Vor einigen Tagen hatte ich Gelegenheit, an einem Termin bei der Fraunhofer-Gesellschaft teilzunehmen und mir ein etwas genaueres Bild vom neuen elektronischen Personalausweis zu machen, viele Fragen zu stellen und die Technik in Funktion zu sehen.
Die bei dem Termin gewonnen Eindrücke habe ich um weitere eigene Recherchen ergänzt und mich bemüht, die vorgetragenen Informationen zu verifizieren und und für mich zu bewerten.
Als kleines Resume vorab: Der ePA ist ein beeindruckendes Stück State-of-the-Art-Technologie. Technisch wurde sehr viel richtig gemacht, und hinsichtlich der Sicherheit gibt es wenig zu beanstanden. Auch was den Datenschutz angeht, so ist die eID-Funktion geradezu vorbildlich, um nicht zu sagen, beinahe übertrieben. Die Probleme, die mich zu einer ablehnenden Haltung bewegen, liegen an anderen Stellen:
- Die Speicherung von biometrischen Merkmalen für die hoheitliche Funktion lehne ich aus grundsätzlichen Erwägungen ab. Ich halte Biometrie für eine höchst problematische Technologie, weil sie Sicherheit vorgaukelt und erhebliche neue Sicherheitsrisiken schafft, worüber man aber noch sachlich diskutieren kann. Indiskutabel ist für mich, dass ich das biometrische "Verbrecherfoto" wie auch die Fingerabdrücke als eine unerträgliche Verletzung meiner Würde als Mensch empfinde. Die Abgabe von Fingerabdrücken ist beim ePA für Deutsche zwar freiwillig, bei Verwendung des Dokuments als "elektronischer Aufenthaltstitel" für Ausländer allerdings verpflichtend. Das erinnert an den alten Witz: "Die Würde des Menschen ist unantastbar. Ausnahmen regelt das Ausländergesetz."
- Um die eID-Funktion nutzen zu können, ist eine monströse Infrakstruktur erforderlich, die eine Nutzung durch kleine Unternehmen oder Privatpersonen praktisch ausschließt, da die Nutzung eines eID-Services für einen Webseitenbetreiber vermutlich 15000 Euro/Jahr kosten wird. Ich bin nicht in der Lage, mit eigenen technischen Mitteln die Daten meines eigenen Ausweises lesen zu können – das kann ich nur an speziellen Terminals auf dem Amt.
- An den Kosten für die Nutzung als Signaturkarte ändert sich nichts gegenüber dem Status Quo – ich muss auch als ePA-Inhaber zusätzlich fünfzig Euro pro Jahr an ein Trust-Center zahlen, wenn ich diese Funktion nutzen will.
- Die Gesamtarchitektur des Systems läuft derzeit an vielen Stellen der Philosophie des Internets völlig entgegen, was wohl dazu führen wird, dass die Vorteile, die der ePA bieten könnte, nicht zum Tragen kommen werden.
Generell lohnt sich aber eine differenzierte Betrachtung des ganzen Themas, denn genauso, wie das Recht auf Anonymität in vielen Zusammenhängen ein wichtiges Recht ist, so gibt es in anderen Kontexten auch ein berechtigtes Interesse, seine Identität nachweisen zu können und das auch im Zusammenhang mit elektronischen Systemen möglichst bequem und sicher zu tun. Hier könnte ein elektronischer Personalausweis durchaus Nutzen entfalten, und der ePA zeigt interessante Ansätze. Leider hat der Mut nicht gereicht, hier konsequent ein System zu schaffen, das allen Bürgern gleichberechtigt ein Werkzeug an die Hand gibt, gegenseitig ihre Identität elektronisch zu offenbaren und zu überprüfen.
Wer wissen möchte, was der ePA eigentlich ist und wie seine Funktionalitäten im Einzelnen zu bewerten sind, findet im Folgenden einige Details.
Vier-In-Einem
Der elektronische Personalausweis kann vier verschiedene Funktionen erfüllen:
1) maschinenlesbarer Sichtausweis mit Sicherheitsmerkmalen
2) elektronischer Ausweis mit hoheitlicher “Biometriefunktion”
3) elektronischer Online-Identitätsnachweis (eID-Funktion)
4) qualifizierte elektronische Signaturfunktion
Die drei “elektronischen” Funktionsbereiche sind dabei aus Anwendungssicht weitgehend voneinander getrennt, insbesondere, was die Zugriffsberechtigung, die Authentifizierung und die Schlüsselverwaltung betrifft. Vor allem gibt es viele kleine Überraschungen, was die Funktionsbereiche betrifft.
