Startseite > Newskommentare > Karten, Apps und Löcher – Ein Rückblick zum ePerso

Karten, Apps und Löcher – Ein Rückblick zum ePerso

Vor knapp über einem Jahr wurde der neue, elektronische Personalausweis eingeführt. Vor einem Jahr und einem Tag wurde die erste Version der AusweisApp veröffentlicht – und vor genau einem Jahr habe ich die massive Sicherheitslücke in der AusweisApp aufgedeckt. Diesen Tag möchte ich daher für einen Rückblick nutzen, und laientauglich die wichtigsten Dinge zum ePerso erläutern: Was ist der ePerso eigentlich? Wie sicher ist er? Wem soll er nutzen? Wer profitiert wirklich davon? Und was ist daraus eigentlich geworden?

Inhalt

  1. Was ist der ePerso?
  2. Sicherheit und Gefahren
  3. Die AusweisApp und ihre Lücke
  4. Der Nutzen des Ausweises
  5. Kosten und Wirtschaftsförderung
  6. Fazit

Was ist der ePerso?

Zum 1. November 2010 hat der „neue Personalausweis“, kurz nPA, den bisherigen Ausweis ersetzt. Der auffälligste Unterschied zum alten Personalausweis ist das von den meisten Bürgern als praktischer empfundene Kreditkartenformat. Der wichtigere Unterschied jedoch ist im Inneren der Plastikkarte versteckt: In der rechten oberen Ecke ist ein Chip eingebaut, mit dem der Ausweis elektronisch genutzt werden kann. Deswegen hieß er auch „elektronischer Personalausweis“, kurz „ePerso“ oder „ePA“, bevor die Regierung merkte, dass dieser Name durch die Kritik am Projekt zu unbeliebt geworden war.

Der Personalausweis ist eine sogenannte kontaktlose Chipkarte. Das bedeutet, dass er per Funk mit dem Lesegerät Kontakt aufnimmt (und von ihm drahtlos mit Strom versorgt wird). Die drahtlose Technik (RFID/NFC) wurde gewählt, weil sich dabei keine Kontakte abnutzen und die Karten und Lesegeräte somit haltbarer sein sollen. (Vielleicht spielte die Idee, einen neuen Standard zu schaffen und die Wirtschaft durch die Einführung von viel neuer Technik zu fördern, auch eine gewisse Rolle.)

Der Chip im Personalausweis ist ein kleiner Computer – mit einem Prozessor, etwas Speicher und der Fähigkeit, Berechnungen durchzuführen. Das soll eine ganze Reihe neuer Möglichkeiten öffnen, denn der Chip unterstützt gleich mehrere Funktionen: Mit der hoheitlichen Ausweisfunktion können Behörden über den Chip die Echtheit des Ausweises prüfen. Mit der eID-Funktion soll der Nutzer mit dem Ausweis online seine Identität beweisen können. Und zu guter Letzt soll es mit dem Ausweis auch möglich sein Dokumente (wie z. B. Verträge) digital zu unterschreiben. Letzteres ist allerdings schon seit Jahren mit gewöhnlichen und bewährten Signaturkarten möglich.

Hoheitliche Ausweisfunktion

Die auf dem Ausweis aufgedruckten Daten, das Passfoto sowie (falls abgegeben) der Fingerabdruck sind auf dem Chip noch einmal elektronisch gespeichert und können von befugten Behörden gelesen werden. Das soll die Fälschungssicherheit erhöhen, da die Daten auf dem Chip gegen unbefugte Veränderung sehr gut gesichert sind. Die hoheitliche Ausweisfunktion ist immer aktiv und kann nicht ausgeschaltet werden.

eID-Funktion

Mit der eID-Funktion soll es möglich sein, mit dem Ausweis gegenüber einer Website die Identität (oder auch nur das Alter) zu belegen oder sich einzuloggen. Dazu benötigt man ein Lesegerät sowie eine Software, die „AusweisApp“. Über die AusweisApp kommuniziert die Website mit dem Ausweis, und in der App wird auch angezeigt, welche Daten an welchen Empfänger übertragen werden sollen. Damit ein verlorener Ausweis nicht missbraucht werden kann, muss man jedes Mal eine sechsstellige PIN eingeben. Die eID-Funktion kann auf Wunsch ein- und ausgeschaltet werden.

Elektronische Signaturfunktion

Mit einem Lesegerät der höchsten Sicherheitsstufe soll es möglich sein, den Personalausweis für die sogenannte „qualifizierte elektronische Signatur“ zu benutzen. Damit kann man Dokumente mit einer rechtlich verbindlichen digitalen Unterschrift versehen. Da dies mit gewöhnlichen Signaturkarten schon lange möglich ist, spart man lediglich eine Karte ein, wenn die Funktion vom Ausweis mit unterstützt wird.

