Digitale Identitäten: Der elektronische Personalausweis in der Diskussion
Die Jahrestagung der "Arbeitsgruppe i3 Identitätsschutz im Internet" in Bochum beschäftigte sich am ersten Tag schwerpunktmäßig mit dem elektronischen Personalausweis, der im November 2010 eingeführt werden soll.
Die Jahrestagung der "Arbeitsgruppe i3 Identitätsschutz im Internet" in Bochum beschäftigte sich am ersten Tag schwerpunktmäßig mit dem elektronischen Personalausweis, der im November 2010 eingeführt werden soll. Daneben wurden die Bürgerportale und die De-Mail diskutiert.
Nachdem zur CeBIT 2009 in einem Interview bekannt wurde, dass die Bundesdruckerei aus sicherheitstechnischen Überlegungen ohne förmliches Ausschreibungsverfahren den Auftrag zur Produktion des elektronischen Personalausweises bekommen hat, wurden in Bochum die Details diskutiert. Über 100 Firmen haben nach Aussage von Marian Margraf, Referent für Pass- und Ausweiswesen im Bundesinnenministerium ihr Interesse am Anwendertest signalisiert. Darunter befindet sich Lotto Hessen, die Kreditauskunft Schufa, die deutsche Rentenversicherung, die Techniker Krankenkasse, T-Systems und Elster Online, das Verfahren zur Kommunikation mit den Finanzämter.
Vom Glücksspiel bis zur Rente reichen also die Interessen der Firmen an einem gesicherten Identitätsnachweis. In der Präsentationsfolie des Innenministeriums fehlten indes Anwendungen des eGovernments, mithin der Bereich, in dem der elektronische Personalausweis die größten Vorteile bringen soll. Auch konnte Margraf in der später folgenden Diskussion nicht beziffern, wie viel der neue Personalausweis eigentlich kosten wird. Er nannte jedoch Eckdaten, die die Bedeutung des elektronischen Personalausweises unterstreichen: In 4 bis 5 Werktagen nach Antrag soll die Bundesdruckerei den Ausweis ausliefern, komplett mit einer kostenfreien Bürger-Client-Software. Sie wird derzeit vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt. Margraf äußerte die Hoffnung, dass entsprechende kontaktlose Lesegeräte um 10 Euro kosten könnten.
Das BSI steuerte gleich zwei Referate bei. Referatsleiter Bernd Kowalski stellte die Rolle der Sicherheitsbehörde bei der Entwicklung des Ausweises und die Bestrebungen zu einer europäischen Normierung der Bürgerausweise vor. Hier hat das BSI die Hoffnung, dass eine Standardisierung über den Einsatz einer gemeinsamen Middleware erreicht werden kann, bei der die eCard-API-Strategie der Bundesregierung eine Vorbildfunktion einnehmen könnte. Wie der elektronische Personalausweis beim eGovernment eingesetzt werden kann, erläuterte Lars Terbeck von der Pilot-Kommune Hagen. Dort hat man im Zuge der Umstellung auf ein SAP Enterprise Portal und SAP Netweaver – Rathaus 21 genannt – mit OpenLimit SignCubes die Möglichkeit geschaffen, dass sich Bürger auf dem Hagener Stadtportal mit dem Personalausweis anmelden können. Der erste funktionierende eVorgang ist der Antrag auf Ausgabe einer Reiterplakette, bei der die Bürgerdaten direkt vom Personalausweis eingelesen werden.
