Für die einen ist er der längst fällige Schritt in die digitale Informationsgesellschaft des 21. Jahrhunderts, für die anderen schlicht Teufelszeug: der neue Personalausweis, kurz nPA. Es gab wohl kaum ein IT-Projekt von staatlicher Seite, über das in letzter Zeit so viel und so falsch berichtet wurde. Statt über die Möglichkeiten des neuen Personalausweises aufzuklären, wurde unreflektiert die Gefahr eines Überwachungsstaates an die Wand gemalt.
Dagegen betont Jens Fromm vom Fraunhofer-Institut Fokus die Datenschutz- und Kryptografiemechanismen des neuen Dokuments, "das ein weltweit einmaliges Konzept verwirklicht und dem Prinzip der Datensparsamkeit folgt, während andere Länder mehr Daten erheben". Allerdings gibt es laut Fromm eine Einschränkung im Online-Verkehr: "Die Sicherheit des nPA steht und fällt bei Online-Geschäften mit der Security des Benutzer-PC." Virenschutz und Firewall sollten also für Benutzer des nPA eine Selbstverständlichkeit sein. Sei das gewährleistet, stelle der nPA für die Industrie - besonders den deutschen Mittelstand - und für Anwender eine einzigartige Chance in Sachen E-Commerce dar, so Fromm weiter. Zudem biete sich mit dem nPA die Chance, binnen Jahresfrist mehr Smartcards für Authentifizierung und elektronische Signatur in Umlauf zu bringen, als es die IT-Industrie in den letzten zehn Jahren geschafft habe. Eine ähnliche Meinung vertritt Adobe-Manager Peter Körner, dessen Unternehmen an sicheren elektronischen Dokumentenprozessen mit Hilfe des nPA in Verbindung mit Adobes Lifecycle-Infrastruktur arbeitet: "Der nPA wird ein Erfolg. Mir sind etwa 1000 Projekte bekannt, die den Ausweis verwenden wollen. Und es bestehen schon Exportwünsche für das Technologiekonzept hinter dem nPA." Ebenso überzeugt vom Potenzial des neuen Ausweises ist Guido Weiland, bei Materna für Content-Management zuständig. Er sieht vielfältige Einsatzmöglichkeiten im B2C-Bereich: "Das Gros der Entscheider wartet wohl die Ergebnisse der ersten Piloten ab, aber die Zahl der Prozesse, die elektronisch unterschrieben werden können, ist enorm."
Das kostet der nPA
-
Antragsteller unter 24 Jahren: 22,80 Euro.
-
Antragsteller ab 24 Jahren: 28,80 Euro.
-
Aktivierung der Online-Funktion des Ausweises ist bei der Ausgabe für Erwachsene (ab 16 Jahren) gebührenfrei.
-
Wird die Online-Ausweisfunktion nachträglich aktiviert, kostet das sechs Euro.
-
Deaktivieren der Online-Ausweisfunktion: gebührenfrei.
-
Ändern der PIN im Bürgeramt: sechs Euro.
-
Sperren der Online-Ausweisfunktion im Verlustfall: gebührenfrei.
-
Entsperren der Online-Ausweisfunktion: sechs Euro
-
Kosten für das Aufbringen eines elektronischen Signaturzertifikats: je nach Anbieter.
Wer braucht ihn und wozu?
Wer das Konzept hinter dem nPA verstehen will, muss sich erst einmal mit den grundlegenden Funktionen des Ausweisdokuments auseinandersetzen. Wie der klassische Personalausweis erfüllt auch der neue zuerst eine hoheitliche Funktion: den Identitätsnachweis seines Besitzers bei Polizei- und Grenzkontrollen sowie Ausweisbehörden. Darüber hinaus wartet der nPA mit zwei neuen Features auf, die das Dokument auch für die Wirtschaft interessant machen: die eID als elektronischer Identitätsnachweis und die qualifizierte elektronische Signatur (QESG), die eine rechtsgültige elektronische Unterschrift gemäß Signaturgesetz erlaubt. Diese drei Funktionsbereiche sind auf dem Ausweis in elektronischer Form logisch voneinander getrennt.
nPA-Anwendungen
Im Rahmen der gesetzlichen Bestimmungen (Altersverifikation und debitorische Angelegenheiten, Prinzip der Datensparsamkeit) sind den Anwendungen für den nPA kaum Grenzen gesetzt. Folgende Beispiele stellen deshalb nur eine Auswahl dar, die das Potenzial aufzeigen soll:
-
Altersverifikation: etwa für Online-Dienste ab 18 oder entsprechende Waren. Nicht das konkrete Alter wird ausgelesen, sondern nur der Boolsche Wert Ja oder Nein.