Die Funktionsbereiche
1) Maschinenlesbarer Sichtausweis mit Sicherheitsmerkmalen
Als Sichtausweis ist der neue Ausweis aufgrund seines kleineren Format und des kleineren Fotos nicht ganz so gut geeignet, ist aber bequemer zu transportieren, allerdings auch leichter zu verlieren. Die aufgedruckten Personendaten sind auch ohne den Chip auf optischem Weg maschinenlesbar und identisch mit den Daten auf dem Chip. Unter dem Strich bleibt für mich der Vorteil, dass das hässliche biometrische Foto kleiner ist. Zwei kleine Tips noch: Nicht am frühen Morgen auf dem Amt fotografieren zu lassen. Und wenn man beim Abgeben des Bildes ständig lächelt, kann auch niemand etwas gegen ein Lächeln auf dem Bild haben. Ich werde es jedenfalls beim nächsten Mal darauf ankommen lassen.
2) Elektronischer Ausweis mit hoheitlicher “Biometriefunktion”
Der Zugriff auf das gespeicherte Foto, den Fingerabdruck und die anderen in diesem Bereich gespeicherten Daten (Geburtsdaten, Adresse, Körpergrösse, Augenfarbe etc.) ist nur hoheitlichen Stellen möglich, die über entsprechende Zertifikate verfügen. Zu diesen hoheitlichen Stellen gehören aber keine kommunalen E-Government-Dienste im Internet, und auf diese “hoheitlichen” Daten wird auch nicht aus der Ferne zugegriffen.
Hier wurde glücklicherweise auch nicht der Fehler des elektronischen Passes wiederholt, der das Auslesen aus der Ferne ermöglicht, sondern das sogenannte PACE (Password Authenticated Connection Establishment) -Verfahren verwendet.
Um auf die hoheitlichen Funktionen zuzugreifen, bedarf es einer 6-Stelligen CAN (Card Access Number), die außen auf dem Ausweis aufgedruckt ist. Bei den derzeitigen Terminals muss das wohl manuell per Tastatureingabe erfolgen. Dieser zusätzliche Arbeitsschritt macht den routinemässigen Zugriff auf die gespeicherten Daten für die Kontrolleure erst mal eher unbequem. Theoretisch sind für die automatische CAN-Eingabe an der Grenzkontrolle aber auch OCR-Systeme denkbar.
Das biometrische Ausweisbild empfinde ich als furchtbare Zumutung. Insbesondere das Verbot, auf dem Bild zu lächeln, halte ich für einen kaum erträglichen Eingriff in meine Menschenwürde. Der biometriekompatible “Mug-Shot” im Pass sieht aus wie ein Verbrecherfoto, und viele Menschen fühlen sich jedes Mal unwohl, wenn sie ein Dokument mit so einem Bild vorzeigen müssen.
Bei der Speicherung von Fingerabdrücken bin ich derselben Meinung wie Konrad Adenauer, der das seinerzeit gesagt haben soll: "Wir brauchen keine Fingerabdrücke im Ausweis, die Deutschen sind kein Volk von Verbrechern."
Im Gegensatz zum elektronischen Reisepass ist das Speichern der Fingerabdrücke im Personalausweis für Deutsche optional, für Personen mit Aufenthaltstitel (“Ausländer”) allerdings verpflichtend. Zumindest als Deutscher ist man hier also nicht gezwungen, seinen Fingerabdruck abzugeben. Der praktische Nutzen des Fingerabdrucks ist bei derzeitigem Stand auch weitgehend unklar. Gedacht ist die Verwendung für automatisierte “Fast-Lane”-Abfertigung in automatisierten Personenkontrollen sowie Anwendungsfällen, bei denen es Zweifel an der Identität des Ausweisinhabers gibt, also das Bild nicht gut mit der aktuellen Erscheinung der Person korrespondiert. Beide Anwendungsfälle erscheinen mir nicht überzeugend und vor dem Hintergrund des Abbaus von Grenzkontrollen in Europa geradezu fadenscheinig. Ich habe auch noch nie davon gehört, dass ein geschulter Beamter ein Problem damit hatte, eine Person mit einem Foto abzugleichen.
3) Elektronischer Online-Identitätsnachweis (eID-Funktion)
Für die Nutzung als Online-Identitätsnachweis muss der Zugriff durch die Eingabe einer sechsstelligen privaten PIN (Personal Identification Number) freigegeben werden. Die PIN kann vom Benutzer geändert werden, nach dreimaliger Falscheingabe wird die Karte gesperrt und kann vom Inhaber durch Eingabe eines zehnstelligen PUK (Pin Unblocking Key) entsperrt werden. Der PUK wird nach zehn Fehleingaben gesperrt.
