Experten beraten sich über neuen Personalausweis

Der Bundesinnenminister freut sich auf ihn, Datenschützer geben Entwarnung zu ihm, die Gewerkschaft der Polizei warnt vor dem leichtfertigen Umgang mit ihm: der neue Personalausweis beschäftigt die Gemüter. Grund genug für die Sicherheitsspezialisten vom Darmstädter CAST, sich mit "Meiner wichtigsten Karte" zu beschäftigen.

Mit einem Doppelvortrag führte Jens Bender vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Anwesenden in die Funktionsweise des neuen Personalausweises (nPA) ein. Im Mittelpunkt beider Präsentationen stand die elektronische Identifikation (eID), mit der der Ausweis startet. Auf ihr beruhen viele Prozesse, nicht zuletzt die optionale qualifizierte elektronische Signatur (QES), die im März 2011 für den Personalausweis zur Verfügung stehen soll. Zu diesem Zeitpunkt soll auch die AusweisApp in der Lage sein, die gängigsten E-Mail-Programme (Outlook, Outlook Express, Thunderbird, Apple Mail, kmail) zu unterstützen. Auch die Zertifikation der Komfort-Leser, die die QES verlangt, soll bis dahin abgeschlossen sein.

Das "Das bin ich" der eID und "Das habe ich unterschrieben" der QES sind freilich sinnlos ohne entsprechende Internet-Angebote. Klaus Wolter vom Bundesverwaltungsamt erläuterte prägnant, wie unterstützungswillige Anbieter an ein Berechtigungszertifikat kommen können, bestimmte Daten wie die Adresse oder die Altersverifikation vom nPA übernehmen zu können. Seine Behörde vergibt diese Zertifikate und hat bislang unter 50 Anträge bearbeitet und an die bisher einzigen beiden Zertifikats-Dienstleister Bundesdruckerei und Deutsche Post weitergeleitet. Wolter erläuterte, dass selbst große Firmen erhebliche Probleme haben, einen korrekten Antrag so zu formulieren, dass die Erforderlichkeit eines Datenabgleichs mit dem nPA überhaupt ersichtlich wird: "Wer Daten von nPA haben will, muss sich darüber im Klaren sein, dass der nPA wie ein Laserpointer wirkt: die Geschäftsprozesse werden gnadenlos ausgeleuchtet." So sei die Annahme, dass Online-Shops einfach an ein Berechtigungszertifikat kommen können, falsch, da viele Webshops per Vorkasse oder mit Kreditkartenabbuchung arbeiteten. Nur die Firma, die ein kreditorisches Risiko trage, also auf Rechnung einen ihr unbekannten Kunden beliefere, könne ein Zertifikat beantragen.

Ähnlich sieht es bei der Alters- und Wohnortsverifikation aus, für die in der Regel gesetzliche Vorgaben entscheidend sind. Ein Laden dürfe nicht einfach so überprüfen, ob seine Kunden in der Nähe wohnen, während Gemeinden, die etwa eine Kurtaxe oder ähnliches erheben, es leichter haben werden, bei Nicht-Einwohnern nach der Verifikation eine Gebühr zu erheben. Wolter zufolge liegen die größten Chancen der eID beim Einsatz der "unglücklich benannten Pseudonymfunktion", die er als Dienst- und kartenspezifisches Kennzeichen definierte. Solch ein DKK sei bei der Nutzung von Prepaid-Angeboten oder der Registrierung in sozialen Netzwerken nützlich, die keine rechtlichen Gründe dafür vorweisen vorweisen können, Klardaten zu verarbeiten.

Interessant gestaltet war der Praxisbericht eines Diensteanbieters, den Thomas Walloschke von Fujitsu Technologies Solutions ablieferte. Walloschke schilderte die durchaus leidvollen Erfahrungen, die sein in Kanada und Deutschland aufgestelltes, also rund um die Uhr arbeitendes Programmierteam mit der Integration der eID in den Fujitsu Online Shop machen durfte. Wenige Stunden, bevor das Programm am 27. Oktober als Cloud Service in den Wirkbetrieb gehen konnte, diskutierte man Go-NoGo-Szenarien, weil eine Vielzahl von Fehlermeldungen auftraten. Sie wurden durch einen Testausweis verursacht, der offenbar stundenlang auf einem Lesegerät lag, ein klarer Verstoß gegen die Richtlinien, den Ausweis immer nur kurzzeitig zu benutzen. Insgesamt lohnte sich für Fujitsu die arbeitsintensive Teilnahme nur, weil die Firma auch Konsortialpartner im EU-Projekt STORK ist, in dem ID-Token verschiedener Anbieter zusammenkommen und Erfahrungen mit Service Provider Authentication Services (SAPS) eine Rolle spielen. Ein einzelner, allein in Deutschland funktionierender Online-Shop wäre für viele Firmen eine zu aufwändige Angelegenheit, meinte Wolloschke.

Nach einem juristischen Vortrag von Georg Borges, der den Teilnehmern des Workshops sein Gutachten über Haftungsfragen im Zusammenhang mit der Ausweisnutzung vorstellte, hatten zum Schluss die hessischen Datenschützer das Wort. Rüdiger Wehrmann machte darauf aufmerksam, dass mit dem Ausweis zumindest in Deutschland ein Hinterlegungsverbot einhergeht (was als deutsches Gesetz im Ausland wirkungslos ist) und Firmen von Besuchern nicht mehr den Ausweis einbehalten dürfen. Außerdem bemängelte er, dass der durchschnittliche Bürger nicht die Echtheit der Ausweis-App erkennen kann. Das Argument von Innenministerium und BSI, dass der Quellcode demnächst als Open Source verfügbar wird, sei für einen Normalbürger nicht wirksam. Weil der PC der neuralgische Punkt der Datensicherheit im Gesamtsystem sei, müssten Datenschützer Bürgern dazu raten, auf den Einsatz eines Basislesers ganz zu verzichten, erklärte Wehrmann. Außerdem sollte jeder Bürger auf die Abgabe seines Fingerabdruckes verzichten, die abolut keinen Sinn mache, weil sie nur im Falle eines Ausweisverlustes als zusätzliche, nie geprüfte Sperre diene.

Wehrmanns Kollegin Gisela Quiring-Kock beschäftigte sich anschließend mit der qualifizierten elektronischen Signatur. Sie bemängelte, dass im Vergleich zu Österreich die QES in Deutschland nicht suventioniert wird und somit sehr teuer ist. Die rein privatwirtschaftlich gelöste Bewirtschaftung der QES verhindere die Verbreitung der Signatur, während sie in der Alpenrepublik von 60 % der Bankkunden genutzt werde. Quiring-Kock machte auch auf das Fotokopierverbot beim neuen Personalausweis aufmerksam, weil so die aufgedruckte CAN verbreitet werden könnte, die bei der Freischaltung einer QES benötigt wird. (jo)