Zwei Jahre später: der neue Personalausweis
Am 1. November vor zwei Jahren begann ein ehrgeiziges IT-Projekt der Bundesregierung: Der neue Personalausweis wurde ausgegeben, eine kontaktlose Smartcard mit der Möglichkeit der elektronischen Identifikation. Wie steht es um die Technik?
Zum Geburtstag wird gefeiert: Die Bundesdruckerei lädt ein und die Sieger des eIDEE-Wettbewerbs erhalten ihre Preise für "attraktive Ideen zum Einsatz" des nicht mehr ganz so neuen Ausweises. Denn es ist kein Geheimnis, dass die technisch anspruchsvolle Idee einer online nutzbaren Ausweisfunktion nicht so angenommen wird, wie es von den Planern erwartet worden war. Vom täglichen Einsatz des "digitalen Handschlags" sind die Deutschen weit entfernt. Nach Angaben des Kompetenzzentrums elektronischer Personalausweis werden zum Geburtstag 19 Millionen elektronischer Personalausweise genutzt, doch nur ein Drittel der Ausweisinhaber haben die Online-Ausweisfunktion aktiviert. Das liegt vor allem an den fehlenden Einsatzmöglichkeiten. In den "eID-Hochburgen" mit Online-Anwendungen auf kommunaler Ebene wie in Münster haben die Hälfte der Ausweisinhaber die eID-Funktion aktiviert.
Zwei Jahre nach dem Start gibt es in Deutschland 45 Unternehmen und Verwaltungen, die insgesamt 87 eID-Anwendungen und Dienste anbieten. Was derzeit möglich ist, wird hier aufgelistet. Autofahrer können ihre Punkte in Flensburg abfragen, Kreditsucher die Einschätzung der Schufa, Arbeitnehmer die Höhe ihrer künftigen Rente bei der Deutschen Rentenversicherung und Eltern mit Kindern aktuelle Informationen zum Kindergeld bei der der Bundesagentur für Arbeit. Auch wenn diese Dienste nicht unbedingt das repräsentieren, was nach einem alltäglichen "digitalen Handschlag" aussieht, so wird doch deutlich, in welch unterschiedlichen Rollenkonzepten der Ausweis eingesetzt werden kann. Klar wird jedoch auch, dass die "Killeranwendung" fehlt, die Bundesbürger dazu bringt, für den Ausweis Schlange zu stehen und nicht auf den zwangsläufigen Umstieg zu warten, wenn der alte Ausweis abläuft.
Die Macher des nPA ficht dies nicht an. Sie verweisen darauf, dass neben Münster (und Aachen, Ingolstadt, Hagen, Oldenburg) im kommenden Jahr dank der E-Government-Initiative des Bundesinnenministeriums 30 weitere Städte und Kommunen mit Angeboten an den Start gehen. Mit der Verbreitung von NFC-fähigen Smartphones soll das leidige Thema Kartenleser und AusweisApp elegant durch Apps gelöst werden. Apps, die nicht dem schorfigen Konzept des Browser-Plugins unterliegen, das für unerfahrene Computerbesitzer den Einsatz des Personalausweises zu einer Qual machte. Viel zu oft streikte die "bundeseigene" AusweisApp, weil ein Browser-Update im Wege war oder vice versa, wenn ein Update der AusweisApp etwa die Möglichkeit stoppte, die nPA-Anwendung De-Mail in den hohen Authentifizierungsmodus zu schalten.
Die Macher sehen auch hier den Fortschritt am Werke: "Neben der AusweisApp gibt es zwei weitere kommerzielle Softwareangebote für die Nutzung des Ausweises und es gibt unterschiedliche OpenSource-Projekte von der Fraunhofer-Gesellschaft, der HU Berlin, der Bundesdruckerei und anderen, die öffentlich verfügbar sind. Darüber hinaus werden in unserem Testlabor Anwendungen für Terminals und Automaten erprobt. Es gibt über zehn zertifizierte Kartenleser für den neuen Ausweis, vom USB-Stick bis zum Komfortkartenleser", berichtet Jens Fromm vom Fraunhofer FOKUS-Institut.
