zurück zum Artikel

Entscheidungen auf dem Weg zum neuen Personalausweis

Der neue Personalausweis

(Bild: Bundesinnenministerium)

Am 1. November ist es so weit: Bürger können oder müssen den neuen Personalausweis beantragen, der Funktionen zur Identifizierung im Internet (eID) und für die qualifizierte elektronische Signatur (QES) enthält. Wer allerdings in einem der fünf Bundesländer wohnt, in denen an Allerheiligen die Ämter geschlossen bleiben, muss sich noch einen Tag gedulden. Das kann einem aber auch anderswo passieren, etwa wenn bei der Ausweisbehörde die Umstellung auf die neue Software nicht geklappt hat. Alte Personalausweise bleiben bis zum Ablaufdatum gültig, doch wer die neuen Funktionen oder das kleinere Scheckkartenformat früher haben möchte, kann jederzeit einen neuen beantragen und den alten zurückgeben.

Schon beim Beantragen muss man entscheiden, ob man Fingerabdrücke im Chip des Ausweises speichern lassen will. Es erscheint allerdings eher fraglich, ob dies jemals einen konkreten Nutzen bringt. Sie sollen den Missbrauch eines gestohlenen Ausweises erschweren, bis dieser gesperrt wird. Es ist jedoch unklar, wann überhaupt auf diese biometrischen Daten zugegriffen wird. Ein theoretisches Szenario wäre die Grenzkontrolle, bei der zwar ein digitales Ausweisdokument mit biometrischen Daten auf dem Chip vorgeschrieben ist, aber kein Visum eingestempelt wird. Dann könnte der neue Personalausweis den Reisepass ersetzen. Bis dahin müssten aber zunächst die technischen Standards des neuen Personalausweises von anderen Ländern übernommen werden. Datenschützer empfehlen daher, besser dem Prinzip der Datenvermeidung zu folgen und keine Fingerbadrücke abzugeben.

Hinsichtlich der QES muss man sich beim Beantragen des neuen Personalausweises zunächst keine Gedanken zu machen. Damit hat die Ausweisbehörde nichts zu tun; die Signatur muss man später nachkaufen. Es wäre also sinnlos, einen Stick mit selbst erzeugten Schlüsseln mitzunehmen. Was man dabei haben muss, sind 28,80 Euro (beziehungsweise 22,80 Euro für Bürger unter 24 Jahre) sowie ein so genanntes biometrisches Passfoto. Wer das Foto selbst macht, muss sich dabei genau an die Vorgaben der Bundesdruckerei [1] (PDF) halten.

Beim Abholen des Ausweises entscheidet man dann, ob die eID-Funktion freigeschaltet oder gesperrt werden soll. Sie lässt sich nachträglich wieder aktivieren, das kostet dann allerdings 6 Euro und einen weiteren Gang zum Amt. Da sich schwer abschätzen lässt, ob und welche wichtigen Online-Dienste künftig die eID zwingend voraussetzen, ist es allenfalls für überzeugte Internet-Abstinenzler ratsam, auf die Funktion ganz zu verzichten. Alle anderen können den Brief von der Bundesdruckerei, in dem unter einem Rubbelfeld verborgen die fünfstellige Transport-PIN steht, sicher verwahren, bis die eID-Funktion nützlich erscheint.

Nach Auskunft des Fraunhofer FOKUS [2] sollen die neuen Ausweise ungefähr zwei Wochen nach Beantragung fertig sein. Hat man seinen Ausweis erhalten und will die eID nutzen, stellt sich die Frage nach dem richtigen Lesegerät. An den billigen Basislesern gab es viel Kritik, zuerst vom CCC [3], zuletzt sogar vom Bund Deutscher Kriminalbeamter [4]. Da das Gerät keine eigene Tastatur besitzt, muss man die PIN am Computer eingeben, wo Schadsoftware sie abhören könnte.

Auch diese Kombination ist immer noch sicherer, als eine Anmeldung ohne eID mit Benutzername und Passwort. Werden die abgehört, kann der Angreifer damit das Konto des Opfers von jedem beliebigen Computer mit Internet-Zugang nutzen. Um die eID zu missbrauchen, muss der Angreifer hingegen entweder den Ausweis stehlen oder den Computer des Opfers mit einer Schadsoftware infizieren, die aktiv wird, wenn der Ausweis auf dem Lesegerät liegt. Spätestens aber, wenn etwa Banken oder Bezahldienste über die eID den Zugang zu Geld ermöglichen, ist ein solches Szenario nicht unwahrscheinlich.

Windows-Nutzern, die ihren PC mit Antiviren-Software schützen und alle Updates von Betriebssystem und Anwendungen sofort einspielen, oder Besitzern von Linux- beziehungsweise Mac-OS-Systemen, die nicht ins Beuteschema der Angreifer passen, mag vorerst ein Basisleser reichen. Doch mehr Sicherheit gewähren Standard- oder Komfortleser mit eigener Tastatur. Da gibt es aber noch ein Problem: Das zuständige Bundesamt für Sicherheit in der Informationstechnik hat bislang nur die Zertifizierung von Basislesern veröffentlicht [5]. Nach Auskunft der Behörde läuft die Zertifizierung etlicher Geräte der Standard- und Komfortklasse. Es bleibt zu hoffen, dass der Prozess bis Mitte November abgeschlossen ist, wenn die ersten Ausweise ausgeliefert werden sollen.

Siehe dazu auch:

(ad [7])


URL dieses Artikels:
http://www.heise.de/-1128140

Links in diesem Artikel:
[1] http://www.bundesdruckerei.de/de/service/service_downloads/service_buerger_ePassMstr_05_72dpi.pdf
[2] http://www.fokus.fraunhofer.de/de/elan/projekte/national/laufende_projekte/personalausweis/index.html
[3] https://www.heise.de/meldung/Elektronischer-Personalausweis-Wissens-oder-Sicherheitsdefizite-Update-1065519.html
[4] https://www.heise.de/meldung/Kritik-an-Sicherheit-des-Perso-haelt-an-1128118.html
[5] https://www.bsi.bund.de/cln_174/DE/Themen/ZertifizierungundAnerkennung/ZertifizierungnachTR/ZertifizierteProdukte/zertifizierteprodukte_node.html#doc1347416bodyText1
[6] http://www.heise.de/ct/artikel/Der-Internet-Ausweis-1111003.html
[7] mailto:ad@ct.de