Pfeil links 1 | 2 | 3 Pfeil rechts

Elektronischer Personalausweis

31.3.2011

Um den elektronischen Identitätsnachweis im Internet nutzen zu können, werden ein Kartenleser mit Treibersoftware und eine spezielle Software benutzt, die zunächst "Bürgerclient" hieß, aktuell "Ausweis-App" genannt wird. Da der Ausweis über einen RFID-Chip verfügt, kommen nur kontaktlose Kartenleser in Frage. Ähnlich wie die Kartenleser für kontaktbehaftete Chipkarten werden diese in drei unterschiedliche Sicherheitsstufen eingeteilt, denen das Bundesinnenministerium folgende Namen gegeben hat:
  • Basisleser (Klasse 1) haben nur eine Auflagefläche, aber keine eigene Tatstatur und kein eigenes Display.
  • Standardleser (Klasse 2) verfügen über Tastatur und Display.
  • Komfortleser (Klasse 3) verfügen ebenfalls über Tastatur und Display und sollen auch kontaktbehaftete Chipkarten lesen können. Ihre technische Sicherheit muss zertifiziert sein. Dadurch gilt dieser Kartenleser als sichere Signaturerstellungseinheit im Sinne des Signaturgesetzes und erlaubt die rechtsverbindliche elektronische Unterschrift von Dokumenten durch eine qualifizierte Signatur.
  • (Den Unterschied zwischen Basis- und Standardlesern zeigt Abb. 3.)


Entsprechend dem Funktionsumfang unterscheiden sich auch die Preise. Basiskartenleser liegen bei 50 bis 60 Euro, Standardlesegeräte bei 80 bis 90 Euro und die Komfortleser bei 150 Euro.

Sicherheitslücken



Die Verwendung eines RFID-Chips hatte wegen der funkgestützten Abfrage schon beim elektronischen Reisepass eine Diskussion über Sicherheitslücken ausgelöst. Es sind sowohl Fälle des Auslesens der Daten als auch der Zerstörung der Daten berichtet worden. Bisher sind allerdings keine Fälschungen im Zusammenhang mit Grenzkontrollen bekannt geworden. Über die Möglichkeit der Zerstörung der Daten auf dem RFID-Chip des neuen Personalausweises hat das WDR-Fernsehen am 14. September berichtet, Schüler einer neunten Klasse hätten im Physikunterricht den Chip nach Anweisungen aus dem Internet deaktiviert.

Auf den Internetseiten des Bundesamts für Sicherheit in der Informationstechnik (BSI) findet man umfangreiche Ausführungen zu den Sicherheitsfunktionen des RFID-Chips und des E-Passes, aber nichts zu Risiken und Angriffen. Beim elektronischen Identitätsnachweis kommen noch weitere Risiken hinzu.

Der Chaos Computer Club hat gezeigt, dass Dritte bei Verwendung des Basiskartenlesers mit einer auf dem benutzten Rechner installierten Schadsoftware, so genannte Key Logger, die PIN-Eingabe erfassen können. Dies ist keine Schwachstelle des Ausweises, sondern ein bekanntes Risiko, das auch beim Online-Banking besteht. Im Falle des elektronischen Identitätsnachweises ist das Missbrauchsrisiko geringer, weil für einen Missbrauch nicht nur die Kenntnis der PIN, sondern auch das Auflegen des Ausweises auf einen Kartenleser erforderlich ist.

Während das BMI argumentiert, dass dazu ein Diebstahl des Ausweises erforderlich wäre, hat der Chaos Computer Club gezeigt, dass ein Missbrauch auch möglich ist, wenn der Ausweisinhaber seinen Ausweis auf dem Kartenleser liegen lässt. Das BMI verweist dementsprechend auf die Sorgfaltspflichten der Ausweisinhaber. Bemerkenswert ist, dass in der Personalausweisverordnung tatsächlich solche Pflichten verankert sind. In § 23, Abs. 2 heißt es:

"Der Ausweisinhaber soll sicherstellen, dass insbesondere folgende Komponenten bei der Nutzung des elektronischen Identitätsnachweises eingesetzt werden:
  1. Informationstechnische Systeme mit geeigneten Abwehrmaßnahmen gegen Sicherheitslücken nach dem Stand der Technik,
  2. Lesegeräte, die durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden sind,
  3. Software zur Nutzung des elektronischen Identitätsnachweises, die durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden ist."Offen ist, ob im Falle eines Missbrauchs, wenn keine Firewall und keine Anti-Viren-Software installiert wurde, der Ausweisinhaber für Schäden selbst haftet. Abb. 3 zeigt den Unterschied zwischen dem Basis-Kartenleser und dem Standardkartenleser. BMI und BSI verweisen zudem darauf, dass dieses Risiko nur beim Einsatz des Basislesers besteht. Beim Komfortleser erfolgt die PIN Eingabe über dessen Tastatur, ohne Gefahr von Key Loggern.


Basis-Kartenleser und Standardkartenleser (rechts).Basis-Kartenleser und Standardkartenleser (rechts).