Besonders stolz sind alle Beteiligten auf die zentrale Technik hinter der eID. "Der Ausweis hält, was er versprochen hat, betont Sascha Sauer von Ageto, einem Dienstleister für die Integration von eID-Servern und Hersteller einer AusweisApp, "zwei Jahre ohne Hackerangriff, das ist schon mal was. Wenn bei zunehmender Erfahrung mit digitalen Prozessen das Bewusstsein steigen wird, wie schützenswert die elektronische Identität ist, wird die Akzeptanz stark steigen". Der Angriff des CCC mit einem Keylogger auf einem PC, an dem ein Lesegerät ohne eigene Tastatur angeschlossen war, lässt Sauer nicht gelten, das sei kein Hack gewesen. Ähnlich sieht es das Bundesinnenministerium und das Bundeskriminalamt, wo über die hoheitliche Funktion des Ausweises, seine Fälschungssicherheit gewacht wird. So sollen bislang alle Versuche aufgedeckt worden sein, durch Abkratzen der verschiedenen Polykarbonatschichten oder Überkleben den Ausweis zu fälschen. Der Ausweiskörper ist in der Tat schwer zu fälschen, die Adress-Aufkleber dagegen können nach einem Umzug sehr leicht abgekratzt werden.
Dennoch gibt es genug Kritikpunkte, die vielfach im Organisatorischen gesehen werden. Da ist die Vergabestelle für Berechtigungszertifikate, die Firmen wie Behörden benötigen, um auf bestimmte Datenfelder beim Ausweisen mittels eID zugreifen zu können. Mindestens 40 Zertifikatsanträge befinden sich dort in der Pipeline. Zudem hatte sich die Vergabestelle bei der Übertragung erweiterter Rechte an die Kommunen schwer getan. Berechtigungszertifikate, die nötig sind, um online die Ausstellung polizeilicher Führungszeugnisse anbieten zu können, wurden zunächst nicht erteilt.
Da ist die Bundesnetzagentur, die einen Riegel vor das medienbruchfreie Aufspielen einer qualifizierten elektronischen Signatur (QES) gelegt hat. Die kostenpflichtige QES sollte eigentlich schon längst auf dem Ausweis installierbar sein und wurde in der Vergangenheit stets als I-Tüpfelchen des Ausweises angepriesen. Doch das hochgelobte vollelektronische Verfahren scheiterte am Einspruch der Bundesnetzagentur. Wenn ab Januar 2013 nun doch die QES für den Ausweis bestellt werden kann, muss das beauftragte Trustcenter einen PIN-Brief per Papierpost schicken, damit die Installation gestartet werden kann. Ein kleiner, aber sehr symbolischer Medienbruch im Zeitalter des "digitalen Handschlages".
Selbst beim Kompetenzzentrum sieht man Verbesserungsbedarf. Die Bürger müssten besser informiert werden. Vor allem müssten in jedem Bürgerbüro Anwendungen laufen, die die Vorteile des Ausweises zeigen, erklärt Jens Fromm. "Jeder Schokoriegel wird heute von den Unternehmen aggressiver beworben", heißt es in einer Studie des Beratungsunternehmens CSC. Auch müsse das Zusammenspiel von Software und Kartenleser dringend verbessert sowie der Einsatz der Transport-PIN, PIN, Zugangsnummer und PUK optimiert werden. Wenn in rosiger Zukunft die Nutzungsbarriere des Ausweises mit NFC-fähigen Endgeräten überwunden werde, müsse darauf geachtet werden, dass internationale Standards eingehalten werden. Dann habe die hinter dem Ausweis stehende IT Chancen, auch im Ausland als richtungsweisende Technik anerkannt zu werden. (mho)