Seit dem 1. November 2010 wird anstelle des bisherigen maschinenlesbaren Personalausweises ein elektronischer Personalausweis mit einem Chip ausgegeben. Er ist kleiner, im üblichen Scheckkartenformat, und verfügt über zusätzliche Funktionen und Anwendungsmöglichkeiten.
Elektronischer Personalausweis
/ 18 Minuten zu lesen
Seit dem 1. November 2010 wird der neue elektronische Personalausweis von den Meldebehörden ausgegeben. Was unterscheidet den neuen Ausweis von seinem Vorgänger, welche Vorteile bietet er gegenüber der alten Plastikkarte?
Der "alte" und der "neue" Personalausweis
1987 wurde der bis dahin als kleines Passbuch ausgegebene Personalausweis durch eine kunststofflaminierte Karte im so genannten ID-2-Format (74 x 105 mm) ersetzt. Einige der Angaben auf dieser Karte sind zusätzlich in maschinenlesbarer Form aufgedruckt. 2001 wurden holografische und weitere Elemente eingeführt, um die Fälschungssicherheit zu erhöhen.
Seit November 2010 wird nun der neue Personalausweis im kleineren Format und mit zusätzlichen Funktionen ausgegeben.
Daten auf dem Ausweis
Welche Daten auf dem Ausweis aufgedruckt und auf dem Chip gespeichert werden müssen bzw. dürfen, bestimmt das Personalausweisgesetz, 1950 erlassen und zuletzt 2009 novelliert durch das Externer Link: Gesetz über Personalausweise und den elektronischen Identitätsnachweis
Tabelle: Vergleich alter und neuer Personalausweis (PA)
Ausweisdaten | Alter PA | Neuer PA | |
---|---|---|---|
Ausweis | Chip | ||
Seriennummer | V | V | + |
Familienname Ggf. Doktorgrad Ggf. Geburtsname | V V V | V V V | + + + |
Vorname Ggf. weitere Vornamen | V V | V V | + + |
Geburtstag | V | V | + |
Staatsangehörigkeit | V | V | - |
Geburtsort | V | V | + |
Gültigkeitsdatum | V | V | + |
Zugangsnummer | - | V | - |
Unterschrift der Inhaberin/des Inhabers | V | V | - |
Passbild | V üblich | V biometrie-tauglich | + |
Maschinenlesbare Zone | V 2-zeilig | R 3-zeilig | + |
Wohnanschrift Mit fünfstelliger Postleitzahl (Hauptwohnsitz) | R - | R R | + + |
Augenfarbe | R | R | - |
Körpergröße | R | R | - |
Ausstellungsdatum | R | R | - |
Ausstellende Behörde | R | R | - |
Ggf. Ordens- oder Künstlername | R | R | - |
Fingerabdrücke | - | - | + |
Sperrkennwort | - | - | + |
Der Vergleich in Tabelle 1 zeigt, dass sich auf dem Ausweis nicht viel geändert hat:
Das Passbild muss nun, wie beim Reisepass, biometrietauglich sein.
Bei der Wohnanschrift muss die Postleitzahl angegeben werden.
Die maschinenlesbare Zone befindet sich nun auf der Ausweisrückseite, und sie ist nun drei- statt zweizeilig, beinhaltet aber wie bisher nur den Namen, das Geburtsdatum, die Ausweisnummer und das Gültigkeitsdatum mit Prüfziffern.
Hinzugekommen ist auf dem Ausweis lediglich die Zugangsnummer. Sie ist ein Passwort für hoheitliche Zugriffe auf die auf dem Chip gespeicherten Daten.
Neu sind somit vor allem die auf dem Chip gespeicherten Daten und die darauf bezogenen Daten wie PIN und PUK. In Bezug auf den Zugriff auf die Daten auf dem Chip wird zwischen hoheitlichen Funktionen und nicht-hoheitlichen Funktionen unterschieden.
Hoheitliche Funktionen
Als hoheitliche Funktionen bezeichnet man die klassischen Funktionen eines Personalausweises als Nachweis der Identität, der Wohnadresse und/oder der Staatsangehörigkeit bei Polizei- und Grenzkontrollen. Auf die elektronisch gespeicherten Daten dürfen nach Externer Link: § 17 PAuswG nur die Polizeivollzugsbehörden, die Zollverwaltung, die Steuerfahndung sowie die Personalausweis-, Pass- und Meldebehörden im Rahmen ihrer jeweiligen Aufgaben zugreifen. Technisch ist dies nur mit besonderen hoheitlichen Lesegeräten möglich.
