Datenschützer warnen vor neuem elektronischen Personalausweis

[Dynamite]

Datenschützer sehen das Vorhaben der Bundesregierung skeptisch, den Personalausweis mit einem kontaktlos auslesbaren Chip für die Speicherung sensibler personenbezogener Daten auszurüsten. Der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert warnte davor, dass über die RFID-Komponente der Träger des E-Perso zu orten sei. Auch könnten die gespeicherten Angaben wie Name, Anschrift und Geburtsdatum oder biometrische Merkmale wie das digitale Lichtbild kopiert und etwa für Identitätsdiebstähle missbraucht werden. Diese Gefahren könnten zu einem "realistischen Risiko" werden, sagte Weichert dem Hamburger Abendblatt, sobald eine größere Anzahl der elektronischen Ausweisdokumente im Umlauf sei. Wie bei den ebenfalls mit einem kontaktlos auslesbaren Chip ausgestatteten E-Pässen rät der Datenschützer zu einer Schutzhülle aus Aluminium.

Auch Nils Schröder aus dem Büro der Datenschutzbeauftragten Nordrhein-Westfalens fürchtet Sicherheitsmängel beim biometrischen Personalausweis und verweist auf den Funkchip. "Da besteht natürlich auch immer die Gefahr, dass jemand den Chip knackt und irgendwann aus mehreren Metern Entfernung abliest", sagte er den Dortmunder Ruhr-Nachrichten. Einig sind sich die Datenschützer zudem, dass die Bürger ihre Fingerabdrücke nicht auf dem Ausweis speichern lassen sollten. Diese Maßnahme, die laut Bundesinnenministerium den Perso in manchen Ländern als Alternative zum Pass verwendbar machen und die Abfertigung an Grenzkontrollstellen beschleunigen soll, vergrößert Weichert zufolge die Gefahr geklauter Identitäten. Duplikate von Fingerabdrücken könnten leicht hergestellt werden. Zudem sieht der Datenschützer die Gefahr, dass zum Auslesen der biometrischen Merkmale berechtigte Staaten zentrale Datenbanken dafür aufbauen.

Umstritten ist auch die neue, freiwillig aktivierbare Möglichkeit zur Identifizierung im Internet über eine einfache oder qualifizierte elektronische Signatur. Das Innenministerium geht davon aus, dass diese Funktion den elektronischen Geschäftsverkehr und das E-Government sicherer, einfacher und attraktiver macht. Eine PIN reiche für diverse Anwendungsmöglichkeiten wie etwa das Online-Banking aus. Weichert hält diesen Internetausweis durchaus für empfehlenswert. Schwere Bedenken hat dagegen Frank Rosengart vom Chaos Computer Club (CCC): "Der Betrüger GmbH wird es leicht gelingen, an sensible Daten zu kommen, wenn Menschen den E-Ausweis nutzen müssen, um im Internet einzukaufen", erklärte der Experte der Süddeutschen Zeitung. "Und leider sind viele Bürger immer noch sehr naiv. Mit ihrer elektronischen Signatur werden sie ohne nachzudenken jeden Quatsch unterschreiben."

Als problematisch bezeichnet Rosengart die elektronische ID auch, weil dafür eine neue Zertifizierungsstelle beim Bund geschaffen werden müsse zur Überprüfung der Seriosität von Internetanbietern. Dafür fehle in der Verwaltung die Kompetenz. Die Datenschutzbeauftragten des Bundes und der Länder etwa seien schon überfordert. Den Kompromiss der großen Koalition bei den Fingerprints hält der Hacker für "komisch". Auch wenn die Angabe zweier Fingerabdrücke vorerst optional bleibe, "werden die Meldestellen die Bürger zukünftig nötigen, diese biometrischen Daten preiszugeben". Die Missbrauchsgefahr sei groß: "Als wir im Frühjahr Wolfgang Schäubles Fingerabdruck auf einer Folie veröffentlichten, haben wir gezeigt, wie leicht man damit die üblichen Biometriesysteme überlisten kann."

Der Branchenverband Bitkom hat den noch von Bundestag und Bundesrat zu behandelnden Beschluss des Bundeskabinetts dagegen begrüßt. "Der elektronische Personalausweis erhöht die Sicherheit im Internet und stärkt damit das Vertrauen der Verbraucher", betont Präsidiumsmitglied Dieter Kempf. Viele Missbrauchsmöglichkeiten und Sicherheitslücken könnten so geschlossen werden. Je eher die Bürger die neuen Ausweise mit den zusätzlichen Sicherheitsfunktionen wie der digitalen Signatur nutzten, umso besser, meint der Vorstandsvorsitzende der Datev. Die Bundesregierung solle nun schnell einen offiziellen Zeitplan veröffentlichen und die noch offenen organisatorischen, juristischen und technischen Rahmenbedingungen klären. Die Hightech-Branche werde sich dann bereitwillig an Pilotversuchen mit Musteranwendungen beteiligen.

(Stefan Krempl) / (jk/c't)

Quelle: heise.de

[Dynamite]

Umfrage: Nur 46 Prozent wollen den E-Personalausweis

Der Branchenverband Bitkom hat am Dienstag auf der CeBIT das Ergebnis einer repräsentativen Umfrage unter 1000 Personen vorgestellt. Danach lehnen 45 Prozent der Befragten den elektronischen Personalausweis ab, der im November 2010 eingeführt werden soll, 46 Prozent begrüßen ihn laut Bitkom. Die Akzeptanz hing maßgeblich davon ab, ob die Befragten das Internet nutzen. Wurde dies bejaht, lag die Zustimmung bei 52 Prozent, bei den Nichtnutzern lediglich bei 32 Prozent.

71 Prozent der Befragten hatten angegeben, das Internet beruflich oder privat zu nutzen, wobei die Altersgruppe der bis 29-Jährigen mit 95 Prozent vorne liegt, während nur 32 Prozent der ab 65-Jährigen online gehen. Während 29 Prozent der Internetnutzer den neuen Ausweis vor dem Ablauf ihres alten beantragen wollen, haben 43 Prozent der Nichtnutzer sich freiwillig einen alten besorgt oder wollen dies bis Oktober tun.

Als beliebteste Anwendung für den neuen Ausweis benannten die Befragten Dienste von Behörden im Internet vor Online-Banking, -Shopping und Altersverifikation etwa bei Online-Spiele-Angeboten oder beim Kauf von DVDs. Ein Problem dürfte allerdings die geringe Zahlungsbereitschaft für Lesegeräte sein, die man für den Einsatz der eID-Funktion auf dem Ausweis für Internetdienste benötigt: 30 Prozent wollen nur ein kostenloses Gerät, 24 Prozent würden allenfalls 10 Euro bezahlen, 21 Prozent immerhin bis 20 Euro. Realistische Preise darüber wären nur 17 Prozent der Befragten bereit zu zahlen. (ad)

Quelle: Heise.de

[Dynamite]

Sicherheitsindustrie fordert elektronischen Personalausweis

Offenbar in Reaktion auf das Abrücken der FDP vom elektronischen Personalausweis weist der TeleTrusT e.V. auf die Vorteile hin, die das Dokument seiner Auffassung nach hat. Mitglieder des Vereins sind viele deutsche IT-Sicherheitsfirmen, unter anderem Trustcenter wie S-Trust und TC Trustcenter sowie das BKA und das BSI.

