Biometrische Daten inklusive
Im hoheitlichen Bereich enthält das Dokument Angaben zu Namen, Geburtstag etc. - Daten, die auch schon der bisherige maschinenlesbare Personalausweis enthielt. Neu ist dagegen, dass auch biometrische Daten in elektronischer Form vorliegen. Das ist zu einem ein Bild des Gesichts, verknüpft mit der Körpergröße, sowie optional ein Fingerabdruck, den der Ausweisinhaber freiwillig abgeben kann. Gerüchten, wonach jeder auf diese Daten zugreifen könne, widerspricht Marco Breitenstein, Leiter des Bereichs Biometrie und hoheitliche Anwendungen bei Secunet, energisch: "Diese Daten dürfen nur von Polizei und Bundespolizei sowie Ausweisbehörden ausgelesen werden." Verwendet werden könnten die Daten etwa für automatische Grenzkontrollen, wie sie derzeit am Frankfurter Flughafen als "eGate" im Rahmen des Projekts "Easy Pass" getestet werden. Hier betritt der Reisende eine Kammer, und eine Kamera vergleicht Gesicht und Körpergröße mit den biometrischen Angaben auf dem Ausweis. "Diese Form der Grenzkontrolle dauert etwa 20 Sekunden, während ein Grenzbeamter 30 Sekunden oder mehr benötigt", beschreibt Breitenstein, dessen Unternehmen an dem Piloten mitwirkt, die Vorteile des elektronischen Verfahrens. Für Unternehmen von Interesse sind dagegen die Funktion der elektronischen Identität (eID), das Pseudonym sowie die qualifizierte elektronische Signatur.
Mit diesen Kosten müssen Sie rechnen
Unternehmen, die den nPA in ihren elektronischen Workflow einbinden wollen, benötigen primär zwei Dinge:
-
einen eID-Server,
-
ein Berichtigungszertifikat zur Abfrage der nPA-Daten.
Berechtigungen für Zertifikate stellt die VfB (Vergabestelle für Berechtigungszertifikate) beim Bundesverwaltungsamt (BVA) in Köln aus. Mit der staatlichen Berechtigung können dann bei einem Zertifizierungsdiensteanbieter nach Wahl (auch Berechtigungszertifikateanbieter, BerCA genannt) die entsprechenden Berechtigungszertifikate erworben werden. Christian Mohser, Principal Consultant und bei Steria Mummert Consulting für das Thema nPA verantwortlich, rät Unternehmen, entsprechende Zeit für die Zertifikatvergabe einzuplanen: "Zudem sollten Firmen ihre Geschäftsprozesse klar definieren, um die Notwendigkeit eines Zugriffs auf die Ausweisdaten belegen zu können." Je nach Größe und Struktur des Unternehmens sowie vorhandener IT-Infrastruktur sind dafür sowie für die Implementierung in den eigenen Workflow jeweils laut Mohser zwischen 50 und 200 Manntage einzuplanen.
Doch das Zertifikat ist nur die halbe Miete auf dem Weg zum E-Commerce mit dem nPA. Zusätzlich ist noch ein eID-Server erforderlich, um die Daten auslesen zu können. In Gesprächen mit der COMPUTERWOCHE gingen Experten von Kosten bis zu einer Viertelmillion Euro aus. Ein Wert, der sich mit den Erfahrungen von Mohser deckt, der mit 200 bis 300 Manntagen kalkuliert zuzüglich den Kosten für die Zertifizierungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Letztlich stellt sich für Unternehmen also die Frage "Make or buy". Dienstleister werden eID-Services wohl zu Monatspreisen zwischen 250 und 3000 Euro offerieren - wobei sich die Preise unter anderem an den inkludierten Zugriffen (nPA-Abfragen) orientieren.
Foto: Fraunhofer
Die Daten des nPA sind dabei auf einem RFID-Chip gespeichert, der laut Michael Herfert, beim Fraunhofer SIT zuständig für den Bereich Transaktions- und Dokumentensicherheit, lediglich aus einer Reichweite von 50 Zentimetern bis zu einem Meter ausgelesen werden kann. Zudem muss der Ausweisinhaber vor dem Auslesen der Daten seine sechsstellige PIN eingeben (Ausnahme. hoheitliche Abfragen). Die Übertragung selbst wird mit Hilfe des vom BSI-zertifizierten PACE-Protokolls (Password Authentication Communication Establishment) abgewickelt. Laut Herfert sind dies 10 hoch 6 mögliche Kombinationen, die ein Angreifer binnen weniger Sekunden ausprobieren müsste. Schwachstelle bleibt hier der Rechner des Anwenders, solange dieser nur einen günstigen Basisleser (Kosten wohl um die 20 bis 30 Euro) verwendet. Hier wäre mit Hilfe eines Keyloggers ein Auslesen der PIN möglich. Dies nutzt einem Angreifer allerdings nur etwas, solange der nPA auf dem Lesegerät liegt, da dem Verfahren eine Zwei-Faktor-Identifikation zugrunde liegt. Mehr Sicherheit offerieren Lesegeräte mit integrierter Tastatur, die preislich jedoch in der Anfangsphase deutlich über 100 Euro liegen dürften.