"Für alle, die lieber alles in einer Karte haben: der neue Personalausweis, meine wichtigste Karte."
So wirbt das Bundesinnenministerium für den elektronischen Personalausweis. Und tatsächlich: Er stellt drei Karten in einer dar. Da ist zunächst die hoheitliche oder die klassische Ausweisweisfunktion. Darauf greift der Polizei-, Zoll- oder Finanzbeamte zu, der die Identität des Inhabers überprüfen will:
"Er kann mit einem hoheitlichen Lesegerät den Chip auslesen und ein paar Echtheitsprüfungen machen. Aber im Prinzip erfährt er auf dem elektronischen Wege genau das, was draufgedruckt ist plus möglicherweise den Fingerabdruck",
so Heiner Fuhrmann von Infineon, einem Unternehmen, das Chips für den Ausweis produziert. Drinnen gespeichert ist, was außen draufsteht, plus das Bild des jeweiligen Inhabers in biometrischer Form und – auf freiwilliger Basis – zwei Fingerabdrücke.
Neu ist die eID-Funktion, die Möglichkeit, sich etwa im Internet auszuweisen, also ohne dass jemand anderes die Karte zu Gesicht bekommt. Dazu muss der Ausweis beweisen, dass er echt ist, und der, der darauf zugreifen will, dass er dazu berechtigt ist. Das geschieht über kryptografische Verfahren, also einem System von zusammengehörigen Schlüsselpaaren und Zertifikaten, die wiederum deren Echtheit bestätigen. Der Vorteil: Daten können so sehr gezielt ausgelesen werden. Das heißt: nur so viele, wie wirklich nötig.
"Ein sehr gutes Beispiel ist das Alter und das Geburtsdatum. Häufig fragen Anbieter nach allem, was es so gibt, inklusive Ihres Geburtsdatums. Das ist in der Regel nicht notwendig. Normalerweise gibt es das Bedürfnis, zum Beispiel festzustellen, dass jemand volljährig ist. Oder viele Autovermietungen vermieten erst ab 21. Dann wäre sozusagen die zulässige Frage: Ist dieser Kunde älter als 21? Der Ausweis ist in der Lage, genau diese Frage zu beantworten mit einem Ja oder einem Nein und muss dazu nicht Ihr gesamtes Geburtsdatum herausgeben."
Und schließlich besteht noch die Möglichkeit, den Ausweis als Signaturkarte zu verwenden, digitale Dokumente damit rechtskräftig zu unterschreiben. Dazu erzeugt der Chip selbst einen geheimen Schlüssel.
"Dieser private Schlüssel verlässt niemals die Karte. Er wird nach der Erzeugung sicher auf der Karte abgespeichert und ist ein Geheimnis, das nur dem Inhaber der Karte mit der Karte zur Verfügung steht."
Nur was mit diesem geheimen Schlüssel verschlüsselt worden ist, kann mit dem zugehörigen öffentlichen, der von der Karte bereitwillig herausgegeben wird, wieder in Klartext verwandelt werden. Nur wer den Ausweis in Händen hat und seine PIN kennt, kann also digital unterschreiben. Das wäre dann die dritte Funktion, die der elektronische Personalausweis erfüllen kann. Um alle drei gegen Manipulationen zu schützen, haben die beiden Chip-Lieferanten dafür umfangreiche Sicherheitsvorkehrungen getroffen. Die niederländische NXP integriert Sensoren, die Angriffe etwa durch Laserlicht, Hitze und elektromagnetische Strahlung erkennen. Die deutsche Infineon wiederum lässt zur Sicherheit ihren Chip alle Berechnungen doppelt ausführen.
"Für die Integrität, also gegen das Manipulieren, ist eine starke Redundanz eingebaut. Die CPU ist zum Beispiel mit zwei Rechenwerken aufgebaut, sodass sich gegenseitig immer überprüft werden kann, ob die Berechnung korrekt ist oder ob ein Angriff stattgefunden hat",
so Marcus Janke von Infineon. Und so viel zu den Möglichkeiten, die der elektronische Personalausweis bietet. Genutzt allerdings werden die neuen unter diesen Möglichkeiten kaum. Wer einen Personalausweis beantragt, muss angeben, ob er die eID-Funktion nutzen will. Nur 27 Prozent möchten das. Und um mit dem Ausweis digital zu unterschreiben, muss noch ein zusätzliches Zertifikat nachgeladen werden. Aber drei Jahre nach der Einführung befindet sich der bislang einzige Zertifikatsanbieter, die Bundesdruckerei, noch in der Pilotphase mit 2000 interessierten Testern.