Sicherheitslücken in Ausweis-App



Ein zweites Sicherheitsproblem betraf vorübergehend die Client-Software, die so genannte Ausweis-App. Am 8.11.2010 hatte Spiegel Online über eine Sicherheitslücke in der Software berichtet und einen Tag später gemeldet: "BSI sperrt Download der Personalausweis-App". (Pressemeldung). Die Nachbesserungen dauerten mehrere Wochen. Inzwischen scheint diese Lücke vorerst geschlossen.

Elektronische Signaturen



Eine weitere neue zusätzliche Funktion ist die Vorbereitung für elektronische Signaturen. Als elektronische Signatur bezeichnet man ein Verschlüsselungsverfahren, mit dem man Dokumente eindeutig einem Autor zuordnen und gleichzeitig den Inhalt gegen Verfälschungen schützen kann. Dies gilt insbesondere für so genannte qualifizierte Signaturen nach dem Signaturgesetz, die die Schriftformerfordernisse erfüllen und der handschriftlichen Unterschrift gleichgestellt sind. Sie beruhen auf einem asymmetrischen Verschlüsselungsverfahren. Der Unterzeichner muss bei einem Trust-Center als Zertifizierungsdiensteanbieter ein Paar aus einem geheimen und einem öffentlichen Schlüssel beantragen. Der geheime Schlüssel wird unauslesbar auf einer Chipkarte gespeichert, das öffentliche Gegenstück in einem über das Internet zugänglichen Verzeichnis veröffentlicht. Der Signaturinhaber verschlüsselt Dokumente inkl. E-Mails mit seinem geheimen Schlüssel, der Empfänger kann das Dokument dann mit dem öffentlichen Schlüssel entschlüsseln. Veränderungen an dem Dokument würden dabei bemerkt.

Während der elektronische Identitätsnachweis die Überprüfung der Identität von Personen erlaubt, ermöglicht die qualifizierte Signatur die Überprüfung der Identität eines Dokuments im Sinne der Zuordnung zu einem bestimmten Autor oder Absender und im Sinne der Unversehrtheit (Integrität). Wenn Geschäfte oder Verwaltungsvorgänge online erledigt werden sollen, für die die Schriftform erforderlich ist, muss nach dem Identitätsnachweis in der Regel auch noch eine elektronische Signatur erfolgen.

Anders als beim Identitätsnachweis ist die elektronische Signatur jedoch nicht auf dem Chip des neuen Personalausweises von vornherein implementiert. Der Chip ist technisch nur so weit vorbereitet und zertifiziert, dass der Ausweisinhaber bei einem Trust-Center eine Signatur beantragen und den privaten Schlüssel darauf herunterladen kann.

Anbieter müssen von der Bundesnetzagentur zugelassen werden. Dies sind u.a. D-Trust, Deutsche Post, Deutsche Telekom, Bundesnotarkammer, Deutscher Sparkassenverlag u.a.m. (aktuelle Liste hier). Für qualifizierte Signaturen müssen die oben genannten Komfortleser eingesetzt werden, die vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden sind. Ende März 2011, vier Monate nach Ausgabe der ersten Ausweise, waren solche Lesegeräte auf der Internetseite des Ausweisportals angekündigt aber im Handel noch nicht verfügbar.

Anwendungstests



In der Planung für die Einführung des neuen Personalausweises fand nicht nur eine Vorbereitung der Personalausweisstellen auf ihre veränderten Aufgaben bei der Beantragung und Ausgabe der neuen Ausweise statt. Es wurde auch ein betreuter Anwendungstest für den elektronischen Identitätsnachweis geplant, ausgeschrieben und durchgeführt, damit zum Zeitpunkt der Ausgabe der ersten Ausweise eine hinreichend große Anzahl attraktiver Anwendungen existiert. Auf eine Ausschreibung hatten sich über 100 Unternehmen und Behörden gemeldet, von denen 30 für den betreuten Test ausgewählt wurden. Ihnen wurden Testausweise und erste Versionen des eID-Servers sowie eine Beratung durch das Kompetenzzentrum zur Verfügung gestellt. Zu den 30 Testanwendern gehörten u.a. Air Berlin, der Fujitsu-Siemens Online-Shop, die Deutsche Kreditbank sowie die Stadt Hagen (Broschüre zum Anwendungstest zum Ansehen). Der Test begann im Juni 2010. Am 1. November 2010 gab es allerdings noch kein einziges verbindliches Angebot. Zur Cebit im März 2011 waren rund 60 Berechtigungszertifikate erteilt. Aber die Erteilung eines Zertifikats durch die Vergabestelle bedeutet noch lange nicht, dass die eID-Funktion auch tatsächlich zur Authentisierung für entsprechende Online-Dienste eingesetzt wird. Dazu müssen nicht nur die technischen Zertifikate von einem Zertifizierungsdiensteanbieter bezogen werden. Es muss auch entweder eine eID-Middleware auf einem Web-Server installiert werden, die den Dialog mit dem Ausweis und dem Ausweisleser der Kunden führt, oder diese Dienstleistung muss von einem eID-Provider bezogen werden. Die Kosten hierfür liegen bei ca. 5.000 Euro pro Jahr. Sehr viel teurer ist jedoch die Einbindung des eID-Servers in die Shop- oder Content-Management-Systeme der Diensteanbieter.