Die zur Verfügung stehenden Daten beschränken sich auf Name(n), Adresse und Geburtsdaten. Bei der eID-Funktion werden grundsätzlich keine Daten wie Foto, Fingerabdrücke, Körpergrösse oder Augenfarbe übermittelt.
Die eID-Funktion verspricht so etwas wie die sichere Identität im Internet, doch dazu später mehr.
4) Qualifizierte elektronische Signaturfunktion
Seit der Verabschiedung des Signaturgesetzes im Jahre 2001 erfreut sich die elektronische Signatur keiner besonderen Beliebheit. Die Zahl der Inhaber von Zertifikaten einer qualifizierten elektronischen Signatur dürfte sich in Deutschland nur auf rund 50.000 belaufen. Wer glaubt, das würde sich mit dem elektronischen Personalausweis ändern, dürfte eine Enttäuschung erleben. Der Grund für die Zurückhaltung liegt nämlich vor allem in den hohen laufenden Kosten für die Zertfikate, die sich auf 50 Euro pro Jahr belaufen. Daran ändert sich auch mit dem neuen elektronischen Personalausweis nichts, denn das Zertifikat wird nicht vom Amt mitgeliefert, es muss wie bisher bei einem privaten Anbieter “gemietet” werden. Man spart im besten Fall ein paar Euro für eine Signaturkarte, wobei Klasse 3 Leser für eine herkömmliche Signaturkarte ab 50 Euro zu haben sind, während entsprechende Leser mit RFID-Funktion für den ePA deutlich kostspieliger sind.
State-of-the-Art Kryptotechnologie
Man kann eine Menge am elektronischen Personalausweis kritisieren, aber nicht, dass man sich bei der Technologie keine Mühe gegeben hätte. Die kryptografischen Verfahren sind alle wohldokumentiert und öffentlich, die Verschlüsselungsverfahren, Schlüssellängen und Protokolle sind standardisiert und gut untersucht.
Generell wird beim ePA der ECDSA (Elliptic Curve Digital Signature Algorithm) als Signatur und SHA-2 als Hash mit 256 Bit Schlüssellänge eingesetzt, wobei bis 2010 in bestimmten Fällen noch 224-Bit Schlüssel zum Einsatz kommen. Für besonders kritische Zertifikate wie die “Country-Signing-CA” wird ab 2011 die Schlüssellänge für Signaturen und Hashes auf 384 Bit erhöht.
Für das PACE (Password Authenticated Connection Establishment) wird der ECKA (Elliptic Curve Key Agreement Algorithm) mit 256 Bit und für die Verschlüsselung des Datenstroms 128 Bit AES im CBC-Mode verwendet.
Diese Schlüssellängen gelten aber zunächst nur bis zum Jahr 2016 (Ausgabedatum) und sollen daher bis 2026 sicher sein.
Die US-Regierung erlaubt den Einsatz von AES-128 für Dokumentenverschlüsselung bis zur Geheimhaltungsstufe SECRET, und für die Anforderungen bei Transportverschlüsselung von Datenströmen sind eher geringer üblich, insofern erscheint mir AES-128 für den Anwendungsfall als adäquat und ist sicherer als Triple-DES, wobei bis 2026 viel passieren kann, und die Verwendung des Standards nichts über die Sicherheit der Implementierung aussagt.
Interessanter ist die Sicherheit der für die Signaturen und Hashes eingesetzten Verfahren. Dabei entspricht 224-Bit-EC- etwa 2048-Bit-RSA/DSA-, 256-Bit-EC- etwa 3072-Bit-RSA/DSA- und 384-Bit-EC- einer 7680-Bit-RSA/DSA-Sicherheit. Der bisher grösste (bekannte) EC-Schlüssel, der in mehreren Monaten mit Hilfe eines Playstation-Cluster entschlüsselt wurde, war 112 Bit lang. EC-Schlüssellängen ab 160 Bit gelten als praktisch nicht zu knacken. Natürlich kann auch hier niemand vorhersagen, ob elliptische-Kurven-Kryptografie nicht plötzlich doch überraschend geknackt wird, die Wahrscheinlichkeit dafür ist aber eher gering. Außerdem ist auch in diesem Fall ein Angriff auf die Implementierung wahrscheinlicher als ein Angriff auf das Verfahren.
Auch SHA-2 mit 256 Bit erscheint derzeit sicher.
Was also die eingesetzten kryptographischen Verfahren angeht, gibt es nichts auszusetzten, und die Schlüssellängen sind pragmatisch gewählt – nicht paranoid, aber nach bestem Wissen derzeit und wohl für die nächsten Jahre sicher.