TeleTrusT hebt die Authentifizierungsfunktion des elektronischen Ausweises hervor. Man begrüße, "dass die Bundesrepublik mit dem neuen Personalausweis eine Infrastruktur zur Verfügung stellt, die den Identitätsnachweis und die Authentikation im Internet für die Bundesbürger wesentlich sicherer macht." Das gewährleisten "sehr sichere Kryptographie-Protokolle zwischen dem Sicherheitschip auf dem elektronischen Personalausweis und einem Sicherheitsmodul der verifizierenden Stelle, z.B. einem Onlinedienst", heißt es weiter.

Datenschutzrechtliche Bedenken gibt es aus Sicht des Vereins nicht, denn die Bürger seien vor unberechtigten Zugriffen auf die Ausweisdaten geschützt. Zudem enthalte der neue keine anderen Daten als der alte Personalausweis, die Speicherung der Fingerabdrücke sei freiwillig und der Zugriff darauf nur hoheitlichen Datenterminals möglich. (ck)

Quelle: Heise.de

[Dynamite]

Elektronischer Personalausweis: Berechtigungszertifikate können beantragt werden

Am gestrigen Dienstag hat die Vergabestelle für Berechtigungszertifikate beim Bundesverwaltungsamt ihren Betrieb aufgenommen. Ab sofort können Firmen Zertifikate für den Zugriff auf die nicht-hoheitlichen Datenfelder des elektronischen Personalausweises beantragen. Für interessierte Bürger wurde außerdem im Rahmen der Ausweiswerbung für "Meine wichtigste Karte" das Personalausweisportal gestartet. Dort sind Demonstrationsvideos zum neuen Personalausweis, eine Sammlung von erklärenden PDF-Dateien und Formulare, mit denen der Bürger Widerspruch einlegen kann, wenn seine frei gegebenen Daten nicht mehr von einem Dienstleister verwendet werden sollen, abrufbar.

Zum Start des elektronischen Personalausweis am 1. November sollen nach dem Willen der Bundesregierung einige attraktive Angebote das neue Identitätssicherungssystem im Internet begleiten, das mit dem Ausweis möglich wird. Zur automatischen Abfrage der Datenfelder des Ausweises, die mit einem kontaktlosen Lesegerät, einem Bürgerclient und einer PIN-Eingabe möglich sein sollen, brauchen Firmen Berechtigungszertifikate. Alle Anbieter, die den elektronischen ID-Dienst (eID) nutzen wollen, weisen sich mit so einem Berechtigungszertifikat vor dem Bürger aus. Neben der Verifikation setzt das Zertifikat fest, welche Felder der eID ausgelesen werden dürfen, etwa Titel, Name, Vorname und Anschrift bei einem Versender oder die Angabe, ob bei einem Anbieter erotischer Inhalte ein bestimmtes Alter über- oder unterschritten wird.

Die Prüfung der Anbieter und die darauffolgende Ausgabe von Zertifikaten durch das Bundesverwaltungsamt ist seit gestern aktiv. Vor allem Automatenhersteller, Versicherungen und Banken sowie kommunale Datenverarbeiter sollen zu den Antragsstellern der ersten Stunde gehören. Bereits 170 Firmen haben zu den Anwendungstests bereits Zertifikate erhalten; insgesamt hofft man, dass 1000 bis 1500 Dienstleister beim Start des Personalausweises dabei sind. Die nötigen Antragsformulare können per Mail an npa@bva.bund.de angefordert werden.

Fragt eine Firma als Dienstanbieter Daten aus dem elektronischen Personalausweis ab, so präsentiert sie dem Bürger mit dem Berechtigungszertifikat ihren Namen, die Anschrift und die E-Mail-Adresse, einen Hinweis auf den zuständigen Datenschutzbeauftragten, einen Kurztext über den Zweck der Datenabfrage sowie den letzten Tag der Gültigkeitsdauer des Zertifikats. Außerdem nennt sie die Nummern der 12 Kategorien, die im Personalausweis gespeichert sind. Mit diesen Informationen kann der Bürger entscheiden, ob er seine Daten dem Dienstleister zukommen lassen will und dokumentiert sein Einverständnis durch die Eingabe einer sechsstelligen PIN. Der Dienstleister bezieht dann die Daten und kann sie für eigene Zwecke speichern und weiterverarbeiten. Die Daten sind dabei nicht signiert und können daher nicht missbräuchlich weiterverkauft werden. Hegt der Bürger einen Verdacht auf Datenmissbrauch, so kann er sich an den im Zertifikat genannten Datenschutzbeauftragten wenden, der für die Sperrung von Zertifikaten zuständig ist. (Detlef Borchers) / (anw)

Quelle: Heise.de

[Dynamite]

Personalausweis wird deutlich teurer

Der neue Personalausweis im Scheckkartenformat wird 28,80 Euro kosten – mehr als dreimal so viel wie bisher. Wer unter 24 Jahre alt ist, erhält das Dokument mit einem Chip zur elektronischen Identifizierung vom 1. November an zum ermäßigten Preis von 19,80 Euro. Der erste Personalausweis für Jugendliche zwischen 16 und 18 Jahren wird kostenfrei sein. Den Entwurf für die Gebührenordnung legte das Bundesinnenministerium am Donnerstag vor. Derzeit kostet ein Personalausweis 8,00 Euro.

Im Ausweis ist ein Chip integriert, auf dem die persönlichen Daten digital gespeichert werden. Damit soll auch eine Identifizierung im Internet etwa beim Online-Shopping oder Online-Banking ermöglicht werden.

Die Gebühr für den Ausweis mit elektronischer Identitätsfunktion liege im europäischen Vergleich im Mittelfeld, sagte Innenminister Thomas de Maizière (CDU). Zu einem Fünftel werden die Einnahmen für den Verwaltungsaufwand der Kommunen verwendet, mit dem Rest sollen die Herstellungskosten der Bundesdruckerei gedeckt werden. (dpa) / (anw)

Quelle: Heise.de

[Dynamite]

DATEV freut sich auf den elektronischen Personalausweis

Die DATEV, der Genossenschaftsverband der Steuerberater, blickt auf ein erfolgreiches Geschäftsjahr zurück und sieht noch bessere Perspektiven. Auf der Jahrespressekonferenz freute sich DATEV-Vorsitzender Dieter Kempf über ein Umsatzwachstum von 22,7 Millionen auf 672,4 Millionen Euro (plus 3,5 Prozent). Im neuen Geschäftsjahr sollen der vermehrte Einsatz von elektronischen Rechnungen sowie Dienstleistungen rund um den elektronischen Personalausweis (e/nPA) das Wachstum fördern.