Anwendungsbeispiele und -grenzen



Auch fünf Monate nach der ersten Möglichkeit, einen elektronischen Identitätsnachweis zu beantragen, kann man über seine Akzeptanz noch keine fundierten Aussagen treffen. In einer Umfrage des Branchenverbands BITKOM im Februar 2010 sagten 30 % aller Internetnutzer, sie würden den neuen Personalausweis noch vor Ablauf der Gültigkeit ihres alten beantragen. Ebenso viele Befragte gaben an, noch vor dem 1. November 2010 bewusst einen alten Personalausweis beantragen zu wollen, der dann zehn Jahre gültig ist. Zum Zeitpunkt der Umfrage war weder bekannt, dass der neue Ausweis mit 28,80 € ein Mehrfaches des alten kostet, noch, wo man den elektronischen Identitätsnachweis einsetzen kann. So würden 38 % der Befragten die eID-Funktion gerne beim Online-Banking einsetzen. Dies wird ihnen allerdings kaum angeboten werden. Am Anwendungstest hat nur eine Bank, die Deutsche Kreditbank (DKB), teilgenommen und die eID-Funktion nur für die Kontoeröffnung, aber nicht für die Führung von Online-Konten eingesetzt. Dieses Beispiel illustriert die Unklarheit über den Nutzen der eID-Funktion sehr gut.

Die DKB ist eine reine Online-Bank ohne eigene Filialen. Wenn man dort ein Konto eröffnen will, muss man ein Formular ausdrucken, ausfüllen, unterschreiben und abschicken. Dann bekommt man die Bestätigung nach dem Post-Ident-Verfahren, bei dem der Postbote den Brief nur gegen Vorlage des Personalausweises aushändigt und die Personalausweisdaten dokumentiert. Diesen Prozess kann man mit der eID-Funktion für die Bank deutlich vereinfachen und verbilligen. Und wenn die Kontoeröffnung nicht der einzige Fall der Online-Authentisierung bleibt, für den man einen Kartenleser und die Ausweis-App installiert, wird es auch für den Kunden etwas einfacher.

Aber für die Führung der Online-Konten bietet auch die DKB keine Authentisierung mit der eID-Funktion an. Beim Online-Banking kommt generell zum Einloggen mit Benutzername und Passwort die Absicherung der einzelnen Transaktionen durch eine TAN (Transaction Authentication Number) hinzu. Früher erhielten die Kunden eine Liste mit einer großen Anzahl von TANs, aus der sie frei wählen konnten. Dann wurden die TANs nummeriert und die Kunden aufgefordert, eine ganz bestimme TAN einzugeben. Heute wird eine TAN auf ein registriertes Mobiltelefon gesendet, oder es wird eine erste TAN am Bildschirm angezeigt, die in einen Offline-Kartenleser einzutippen ist, der in Verbindung mit der EC-Karte die eigentliche TAN erzeugt, die dann bei den Online-Transaktionen einzutippen ist. So wurde schrittweise das Risiko des Ausspähens von PINs beim Online-Banking reduziert.

Die eID-Funktion auf dem neuen Personalausweis kann diese dynamische Sicherung einzelner Transaktionen nicht ersetzen. Wenn sie jedoch an den TANs festhalten müssen, sehen die Filialbanken und Sparkassen zumindest in Deutschland bisher keinen Grund, das Log-In-Verfahren von Benutzername und Passwort auf eID-Funktion umzustellen und dazu Kartenleser und Ausweis-App zu verlangen. Dies kommt als generelle Strategie auch deswegen nicht in Frage, weil es noch zehn Jahre dauert, bis der letzte alte Personalausweis ersetzt werden muss und nur ein Teil der Inhaber eines neuen Ausweises die eID-Funktion freischalten lässt. Diese lange, so genannte Roll-Out-Zeit und die Freiwilligkeit lässt allen Diensteanbietern, Unternehmen wie Behörden, nur die Möglichkeit, die eID-Funktion zusätzlich zu den bisherigen Authentisierungsverfahren einzusetzen. Aus Nutzersicht stellt sich dann aber die Frage, warum man den Aufwand mit Kartenleser und App betreiben soll, wenn die angeblich weniger sicheren Verfahren weiterhin angeboten werden. Wie in vielen anderen Bereichen spielt das Trägheitsmoment eine große Rolle. Ohne Not oder starke Anreize ändern Verbraucher ihr Verhalten in der Regel nicht.



 

Aus Politik und Zeitgeschichte (B 44/2004)

Bürgerrechte und Innere Sicherheit

Benötigt Deutschland eine neue "Sicherheitsarchitektur"? Datenschützer warnen vor dem "gläsernen Bürger". Viele Bürgerinnen und Bürger scheinen in Zeiten terroristischer Bedrohung Einschränkungen der bürgerlichen Freiheiten in Kauf zu nehmen. Weiter... 

euro|topics

Täglich blickt die euro|topics-Presseschau in europäische Meinungsartikel über Politik, Gesellschaft und Kultur. Und zeigt, worüber Europa spricht. Weiter...