Auch die Protokolle und die Architektur machen auf den ersten Blick einen recht soliden Eindruck. So ist sind etwa die Authentifizierung des Chips und der darauf befindlichen Daten voneinander unabhängig, und auch die Gegenstellen (Terminals) müssen sich beim Ausweis authentifizieren. Hier hat man aus den Fehlern der Vergangenheit gelernt, durch die ganze Generationen von heute noch im Einsatz befindlichen Chipkartensystemen kompromittiert wurden. Der Preis dafür ist jedoch erheblich, wie wir sehen werden.
Schlüsselverwaltungshölle
Der elektronische Personalausweis erfordert eine höllische Public Key Infrastruktur (PKI), die so ziemlich alles in den Schatten stellt, was es an real existierenden PKI-Infrastrukturen gibt. Als oberste Stufe gibt es den im BSI angesiedelten Root-Bereich, der als “nationaler Vertrauensanker” dient und auch als CVCA (Country Verifying Certification Authority) bezeichnet wird. Dort werden alle ausgestellten Zertifikate archiviert und bestimmte Terminalzertifikate sowie Zertifikate für die “Document Verifier” (DVs) ausgestellt, die wiederum untergeordnete Zertifizierungsdienste bieten. Dabei wird jeweils wiederum zwischen hoheitlichem und nicht hoheitlichem Bereich unterschieden. Im nicht hoheitlichen Bereich gibt es Remote-Online-Terminals (Webseiten), lokale Online-Terminals und Offline-Terminals, im hoheitlichen Bereich gibt es neben Spezialgeräten auch noch sogenannte EAC-Boxen, mit denen Änderungen auf dem Ausweis vorgenommen werden können, die jeweils spezielle Sicherheitskarten benötigen. Viele der Zertifikate sind dabei nur ein bis zwei Tage gültig und müssen daher ständig erneuert werden. Des weiteren gibt es unterschiedliche Zertifikate für Geräte und Personen, alle Zertifikate müssen beantragt, geprüft, vergeben, gegensigniert, und dokumentiert werden, und auf allen Ebenen müssen Bestandsverzeichnisse geführt werden. Private Schlüssel der CAs müssen in zertifizierten kryptografischen Modulen aufgehoben werden, die immer nur zwei Personen gleichzeitig in die Hand bekommen dürfen. Diese Schlüssel dürfen nicht hinterlegt, gebackupt oder archiviert werden, und die kryptografischen Module müssen nach Ablauf der Gültigkeitszeit der Zertifikate zerstört werden.
Außerdem muss das alles regelmäßig auditiert werden. Wer auch immer das alles betreiben muss, ist nur bedingt zu beneiden.
Am Ende dient diese gesamte PKI-Infrastruktur dazu, kryptografische Vertrauensketten zu errichten und zu erhalten, die eine sichere Ende-zu-Ende-Kommunikation zwischen dem Prozessor auf dem Ausweis und einem anderen berechtigten System (Terminal) vornehmen, wobei sich Ausweis und Terminal gegenseitig als “berechtigt” authentifizieren müssen. Dabei müssen eine Vielzahl unterschiedlicher Berechtigungen unterschieden werden.
Eine Konsequenz aus der ganzen technischen und organisatorischen Komplexität ist, dass die Nutzung der eID-Funktion durch Unternehmen oder E-Government-Diensteanbieter praktisch nur über einen spezialisierten eID-Serviceanbieter möglich ist. Hierzu aber später mehr.
Datenschutz bei der hoheitlichen Biometriefunktion
Bei der hoheitlichen Funktion ist es aus Gründen des Datenschutzes und der Würde unerträglich, dass überhaupt biometrische Bilder und Fingerabdrücke erhoben werden. Die derzeitigen Regelungen schließen zwar zentrale Bild- und Fingerabdruckdatenbanken in Deutschland aus, es gibt aber Begehrlichkeiten, und niemand weiß, ob nicht in anderen Ländern ohne Datenschutztradition diese Daten dauerhaft und in Mengen gespeichert werden. Für das Auslesen der Bilder und Fingerabdrücke braucht es im Übrigen eine gesonderte Berechtigung, wobei aber davon auszugehen ist, dass diese im Laufe der Zeit einer Vielzahl von Ländern erteilt werden wird.
Ebenso gibt es keine Sicherheit, dass nicht etwa Geheimdienste, auch deutsche, mit Hilfe ihrer inoffiziellen Mitarbeiter bei Meldeämtern und der Bundesdruckerei illegale Datensammlungen anlegen. Insbesondere der BND ist hier für seine kurzen Dienstwege zu Meldebehörden und Führerscheinstellen bekannt. Man muss allerdings auch konstatieren, dass die Daten in einem Ausweis aus geheimdienstlicher Sicht nicht allzu brisant sind.