Derzeit ist die elektronische Signatur mit dem Personalausweis noch nicht möglich.

Sicherheit und Gefahren

Wie sieht es um die Sicherheit des neuen elektronischen Personalausweises aus? Dazu muss man zunächst überlegen, wo überall Probleme lauern könnten: Einerseits ist da natürlich der Ausweis selbst bzw. der Chip darin sowie die Funkverbindung, über die mit dem Ausweis kommuniziert wird. Hier sind starke Sicherheitsmaßnahmen eingebaut. Andererseits spielen aber gerade bei der eID-Funktion auch das Lesegerät, die AusweisApp, der Rechner, auf dem diese läuft, und schließlich der Nutzer selbst eine große Rolle – und hier gibt es zahlreiche Probleme.

Sicherheit der Funkverbindung

Bei einem Ausweis, mit dem berührungslos per Funk kommuniziert werden kann, auch während er in der Geldbörse versteckt ist, stellt sich natürlich als erstes die Frage: Kann der Ausweis unbefugt benutzt oder ausgelesen werden? Kann man mich mit dem Ausweis verfolgen?

Zunächst einmal zur Beruhigung: Die Funkverbindung ist natürlich verschlüsselt. Normale Lesegeräte können mit dem Ausweis nur auf höchstens 10 Zentimeter Entfernung kommunizieren. Speziell gebaute Geräte werden diese Reichweite vermutlich etwas erhöhen können, ein Auslesen aus mehreren Metern ist jedoch rein physikalisch kaum möglich. Der Ausweis ist passiv, das heißt, ohne ein Lesegerät in unmittelbarer Nähe hat er gar keine Stromversorgung. Sorgen, der Ausweis könnte als GPS-Peilsender jederzeit seine Position an irgendwelche Behörden senden, sind also unbegründet.

Selbst wenn ein Lesegerät mit dem Ausweis kommuniziert, soll dieser aber nichts verraten, was den Eigentümer identifizieren könnte – nicht einmal eine Seriennummer, über die man den Ausweis wiedererkennen könnte. Um Daten auszulesen, muss eine der drei Funktionen genutzt werden, auf die im Folgenden genauer eingegangen wird. Es ist aber nicht auszuschließen, dass früher oder später ein Verfahren entdeckt wird, mit dem die Ausweise doch unterschieden und so wiedererkannt werden können.

Sicherheit der hoheitlichen Ausweisfunktion

Das Auslesen der Daten über die hoheitliche Ausweisfunktion soll nur mit einem dazu berechtigten Gerät möglich sein, und auch dann nur, wenn die auf dem Ausweis angegebene sechsstellige Nummer eingegeben wird. So soll sichergestellt sein, dass der Ausweis nie unbemerkt ausgelesen werden kann. Ob ein Zugriff auf den Ausweis tatsächlich nur mit diesen Sicherheitsmaßnahmen möglich ist, kann man jedoch nicht nachprüfen – man muss sich auf die Angaben der Regierung verlassen. Hintertüren, die das unbemerkte Auslesen erlauben, wären problemlos möglich und kaum zu entdecken. Die Reichweite wäre hierbei allerdings immer noch wie oben beschrieben stark beschränkt.

Sicherheit der eID-Funktion

Die Sicherheit der eID-Funktion hängt von zahlreichen Komponenten ab. Neben dem Lesegerät benötigt der Nutzer eine spezielle Software, die AusweisApp, um diese Funktion nutzen zu können. Die erste Version der AusweisApp war aufgrund einer direkt nach der Veröffentlichung entdeckten Sicherheitslücke ein offenes Einfallstor für Computerviren.

Es gibt drei Arten von Lesegeräten: Die „Basisleser“, die steuerfinanziert in großer Zahl verteilt wurden, die „Standardleser“ und die „Komfortleser“. Die Komfortleser bieten hierbei die größte Sicherheit, müssen aber vom Nutzer selbst gekauft werden (und waren zum Start des Ausweises noch nicht verfügbar). Die billigen Basisleser hingegen haben keine eigenen Sicherheitsfunktionen. Insbesondere muss die PIN des Ausweises auf dem Computer eingegeben werden – wo sie z. B. von Viren abgefangen werden kann.