So wirbt das Bundesinnenministerium für den elektronischen Personalausweis. Und tatsächlich: Er stellt drei Karten in einer dar. Da ist zunächst die hoheitliche oder die klassische Ausweisweisfunktion. Darauf greift der Polizei-, Zoll- oder Finanzbeamte zu, der die Identität des Inhabers überprüfen will:
"Er kann mit einem hoheitlichen Lesegerät den Chip auslesen und ein paar Echtheitsprüfungen machen. Aber im Prinzip erfährt er auf dem elektronischen Wege genau das, was draufgedruckt ist plus möglicherweise den Fingerabdruck",
so Heiner Fuhrmann von Infineon, einem Unternehmen, das Chips für den Ausweis produziert. Drinnen gespeichert ist, was außen draufsteht, plus das Bild des jeweiligen Inhabers in biometrischer Form und – auf freiwilliger Basis – zwei Fingerabdrücke.
Neu ist die eID-Funktion, die Möglichkeit, sich etwa im Internet auszuweisen, also ohne dass jemand anderes die Karte zu Gesicht bekommt. Dazu muss der Ausweis beweisen, dass er echt ist, und der, der darauf zugreifen will, dass er dazu berechtigt ist. Das geschieht über kryptografische Verfahren, also einem System von zusammengehörigen Schlüsselpaaren und Zertifikaten, die wiederum deren Echtheit bestätigen. Der Vorteil: Daten können so sehr gezielt ausgelesen werden. Das heißt: nur so viele, wie wirklich nötig.
"Ein sehr gutes Beispiel ist das Alter und das Geburtsdatum. Häufig fragen Anbieter nach allem, was es so gibt, inklusive Ihres Geburtsdatums. Das ist in der Regel nicht notwendig. Normalerweise gibt es das Bedürfnis, zum Beispiel festzustellen, dass jemand volljährig ist. Oder viele Autovermietungen vermieten erst ab 21. Dann wäre sozusagen die zulässige Frage: Ist dieser Kunde älter als 21? Der Ausweis ist in der Lage, genau diese Frage zu beantworten mit einem Ja oder einem Nein und muss dazu nicht Ihr gesamtes Geburtsdatum herausgeben."
Und schließlich besteht noch die Möglichkeit, den Ausweis als Signaturkarte zu verwenden, digitale Dokumente damit rechtskräftig zu unterschreiben. Dazu erzeugt der Chip selbst einen geheimen Schlüssel.
"Dieser private Schlüssel verlässt niemals die Karte. Er wird nach der Erzeugung sicher auf der Karte abgespeichert und ist ein Geheimnis, das nur dem Inhaber der Karte mit der Karte zur Verfügung steht."
Nur was mit diesem geheimen Schlüssel verschlüsselt worden ist, kann mit dem zugehörigen öffentlichen, der von der Karte bereitwillig herausgegeben wird, wieder in Klartext verwandelt werden. Nur wer den Ausweis in Händen hat und seine PIN kennt, kann also digital unterschreiben. Das wäre dann die dritte Funktion, die der elektronische Personalausweis erfüllen kann. Um alle drei gegen Manipulationen zu schützen, haben die beiden Chip-Lieferanten dafür umfangreiche Sicherheitsvorkehrungen getroffen. Die niederländische NXP integriert Sensoren, die Angriffe etwa durch Laserlicht, Hitze und elektromagnetische Strahlung erkennen. Die deutsche Infineon wiederum lässt zur Sicherheit ihren Chip alle Berechnungen doppelt ausführen.
"Für die Integrität, also gegen das Manipulieren, ist eine starke Redundanz eingebaut. Die CPU ist zum Beispiel mit zwei Rechenwerken aufgebaut, sodass sich gegenseitig immer überprüft werden kann, ob die Berechnung korrekt ist oder ob ein Angriff stattgefunden hat",
so Marcus Janke von Infineon. Und so viel zu den Möglichkeiten, die der elektronische Personalausweis bietet. Genutzt allerdings werden die neuen unter diesen Möglichkeiten kaum. Wer einen Personalausweis beantragt, muss angeben, ob er die eID-Funktion nutzen will. Nur 27 Prozent möchten das. Und um mit dem Ausweis digital zu unterschreiben, muss noch ein zusätzliches Zertifikat nachgeladen werden. Aber drei Jahre nach der Einführung befindet sich der bislang einzige Zertifikatsanbieter, die Bundesdruckerei, noch in der Pilotphase mit 2000 interessierten Testern.