Besuch bei der Bundesdruckerei

Bernd Schlömer und ich sind Anfang November einer Einladung der Bundesdruckerei gefolgt und haben sie in Berlin besucht. Dabei ging es vor allem um den elektronischen Personalausweis (weswegen ich dabei war). Hier möchte ich euch kurz von dem Besuch berichten und auch an einigen Stellen meine Meinung dazugeben.

Wir bekamen eine kurze Vorstellung der Bundesdruckerei, eine Führung durch die ePerso-Produktion (ein paar Infos zum Aufbau des Ausweises siehe hier, hier und hier Edit: und hier) und haben anschließend sachlich über unsere Kritik am eID-Verfahren diskutiert.

Die Bundesdruckerei ist eine GmbH in Staatsbesitz, also ein gewinnorientiertes Unternehmen. Sie handelt somit nach wirtschaftlichen Kriterien; Behörden sind entsprechend Kunden der Firma. Die Bundesdruckerei bedient auch ausländische Kunden. Die Bundesdruckerei-Gruppe umfasst neben der eigentlichen Bundesdruckerei GmbH noch weitere Firmen, unter anderem auch die Zertifizierungsstelle D-Trust.

Die Bundesdruckerei sieht in eID eine große und für die Zukunft auch extrem wichtige Chance. Die sichere Authentifizierung im Internet ist ein wichtiges Problem, welches der ePerso löst. Die Sicherheitsprobleme, die sich im Umfeld der eID-Anwendung (hauptsächlich AusweisApp) finden, seien lösbar und daher kein Argument gegen die eID-Lösung. (Ich bin da eher der Meinung, dass die Sicherheitsprobleme mit der Zeit mehr werden, da mit der Zeit attraktive, aber unsichere Nutzungsweisen eingeführt werden. Beispielsweise ist geplant, den ePerso auch an Automaten einzusetzen, was weitere erhebliche und prinzipbedingte Gefahren birgt.)

Die Bundesdruckerei ist ein wenig enttäuscht darüber, dass wir als moderne Technikpartei den ePerso so vehement ablehnen, und dass die Diskussion teilweise unsachlich geführt wird.

eID biete große Vorteile für Bürger und Unternehmen. Beispielsweise könnte man mit eID Konten online eröffnen, ohne zwecks Postident zur Post rennen zu müssen. Das sehe ich übrigens genauso – bin aber der Meinung, dass sich das mit normalen Signaturkarten gut machen lässt.

Wir haben daher auch darüber gesprochen, warum auf eine neue Technik (das eID-Verfahren) statt auf das gewöhnliche, alte Signaturverfahren gesetzt wurde. Diese Vorgaben kamen vom BSI bzw. BMI. Die Bundesdruckerei war zwar beratend tätig, die Kernentscheidungen wurden aber von BSI/BMI getroffen. Die von mir geäußerte Vermutung, dass auch wirtschaftliche Interessen (der Wunsch nach einem neuen, international exportierbaren Standard) bei den Designentscheidungen eine Rolle gespielt haben könnten, wurde entschieden verneint – das BSI würde sowas nicht mit berücksichtigen. Es kann natürlich auch sein, dass das BSI einfach eine eigene Technologie haben wollte.

Die eID-Technologie hat gegenüber von gewöhnlichen Signaturkarten einige Vorteile. Beispielsweise weist sich nicht nur der Ausweisinhaber gegenüber einer Website (dem Diensteanbieter) aus, sondern es findet eine beidseitige Authentifizierung statt. Nur Diensteanbieter, die zertifiziert sind, auf geeigneten Datenschutz geprüft wurden, die Daten auch wirklich benötigen, vertrauenswürdig sind etc. bekommen ein Berechtigungszertifikat, was zum Auslesen des elektronischen Personalausweises nötig ist. Gleichzeitig dürfen sie nur die Daten auslesen, die sie benötigen, und der Nutzer kann Daten einzeln freigeben. Das wäre mit gewöhnlichen Signaturkarten nur eingeschränkt möglich.