Nach Darstellung von Kempf hat sich die DATEV vom negativen Wirtschaftstrend deutlich absetzen können. Stärker denn je hätten Steuerberater zentrale DATEV-Leistungen in Anspruch genommen. Dementsprechend nimmt die DATEV 2011 den Neubau eines weiteren Rechenzentrums in Angriff, um ihr Geschäftsfeld des Application Service Providing ausbauen zu können.

Mit 700 Freiwilligen aus der eigenen Genossenschaft stellt die DATEV einen der größten Pilottests für den elektronischen Personalausweis. Mit Beginn der Ausweisausgabe im November startet dieser Test, bei dem die DATEV-Mitarbeiter ihre Lohn- und Gehaltsabrechnungen über das Internet lesen und herunterladen können.

"Im Laufe des kommenden Jahres soll das System dann auf die Arbeitnehmerinnen und Arbeitnehmer in Deutschland ausgeweitet werden, die bereits einen nPA besitzen und deren Gehaltsabrechnung mit DATEV-Software erstellt wird," heißt es in einer Pressemeldung. Dieser Service sei der Start einer ganzen Reihe von Online-Diensten rund um den elektronischen Personalausweis. Arbeitgeber und Steuerberater sollen von den medienbruchfreien Abrechnungen profitieren, für die die DATEV ein "Arbeitnehmerportal" starten will. (Detlef Borchers) / (pmz)

Quelle: Heise.de

[Dynamite]

FDP kann mit elektronischem Personalausweis "gut leben"

Die FDP hat ihren Anfang des Jahres noch publikgemachten Widerstand gegen die Einführung des elektronischen Personalausweises aufgegeben. Die geplante neue Identitätskarte sei zwar "kein Lieblingsprojekt der Liberalen", erklärte Manuel Höferlin, Vorsitzender der Arbeitsgruppe IT und Informationsgesellschaft der FDP-Bundestagsfraktion laut den protokollierten Redebeiträgen im Bundestag zu einem Antrag (PDF-Datei) der Grünen am Freitag, in dem der Stopp des Großprojekts gefordert wurde. Zu Beginn der gelb-schwarzen Koalition sei die Entwicklung der neuen Chipkartenvariante aber bereits "weit fortgeschritten" gewesen. Staat und Unternehmen hätten schon "erhebliche Summen" dafür aufgewendet. Hätten die Liberalen die Reißleine gezogen, wäre ein "gigantisches Millionengrab" entstanden.

"Wir haben deshalb die Schlussphase der Entwicklung vor allem aus datenschutzrechtlicher Perspektive kritisch und konstruktiv begleitet", führte Höferlin aus. "Mit dem Ergebnis können wir deshalb gut leben." Die FDP werde das Projekt nun verantwortungsvoll begleiten und bei Korrekturbedarf "umgehend alle nötigen Maßnahmen ergreifen". Das Datenschutzniveau sei aber hoch, weil der Bürger etwa selbst entscheiden könne, ob Funktionen wie der Identitätsnachweis fürs Internet aktiviert würden. Zudem bestehe die Chance, dass der neue Ausweis vor allem im E-Government zu "erheblichen Effizienzgewinnen" führen könne.

Stephan Mayer von der CDU/CSU-Fraktion sah die Bedenken der Grünen als unbegründet an, da der elektronische Personalausweis "eine sehr hohe Datensicherheit bietet". Alle Informationen und Übertragungen würden mit modernen, dauerhaft wirksamen und international anerkannten Verschlüsselungsverfahren sicher geschützt. Anpassungen seien aber wohl erforderlich, falls Quantencomputer verfügbar seien, "die wohl so gut wie alle bestehenden digitalen Sicherheitstechniken vor Probleme stellen würden".

Frank Hofmann von der SPD-Fraktion sah die Aufnahme biometrischer Merkmale als notwendig und als einen "Beitrag für ein modernes, technisch zeitgemäßes Ausweisdokument" an, auch wenn der Sicherheitsgewinn gegen Fälschungen zunächst eher von theoretischer Bedeutung sei. Als "grenzwertig" bezeichnete der Innenpolitiker aber eine Broschüre (PDF-Datei) aus dem Bundesinnenministerium, die offensiv mit Sicherheitsargumenten für die Aufnahme von Fingerabdrücken werbe.

Wolfgang Wieland, Sicherheitsexperte der Grünen, lehnte auch die freiwillige Erfassung von Fingerabdrücken ab. Einen überzeugend begründeten Bedarf danach habe der Staat offenbar nicht, sonst wäre die Abgabe der erweiterten biometrischen Merkmale Pflicht. Mit dem RFID-Chip werde zudem "eine Sicherheitslücke aufgemacht". Eine Funktion der elektronischen Identifizierung fürs Netz sei zwar sinnvoll, sollte aber nicht an ein Hoheitsdokument gekoppelt werden. Die Grünen plädieren daher für eine gesonderte, sichere und einfach zu handhabende Identifikationskarte für den Online-Handel und ähnliche Einsatzgebiete.

Der Datenschutzexperte der Linken, Jan Korte, unterstützte den Antrag der Grünen und forderte die Koalition auf, das "unsinnige Projekt" einzustellen und der FDP-Initiative beim elektronischen Entgeltnachweis (ELENA) zu folgen. Beim elektronischen Ausweis gehe es letztlich um die Schaffung eines Marktes für biometrische Techniken, für die zu einem großen Teil auf Steuergelder und Gebühren zurückgegriffen würde. Der Aspekt der "Freiwilligkeit" einiger Funktionen könne durch einen faktischen Nutzungszwang abgelöst werden. Der Einsatz einer sechsstelligen PIN zum Freischalten des Ausweises fürs Netz erhöhe die Gefahr des Identitätsdiebstahls. (Stefan Krempl) / (anw)

Quelle: Heise.de

[Dynamite]

Personalausweis-Gebührenverordnung steht

Das Bundesinnenministerium hat nach der Konsultation des Bundesrates die Personalausweisgebührenverordnung beschlossen. Die Länderkammer hat vor allem die geplanten Ermäßigungen angesichts der Finanznot der Länder und Gemeinden abgelehnt. Während der kommende elektronische Personalausweis wie bereits gemeldet im Normalfall für Bürger ab 24 Jahren 28,80 Euro kosten wird, wird der Preis des Ausweises für Bürger unter 24 Jahren auf 22,80 Euro ermäßigt. Ursprünglich sollte es eine Ermäßigung auf 19,80 Euro für Bürger von 18 bis 24 Jahren geben, für 16-18-Jährige sollte er sogar kostenfrei sein.

Die "Verordnung über Gebühren für Personalausweise und den elektronischen Identitätsnachweis" (Personalausweisgebührenverordnung) musste nach einer Sitzung der Länderkammer vom 9. Juli geändert werden, weil die Länder sich nicht in der Lage sahen, den Ausweis für junge Staatsbürger zu subventionieren. Unabhängig von den Altersgrenzen bleibt es den Gemeinden überlassen, ob Bedürftige eine Gebührenermäßigung bekommen oder den Ausweis kostenfrei erhalten.

