Digitaler Identitätsnachweis

Inhaltsverzeichnis

Ab November 2010 ausgestellte Personalausweise werden über einen elektronischen Identitätsnachweis verfügen, der vieles einfacher machen soll, beispielsweise Fluggastabfertigung, Kfz-Anmeldung, elektronische Steuererklärung, Hotel-Check-in, Alterskontrolle allgemein oder den Online-Abschluss einer Versicherung. Der Projektleiter des „Kompetenzzentrums Neuer Personalausweis“ Alexander Schmid glaubt, dass das „überall dort interessant ist, wo ein Unternehmen für ein Vertragsverhältnis eine sichere Identität des Geschäftspartners braucht.“

Für Constanze Kurz, Sprecherin des Chaos Computer Clubs ist aber auch klar: „Das Postident-Verfahren und andere vergleichbare Identifikationsverfahren werden damit faktisch abgeschafft. Gleichzeitig nimmt man andere Risiken in Kauf, die man schon vor der Einführung kennt.“

Die Bundesregierung hingegen will mit dem elektronischen Personalausweis (ePa) den Identitätsdiebstahl im Internet erschweren – und damit den elektronischen Handel sicherer machen und fördern. Der digitale Ausweis soll damit der Wirtschaftsförderung dienen. Ob das klappt, ist ungewiss.

Tatsächlich sind viele Verbraucher derzeit verunsichert: Bei einer aktuellen Umfrage im Auftrag des IT-Sicherheitsunternehmens Verisign unter 1020 Internetnutzern in Deutschland gaben 26 Prozent der Befragten an, Angst vor Identitätsdiebstahl und Betrug zu haben und sich aus diesem Grund beim Online-Einkauf zurückzuhalten. Laut einer Umfrage des Branchenverbands Bitkom, die bereits im Februar 2008 veröffentlicht wurde, würden immerhin 39 Prozent der Internetnutzer den ePa beim Online-Shoppen verwenden wollen – das heißt im Umkehrschluss aber auch, dass 61 Prozent Bedenken dagegen haben. Etwas mehr als die Hälfte würden den Ausweis allerdings für Online-Banking und virtuelle Behördengänge nutzen.

Erweiterter Test

Die ersten Anwendungstests für den ePa starteten bereits im Oktober. Zu den ersten 30 Teilnehmern gehören die Fluggesellschaft Air Berlin, der Versicherer Allianz, die IT-Firmen Fujitsu Technology Solutions und Wincor Nixdorf sowie einige Versicherungen und Banken. Ab Januar 2010 können alle interessierten Anbieter den ePa für ihre Anwendungen testen. Es wird auch Anwendungen geben, die nicht direkt mit dem Internet verbunden sind: So testet ein Unternehmen etwa ein Zeiterfassungssystem, ein anderes die Anwendung mit einem Geldautomaten.

Ausgegeben wird der neue Ausweis in Scheckkartengröße. Ähnlichkeiten mit EC-Karten sind jedoch nur entfernt vorhanden: Die Ausweisdaten werden nicht auf einem Magnetstreifen, sondern auf einem RFID-Chip gespeichert – damit können sie per Funk ausgelesen werden. Damit nur diejenigen die Daten auslesen können, die daran ein berechtigtes Interesse haben, sind die Daten auf der Karte verschlüsselt, und auch die Übertragung findet verschlüsselt statt. Den Zugriff auf die Daten gibt der Ausweisinhaber über eine sechsstellige PIN frei. Claudia Eckert, Direktorin des Fraunhofer-Instituts Sichere Informationstechnologie SIT, meint: „Im Vergleich zur EC-Karte sind das zwei Stellen mehr, damit ist die PIN schwieriger zu erraten und zu knacken.“

Da die Authentifizierung auch online funktionieren soll, muss der Nutzer sichergehen können, dass er die Daten nur Behörden oder Unternehmen freigibt, die dazu berechtigt sind. Das Bundesinnenministerium hat sich hierzu von Datenschutzspezialisten rund um den Kasseler Juristen Alexander Roßnagel beraten lassen.

Diejenigen, die auf die Daten des Ausweisinhabers zugreifen wollen, erhalten von einer noch zu benennenden zentralen Bundesbehörde ein sogenanntes Berechtigungszertifikat. Gegen die Bundes- und Landesdatenschützer als erste Kontrollinstanz habe man sich entschieden, da man einen einheitlichen Ansprechpartner für alle antragstellenden Unternehmen einrichten wollte, erklärt der Kasseler Datenschutzexperte Gerrit Hornung. Das Zertifikat wird nur zwei Tage lang gültig sein. Diese kurze Gültigkeitsfrist soll verhindern, dass Listen mit gesperrten Zertifikaten geführt oder Rückrufaktionen durchgeführt werden müssen, erklärt Claudia Eckert. Dies ist ein weiterer Unterscheidungspunkt zur EC-Karte: Die Daten werden nur dann übertragen, wenn die Gegenstelle der Karte sich authentifiziert hat. Ein Bankautomat tut das nicht.

