Neben den üblichen Analysen, Trends und Ausblicken stellten sich die Smartcard-Experten auf ihrem alljährlichen Branchentreffen diesmal auch die Frage: „Ist die elektronische Signatur doch ein Erfolg?“ Ihr Fazit: Beim Konsumenten sicherlich noch nicht, bei Firmen und Behörden vielleicht schon.
Die Chipkarten-Industrie hat weiterhin allen Grund, optimistisch in die Zukunft zu sehen: Im vergangenen Jahr stieg der weltweite Absatz um 20 Prozent auf insgesamt 3,28 Milliarden Stück, und auch für 2007 rechnet der Branchenverband Eurosmart angesichts des steigenden Bedarfs an kartengestützten Sicherheitssystemen wieder mit zweistelligen Zuwachsraten. Auf der Omnicard, dem Fachkongress der Smartcard-Spezialisten Mitte Januar in Berlin, gab es deutliche Einschätzungen: „Wir stecken in diesem Geschäft noch ganz am Anfang“, beschrieb der Vorstand des Marktprimus gemalto, Alex Mandl, die Lage. Von der SIM-Karte im Handy über die Kreditkarte, den Firmenausweis, die digitale Signaturkarte, den elektronischen Personalausweis und Pass bis zur PayTV-Decoderkarte - „innerhalb von fünf Jahren wird jeder von uns ständig mindestens fünf Tools der digitalen Sicherung mit sich herumtragen und nutzen“.
In einem Bereich allerdings - dem E-Ticketing - scheint der Kartentechnik in Gestalt des Handys eine ernsthafte Konkurrenz zu erwachsen. In Bussen und Bahnen hat sich die elektronische Fahrgelderfassung mit Chipkarten hierzulande immer noch nicht flächendeckend durchgesetzt, weil es an überzeugenden Geschäftsmodellen gefehlt habe, meinte Wolfgang Schlüter von der T-Systems GEI GmbH. So habe die Deregulierung und Abtrennung der Nahverkehrsbetriebe von den Stadtwerken die finanziellen Spielräume der Verkehrsunternehmen zu Lasten größerer Investitionen erheblich verschlechtert. Mit Einsparungen lässt sich der Aufbau der entsprechenden Infrastruktur wirtschaftlich jedoch kaum rechtfertigen. Und in welchem Umfang die elektronische Fahrgelderfassung den auf zwei bis drei Prozent geschätzten Schwarzfahreranteil tatsächlich verringern würde, dafür gibt es keine belastbaren Zahlen.
Mehreinnahmen sind durch die Einführung von Chipkarten im Öffentlichen Personenverkehr (ÖPV) auch nicht zu erwarten, denn dazu müsste man die Wenigfahrer dazu bewegen, häufiger mal Bus und Bahn zu benutzen, „aber gerade die schreckt es eher ab, erst eine Chipkarte kaufen zu müssen“, meint Schlüter. Die ÖPV-Chipkartensysteme in Deutschland wenden sich in erster Linie an registrierte Stammkunden, die interessante Gruppe der Gelegenheitsfahrer wird dadurch nicht erreicht. Hinzu kommen „subjektive Nachteile“, wenn der Kunde für das zusätzliche Plastikteil in der Brieftasche auch noch ein Lesegerät benötigt, um das Restguthaben einsehen zu können.
Demgegenüber setzt das Handy-Ticketing im Wesentlichen auf eine bereits vorhandene Infrastruktur auf: Der Kunde holt sich sein Ticket mit dem Handy selbst und kommt ohne zusätzliches Equipment aus; das Verkehrsunternehmen wiederum muss kein Kartenmanagement aufbauen und benötigt keine Kartenleser in den Fahrzeugen, sondern muss letztlich nur ein Webportal einrichten. Auf den zweiten Blick zeigen sich jedoch die Schwierigkeiten des Konzepts. So bietet das einfachste Verfahren, den elektronischen Fahrschein per SMS auf das Handy zu übertragen, kaum Schutz vor Missbrauch, weil sich die Echtheit der Tickets kaum überprüfen lässt. In der Praxis wären da noch mehr Schwarzfahrer als mit dem konventionellen Ticket zu befürchten.