Die nunmehr vom Innenministerium freigegebene Verordnung nennt erstmals auch die weiteren Gebühren. Danach ist das Aktivieren der Online-Funktion des Ausweises nur bei Ausweisausgabe gebührenfrei. Wird die Online-Funktion zu einem späteren Zeitpunkt im Amt aktiviert, kostet dies 6 Euro. Das Deaktivieren der Online-Funktion oder das Sperren dieser Funktion beim Ausweisverlust bleibt gebührenfrei, ein Entsperren (etwa bei einem wiedergefundenen Ausweis) kostet 6 Euro. Auch die im Online-Verkehr benötigte sechsstellige PIN-Nummer ist nur bei der Ausweisausgabe kostenlos. Wird die PIN vergessen oder besteht der Verdacht auf einen Missbrauch, so kostet die PIN-Änderung wiederum 6 Euro.

Die neue Gebührenverordnung legt keine Fixkosten für das Aufbringen einer qualifizierten elektronischen Signatur auf den Ausweis fest, wie sie etwa für den elektronischen Entgeltnachweis (ELENA) von Bürgern benötigt wird, die Arbeitslosengeld I oder Wohngeld beantragen wollen. Die Festlegung dieser Kosten bleiben den Signaturanbietern überlassen.

Unberührt von der Personalausweisgebührenverordnung ist auch die offene Zuwendungsmaßnahme IT-Sicherheitskit mit entsprechenden Ausweis-Lesegeräten, für die im Rahmen des Konjunkturpakets II 24 Millionen Euro ausgegeben werden. Für diese Summe sollen 1,5 Millionen Sicherheitskits vom November 2010 bis Dezember 2011 an Bundesbürger verschenkt werden, um die Akzeptanz des elektronischen Personalausweises zu fördern. Zehn Firmen wurden mit der Ausgabe dieser Kits beauftragt und entwickeln derzeit ihre Marketingstrategien. (Detlef Borchers) / (jk)

Quelle: Heise.de

[Dynamite]

Elektronischer Personalausweis: Wissens- oder Sicherheitsdefizite?

Nach einer Ankündigung der Plusminus-Redaktion über die Demonstration von Sicherheitslücken des elektronischen Personalausweises (ePA) haben sich Sicherheitsexperten, Datenschützer und Politiker vorab zu Wort gemeldet. Die in Zusammenarbeit mit dem Chaos Computer Club (CCC) beschriebenen Sicherheitslücken beruhen auf der Erkenntnis, dass mit dem neuen Ausweis "Sicherheitskits" in den Umlauf kommen sollen, die überwiegend einfachste Basis-Kartenleser enthalten. Diese Kartenleser sind USB-Sticks ohne weitere Funktionen, besitzen also keine eigene Tastatur wie der Standard- oder Komfort-Kartenleser. Die PIN-Eingabe, die beim Einsatz des ePA Pflicht ist, erfolgt hier über den Rechner, der (etwa mit einem Keylogger) kompromittiert sein könnte. Sei die PIN bekannt, so das Angriffsszenario, könnte der Ausweis gezielt entwendet und missbraucht werden.

Gegenüber dem Radiosender NDR-Info sprach sich der Bundesdatenschutzbeauftragte Peter Schaar gegen einen Einsatz dieser Basis-Kartenleser aus: "Meine Befürchtung ist, dass jetzt durch die Verwendung dieser einfachen Leser, die vom Bundesinnenministerium verteilt werden, eine Technologie mit dem neuen Personalausweis verbunden wird, die angreifbar ist", erklärte Schaar. Die PIN allein sei nicht kritisch. Wenn der Personalausweis aber in einem Hotel oder auf einem Campingplatz hinterlegt werden müsse, "ist in der Tat Gefahr in Verzug".

Juristisch sind diese technisch richtigen Bedenken des Datenschützers nicht haltbar. Mit der Einführung des elektronischen Personalausweises wird auch das Personalausweisgesetz geändert. Gerade weil der Ausweis eine wichtige ID-Komponente im Internet-Alltag ist und nicht nur hoheitliche Funktionen hat, soll er nicht länger hinterlegt werden dürfen. Wer dies dennoch verlangt, muss ein Bußgeld zahlen, darauf weist der Jurist Jens Ferner in seinem Blog über die neuen Rechten und Pflichten hin, die der ePA mit sich bringt. Zu den Pflichten gehört auch, den heimischen PC auf den jeweiligen Stand der Sicherheit zu bringen, wie er aktuell vom BSI definiert wird. Inhaber von elektronischen Personalausweisen müssen sich regelmäßig beim BSI über den Stand der Technik informieren.

Gegenüber der Nachrichtenagentur dpa vertrat der stellvertretende innenpolitische Sprecher der SPD- Bundestagsfraktion Michael Hartmann die Ansicht, dass bei den geringsten begründeten Zweifeln der Start des neuen Ausweises verschoben werden müsse. Er erklärte zu dem angekündigten "Plusminus"-Bericht, es dränge sich der Eindruck auf, "dass die zuständigen Experten die Sicherheitsschranken zu niedrig angesetzt haben". Er würde seiner Fraktion empfehlen, eine Debatte über die Sicherheit solcher Ausweissysteme anzustoßen.

In seiner Stellungnahme übersieht Hartmann jedoch, dass alle verwendeten Protokolle und Mechanismen beim ePA einem Peer-Review der Fachwelt unterlagen und dabei auch getestet wurde, ob Alternativen ein höheres Maß an Sicherheit bieten können. Dass Sicherheitsmaßnahmen "zu niedrig" liegen, liegt an dem Basis-Kartenleser, der in der Fläche verteilt werden soll, um schnell Akzeptanz für den Personalausweis zu erzeugen.

Dies greift jetzt der Chaos Computer Club auf. Gegenüber dem Rundfunksender MDR-Info kritisierte CCC-Sprecher Frank Rosengart, dass bei der Sicherheitstechnik Abstriche gemacht worden seien, um möglichst viele Lesegeräte kostenlos oder kostengünstig verteilen zu können. Im Rahmen der Starter-Kits, die mit Mitteln des Konjunkturpakets II finanziert werden, vertreiben der deutsche Genossenschaftsverlag, die Firmen Impuls, T-Systems, StarFinanz und SCT Reiner verschiedene Kartenleser an die interessierte Bevölkerung, wobei nur der Basis-Kartenleser kostenlos abgegeben werden soll und für Standard- und Komfortleser Zuzahlungen notwendig sind.

[Update]:
Der deutsche Genossenschaftsverlag, Impuls Systems und Star Finanz vertreiben ausschließlich Standard- und Komfort-Lesegeräte von Reiner SCT. Dabei werden im Rahmen von Kundenbindungsprogrammen teilweise auch Standardleser kostenlos abgegeben. Die kritisierten Basisleser werden von CHIP Communications, der Cosmos Lebensversicherungs-AG, der KKH-Allianz und der Firma Multicard ausgegeben. (Detlef Borchers) / (pmz)

Quelle: Heise.de

[Dynamite]

De Maizière hält Personalausweis für sicher

Bundesinnenminister Thomas de Maizière (CDU) hält den neuen Personalausweis trotz der Bedenken einiger Experten für sicher und verweist auf die Vorteile. "Der neue Personalausweis macht die Anmeldung und Registrierung an Online-Portalen sowie Rechtsgeschäfte im Internet, zum Beispiel Einkäufe, sicherer", sagte de Maizière der Frankfurter Allgemeinen Sonntagszeitung. Es sei nun möglich, die Identität des Empfängers und des Absenders eindeutig festzustellen. "Das ist ein dramatischer Zugewinn an Sicherheit bei allen Geschäften, die es im Internet gibt."

