Core 1.0
- BSI TR-03124 (eID-Client)
- BundID / Nutzerkonto Bund
10.2 Verwandte Bausteinefeedback
- Identity-Access-Management (SID) – Interne Identitätsverwaltung und Autorisierung
- Digitale Brieftasche (DBT) – EUDI Wallet als Credential-Träger
- Nutzerkonto – Externe Benutzerkonten