-
Adressverifikation: Beim Online-Handel können etwa die Adressdaten per nPA verifiziert werden. Verringert "Spaß-Bestellungen".
-
Portalverifikation: Über die Pseudonym-Funktion kann eine sichere Anmeldung an Portalen gewährleistet werden, ohne dass persönliche Daten übertragen werden,
-
Belegverarbeitung (elektronisch): Absicherung des Workflows.
-
Kontoeröffnung: elektronische Verifikation des Antragstellers. In Kombination mit QES rechtsgültige Unterschrift.
-
Lotto-Spiel: Authentifizierung des Spielers.
-
Schadensabwicklung: Für Versicherungen bietet sich die Möglichkeit des kompletten elektronischen Workflows mit Authentifizierung und QES.
-
Post-Ident-Verfahren: Mit dem nPA kann auf das kostspielige und zeitaufwendige Ident-Verfahren verzichtet werden.
-
Einschreiben mit Rückschein: Verschlüsselte Mails, die mit Hilfe des nPA geöffnet werden, ersetzen das herkömmliche Einschreiben per Post.
-
eGovernment: Pro Jahr finden hierzulande etwa eine Milliarde Prozesse bei der Behördenkommunikation statt, die künftig mit Hilfe des nPA elektronisch und automatisch abgewickelt werden können (etwa An- und Abmeldung).
-
Authentifizierung des Anbieters: Auch der Kunde erhält einen Identitätsnachweis des Anbieters. Vor der Datenabfrage muss sich der Anbieter mit einem gültigen Zertifikat ausweisen, das unter anderem Anschrift und Datenschutzbeauftragten enthält.
In dem folgenden, knapp eine Minuten langen Podcast erklärt Cornelia Tausch, Fachbereichsleiterin Wirtschaft und Internationales bei der Verbraucherzentrale Bundesverband (vzbv), worauf Sie beim nPA achten müssen.
Biometrische Daten inklusive
Im hoheitlichen Bereich enthält das Dokument Angaben zu Namen, Geburtstag etc. - Daten, die auch schon der bisherige maschinenlesbare Personalausweis enthielt. Neu ist dagegen, dass auch biometrische Daten in elektronischer Form vorliegen. Das ist zu einem ein Bild des Gesichts, verknüpft mit der Körpergröße, sowie optional ein Fingerabdruck, den der Ausweisinhaber freiwillig abgeben kann. Gerüchten, wonach jeder auf diese Daten zugreifen könne, widerspricht Marco Breitenstein, Leiter des Bereichs Biometrie und hoheitliche Anwendungen bei Secunet, energisch: "Diese Daten dürfen nur von Polizei und Bundespolizei sowie Ausweisbehörden ausgelesen werden." Verwendet werden könnten die Daten etwa für automatische Grenzkontrollen, wie sie derzeit am Frankfurter Flughafen als "eGate" im Rahmen des Projekts "Easy Pass" getestet werden. Hier betritt der Reisende eine Kammer, und eine Kamera vergleicht Gesicht und Körpergröße mit den biometrischen Angaben auf dem Ausweis. "Diese Form der Grenzkontrolle dauert etwa 20 Sekunden, während ein Grenzbeamter 30 Sekunden oder mehr benötigt", beschreibt Breitenstein, dessen Unternehmen an dem Piloten mitwirkt, die Vorteile des elektronischen Verfahrens. Für Unternehmen von Interesse sind dagegen die Funktion der elektronischen Identität (eID), das Pseudonym sowie die qualifizierte elektronische Signatur.
Mit diesen Kosten müssen Sie rechnen
Unternehmen, die den nPA in ihren elektronischen Workflow einbinden wollen, benötigen primär zwei Dinge:
-
einen eID-Server,
-
ein Berichtigungszertifikat zur Abfrage der nPA-Daten.
Berechtigungen für Zertifikate stellt die VfB (Vergabestelle für Berechtigungszertifikate) beim Bundesverwaltungsamt (BVA) in Köln aus. Mit der staatlichen Berechtigung können dann bei einem Zertifizierungsdiensteanbieter nach Wahl (auch Berechtigungszertifikateanbieter, BerCA genannt) die entsprechenden Berechtigungszertifikate erworben werden. Christian Mohser, Principal Consultant und bei Steria Mummert Consulting für das Thema nPA verantwortlich, rät Unternehmen, entsprechende Zeit für die Zertifikatvergabe einzuplanen: "Zudem sollten Firmen ihre Geschäftsprozesse klar definieren, um die Notwendigkeit eines Zugriffs auf die Ausweisdaten belegen zu können." Je nach Größe und Struktur des Unternehmens sowie vorhandener IT-Infrastruktur sind dafür sowie für die Implementierung in den eigenen Workflow jeweils laut Mohser zwischen 50 und 200 Manntage einzuplanen.