Der ab 1. November geltende neue Personalausweis speichert die Daten zusätzlich auf einem Chip. Die verschlüsselten Informationen können über eine Nahfunk-Technik versendet und bei Online-Transaktionen genutzt werden. Kritisiert worden war in der ARD-Sendung "Plusminus", dass es bei der einfachen Variante der Lesegeräte möglich sei, den sechsstelligen PIN-Code auszuspähen. Der Bundesdatenschutzbeauftragte Peter Schaar hatte deshalb gefordert, einfache Lesegeräte nicht einzusetzen.

De Maizière sagte dazu, es sei möglich, aber unwahrscheinlich, dass Hacker mit hoher krimineller Energie bei einfachen Lesegeräten den PIN-Code ausspähen. "Damit ist aber das Rechtsgeschäft im Internet noch nicht gefährdet und die eigene Identität nicht missbrauchbar, denn der Angreifer benötigt immer noch den Ausweis selbst", sagte der Innenminister. Außerdem könne jeder Besitzer des neuen Personalausweises eine neue PIN anfordern oder den Ausweis für die Online-Anwendung über eine Hotline sofort sperren lassen. (dpa) / (axv)

Quelle: Heise.de

[Dynamite]

CCC zeigt Sicherheitsprobleme beim elektronischen Personalausweis auf

Der Chaos Computer Club (CCC) erneuert seine Kritik am neuen elektronischen Personalausweis. In Verbindung mit dem Basisleser, von dem 1 Million Geräte kostenlos abgegeben werden sollen, sei das System unsicher. Bereits am 24. August hatten Mitglieder des CCC im Fernsehmagazin Plusminus demonstriert, dass Angreifer über Schadsoftware auf dem PC die Eingabe der PIN des Ausweises abhören können. Denn der Basisleser besitzt keine Tastatur, über die man die PIN abhörsicher eingeben könnte.

Eine ähnliche Demonstration soll heute Abend im WDR in der Sendung "Bericht aus Brüssel" ab 21.55 Uhr gezeigt werden. Demnach sei es mit für jedermann problemlos im Netz erhältlicher Software möglich, den Ausweis mit Hilfe der belauschten PIN fernzusteuern: "Mit dem Wissen um die PIN kann ein Angreifer den Ausweis nach Belieben benutzen, solange dieser auf einem Lesegerät liegt. Versteckt im Hintergrund kann er sich so online als Besitzer des Ausweises ausgeben, ohne dabei auf die übertragenden Daten Zugriff zu nehmen. Problemlos kann der Angreifer sogar die 'geheime' PIN des Ausweises ändern", schreibt der CCC in einer Mitteilung.

Auch Tricks wie die virtuelle Tastatur, die mit der Maus bedient wird, brächten keine Sicherheit. Selbst Lesegeräte mit eigener PIN-Tastatur böten nur begrenzten Schutz. Durch Man-in-the-Browser-Attacken könnte der Inhalt von Transaktionen modifiziert werden, ohne dass der Benutzer dies wahrnimmt. Nur wenn das Lesegerät vor der PIN-Eingabe die wichtigsten Transaktionsdaten anzeigt, beim Online-Banking sind das beispielsweise Empfängerkonto und Betrag, kann der Benutzer prüfen, welche Transaktion er auslöst.

Darüber hinaus kritisiert der CCC die optionale Signierfunktion des neuen Ausweises zum rechtsverbindlichen Unterzeichnen von digitalen Dokumenten. So sei es Angreifern mit der Schweizer SuisseID-Karte, bereits gelungen, mit einer fremden Identität eine rechtsgültige Unterschrift abzugeben. Auch der elektronische Personalausweis habe vergleichbare Schwächen.

Insbesondere bemängelt der CCC, dass es keine Richtlinien für den Aufbau der Dokumente gebe, die signiert werden dürfen. Es sei grundsätzlich eine schlechte Idee, komplexe Formate digital zu unterzeichnen. Denn der Benutzer habe dabei keine Gewissheit, dass das Dokument in verschiedenen Anwendungen immer gleich angezeigt wird. So sei es möglich gewesen, innerhalb des Programms "SwissSigner" eine PDF-Datei mit aktiven JavaScript-Inhalten zu signieren, ohne dass die Applikation das Dokument korrekt darstellen konnte. Etwa im weitverbreiteten Acrobat Reader sah es anders aus. Dennoch habe die qualifizierte Signatur unter gewissen Bedingungen einer Überprüfung als intakt standgehalten.

Update: BSI-Experte Jens Bender nahm Stellung zur Kritik des CCC. Er räumte ein, wenn ein Benutzer "den großen Fehler" mache, den elektronischen Personalausweis länger als nötig in einem Lesegerät zu lassen, könne sich ein Angreifer im Besitz der PIN tatsächlich für ihn ausgeben, zum Beispiel bei Altersverifizierungsdiensten. Allerdings könne ein Online-Krimineller dabei keine Geschäfte im Internet abschließen, weil dafür eine separate Signatur-Funktion aktiviert werden müsse. Die Signatur sei durch eine zweite PIN geschützt, die ausschließlich direkt an einem Lesegerät mit integrierter Tastatur eingegeben werden kann.

Unter keinen Umständen könne ein Angreifer Einblick in die persönlichen Daten des Ausweis-Inhabers bekommen, da sie verschlüsselt übermittelt würden, betonte Bender. Allerdings sei es tatsächlich möglich, bei einem Angriff eine bekannte PIN zu verändern. Das sei jedoch ein wenig wahrscheinliches Szenario, "da der Besitzer damit sofort merkt, dass etwas nicht stimmt".

Das BSI betont, dass auch mit den bekannten Schwächen einfacher Lesegeräte das Authentifizierungsverfahren mit einem elektronischen Personalausweis deutlich sicherer sei als heute Kombinationen aus Benutzername und Passwort. (ad)

Quelle: Heise.de

[Dynamite]

Wackelpartie für den neuen Personalausweis

Ab November sollen Bürger, die einen Personalausweis beantragen, das neue Ausweisdokument mit Chip erhalten. Doch ein Blick in die Kommunen, die für die Abwicklung der Anträge zuständig sind, weckt starke Zweifel, ob sich der Termin halten lassen wird. Claudia Drescher vom Bayerischen Gemeindetag weiß, dass der Unmut über den Bund im Moment groß ist: Die Kommunen müssen für die Umstellung auf die neue Ausweistechnik einen wesentlich höheren Aufwand treiben, als erwartet.