Da die AusweisApp normalerweise von einer Website gestartet wird, ist es für den Nutzer schwierig, ein gefälschtes AusweisApp-Fenster zu erkennen – wenn er dort seine PIN eingibt, wird sie dem Angreifer, z. B. Kriminellen, bekannt. Der Angreifer benötigt jedoch noch Zugriff auf das Lesegerät, um den Ausweis mit der PIN missbrauchen zu können. Eine Zusatzsoftware, die zu einem der „Starter-Kits“ mit Basisleser gehört, ermöglicht diesen Zugang – und somit den Ausweismissbrauch.

Bei den Komfortlesern wird die PIN am Lesegerät eingegeben, wo sie von Viren nicht mehr abgefangen werden kann. Erst mit einem solchen Gerät wäre eine halbwegs sichere Nutzung des Personalausweises wirklich möglich. Leider wurden gerade die unsicheren Basisleser in großer Zahl verteilt – die Sicherheit wurde in den Hintergrund gerückt, um möglichst viele Geräte verteilen zu können.

Für die eID-Funktion gilt ein niedrigeres Sicherheitsniveau als für die Signaturfunktion. Deswegen kann darüber zwar z. B. bei einer Onlinebestellung die Identität des Käufers geprüft werden, aber eigentlich dient die Prüfung nicht dazu, eine Transaktion wie z. B. den Kauf zu bestätigen – offiziell zumindest nicht. Wenn aber der Händler zeigen kann, dass sich der Käufer mit dem eID-Verfahren  ausgewiesen hat, wird der Ausweisinhaber kaum in der Lage sein, den Kauf zu bestreiten – auch im Fall eines Missbrauchs der eID-Funktion. Dieser Anscheinsbeweis über die Ausweisfunktion wird in der Praxis so zur Signatur – obwohl die Funktion dafür nie gedacht war und das Sicherheitsniveau daher auch nicht ausreichend hoch ist.

Dem Ausweisnutzer bietet der Ausweis in dieser Hinsicht also nicht mehr, sondern weniger Sicherheit: Bisher lag die Beweislast beim Händler, bei einer missbräuchlichen Bestellung unter falschem Namen blieb er auf dem Schaden sitzen. Mit dem ePerso wird ein Missbrauch zwar schwieriger, das Risiko wird aber auf den Ausweisinhaber abgewälzt.

Innenministerium und BSI werden nicht müde, nach jedem Angriff auf die eID-Funktion zu betonen, dass der Ausweis selbst sicher sei. Das ist jedoch ungefähr so sinnvoll, wie die Sicherheit einer Panzertür zu betonen, neben der ein offener Dienstboteneingang steht, der in den gleichen Raum führt.

Sicherheit der Signaturfunktion

Die Signaturfunktion kann man aktuell wohl als die sicherste Funktion des Ausweises bezeichnen – sie existiert schlichtweg noch nicht. Geht man davon aus, dass die Kommunikationsprotokolle ordnungsgemäß funktionieren, dürfte die Sicherheit mit gewöhnlichen Signaturkarten vergleichbar sein. Für die Nutzung der Signaturfunktion wird zwingend ein „Komfortleser“, also ein Lesegerät der höchsten Sicherheitsstufe benötigt, wodurch ein recht hohes Sicherheitsniveau erreicht wird.

Derzeit gibt es widersprüchliche Angaben, ob das sogenannte Signaturzertifikat über die eID-Funktion beantragt werden kann. Wäre dies möglich, würde die hohe Sicherheit der qualifizierten elektronischen Signatur untergraben: Wer die schwächer geschützte eID-Funktion knackt, könnte sich auf den Namen des Opfers ein Signaturzertifikat ausstellen lassen und damit dann falsche Signaturen erzeugen.

Politische Missbrauchsgefahr

Nicht zu unterschätzen ist beim ePerso auch die Missbrauchsgefahr auf politischer Ebene. Der CDU-Bundestagsabgeordnete Axel E. Fischer, der auch Vorsitzender der Enquete-Kommission „Internet und digitale Gesellschaft“ ist, hat beispielsweise gefordert, anonyme Diskussionen im Internet zu verbieten – und den Personalausweis zur Durchsetzung der Klarnamenspflicht zu verwenden. Das ist leider keine verirrte Einzelmeinung: In einem öffentlich gewordenen internen Positionspapier der Unionsfraktion findet sich die Aussage: „Eine anonyme Teilhabe am politischen Meinungs- und Willensbildungsprozess ist abzulehnen.“

In vielen Fällen ist die Möglichkeit, sich anonym zu äußern, aber Voraussetzung dafür, dass man sich überhaupt frei und unbeschwert äußern kann. Sei es, weil man in einem erzkonservativen bayrischen Dorf lebt und die katholische Kirche kritisieren will, oder weil man (ob begründet oder unbegründet spielt keine Rolle!) Angst hat, wegen seiner Meinung zukünftig staatlichen Repressalien ausgesetzt zu werden. Eine solche Forderung untergräbt daher massiv die Meinungsfreiheit. Der ePerso schafft die Voraussetzung dafür, eine solche Regelung umzusetzen.

