- © Bundesministerium des Innern - BMI
Am 9. November hat Bundesinnenminister Dr. Thomas de Maizière seinen elektronischen Personalausweis beantragt. Am selben Tag haben die ersten Bürger ihren in die Hände bekommen. Gleichzeitig sorgt das Dokument nicht nur für positiven Wirbel in der Politik, der Technikwelt und in den Medien.
Der kreditkartengroße Ausweis, den man seit dem 1. November 2010 beantragen kann, soll die sichere Authentifizierung der Person auch in der digitalen Welt ermöglichen. Neben der üblichen Funktion als Identitätsnachweis, jetzt auch für Internetportale und Online-Käufe einsetzbar (eID), gibt es erweitert die Funktionen der Pseudonymisierung und der rechtskräftigen elektronischen Signierung sowie die Biometriefunktion.
Pflicht ist einzig die Biometriefunktion, wodurch nur bestimmte staatliche Behörden wie etwa die Polizei das auf dem Kartenchip gespeicherte Bild des Besitzers ablesen können. Sofern sich dieser dafür entschieden hat, auch zwei seiner Fingerabdrücke auf dem Ausweis speichern zu lassen, sind sie in diesem Zusammenhang auch einsehbar. Die anderen Funktionen des Ausweises sind optional und bis auf die Qualifizierte Elektronische Signatur (QES) auch kostenlos. Zudem kann man die eID sowie die QES jederzeit nach Wunsch aktivieren beziehungsweise deaktivieren.
Für die Internetnutzung benötigt der Karteninhaber die Freischaltung der entsprechenden Funktionen, eine sechsstellige PIN, ein Lesegerät und eine AusweisApp auf dem Rechner. Der Dienstleister wiederum weist sich durch ein Zertifikat aus, das er bei einem von der Bundesnetzagentur anerkannten Zertifizierungsdiensteanbieter erworben hat. Um solche Zertifikate überhaupt kaufen zu können, muss man im Vorfeld einen Antrag bei der staatlichen Vergabestelle stellen und sich als Anbieter prüfen lassen. Die Berechtigtung Zertifikate zu kaufen kann bei Vergehen jederzeit entzogen werden. Der Anbieter erhält je nach Onlinedienst nur für bestimmte Daten Leserecht, zum Beispiel darf er lediglich erfahren, ob die Person volljährig ist. Das Geburtsdatum bleibt vor ihm geheim.
Möchte der Verbraucher einen Online-Dienst in Anspruch nehmen und sich dafür identifizieren lassen, sieht er über die AusweisApp zuerst die Leserechte und Kontaktdaten des Anbieters und muss dann entscheiden, ob er der Übermittlung seiner Daten zustimmt. Erst nach der Bestätigung gibt er über die PC- oder Kartenlesertastatur die Ausweis-PIN ein und stellt somit eine Verbindung zwischen Ausweischip und Zertifikat her. Um die technische Sicherheit des Vorganges zu gewährleisten, wurden unterschiedliche Vorkehrungen getroffen. So wird die Funkverbindung zwischen Ausweis und Lesegerät durch ein PACE-Protokoll geschützt, das heißt, erst die PIN-Eingabe startet eine verschlüsselte Verbindung zwischen den beiden. Die PIN wird nicht online übertragen. Anschließend prüft der Chip die Echtheit des Zertifikats, die Leserechte des Anbieters und ob dieser der wirkliche Zertifikatsbesitzer ist (Terminal-Authentisierung).
Der Chip wird wiederum auch vom Online-Dienstanbieter überprüft (Chip-Authentisierung). Die Technik und die Verschlüsselung der Datenübertragungen sollen für höchste Sicherheit und Schutz des Vorgangs sorgen. Das Bundesamt für Sicherheit und Informationstechnik (BSI) gab die technischen Richtlinien vor.
Wer von der Signaturfunktion Gebrauch machen will, muss einen zugelassenen Komfort-Kartenleser benutzen. Die QES wird durch eine zusätzliche PIN freigeschaltet und gilt als rechtsgültige Unterschrift für digitale Dokumente. Der elektronische Ausweis bietet zudem die Möglichkeit, sich unter Pseudonym bei Online-Dienstanbietern anzumelden. Dadurch soll zum Einen der Missbrauch des jeweiligen Accounts verhindert und zum Anderen der praktische Vorteil für den Besitzer gegeben werden, dass man sich nicht mehr die unzähligen Benutzernamen und Passwörter merken muss, die man für die verschiedenen Internetdienste benötigt. Das erledigt jetzt der Chip, der, ohne die Identität seines Inhabers zu verraten, ihn bei jedem Dienstanbieter über eine individuelle kryptographische Zeichenkette als den richtigen Nutzer ausweist. Da immer nur ein elektronisch generiertes Pseudonym für den jeweiligen Account abzulesen ist, können keine Rückschlüsse über das sonstige Internetverhalten des Ausweisbesitzers gezogen werden.
Insgesamt soll der neue Personalausweis dem Bürger Schutz in der virtuellen Dimension des Internets bieten. Noch wird der elektronische Ausweis aber von verschiedenen Stimmen als technisch unausgereift kritisiert. Vor der Einführung hatte der Chaos Computer Club (CCC) zusammen mit den Sicherheitsexperten Max Moser und Thorsten Schröder Schwachstellen an der ähnlichen SuisseID demonstriert. Mithilfe schädlicher Software sei "der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich" (CCC-Sprecher Dirk Engling). Laut Jan Schejbal, Mitglied der Piratenpartei, sei "der eigentliche Kern des ePerso-Systems - der Chip und die Protokolle - [...] zwar sicher konstruiert, aber im Umfeld gibt es Schwachstellen." So habe er kurz nach Release der AusweisApp einen Fehler in ihrer Update-Funktion entdeckt, durch die "es möglich ist, die PIN und eventuell die aufgedruckte Kartenzugangsnummer zu entwenden, auch ohne dass dafür der Rechner des Nutzers verseucht werden muss" (www.saar.piratenpartei.de). Eine neue Version der App befindet sich laut einer Online-Pressemitteilung des BSI von 18. November im Test.
Dennoch ist der neue Personalausweis ein wichtiger Schritt in Richtung sicheres Agieren im Internet. Auch "um das Vertrauen in Geschäfts- und Verwaltungsprozesse in der virtuellen Welt zu stärken, ist eine sichere Identifizierung des Bürgers notwendig", sagt Jens Fromm vom Fraunhofer-Institut für offene Kommunikationssysteme FOKUS in Berlin, das zusammen mit dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) im Auftrag des Bundesinnenministeriums das 'Test- und Demonstrationszentrum neuer Personalausweis' bildet. Das Zentrum informiert und betreut die an Anwendungstests teilnehmenden Unternehmen und prüft dabei laufend die Nutzbarkeit und Sicherheit des elektronischen Identitätsnachweises. Dadurch tragen die Fraunhofer-Institute zur Erschaffung einer stabilen und sicheren Infrastruktur für die wirtschaftliche Prozesse im Internet bei. Außerdem wird an weiteren Gebrauchsmöglichkeiten des neuen Ausweises geforscht, in Verbindung zum Beispiel mit Automaten, Mobiltelefonen und Fernsehern.
(Loredana Klier, academicworld.net)
Unternehmensprofil Fraunhofer Gesellschaft