Weil die Technik noch gar nicht funktioniert, konnten Arbeitsabläufe zudem noch nicht erprobt werden. Anton Hanfstengl, Leiter des Bürgerbüros München, sagte heise online, dass der neue Personalausweis "eines der kritischsten Projekte ist, die wir je durchgeführt haben". Er glaubt, "dass wir die Zeit bis zur Einführung und die mit dem Projekt verbundenen Schwierigkeiten unterschätzt haben."

Das größte Problem scheinen zurzeit die Änderungsterminals darzustellen, die von der Bundesdruckerei gestellt werden. Sie müssen in das System der Gemeinde eingebunden werden. Dafür investieren laut Drescher viele Kommunen in neue PC-Hardware, weil ihre alten Rechner den Anforderungen der Bundesdruckerei nicht mehr genügen. Dennoch scheint das für eine gelungene Anbindung bislang nicht auszureichen.

Hanfstengl sind bis heute keine Kommunen bekannt, die die Änderungsterminals mit Hilfe der von der Bundesdruckerei gelieferten Software bereits anbinden konnten: "Wir haben bereits verschiedene Versionen erhalten, aber alle waren so fehlerbehaftet, dass sie sich als nicht einsatzfähig herausstellten." Die meisten Hersteller von kommunaler Software, die in den Melde- und Ausweisbehörden zum Einsatz kommt, hätten die Software nicht in die Systeme einbinden können. Daher habe bislang kaum ein Verfahren durchgetestet werden können.

Ärger machen auch die herstellerabhängigen Vorgaben der Bundesdruckerei, die etwa die Verwendung von Microsoft-Produkten bindend vorgeben. Für das Präsidium des Deutschen Städtetags ist dieses Vorgehen mit Blick auf Open-Source-Städte wie München, Freiburg oder Jena "nicht akzeptabel". Es fordert daher den Bund auf, "bei der Vorgabe von Hard- und Softwareanforderungen an die zur Beantragung und Ausgabe der neuen Ausweise benötigte IT-Ausstattung der Behörden die Kompatibilität mit offenen Standards wie beispielsweise Linux zu gewährleisten."

Auch die jüngste, vor wenigen Tagen erst angelieferte Version der Anbindungssoftware für die Änderungsterminals soll derart fehlerbehaftet gewesen sein, dass sie zumindest in München nicht einsatzfähig war. "Für uns ist es unersichtlich, ob das am Programm oder unserer IT-Umgebung liegt", so Hanfstengl. "Jedenfalls wird es mit der Umsetzung bis zum 1. November kritisch." Eine Schulung der Mitarbeiter sei so nur eingeschränkt möglich. Hanfstengl führt die Probleme jedenfalls auf die sehr unterschiedliche IT- und Verfahrensausstattung der Kommunen zurück.

Dazu dürften auf die Bürger längere Wartezeiten zukommen: Bislang hat die Ausgabe des Personalausweises fünf bis zehn Minuten gedauert, künftig wird sie etwa eine halbe Stunde dauern. Kommunen wie München, Frankfurt und Düsseldorf rechnen mit dreifachen Bearbeitungszeiten. Das bedeutet, dass bereits der Dritte in der Warteschlange bei einem Bearbeiter eine Stunde lang warten müsste. Bei der Einführung des digitalen Reisepasses hatte sich laut Hanfstengl die Bearbeitungszeit um den Faktor zwei erhöht.

Die Furcht der Kommunen vor dem Unmut der Bürger ist entsprechend groß, berichtet Drescher frisch von einer Informationsveranstaltungen für bayerische Kommunen. Der Grund für die längeren Wartezeiten ist offensichtlich: Die Bürger müssen umfassender informiert werden und bis zu vier Erklärungen unterschreiben. Während der zehnjährigen Laufzeit des Ausweises werden sie zudem immer mal wieder in den Ausgabestellen auftauchen, um die eID-Funktion aus- oder einzuschalten und um die PIN an den Änderungsterminals zu ändern. Hanfstengl rechnet mit "vielen Menschen, die möglicherweise bei der Bedienung des Geräts Unterstützung brauchen."

Weil der Verwaltungsaufwand sich verdreifacht, haben die Kommunen neues Personal eingestellt. Die Stadt München etwa hat eben 20 neue Stellen eingerichtet. Um das neue Personal unterzubringen und größere Warteräume bereitstellen zu können, hat das Bürgerbüro seine Räumlichkeiten erweitert – andere Dienststellen mussten ausweichen, die Stadt musste neue Räume anmieten. Die Änderungsterminals, an denen die Bürger ihre etwa die PIN ändern können sollen, sollen aus Gründen der IT-Sicherheit sowie Usability nicht öffentlich aufgestellt werden.

Es kommen aber auch höhere Kosten auf die Kommunen zu: Sie müssen nämlich für jeden Ausweis 22,80 Euro an die Bundesdruckerei abführen und dürfen 6 Euro als Verwaltungskostenpauschale einbehalten. Wenn die Perso-Gebühr bei Bedürftigkeit ganz erlassen wird, müssen die Kommunen ihren Obolus an die Bundesdruckerei dennoch entrichten. Dasselbe ist bei Personen unter 24 Jahren der Fall, die nur 22,80 Euro für den Perso zahlen müssen. Die Kommunen müssen außerdem auf eigene Kosten das Informationsmaterial vorhalten, für das der Bund lediglich das Konzept vorgibt. Das Präsidium des Deutschen Städtetages kritisiert, dass die Verwaltungskostenpauschale für die Kommunen nicht kostendeckend sei. Nach zwei Jahren soll sie jedoch evaluiert werden. (Christiane Schulzki-Haddouti) / (vbr)

Quelle: Heise.de

[Dynamite]

Lob und Tadel für den elektronischen Personalausweis

Das Bundesinnenministerium hat am Freitag in Berlin die offiziell in Auftrag gegebenen Begleitstudien zum elektronischen Personalausweis vorgestellt. Die Studien behandeln die Akzeptanz, Haftungsfragen und die Protokollsicherheit des neuen Ausweises. Eine weitere Studie zu den "Restrisiken beim Einsatz der Ausweis-App auf dem Bürger-PC" wurde mit Zwischenergebnissen präsentiert. Insgesamt kommen die Gutachter zu dem Fazit, dass der Ausweis technisch wie juristisch keine Schwachstellen aufweise, die Einführung der elektronischen Identifikation aber mit der Frage belastet sei, wie Bürger ihre Bürger-PCs in Schuss halten: ohne aktuellen Virenschutz und Firewall drohen Risiken und Nebenwirkungen.

Dank PACE und EAC und Secure Messaging ist der im November startende elektronische (neue) Personalausweis (inzwischen nPA abgekürzt) "kryptographisch sicher". Die Sicherheitsanalyse der Protokolle durch Wissenschaftler der Technischen Universität Darmstadt habe keine Schwachstellen ergeben, berichtete Marc Fischlin. Angriffe auf das System, in dem sich der Angreifer wechselweise als Ausweis oder als Terminal ausgab, seien abgewehrt worden. "Die in der Presse verkürzte Darstellung, wonach der Personalausweis unsicher sei, teilen wir nicht", erklärte der Informatiker zu dem vom Chaos Computer Club (CCC) vorgetragenen Angriffszenario über einen Keylogger in Verbund mit einem Basis-Kartenleser.