Problematisch wird es erst dann, wenn diese in Verbindung mit anderen Daten sowie den biometrischen Bilder und Fingerabdrücken in großen Datenbanken gehortet und beispielsweise automatisiert mit Bildern von Überwachungskameras abgeglichen werden.
Davon sind wir in Deutschland derzeit zwar weit entfernt, ein berechtigtes Unbehagen entsteht dennoch. Eine derartige Infrastruktur aufzubauen, ist ein erheblicher materieller Kraftakt. Sie zu missbrauchen, wenn sie einmal errichtet ist, bedarf nur einer Gesetzesänderung. Realistisch betrachtet wären in Deutschland dafür aber erhebliche politische Widerstände und rechtliche Hürden zu überwinden, an denen Überwachungsphantasien derzeit glücklicherweise zunehmend scheitern.
Wie man aber am Beispiel der USA sehen kann, können solche Hürden im Falle eines spektakulären Terroranschlags sehr schnell fallen, und auch ein scheibchenweiser Abbau der rechtlichen Hürden droht, da die automatisierungsbedingten Produktivitätssteigerungen in der Wirtschaft auch den Bereich der inneren Sicherheit einem ständigen Rationalisierungsdruck aussetzen.
Ein Gewinn an Sicherheit dagegen bringt die Biometrie nicht. Fingerabdrücke sind leicht zu fälschen, Fingerabruckscanner leicht zu überlisten. Die automatische Gesichtserkennung funktioniert allgemein eher schlecht, und für die unmittelbare Gefahrenabwehr taugen die Verfahren nicht. Personen, die unerkannt bleiben wollen, können sich mit einfachen Mitteln gegen Gesichtserkennung schützen, und es gibt oft einfache Verfahren, um automatische Biometriesysteme zu überlisten. In Japan etwa gibt es eine biometrische Altersverifikation an Zigarettenautomaten, die man dadurch überlisten konnte, dass man den Geldschein vor die Kamera gehalten hat. Auf den Yen-Scheinen sind nämlich meist die Gesichter alter Männer abgebildet.
Bislang ist mir kein biometrisches System bekannt, dass etwa bei Zutrittskontrollen hinsichtlich Effizienz (Durchsatz) und Fehlerrate (False Positives und Negatives) an eine geschulte Kontrollperson herankäme, und es ist ungewiss, wann und ob es so ein System einmal geben wird.
Was an "Vorteilen" bleibt ist, dass durch eine Verbindung von biometrischen Datenbanken, Kameraüberwachung und Bildern im Internet in großem Umfang Personen identifiziert und Profile errechnet werden können, wobei all das ja in Deutschland von der Politik weder erwünscht noch gesetzlich zulässig ist. Dass aber gerade hierfür die technischen Voraussetzungen geschaffen werden, lässt Zweifel an der Wahrhaftigkeit oder der Intelligenz der verantwortlichen Personen aufkommen.
Datenschutz bei der eID-Funktion
Die eID-Funktion für die Online-Identifikation hingegen ist aus Datenschutzsicht vorbildlich und am Rande dessen, was technisch überhaupt noch praktikabel ist. Vermutlich wurde hier sogar dem Datenschutz derart viel Rechnung getragen, dass die breite Verwendung genau daran scheitern wird, und zwar sowohl an der Nutzerfreundlichkeit, wie auch an den Kosten.
Die Schwierigkeiten beginnen für ein interessiertes Unternehmen bereits damit, dass das Unternehmen bei einer Behörde beantragen muss, überhaupt eID-Daten erhalten und verarbeiten zu dürfen. Dabei muss für jedes einzelne Datenfeld ein Bedarf nachgewiesen werden. So dürften etwa die wenigsten Unternehmen die Berechtigung erhalten, das Geburtsdatum zu erfahren. Für die Altersverifikation ist das nämlich nicht erforderlich – hierfür gibt es eine besondere Funktion, bei der ein Unternehmen ein Mindest- oder Höchstalter abfragen kann und als Antwort nur ein “Ja” oder “Nein” vom Ausweis erhält. Nach derzeitiger Genehmigungspraxis reicht es als Begründung für das Abfragen des Geburtsdatums auch nicht aus, wenn man als Unternehmen Geburtstagsgrüsse übermitteln möchte.