Solange solche Forderungen regelmäßig aufkommen, muss man überlegen, ob die Möglichkeiten, die der ePerso bietet, nicht zu gefährlich sind.

Die AusweisApp und ihre Lücke

Anfangs noch „Bürgerclient“ genannt, bekam das Programm, welches den elektronischen Personalausweis mit dem Internet verbinden soll, bald wie auch der ePerso selbst einen „moderneren“ Namen: „AusweisApp“. Das soll die Akzeptanz erhöhen. Aber was ist diese AusweisApp eigentlich?

Der ePerso soll auch im Internet einsetzbar sein – man soll sich damit auch gegenüber Webseiten ausweisen können. Dazu muss der Ausweis irgendwie mit der Website Kontakt aufnehmen können. Die AusweisApp vermittelt zwischen Website und Lesegerät und erlaubt es dem Nutzer auch, beispielsweise seine PIN zu ändern oder die Identität einer Website anzuzeigen, die Ausweisdaten anfordert.

Auch wenn viele denken, die AusweisApp sei vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt worden, wurde die Software von der Firma OpenLimit  programmiert. Unter anderem um Vorwürfe zu entkräften, die AusweisApp würde den „Bundestrojaner“ beinhalten, also eine Spionagesoftware für die Durchführung von Onlinedurchsuchungen, wurde zunächst zugesichert, den Quellcode des Programms offenzulegen. Dadurch könnten zumindest IT-Fachleute sich die inneren Funktionsweisen der Software anschauen. Gleichzeitig trägt eine solche Vorgehensweise auch dazu bei, dass Fehler schneller entdeckt werden, weil die Software von mehr Menschen unter die Lupe genommen wird. Das wurde beim Erscheinen der AusweisApp allerdings auf „später“ verschoben.  In einer Antwort auf eine Bürgeranfrage gab das BSI inzwischen zu, den Quellcode nicht einmal selbst geprüft zu haben – dies sei auch „nicht Bestandteil der Zertifizierung“.

Nachdem man das rund 50 MB große Paket heruntergeladen und installiert hat, verbraucht das Programm im Leerlauf üppige 130 MB Arbeitsspeicher, sobald es gestartet wurde (was auch eine ganze Weile dauert).

Der „AusweisApp-Hack“

Wie genau funktioniert aber der Angriff auf die AusweisApp, der einen Tag nach dem Erscheinen bekannt wurde?

Weil Software sich schnell weiterentwickelt und oft Fehler nachträglich korrigiert werden müssen, hat die AusweisApp eine eingebaute Updatefunktion. Bei jedem Start fragt die Anwendung bei einem Server nach, ob neue Updates zur Verfügung stehen. Wenn ja, werden diese heruntergeladen und zur Installation angeboten. Damit auf diesem Wege nur echte Updates und nicht z. B. Viren auf den Rechner des Nutzers gelangen, wird für die Update-Prüfung eine gesicherte Verbindung verwendet – die gleiche Technik, die auch beim Onlinebanking genutzt wird und eigentlich sicher ist.

Beim Aufbau einer solchen Verbindung muss der Server ein Zertifikat vorlegen. Die AusweisApp prüft nun, ob das Zertifikat gültig ist, von einer vertrauenswürdigen Stelle ausgestellt wurde und ob es tatsächlich dem Server gehört, mit dem die AusweisApp spricht – aber in der ersten Version prüfte sie nicht den Servernamen, der darin steht. Das kann man sich etwa so vorstellen, dass ein Pförtner den Auftrag hat, nur eine bestimmte Person ins Gebäude zu lassen. Kommt nun jemand an, prüft der Pförtner zwar, ob sein Ausweis echt und noch gültig ist und ob das Foto zur Person vor ihm passt – aber nicht, ob der Name im Ausweis mit dem Namen der Person übereinstimmt, die herein darf. (Der Vergleich mit dem Ausweis ist bildlich gemeint – das Zertifikat hat nichts mit der Ausweisfunktion des ePerso zu tun!)