Weiterhin gibt es die Möglichkeit, z. B. anonym das Alter zu beweisen oder sich mit einem karten- und seitenspezifischen Pseudonym zu identifizieren. Das ist in der Tat eine Funktion, die mit Signaturkarten gar nicht geht. Die Pseudonyme gehen allerdings verloren, wenn man einen neuen Ausweis bekommt, was die Nutzbarkeit einschränkt. (Das ist eine -meiner Meinung nach korrekt getroffene- Designentscheidung.)

Ich konnte bei dem Gespräch auch einige Fragen zum Thema klären.

Die Personalausweise enthalten bei der Ausgabe keine Signaturzertifikate – um die sichere und sinnvolle Signaturfunktion zu nutzen, muss der Bürger sich neben einem teuren Lesegerät also noch ein solches Zertifikat kaufen, was ihn ca. 40 EUR pro Gültigkeitsjahr kostet. Technisch wäre es kein Problem, die Zertifikate von vorne herein aufzuspielen, und die zur Bundesdruckerei-Gruppe gehörende D-Trust GmbH kann solche Zertifikate ausstellen. Die Entscheidung, die Zertifikate nicht mit aufzuspielen, war eine politische Entscheidung, von der die Leute von der Bundesdruckerei auch nicht wirklich begeistert sind. Ein Argument für diese Entscheidung, was mir an anderer Stelle genannt wurde, war, dass das ja ein Eingriff in den freien Markt wäre und deswegen nicht gemacht wurde. Leider hat das zur Folge, dass eine der wirklich guten Funktionen des Ausweises für die Bürger nur mit zusätzlichem Aufwand und Kosten erreichbar ist.

Die Entscheidung, auf drahtlose Technik (NFC/RFID) statt normale kontaktbehaftete Technik zu setzen, hat mehrere Gründe. Einmal die Haltbarkeit, die Tests zufolge deutlich besser sein soll – auch gegenüber mechanischen Belastungen wie „10 Jahre lang in der Hosentasche rumtragen“ und die damit verbundenen Biege-Belastungen. Die Karten sollten also die 10 Jahre durchhalten. Zudem haben moderne Handies zum Teil NFC, aber keine kontaktbehafteten Schnittstellen. Mit einer kontaktbehafteten Karte wären mobile Nutzungen so ausgeschlossen, deswegen wurde NFC als Technologie der Zukunft gewählt. Weiterhin soll der ePerso kompatibel mit den elektronischen Reisepässen sein, die kontaktlos gelesen werden.

Es ist davon auszugehen, dass die Lesereichweite von wenigen Zentimetern sich nicht deutlich ausweiten lässt. Für „dumme“ Karten existieren zwar Experimente, die mit großen Antennen eine Ausweitung auf rund 25 cm hinbekommen. Der ePerso-Chip ist aber deutlich komplexer und hat damit einen höheren Stromverbrauch. Daher sei es unwahrscheinlich, dass man aus 10 cm eine benutzbare Verbindung hinbekommt, die auch stabil bleibt, wenn das eID-Verfahren anläuft und die Kryptoprozessoren anfangen Strom zu ziehen. Die MARS-Studie des BSI, auf die ich hingewiesen wurde, ist leider noch nicht abgeschlossen, dürfte dazu aber weitere Erkenntnisse bringen.

Zum Thema RFID-Fingerprinting hatte die Bundesdruckerei leider auch keine weiterführenden Informationen.

