Kontaktlos – nutzlos
Warum der neue Personalausweis auch nach fast sechs Jahren nicht durchstartet
Deutschlands aktuelle Personalausweise beherbergen einen kleinen Computer. Aber statt damit digitale Verträge zu schließen oder sich auf Webseiten auszuweisen, benutzen die Besitzer ihre Hardware nur offline. Wir beleuchten, warum der nPA technisch vieles richtig, aber dennoch alles falsch macht.
Der „neue Personalausweis“ (nPA), steckt nunmehr in Millionen Brieftaschen. Doch der eingebaute Computer bleibt meist ungenutzt, da kaum jemand ein passendes Lesegerät besitzt. Dabei ist die eingebaute Sicherheitstechnik gar nicht mal so schlecht. Seit ihrer Einführung am 9. November 2010 widersetzt sich die Smartcard souverän allen Angriffen. Auch Anwendungsfälle gäbe es genug: von der Kontoeröffnung über die Datenauskunft bis zum Vertragsschluss. Die eID-Funktion hätte die Identitätsprüfung im Internet revolutionieren, die qualifizierte elektronische Signatur (QES) den ausgedruckten Vertrag ersetzen sollen. Im Internet wächst der Bedarf nach einer verlässlichen digitalen Identität. Im Unterschied zu breit eingesetzten Identitäten wie Google- oder Facebook-Accounts ist der nPA von vornherein auf Datenschutz getrimmt, was ihm gerade bei den Deutschen Pluspunkte bescheren müsste. Wie Sie die Karte zu Hause einsetzen, erklären wir auf Seite 144 wie es mit dem Smartphone geht, auf Seite 152.
Doch bei allen in [1] beschriebenen Vorteilen: Dem Unterfangen nPA liegen konzeptionelle Fehler zugrunde. Leider hat sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) zwar ein technisch ausgefeiltes Konzept überlegt, aber wirtschaftliche und gesellschaftliche Aspekte ignoriert.
Kontaktlosigkeit
Smartcards sind überall: Bankkarten, Gesundheitskarten, Kreditkarten, Dauerkarten und Treuekarten. In Geldbörsen tummeln sich meist mehr Prozessorkerne als in einer modernen CPU. Die meisten dieser Smartcards kommunizieren über eine Kontaktfläche mit Lesegeräten und beziehen auf diesem Weg auch ihren Strom. Diese Technik ist erprobt und billig. Estland nutzt für seine Ausweise solche kostengünstigen Smartcards und schickt mit jedem Ausweis gleich ein Lesegerät für den USB-Port mit [2].
Die Bundesdruckerei wird sich hüten, ein Lesegerät für den nPA einfach mitzuliefern. Denn der deutsche Perso kommuniziert kontaktlos per NFC, genauer ISO/IEC 14443. Lesegeräte für diesen Standard kosten bis heute mindestens 25 Euro. Digital signieren kann man sogar nur mit einem sogenannten Komfortleser für stolze 120 Euro. Das teure Gerät hat eine eigene Tastatur für die PIN-Eingabe, wodurch ein Trojaner auf dem Rechner des Nutzers die PIN nicht einfach abschnorcheln kann.