Ein Angreifer, dem es gelingt, die Verbindung auf seinen eigenen Server umzulenken, kann sich somit gegenüber der AusweisApp in der ersten Version mit seinem eigenen Zertifikat „vorstellen“, und die AusweisApp akzeptiert dies anstandslos. So eine Umleitung ist auf viele Arten möglich, und sobald die Verbindung steht, kann ein Angreifer ein gefälschtes Update übertragen.

Das ist ein Programmierfehler, der zwar vergleichsweise leicht passiert, bei einem solchen Programm aber eigentlich nicht passieren bzw. es zumindest nicht in die fertige Version schaffen sollte. Überraschenderweise hatten die Entwickler jedoch noch eine zweite Sicherheitsebene eingebaut. Die Updates werden in Form einer ZIP-Datei heruntergeladen. Diese wird zunächst entpackt, und im Anschluss wird geprüft, ob das darin enthaltene Installationsprogramm ein gültiges „digitales Siegel“ (eine sogenannte Signatur) trägt. Ist dies nicht der Fall, wird das Paket sofort wieder gelöscht.

Hier schlägt aber ein zweiter Fehler zu: Wer schon einmal mit ZIP-Dateien gearbeitet hat, weiß, dass diese Ordner enthalten können. Der Ordnername „..“ hat im Computer eine besondere Bedeutung – er steht für „eine Ebene höher“. Beim Auspacken der ZIP-Datei bemerkt die AusweisApp nicht, wenn ein Ordner mit einem solchen Namen enthalten ist, und packt den Inhalt entsprechend an einen Ort aus, wo der Angreifer ihn haben will, er aber nicht hingehört. Gelöscht wird auch nur der Inhalt des Verzeichnisses, in welches die Dateien eigentlich entpackt werden sollen. Wenn der Angreifer also eine passende ZIP-Datei liefert, landet  seine Datei, z. B. ein Virus, auf Wunsch im Autostartordner des Computers – und wird, wie der Name schon sagt, beim nächsten Start des Computers automatisch gestartet.

Hat ein Angreifer erst einmal einen Virus auf dem Rechner installiert, befindet sich das System unter vollständiger Kontrolle des Angreifers. Er kann sämtliche Daten kopieren, verändern oder löschen, Onlinebanking-Verbindungen angreifen, Tastatureingaben und Passwörter stehlen und schließlich auch die PIN des Ausweises erfassen, falls der Nutzer diese am Computer eingibt. Die Bildschirmtastatur der AusweisApp vermittelt hier ein trügerisches Gefühl der Sicherheit – genauso wie ein Virus Tastatureingaben protokollieren kann, kann er auch Mausklicks und Bildschirminhalte erfassen.

Auch wenn das BSI behauptet, dass durch diesen Angriff die AusweisApp selbst und die persönlichen Daten auf dem Ausweis nicht gefährdet seien – mit der gestohlenen PIN kann der Angreifer dann selbstverständlich auch den Ausweis nutzen, wenn dieser auf dem Lesegerät liegt, und selbstverständlich kann ein Virus beliebige Software auf dem infizierten Rechner verändern – auch die AusweisApp. Diese Möglichkeiten sind bekannt, seit der CCC im September 2010 einen entsprechenden Angriff vorgestellt hatte. Die Voraussetzung für die sichere Nutzung des Personalausweises ist ein sicherer Rechner – und genau diese Sicherheit hat die erste Version der AusweisApp untergraben.

Der Hinweis, den Ausweis nur aufzulegen, wenn man ihn benutzen möchte, ist ebenfalls Augenwischerei: Für eine missbräuchliche Transaktion braucht ein Virus nur Sekunden.

In der aktualisierten Version der AusweisApp wurde übrigens nicht nur die Lücke geschlossen: Gleichzeitig wurde – im direkten Widerspruch zu den Open-Source-Versprechungen – die Analyse erschwert, indem Teile des Programmcodes verschleiert und unzugänglich gemacht wurden.  Aus welchem Grund das geschah, ist unklar – vielleicht, weil noch andere peinliche Lücken behoben wurden und einen Vergleich der alten und neuen Version verhindern werden soll, vielleicht, um die Aufdeckung weiterer Lücken zu erschweren, oder vielleicht aus ganz anderen Gründen. Die Befürchtung, die AusweisApp könnte einen Bundestrojaner beinhalten, wird diese Maßnahme sicherlich weiter schüren. Wer kein Windows hat, musste sich sowieso noch gedulden: Die aktualisierte Version der AusweisApp für Linux erschien erst über ein halbes Jahr später. Eine Version für MacOS ist für Ende 2011 angekündigt.