Mehr Sicherheit verspricht das „Java-Ticket“, das gegenwärtig zehn Nahverkehrsunternehmen in Deutschland testen und bei dem der Fahrschein kryptographisch abgesichert in einer Java-Applikation auf dem Handy gespeichert wird. Allerdings kann ein Kontrolleur auch bei diesem Verfahren nicht die Fahrscheindaten selbst überprüfen, sondern nur das, was ihm das Display anzeigt. In der von der Deutschen Bahn praktizierten Variante des Java-Tickets dient deshalb die Bahncard als zusätzlicher Identifikator bei Kontrollen, eine Lösung, die nicht jeden überzeugt: „Eigentlich will man nicht noch zusätzlich eine Chipkarte zum Handy haben“, meint Schlüter; „als Fahrschein würde die Chipkarte ja auch allein reichen“.
Schlüters Favorit ist das Electronic Ticketing via „Near Field Communications“ (NFC), dem von Philips und Sony seit 2002 entwickelten und in ISO 18092 standardisierten Verfahren, das die Technik kontaktloser Smartcards aufs Handy bringt. Mobiltelefone mit einer zusätzlichen NFC-Schnittstelle erlauben über Entfernungen von einigen Zentimetern das direkte Auslesen der Fahrscheindaten aus einer Java-Applikation heraus und umgehen so den Schwachpunkt einer manipulierbaren Displayanzeige. Zudem ist die RFID-ähnliche Schnittstelle bidirektional: Jedes NFC-Handy kann als Schreib- und Lesegerät fungieren, wodurch sich vom Austausch digitaler Visitenkarten über das Bezahlen an der Ladenkasse bis zur drahtlosen Konfiguration der Heimelektronik eine Fülle interaktiver Anwendungen eröffnet.
Dem vor zwei Jahren gegründeten NFC-Forum gehören inzwischen mehr als hundert Mitglieder an. NXP (vormals Philips Semiconductors) und Sony wollen noch in diesem Jahr ein Joint Venture starten, um die Vermarktung der NFC-Technologie gemeinsam voranzutreiben. Optimistische Prognosen gehen davon aus, dass knapp die Hälfte der 950 Millionen Handys, die im Jahre 2010 auf den Markt kommen sollen, „NFC-ready“ sein werden. Wie bei kontaktlosen Chipkarten benötigt allerdings auch das NFC-Ticketing eigene Lesegeräte für das Checkin/Checkout in den Fahrzeugen. Schätzungen des Rhein-Main-Verkehrsverbundes (RMV) zufolge, der die Technik in Hanau bereits eingeführt hat, lägen die Systemkosten jedoch um 80 bis 90 Prozent unter denen für ein RMV-weites Chipkarten-Ticketing.
Einen anderen Ansatz, der diese zusätzlichen Infrastrukturkosten gänzlich vermeidet, verfolgt T-Systems derzeit gemeinsam mit der Deutschen Bahn, zwei Nahverkehrsunternehmen und einigen Forschungsinstituten in dem Projekt „Ring&Ride“ des Bundesforschungsministeriums. Bei „Ring&Ride“ meldet sich der Fahrgast bei Antritt der Fahrt mit dem Anruf unter einer bestimmten Nummer an und willigt darin ein, dass die Reiseroute durch die Mobilfunkortung seines Handys ermittelt wird; am Zielort meldet er sich dann wieder ab. Zur kommenden CeBIT soll für zwei Monate ein erster nicht-öffentlicher Pilotversuch auf der Bundesbahnstrecke zwischen Frankfurt und Berlin starten. Das System gilt als auch für den Nahverkehr geeignet, weil es zumindest in Verkehrsverbünden mit Zonentarif nicht auf die haltestellengenaue Ortung und Abrechnung ankommt.
Während beim E-Ticketing immerhiln konkurrierende Systemkonzepte um die Gunst der Investoren wetteifern, rätseln die Experten auf der Omnicard seit Jahren, warum im elektronischen Geschäftsverkehr eine vorhandene Lösung für ein echtes Problem keine rechte Akzeptanz findet. Zum zehnten Mal jährt sich in diesem Jahr das Inkrafttreten des Signaturgesetzes von 1997, doch die Hoffnungen, die damit verbunden waren, haben sich nicht erfüllt. In Deutschland sind derzeit gerade mal 100 000 qualifizierte Signaturkarten aktiv, schätzt Stephan Klein von der Bremer bos, einer Entwicklungsgesellschaft für E-Government-Software; nähme man die signaturvorbereiteten Karten hinzu, die sich schon im Umlauf befinden und mit dem Aufbringen eines Zertifikats sofort nutzbar wären, „käme man in den Millionenbereich“.