Der größte und wichtigste Pilottest des kommenden Personalausweises findet aber in Darmstadt an der Technischen Universität statt. Der dort eingeführte "Campus-Pilot" entspricht dem ID-System des Reisepasses und wird zur Selbstregistrierung von Gasthörern und zur Nutzeranmeldung in der Bibliothek eingesetzt. Besonders beim Download von eBooks oder ePapern soll sich das System bewährt haben, berichtete Klaus-Dieter Wolfenstetter von der Deutschen Telekom, die die Projektleitung inne hat. "Das Ausleihen elektronischer Bücher wird durch die ID-Prüfung perfekt unterstützt." Andrea Klenk von der media transfer AG stellte die ID-Rollen vor, die mit dem Personalausweis möglich sind. Als Vorteile für die Kommunen nannte sie die einfache Möglichkeit für Meldebehörden, bei einem Umzug Adresse und Aufenthaltserlaubnis neu zu schreiben. Sie stellte aber auch fest, dass der neue Ausweis PKI-Zertifikatsdienste nicht überflüssig mache. Nachteilig bewertete sie außerdem, dass Diensteanbieter von der Verfügbarkeit und Performanz des Bürger-Clients abhängig werden. Allerdings würden die Vorteile überwiegen, weil das aufwendige Post-Ident-Verfahren abgelöst wird.
Eine Art Fundamentalkritik lieferte Dirk Heckmann vom Lehrstuhl für Sicherheits- und Internetrecht an der Universität Passau ab. Heckmann, der auch als bayerischer Verfassungsrichter agiert, übertrug das Wahlcomputerurteil auf den elektronischen Personalausweis und mahnte das Transparenzgebot an. Der Staat müsse den Bürger in die Lage versetzen, die Technologie des Identitätsnachweises überprüfen zu können, wie er auch die Arbeit von Wahlcomputern nachvollziehen können soll. Andernfalls gäbe es juristische Probleme: "Je sicherer eine Identität scheint, umso schwieriger ist es, bei einem Identitätsdiebstahl den Zurechnungszusammenhang zu lösen." Er warnte die anwesenden Identitätsspezialisten: "Informationstechnologie hat eine kaum mehr überschaubare Komplexität erreicht. Einer zukünftigen Implosion gesellschaftlich nützlicher IT sollte durch Entwicklungen begegnet werden, die diese Komplexität reduzieren."
Eher am Rande wurden die Bürgerportale und der zugehörige De-Mail-Dienst behandelt. Die zuständige Referentin vom Bundesinnenministerium war verhindert, also wurde vom Gesamtkomplex der De-Mail nur diskutiert, wie der elektronische Personalausweis zur Beantragung eines De-Mail-Kontos eingesetzt werden kann. Christoph Wegener vom Horst Görtz-Institut, der zuletzt auf dem DFN-CERT-Workshop (PDF-Datei) und davor auf dem CeBIT-Forum des Heise-Verlages eine gründliche Kritik des Ansatzes vorgestellt hatte, hielt sich in Bochum zurück und präsentierte ein Referat zum Suchmaschinen-Hacking.
Aus juristischer Sicht würdigte Alexander Roßnagel von der Projektgruppe Provet De-Mail sowie das zugehörige Bürgerportalgesetz. Er erklärte die Eigenheiten eines Postfachs, bei dem der Staat, vertreten durch das BSI (Sperr-und Prüfbehörde), als objektive Vertrauensstelle agiert. So haften De-Mail-Provider bei verlorenen Mails mit bis zu 250.000 Euro pro Schadensfall und müssen die Zustellung von Behördenmail auch dann noch garantieren, wenn dem Kunden das Konto wegen ausstehender Zahlungen gekündigt wurde. Eine große Bedeutung besitzt nach Roßnagel der geänderte Paragraf 3a (1) des Verwaltungs-Verfahrensgesetzes. Ist einmal ein Bürgerportalkonto samt De-Mail-Postfach eingerichtet und dies im öffentlich zugänglichen Verzeichnis aufgeführt, kann die Behörde davon ausgehen, dass sämtliche Kommunikation mit dem Bürger auf diesem Wege erfolgen kann. Eine Gefahr, dass De-Mail-Konten von Spammern missbraucht werden, sah Roßnagel nicht, da De-Mail nur im vertrauensvollen Umgang mit anderen De-Mail-Adressen und staatlichen Adressen im OSCI-Kommunikationsraum eingesetzt werde. (Detlef Borchers) / (pmz)
