Stichtag 1. November: Mit dem neuen Ausweis kommt die Online-Identität

Eigentlich hatte alles so gut begonnen. Verbraucher- und Datenschützer rühmten das „hohe Sicherheitsniveau“ des neuen Personalausweises, sogar der sonst so kritische Chaos Computer Club (CCC) lobte die Technik, mit der die Daten verschlüsselt sind. Doch das war einmal. „Der Ausweis ist mitnichten ein hundertprozentig sicheres System. Der Besitzer sollte sich nicht von den bunten Marketing-Broschüren beeindrucken lassen“, sagt Constanze Kurz vom CCC heute. Ihr Rat: Bevor am 1. November der neue Personalausweis kommt, sich noch den alten besorgen. Der sei sicherer.

Dabei soll das neue Dokument eigentlich gerade das Internet sicherer machen. Verträge abschließen, Amtsbesuche, Lotto spielen – wofür man bislang vor die Tür musste, geht künftig per Mausklick. Das neue System sei besser als die alte Methode, bei der Nutzer auf Websites nur einen Benutzernamen und ein Passwort eintippen, heißt es beim Bundesinnenministerium.

Deswegen ersetzt in zwei Wochen eine Scheckkarte den bisherigen Ausweis. Bis auf das Format ändert sich am Aussehen nicht viel. Noch immer sind die gewohnten Daten aufgedruckt: Name, Geburtstag, Staatsangehörigkeit, oben rechts das übliche Passfoto. Wie beim Reisepass muss das nun aber biometrisch sein. Im Innern des neuen Ausweises steckt ein Chip. Er speichert die persönlichen Daten noch einmal digital lesbar für Maschinen. Ein solcher Chip kann kontaktlos aus einigen Metern Entfernung ausgelesen werden. Deswegen sind alle Daten darauf verschlüsselt.

Was sein Ausweis alles können soll, entscheidet der Eigentümer selbst. Eine Funktion ist die sogenannte elektronischen Identität (eID). Damit kann der Eigentümer im Internet oder an Automaten belegen, dass es sich tatsächlich um ihn handelt. So soll der Verbraucher künftig sein Auto anmelden können oder ins Hotel einchecken können, ohne wie früher persönlich in die Kfz-Stelle oder an die Rezeption zu gehen. Eine weitere Funktion ist die elektronische Signatur (QES). Sie ersetzt die eigenhändige Unterschrift und macht Vertragsabschlüsse künftig online möglich. Unternehmen können auch spezielle Daten wie das Alter digital abfragen. Beispielsweise ein Online-Videoverleih, der sichergehen will, dass er seine Horrorfilme nur an Volljährige vergibt. Sicherheitsexperten raten gerade unerfahrenen Computernutzern, diese Funktionen erst gar nicht zu aktivieren.

Um die Daten auf den Computer zu übertragen, braucht man ein Kartenlesegerät für den Computer. Eine kostenlose Software übermittelt die Daten. Außerdem erhält der Ausweisinhaber eine sechsstellige PIN. Allein die korrekte Geheimnummer schaltet den Ausweis frei. Die Daten können nur geprüfte Unternehmen anfordern. Dazu müssen sie sich beim Bundesverwaltungsamt in Köln registrieren, das die Zertifikate regelmäßig neu vergibt.

Das System hinter dem neuen Ausweis ist kompliziert. Mehrere Jahre haben die Entwickler daran getüftelt, haben versucht den neuen Personalausweis zum sichersten Dokument zu machen, das es gibt. Die größte Angst: Daten-Diebe stehlen ganze Identitäten. Doch solange ein Fremder nur einen Teil besitzt – Pin oder Ausweis – kann er nichts ausrichten. Auch Späh-Software wie Trojaner könnten die Daten nicht auslesen, sagt Philipp Spauschus vom Bundesinnenministerium. Doch vor wenigen Monaten zeigten Hacker vom CCC in einer Fernsehsendung, was passiert, wenn der Inhaber seinen Ausweis aus den Augen lässt. Sie brachen in einen Computer ein, an dem ein Lesegerät samt Personalausweis hing. Sie stahlen die Geheimnummer und änderten sie. „Die Technologien, die die Daten auf dem neuen Personalausweis schützen, sind auf dem allerhöchsten Niveau“, sagt Spauschus. Ja, sagen auch Kritiker, doch fraglich sei, wie das in zehn Jahren ist. So lange ist der Ausweis gültig.

Tatsächlich hat den neuen Ausweis bislang niemand geknackt, auch nicht der CCC. Im TV-Beitrag war der Computer die Schwachstelle; nicht die Karte, wie das Ministerium betont. Die Hacker hatten den Rechner mit einer Software infiziert, mit der sie ihn kontrollieren konnten. Ein anderes Programm zeichnete die eingegebene Geheimzahl auf. Weil der Nutzer seine Karte im Lesegerät vergessen hatte, bekamen die Hacker beides in die Hände: Karte und Pin.

Verbraucher sollten die Schutzsoftware ihres Computers ständig aktualisieren, um eben solche Angriffe zu verhindern, hieß es anschließend aus dem Bundesamt für Sicherheit in der Informationstechnik. Für den CCC der eigentliche Knackpunkt: Bald bekommt jeder Antragssteller beim Bürgeramt eine Karte in die Hand, die auf Wunsch allerhand Funktionen hat. Wie sicher seine Identität ist, dafür muss er zum Großteil selbst sorgen. BMI-Sprecher Spauschus sagt: „Für die Verbraucher gelten dieselben Sorgfaltspflichten wie etwa beim Online-Banking. Dazu gehört auch, dass man seinen Computer mit einem aktuellen Virenschutz und einer Firewall wirksam gegen Schad-Software schützt.“

Der Bundesbürger muss also die Vor- und Nachteile des neuen Ausweises abwägen. Denn trotz aller Vorkehrungen – die absolute Sicherheit wird es nie geben. Wer dem neuen Ausweis nicht traut, muss keinen bestellen. Einen Reisepass zu besitzen, reicht in Deutschland auch.

Laura Höflinger