Die Speicherung digitaler Fingerabdrücke
Die wichtigste und politisch zunächst umstrittene Neuerung ist die Speicherung digitaler Fingerabdrücke auf dem Chip. Die grundsätzliche Möglichkeit zur Speicherung biometrischer Daten auf dem Personalausweis war bereits 2002 nach den Terroranschlägen vom 11. September 2001 in einem Anti-Terror-Gesetzespaket vom damaligen Innenminister Otto Schily mit einem Verweis auf eine entsprechende UN-Resolution durchgesetzt worden. Einzelheiten sollten danach später in einer spezielleren Regelung bestimmt werden. Diese wurde von der Bundesregierung mit dem Entwurf für ein Novellierungsgesetz zum bestehenden Personalausweisgesetz 2009 vorgelegt und sah die generelle Erhebung und Speicherung digitaler Fingerabdrücke vor. Im Deutschen Bundestag konnte Innenminister Schäuble dafür jedoch keine Mehrheit finden, was zunächst erstaunte, weil über die Erhebung und Speicherung digitaler Fingerabdrücke im elektronischen Reisepass 2007 parlamentarisch Konsens in der damals regierenden Großen Koalition erzielt worden war.
Bereits seit 1997 bemüht sich die International Civil Aviation Organization (ICAO), eine Unterorganisation der Vereinten Nationen für Abkommen in der internationalen Zivilluftfahrt, um eine Standardisierung der Speicherung biometrischer Merkmale auf elektronischen Reisepässen für einheitliche Grenzkontrollen. 2004 hat der Rat der Europäischen Union auf politischen Druck der USA beschlossen, dass die Reisepässe aller Mitgliedstaaten diesem Standard entsprechen sollen. Bei der Umsetzung in Deutschland gab es jedoch Bedenken, dass aus diesem Anlass eine zentrale Datei der Fingerabdrücke aller deutschen Passinhaber entstehen könnte, die Erinnerungen an eine entsprechende Sammlung der Fingerabdrücke von Juden zur Zeit des Nationalsozialismus weckte. Daher wurde vereinbart, dass die Kontrolle der digitalen Fingerabdrücke nur lokal durch einen Abgleich mit einem Fingerabdruckleser erfolgen darf und nicht mit einer permanenten Datei. Daher schreibt Externer Link: § 16 Passgesetz vor, dass die erhobenen digitalen Fingerabdrücke nach der Aushändigung des Reisepasses von den Passbehörden zu löschen sind.
Der Grund für die Weigerung gegenüber einer verpflichtenden Speicherung digitaler Fingerabdrücke auch auf dem neuen Personalausweis liegt in den gesetzlichen Regelungen zur Ausweispflicht. Nach Externer Link: § 1 PAuswG besteht in Deutschland für Deutsche ab dem Alter von 16 Jahren eine Ausweispflicht. Dieser kann man durch einen Personalausweis, ersatzweise aber auch durch einen Reisepass nachkommen. Es besteht keine Pflicht zum Erwerb eines Reisepasses. In die meisten europäischen Länder kann man auch mit einem deutschen Personalausweis einreisen. Die digitale Erfassung von Fingerabdrücken könnte man also vermeiden, wenn man keinen Reisepass beantragt. Wäre die Erfassung auf dem neuen Personalausweis verpflichtend gemacht worden, wäre dieser Ausweg versperrt und letztlich eine Erfassung der Fingerabdrücke aller Deutschen über 16 Jahren vorgeschrieben worden. Als Kompromiss schreibt Externer Link: PAuswG § 5, Abs. 9 vor, dass Fingerabdrücke nur auf Antrag gespeichert werden.
Der elektronische Identitätsnachweis
Eine grundlegende Neuerung stellt die durch den Chip ermöglichte zusätzliche, nicht-hoheitliche Funktion des elektronischen Identitätsnachweises dar. Nach Externer Link: § 18 PAuswG kann der Ausweisinhaber, der mindestens 16 Jahre alt ist, seinen Personalausweis dazu verwenden, "seine Identität gegenüber öffentlichen und nichtöffentlichen Stellen elektronisch nachzuweisen". Dieser elektronische Identitätsnachweis "erfolgt durch Übermittlung von Daten aus dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises". Dabei sind Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit nach dem jeweiligen Stand der Technik zu treffen.
Im internationalen Vergleich ist das auf dem deutschen Personalausweis implementierte Verfahren das datenschutzfreundlichste und technisch sicherste (vgl. auch Kubicek und Noack 2010).
