Elektronischer Personalausweis Kartenleser

Ausweiskartenleser

e-Government, e-Business und elektronischer Rechtsverkehr zwischen Bürgern. zur Unterzeichnung qualifizierter elektronischer Signaturen (eSign) nach dem Signaturgesetz. Der Kartenleser muss den Chip des elektronischen Personalausweises berührungslos über NFC-Kommunikation lesen können. Der Grund dafür ist, dass kaum jemand einen Kartenleser zur Hand hat.

Komfortkartenleser für den Personalausweis

Komfortkartenleser besitzen eine Eingangstastatur und ein eigenes Gerät. Um die Signaturfunktion (eSigns-Funktion) des Ausweises zu verwenden, sind Komfortleser unbedingt erforderlich. Mithilfe der Signaturfunktion (eSigns-Funktion) mit einem komfortablen Kartenleser ist es möglich, qualitativ hochwertige digitale Unterschriften (QES) zu generieren und damit die Sicherheit elektronischer Unterlagen zu gewährleisten. Komfortkartenleser sind deutlich teuerer als einfache Kartenleser oder Standardkartenleser.

Die " alten " und die " neuen " Ausweise

Der neue Ausweis wird seit dem 11. Oktober 2010 von den Zulassungsbehörden ausgestellt. Statt des bisher verwendeten maschinell lesbaren Ausweises wird seit dem 11. September 2010 ein elektronischer Personalausweis mit Jeton ausgestellt. Es ist kleiner, im gewohnten Kreditkartenformat und hat weitere Ausstattungsmöglichkeiten. Im Jahr 1987 wurde der bisher als kleines Reisepassbuch ausgestellte Personalausweis durch eine kunststoffbeschichtete Visitenkarte im sogenannten 2.

Ein Teil der Informationen auf dieser Visitenkarte ist auch in maschinell lesbarer Ausführung gedruckt. Der neue Personalausweis wird seit Nov. 2010 in einem verkleinerten Ausweisformat und mit Zusatzfunktionen aufbereitet. Es ist ein Kennwort für den Zugriff der Regierung auf die auf dem Chipdaten. Die auf dem Baustein abgelegten Informationen und die dazugehörigen Informationen wie PIN und PUK sind Neuerungen.

Hinsichtlich des Zugriffs auf die Chipdaten wird zwischen souveränen und nicht souveränen Funktionalitäten differenziert. Die klassische Funktion eines Ausweises als Ausweis, Adresse und/oder Nationalität bei Polizei- und Grenzkontrolle wird als Hoheitsfunktion bezeichne. Nach § 17 Pauschalgesetz können nur die Polizei, die Zollbehörde, die Finanzbehörde und die Ausweis-, Pass- und Registrierungsbehörden im Zusammenhang mit ihren Tätigkeiten auf die elektronischen Unterlagen zurückgreifen.

Eine der wichtigsten und umstrittensten Neuerungen ist die Ablage der digitalen Fingerprints auf dem Chips. Bereits 2002 wurde die grundlegende Speichermöglichkeit von biometrischen Angaben auf dem Personalausweis nach den Anschlägen vom Terroranschlag vom 11. 9. 2001 durch den ehemaligen Bundesinnenminister Otto Schily unter Hinweis auf eine UN-Resolution in einem Gesetzespaket zur Terrorismusbekämpfung erzwungen.

Dieser wurde von der Regierung mit dem Gesetzentwurf zur Änderung des geltenden Personalausweisgesetzes 2009 vorgestellt und sah die allgemeine Erfassung und Aufbewahrung von digitalen Fingerabdrücken vor. Dies war zunächst überraschend, da in der damals herrschenden Großen Koalition über die Sammlung und Aufbewahrung von digitalen Fingerabdrücken in Reisepässen im Jahr 2007 ein parlamentarischer Konsens erreicht worden war.

Seit 1997 arbeitet die Internationale Zivilluftfahrt-Organisation (ICAO), eine Organisation der UNO für Vereinbarungen in der zivilen Luftfahrt, daran, die Aufbewahrung von biometrischen Merkmalen in elektronische Reisepässe für gemeinsame Kontrollen an den Grenzen zu standardisieren. Während der Einführung in Deutschland gab es jedoch Befürchtungen, dass bei dieser Gelegenheit eine Zentraldatei mit Fingerabdrücken aller deutscher Reisepassinhaber erstellt werden könnte, die Erinnerung an eine korrespondierende Fingerabdrucksammlung von jüdischen Personen während der nationalsozialistischen Ära aufweckte.

