Deine wichtigste Karte? Vom Umgang mit dem neuen Personalausweis

Die ersten Mitbürger erhielten ihren beantragten Personalausweis - und die ersten Sicherheitslücken bei der AusweisApp wurden bekannt. Für diejenigen, die sich dafür entschieden haben, die elektronische Identifikation (eID) zu nutzen, beginnt ein neuer Umgang mit dem Dokument, das als Eigentum der Bundesrepublik Deutschland sorgsam behandelt werden muss. Wir stellen die wichtigsten Regeln vor.

In Pocket speichern vorlesen Druckansicht 304 Kommentare lesen
Lesezeit: 7 Min.
Von
  • Detlef Borchers

Der neue Personalausweis

(Bild: Bundesinnenministerium)

Der 24-jährige Dresdener Dominik Volke ist der erste Bundesbürger, der seinen neuen Personalausweis bekommen hat. Er will ihn mit einem Basis-Lesegerät vor allem für Bestellungen im Internet benutzen. Volke hat sich für die Nutzung des Ausweises mit eID-Funktion entschieden und dabei auch freiwillig seine Fingerabdrücke speichern lassen. Bislang haben 1400 Dresdener einen neuen Ausweis beantragt.

Mit dem Start der Ausweisausgabe hat das Bundesinneministerium in den VZ-Netzwerken die Werbekampagne Erika hat nen Neuen gestartet, die "junge internetaffine Menschen mit vielen Sozialkontakten" über den neuen Ausweis aufklären soll. Die VZ-Netzwerker sind dabei aufgefordert, ihr "verrücktestes Passfoto" hochzuladen. Erika spielt auf Erika Mustermann an, eine Werbefigur, deren "Edelprofil" als "Musterdeutsche" das Ministerium nutzen will. Ob die Kampagne gelingt, junge Menschen den Umgang mit Kartenleser und der vom Start weg umstrittenen, da mit Sicherheitslücken behafteten AusweisApp nahezubringen, wird sich zeigen müssen.

Ob jung oder alt, jeder Bürger, der einen neuen Personalausweis beantragt hat, hat auch ein Merkheft bekommen, in dem auf seine besonderen Sorgfaltspflicht hingewiesen wird: "Ihr Beitrag zum sicheren Umgang mit der Online-Ausweisfunktion" fasst die wichtigsten Regeln zusammen, die sich aus dem geänderten Personalausweisgesetz ergeben. Dort sind die Pflichten in §27 festgelegt, wenn es heißt: "Der Personalausweisinhaber hat zumutbare Maßnahmen zu treffen, damit keine andere Person Kenntnis von der Geheimnummer erlangt. Die Geheimnummer darf insbesondere nicht auf dem Personalausweis vermerkt oder in anderer Weise zusammen mit diesem aufbewahrt werden. Ist dem Personalausweisinhaber bekannt, dass die Geheimnummer Dritten zur Kenntnis gelangt ist, soll er diese unverzüglich ändern oder die Funktion des elektronischen Identitätsnachweises ausschalten lassen."

Mindestens ebenso wichtig wie die unbedingt einzuhaltende Trennung von Besitz (Personalausweis) und Wissen (PIN) ist die Pflicht, den Ausweis nur "in einer Umgebung einzusetzen, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist." Im Zweifelsfall ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Behörde, die den Stand der Technik definiert. Der Bürger soll "insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden." Ein regelmäßiger Besuch der entsprechenden Webseite des BSI mit den Sicherheitstipps gehört damit zum guten Ton. Dort finden sich derzeit drei Verhaltensregeln, die bei der Nutzung vorausgesetzt werden:

  • Virenschutz und Firewall müssen auf dem jeweils aktuellen Stand der Technik sein, alle Updates müssen regelmäßig eingespielt werden.
  • Nur zertifizierte Kartenlesegeräte und zertifizierte Software für die Kommunikation mit dem Kartenleser darf eingesetzt werden. Als zertifizierte Software für die Kommunikation wird hier die AusweisApp genannt – bei der ja nun gerade die ersten Sicherheitslücken auftauchten.
  • Der Ausweis soll nur kurz zum Zwecke der Authentifizierung auf den Kartenleser gelegt werden und muss danach entfernt werden.

