Der neue elektronische Personalausweis soll rechtsverbindliche Unterschriften im Internet ermöglichen. Aber ist das Verfahren sicher? Zum 1. November wird der neue elektronische Personalausweis eingeführt – biometriegestützt, mit elektronischem Identitätsnachweis und einer elektronischen Signatur für die Nutzung von Online-Diensten bei Behörden und Internetanbietern. Nicht nur Behörden, auch Unternehmen müssen sich darauf einrichten, denn von diesem Zeitpunkt an haben Bürger eine digitale Identität, die unter Umständen ein anderes Operieren im Netz erlaubt.
Was man beim Antrag und bei der Abholung beachten sollte
Bei der Beantragung des neuen Personalausweises kann der Bürger entscheiden, ob der Ausweis biometrische Daten enthalten soll. Dann werden neben dem digitalisierten Foto auch die Fingerabdrücke des Antragstellers gespeichert. Der neue Personalausweis im Scheckkartenformat und mit Chip im Inneren soll auch als Identitätsnachweis in der Online-Welt gelten. Wer von vornherein weiß, dass er diese Funktion nicht benötigt oder nicht nutzen will, kann sie von seinem Bürgeramt bei der Abholung ausschalten lassen. Diese Entscheidung kann jederzeit rückgängig gemacht werden.
Wer sich für die Online-Ausweisfunktion entscheidet, kann zusammen mit dem neuen Personalausweis ein Signaturzertifikat erwerben und auf den Ausweis laden. So können bei Bedarf Dokumente elektronisch unterzeichnet werden.
Die neue Online-Ausweisfunktion
Der neue elektronische Personalausweis, der ab November 2010 gilt, läutet ein neues Zeitalter ein. Er soll auch als Identitätsnachweis in der Online-Welt gelten. Das neue Design soll fälschungssicherer sein und enthält auf der Rückseite ein Logo, das Automaten, Lesegeräte und Internetanwendungen kennzeichnet, die die neuen Funktionen des Personalausweises unterstützen. Die neuen Eigenschaften werden durch den elektronischen Chip im Inneren realisiert, der moderne Funktechnologie nutzt.
Viele Aktivitäten wie Einkaufen oder die Eröffnung eines Bankkontos verlagern sich ins Internet. Bequem und zeitsparend. Mit der neuen Online-Ausweisfunktion (eID-Funktion) kann sich jeder autorisieren, wo entsprechende Dienste im Internet angeboten werden. Dies funktioniert mit der Kombination aus Personalausweis und persönlicher sechsstelliger PIN.
Die Online-Ausweisfunktion soll persönliche Daten besser schützen, denn auch die Anbieter von Online-Diensten müssen sich ausweisen. Sie belegen ihre Identität durch ein staatliches Berechtigungszertifikat. Dadurch soll das sogenannte Phishing – das Abfangen von Nutzerdaten mittels gefälschter Online-Seiten – nicht mehr möglich sein.
Wo kann man die eID-Funktion nutzen?
Die neue Online-Ausweisfunktion kann nur angewendet werden, wenn der Anbieter es in seinen Diensten anbietet. Das können privatwirtschaftliche Unternehmen wie Online-Shops, Banken, E-Mail-Anbieter oder soziale Netzwerke sein. Ebenso haben Behörden die Möglichkeit die Ausweisfunktion für ihre Dienste zu nutzen. Zum Beispiel für die Kfz-Ummeldung oder die Beantragung einer Geburtsurkunde. Das elektronische Ausweisen soll aber auch außerhalb des Internets einsetzbar werden. Fahrkarten-Automaten, Auto- und Fahrradvermietungen und Hotels können von der neuen Ausweisfunktion profitieren. Mit der neuen elektronischen Signatur ist es sogar möglich, online Verträge, Urkunden und Anträge rechtsverbindlich zu unterzeichnen.
Die neue Unterschriftsfunktion
Der neue Personalausweis ist für die Nutzung der elektronischen Unterschrift vorbereitet. Die Variante der qualifizierten elektronischen Signatur (QES) gilt als besonders sicher. Sie ist der persönlichen Unterschrift rechtlich gleichgestellt. Damit können Dokumente, die in digitaler Form vorliegen, unterzeichnet werden. Man denke hier an Textdokumente, E-Mails oder PDF-Dokumente.