Datenschutzfreundliche Gestaltung
Nach Externer Link: § 18, Abs. 4 PAuswG dürfen identitätsbezogene Daten aus dem Chip nur übermittelt werden, "wenn der Diensteanbieter ein gültiges Berechtigungszertifikat an den Personalausweisinhaber übermittelt und dieser in der Folge seine Geheimnummer eingibt". In dem Externer Link: Berechtigungszertifikat muss der Diensteanbieter Namen und Anschrift, E-Mail-Adresse, Kategorien der zu übermittelnden Daten, Zweck der Übermittlung, einen Hinweis auf die zuständige Datenschutzaufsichtsbehörde und Gültigkeit der Berechtigungszertifikate übermitteln. Der Ausweisinhaber kann in jedem Einzelfall bestimmen, welche seiner personenbezogenen Daten er dem jeweiligen Diensteanbieter übermitteln will. In allen anderen europäischen Ländern mit ähnlichen Funktionen auf dem Personalausweis haben Diensteanbieter jeweils Zugriff auf den gesamten Datensatz. Beim neuen deutschen Personalausweis wird das im Bundesdatenschutzgesetz verankerte Gebot der Datensparsamkeit auch dadurch vorbildlich erfüllt, dass je nach Erforderlichkeit nicht das Geburtsdatum angegeben werden muss, sondern lediglich, ob ein bestimmtes Alter über- oder unterschritten wird. Dadurch ist eine anonyme Altersverifikation möglich.
Das Verfahren zur Ausstellung und Prüfung der Berechtigungszertifikate ist in Externer Link: § 21 PAuswG geregelt. Diensteanbieter können bei einer vom Bundesinnenministerium (BMI) zu bestimmenden Stelle die Berechtigung beantragen, "die für die Wahrnehmung ihrer Aufgaben oder Geschäftszwecke erforderlichen Daten im Wege des elektronischen Identitätsnachweises beim Inhaber des Personalausweises mittels eines Berechtigungszertifikats anzufragen". Dazu muss der Antragsteller die Erforderlichkeit der zu übermittelnden Daten für den beschriebenen Zweck nachweisen. Außerdem müssen die Anforderungen an Datenschutz und Datensicherheit gemäß einer Verordnung über Personalausweise und den elektronischen Identitätsnachweis (Externer Link: PAuswV) erfüllt sein, und es dürfen "keine Anhaltspunkte für eine missbräuchliche Verwendung der Berechtigung vorliegen".
Mit der Prüfung der Erforderlichkeit und der Vergabe der Berechtigung hat das BMI das Externer Link: Bundesverwaltungsamt beauftragt. Das technisch zu übermittelnde Zertifikat müssen die Diensteanbieter bei einem von mehreren privatwirtschaftlichen Externer Link: Zertifizierungsdiensteanbietern erwerben.
Die erwähnte Rechtsverordnung sieht vor, dass die Vergabestelle bei der für einen nichtöffentlichen Diensteanbieter zuständigen Aufsichtsbehörde für den Datenschutz "eine Stellungnahme einholen (kann), ob dort Umstände bekannt sind, aus denen sich Anhaltspunkte für eine missbräuchliche Verwendung der Berechtigung ergeben" (Externer Link: § 29, Abs. 3 PAuswV vom 1. Nov. 2010). Eine Überprüfung im Sinne eines Datenschutzsiegels findet nicht statt.
Freiwilliges Freischalten und Sperren, PIN und PUK
Technisch ist die Funktion des elektronischen Identitätsnachweises auf jedem von der Bundesdruckerei hergestellten Personalausweis implementiert. Er wird also nicht beantragt, sondern erst bei der Übergabe an den Ausweisinhaber freigeschaltet oder nicht. Nach der Freischaltung erhält der Ausweisinhaber mit der Post eine PIN, eine PUK und ein Sperrkennwort. Die sechsstellige PIN (Persönliche Identifikationsnummer) wird beim elektronischen Identitätsnachweis zur Freigabe der angeforderten Identitätsdaten benötigt. Sie ist sowohl am eigenen Computer als auch in der Personalausweisbehörde änderbar. Bei drei Fehleingaben wird die PIN-Eingabe blockiert und muss durch Eingabe des PUK (Personal Unblocking Key) wieder freigegeben werden. Mit dem Sperrkennwort kann man telefonisch die Funktion des elektronischen Identitätsnachweises sperren lassen, wenn der Ausweis abhanden gekommen ist oder ein Verdacht auf Missbrauch besteht.
Um den elektronischen Identitätsnachweis im Internet nutzen zu können, werden ein Externer Link: Kartenleser mit Treibersoftware und eine spezielle Software benutzt, die zunächst "Bürgerclient" hieß, aktuell "Ausweis-App" genannt wird. Da der Ausweis über einen RFID-Chip verfügt, kommen nur kontaktlose Kartenleser in Frage. Ähnlich wie die Kartenleser für kontaktbehaftete Chipkarten werden diese in drei unterschiedliche Sicherheitsstufen eingeteilt, denen das Bundesinnenministerium folgende Namen gegeben hat:
Basisleser (Klasse 1) haben nur eine Auflagefläche, aber keine eigene Tatstatur und kein eigenes Display.
Standardleser (Klasse 2) verfügen über Tastatur und Display.
