Lob und Tadel für den elektronischen Personalausweis

Das Bundesinnenministerium hat am Freitag in Berlin die offiziell in Auftrag gegebenen Begleitstudien zum elektronischen Personalausweis vorgestellt. Die Studien behandeln die Akzeptanz, Haftungsfragen und die Protokollsicherheit des neuen Ausweises. Eine weitere Studie zu den "Restrisiken beim Einsatz der Ausweis-App auf dem Bürger-PC" wurde mit Zwischenergebnissen präsentiert. Insgesamt kommen die Gutachter zu dem Fazit, dass der Ausweis technisch wie juristisch keine Schwachstellen aufweise, die Einführung der elektronischen Identifikation aber mit der Frage belastet sei, wie Bürger ihre Bürger-PCs in Schuss halten: ohne aktuellen Virenschutz und Firewall drohen Risiken und Nebenwirkungen.

Dank PACE und EAC und Secure Messaging ist der im November startende elektronische (neue) Personalausweis (inzwischen nPA abgekürzt) "kryptographisch sicher". Die Sicherheitsanalyse der Protokolle durch Wissenschaftler der Technischen Universität Darmstadt habe keine Schwachstellen ergeben, berichtete Marc Fischlin. Angriffe auf das System, in dem sich der Angreifer wechselweise als Ausweis oder als Terminal ausgab, seien abgewehrt worden. "Die in der Presse verkürzte Darstellung, wonach der Personalausweis unsicher sei, teilen wir nicht", erklärte der Informatiker zu dem vom Chaos Computer Club (CCC) vorgetragenen Angriffszenario über einen Keylogger in Verbund mit einem Basis-Kartenleser.

Ähnlich argumentierte Norbert Pohlmann vom Institut für Internet-Sicherheit an der Fachhochschule Gelsenkirchen. Allerdings sprach Pohlmann sich deutlich dafür aus, Standard- oder Komfortleser einzusetzen, die ein wesentlich geringeres Restrisiko böten: "Der Bürger hat die Verantwortung, seinen Bürger-PC sicher zu halten", meinte Pohlmann unter Verweis auf Informationsseiten wie botfrei. Insbesondere müsse der Bürger mit der eID-Funktion vertraut sein und die richtige Vorgehensweise beim Sperren des Ausweises kennen. Auch dürfe er den Ausweis nur kurz während der Authentisierung auf das Lesegerät legen. "Jeder sollte seinen Beitrag leisten, um die Zukunft sicher zu gestalten. Der nPA ist ein Schritt in die richtige Richtung." Die von Pohlmann und seinen Mitarbeitern durchgeführten Angriffe über eigens programmierte Malware für eine Analyse der Restrisiken ist noch nicht abgeschlossen.

"Nur gute Nachrichten" zum neuen Personalausweis wollte der IT-Rechtswissenschaftler Georg Borges von der Universität Bochum verkünden. Aus seiner Sicht sind die Bürger vor Haftungsrisiken ausreichend geschützt, sofern sie ihre Pflichten nicht vernachlässigen. Beim Online-Banking mit PIN/TAN und eID vermisste Borges eine Haftungsbeschränkung, wie sie Banken für andere Transaktionsarten ihren Kunden gewähren – er meinte aber, diese Beschränkung werde sich analog auch im eID-Bereich entwickeln. Der Nachweis der Urheberschaft über eine missbräuchliche Nutzung der eID-Funktion müsse über den Anscheinsbeweis geführt werden; der Anschein einer Authentisierung durch den Ausweisinhaber soll immer dann gelten, wenn ausgeschlossen werden kann, das ein Trojaner oder eine sonstige Malware die Authentisierung angestoßen hat. In der Diskussion zum Vortrag von Borges monierte Andy Müller-Maguhn vom Vorstand des CCC, dass der Anscheinsbeweis den Bürger dann schutzlos lasse, wenn ein Angreifer den Ausweis eines Bürgers emulieren oder kopieren könne. Borges erwiderte, dass nur plausible Fälle juristisch von Bedeutung seien. Wäre es möglich, den Chip und damit die eID-Funktion zu kopieren, sei das gesamte eID-System gesprengt und jegliche Diskussion über Anscheinsbeweise überflüssig.

Was aus Nutzersicht am elektronischen Personalausweis noch verbessert werden kann, legte Christoph Meinel von der Universität Potsdam in einem "Ideenkatalog" vor. Mit seinen Mitarbeitern hatte Meinel empirisch untersucht, wie Anwender mit Testausweisen und der Software arbeiteten. Das Urteil fiel nicht positiv aus. "Die Studie zeigt eindeutig, dass Transparenz nur dann zur Unterstützung des neuen Personalausweises führt, wenn das technologische Vorwissen so ausgebildet ist, dass es ausreicht, um die Prozesse nachzuvollziehen. Das war allerdings nur bei den Informatikern der Fall." Damit Nicht-Informatiker eine Beziehung zum Ausweis aufbauen können, müsse die Installation der Ausweis-App anwenderfreundlicher sein. Außerdem müsse die Sprache selbst benutzerfreundlicher sein: Statt CAN sollte man das Wort "Ausweisbesitznummer" verwenden, statt PUK "Rücksetzungs-Code" und statt Berechtigungszertifikat sei "Anbieterausweis" viel eingängiger.

Meinels Truppe, die auch dafür verantwortlich zeichnet, dass der Bürgerclient nun Ausweis-App heißt, schlug eine Reihe von Anwendungen vor, um den "Mehrwertmangel" für Normalbürger zu kontern. Ein "Datentresor", der sich nur mit der eID-Funktion öffnen lässt und in dem Bürger all ihre PINs und TANs und Passworte speichern, gehörte ebenso dazu wie eine "Vorratsdatenspeicherung rückwärts". Dieses apart benannte Programm ist ein Protokoll aller Aktionen, die mit der eID-Funktion ausgeführt wurden und aller Diensteanbieter und Daten, die diese bekamen. Ob derartige Tresore und Rückspeicherer den Segen der Datenschützer erhalten, ist zweifelhaft, zumal die Ausweis-App mit dem Bundesadler (ein weiterer Vorschlag von Meinel) aus Sicht des Bürgers ein staatliches Programm ist.

Andreas Reisen, Projektleiter der Personalausweis-Einführung beim Bundesinnenministerium, reagierte auf die Vorschläge mit dem Hinweis, dass man die Ausweis-App nur etwa drei Jahre unterstütze und darauf setze, dass bis dahin die Privatwirtschaft mit eigenen Zugriffsprogrammen auf den Personalausweis am Markt ist. Nach seiner Einschätzung werden 2011 zwei Millionen "Early Adopters" mit der eID Erfahrung sammeln, wenn insgesamt 12 Millionen Ausweise im ersten Jahr ausgegeben werden.

In Ausgabe 23/10 (ab Montag, den 25. Oktober, im Handel) nimmt c't die Technik des neuen elektronischen Personalausweises, seine Anwendungen sowie sicherheitstechnische und politische Aspekte in einem Schwerpunkt sowie Praxistest genauer unter die Lupe. (pmz)