Unter Auflage

So ein Berechtigungszertifikat erhält nicht jeder. Gerrit Hornung: „Es wird laut Gesetz nur für legitime Geschäftszwecke ausgegeben. Der Adresshandel ist aber davon ausgeschlossen.“ Gibt es Hinweise darauf, dass ein Unternehmen die Daten missbraucht oder bei der Antragstellung falsche Angaben gemacht hat, können die zuständigen Datenschutzbeauftragten einen Widerruf des Zertifikats erwirken. Die genauen Anforderungen an Datenschutz und Datensicherheit sind allerdings noch nicht bekannt. Sie werden in einer Rechtsverordnung spezifiziert, die im Januar veröffentlicht werden soll.

Die Unternehmen müssen jedenfalls nachweisen, dass sie nur die Daten erheben, die zum Erreichen des Geschäftszwecks nötig sind. Es darf außerdem keine Anhaltspunkte für eine missbräuchliche Verwendung geben. Hornung: „Der Betreiber eines Zigarettenautomaten etwa darf nicht das Geburtsdatum abfragen, sondern muss nur erfahren, ob der Raucher über 18 ist.“ Außerdem können Unternehmen auch mit Pseudonymen arbeiten, die jeweils nur für eine Anwendung erzeugt werden, und die nicht deanonymisierbar sein sollen. Sinnvoll ist das etwa dann, wenn ein Unternehmen ein Gratisangebot wie kostenlosen Speicherplatz im Internet auf eine Nutzung pro Person begrenzen will.

Der Ausweis wird aber nicht davor schützen, dass ein Anbieter im Anschluss an die Identifizierung über ein zusätzliches Webformular weitere Daten erhebt. „Das wäre allerdings rechtswidrig“, sagt Gerrit Hornung, „da dies gegen das Kopplungsverbot verstieße.“ Die Zertifikate geben außerdem keine Gewähr dafür, dass die Unternehmen mit den erhaltenen Informationen datenschutzkonform umgehen. Die Daten sind letztlich genauso geschützt beziehungsweise ungeschützt wie Daten, die ein Verkäufer in einem Laden erheben würde. Hier greifen die üblichen Kontrollmechanismen des Datenschutzes, die leider nicht sehr stark sind: Das „Datenschutzbarometer 2009“ der Xamit Bewertungsgesellschaft kam kürzlich zu dem Schluss, dass bundesweit auf 100 000 Unternehmen lediglich zwei behördliche Kontrolleure kommen (betriebliche Datenschützer ausgenommen).

Die sogenannte elektronische Identitäts-Funktion (eID), mit der die Bürger Online-Geschäfte durchführen können, erhält man nur auf Wunsch. Außerdem kann man für den ePa eine qualifizierte digitale Signatur beantragen, um online rechtsgültige Unterschriften leisten zu können. Geht der Ausweis verloren, ist er für den Finder wertlos, solange er die PIN nicht kennt. Nach drei falschen PIN-Eingaben wird der Ausweis gesperrt. Mit einer weiteren Nummer, der PUK, kann der Nutzer seinen Ausweis ähnlich wie sein Handy wieder freischalten. Staatliche Behörden können übrigens die PIN eines ePas jederzeit ändern oder löschen.

Identität mit PIN

Offen ist die Frage, wie der ePa überhaupt sicher in einer unsicheren Umgebung eingesetzt werden kann. Mit dem Ausweis sollen die Bürger ein zunächst kostenloses „Starter-Kit“ erhalten. Es enthält ein Kartenlesegerät und eine Software für den eigenen Internet-Rechner. Finanziert wird das mit 24 Millionen Euro über das Konjunkturförderprogramm. Danach sollen die Kartenlesegeräte für die eID zu Preisen zwischen 10 und 15 Euro zur Verfügung stehen. Zu diesem Preis sind allerdings nicht die Lesegeräte mit Display und Tastatur erhältlich, die unter Experten als sicher gelten. Claudia Eckert bestätigt: „Das Lesegerät ist ein Problem. Nur wenn Sie die PIN-Eingabe auf einem speziellen Lesegerät machen können, das sicherstellt, dass keine Schadsoftware den Eingabeprozess protokolliert, sind Sie sicher.“