Ähnlich argumentierte Norbert Pohlmann vom Institut für Internet-Sicherheit an der Fachhochschule Gelsenkirchen. Allerdings sprach Pohlmann sich deutlich dafür aus, Standard- oder Komfortleser einzusetzen, die ein wesentlich geringeres Restrisiko böten: "Der Bürger hat die Verantwortung, seinen Bürger-PC sicher zu halten", meinte Pohlmann unter Verweis auf Informationsseiten wie botfrei. Insbesondere müsse der Bürger mit der eID-Funktion vertraut sein und die richtige Vorgehensweise beim Sperren des Ausweises kennen. Auch dürfe er den Ausweis nur kurz während der Authentisierung auf das Lesegerät legen. "Jeder sollte seinen Beitrag leisten, um die Zukunft sicher zu gestalten. Der nPA ist ein Schritt in die richtige Richtung." Die von Pohlmann und seinen Mitarbeitern durchgeführten Angriffe über eigens programmierte Malware für eine Analyse der Restrisiken ist noch nicht abgeschlossen.

"Nur gute Nachrichten" zum neuen Personalausweis wollte der IT-Rechtswissenschaftler Georg Borges von der Universität Bochum verkünden. Aus seiner Sicht sind die Bürger vor Haftungsrisiken ausreichend geschützt, sofern sie ihre Pflichten nicht vernachlässigen. Beim Online-Banking mit PIN/TAN und eID vermisste Borges eine Haftungsbeschränkung, wie sie Banken für andere Transaktionsarten ihren Kunden gewähren – er meinte aber, diese Beschränkung werde sich analog auch im eID-Bereich entwickeln. Der Nachweis der Urheberschaft über eine missbräuchliche Nutzung der eID-Funktion müsse über den Anscheinsbeweis geführt werden; der Anschein einer Authentisierung durch den Ausweisinhaber soll immer dann gelten, wenn ausgeschlossen werden kann, das ein Trojaner oder eine sonstige Malware die Authentisierung angestoßen hat. In der Diskussion zum Vortrag von Borges monierte Andy Müller-Maguhn vom Vorstand des CCC, dass der Anscheinsbeweis den Bürger dann schutzlos lasse, wenn ein Angreifer den Ausweis eines Bürgers emulieren oder kopieren könne. Borges erwiderte, dass nur plausible Fälle juristisch von Bedeutung seien. Wäre es möglich, den Chip und damit die eID-Funktion zu kopieren, sei das gesamte eID-System gesprengt und jegliche Diskussion über Anscheinsbeweise überflüssig.

Was aus Nutzersicht am elektronischen Personalausweis noch verbessert werden kann, legte Christoph Meinel von der Universität Potsdam in einem "Ideenkatalog" vor. Mit seinen Mitarbeitern hatte Meinel empirisch untersucht, wie Anwender mit Testausweisen und der Software arbeiteten. Das Urteil fiel nicht positiv aus. "Die Studie zeigt eindeutig, dass Transparenz nur dann zur Unterstützung des neuen Personalausweises führt, wenn das technologische Vorwissen so ausgebildet ist, dass es ausreicht, um die Prozesse nachzuvollziehen. Das war allerdings nur bei den Informatikern der Fall." Damit Nicht-Informatiker eine Beziehung zum Ausweis aufbauen können, müsse die Installation der Ausweis-App anwenderfreundlicher sein. Außerdem müsse die Sprache selbst benutzerfreundlicher sein: Statt CAN sollte man das Wort "Ausweisbesitznummer" verwenden, statt PUK "Rücksetzungs-Code" und statt Berechtigungszertifikat sei "Anbieterausweis" viel eingängiger.

Meinels Truppe, die auch dafür verantwortlich zeichnet, dass der Bürgerclient nun Ausweis-App heißt, schlug eine Reihe von Anwendungen vor, um den "Mehrwertmangel" für Normalbürger zu kontern. Ein "Datentresor", der sich nur mit der eID-Funktion öffnen lässt und in dem Bürger all ihre PINs und TANs und Passworte speichern, gehörte ebenso dazu wie eine "Vorratsdatenspeicherung rückwärts". Dieses apart benannte Programm ist ein Protokoll aller Aktionen, die mit der eID-Funktion ausgeführt wurden und aller Diensteanbieter und Daten, die diese bekamen. Ob derartige Tresore und Rückspeicherer den Segen der Datenschützer erhalten, ist zweifelhaft, zumal die Ausweis-App mit dem Bundesadler (ein weiterer Vorschlag von Meinel) aus Sicht des Bürgers ein staatliches Programm ist.

Andreas Reisen, Projektleiter der Personalausweis-Einführung beim Bundesinnenministerium, reagierte auf die Vorschläge mit dem Hinweis, dass man die Ausweis-App nur etwa. drei Jahre unterstütze und darauf setze, dass bis dahin die Privatwirtschaft mit eigenen Zugriffsprogrammen auf den Personalausweis am Markt ist. Nach seiner Einschätzung werden 2011 zwei Millionen "Early Adopters" mit der eID Erfahrung sammeln, wenn insgesamt 12 Millionen Ausweise im ersten Jahr ausgegeben werden. (Detlef Borchers) / (pmz)

Quelle: Heise.de

[Dynamite]

Datenschützer gibt bei Personalausweis Entwarnung

Vor der Einführung des neuen elektronischen Personalausweises gibt Schleswig-Holsteins Datenschutzbeauftragter Thilo Weichert Entwarnung. Er habe keine Befürchtungen mehr, dass das Dokument von Unbefugten ausgelesen werden kann, sagte (MP3-Stream) er am Donnerstag im Deutschlandfunk. Es gebe natürlich Risiken, auf die der Chaos Computer Club hingewiesen habe, so Weichert. "Das ist mit einer guten Absicherung des eigenen Rechners aber einigermaßen in den Griff zu bekommen. Ich sehe den Ausweis im Großen und Ganzen eher positiv."

Wer künftig einen neuen Personalausweis braucht, bekommt ihn mit integriertem Chip. Damit kann man die eigene Identität auch bei Online-Geschäften nachweisen – muss dies aber nicht. In welchem Umfang man den neuen Personalausweis nutzen will, bestimmt jeder selbst.

Vor der Premiere zum 1. November gab es viel Kritik. Diese rührt daher, dass der neue Personalausweis gleich mehrere Aufgaben erfüllt. Er dient erstens als Ausweis bei behördlichen Aufgaben, etwa bei der Polizei oder Grenzkontrolle. Zweitens kann er optional als Identitätsnachweis für Online-Geschäfte eingesetzt werden. Und drittens ist er auch für die elektronische Signatur verwendbar, um zum Beispiel digitale Dokumente rechtsverbindlich zu unterschreiben.