Die Unterschriftsfunktion kann nur genutzt werden, wenn zuvor ein Signaturzertifikat erworben wurde, das auf den Personalausweis geladen wird. Die Signaturzertifikate werden nur von speziellen Dienstleistern ausgestellt. Diese Signaturanbieter müssen nach dem Signaturgesetz (SigG) zugelassen sein. Eine Liste der Anbieter ist im Internet auf den Seiten der Bundesnetzagentur zu finden.
Zum Laden des Signaturzertifikats hat jeder Anbieter ein eigenes Verfahren vorgesehen. Generelle Voraussetzung ist auf jeden Fall die aktivierte Online-Ausweisfunktion und eine eID-PIN, die nach der Abholung des Personalausweises vom Inhaber in eine persönliche PIN geändert werden sollte. Darüber hinaus wird eine Signatur-PIN benötigt, die beim Laden des Zertifikats gesetzt werden muss und ein Lesegerät mit PIN-Pad und Display, das für Karten mit kontaktloser Schnittstelle geeignet ist.
Sicherheitsprobleme beim neuen Personalausweis
So sicher, wie von Innenminister Thomas de Maizière behauptet, ist der neue Personalausweis leider nicht. Laut einem Bericht des WDR-Magazins „Bericht aus Brüssel“ konnten Computerexperten den Chip eines Prototyp-Ausweises knacken und die geheime PIN-Nummer ändern. Damit hätten sie alle geplanten Servicefunktionen sperren können. Weiterhin konnten die Computerexperten aufzeigen, dass die vorgesehene elektronische Signatur manipulierbar ist. So wäre es möglich, Verträge in fremdem Namen zu unterschreiben.
Hackern des Chaos-Computer-Clubs (CCC) ist es sogar gelungen, den Chip eines Testausweises zu überschreiben. Sie stahlen zuerst die auf dem Chip gespeicherte PIN und veränderten diese anschließend. So hätten sie den neuen Personalausweis selbst nutzen können, um im Internet Kaufverträge abzuschließen, derweil der rechtmäßige Inhaber keinen Zugriff mehr auf die Online-Funktionen hatte. Leider ist der unbefugte Zugriff nicht nur Computerexperten vorbehalten. Das WDR-Magazin „Markt“ berichtete bereits, dass es auch Schülern einer neunten Klasse gelungen war, den Chip auf dem neuen Personalausweis zu deaktivieren.
Nach Ansicht des Chaos-Computer-Clubs sind die benötigten Lesegeräte das Problem. Die Daten aus dem Chip des Personalausweises werden zwar verschlüsselt übertragen, aber um die Übertragung zu starten, muss der Benutzer auf seiner Computertastatur seine sechsstelligen PIN eingeben. Die PIN könnte mithilfe eines Keylogger-Programms mitgelesen werden. Solche Spionage-Programme sind weit verbreitet und werden häufig durch verseuchte E-Mails eingeschleust. Dieses Keylogger-Problem ist bei den Behörden schon seit August 2010 bekannt, wurde aber als nicht so gravierend eingestuft. Grund ist, dass für diesen Betrug Karte und PIN vorliegen müssen. Bis jetzt ist es allerdings noch nicht ohne weiteres möglich, unbemerkt Duplikate des Personalausweises herzustellen, so wie es im großen Stil mit EC- und Kreditkarten geschieht.
Mitglieder des Chaos-Computer-Clubs haben nun aber auch demonstriert, dass die PIN auf dem Personalausweis sich auch auf Distanz ändern lässt und solange er auf dem Lesegerät lag, nach Gutdünken genutzt werden konnte.
Der digitalen Identität muss blind vertraut werden
Gingen die alten Personalausweise verloren, konnte der mögliche Finder eventuell die Unterschrift fälschen, falls er dem Passfoto ähnelte. Der digitalen Identität nebst elektronischer Signatur muss quasi blind vertraut werden. Bei einer gefälschten Unterschrift kann ein wachsamer Verkäufer noch misstrauisch werden, bei der elektronischen Signatur gibt es dafür keine Hinweise. Gesetzt den Fall, dass am anderen Ende überhaupt noch ein Mensch sitzt und nicht nur ein PC.