Wirtschaft: Der neue Ausweis für die digitale Welt

Am 1. November kommt der neue elektronische Personalausweis. Er soll eine sichere Identifizierung im Netz ermöglichen, sagen die Erfinder. Viele Bürger sind jedoch verunsichert. Sie fürchten um die Sicherheit ihrer Daten.

„Blödsinn“, sagt Andreas Reisen. Das ginge schon technisch nicht. Jedenfalls dann nicht, wenn die Hacker nicht bereit wären, das Opfer des Datenangriffs im wahrsten Sinne des Wortes zu grillen. „Wir haben kürzlich mal durchrechnen lassen, wie stark die Strahlung sein müsste, um den neuen Personalausweis auf mehrere Meter Entfernung auszulesen“, sagt der Mann vom Bundesinnenministerium. „Das wäre sicherlich vergleichbar zu einer Mikrowelle.“

Dass er die Sorgen der Bürger nicht ernst nimmt, kann man dem Pass- und Ausweisbeauftragen nicht vorwerfen. Im konkreten Fall ging es um die Befürchtung eines Bürgers, ein gewiefter Ladenbesitzer könne womöglich erfahren, wer da gerade sein Geschäft betreten hat. Reisen winkt ab: „Und überhaupt, ohne Ihre Pin kommt keiner an Ihre Daten“, versichert er.

Die Episode zeigt jedoch, dass der neue elektronische Personalausweis nicht nur Neugier, sondern auch eine Menge Argwohn und Fragen provoziert. Das beginnt bereits mit der, warum wir überhaupt einen neuen Personalausweis brauchen.

DIE GRÜNDE

Die Frage nach dem Warum ist beim Bundesinnenministerium schnell beantwortet: „Seit einiger Zeit lässt sich beobachten, dass immer mehr Aktivitäten ins Internet verlagert werden, ohne dass es eine Möglichkeit gäbe, sich dort einheitlich und zweifelsfrei auszuweisen“, sagt Reisen. Mit dem neuen Personalausweis soll das nun möglich werden. Die Vision: Jeder soll sich sicher sein können, dass sein Gegenüber im Netz auch wirklich der ist, der zu sein er vorgibt.

Dass das Projekt neuer Personalausweis, wie in Hackerkreisen gemunkelt wird, nur auf Druck der IT-Lobby zustande kam, bestreitet Reisen. Auf seinem Schreibtisch seien in den vergangenen Jahren zahlreiche Petitionen von Bürgern eingegangen, die ein neues Ausweisformat gefordert hätten.

DIE AUFGABEN

In erster Linie erfüllt der neue Personalausweis genau die Funktion, die der alte schon jetzt hat: Er dient zur Feststellung der Identität. Um das auch im digitalen Raum zu ermöglichen, wurde in die scheckkartengroße Plastikkarte ein Chip integriert. Auf dem lassen sich – wenn man will – alle aufgedruckten Personendaten plus Foto und auch die Fingerabdrücke speichern.

Mit den digitalisierten Daten ließen sich dann beispielsweise Onlineformulare automatisch ausfüllen, Registrierungen vornehmen oder der Altersnachweis am Zigarettenautomaten bewerkstelligen. Setzt sich die Identifizierung im Netz durch, sind viele weitere Anwendungen denkbar: Kredite beantragen, Autos anmelden, Strafanzeigen aufgeben, Amtsgeschäfte erledigen, ohne Schlange zu stehen und Nummern zu ziehen.

Dabei soll der Bürger in jedem einzelnen Fall anklicken können, welche Daten er jeweils freigibt und welche nicht. Ist zum Beispiel eine reine Altersverifikation nötig, kann er verhindern, dass auch Name und Anschrift übermittelt werden.