Neben diesen Richtlinien enthält das Merkheft der Meldebehörden einen weiteren Hinweis, der unter Sicherheitsexperten umstritten ist, aber juristisch von einiger Bedeutung sein kann. Was macht ein Bürger, der sich nicht sicher ist, einen sicheren Rechner vor sich zu haben? Diese Frage ist besonders dann wichtig, wenn das Kartenlesegerät keine eigene Tastatur hat. "Wenn Sie ein Basis-Kartenlesegerät ohne eigene Tastatur in Verbindung mit der AusweisApp verwenden und sich nicht sicher sind, ob Ihr Computer frei von Schadsoftware ist, nutzen Sie zur Eingabe der PIN die in der AusweisApp integrierte Bildschirmtastatur." Auch wenn die Zahlen der Bildschirmtastatur jedesmal neu angeordnet sind, erhöht dies nicht unbedingt die Sicherheit, dass die PIN geheim bleibt: erinnert sei an Spyware, die bei jedem Mausklick einen Screenshot des Bildschirms anfertigt.

Im alltäglichen Umgang mit dem neuen Personalausweis müssen Bürger und Unternehmen lernen, dass mit dem elektronischen Ausweis zumindest in Deutschland ein Hinterlegungsverbot verbunden ist, wenn es im Ausweisgesetz heißt: "Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben." Hotels, Fitnessstudios oder ganz allgemein Unternehmen, die von Besuchern beim Zutritt des Werksgeländes den Personalausweis kassieren, müssen umdenken und auf andere Verfahren umsatteln. Denkbar wäre, die Identifizierung vorab auf einer Webseite zur Online-Anmeldung durchzuführen, die die elektronische Identifikationsfunktion ausnutze, heißt es dazu aus dem Bundesinnenministerium.

Einen Schritt weiter in die falsche Richtung geht die Praxis, vom Ausweis eine Fotokopie anzufertigen. Dies ist eigentlich nur in besonderen Fällen erlaubt, die gesetzlich geregelt sind, etwa bei der Eröffnung eines Bankkontos. Zum Umgang mit dem Fotokopierunwesen, das nicht von § 14 des Personalausweisgesetzes gedeckt ist, heißt es in der Gesetzesbegründung des Innenministeriums ausdrücklich:

"§ 14 stellt klar, dass die Erhebung und Verwendung personenbezogener Daten aus oder mithilfe des Ausweises künftig nur über die dafür vorgesehenen Wege erfolgen darf. Dies sind für nichtöffentliche und öffentliche Stellen der elektronische Identitätsnachweis und für zur hoheitlichen Identitätsfeststellung berechtigte Behörden der Abruf der elektronisch gespeicherten Daten einschließlich der biometrischen Daten. Weitere Verfahren z.B. über die optoelektronische Erfassung ("scannen") von Ausweisdaten oder den maschinenlesbaren Bereich sollen ausdrücklich ausgeschlossen werden."

In einer heise online vorliegenden ergänzenden "Stellungnahme des Bundesinnenministeriums zur Vervielfältigung von Ausweisdokumenten" wird diese Gesetzesbegründung noch genauer erläutert: "Diese Klarstellung war u.a. deshalb erforderlich, weil im Falle einer künftigen Vervielfältigung des neuen Personalausweises zusätzliche Sicherheitsprobleme entstünden. Denn auf dem neuen Personalausweis ist die Berechtigungs-Nummer abgedruckt. Diese soll grundsätzlich nur dem Ausweisinhaber bekannt sein, könnte durch Kopieren des Ausweises aber in Umlauf geraten."

Nach so vielen Verboten und Geboten sollte schließlich der Hinweis nicht fehlen, was dem Inhaber des neuen Personalausweises gestattet ist: Wie bei der Computersoftware hat er das Recht, eine "Sicherungskopie" von seinem Ausweis z.B. für Auslandsreisen anzufertigen, freilich "unter der Prämisse, dass die Kopie nur im Falle des Diebstahls/Verlusts des Originaldokuments verwendet wird und umgehend ein neues Ausweisdokument beantragt wird." Die vor allem in lateinamerikanischen Ländern übliche Praxis, nur Fotokopien von Dokumenten bei sich zu tragen, wird nicht akzeptiert: "Die zunehmende Verwendung von Ausweiskopien als Ersatz für die Originaldokumente stellt damit eine potentielle Gefährdung des Rechtsverkehrs dar und könnte mit zunehmenden Missbrauchsfällen mittelbar dazu führen, dass das Vertrauen in deutsche Ausweisdokumente sinkt", so die Stellungnahme des Bundesinnenministeriums.

Siehe dazu auch:

(jk)