BSI-Kongress: Online wählen mit dem neuen Personalausweis?
Ein halbes Jahr nach seiner Einführung steht der neue Personalausweis (nPA) vor der nächsten Zündstufe. Auf dem Sicherheitskongress des BSI wurde die Implementierung der qualifizierten Signatur diskutiert, für die der Ausweis bereits vorbereitet ist.
Der seit dem 1. November 2010 in Umlauf gebrachte neue Personalausweis (nPA) soll in den nächsten Monaten funktional deutlich aufgebohrt werden. Auf dem 12. Deutschen IT-Sicherheitskongress des BSI wurde die Implementierung der qualifizierten Signatur diskutiert, für die der Ausweis bereits vorbereitet ist, und wie beispielsweise Internet-Wahlen mit dem Ausweis durchgeführt werden könnten.
Noch ist die Ausweisapp nicht in der Lage, das Nachladen einer qualifizierten elektronischen Signatur (QES) auf den nPA zu ermöglichen. Doch bald soll das Upgrade kommen, mit dem der Ausweis erheblich erweitert wird. Dann kann der Ausweisinhaber nicht nur seine Identität elektronisch nachweisen, sondern digitale Dokumente rechtsverbindlich unterschreiben. Carsten Schwarz von der Bundesdruckerei berichtete vom Stand der Vorbereitungen und demonstrierte per Powerpoint die einzelnen Schritte, mit denen ein QES-Zertifikat auf den Ausweis wandert.
Schwarz erläuterte, dass sich der Ausweisinhaber zunächst entscheiden soll, ob er ein gesponsertes Zertifikat mit begrenzter Laufzeit für einen bestimmten Zweck oder eine generell gültige QES nachladen will. Als Beispiel für ein kostenloses Zertifikat führte Schwarz die zur CeBIT vorgestellte AdHoc-Signatur des Landes Hessen an, die auf Vorgänge im Geltungsbereich dieses Bundeslandes beschränkt ist. Die Entscheidung zwischen gesponserter oder bezahlter Signatur sei nötig, weil der nPA jeweils nur ein QES-Zertifikat und das korrespondierende Zertifikat des ausstellenden Dienstleisters speichern kann.
Nach Bestellung der QES und Abwicklung der Zahlungsmodalitäten soll der Anwender zu fünf verschiedenen, juristisch notwendigen Erklärungen geleitet werden, etwa zur Frage, ob sein öffentlicher Signaturschlüssel im QES-Verzeichnisdienst gespeichert werden soll. Erst danach erzeugt der nPA den Schlüssel, der dem Zertifikatsdiensteanbieter (ZDA) zum Signieren vorgelegt und mit dem ZDA-Zertifikat auf dem Ausweis gespeichert wird. Abschließend wird ein Aktivierungscode zur QES per Post verschickt.
Dieses Verfahren soll Man-in-the-Middle-Attacken verhindern, bei denen Betrüger ohne Wissen des Ausweisinhabers eine Signatur anfordern, dann eine Signatur-PIN setzen und mit der Unterschrift Urkundenmissbrauch treiben. Auf dieses Bedrohungszenario hatten die Informatiker Frank Morgner und Dominik Oepen zur Jahrestagung des Chaos Computer Clubs aufmerksam gemacht. Wie bereits beim diesjährigen Smartcard-Workshop gezeigt, soll der NPA vom Mobiltelefon per NFC-Kommunikation ausgelesen werden, während die Eingabe der PIN nicht auf dem (möglicherweise kompromittierten) Telefon selbst, sondern auf dem sicheren, via USB angeschlossenen PIN-Gerät erfolgt. Wie Projektleiter Dr. Wolf Müller erläuterte, soll es der nPA in Kommunikation mit dem Mobiltelefon ermöglichen, dass man den Personalausweis auch in unsicheren Internet-Cafes einsetzen kann.
Katharina Bräunlich stellte am Koblenzer Institut für Wirtschafts- und Verwaltungsinformatik erarbeitete Überlegungen zum Einsatz des neuen Personalausweises als ID-System für künftige Wahlen via Internet vor. In dem Maße, in dem zunehmend mehr Bundesbürger Inhaber eines nPA sein werden, werde das virtuelle Wahllokal am heimischen PC eine Alternative zum gängigen System. Neben dem Ausweis soll dabei der Wahlzettel mit Nummer des Wahlbezirks und einem Bestätigungscode benötigt werden, der zusammen mit der elektronischen ID des nPA online vom Wählerverzeichnis abgefragt wird. Stimmen die Angaben sowie die Altersverifikation, wird ein digitaler Wahlzettel verschickt, der ausgefüllt und anonymisiert in die digitale Wahlurne landet.
Weil im gesamten Verfahren die Pseudonym-Funktion des nPA benutzt wird, seien keine Rückschlüsse auf die Identität des Wahlbürgers möglich, erläuterte Bräunlich. Das von den Informatikern präsentierte System soll juristisch durch einen Passus im Wahlgesetz abgesichert werden, demzufolge eine im realen Wahllokal abgegebene Stimme das digitale Votum ersetzt. Auf diese Weise kann der Wähler eine möglicherweise zwangsweise oder irrtümlich abgegebene Stimme widerrufen. Ein noch ungelöstes Problem der Online-Wahl ist laut Bräunlich ein Angriff, bei dem gleichzeitig das Wählerverzeichnis und die Wahlurne kompromittiert werden. In diesem Fall gäbe es keine Kontrolle, ob die Zahl der abgegebenen Stimmen korrekt ist.
Zur Online-Wahl soll der Wähler ausdrücklich darauf hingewiesen werden, dass sein PC virenfrei sein und eine Firewall aktiviert sein muss, sofern diese vom Betriebssystem angeboten wird. Diese bekannte Forderung wurde in einem Vortrag des Juristen Georg Borges von der Ruhruniversität Bochum noch einmal kritisch in Hinblick auf die Haftungsrisiken beim Personalausweis beleuchtet. Neben dem Anscheinsbeweis (Ausschluss, dass Malware missbräuchlich den Ausweis benutzt hat) maß Borges dem gerade bekannt gewordenen Urteil des Bundesgerichtshofs zum Missbrauch von Namen und Passwort auf eBay Präzedenzcharakter zu. Die Entscheidung müsse analog für den Fall herangezogen werden, dass jemand unberechtigt einen Personalausweis einsetzt und dabei auch in den Besitz der sorgfältig verwahrten PIN gekommen ist. (jh)