Pfeil links 1 | 2 | 3

Elektronischer Personalausweis

31.3.2011

Da die Aktivierung des elektronischen Identitätsnachweises ausdrücklich erklärt werden muss, stellt sich die Frage nach dem Nutzen und den Risiken aus Sicht der Ausweisinhaber als Internetnutzer. Denn offensichtlich ist zunächst nur der höhere Nutzen für die Diensteanbieter, die bisher kein Postident-Verfahren zur Überprüfung der Identitätsdaten ihrer Kunden bei einer Online-Registrierung durchführen. Bei einer Registrierung mit dem neuen Personalausweis erhalten sie die verlässlichen amtlichen Meldedaten und vermeiden durch das automatische Auslesen zudem noch Erfassungsfehler, die beim Eintippen von Namen und Anschriften immer wieder zusätzlichen Aufwand erfordern. Aber warum soll ein Ausweisbesitzer den Identitätsnachweis beantragen, sich einen Kartenleser kaufen, die Ausweis-App herunterladen, um den Diensteanbietern diese Vorteile zu verschaffen? In einem Flyer im Ausweisformat wurden Anfang 2010 noch sehr weitgehende Nutzungsversprechen gemacht:

  • "Von überall ins Amt: Erledigen Sie mit dem elektronischen Personalausweis Behördengänge ganz einfach online: jederzeit und überall."
  • "Volles Vertrauen im Internet: Mit dem elektronischen Personalausweis wissen Sie immer, mit wem Sie es im Internet zu tun haben."
  • "Viele Schlösser – ein Schlüssel: Vergessen Sie Ihre Passwörter und merken Sie sich eine PIN
  • Kinder- und Jugendschutz 2.0: Damit Ihre Kinder nur sehen, was sie sehen dürfen."
  • "Der eine für zwei Welten: Der Ausweis für das Informationszeitalter: mehr Komfort in der realen und der virtuellen Welt."
Diese Nutzenversprechen kann das BMI als Herausgeber des neuen Personalausweises alle nicht garantieren, da der versprochene Nutzen stets vom Verhalten der Diensteanbieter abhängt. Zur CeBit waren zwar rund 60 Zertifikate an Dienstanbieter erteilt, aber nur etwa 12 Angebote aus den Bereichen Versicherung, Auskunfteien und Emmissionshandel online, die jedoch nichts anbieten, was nicht auch ohne den neuen Ausweis nutzbar ist. Der Slogan von dem Einen für zwei Welten deutet darauf hin, dass hier ein grundlegendes Missverständnis zu Fehleinschätzungen führt. In der so genannten realen Welt erfüllt der neue elektronische Personalausweis die oben beschriebenen hoheitlichen Funktionen der Überprüfung von Namen, Wohnsitz, Staatsangehörigkeit, Echtheit des Ausweises u.a. in einem geschlossenen technischen System mit zentraler Steuerung, standardisierten amtlichen Erfassungsgeräten, die von Polizei- und Zollbeamten bedient werden und die Nutzer sich ausweisen müssen. In der so genannten virtuellen Welt, also bei Online-Shops und Online-Angeboten von Behörden, haben die Nutzerinnen und Nutzer unzählig viele unterschiedliche Kombinationen von Rechnern, Betriebssystemen, Browsern, Kartenlesern u. Ä. auf der einen Seite und unterschiedlichen Systemen auf der Seite der Diensteanbieter, mit denen vielfältige nicht standardisierte Vorgänge von der Erstregistrierung über einzelne Vertragsabschlüsse oder Altersverifikation bis zur Autorisierung einzelner Transaktionen erledigt werden können sollen. Anders als in der realen Welt wird die Identifizierung mit dem neuen Personalausweis fast immer nur als zusätzliche Möglichkeit neben den bisherigen Verfahren angewendet.In der Broschüre, die die Ausweisbehörden bei der Antragstellung für den neuen Personalausweis übergeben, wird schon etwas vorsichtiger argumentiert und vorsorglich darauf hingewiesen: "Nutzbar ist die Online-Ausweisfunktion nur bei den Anbietern, die das Online-Ausweisen in ihren Diensten auch tatsächlich anbieten. ... Seien Sie nicht überrascht, wenn nicht bei jedem Anbieter diese Möglichkeit besteht. Das Angebot wird sich nach und nach erweitern" (S. 5).

Nicht mehr versprochen werden die in früheren Verlautbarungen beschriebenen Effekte, den Identitätsdiebstahl, das sog. Phishing, im Internet zu verringern und die Sicherheitsbedenken vieler Nutzer zu zerstreuen, die sie bisher davon abhalten, Kauf-, Bezahl- und Behördenvorgänge im Internet abzuwickeln.

Ausblick



Eine Studie zu anderen europäischen Ländern (Kubicek und Noack 2010), die schon früher einen landesweit anerkannten elektronischen Identitätsnachweis auf der Basis von Daten aus den staatlichen Melderegistern eingeführt haben, zeigt auf einem relativ niedrigen Akzeptanzniveau deutliche Unterschiede zwischen zwei Gruppen von Ländern und ihren Strategien. Länder wie Belgien, Estland, Finnland und Spanien haben wie Deutschland den elektronischen Identitätsnachweis auf einem neuen Personalausweis in Form einer Chipkarte eingeführt. Der Anteil der Ausweisinhaber, die diese Funktion aktiviert haben, schwankt zwischen einem Prozent in Finnland, 50 % in Estland und 80 % in Belgien. Der Anteil derer, die dann die Voraussetzungen für den praktischen Einsatz schaffen und diese Funktion etwa bei der elektronischen Steuererklärung einsetzen, lag demgegenüber in Belgien und Estland 2009 nur bei 14 %. Das heißt, es gibt eine große Lücke zwischen denen, die über die Funktion verfügen und denen, die sie einsetzen. Es ist zu vermuten, dass dies an den zusätzlich erforderlichen Komponenten einerseits und der Möglichkeit der Nutzung der bisherigen Verfahren andererseits liegt.