Für die pseudonyme Identifikationsfunktion haben zahlreiche Personalausweise den gleichen privaten Schlüssel („Generationenschlüssel“). Dieser Schlüssel ist in jedem Ausweischip gespeichert und verlässt den Chip nicht. Würde es jemand schaffen, den Schlüssel auszulesen (z. B. über Seitenkanalangriffe oder Öffnen des Chips mittels FIB), wäre das ein ziemliches Sicherheitsproblem. Die Chips sind natürlich gegen solche Angriffe gesichert – aber eine Garantie dafür, dass das 10 Jahre lang hält, trauen sich auch die Hersteller der Chips nicht abzugeben. (Die Chips stellt die Bundesdruckerei nicht selbst her, sondern kauft sie von externen Herstellern ein.) Die genauen Folgen, die ein solcher Angriff hätte, sind noch nicht ganz klar. Es gibt eine Möglichkeit, auf einen zweiten, chipindividuellen Schlüssel zurückzugreifen. Das zerstört die Anonymität bzw. starke Pseudonymität, löst aber das Sicherheitsproblem. Weiterhin sollen die unveränderlichen Daten abweichend von dem was in der TR 3127 des BSI  steht (S. 14 oben) mittels eIDSecurityInfo gemäß BSI-TR 3110 A.1.1.6 signiert sein. Das dürfte viele Angriffe verhindern, selbst wenn die Schlüssel leaken. (Möglicherweise sind diese Signaturen auch erst dann abrufbar, wenn die chipindividuellen Schlüssel freigeschaltet werden.)

Das Nachladen von Zertifikaten für die Qualifizierte Elektronische Signatur erfordert derzeit einen Medienbruch (Aktivierungscode per Post). Das ist gut, könnte sich aber noch ändern. Eine starke Sitzungsbindung an den Ausweis soll beim Nachladen vorhanden sein (das ist gut).

FAZIT
Ich bin immer noch kein Freund von ePerso und eID. Die eID-Funktion kann meiner Meinung nach nicht das Sicherheitsniveau bieten, auf welches viele vertrauen. Die millionenfach verteilten Basisleser sind unsicher, und die neuen Anwendungsszenarien sorgen für weitere Gefahren. Durch diesen Widerspruch zwischen angenommenem und tatsächlichem Sicherheitsniveau ergeben sich Gefahren für den Bürger – wenn er einem Angriff auf eID zum Opfer fällt, steht er einer erdrückenden Beweislast des „sicheren“ Systems gegenüber, die er wiederlegen muss (und nicht kann).

Eine elektronische Identifikationsfunktion im Internet halte ich für sinnvoll – zumindest solange man davon ausgehen kann, dass Bundestag und BVerfG die diversen Unionspolitiker unter Kontrolle halten können, die dann wieder ihre Idee mit dem Realnamenzwang im Internet aufwärmen. Die zusätzlichen Funktionen von eID sind aber meiner Meinung nach nicht nützlich genug, um die Inkompatibilität und Sicherheitsprobleme in Kauf zu nehmen. Die wechselseitige Authentifizierung mittels Berechtigungszertifikat des Diensteanbieters wird eher eine bürokratische und teure Hürde sein, als ein nützliches Feature.

Den Verdacht, dass es sich beim ePerso (auch) um eine Wirtschaftsförderungsmaßnahme handelt und dieser Aspekt oft zu stark in den Vordergrund gerückt ist, werde ich trotz der gegenteiligen Beteuerungen leider auch nicht ganz los.

Elektronisch auslesbare Ausweisdokumente (Perso und Pass) laden außerdem zu zusätzlicher automatisierter Datensammlung und mehr (z. B. auch automatisierten) Kontrollen ein.

Daher bin ich weiterhin der Meinung: Den neuen Perso in Zukunft ohne Chip ausgeben, und davon getrennte, ggf. staatlich geförderte und vorzugsweise kontaktbehaftete Signaturkarten ausgeben, die auf bewährten internationalen Standards basieren. Die QES-Infrastruktur ist bereits teilweise vorhanden, und da sie auf bewährte Standards setzt, ist die Technik auch für Betreiber leicht einzurichten. Entsprechende signaturfähige Lesegeräte (Sicherheitsklasse 3) für kontaktbehaftete Signaturkarten sind für knapp 36 EUR inkl. Versand zu bekommen, die vergleichbaren Komfortleser beim ePerso kosten ab rund 100 EUR aufwärts. (Einen Standardleser mit Display, mit dem man nicht mittels ePerso signieren, aber eID halbwegs sicher nutzen kann, bekommt man schon ab rund 55 EUR. Mit einer normalen Signaturkarte kann dieser Leser übrigens signieren!)