Komfortleser (Klasse 3) verfügen ebenfalls über Tastatur und Display und sollen auch kontaktbehaftete Chipkarten lesen können. Ihre technische Sicherheit muss zertifiziert sein. Dadurch gilt dieser Kartenleser als sichere Signaturerstellungseinheit im Sinne des Externer Link: Signaturgesetzes und erlaubt die rechtsverbindliche elektronische Unterschrift von Dokumenten durch eine qualifizierte Signatur.
(Den Unterschied zwischen Basis- und Standardlesern zeigt Abb. 3.)
Entsprechend dem Funktionsumfang unterscheiden sich auch die Preise. Basiskartenleser liegen bei 50 bis 60 Euro, Standardlesegeräte bei 80 bis 90 Euro und die Komfortleser bei 150 Euro.
Sicherheitslücken
Die Verwendung eines RFID-Chips hatte wegen der funkgestützten Abfrage schon beim elektronischen Reisepass eine Diskussion über Sicherheitslücken ausgelöst. Es sind sowohl Fälle des Auslesens der Daten als auch der Zerstörung der Daten berichtet worden. Bisher sind allerdings keine Fälschungen im Zusammenhang mit Grenzkontrollen bekannt geworden. Über die Möglichkeit der Zerstörung der Daten auf dem RFID-Chip des neuen Personalausweises hat Externer Link: das WDR-Fernsehen am 14. September berichtet, Schüler einer neunten Klasse hätten im Physikunterricht den Chip nach Anweisungen aus dem Internet deaktiviert.
Auf den Internetseiten des Externer Link: Bundesamts für Sicherheit in der Informationstechnik (BSI) findet man umfangreiche Ausführungen zu den Sicherheitsfunktionen des RFID-Chips und des E-Passes, aber nichts zu Risiken und Angriffen. Beim elektronischen Identitätsnachweis kommen noch weitere Risiken hinzu.
Der Chaos Computer Club hat gezeigt, dass Dritte bei Verwendung des Basiskartenlesers mit einer auf dem benutzten Rechner installierten Schadsoftware, so genannte Key Logger, die PIN-Eingabe erfassen können. Dies ist keine Schwachstelle des Ausweises, sondern ein bekanntes Risiko, das auch beim Online-Banking besteht. Im Falle des elektronischen Identitätsnachweises ist das Missbrauchsrisiko geringer, weil für einen Missbrauch nicht nur die Kenntnis der PIN, sondern auch das Auflegen des Ausweises auf einen Kartenleser erforderlich ist.
Während das BMI argumentiert, dass dazu ein Diebstahl des Ausweises erforderlich wäre, hat der Chaos Computer Club gezeigt, dass ein Missbrauch auch möglich ist, wenn der Ausweisinhaber seinen Ausweis auf dem Kartenleser liegen lässt. Das BMI verweist dementsprechend auf die Sorgfaltspflichten der Ausweisinhaber. Bemerkenswert ist, dass in der Externer Link: Personalausweisverordnung tatsächlich solche Pflichten verankert sind. In § 23, Abs. 2 heißt es:
"Der Ausweisinhaber soll sicherstellen, dass insbesondere folgende Komponenten bei der Nutzung des elektronischen Identitätsnachweises eingesetzt werden:
Informationstechnische Systeme mit geeigneten Abwehrmaßnahmen gegen Sicherheitslücken nach dem Stand der Technik,
Lesegeräte, die durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden sind,
Software zur Nutzung des elektronischen Identitätsnachweises, die durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden ist."
Offen ist, ob im Falle eines Missbrauchs, wenn keine Firewall und keine Anti-Viren-Software installiert wurde, der Ausweisinhaber für Schäden selbst haftet. Abb. 3 zeigt den Unterschied zwischen dem Basis-Kartenleser und dem Standardkartenleser. BMI und BSI verweisen zudem darauf, dass dieses Risiko nur beim Einsatz des Basislesers besteht. Beim Komfortleser erfolgt die PIN Eingabe über dessen Tastatur, ohne Gefahr von Key Loggern.
Sicherheitslücken in Ausweis-App
Ein zweites Sicherheitsproblem betraf vorübergehend die Client-Software, die so genannte Ausweis-App. Am 8.11.2010 hatte Spiegel Online über eine Sicherheitslücke in der Software berichtet und einen Tag später gemeldet: "Externer Link: BSI sperrt Download der Personalausweis-App". (Externer Link: Pressemeldung). Die Nachbesserungen dauerten mehrere Wochen. Inzwischen scheint diese Lücke vorerst geschlossen.
