Smartcard-Großprojekte: Der Teufel steckt im Detail

Mit der Einführung der elektronischen Gesundheitskarte und des elektronischen Personalausweises gehört Deutschland zu den Spitzenreitern bei Smartcard-Großprojekten in Europa. Grund genug, für das CAST-Forum einen Workshop über Smartcard-Großprojekte auszurichten.

Personalausweise und Krankenversicherungsausweise sind nicht alles: Detlef Houdeau von Infineon Technologies eröffnete den Smartcard-Workshop des Jahres 2009 mit einem Überblick, was noch an Smartcards auf Europäer zukommt. Dazu zählt die Electronic Residence Permit Card (elektronische Arbeits- und Aufenthaltserlaubnis), eine e-Emergency Card für medizinische Notfälle und der elektronische Führerschein. Für Nicht-Europäer steht obendrein die eAsylum Card vor der Tür, eine Aufenthaltserlaubnis mit direktem Datenabgleich zum EURODAC-System. Doch damit nicht genug, denn es gibt Bestrebungen, zumindest die europäische Krankenversicherungskarte (EHIC) auf geeignete Smartcards zu bringen und auch den Heilberufsausweis der Ärzte und Zahnärzte soweit zu normieren, dass sich Ärzte über ein "Federal Network of Health Professionals Registrars" europaweit elektronisch authentifizieren können. Ausführlich schilderte Houdeau dabei den Wildwuchs, der sich bei den nationalen ID-Projekten verschiedener EU-Staaten entwickelt hat. So gibt es kontaktbehaftete wie kontaktlose Smartcards, mit biometrischen Funktionen oder ohne sie, mit der Ausrichtung an internationalen Standards wie ICAO und CEN oder mit proprietären Eigenentwicklungen.

Die Hoffnung, dass all diese elektronischen ID-Systeme eines Tages ohne Probleme Daten austauschen und überprüfen können, liegen bei dem STORK-Projekt, über das Thomas Rösler von der Universitat Graz referierte. "Secure Identity Across Borders Linked", so der ausgeschriebene Name, beruht auf einem System von PEPS-Servern (Pan-European Proxy Services),die wechselseitig Identitätsdaten verifizieren. Dabei sollen Anfragen von den Servern zu den jeweiligen nationalen Diensten konvertiert weitergeleitet werden, welche wiederum als Antwort eine standardisierte Bestätigung zurückschicken, die von jedem System verstanden wird. Die European Citizen Card, über die Gisela Meister von Giesecke & Devrient referierte, ist kein konkretes EU-Projekt, sondern ein aus verschiedenen Bausteinen bestehendes Angebot der Industrie, aus der sich Länder mit einzelnen Module bedienen sollen.

Jens Bender vom Bundesamt für Sicherheit in der Informationstechnik lieferte einen flotten Überblick zum Stand der Entwicklung beim deutschen elektronischen Personalausweis, komplett mit der Präsentation eines kleinen USB-Sticks als Lesegerät für den Ausweis. Ein straffer Zeitplan bei den Anwendungstests und den Ausschreibungen soll dafür sorgen, dass der Ausweis am 1. November 2010 eingeführt werden kann. Das BSI unterstützt das Projekt durch die Herausgabe von etlichen neuen technischen Richtlinien, darunter TR-03127 zur Ausweisarchitektur und TR-03131 zur "EAC-Box", mit der Behörden auf die hoheitlichen (Biometrie-) Daten zugreifen können. Kartenleser vom USB-Stick aufwärts bis zum Komfortmodell mit eigenem PINpad für Anwendungen mit hohem Schutzbedarf werden von TR-03119 abgedeckt, die gekapselte Technik, die bei Behörden und Web-Anbietern die Abfrage der freiwilligen eID-Daten besorgt, ist unter TR-03130 geregelt. Bender zeigte sich überzeugt, dass der Personalausweis trotz der steigenden Anforderungen an die Schlüssellängen kryptographischer Systeme die geplante Lebensdauer von 10 Jahren beim elektronischen Personalausweis unproblematisch ist. Notfalls könnte die Sicherheit 'on the fly' erhöht werden, in dem die Schlüssellängen für die bei der an der Zugriffskontrolle beteiligten Geräte erhöht werden.

Mario Stoltz von NXP Semiconductors beschrieb in einem Referat die physikalische Sicherheit von kontaktlosen RFID-Karten. In einem Bereich von 30 cm könnte ein Angreifer mit entsprechend großem technischen Aufwand und hervorragendem Detailwissen aktivierende Angriffe auf eine Funkkarte wie dem elektronischen Personalausweis ausführen. Mit einfachen Abschirmungen sei man jedoch auf der sicheren Seite.

Zur elektronischen Gesundheitskarte berichtete Andreas Grode von der Gematik berichtete von den Bestrebungen, die europäische Krankenversicherungskarte (EHIC) zu digitalisieren. Bisher wird das, was früher einmal der Auslandskrankenschein war, auf der Rückseite moderner Krankenversicherungskarten und der kommenden Gesundheitskarte als Sichtausweis aufgedruckt. Die EHIC-Daten könnten leicht auf den Chip wandern, mindestens könnte jedoch ein "Pointer" gespeichert werden, wo die Daten zu finden sind. Ähnlich wie das konkurrierende Netc@rds-Projekt (PDF-Datei) dürfte das ein Beschluss des CEN über die EHIC-Daten Stückwerk bleiben, weil jeder Staat frei darüber entscheiden kann, die Versicherungsdaten zu digitalisieren. Abschließend beschäftigte sich Ulrich Weidmann vom Faunhofer-Institut SIT mit dem Heilberufsausweis der ersten Generation. Im Unterschied zu anderen Ansichten sei diese Ausweisgeneration kryptografisch noch mindestens bis 2015 sicher. Die zweite Ausweisgeneration bräuchte erst danach eingeführt werden, wenn zusammen mit einer Betriebssystemerweiterung ohnehin alle Karten in der deutschen telematischen Infrastruktur re-zertifiziert werden müssen. Zum Generationswechsel machte Waldmann den Vorschlag, zwei unterschiedliche CV-Authorisierungsschlüssel (RSA-2048 und ECC-256) in abwärtskompatiblen SMC-Modulen aufzubringen, wie sie im Konnektor gesteckt sind. Dabei soll der Konnektor quasi automatisch erkennen, zu welcher Generation die gesteckten HBAs und eGKs gehören und dazu passend die Schlüssel aus dem SMC einsetzen.

Insgesamt wurde auf dem Workshop der Blick auf das Präfix "Groß" etwas vermisst. Was ist das Spezifische an Großprojekten, wo können bei derartig umfangreichen Projekten "Stop/No-Go"-Meilensteine gesetzt werden, wie können Entwicklungsziele revidiert werden, wenn sie sich als unhaltbar entpuppen? Solche Fragen, die auch politische und ökonomische Aspekte umfassen, wurden nicht behandelt. Großprojekte sind so groß, dass sie, einmal gestartet, offenbar Selbstläufer sind, die niemand einer kritischen Revision unterziehen kann.

Siehe dazu auch:

• Elektronische Gesundheitskarte: Datenverlust oder Designproblem?
• Sichere Identifikation mit sicheren Smartcards
• Wohin mit der Signatur: Smarte Bürger haben Zeit
• Wohin mit der Signatur: Smarte Bürger am Scheideweg

(Detlef Borchers) / (jk)