Letztlich wird die Bundesregierung nur Empfehlungen für sichere Kartenlesegeräte herausgeben. Der Bürger muss dann auf eigenes Risiko entscheiden, ob er in ein sicheres Gerät mehr investieren möchte. Generell wird der Staat für etwaige Schäden keine Haftung übernehmen. Constanze Kurz: „Das ist ein Problem der Bürger. Sie müssen selbst das Security-Management verantworten.“ Die Signaturfunktion wird man im Unterschied zur eID jedenfalls nicht mit einem einfachen Kartenleser der Sicherheitsklasse 1 nutzen können, sondern nur mit einem teureren Klasse-3-Leser.

Ähnlich problematisch sieht Eckert auch die Software, den sogenannten Bürger-Client: „Die Herausforderung für die Entwickler besteht darin, die Software so vom System abzuschotten, dass sie nicht unbemerkt manipuliert werden kann. Hier muss noch etwas getan werden.“ Weil die Bundesregierung diese Bedenken kennt, will sie auch eine Version der Software mit offenem Quellcode zur Verfügung stellen. Dann könnten etwa die Hacker vom Chaos Computer Club die Software auf Herz und Nieren testen, um festzustellen, dass das Bundesinnenministerium nicht etwa heimlich einen Trojaner eingeschleust hat, um Online-Durchsuchungen schneller durchführen zu können.

Zwar steht die Gebühr für den ePa noch nicht fest, es wurde aber bereits klargestellt, dass die eID-Funktion nichts extra kosten soll. Die Gesamtkosten des Projekts für den Staat sind ebenfalls noch unklar. Er soll etwas günstiger als der digitale Reisepass sein und sich aus den Personalausweisgebühren finanzieren. Da die Kommunen diese Gebühr erheben, muss die Höhe noch verhandelt werden. Ebenso offen ist noch die Höhe des Entgelts, das die Meldestellen an den Hersteller, also die Bundesdruckerei zahlen müssen. Über den elektronischen Reisepass jedenfalls ist auch zwei Jahre nach dessen Einführung offiziell noch immer nicht bekannt, wie teuer er tatsächlich ist. Constanze Kurz kritisiert: „Die Bundesregierung weigert sich seit vier Jahren, entsprechende Anfragen des Bundestags zu beantworten.“

Freiwilliger Abdruck

Anders als für den Reisepass müssen die Bürger beim Beantragen des ePa übrigens keine Fingerabdrücke abgeben – das bleibt freiwillig und ist auch nicht mit weiteren Vorteilen verbunden. Biometrische Daten werden allein aus dem Ausweisfoto ausgelesen und auf dem Chip gespeichert. Damit sollen Behörden in Zweifelsfällen feststellen können, ob jemand auch tatsächlich seinen eigenen Ausweis vorgelegt hat. Die freiwillige Abgabe der Fingerabdrücke kann nur „dazu beitragen, dass der Missbrauch der Personalausweise im Falle eines Abhandenkommens erschwert wird“, teilt das Bundesinnenministerium auf Anfrage mit.

Informatikerin Constanze Kurz sieht, was die Richtigkeit der Daten anbelangt, das größte Sicherheitsrisiko bei den Meldestellen und den Botschaften, die die Ausweise ausgeben dürfen. „Mit entsprechendem Know-how und den finanziellen Mitteln lässt sich einer der rund 50 000 beteiligten Mitarbeiter erpressen, der dann ins Gesamtsystem etwa die falschen Fingerabdrücke eingibt“, meint auch Jurist Gerrit Hornung. „Wurden aber bereits bei der Beantragung die falschen Fingerabdrücke eingegeben, lässt sich das zentral nicht mehr korrigieren.“

Das Reisen wird jedenfalls mit dem neuen Ausweis nicht einfacher, da es noch keine internationalen Standards gibt, die eine Nutzung unterstützen würden. Der ePa wird, wie bislang auch, im Schengenraum und seinen assoziierten Ländern wie der Schweiz und Norwegen als Passersatz akzeptiert werden. Da die Europäische Union mit der Ratifizierung des Vertrags von Lissabon über die Kompetenz für die nationalen Personalausweise verfügt, ist zu erwarten, dass in den nächsten Jahren eine Art interoperabler europäischer Personalausweis entwickelt wird. Die europäische Sicherheitsbehörde ENISA jedenfalls hat bereits die Datenschutz- und Sicherheitsrisiken verschiedener europäischer Digitalausweise miteinander verglichen. (ad)