Mit einer Signaturkarte könnten die 24 Millionen Versicherten und 8,5 Millionen Rentner der Deutschen Rentenversicherung Bund (DRVB) heute schon papierlos mit ihrer Versorgungseinrichtung kommunizieren und online in Sekundenschnelle Auskünfte zum Versicherungsverlauf oder zum Stand des Beitragskontos einholen. Mitte 2001 hatte die vormalige BfA den „eService“ eingeführt, über den man seit August 2005 auch Rentenanträge stellen kann. Die Nutzung des Angebots indes blieb bislang unbefriedigend; allein für diesen Einsatzzweck gibt wohl niemand zwischen 20 und 50 Euro als Jahresgebühr für das Zertifikat aus. Im vergangenen Jahr verzeichnete die DRVB gerade mal 6000 Zugriffe auf den „eService“. „Wir haben 2500 Nutzer“, berichtete der Leiter des DRVB-TrustCenters, Roland Grunert und vermutet, dass es sich dabei überwiegend um Mitglieder der „Signatur-Community“ handelt.
Ein Drittel aller derzeit aktiven Signaturkarten dürfte allein auf die Mitarbeiterausweise der DRVB entfallen, denn dort wird intern kräftig die Umstrukturierung der Workflows betrieben. Seit Anfang des Jahres müssen beispielsweise Zahlungsfreigaben an die Hauptkasse nicht mehr ausgedruckt und manuell abgezeichnet werden, sondern laufen nun völlig medienbruchfrei ab - „das sind etwa 3500 Signaturen pro Tag“, schätzt Grunert. Den großen Rationalisierungsschub aber wird es erst geben können, wenn auch das Massengeschäft mit den Versicherten medienbruchfrei abgewickelt werden kann. „Wir setzen unsere Hoffnung auf die eCard-Strategie der Bundesregierung.“
Dass gesetzliche Vorgaben im Bereich Business-to-Government (B2G) mitunter hilfreich sein können, dafür gilt die elektronische Abwicklung des Emissionshandels als Paradebeispiel. Für den Erwerb oder die Veräußerung der verknappten Luftverschmutzungsrechte im Rahmen der Klimaschutzvorgaben des Kyoto-Protokolls hat der Gesetzgeber von Anfang an von den rund 1900 Anlagenbetreibern, 400 Sachverständigen und den beteiligten Behörden die elektronische Kommunikation mit rechtsverbindlicher Signatur verlangt. Seit der Aufnahme des Betriebs im September 2004, berichtete Thomas Bigalke vom Umweltbundesamt, sind in dieser Nischenanwendung mehr als 30 000 Transaktionen abgewickelt worden.
Zu Beginn des Jahres haben sich auch die 5283 Einwohner-Meldestellen in der Bundesrepublik von der Papierpost zum Austausch von Umzugsdaten und Registereinträgen verabschiedet; in diesem Government-to-Government-Bereich (G2G) waren bis Mitte Januar bereits eine Million elektronisch signierter Transaktionen zu verzeichnen. Und ebenfalls seit dem 1. Januar kommunizieren knapp zehntausend registrierte Notare und Unternehmen mit den Handels-, Genossenschafts- und Partnerschaftsregistern rechtsverbindlich per Signaturkarte. „Eigentlich müsste das jetzt der Durchbruch für den elektronischen Rechtsverkehr sein“, meint der Leiter der Länder-Arbeitsgruppe Elektronischer Rechtsverkehr, Andreas Bovenschulte; „wir haben jetzt den Status der Spielanwendungen hinter uns gelassen und sind ins echte Leben eingetreten“.
