ai-3/BSI-Symposium: Sichere Identitäten, Daten und Dienste

Zwei Tage lang beschäftigte die Frage nach sicheren Identitäten, Daten und Diensten die Teilnehmer des fünften Symposiums der Arbeitsgruppe Identitätsschutz im Internet (ai-3) und des Bundesamts für Sicherheit in der Informationstechnik (BSI). Neben dem Treiben der Phisher und Stalker sowie juristischen Problemen beim Cloud Computing wurden Hilfsmittel wie der elektronische Personalausweis (ePA) oder die De-Mail diskutiert, die dem Bürger eine sichere digitale Identität zur Verfügung stellen sollen.

Erfolgreiche Fischzüge auf Spielkonsolen, Smartphones und Webdienste zeigen, wie sehr die Szene auf Trab ist. Ein groß angelegter Angriff mittels SEO Poisoning anlässlich des Vulkanausbruches in Island scheiterte an den unterschiedlichen Schreibweisen von "Eyjafjallajökull". Ein ausführlicher Bericht des Bundeskriminalamtes über die laufenden Ermittlungen in der Operation Tacho gegen den Hacker "13speedtest37" und seine "1337-crew" in Deutschland und Österreich zeigte ein beträchtliches Ausmaß der Untergrund-Ökonomie. Über 8000 GByte Material müssen ausgewertet werden. Mit 2923 Phishing-Opfern und 6800 Fällen von Account Takeover im Jahre 2009 wurde in Deutschland ein neues Rekordhoch erreicht.

Nach einer Revue der Schadensfälle auf iPhones und Android-Systeme zog Frank Felzmann vom BSI in der Pressekonferenz ein düsteres Fazit: "Die Hersteller von Handy-Betriebssystemen haben nichts von den Herstellern der PC-Betriebssysteme gelernt." Gerade weil all diese Clients dauerhaft gefährdet seien, soll ein kräftiger Prozessor auf einer kleinen Karte Rettung bringen: Georg Borges, Vorsitzender der a-i3-Arbeitsgruppe begrüßte den ePA, der im November eingeführt wird. "Er wird unser Verhalten im Internet gravierend verändern, weil wir erstmals einen einfach funktionierenden ID-Nachweis bekommen." Auch De-Mail für die Behördenkommunikation werde vieles einfacher machen.

Über 170 Unternehmen befinden sich derzeit im Anwendungstest des ePA, für den 1900 Exemplare produziert wurden, berichtete Jens Fromm vom Fraunhofer-Institut Fokus, das die Einführung des Ausweises wissenschaftlich begleitet. Zum 1. Mai starten die Testläufe für die Ausgabe von Berechtigungszertifikaten: Firmen und Einzelpersonen, die bestimmte ID-Daten des Ausweises nutzen wollen, benötigen ein solches Zertifikat, das festlegt, auf welche ID-Daten sie zugreifen können. Fromm zeigte sich überzeugt, dass vor allem junge Leute, die sich viel in sozialen Netzwerken aufhalten, den ePA nutzen werden. Ein Beispiel für diesen Trend sei StudiVZ, das mit dem Start der Ausweisausgabe allen Teilnehmern einen VIP-Status gewährt, die sich mit dem Ausweis einloggen.

Jan Möller vom Bundesinnenministerium beschäftigte sich mit Haftungs- und Beweisfragen beim Einsatz des ePA und skizzierte einige ID-Zwickmühlen. Wer ist verantwortlich, wenn etwa zum Ende einer eBay-Auktion das Login mit dem ePA nicht funktioniert und der Bürger vom Bietprozess ausgeschlossen ist? Wie sieht es beim Missbrauch des Ausweises aus, wenn sich Minderjährige Hardcore-Videos bestellen? Möller erwartet Gerichtsentscheidungen, durch die solche Fragen ausdifferenzieren werden.

Welche Hoffnungen die Industrie mit dem ePA verbindet, machte Klaus-Dieter Wolfenstetter von der Deutschen Telekom deutlich. Seine Firma will den Ausweis für das Jugendschutzsystem NetGate verwenden, für das derzeit eine eigene Erwachsenen-PIN benötigt wird. Außerdem entwickelt die Telekom ein Interface für NFC-fähige Mobiltelefone. Diese sollen dann die Freischaltung eines Internet-Zugangs in einem Internet-Cafe übernehmen.

Sollte die Bundesregierung es schaffen, das Bürgerportalgesetz (PDF-Datei) zu verabschieden, könnte De-Mail bereits Ende 2010 starten. Diese Hoffnung äußerte Astrid Schumacher vom BSI, die die Funktionen von De-Mail vorstellte. Auch wenn der richtige Work-Flow in den Anwendungstests noch fehlt und etwa Einsprüche auf einen via De-Mail eintreffenden Behördenbescheid ausgedruckt werden müssen, werde De-Mail eine Nutzungslücke im Internet schließen.

Als Beispiele, wie De-Mail eingesetzt werden kann, nannte Schumacher die Kündigung einer Bahncard per E-Mail oder die Ausübung des Widerrufsrechts bei Verbraucherverträgen sowie Schadensfall-Meldungen an die Versicherungen. Wie bei dem ePA-Anwendertest sind vor allem Versicherungen daran interessiert, mit De-Mail das papierlose Büro zu gestalten.

Für die deutsche Post stellte Andre Wittenburg den Onlinebrief vor, der ebenfalls viele Behördenkontakte ins Netz verlagern soll. Als Beispiel für eine erfolgreiche Umsetzung der Postidee wurde die Abwicklung der Umweltprämie genannt, bei der der Antrag online gestellt wurde und das mit Barcode versehene Schreiben vom Bürger unterzeichnet durch die Post wieder digitalisiert und durch die Barcode-Information geroutet wurde. Genau wie die Konkurrenz von De-Mail muss die Post auf die Verabschiedung des Bürgerportalgesetzes warten, ehe sie einen rechtssicheren Service rund um ihren Onlinebrief anbieten kann. (anw)