Doch das Zertifikat ist nur die halbe Miete auf dem Weg zum E-Commerce mit dem nPA. Zusätzlich ist noch ein eID-Server erforderlich, um die Daten auslesen zu können. In Gesprächen mit der COMPUTERWOCHE gingen Experten von Kosten bis zu einer Viertelmillion Euro aus. Ein Wert, der sich mit den Erfahrungen von Mohser deckt, der mit 200 bis 300 Manntagen kalkuliert zuzüglich den Kosten für die Zertifizierungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Letztlich stellt sich für Unternehmen also die Frage "Make or buy". Dienstleister werden eID-Services wohl zu Monatspreisen zwischen 250 und 3000 Euro offerieren - wobei sich die Preise unter anderem an den inkludierten Zugriffen (nPA-Abfragen) orientieren.
Foto: Fraunhofer
Die Daten des nPA sind dabei auf einem RFID-Chip gespeichert, der laut Michael Herfert, beim Fraunhofer SIT zuständig für den Bereich Transaktions- und Dokumentensicherheit, lediglich aus einer Reichweite von 50 Zentimetern bis zu einem Meter ausgelesen werden kann. Zudem muss der Ausweisinhaber vor dem Auslesen der Daten seine sechsstellige PIN eingeben (Ausnahme. hoheitliche Abfragen). Die Übertragung selbst wird mit Hilfe des vom BSI-zertifizierten PACE-Protokolls (Password Authentication Communication Establishment) abgewickelt. Laut Herfert sind dies 10 hoch 6 mögliche Kombinationen, die ein Angreifer binnen weniger Sekunden ausprobieren müsste. Schwachstelle bleibt hier der Rechner des Anwenders, solange dieser nur einen günstigen Basisleser (Kosten wohl um die 20 bis 30 Euro) verwendet. Hier wäre mit Hilfe eines Keyloggers ein Auslesen der PIN möglich. Dies nutzt einem Angreifer allerdings nur etwas, solange der nPA auf dem Lesegerät liegt, da dem Verfahren eine Zwei-Faktor-Identifikation zugrunde liegt. Mehr Sicherheit offerieren Lesegeräte mit integrierter Tastatur, die preislich jedoch in der Anfangsphase deutlich über 100 Euro liegen dürften.
Die Funktionen in der Praxis
Um nun den Ausweis online nutzen zu können, müssen seitens des Anwenders und des Anbieters zwei Voraussetzungen erfüllt sein: Der Anbieter benötigt einen eID-Server (siehe Kasten "Mit diesen Kosten müssen Sie rechnen") und der Anwender neben einem Lesegerät die AusweisApp, zuvor als BürgerClient bekannt. Allerdings ist die AusweisApp nur ein möglicher Client und hat kein Monopol, wie Steria-Mummert-Consultant Christian Mohser anmerkt. Auch Materna-Manager Weiland ist überzeugt, dass später andere Plug-ins zum Auslesen des Ausweises entwickelt werden. Eine Gefahr, dass dies den Verbraucher verunsichern könnte, sieht er nicht, "solange ausschließlich vom BSI zertifizierte Komponenten eingesetzt werden".
Die Nutzung der eID-Funktion verläuft dann in mehreren Schritten:
-
Ein Internet-User besucht die Web-Seite eines Diensteanbieters und wird aufgefordert, sich auszuweisen. Der Ausweisnutzer legt den Ausweis auf den Kartenleser. Daraufhin schickt der Dienstanbieter sein Berechtigungszertifikat zur AusweisApp auf dem Computer. Sie zeigt dem Nutzer Informationen zum Auslesezweck, die Kontaktdaten des Zertifikatsinhabers und der zuständigen Datenschutzaufsichtsbehörde.
-
Über die AusweisApp kann der Nutzer dann Datenfelder ankreuzen (etwa Anrede, Adresse) beziehungsweise ausgewählte Datenfelder abwählen. Die Auswahl erfolgt durch einfaches Anklicken von Auswahl-Kästchen.
-
Um eine zufällige Datenfreigabe zu vermeiden, fordert die AusweisApp den Ausweisinhaber auf, seine Daten freizugeben. Dazu muss er seine persönliche Geheimnummer (PIN) über die Tastatur von Computer oder Kartenleser eingeben. Danach wird ein sicherer Kommunikationskanal aufgebaut.