Den nächsten großen Schritt voran sieht die Smartcard-Branche in der Einführung des elektronischen Personalausweises. Im Bundesinnenministerium (BMI) laufen die Arbeiten auf Hochdruck. Die Erstausgabe soll Ende 2008 erfolgen, bekräftigte der Leiter des Referats „Biometrie, Pass- und Ausweiswesen, Meldewesen“, Andreas Reisen, auf der Omnicard. Dann werden die Bürger bei der „Beantragung“ zusätzlich zum Lichtbild auch die Fingerabdrücke der beiden Zeigefinger abgeben müssen. Für Silvia Kolligs aus der Strategieabteilung der EU-Generaldirektion „Justice, Liberty, Security“ sind digitale biometrische Merkmale auf Personalausweisen die zwangsläufige Konsequenz der Einführung biometrischer Pässe, denn nun käme es darauf an, im Reiseverkehr „den Missbrauch durch diejenigen zu verhindern, die auf die weniger sicheren Ausweiskarten ausweichen“. Zugleich bedauerte die EU-Vertreterin, dass Brüssel keine Zuständigkeit zur technischen Standardisierung einer „European Citizen Card“ besitzt.
Neben dem Biometrieteil für hoheitliche Kontrollen wird die neue deutsche Ausweiskarte dem Inhaber auf dem gleichen Chip auch eine „Elektronische Identität“ (eID) zur Teilnahme am E-Commerce verschaffen: In ein Lesegerät gesteckt, hat die eID dieselbe Funktion wie die Vorlage des traditionellen Personalausweises etwa an einem Bankschalter. Internetanbieter, die über ein entsprechendes Berechtigungszertifikat zum Zugriff auf einzelne Felder wie Name, Anschrift und Geburtsdatum (nicht jedoch die Biometriedaten) verfügen, können sich auf diese Weise die Personenangaben des Kunden staatlich beglaubigen lassen. Der wiederum kann nach Eingabe seiner PIN die Freigabe auf diejenigen Daten beschränken, die er für erforderlich hält - etwa nur das Geburtsdatum, wenn es lediglich auf eine Altersverifikation ankommt. „Das ist ein Datenschutzniveau, das wir mit dem herkömmlichen Personalausweis nicht erreichen können“, erklärte Reisen.
Michael Hegenbarth, Smartcard-Experte bei der Bundesdruckerei, sagt der eID „eine große Sogkraft auf andere Anwendungen“ voraus; vom Bezahlen an der Kasse im Supermarkt bis zum Geldabheben am Automaten seien viele Kombinationsanwendungen denkbar. Das Bankgewerbe, das zur Altersverifikation gerade erst das Jugendschutzmerkmal auf der Geldkarte eingeführt hat, betrachtet diese Aussichten eher kritisch, doch der BMI-Vertreter betonte, dass die Bundesregierung mit der eID den Marktplayern nicht auf dem Gebiet der Anwendungen ins Gehege kommen wolle. „Wir sehen uns hier lediglich als Enabler für Anwendungen“, und die staatlich verbürgte Authentisierung „ist ganz klar eine hoheitliche Aufgabe“.
Wie die Akkreditierung und Ausgabe der Berechtigungszertifikate an die Internetanbieter organisiert werden soll, ist derzeit noch ungeklärt. Darüber hinaus bedarf es eines Sperrlistenmanagements, damit Anbieter sich vergewissern können, dass die vorgelegte eID nicht einem als gestohlen gemeldeten Personalausweis entstammt. Gebührenmodelle zur Finanzierung dieser Dienstleistung gibt es bisher nicht; klar ist nur, dass die Bundesregierung von den Nutznießern „einen kleinen Beitrag“ einfordern will.
Kritisiert wurde in der Diskussion, dass die PIN keine echte Bindung des Ausweises an die Person garantiere und die eID somit keine zuverlässige Authentifikation im Netz leisten könne. Doch ein biometrischer Zugriffsschutz - etwa durch einen integrierten Fingerabdrucksensor wie bei einigen USB-Sticks - ist für die eID nicht vorgesehen. „Wir halten das Schutzniveau des PIN-Verfahrens gegenwärtig für ausreichend“, erklärte Reisen. Ebenso wenig teilt er die Bedenken, dass das Sperrlistenmanagement letztlich auf die Einführung eines einheitlichen Personenkennzeichens hinauslaufe. Die Sozialversicherungsnummer, die Gesundheitskartennummer, die Registriernummern von Pass und Personalausweis seien sektorspezifisch und nicht aufeinander abbildbar, „und das muss auch so bleiben“.
(jk)
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-290860
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