Der Nutzen des Ausweises

Was der Ausweis bringen soll, ist bekannt – doch was bringt er tatsächlich?

Der Hauptvorteil für die meisten Bürger dürfte das handlichere Format sein. Das wäre allerdings auch ohne Funkchip, biometrisches Passfoto und (derzeit noch freiwillige) Erfassung der Fingerabdrücke möglich. Für den ePerso ist es also kein Argument.

Die hoheitliche Ausweisfunktion soll die Fälschungssicherheit erhöhen. Allerdings sind Fälschungen deutscher Ausweisdokumente aufgrund der ganz normalen Sicherheitsmerkmale wie Wasserzeichen, Hologramme und Spezialfarben bereits jetzt extrem selten: In der Zeit von Januar 2001 bis September 2007 – also in über fünf Jahren – weist die Polizeistatistik gerade mal 216 Fälle von Fälschungen oder Verfälschungen von Personalausweisen auf, wie die Regierung in einer Antwort auf eine Kleine Anfrage der Linkspartei zugeben musste.

Der zusätzliche Schutz kann außerdem nur dann wirken, wenn der Ausweis zusätzlich zur Sichtkontrolle auch elektronisch geprüft wird. Auch die Fälschungssicherheit ist also kein wirkliches Argument für den ePerso.

Als Hauptvorteil wird meist die Internet-Ausweisfunktion genannt. Damit ein Seitenbetreiber diese nutzen kann, muss er jährlich rund 6000-8000 Euro für die nötigen Systeme zahlen. Je nach dem, was benötigt wird, kann er nun die Identität oder das Alter der Besucher prüfen oder den Besuchern erlauben, sich über den ePerso einzuloggen. Zumindest bei den Nutzern, die einen neuen Ausweis haben, ihre PIN kennen, ein Lesegerät besitzen, eine funktionierende AusweisApp installiert haben und bereit sind, dieses Verfahren auch tatsächlich zu nutzen – andere werden abgeschreckt oder abgewiesen.

Auch wenn eine Identitätsprüfung für den Anbieter natürlich wünschenswert ist, überwiegen doch die Nachteile. Der Kunde hat aus der Nutzung der für ihn umständlichen Identitätsprüfung über den Ausweis gar keinen Vorteil. Im Gegenteil: Im Falle eines Missbrauchs muss er für den Schaden haften.

In einem Bereich macht die eID-Funktion hingegen Sinn: Bei einigen Behörden lassen sich Informationen nun online einholen und Anträge online abgeben, für die man sonst die Behörde besuchen müsste. (Böse Zungen würden sagen, dass der Ausweis nur dort eingesetzt werden kann, wo der „Kunde“ keine Wahl hat.)

Ein Login über den ePerso hätte für den Nutzer den Vorteil, dass er sich keine Passwörter merken muss und gegenüber einem einfachen Login mit Passwort die Sicherheit tatsächlich leicht erhöht wird. Wenn der Ausweis kaputt geht, verloren wird, die AusweisApp nicht richtig funktioniert oder ähnliches, wird aber der Nutzer ausgesperrt – und der Anbieter verliert möglicherweise einen Kunden.

Daher ist auch diese Anwendungsmöglichkeit weit weniger attraktiv, als sie klingt. Außerdem wäre sie – ohne die mit einer staatlichen Lösung verbundene Bürokratie – mit existierenden und bewährten Systemen zu einem Bruchteil des Preises umsetzbar gewesen. Banken haben mit dem ChipTAN-Verfahren sowieso längst ein Verfahren entwickelt, was günstiger, einfacher und sicherer ist.

Eine weitere Anwendung des ePerso ist noch erwähnenswert: Die Altersverifikation. Wie bereits erwähnt kann man über die eID-Funktion nicht nur die Identität, sondern auch nur das Alter belegen – und zwar anonym. Das ist deswegen interessant, weil das deutsche Jugendschutzrecht für nicht jugendfreie Inhalte eine Altersverifikation zwingend vorschreibt. Deutschen (Erotik-)Anbietern ist es so bisher nur schwer möglich, solche Inhalte bereitzustellen. Das soll sich mit dem Ausweis ändern. Angesichts der bereits erwähnten Kosten für den Anbieter ist jedoch fraglich, ob die Situation dadurch wirklich verbessert wird. Statt mit dem ePerso ließe sich das Problem schließlich auch lösen, indem die Jugendschutzregelungen auf ein vernünftiges Niveau zurückgefahren werden. Dem Jugendschutz im Netz würde das nicht schaden – ausländische Anbieter bieten nicht jugendfreie Inhalte schon immer ohne besondere Altersüberprüfung an.

