Sichere Identifikation mit sicheren Smartcards

Auf dem 19. SmartCard-Workshop des Fraunhofer-Institutes SIT stand der elektronische ID-Nachweis mit dem kommenden elektronischen Personalausweis im Mittelpunkt des zweitägigen Workshops. Referate zur Sicherheit von Chipkarten, zu Standardisierungsvorhaben und eine Preisverleihung vervollständigten das Programm. Der SmartCard-Preis 2009 ging an Bernd Kowalski vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für seine Rolle bei der Standardisierung von X.509. Auch seine Preisrede beschäftigte sich mit den ID-Funktionen des Personalausweises.

Mit einem Nachruf und einer Gedenkminute für den überraschend gestorbenen Medizininformatiker Jürgen Sembritzki begann der 19. Workshop der Kartenspezialisten ungewohnt ernst. Sembritzki, zuletzt Geschäftsführer des Zentrums für Telematik im Gesundheitswesen ist einer der "Väter" der elektronischen Gesundheitskarte, um die wieder einmal eine Debatte entbrannt ist.

Der zukünftige elektronische Personalausweis besitzt neben hoheitlichen ID-Funktionen eine Komponente, mit der er als ID-Ausweis im Internet eingesetzt werden kann. Mit dieser Komponente beschäftigten sich gleich vier Referate des diesjährigen SmartCard-Workshops. Zunächst stellte Marian Margraf vom Bundesinnenministerium das gesamte Projekt vor, das mit der Verkündung des Ausweisgesetzes durch den Bundespräsidenten im Mai 2009 mit einem "sehr sportlichen Zeitplan" startet. Denn die Ausgabe der Ausweise soll bereits im Herbst 2010 erfolgen und die Ausschreibung zur Produktion muss auch noch über die Bühne gehen. "Diese Authentifizierung wird dem E-Business großen Auftrieb verleihen", meint Margraf. Aus der Sicht von "Applikationsherstellern" bewertete Michael Herfert vom SIT die ID-Technik des Ausweises und lobte die Abwicklung der Datenfreigabe durch den Bürger als technisch fortschrittliches System, das datensparsam arbeite. "Der E-Commerce wird sich diese Möglichkeiten nicht entgehen lassen." Insgesamt forderte Herfort von allen Beteiligten ein "neues Denken" über das Thema elektronische Identität.

In seiner Preisrede beschäftigte sich Bernd Kowalski zunächst mit technischen Entwicklungszyklen und -bedingungen, die asynchron laufen können. Während SmartCards als SIM-Karten in Mobiltelefonen millionenfach eingesetzt werden, kommt die gleichzeitig entwickelte Signaturkarte in Deutschland heute gerade einmal auf 10.000 Nutzer. Sie wurde zum Flop, weil sich elektronische Geschäftsprozesse nicht wie erwartet entwickelten. Mit dem Wandel in der Gesellschaft, in der die Deutschen zu einem Volk der Online-Käufer entwickelten, werde der Bedarf an sicherer Authentifikation und an qualifizierten Unterschriften rasant steigen, erklärte Kowalski. Diesen Bedarf werde der Personalausweis befriedigen: "Spätestens 2016 werden damit alle Bundesbürger einen Ausweis haben, mit dem sie ihre Identität im Internet nachweisen können." Wichtig sei aber auch, dass es von Anfang an einen "Bürgerclient" für Windows, Linux und Mac OS X gibt, der im Zusammenspiel mit einem Kartenleser den privaten Einsatz der Karte gestatte. "Kontaktlose Technologien schaffen neue Dimensionen der Anwendungsbreite", gab sich Kowalski überzeugt.

Kritische Töne kamen von Werner Schindler vom BSI, der sich in seinem Referat mit Seitenkanalangriffen auf Chipkarten beschäftigte. Schindler zeigte, wie neben den Angriffen über Messungen auf dem Chip zunehmend mathematische und stochastische Modelle an Bedeutung gewinnen. Er machte den Vorschlag, alle bekannten Angriffe systematisch zu erfassen und zu klassifizieren, damit die Chip-Hersteller erkannte Fehler nicht wiederholt in ihre Produkte einbauen. "Die einmal gemachten Fehler werden gerne noch mal gemacht." Weitere Referate zur Sicherheit von Chipkarten beschäftigten sich mit der internationalen Standardisierung und der Rolle von Einrichtungen wie der ENISA. Überhaupt ist das Ergründen der Zusammenhänge verschiedenster Gremien und Normen eine der Lieblingsbeschäftigungen der Kartenspezialisten. Allein bei der Ausgestaltung der europäischen Bürgerkarte sind 18 Standardisierungsgremien beteiligt, wie Alfred Fiedler von der Gematik berichtete. Das ISO/IEC-Dokument, das nur die Testmethoden für SmartCard-Komponenten beschreibt, soll über 10.000 Seiten umfassen. (Detlef Borchers) / (jk)