ENISA kritisiert mangelhaften Datenschutz bei eID-Karten
Das European Network and Information Security Agency sieht in den in der EU gebräuchlichen Konzepten für die elektronische Identifizierung zu wenig Einheitlichkeit und Sicherheit.
- Monika Ermert
Zu uneinheitlich und mitunter auch noch zu unsicher sind Datenschutzmechanismen bei den eID-Karten der EU-Mitgliedsstaaten. Das ist das Ergebnis einer Studie (PDF-Datei) der European Network and Information Security Agency (ENISA). Derzeit sind laut der Studie 10 nationale Systeme für die interoperable elektronische Identifizierungs- und Authentifizierung (eID) in Gebrauch. Weitere 13 Mitgliedsländer stehen mit ihren eID-Karten in den Startlöchern.
Laut ENISA werden die Karten in den verschiedenen Ländern für verschiedene Bürgerdienstleistungen, etwa bei Steuererklärungen, eingesetzt. Es sei zu erwarten, dass neben den eGovernment-Diensten kommerzielle Angebote die Karteninfrastruktur mit nutzen, zum Beispiel für den Zugang zur Bibliothek bis zur Identifizierung im Chatraum.
Bei fast allen überprüften Konzepten ist der Verlust der Karten mit der Kompromittierung wesentlicher Daten verbunden. Sieht man vom deutschen Konzept und teilweise von der spanischen eID-Karte ab, erlauben die analysierten Kartensysteme das Auslesen von Kartennummer und Namen des Karteninhabers. Die belgischen, niederländischen, portugiesischen und ein Teil der schwedischen Karten erlauben darüber hinaus auch den Zugriff auf das Bild des Nutzers.
In Fällen, in denen ein Dienst lediglich eine Authentifizierung erfordert, halten die ENISA-Experten eine digitale Unterschrift für zu wenig datensparsam. Schließlich hinterlasse der Nutzer mit der digitalen Unterschrift eine unnötige Spur. Noch gar nicht in Gebrauch sind laut ENISA fortschrittliche Datenschutztechniken (Privacy Enhancing Technologies, PET) wie zum Beispiel die Nutzung unterschiedlicher Pseudonyme und die Absicherung der Unverknüpfbarkeit der verschiedenen "Instanzen" durch öffentliche und private Dienstleister.
Die Herangehensweise der Mitgliedsstaaten im Bereich Datenschutz weise erhebliche Unterschiede auf, sagte ENISA-Direktor Andrea Pirotti: "Solange wir das nicht in den Griff bekommen, wird eine europäische eID kaum zum Fliegen kommen." Alle Bürger hätten ein Anrecht auf den Schutz ihrer persönlichen Daten. Auf klare Empfehlungen zu modellhaften Datenschutzmechanismen hat sich die ENISA noch nicht festgelegt.
Siehe dazu auch:
(Monika Ermert) / (anw)