Die Anzahl der Anbieter, die eID nutzen, ist dementsprechend gering: Derzeit sind es laut offizieller Website gerade einmal 30 Stück. Damit ist der Ausweis auch für die Bürger relativ nutzlos, da man ihn nur an wenigen Stellen einsetzen kann. Auch wo der ePerso genutzt werden kann, nimmt kaum jemand die Möglichkeit wahr: Im ersten Jahr nach der Einführung der neuen Ausweise haben bei der deutschen Rentenversicherung gerade einmal 300 Nutzer die eID-Funktion genutzt. Nur ein Drittel der Ausweise ist überhaupt für diese Funktion freigeschaltet.

Die Signaturfunktion wäre zwar nützlich, ist aber einerseits noch nicht nutzbar und kann andererseits auch genauso gut oder besser mit regulären Signaturkarten realisiert werden. Das ELENA-Verfahren, bei welchem zahlreiche Daten über die Tätigkeit von Angestellten zentral erfasst werden, sollte ursprünglich die digitale Signatur zur Abfrage der Daten nutzen. Inzwischen hat die Regierung jedoch eingesehen, dass das Projekt mehr schadet als nutzt und beschlossen, es demnächst einzustellen. Damit haben die meisten Bürger keinen Grund, die elektronische Signatur zu nutzen.

Ohne die anonyme/pseudonyme Altersverifikations- und Loginfunktion hätte man die Ausweisfunktion übrigens auch mit bestehender, günstiger und bewährter Technik (Zertifikatskarten) umsetzen können. Für den wichtigsten Zweck (Identitätsbestätigung, insbesondere gegenüber Behörden) wäre dies völlig ausreichend, das System wäre weltweit kompatibel und es wären kaum Neuentwicklungen nötig. Aber vielleicht ist letzteres ja gerade der Grund, warum dieser Weg nicht gewählt wurde:

Den größten Nutzen vom neuen Personalausweis haben nämlich immer noch die Firmen, die an der Herstellung der Ausweise und der dafür nötigen Geräte beteiligt sind.

Kosten und Wirtschaftsförderung

Vollmundig hat die Regierung angekündigt, dass der neue elektronische Personalausweis den Bürgern endlich Sicherheit im Netz bringen würde. Wenn man sich allerdings im Bekanntenkreis umhört, interessieren sich die Menschen mehr für das handliche Kreditkartenformat.

Der entscheidende „Vorteil“ des Chip-Perso ist jedoch ein anderer: Die Einführung der neuen Technik kommt der Wirtschaft zugute. Die Bundesdruckerei, eine privatisierte GmbH die erst seit 2009 wieder in Staatsbesitz ist, stellt zwar die Ausweise her, die Chips werden aber von der niederländischen Firma NXP sowie dem deutschen Chiphersteller Infineon geliefert. Billig sind solche Chips natürlich nicht, und der Bürger darf zahlen: Statt wie bisher 8 Euro kostet ein Personalausweis nun 28,80 Euro – was bei 6,5 Millionen neuen Ausweisen pro Jahr insgesamt rund 187 Millionen jährlich sind – und somit pro Jahr rund 135 Millionen mehr als bisher.

Die Lesegeräte werden hauptsächlich von den zwei deutschen Unternehmen REINER SCT und SCM Microsystems hergestellt. Um den Einsatz des ePerso zu fördern, hat die Regierung Steuergelder in Höhe von 24 Millionen dafür ausgegeben, rund 1,5 Millionen „Sicherheitskits“ an Unternehmen wie Versicherungen und Zeitschriftenverlage zu verschenken oder verbilligt abzugeben. Diese können die „Sicherheitskits“ dann mit ihren Produkten bündeln und so – mit  Steuergeldern – Werbung für sich machen. Dazu kommen nochmal rund 16 Millionen Einführungskosten, zusammen also 40 Millionen Euro.

Bei den so geförderten Geräten handelt es sich allerdings um die „Basisleser“, welche so unsicher sind, dass Experten von der Nutzung abraten. Diese Geräte in dieser Stückzahl unters Volk zu bringen war also nicht nur eine gigantische Geldverschwendung, sondern auch noch höchst gefährlich. Die Signaturfunktion („qualifizierte elektronische Signatur“) kann auch erst mit den Lesegeräten der höheren Sicherheitsstufe genutzt werden. Diese sogenannten „Komfortlesegeräte“, mit denen der Ausweis erst vollständig genutzt werden kann, haben eine unverbindliche Preisempfehlung von schlappen 159 EUR pro Stück. (Zum Vergleich: Lesegeräte der entsprechenden Sicherheitsklasse für klassische Kontakt-Chipkarten, die nicht per Funk arbeiten, gibt es schon für knapp 40 Euro.)