Theoretisch könnte manchen Unternehmen sogar der Name oder die Adresse verweigert werden, denn es gibt auch noch eine Pseudonym-Funktion, bei der ein Unternehmen nur eine personenspezifische Zahl übermittelt bekommt, wobei an jedes Unternehmen auch noch eine andere Zahl übermittelt wird, so dass ich bei jedem Anbieter ein anderes Pseudonym habe. Diese an sich schicke Funktion scheitert jedoch leider daran, dass bei Ausweisverlust auch das Pseudonym weg ist, da es von einem derzeit nicht auslesbaren und nicht schreibbaren Geheimnis auf dem Chip abhängt. Prinzipiell scheint zwar daran gedacht worden zu sein, dass auch eine inhaberspezifische “Restricted Identification” möglich sein soll, als Minimum vorgeschrieben und derzeit implementiert ist nach meinen Erkenntnissen nur die chipspezifische und nicht die inhaberspezifische “Restricted Identification”. Das ist schade, denn die “Restricted Identification” ist ein nettes Feature, um im Internet mit einem sehr sicherem Pseudonym agieren zu können.
Des weiteren gibt es noch eine datensparsame Funktion zur Wohnortverifikation. Ein Diensteanbieter kann beispielsweise fragen, ob jemand in einer bestimmten Gemeinde wohnt. Ein solcher Dienst könnte im Zusammenhang mit bestimmten E-Government-Dienstleistungen Nutzen entfalten, bei denen man sich dann als Berechtigter ausweisen kann, ohne seine Identität preisgeben zu müssen.
Im Übrigen wird bei jedem Abfragevorgang von eID-Daten im Detail angezeigt, welche Daten abgefragt werden, und man kann durch Häkchen beliebige Daten abwählen. Das ist aber eher als bewusstseinsbildende Maßnahme zu sehen, denn in Verbindung mit der sehr restriktiven Vergabe von Ausleseberechtigungen gibt es derzeit praktisch keine optionalen Daten – jeder Anbieter darf ohnehin nur das Auslesen, was er unbedingt braucht, und wählt man davon etwas ab, kommt die Transaktion nicht zu Stande.
Angesichts dieses “Features” wäre es eher sinnvoll, dem Benutzer zu erlauben, aktiv und freiwillig weitere Daten übermitteln zu dürfen, wenn er es wünscht, deren Abfrage aber nicht voreingestellt werden darf.
All diese Funktionalitäten hätten tatsächlich das Potential, den Datenschutz im Umgang mit dem Internet zu verbessern, wenn da nicht einige andere gravierende Probleme wären.
Warum eID wohl floppen wird
Leider wird es mit der schönen, neuen, datensparsamen eID-Welt erst einmal nichts werden. Wenn ich als Betreiber einer Website die Genehmigungshürde genommen und die Verwaltungsgebühr von rund hundertfünfzig Euro bezahlt habe, dann heisst das noch lange nicht, dass ich einfach auf meiner Website die Ausweisdaten abfragen kann.
Dazu braucht es nämlich einen speziellen Dienst, der sich unter anderem um die Zertifikatsverwaltung, Protokollumsetzung, Sperrlisten und viele andere Details kümmert.
Um diesen Dienst zu betreiben, muss man so viele zusätzliche Anforderungen erfüllen, dass diese Aufgabe nur von wenigen zertifizierten Dienstleistern übernommen werden kann, ähnlich den Trustcentern für die qualifizierte digitale Signatur, nur noch komplizierter und aufwändiger. Theoretisch kann zwar jeder selbst auch einen eID-Service betreiben, praktisch braucht es neben der Software ein Hochsicherheits-Rechenzentrum und eine Verwaltungsorganisation, die für die Einhaltung der extrem hohen datenschutzrechlichen Standards sorgt und quasi die Schnittstelle zwischen dem Webdienst, dem “nationalen Sicherheitsanker” und dem Ausweisprozessor bildet.
Dieser sogenannte eID-Service ist gewissermassen ein Gateway zum Ausweis, der nur über sehr spezielle Sicherheitsprotokolle angesprochen werden kann, die nicht gerade zur Standardausstattung typischer Webserver gehören. Mein Server fragt also beim eID-Service an, und der eID-Service redet mit dem Ausweis, und ich Webseitenbetreiber bekomme vom eID-Service die Daten.
Das ist nicht schön, denn im Internet bin ich es als Seitenbetreiber gewohnt, direkt mit meinen Kunden zu kommunizieren und nichts anderes als eine paketneutrale Leitung dazwischen zu haben. Ein solcher Mittelsmann ist also auf Anhieb erst mal unsympathisch, zumal er die übermittelten Daten für mich entschlüsselt, sie damit im Klartext erhält und zur Weitergabe an mich neu verschlüsselt.
So richtig unsympatisch dürfte der Mittelsmann aber werden, wenn er seine Rechnung stellt. Genaue Kosten gibt es zwar nicht, aber meinen Auskünften wird der Dienst wohl nicht unter 1000 Euro/Monat zu haben sein – derzeit hört man Summen von 15000 Euro/Jahr.
