Archiv


Eine Frage des Lesegeräts

Datenschutz.- Ab dem 1. November wird der neue Personalausweis ausgeliefert – schon jetzt wird heftig über dessen Möglichkeit des elektronischen Identitätsnachweises diskutiert. Wie einfach macht es die neue Chipkarte Kriminellen, sich – quasi beglaubigt – als eine andere Person auszugeben?

Von Peter Welchering |
    Er ist scheckkartengroß, kostet 28,80 Euro und hat als Herzstück einen Funkchip. Auf diesem RFID-Chip sind die persönlichen Daten des Ausweisinhabers, biometrische Merkmale wie Fingerabdruck und Lichtbild gespeichert. Aber zusätzlich auch die Software für einen elektronischen Identitätsnachweis im Internet und eine qualifizierte elektronische Signatur, wenn der Bürger das möchte. Gegenüber Behörden soll sich der Personalausweisbesitzer online genauso bequem ausweisen können, wie beim Einkaufen im Internet. Und dafür gibt es den elektronischen Identitätsnachweis, auf den Horst Bachman, Chipkartenexperte der Datev, große Hoffnungen setzt.

    "Heute ist es ja so, dass das Vertrauensverhältnis zwischen den Akteuren im Internet, wenn ich irgendwelche Geschäfte abwickle oder mir Behördengänge ersparen will - dort ist es ja oft so, dass das Vertrauensverhältnis zwischen den beiden Akteuren nur sehr wenig gesichert ist und wenig belastbar ist. Mit der Internet-Ausweisfunktionalität weisen sich beide einander gegenüber aus, und es entsteht ein sehr gutes Vertrauensverhältnis. Damit kann ich natürlich auch Transaktionen über das Internet, ob das Bestellvorgänge sind, Behördengänge oder wie bei uns der Zugriff auf Gehaltsabrechnungen ist, man kann sehr gut die gegenseitige Identität feststellen und wie wir Techniker sagen, sich authentifizieren und einen guten Nachweis führen, wer der jeweilige Partner ist."

    Der elektronische Identitätsnachweis ist nach dem Dafürhalten von Experten wie Horst Bachmann die wichtigste Funktion des neuen Personalausweises für den Privatanwender. Weniger stark genutzt werden wird die qualifizierte elektronische Signatur.

    "Es gibt verschiedene Geschäftsvorfälle im Businessbereich, Schadstoffemissionshandel, elektronische Rechnungen, wo eine qualifizierte Signatur notwendig ist, aber ich glaube, im Bereich des neuen Personalausweises wird es eher eine untergeordnete Rolle spielen."

    Will der Anwender sich beim Einkaufen im Internet mit dem neuen Personalausweis legitimieren, muss er, um zum Beispiel den elektronischen Identitätsnachweis nutzen zu können, seine Ausweis-Chipkarte in ein Lesegerät schieben und eine sechsstellige PIN eingeben. Damit soll sichergestellt werden, dass nur der tatsächliche Ausweisinhaber den Identitätsnachweis führen kann. Hierfür gibt es drei unterschiedliche Modelle für das Lesegerät. Das Basis-Modell ohne eigene Tastatur und ohne Display, das Standard-Lesegerät mit einer eigenen Tastatur, aber ohne eigenes Display und das Komfort-Lesegerät mit Tastatur, Display und eigener Verschlüsselungsfunktion. In den Starterkits zum neuen Personalausweis wird gegenwärtig das Basis-Lesegerät ohne eigene Tastatur und ohne Display ausgeliefert. Die sechsstellige PIN muss der Ausweisinhaber über die Tastatur seines PCs eingeben. Mit einem Spionageprogramm kann diese PIN ausgepäht, der Personalausweis dann missbräuchlich verwendet werden. Dabei handelt es sich sogar um ein ziemlich wahrscheinliches Szenario, denn viel zu viele PCs sind Hackerangriffen und Computerviren noch immer hilflos ausgeliefert. Horst Bachmann:

    "Die neuesten Studien sagen ja, dass ungefähr 20 Prozent der Anwender, die ins Netz gehen, die online gehen, keinen aktuellen oder gar keinen Virenscanner installiert haben. So etwas ist fahrlässig. Das erste, was man tun muss: Man muss seinen PC entsprechend ausrüsten mit Virenprophylaxe und mit Dingen, die State of the art sind und mit den PC-Systemen heute sogar mit ausgeliefert werden, also das ist der Mindestschutz, den man machen muss. Denn das Gesamtsystem lebt ja nicht nur von einer Komponente, wie dem neuen Personalausweis."

    Der Chaos Computerclub hat kürzlich nachgewiesen, wie leicht PIN und Ausweis Beute von Online-Kriminellen werden können. Das hat die Diskussion um die Sicherheit des neuen Personalausweises ziemlich angefacht. Ministerialrat Andreas Reisen, der im Bundesinnenministerium für das Pass- und Ausweiswesen zuständig ist, kann hier aber keine Sicherheitslücke des neuen Personalausweises erkennen.

    "Es ist deshalb kein Problem des Personalausweises, weil das gezeigte Szenario des Chaos Computer Clubs sich nicht gegen die Sicherheit des Personalausweises gerichtet hat, sondern gegen die Sicherheit eines jeden PCs, der nicht geschützt ist. Das heißt, das Szenario des CCC mit einem Schadprogramm, das Eingang gefunden hat auf einen privaten PC ist insoweit nachrangig mit Blick auf den Personalausweis, weil Online-Banking, Kreditkartenbanking, persönliche Korrespondenz bei diesem Szenario mindestens genauso gefährdet sind, wie jede Anwendung mit dem Personalausweis."