In Ausgabe 23/10 (die seit Montag, den 25. Oktober, im Handel ist) nimmt c't die Technik des neuen elektronischen Personalausweises, seine Anwendungen sowie sicherheitstechnische und politische Aspekte in einem Schwerpunkt sowie Praxistest genauer unter die Lupe. (dpa) / (anw)

Quelle: Heise.de

[Dynamite]

Experten beraten sich über neuen Personalausweis

Der Bundesinnenminister freut sich auf ihn, Datenschützer geben Entwarnung zu ihm, die Gewerkschaft der Polizei warnt vor dem leichtfertigen Umgang mit ihm: der neue Personalausweis beschäftigt die Gemüter. Grund genug für die Sicherheitsspezialisten vom Darmstädter CAST, sich mit "Meiner wichtigsten Karte" zu beschäftigen.

Mit einem Doppelvortrag führte Jens Bender vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Anwesenden in die Funktionsweise des neuen Personalausweises (nPA) ein. Im Mittelpunkt beider Präsentationen stand die elektronische Identifikation (eID), mit der der Ausweis startet. Auf ihr beruhen viele Prozesse, nicht zuletzt die optionale qualifizierte elektronische Signatur (QES), die im März 2011 für den Personalausweis zur Verfügung stehen soll. Zu diesem Zeitpunkt soll auch die AusweisApp in der Lage sein, die gängigsten E-Mail-Programme (Outlook, Outlook Express, Thunderbird, Apple Mail, kmail) zu unterstützen. Auch die Zertifikation der Komfort-Leser, die die QES verlangt, soll bis dahin abgeschlossen sein.

Das "Das bin ich" der eID und "Das habe ich unterschrieben" der QES sind freilich sinnlos ohne entsprechende Internet-Angebote. Klaus Wolter vom Bundesverwaltungsamt erläuterte prägnant, wie unterstützungswillige Anbieter an ein Berechtigungszertifikat kommen können, bestimmte Daten wie die Adresse oder die Altersverifikation vom nPA übernehmen zu können. Seine Behörde vergibt diese Zertifikate und hat bislang unter 50 Anträge bearbeitet und an die bisher einzigen beiden Zertifikats-Dienstleister Bundesdruckerei und Deutsche Post weitergeleitet. Wolter erläuterte, dass selbst große Firmen erhebliche Probleme haben, einen korrekten Antrag so zu formulieren, dass die Erforderlichkeit eines Datenabgleichs mit dem nPA überhaupt ersichtlich wird: "Wer Daten von nPA haben will, muss sich darüber im Klaren sein, dass der nPA wie ein Laserpointer wirkt: die Geschäftsprozesse werden gnadenlos ausgeleuchtet." So sei die Annahme, dass Online-Shops einfach an ein Berechtigungszertifikat kommen können, falsch, da viele Webshops per Vorkasse oder mit Kreditkartenabbuchung arbeiteten. Nur die Firma, die ein kreditorisches Risiko trage, also auf Rechnung einen ihr unbekannten Kunden beliefere, könne ein Zertifikat beantragen.

Ähnlich sieht es bei der Alters- und Wohnortsverifikation aus, für die in der Regel gesetzliche Vorgaben entscheidend sind. Ein Laden dürfe nicht einfach so überprüfen, ob seine Kunden in der Nähe wohnen, während Gemeinden, die etwa eine Kurtaxe oder ähnliches erheben, es leichter haben werden, bei Nicht-Einwohnern nach der Verifikation eine Gebühr zu erheben. Wolter zufolge liegen die größten Chancen der eID beim Einsatz der "unglücklich benannten Pseudonymfunktion", die er als Dienst- und kartenspezifisches Kennzeichen definierte. Solch ein DKK sei bei der Nutzung von Prepaid-Angeboten oder der Registrierung in sozialen Netzwerken nützlich, die keine rechtlichen Gründe dafür vorweisen vorweisen können, Klardaten zu verarbeiten.

Interessant gestaltet war der Praxisbericht eines Diensteanbieters, den Thomas Walloschke von Fujitsu Technologies Solutions ablieferte. Walloschke schilderte die durchaus leidvollen Erfahrungen, die sein in Kanada und Deutschland aufgestelltes, also rund um die Uhr arbeitendes Programmierteam mit der Integration der eID in den Fujitsu Online Shop machen durfte. Wenige Stunden, bevor das Programm am 27. Oktober als Cloud Service in den Wirkbetrieb gehen konnte, diskutierte man Go-NoGo-Szenarien, weil eine Vielzahl von Fehlermeldungen auftraten. Sie wurden durch einen Testausweis verursacht, der offenbar stundenlang auf einem Lesegerät lag, ein klarer Verstoß gegen die Richtlinien, den Ausweis immer nur kurzzeitig zu benutzen. Insgesamt lohnte sich für Fujitsu die arbeitsintensive Teilnahme nur, weil die Firma auch Konsortialpartner im EU-Projekt STORK ist, in dem ID-Token verschiedener Anbieter zusammenkommen und Erfahrungen mit Service Provider Authentication Services (SAPS) eine Rolle spielen. Ein einzelner, allein in Deutschland funktionierender Online-Shop wäre für viele Firmen eine zu aufwändige Angelegenheit, meinte Wolloschke.

Nach einem juristischen Vortrag von Georg Borges, der den Teilnehmern des Workshops sein Gutachten über Haftungsfragen im Zusammenhang mit der Ausweisnutzung vorstellte, hatten zum Schluss die hessischen Datenschützer das Wort. Rüdiger Wehrmann machte darauf aufmerksam, dass mit dem Ausweis zumindest in Deutschland ein Hinterlegungsverbot einhergeht (was als deutsches Gesetz im Ausland wirkungslos ist) und Firmen von Besuchern nicht mehr den Ausweis einbehalten dürfen. Außerdem bemängelte er, dass der durchschnittliche Bürger nicht die Echtheit der Ausweis-App erkennen kann. Das Argument von Innenministerium und BSI, dass der Quellcode demnächst als Open Source verfügbar wird, sei für einen Normalbürger nicht wirksam. Weil der PC der neuralgische Punkt der Datensicherheit im Gesamtsystem sei, müssten Datenschützer Bürgern dazu raten, auf den Einsatz eines Basislesers ganz zu verzichten, erklärte Wehrmann. Außerdem sollte jeder Bürger auf die Abgabe seines Fingerabdruckes verzichten, die abolut keinen Sinn mache, weil sie nur im Falle eines Ausweisverlustes als zusätzliche, nie geprüfte Sperre diene.

Wehrmanns Kollegin Gisela Quiring-Kock beschäftigte sich anschließend mit der qualifizierten elektronischen Signatur. Sie bemängelte, dass im Vergleich zu Österreich die QES in Deutschland nicht suventioniert wird und somit sehr teuer ist. Die rein privatwirtschaftlich gelöste Bewirtschaftung der QES verhindere die Verbreitung der Signatur, während sie in der Alpenrepublik von 60 % der Bankkunden genutzt werde. Quiring-Kock machte auch auf das Fotokopierverbot beim neuen Personalausweis aufmerksam, weil so die aufgedruckte CAN verbreitet werden könnte, die bei der Freischaltung einer QES benötigt wird. (Detlef Borchers) / (jo)

Quelle: Heise.de