Damit hat sich Ganze aber für die meisten Unternehmen im Netz erst mal erledigt.
Etwas besser könnte es aber für E-Government-Dienstleistungen aussehen, da die kommunalen Rechenzentren wohl eigene eID-Services anbieten werden und sich das auch eher leisten können.
Sicherheitslücken
In der letzten Woche wurden Sicherheitsbedenken laut, da bei den billigen Lesegeräten die PIN über den Rechner eingegeben wird und von Trojanern abgefangen werden kann.
Generell hätte man das ganze Problem auch dadurch vermeiden können, dass man darauf verzichtet hätte, die Billigleser zuzulassen und zu subventionieren. Hätte man allein Klasse-2- oder -3-Leser mit Tastatur zugelassen, dann hätte man nebenbei der Sicherheit beim Banking in Deutschland und der Verbreitung von Signaturtechnologie eher einen Gefallen getan, denn die Billigleser eignen sich nicht für die Signaturfunktion des ePA.
Diese Sicherheitslücke halte ich in der Praxis für den Nutzer als eher wenig gefährlich, und zwar aus folgenden Gründen:
Wenn ich einen Trojaner auf meinem Rechner habe, dann habe ich ein viel größeres Problem als meine eID-PIN. Die Daten, die auf dem Ausweis sind, sind ein Witz gegen das, was sich sonst noch an persönlichen Daten auf meinem Rechner befindet und entführt, zerstört oder kompromittiert werden kann.
Außerdem können die Daten ja nur an einen zertifizierten eID-Leseberechtigten übermittelt werden, der mit Sicherheit extremen Stress mit dem BSI und seinem eID-Provider bekommt, wenn er mit dahintersteckt. Die Prüfung bei der Erteilung von Leseberechtigungen ist aber wiederum keine verlässliche Zuverlässigkeitsprüfung des Unternehmens, insofern wird man abwarten müssen, wie sich das in der Praxis entwickelt und ob an dieser Stelle Missbrauch entsteht. Generell kann aber das BSI bei Missbrauch relativ schnell (innerhalb von 2 Tagen) mit einer Sperrung agieren.
Im Übrigen ist das Übertragen von eID-Daten keine elektronische Signatur, ich gehe damit also ein rechtlich deutlich weniger bindendes Vertragsverhältnis ein als bei der elektronischen Signatur, und selbst da gibt es noch erhebliche Rechtsunsicherheiten. Heute kann vermutlich niemand genau sagen, welche vertragsrechtlichen Auswirkungen das Übermitteln von eID-Daten hat. Das Problem mit den weniger sicheren Billiglesern dürfte aber dazu führen, dass die Gerichte hier eine deutliche geringere Bindungswirkung von eID-Transaktionen annehmen werden.
Damit in der Praxis ein Problem entsteht, muss ich meinen Ausweis auch noch auf dem Leser liegen lassen, und der Trojaner muss auch noch ein komplettes Set an Treibern mitbringen, um den Leser zur Übermittlung der Daten zu bewegen.
Selbst dann bekommt der Trojaner von den Daten aber nichts mit, denn sie werden auf der Karte verschlüsselt und können nur vom einem eID-Zertifikatsinhaber entschlüsselt werden.
Rein technisch gesehen kann der eID-Service-Betreiber hier allerdings mithören, da er ja meine Schlüssel verwaltet, insofern muss ich hier darauf vertrauen, dass mein eID-Service-Betreiber sich an die Gesetze hält. Davon kann man allerdings wohl ausgehen, da der Wert der übermittelten Ausweisdaten vergleichsweise gering ist im Vergleich zum Vertrauensschaden und dem Vermögensschaden, den ein eID-Betreiber erleiden würde. Ausserdem ist einer der ersten eID-Service-Betreiber die Firma D-Trust, die zur Bundesdruckerei-Gruppe gehört und sich wohl kaum für die übermittelten eID-Daten interessieren dürfte.
Nicht ganz so zuversichtlich kann man sein, dass es hier nicht aufgrund technischer Probleme vielleicht zu Datenverwechslungen oder Datenkompromittierungen kommt, aber die Wahrscheinlichkeit ist sicher nicht höher, als die Gefahr eines Angriffs auf die eigene Infrastruktur, insofern sollte man das realistisch betrachtet nicht überbewerten. Im Falle von Problem ist auch sicher besser, wenn der Ärger des BSI und der Kunden den eID-Service-Betreiber trifft, und nicht mich als Webseitenbetreiber.
Andererseits bleibt auch hier das ungute Gefühl, dass da ein fremder Dienstleister Daten entschlüsselt, die eigentlich für mich allein gedacht sind. Nicht schön.