Elektronische Signaturen
Eine weitere neue zusätzliche Funktion ist die Vorbereitung für elektronische Signaturen. Als elektronische Signatur bezeichnet man ein Verschlüsselungsverfahren, mit dem man Dokumente eindeutig einem Autor zuordnen und gleichzeitig den Inhalt gegen Verfälschungen schützen kann. Dies gilt insbesondere für so genannte qualifizierte Signaturen nach dem Externer Link: Signaturgesetz, die die Schriftformerfordernisse erfüllen und der handschriftlichen Unterschrift gleichgestellt sind. Sie beruhen auf einem asymmetrischen Verschlüsselungsverfahren. Der Unterzeichner muss bei einem Trust-Center als Zertifizierungsdiensteanbieter ein Paar aus einem geheimen und einem öffentlichen Schlüssel beantragen. Der geheime Schlüssel wird unauslesbar auf einer Chipkarte gespeichert, das öffentliche Gegenstück in einem über das Internet zugänglichen Verzeichnis veröffentlicht. Der Signaturinhaber verschlüsselt Dokumente inkl. E-Mails mit seinem geheimen Schlüssel, der Empfänger kann das Dokument dann mit dem öffentlichen Schlüssel entschlüsseln. Veränderungen an dem Dokument würden dabei bemerkt.
Während der elektronische Identitätsnachweis die Überprüfung der Identität von Personen erlaubt, ermöglicht die qualifizierte Signatur die Überprüfung der Identität eines Dokuments im Sinne der Zuordnung zu einem bestimmten Autor oder Absender und im Sinne der Unversehrtheit (Integrität). Wenn Geschäfte oder Verwaltungsvorgänge online erledigt werden sollen, für die die Schriftform erforderlich ist, muss nach dem Identitätsnachweis in der Regel auch noch eine elektronische Signatur erfolgen.
Anders als beim Identitätsnachweis ist die elektronische Signatur jedoch nicht auf dem Chip des neuen Personalausweises von vornherein implementiert. Der Chip ist technisch nur so weit vorbereitet und zertifiziert, dass der Ausweisinhaber bei einem Trust-Center eine Signatur beantragen und den privaten Schlüssel darauf herunterladen kann.
Anbieter müssen von der Bundesnetzagentur zugelassen werden. Dies sind u.a. D-Trust, Deutsche Post, Deutsche Telekom, Bundesnotarkammer, Deutscher Sparkassenverlag u.a.m. (Externer Link: aktuelle Liste hier). Für qualifizierte Signaturen müssen die oben genannten Komfortleser eingesetzt werden, die vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden sind. Ende März 2011, vier Monate nach Ausgabe der ersten Ausweise, waren solche Lesegeräte auf der Internetseite des Ausweisportals angekündigt aber im Handel noch nicht verfügbar.
Anwendungstests
In der Planung für die Einführung des neuen Personalausweises fand nicht nur eine Vorbereitung der Personalausweisstellen auf ihre veränderten Aufgaben bei der Beantragung und Ausgabe der neuen Ausweise statt. Es wurde auch ein betreuter Anwendungstest für den elektronischen Identitätsnachweis geplant, ausgeschrieben und durchgeführt, damit zum Zeitpunkt der Ausgabe der ersten Ausweise eine hinreichend große Anzahl attraktiver Anwendungen existiert. Auf eine Ausschreibung hatten sich über 100 Unternehmen und Behörden gemeldet, von denen 30 für den betreuten Test ausgewählt wurden. Ihnen wurden Testausweise und erste Versionen des eID-Servers sowie eine Beratung durch das Kompetenzzentrum zur Verfügung gestellt. Zu den 30 Testanwendern gehörten u.a. Air Berlin, der Fujitsu-Siemens Online-Shop, die Deutsche Kreditbank sowie die Stadt Hagen (Externer Link: Broschüre zum Anwendungstest zum Ansehen). Der Test begann im Juni 2010. Am 1. November 2010 gab es allerdings noch kein einziges verbindliches Angebot. Zur Cebit im März 2011 waren rund 60 Berechtigungszertifikate erteilt. Aber die Erteilung eines Zertifikats durch die Vergabestelle bedeutet noch lange nicht, dass die eID-Funktion auch tatsächlich zur Authentisierung für entsprechende Online-Dienste eingesetzt wird. Dazu müssen nicht nur die technischen Zertifikate von einem Zertifizierungsdiensteanbieter bezogen werden. Es muss auch entweder eine eID-Middleware auf einem Web-Server installiert werden, die den Dialog mit dem Ausweis und dem Ausweisleser der Kunden führt, oder diese Dienstleistung muss von einem eID-Provider bezogen werden. Die Kosten hierfür liegen bei ca. 5.000 Euro pro Jahr. Sehr viel teurer ist jedoch die Einbindung des eID-Servers in die Shop- oder Content-Management-Systeme der Diensteanbieter.