Diese Vermutung wird durch die Entwicklung in Ländern wie Dänemark, Finnland und Schweden bestätigt. Dort wird die eID-Funktion von Banken in Lizenz herausgeben und für Banktransaktionen ebenso eingesetzt wie für Online-Behördenvorgänge. Überwiegend handelt es sich um Softwarezertifikate oder One-Time-Passwörter, vergleichbar der TAN in Deutschland. In Schweden können die Bürgerinnen und Bürger zwischen einer elektronischen Identität auf einer Chipkarte oder als Softwarezertifikat wählen. 97 % haben sich für das als weniger sicher geltende Softwarezertifikat entschieden.

Die ausländischen Erfahrungen zeigen, dass die Internetnutzerinnen und –nutzer Einfachheit höher bewerten als technische Sicherheit. In keinem der betrachteten Länder hat es eine ähnliche Kritik an der technischen Sicherheit gegeben. Von daher dürfte der Sicherheitsaspekt hierzulande noch weniger ins Gewicht fallen.

In Deutschland kommt aktuell noch ein weiteres Problem für die Akzeptanz des elektronischen Identitätsnachweises auf dem neuen Personalausweis hinzu. Während sich die Banken insgesamt abwartend bis ablehnend verhalten, werden zur gleichen Zeit zwei konkurrierende Dienstleistungen angeboten, die ebenfalls den Anspruch erheben, elektronische Transaktionen im Internet sicherer zu machen, und die auch ohne Chipkarten, Kartenleser und Client-Apps auskommen.

  • Das BMI hat in einem Feldversuch in Friedrichshafen die De-Mail mit zwei Anbietern erprobt, die 2011 u.a. von der Deutschen Telekom AG angeboten wird. Dabei handelt es sich um einen vom BSI zertifizierten E-Mail-Dienst, bei dem sich die Nutzerinnen und Nutzer mit ihrem Personalausweis online oder offline identifizieren müssen und dann eine eindeutige E-Mail-Adresse erhalten.
  • Gleichzeitig führt die Deutsche Post AG den elektronischen Postbrief ein, der elektronisch abgesendet, aber online oder offline zugestellt werden kann. Auch hier müssen sich Teilnehmer erstmalig mit dem Postident-Verfahren registrieren und erhalten ebenfalls eine eindeutige, amtlich bestätigte E-Mail-Adresse.
In der Werbung für beide neue Dienste werden ähnliche Anwendungen wie in der für den neuen Personalausweis genannt: Abschluss von Verträgen, insbesondere bei Versicherungen, Anträge bei Behörden u.a.m.Für den e-Postbrief verlangt die Deutsche Post AG vom Absender 55 Cent Porto, obwohl auch hier der Empfänger den größeren Nutzen hat. Insofern haben auch die Konkurrenzprodukte noch kein überzeugendes Geschäftsmodell gefunden.Insgesamt kann die Prognose gewagt werden, dass es der elektronische Identitätsnachweis in Deutschland eher noch schwerer haben wird als in anderen Ländern und dass er mit sehr großer Wahrscheinlichkeit in den zehn Jahren bis zum Ersatz des letzten alten Personalausweises nur eine Option unter einer ganzen Reihe von Online-Identifizierungsverfahren bleiben wird. Sein "Marktanteil" dürfte für verschiedene Arten von Anwendungen variieren, aber nicht dominieren. Und wie es 2021 weitergeht, welche Sicherheitsrisiken und –maßnahmen dann relevant sind, kann heute niemand sagen. Selbst in einem Zeitraum von fünf Jahren hat sich im Internet viel geändert. Der elektronische Identitätsnachweis auf dem neuen Personalausweis kann jedoch nicht so einfach angepasst werden, weil jedes neu ausgegebene Exemplar abwärts kompatibel mit den derzeitigen Funktionen des Chips sowie der Client- und Server-Software sein muss. Die virtuelle Welt im Internet ist eben anders als die reale Welt der hoheitlichen Anwendungen.

Literaturhinweis:



  • Kubicek, H. und T. Noack: Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis? Der neue Personalausweis im europäischen Vergleich. LIT-Verlag, Berlin 2010



 

Aus Politik und Zeitgeschichte (B 44/2004)

Bürgerrechte und Innere Sicherheit

Benötigt Deutschland eine neue "Sicherheitsarchitektur"? Datenschützer warnen vor dem "gläsernen Bürger". Viele Bürgerinnen und Bürger scheinen in Zeiten terroristischer Bedrohung Einschränkungen der bürgerlichen Freiheiten in Kauf zu nehmen. Weiter... 

euro|topics

Täglich blickt die euro|topics-Presseschau in europäische Meinungsartikel über Politik, Gesellschaft und Kultur. Und zeigt, worüber Europa spricht. Weiter...