ISSE 2010: Innovationspreis für Fraunhofer-Projekt zum neuen Personalausweis [Update]

Das Fraunhofer-Institut für offene Kommunikationssysteme FOKUS hat auf der Sicherheitskonferenz ISSE 2010 den Teletrust-Innovationspreis in der Kategorie "Technologie" erhalten. Mit dem Preis wurde ein Projekt ausgezeichnet, dass bei der Übermittlung von Ausweisdaten Microsofts Kryptografiesystem U-Prove einsetzt.

Nach seiner auf Englisch gehaltenen ISSE-Keynote zum sicheren Internet besuchte Bundesinnenminister Thomas de Maiziére (CDU) nach Angaben des Bundesinnenministeriums die Stände der konferenzbegleitenden Ausstellung. Dabei unterhielt er sich mit dem Microsoft-Sicherheitsexperten Scott Charney über die Anwendungsmöglichkeiten des kommenden elektronischen Personalausweises und ließ sich durch Mitarbeiter des Bundesamtes für Informationstechnik die Bedienung des Kartenlesegerätes vorführen.

"Where is that ugly thing?", fragte der Minister dabei nach dem Basis-Kartenleser, der den Entwicklern des Chip-Ausweises Probleme bereitet. Am liebsten würden sie den "Billigleser auf den Mond schießen", wie es ein BSI-Mitarbeiter formulierte. Nachdem der Chaos Computer Club das Lesegerät im Verein mit einem verwanzten PC samt vorhandenen Keylogger als Argumentationshilfe dafür benutzt, dass der Personalausweis eine "Sicherheitslücke" aufweist, ist die Stimmung gereizt. Dabei ist es das Innenministerium, das gegen den erklärten Widerstand der Sicherheitsfachleute einen simplen USB-Stick in den erlauchten Kreis der zugelassenen Lesegeräte aufgenommen hat.

Immerhin laufen die Daten, die Unternehmen mit den entsprechenden Berechtigungszertifikaten von den elektronischen Personalausweisen ihrer Kunden abfragen dürfen, dank Microsofts U-Prove verschlüsselt über das Internet. FOKUS begreift sich nach Angaben von Jens Fromm als unabhängiger Mediator bei der Einführung des elektronischen Personalausweises. Bis zu 500 Besucher werden pro Tag durch die Testumgebung geführt, die man in Berlin für den neuen Ausweis aufgebaut hat.

Auf der ISSE selbst war die Deutsche Post mit ihrem ePostIdent-Verfahren für den elektronischen Personalausweis wohl der prominenteste Neuzugang unter den Firmen, die Lösungen für die eID-Funktionalität des Ausweises anbieten. Die Post will mit PostIdent vor allem Banken einen Service bieten, bei dem es egal ist, ob sich der künftige Kunde mit dem herkömmlichen PostIdent-Verfahren gegenüber einem Postbeamten ausweist oder dies in elektronischer Form tut.

Das ePostIdent-Verfahren könne kommen, sobald die entsprechenden Gesetze geändert sind, erklärte Jens Terboven, bei der Post für "Zusatz- und Spezialleistungen Brief" verantwortlich. Während für den künftigen Ausweis bereits das Personalausweisgesetz und die Signaturverordnung für den Einsatz kontaktloser Smartcards geändert wurden, ist das Geldwäschegesetz noch nicht an die Realität des elektronischen Personalausweises angepasst worden.

[Update: Gegenüber heise online nahm Personalausweis-Experte Dennis Kügler vom BSI wie folgt Stellung: "Der Basisleser bietet für die Verwendung mit dem elektronischen Identitätsnachweis des neuen Personalausweises ein mehr als ausreichendes Sicherheitsniveau und wurde vom BSI als kostengünstige und portable Alternative zu höherpreisigen Standard- und Komfortlesern definiert. Auch muss bei Verwendung des Basislesers kein zusätzliches Sicherheitsprotokoll wie U-Prove verwendet werden, um eine Absicherung der übertragenen personenbezogenen Daten zu erreichen, da der neue Personalausweis grundsätzlich eine Ende-zu-Ende Sitzungsverschlüsselung und Integritätssicherung erzwingt. Derzeit kommen 256-Bit Schlüssel für Elliptische Kurven und AES-128 zum Einsatz.

Lediglich bei Verwendung der optionalen qualifizierten Signatur des neuen Personalausweises ist aufgrund der Rechtsverbindlichkeit der Signatur ein höheres Sicherheitsniveau notwendig, so dass hierzu Komfortleser verwendet werden müssen. Im Gegensatz dazu ist der elektronische Identitätsnachweis technisch so ausgestaltet, dass die erfolgreiche Authentisierung durch den Inhaber abstreitbar ist, also analog zum Vorzeigen des Personalausweises später nicht gegenüber Dritten nachgewiesen werden kann. Aus diesem Grund ist auch alleine mit dem elektronischen Identitätsnachweis z.B. eine Kontoeröffnung nicht möglich - unabhängig von Anforderungen aus dem Geldwäschegesetz."] (vbr)