DIE AUTHENTIFIZIERUNG

In den Computer gelangen die Daten von dem Chip über ein Kartenlesegerät. Die gibt es im Elektrofachhandel und kosten je nach Sicherheitsstandard zwischen zehn und hundert Euro. Parallel zur Einführung des Ausweises plant die Bundesregierung, rund 1,4 Millionen dieser Geräte über Partner wie die Allianz oder die Computerzeitschrift Chip zu verschenken. Mittels einer sechsstelligen und frei wählbaren Pin weist man sich als Besitzer der Karte aus. Weitere Sicherheitsüberprüfungen wie etwa die Eingabe von Tan-Nummern beim Onlinebanking werden durch den neuen Personalausweis allerdings nicht abgeschafft.

Will man mit dem Ausweis juristisch bindend Verträge signieren, wird noch ein zusätzliches Signaturzertifikat notwendig. Das ist eine Software, die man von einem Zertifizierungsdiensteanbieter kaufen kann und die auf der Karte gespeichert wird. Die Verkäufer der Zertifikate werden staatlich geprüft und zertifizieren auch Unternehmen, die die neue Technologie für Geschäfte im Internet nutzen wollen. So soll der Bürger vor Betrügern geschützt werden. Für die Signatur ist eine zweite Pin notwendig.

Eine dritte sechsstellige Zugangsnummer ist auf der Karte aufgedruckt. Mit dieser können zertifizierte Behörden, zum Beispiel Polizisten in einer Verkehrskontrolle, den Ausweis auslesen, wenn sie ein „hoheitliches Zertifikat“ erhalten haben.

DIE VORTEILE

„Die eine Killeranwendung, die alle überzeugt, gibt es nicht“, gibt Andreas Reisen vom Bundesinnenministerium zu. Trotzdem glaubt der Ausweisexperte, dass sich der neue Ausweis in wenigen Jahren als Standard durchsetzen wird. „Phishing, also das Ausspionieren von Passwörtern, wird dann ein Problem der Vergangenheit sein“, sagt er, weil ein Passwort ohne Ausweis nichts mehr nutzt.

DIE BEDENKEN

Die Kritik von Datenschützern und Computerexperten an der neuen Technologie fällt erstaunlich zahm aus. Verbraucherschutzministerin Ilse Aigner (CSU) sprach sich bereits vor Monaten für das neue System aus, der Bundesdatenschutzbeauftragte Peter Schaar rühmte kürzlich in Berlin das „hohe Sicherheitsniveau“ des neuen Personalausweises. Selbst eine Sprecherin des Chaos Computer Clubs (CCC) äußert keine grundsätzlichen Bedenken, was die Verschlüsselungstechnologie angeht. „Die Kryptografie ist gut“, sagt sie.

Für den CCC liegt das eigentliche Problem jedoch woanders. „Mit dem neuen Personalausweis wird das Sicherheitsmanagement auf den Benutzer abgewälzt“, klagt die Sprecherin. Dabei seien jedoch die wenigsten Anwender in der Lage, ihren Computer wirksam vor Angriffen von Hackern zu schützen.

Der CCC empfiehlt deshalb den Bürgern, sich noch vor November einen alten Ausweis zu holen, der dann bis 2020 gültig bleibt, oder den Chip abschalten zu lassen. Das ist jederzeit bei jedem Bürgeramt möglich. Die Computerexperten befürchten, dass die Kosten und Schäden gewaltig sein könnten, sollte es jemandem gelingen, Pin und Ausweis in seinen Besitz zu bringen, um dann unter falscher Identität Verträge abzuschließen oder kostenpflichtige Dienste in Anspruch zu nehmen.

Datenschützer Peter Schaar sieht auch nicht die Notwendigkeit, Fingerabdrücke auf dem Chip zu speichern. „Ich sehe da keinen Mehrwert“, erklärte er gegenüber dem Tagesspiegel. Außerdem empfiehlt er, mindestens ein Lesegerät zu kaufen, das der Sicherheitsklasse 3 entspricht. Diese Geräte verfügen unter anderem über eine eigene Tastatur. Das verhindert, dass die Pin über die Computertastatur eingetippt werden muss, wo sie von Spionageprogrammen abgegriffen werden kann.