Anwendungsbeispiele und -grenzen
Auch fünf Monate nach der ersten Möglichkeit, einen elektronischen Identitätsnachweis zu beantragen, kann man über seine Akzeptanz noch keine fundierten Aussagen treffen. In einer Umfrage des Branchenverbands BITKOM im Februar 2010 sagten 30 % aller Internetnutzer, sie würden den neuen Personalausweis noch vor Ablauf der Gültigkeit ihres alten beantragen. Ebenso viele Befragte gaben an, noch vor dem 1. November 2010 bewusst einen alten Personalausweis beantragen zu wollen, der dann zehn Jahre gültig ist. Zum Zeitpunkt der Umfrage war weder bekannt, dass der neue Ausweis mit 28,80 € ein Mehrfaches des alten kostet, noch, wo man den elektronischen Identitätsnachweis einsetzen kann. So würden 38 % der Befragten die eID-Funktion gerne beim Online-Banking einsetzen. Dies wird ihnen allerdings kaum angeboten werden. Am Anwendungstest hat nur eine Bank, die Deutsche Kreditbank (DKB), teilgenommen und die eID-Funktion nur für die Kontoeröffnung, aber nicht für die Führung von Online-Konten eingesetzt. Dieses Beispiel illustriert die Unklarheit über den Nutzen der eID-Funktion sehr gut.
Die DKB ist eine reine Online-Bank ohne eigene Filialen. Wenn man dort ein Konto eröffnen will, muss man ein Formular ausdrucken, ausfüllen, unterschreiben und abschicken. Dann bekommt man die Bestätigung nach dem Post-Ident-Verfahren, bei dem der Postbote den Brief nur gegen Vorlage des Personalausweises aushändigt und die Personalausweisdaten dokumentiert. Diesen Prozess kann man mit der eID-Funktion für die Bank deutlich vereinfachen und verbilligen. Und wenn die Kontoeröffnung nicht der einzige Fall der Online-Authentisierung bleibt, für den man einen Kartenleser und die Ausweis-App installiert, wird es auch für den Kunden etwas einfacher.
Aber für die Führung der Online-Konten bietet auch die DKB keine Authentisierung mit der eID-Funktion an. Beim Online-Banking kommt generell zum Einloggen mit Benutzername und Passwort die Absicherung der einzelnen Transaktionen durch eine TAN (Transaction Authentication Number) hinzu. Früher erhielten die Kunden eine Liste mit einer großen Anzahl von TANs, aus der sie frei wählen konnten. Dann wurden die TANs nummeriert und die Kunden aufgefordert, eine ganz bestimme TAN einzugeben. Heute wird eine TAN auf ein registriertes Mobiltelefon gesendet, oder es wird eine erste TAN am Bildschirm angezeigt, die in einen Offline-Kartenleser einzutippen ist, der in Verbindung mit der EC-Karte die eigentliche TAN erzeugt, die dann bei den Online-Transaktionen einzutippen ist. So wurde schrittweise das Risiko des Ausspähens von PINs beim Online-Banking reduziert.
Die eID-Funktion auf dem neuen Personalausweis kann diese dynamische Sicherung einzelner Transaktionen nicht ersetzen. Wenn sie jedoch an den TANs festhalten müssen, sehen die Filialbanken und Sparkassen zumindest in Deutschland bisher keinen Grund, das Log-In-Verfahren von Benutzername und Passwort auf eID-Funktion umzustellen und dazu Kartenleser und Ausweis-App zu verlangen. Dies kommt als generelle Strategie auch deswegen nicht in Frage, weil es noch zehn Jahre dauert, bis der letzte alte Personalausweis ersetzt werden muss und nur ein Teil der Inhaber eines neuen Ausweises die eID-Funktion freischalten lässt. Diese lange, so genannte Roll-Out-Zeit und die Freiwilligkeit lässt allen Diensteanbietern, Unternehmen wie Behörden, nur die Möglichkeit, die eID-Funktion zusätzlich zu den bisherigen Authentisierungsverfahren einzusetzen. Aus Nutzersicht stellt sich dann aber die Frage, warum man den Aufwand mit Kartenleser und App betreiben soll, wenn die angeblich weniger sicheren Verfahren weiterhin angeboten werden. Wie in vielen anderen Bereichen spielt das Trägheitsmoment eine große Rolle. Ohne Not oder starke Anreize ändern Verbraucher ihr Verhalten in der Regel nicht.
Da die Aktivierung des elektronischen Identitätsnachweises ausdrücklich erklärt werden muss, stellt sich die Frage nach dem Nutzen und den Risiken aus Sicht der Ausweisinhaber als Internetnutzer. Denn offensichtlich ist zunächst nur der höhere Nutzen für die Diensteanbieter, die bisher kein Postident-Verfahren zur Überprüfung der Identitätsdaten ihrer Kunden bei einer Online-Registrierung durchführen. Bei einer Registrierung mit dem neuen Personalausweis erhalten sie die verlässlichen amtlichen Meldedaten und vermeiden durch das automatische Auslesen zudem noch Erfassungsfehler, die beim Eintippen von Namen und Anschriften immer wieder zusätzlichen Aufwand erfordern. Aber warum soll ein Ausweisbesitzer den Identitätsnachweis beantragen, sich einen Kartenleser kaufen, die Ausweis-App herunterladen, um den Diensteanbietern diese Vorteile zu verschaffen? In einem Flyer im Ausweisformat wurden Anfang 2010 noch sehr weitgehende Nutzungsversprechen gemacht:
"Von überall ins Amt: Erledigen Sie mit dem elektronischen Personalausweis Behördengänge ganz einfach online: jederzeit und überall."