Apropos Signaturfunktion: Für diese benötigt man ein Signaturzertifikat, welches von einer vertrauenswürdigen Stelle ausgestellt werden muss. Technisch ist das ein relativ anspruchsloser Vorgang – man benötigt lediglich eine sichere Umgebung, in der die verwendeten digitalen Schlüssel nicht gestohlen werden können, und die Identität des Inhabers muss geprüft werden. Das könnte also alles mit minimalem Zusatzaufwand bei der Bundesdruckerei (Erstellung in sicherer Umgebung) und den Bürgerämtern (Identitätsprüfung und Aushändigung) gemacht werden. Könnte – die Ausweise werden ohne Signaturzertifikat ausgeliefert. Dieses kann sich der Bürger dann – für rund 20 Euro pro Jahr – bei einer privaten Zertifizierungsstelle ausstellen lassen. Wahlweise auch auf einer normalen Kontakt-Chipkarte, ein ePerso ist dafür nämlich eigentlich gar nicht nötig.

Eine der größten Hoffnungen im Bezug auf den ePerso ist es jedoch, einen neuen Standard international zu etablieren – in der Hoffnung, dass deutsche Unternehmen dann die entsprechenden Produkte im Ausland anbieten können. Es ist zu befürchten, dass einige Entscheidungen auch mit Blick auf diese Möglichkeit getroffen wurden – auf Kosten der Sicherheit und statt auf existierende und bewährte Lösungen zu setzen. Kontaktlose Chipkarten bieten zwar auch einige Vorteile, bringen dafür aber einiges an Risiken und Komplexität mit sich – und damit natürlich auch Forschung und wirtschaftliches Potential.

Fazit

Wie viele staatliche IT-Großprojekte ist auch der elektronische Personalausweis gescheitert. Die Sicherheit entspricht nicht den Anforderungen, die ein solches Projekt erfüllen müsste – was man auch an der erheblichen Sicherheitslücke in der AusweisApp sieht, die direkt nach der Veröffentlichung aufgedeckt wurde.

Der elektronische Ausweis bietet Lösungen, wo es keine Probleme gibt: Er soll die Fälschungssicherheit eines Dokuments erhöhen, was als eines der fälschungssichersten weltweit gilt. Er soll die elektronische Signatur ermöglichen, die längst möglich ist. Lediglich die Ausweisfunktion ist neu – und die Teile davon, die wirklich nötig wären, hätte man auch mit bestehender Technik einfacher haben können.

Der Nutzen für die Bürger hält sich in Grenzen: Behördengänge sind bei einigen wenigen Behörden online möglich, ansonsten kann der Ausweis kaum irgendwo genutzt werden. Die Akzeptanz ist gering, selbst wo der Ausweis genutzt werden kann, tun das nur sehr wenige Nutzer. Neben den bekannt gewordenen Sicherheitslücken verursacht der Ausweis neue Gefahren. Bei Onlineeinkäufen könnte er das Risiko vom Händler auf die Kunden verlagern, und er bietet gegenwärtigen und zukünftigen Regierungen ein mächtiges Instrument, um anonyme Meinungsäußerung im Internet zu unterdrücken – entsprechende Wünsche werden vor allem aus Reihen der Union auch regelmäßig geäußert.

Die Einführung des neuen elektronischen Personalausweises hat viel Geld gekostet. Angesichts der offensichtlichen Wünsche, ein exportierbares Produkt zu entwickeln, wird deutlich, dass Wirtschaftsförderung zumindest ein Grund für die Einführung war – wenn nicht sogar der Hauptgrund, hinter dem andere Aspekte zurücktreten mussten. Der Großteil der Kosten aber fällt ständig mit der Ausstellung neuer Ausweise an – und muss über die Ausstellungsgebühren direkt von den Bürgern getragen werden. Da die jährlichen Kosten die Einführungskosten massiv übersteigen, ist es nie zu spät, das Projekt einzustampfen, und wieder chipfreie Ausweise auszugeben. Den für die Bürger größten Vorteil des neuen Personalausweises kann man dabei sogar beibehalten: Das handliche Kreditkartenformat.

Für die Wirtschaft bleibt ja noch der ePass, die elektronische Gesundheitskarte, DE-Mail, ggf. eine Neuauflage von ELENA, und sicher noch andere „sinnvolle“ Projekte…

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: