Ab November 2010 wird der neue Personalausweis im Scheckkartenformat den bisherigen Personalausweis ablösen. Die vielleicht interessanteste neue Eigenschaft ist die Online-Ausweisfunktion, die die Sicherheit und den Komfort von E-Business und E-Government für alle deutlich erhöhen soll. Die neue Dokumentengeneration wird die herkömmlichen Anwendungen des Ausweises um elektronische Funktionen ergänzen. Die Daten, die heute optisch vom Dokument ablesbar sind, werden zukünftig in einem Ausweis-Chip abgelegt. Damit können sich die Ausweisinhaber online ausweisen – sowohl gegenüber Behörden im E-Government als auch gegenüber privatwirtschaftlichen Dienstleistungsanbietern, beispielsweise bei Online-Shopping, Online-Banking oder beim Online-Kauf von Tickets. Die Online-Ausweisfunktion basiert auf dem Prinzip des gegenseiten Ausweisens, wonach beide Seiten auf die angegebene Identität ihres Gegenübers vertrauen können: Nur mit einem staatlich ausgestellten Berechtigungszertifikat ist es für Dienstleister im Internet technisch möglich, auf Ausweisdaten zuzugreifen. Im Berechtigungszertifikat ist zusätzlich hinterlegt, welche Datenkategorien abgefragt werden können.
- Ausweisen im Internet: Der neue Personalausweis ist mit der Funktion des elektronischen Identitätsnachweises zum Online-Ausweisen ausgerüstet. Damit können Prozesse wie z. B. Log-in oder Alters- und Wohnortbestätigung wirtschaftlicher und schneller realisiert werden. Ein besonderer Schwerpunkt wurde auf den Schutz persönlicher Daten gelegt: Nur berechtigte Anbieter von Dienstleistungen dürfen die Daten des Ausweises abfragen. Der Ausweisinhaber selbst behält die volle Kontrolle darüber, welche seiner persönlichen Daten an den Anbieter übermittelt werden. Aufgrund seines Sicherheitskonzeptes hilft der neue Personalausweis, Internetkriminalität zu bekämpfen und das Vertrauen der Bevölkerung in elektronische Transaktionen zu steigern. Er stärkt den Schutz vor Identitätsdiebstahl und bietet neue benutzerfreundliche Möglichkeiten für die Umsetzung des Jugendschutzes, letzteres unter anderem auch an Automaten, beispielsweise beim Zigarettenkauf.
- Elektronische Signatur: Die Ausweisinhaber können ein Zertifikat für die qualifizierte elektronische Signatur auf ihren Personalausweis laden. Damit sollen auch Dienste, die eine eigenhändige Unterschrift erfordern, medienbruchfrei, sicher und preiswert auf dem elektronischen Wege in Anspruch genommen werden.
- Sicheres Reisedokument: Für hoheitliche Kontrollen an Grenzen und im Inland – und nur für diese – ist die Biometriefunktion zur Identitätsfeststellung vorgesehen: Das digitale Foto wird in allen Personalausweisen enthalten sein. Zwei Fingerabdrücke können auf freiwilliger Basis ebenfalls im Chip gespeichert werden. Damit kann der elektronische Personalausweis ähnlich wie der elektronische Reisepass als sicheres Reisedokument eingesetzt werden.Beide Merkmale ermöglichen eine effiziente und sichere Unterstützung der Personenkontrolle, insbesondere zur Bekämpfung von Betrugsversuchen, bei denen verlorene oder gestohlene Dokumente gezielt durch fremde Personen verwendet werden.
Das erste Konzept zum neuen Personalausweis wurde 2008 veröffentlicht und in Zusammenarbeit mit BITKOM und Deutschland sicher im Netz e.V. im Rahmen von gemeinsamen Workshops und Informationsveranstaltungen mit Vertretern der Wirtschaft, der Wissenschaft, des Date2009 nschutzes und der Verbraucherverbände diskutiert. Das "Gesetz über Personalausweise und den elektronischen Identitätsnachweis sowie zur Änderung weiterer Vorschriften" PAuswG wurde im Juni 2009 im Bundesgesetzblatt veröffentlicht und tritt am 1. November 2010 in Kraft.
Umfangreiche Tests im Vorfeld der Einführung
Um die positiven Voraussetzungen für eine hohe Akzeptanz des neuen Ausweises auf Seiten der Bürgerinnen und Bürger zu schaffen, führt das BMI seit Oktober 2009 Anwendungstests durch. Darin erproben E-Business- und E-Government-Anbieter die neuen Funktionen des Personalausweises in ihren Services. Die Beantragung, Ausstellung und Sperrung von Ausweisen werden durch ausgewählte kommunale Behörden seit Anfang 2010 in einem Feldtest evaluiert. Die Ergebnisse beider Tests fließen noch vor dem Rollout in die laufende Projektabwicklung ein.
Kein Zugriff auf persönliche Daten
Das Nutzen der Online-Ausweisfunktion mit am heimischen PC ist nur möglich, wenn man im Besitz des Ausweises ist und die geheime PIN kennt. Außerdem benötigt man ein Lesegerät. Bei der Verwendung eines Basislesegerätes ohne eigenes Zahleneingabefeld könnte eine Schadsoftware wie beispielsweise ein „Keylogger“ (Hard- oder Softwarekomponenten, die alle Tastatureingaben aufzeichnen und ggf. an Dritte übermitteln können) die Tastatureingabe der sechsstelligen PIN mitlesen, die zur Online-Authentisierung mit dem neuen Personalausweis notwendig ist. Allein durch das Mitlesen der PIN ist ein Missbrauch jedoch nicht möglich. Neben der Kenntnis der PIN muss der Angreifer dafür auch Zugriff auf den Ausweis selbst haben. Der Ausweis muss daher vom Inhaber sicher verwahrt werden. Dazu gehört auch, den Ausweis nur dann auf ein Kartenlesegerät zu legen, wenn er im Internet genutzt werden soll. Darüber hinaus werden alle auf dem Ausweis gespeicherten persönlichen Daten durchgehend verschlüsselt vom Chip an den Diensteanbieter übertragen.
Verbraucher können mögliche Risiken bei allen Chipkarten und beim Online-Banking – ebenso wie beim neuen Personalausweis – deutlich minimieren, indem sie die üblichen Sicherheitsvorkehrungen treffen. So sollte man Angriffen mit Schadsoftware und Phishing vorbeugen und seine Computersysteme mit geeigneten Mitteln (Personal Firewall, leistungsfähiger Virenscanner, Aktualisierungen des Betriebssystems und aller verwendeten Anwendungsprogramme) frei von Schadsoftware halten. Im Vergleich zu der bei sonstigen Chipkarten und beim Onlinebanking in der Regel verwendeten Authentisierung mittels Benutzername und Passwort bietet der neue Personalausweis auch in Verbindung mit einem Basislesegerät einen erheblichen Sicherheitsgewinn. Das in der Nutzungssoftware „AusweisApp“ integrierte virtuelle PIN-Pad, das die PIN-Eingabe mit der Maus ermöglicht und so das Mitlesen der PIN durch Keylogger oder ähnliche Schadprogramme deutlich erschwert, sollte genutzt werden. Diese Funktionalität kommt auch bereits bei mehreren Online-Banking-Angeboten zum Einsatz. Die PIN sollte regelmäßig geändert werden.
Vorteile der Basislesegeräte sind der niedrige Preis, die freie Bauform und die einfache Integrierbarkeit in andere Geräte. Sie ermöglichen den Bürgern zudem einen einfachen und kostengünstigen Einstieg in die Nutzung des neuen Personalausweises als Online-Ausweis. Es empfiehlt sich, anstelle des Basislesegeräts ein Standard- oder Komfortlesegerät zu verwenden. Dabei ist die Sicherheit, dass keinerlei Daten abgefangen werden können, extrem hoch – auch bei Angriffen mit Trojanern oder anderer Schadsoftware.
Das Sicherheitsniveau des neuen Personalausweises ist sehr hoch
Das Gesamtsystem, das die Daten des neuen Personalausweises vor unberechtigten Zugriffen schützt, ist auf einem sehr hohen technischen Sicherheitsniveau. Das Sicherheitsniveau des Chips selbst gilt sogar als höchstmöglicher Sicherheitsstandard. Alle verwendeten Protokolle und Mechanismen beim neuen Personalausweis wurden einem Peer-Review der Fachwelt unterzogen. Dabei wurde auch getestet, ob Alternativen ein höheres Maß an Sicherheit bieten können.
Das konkrete Niveau der Sicherheit hängt jedoch immer von der Computerumgebung des Nutzers ab. Dies gilt auch für andere Anwendungen wie das Online-Banking oder Internet-Shopping. Sicherheit kann nicht allein durch technologische Vorkehrungen gewährleistet werden.
Anwender, die das Sicherheitsniveau ihres Rechners kontinuierlich auf dem neuesten Stand halten, indem sie eine aktuelle Firewall und einen leistungsfähigen Virenscanner einsetzen sowie regelmäßige Sicherheitsupdates für das Betriebssystem und alle weitere eingesetzte Software einspielen, brauchen sich um die Sicherheit ihrer persönlichen Daten keine Sorgen zu machen.
Sicherheitsbedenken zum neuen Personalausweis sind unbegründet
Klassische Angriffe mit Spionagesoftware auf den PC des Verbrauchers sind nicht neu. Mit Hilfe dieser Schadsoftware kann der Angreifer genau das sehen, was der Nutzer des angegriffenen Computers auf seinem Bildschirm sieht. Sie führt jedoch nicht dazu, dass ein Angreifer die PIN des Personalausweises mitlesen kann, denn diese wird bei der Eingabe auf dem Bildschirm nicht im Klartext abgebildet.
Angriffe mit Schadsoftware wie beispielsweise einem Trojaner, sind bei der Nutzung des Internets grundsätzlich möglich. Dies stellt jedoch nicht eine Gefährdung einer einzelnen Anwendung dar, sondern zeigt allgemein die Notwendigkeit zur Verwendung von Virenscannern und Firewalls auf dem PC oder Notebook. Denn solche Spionageprogramme könnten auch eingesetzt werden um persönliche E-Mails mitzulesen, beim Online-Einkauf zuzuschauen, wenn persönliche Daten in Formulare eingegeben werden oder beim Online-Banking Kontonummer, Kontostand und Transaktionsnummern mitzulesen.
Text und Bildquelle: BMI