"Volles Vertrauen im Internet: Mit dem elektronischen Personalausweis wissen Sie immer, mit wem Sie es im Internet zu tun haben."
"Viele Schlösser – ein Schlüssel: Vergessen Sie Ihre Passwörter und merken Sie sich eine PIN
Kinder- und Jugendschutz 2.0: Damit Ihre Kinder nur sehen, was sie sehen dürfen."
"Der eine für zwei Welten: Der Ausweis für das Informationszeitalter: mehr Komfort in der realen und der virtuellen Welt."
Diese Nutzenversprechen kann das BMI als Herausgeber des neuen Personalausweises alle nicht garantieren, da der versprochene Nutzen stets vom Verhalten der Diensteanbieter abhängt. Zur CeBit waren zwar rund 60 Zertifikate an Dienstanbieter erteilt, aber nur etwa 12 Angebote aus den Bereichen Versicherung, Auskunfteien und Emmissionshandel online, die jedoch nichts anbieten, was nicht auch ohne den neuen Ausweis nutzbar ist. Der Slogan von dem Einen für zwei Welten deutet darauf hin, dass hier ein grundlegendes Missverständnis zu Fehleinschätzungen führt. In der so genannten realen Welt erfüllt der neue elektronische Personalausweis die oben beschriebenen hoheitlichen Funktionen der Überprüfung von Namen, Wohnsitz, Staatsangehörigkeit, Echtheit des Ausweises u.a. in einem geschlossenen technischen System mit zentraler Steuerung, standardisierten amtlichen Erfassungsgeräten, die von Polizei- und Zollbeamten bedient werden und die Nutzer sich ausweisen müssen.
In der so genannten virtuellen Welt, also bei Online-Shops und Online-Angeboten von Behörden, haben die Nutzerinnen und Nutzer unzählig viele unterschiedliche Kombinationen von Rechnern, Betriebssystemen, Browsern, Kartenlesern u. Ä. auf der einen Seite und unterschiedlichen Systemen auf der Seite der Diensteanbieter, mit denen vielfältige nicht standardisierte Vorgänge von der Erstregistrierung über einzelne Vertragsabschlüsse oder Altersverifikation bis zur Autorisierung einzelner Transaktionen erledigt werden können sollen. Anders als in der realen Welt wird die Identifizierung mit dem neuen Personalausweis fast immer nur als zusätzliche Möglichkeit neben den bisherigen Verfahren angewendet.
In der Externer Link: Broschüre, die die Ausweisbehörden bei der Antragstellung für den neuen Personalausweis übergeben, wird schon etwas vorsichtiger argumentiert und vorsorglich darauf hingewiesen: "Nutzbar ist die Online-Ausweisfunktion nur bei den Anbietern, die das Online-Ausweisen in ihren Diensten auch tatsächlich anbieten. ... Seien Sie nicht überrascht, wenn nicht bei jedem Anbieter diese Möglichkeit besteht. Das Angebot wird sich nach und nach erweitern" (S. 5).
Nicht mehr versprochen werden die in früheren Verlautbarungen beschriebenen Effekte, den Identitätsdiebstahl, das sog. Phishing, im Internet zu verringern und die Sicherheitsbedenken vieler Nutzer zu zerstreuen, die sie bisher davon abhalten, Kauf-, Bezahl- und Behördenvorgänge im Internet abzuwickeln.
Ausblick
Eine Studie zu anderen europäischen Ländern (Kubicek und Noack 2010), die schon früher einen landesweit anerkannten elektronischen Identitätsnachweis auf der Basis von Daten aus den staatlichen Melderegistern eingeführt haben, zeigt auf einem relativ niedrigen Akzeptanzniveau deutliche Unterschiede zwischen zwei Gruppen von Ländern und ihren Strategien. Länder wie Belgien, Estland, Finnland und Spanien haben wie Deutschland den elektronischen Identitätsnachweis auf einem neuen Personalausweis in Form einer Chipkarte eingeführt. Der Anteil der Ausweisinhaber, die diese Funktion aktiviert haben, schwankt zwischen einem Prozent in Finnland, 50 % in Estland und 80 % in Belgien. Der Anteil derer, die dann die Voraussetzungen für den praktischen Einsatz schaffen und diese Funktion etwa bei der elektronischen Steuererklärung einsetzen, lag demgegenüber in Belgien und Estland 2009 nur bei 14 %. Das heißt, es gibt eine große Lücke zwischen denen, die über die Funktion verfügen und denen, die sie einsetzen. Es ist zu vermuten, dass dies an den zusätzlich erforderlichen Komponenten einerseits und der Möglichkeit der Nutzung der bisherigen Verfahren andererseits liegt.