Das alles zeigt aber auch, dass das Internet, Sicherheit und deutscher Datenschutz Dinge sind, die grundsätzlich nicht gut zusammenpassen.
Fazit
Der ePA selbst ist technologisch anspruchsvoll und vergleichsweise sehr sicher, wenn man ihn mit anderen existierenden Chipkartentechnologien vergleicht. Mit Ausnahme der hoheitlichen Funktionen ist er aus Datenschutzsicht harmlos bis begrüßenswert, doch seine ganze Philosophie passt nicht zum Internet. Hier treffen teure, schwergewichtige Hochsicherheitsanforderungen auf ein sich rasant entwicklendes Internet mit einer Kostenloskultur und einer pragmatischen Good-Enough-Mentalität, wenn es um Sicherheit geht.
Vor allem aber ist der ePA von der jetzigen Philosophie her eine unsymmetrische und nicht netzneutrale Technologie. Er teilt die Nutzer in zwei Klassen ein: Diejenigen, die Daten preisgeben, und diejenigen, die Daten entgegennehmen dürfen. Die Notwendigkeit eines Mittelsmanns in Form des eID-Service-Providers verträgt sich nicht gut mit der Philosophie des Internets, bei der grundsätzlich zwei Stellen direkt Daten miteinander austauschen. Sie schafft unnötige Kosten und Abhängigkeiten.
Der ePA verträgt sich auch eher wenig mit der weltumspannenden Natur des Internets.
Es wird aber kaum zu einem “Clash of Cultures” kommen. Der ePA wird in erster Linie ein zu kleiner Sichtausweis sein, das Thema Biometrie wird bald eher zum Gähnen Anlass geben, die eID-Features werden ein Nischendasein führen, und auch die qualifizierte digitale Signatur wird durch den ePA auch nicht aus der Nische herauskommen.
Es ist aber nicht ausgeschlossen, dass in zehn bis zwanzig Jahren das alles doch noch irgendeinen Nutzen entfalten wird, aber vermutlich in ganz anderen Bereichen, als man heute annimmt. Mit einigen Änderungen ließe sich das Thema eID wohl zum Erfolg führen, doch dafür bräuchte es den politischen Mut, das alles mehr in Einklang mit den Prinzipien zu bringen, die das Internet erfolgreich gemacht haben. Derzeit ist das nicht abzusehen.
Mittelfristig werden vom ePA am ehesten E-Government-Anwendungen profitieren, wobei auch hier in Deutschland ein Bewusstseinswandel hin zur offenen Kostenloskultur von Nöten ist und auch beim Datenschutz die Verhältnisse zurechtgerückt werden müssen.
Statt des ePA hätte ich lieber erst einmal kostenlosen und anonymen Einblick ins Grundbuch und ins Handelsregister, so wie das in vernünftigen Ländern normal ist.
Insgesamt löst der elektronische Personalausweis derzeit lauter Probleme, die kaum jemand hat. Er fällt damit in dieselbe Kategorie wie viele IT-Großprojekte des Bundes: Teure Lösungen auf der Suche nach einem Problem. Die echten Probleme bleiben dabei weiterhin neben der Strecke liegen.
4 Antworten zu “Zum elektronischen Personalausweis”
Danke für das sehr beruhigende Fazit:
ePA wird nur ein zu kleiner Sichtausweis sein
| Biometrie wird zum Gähnen Anlass geben
| eID-Features werden ein Nischendasein führen
| die qualifizierte digitale Signatur wird nicht aus der Nische herauskommen.
| Da mach ich mir jetzt erstmal keine Sorgen mehr wegen dem Ding 🙂
Ich bin mal gespannt wie sicher dieser biometrische Ausweis wirkich ist. Wenn schon Schüler Lücken in der Sicherheit finden ist es für Verbrecher genau so einfach. Man darf gespannt sein!
Super Artikel!
Ich wünschte es gäbe flattr buttons.
Danke für diese sehr sachliche Zusammenfassung. Aus meiner Sicht ist der Knackpunkt die rechtliche Beurteilung der eID-Funktion. Hier sehe ich nicht, daß es überhaupt Gewinner geben könnte. Entweder
1. wird die übertragene eID als praktisch unwiderlegbar angesehen „Ja, das waren *Sie* der die 10 Tonnen Kies bestellt hat!“. Das wäre der Akzeptanz auf Seiten der Anwender eher abträglich. Ohne (teuren) Class3-Leser würde man sowas nicht nutzen wollen. Oder
2. gilt die eID als rechtlich angreifbar. Dann wird die Akzeptanz auf Seiten der Anbieter leiden. Denn wozu sollten die die teure Infrastruktur bezahlen, wenn die übertragenen Daten nicht rechtssicher sind?