Diese Vermutung wird durch die Entwicklung in Ländern wie Dänemark, Finnland und Schweden bestätigt. Dort wird die eID-Funktion von Banken in Lizenz herausgeben und für Banktransaktionen ebenso eingesetzt wie für Online-Behördenvorgänge. Überwiegend handelt es sich um Softwarezertifikate oder One-Time-Passwörter, vergleichbar der TAN in Deutschland. In Schweden können die Bürgerinnen und Bürger zwischen einer elektronischen Identität auf einer Chipkarte oder als Softwarezertifikat wählen. 97 % haben sich für das als weniger sicher geltende Softwarezertifikat entschieden.
Die ausländischen Erfahrungen zeigen, dass die Internetnutzerinnen und –nutzer Einfachheit höher bewerten als technische Sicherheit. In keinem der betrachteten Länder hat es eine ähnliche Kritik an der technischen Sicherheit gegeben. Von daher dürfte der Sicherheitsaspekt hierzulande noch weniger ins Gewicht fallen.
In Deutschland kommt aktuell noch ein weiteres Problem für die Akzeptanz des elektronischen Identitätsnachweises auf dem neuen Personalausweis hinzu. Während sich die Banken insgesamt abwartend bis ablehnend verhalten, werden zur gleichen Zeit zwei konkurrierende Dienstleistungen angeboten, die ebenfalls den Anspruch erheben, elektronische Transaktionen im Internet sicherer zu machen, und die auch ohne Chipkarten, Kartenleser und Client-Apps auskommen.
Das BMI hat in einem Feldversuch in Friedrichshafen die Externer Link: De-Mail mit zwei Anbietern erprobt, die 2011 u.a. von der Deutschen Telekom AG angeboten wird. Dabei handelt es sich um einen vom BSI zertifizierten E-Mail-Dienst, bei dem sich die Nutzerinnen und Nutzer mit ihrem Personalausweis online oder offline identifizieren müssen und dann eine eindeutige E-Mail-Adresse erhalten.
Gleichzeitig führt die Deutsche Post AG den Externer Link: elektronischen Postbrief ein, der elektronisch abgesendet, aber online oder offline zugestellt werden kann. Auch hier müssen sich Teilnehmer erstmalig mit dem Postident-Verfahren registrieren und erhalten ebenfalls eine eindeutige, amtlich bestätigte E-Mail-Adresse.
In der Werbung für beide neue Dienste werden ähnliche Anwendungen wie in der für den neuen Personalausweis genannt: Abschluss von Verträgen, insbesondere bei Versicherungen, Anträge bei Behörden u.a.m.
Für den e-Postbrief verlangt die Deutsche Post AG vom Absender 55 Cent Porto, obwohl auch hier der Empfänger den größeren Nutzen hat. Insofern haben auch die Konkurrenzprodukte noch kein überzeugendes Geschäftsmodell gefunden.
Insgesamt kann die Prognose gewagt werden, dass es der elektronische Identitätsnachweis in Deutschland eher noch schwerer haben wird als in anderen Ländern und dass er mit sehr großer Wahrscheinlichkeit in den zehn Jahren bis zum Ersatz des letzten alten Personalausweises nur eine Option unter einer ganzen Reihe von Online-Identifizierungsverfahren bleiben wird. Sein "Marktanteil" dürfte für verschiedene Arten von Anwendungen variieren, aber nicht dominieren. Und wie es 2021 weitergeht, welche Sicherheitsrisiken und –maßnahmen dann relevant sind, kann heute niemand sagen. Selbst in einem Zeitraum von fünf Jahren hat sich im Internet viel geändert. Der elektronische Identitätsnachweis auf dem neuen Personalausweis kann jedoch nicht so einfach angepasst werden, weil jedes neu ausgegebene Exemplar abwärts kompatibel mit den derzeitigen Funktionen des Chips sowie der Client- und Server-Software sein muss. Die virtuelle Welt im Internet ist eben anders als die reale Welt der hoheitlichen Anwendungen.
Literaturhinweis:
Kubicek, H. und T. Noack: Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis? Der neue Personalausweis im europäischen Vergleich. LIT-Verlag, Berlin 2010
Herbert Kubicek ist Professor für Angewandte Informatik, insbes. Informationsmanagement und Telekommunikation an der Universität Bremen. Daneben ist er unter anderem auch als Geschäftsführer des Instituts für Informationsmanagement Bremen und als Wissenschaftlicher Direktor der Stiftung Digitale Chancen und als Mitglied des Kuratoriums der Stiftung Warentest tätig.