Es wurde daher beschlossen, dass die Steuerung der elektronischen Fingerprints nur vor Ort durch einen Vergleich mit einem Fingerprintleser und nicht mit einer dauerhaften Akte stattfinden darf. Deshalb sieht 16 Paßgesetz vor, daß die gesammelten Digitalfingerabdrücke nach der Übergabe des Passes von den Paßbehörden gelöscht werden müssen. Die Verweigerung der Aufbewahrung von Fingerabdrücken auf dem neuen Personalausweis beruht auf den rechtlichen Bestimmungen über die Pflicht zur Vorlage eines Personalausweises.

Dies kann mit einem Personalausweis oder alternativ mit einem Pass erfolgen. Die meisten Staaten Europas können auch mit einem Personalausweis betreten werden. Hätte man die Registrierung auf dem neuen Personalausweis obligatorisch gemacht, wäre dieser Weg gesperrt worden und es wären letztendlich alle über 16 Jahre alten Menschen zu Fingerabdrücken verpflichtet gewesen.

Die 9 legt fest, dass die Speicherung der Fingerprints nur auf Anforderung erfolgt. Grundlegend neu ist die zusätzlich nichtstaatliche Funktionalität des digitalen Ausweises. Gemäß 18 PauwG kann der Karteninhaber, der das 16. Lebensjahr vollendet hat, mit seinem Personalausweis "seine Personalien gegenüber Behörden auf elektronischem Wege nachweisen".

Diesen Nachweis der Identität liefert "die Übertragung von Informationen aus dem Datenträger des Personalausweises". Das auf dem Personalausweis eingesetzte Vorgehen ist im weltweiten Branchenvergleich das Datenschutz- freundlichste und am sichersten (siehe auch Cubicek und Noax 2010). Gemäß 18 Abs. 4 EPAuswG dürfen personenbezogene Angaben vom Baustein nur übertragen werden, "wenn der Dienstleister dem Ausweisinhaber ein rechtsgültiges Autorisierungszertifikat übergibt und dieser anschließend seine Geheimzahl eingibt".

Im Zulassungszertifikat muss der Dienstleister den Name und die Adresse, die E-Mail-Adresse, die Art der zu übertragenden Informationen, den Verwendungszweck, einen Verweis auf die für den Datenschutz verantwortliche Aufsichtsbehörde und die Geltungsdauer der Zulassungszertifikate angeben. Die Karteninhaber können im konkreten Fall entscheiden, welche ihrer persönlichen Angaben sie an den entsprechenden Dienstleister weitergeben möchten. Bei allen anderen europÃ?ischen LÃ?ndern mit Ã?hnlichen FunktionalitÃ?ten auf dem Personalausweis haben Dienstleister Zugang zum kompletten Datenbestand.

Mit dem neuen Personalausweis wird die im BDSG festgelegte Anforderung der Datenökonomie auch dadurch beispielhaft umgesetzt, dass je nach Anforderung das Datum der Geburt nicht genannt werden muss, sondern nur, ob ein gewisses Lebensalter überschritten wird oder nicht. Dienstleister können bei einer vom Bundesministerium des Innern (BMI) zu benennenden Einrichtung die Genehmigung einholen, "die für die Erfüllung ihrer Aufgabe oder geschäftlichen Zwecke notwendigen Angaben vom Ausweisinhaber mittels eines Berechtigungsnachweises mittels elektronischem Ausweis anzufordern".

Hierzu muss der Anmelder die Notwendigkeit der Übermittlung der Angaben für den genannten Verwendungszweck aufzeigen. Zudem müssen die datenschutzrechtlichen Vorgaben einer Personalausweisverordnung (PAuswV) eingehalten werden, und es muss "kein Nachweis eines Missbrauchs der Berechtigung" ersichtlich sein. Nach der vorgenannten VO kann der Auftraggeber "von der für einen nicht öffentlichen Dienstleister verantwortlichen Datenschutzaufsichtsbehörde eine Erklärung darüber erhalten, ob dort Sachverhalte bekannt sind, die Hinweise auf einen Missbrauch der Zulassung geben" ( 29 Abs. 3 P. 3 P auwV vom 11. November 2010).

Der elektronische Personalausweis ist auf jedem von der Deutschen Bundesdruckerei produzierten Personalausweis fachlich umgesetzt. Für den Nachweis der Identität ist die 6-stellige PIN (Personal Identification Number) erforderlich. Er kann sowohl auf dem eigenen Rechner als auch in der Ausweisbehörde geändert werden. Werden drei falsche Eingaben gemacht, wird die PINEingabe gesperrt und muss durch Eingeben des PUK (Personal Unblocking Key) wieder aufgehoben werden.

Das Sperrpasswort kann verwendet werden, um die Funktionalität des Personalausweises bei Verlust oder Missbrauchsverdacht per Telefon zu blockieren. Für den Einsatz des Kartenlesers mit Treiber- und Spezialsoftware, zunächst "Bürgerclient", heute "Ausweis-App".

Die Karte hat einen RFID-Chip, so dass nur berührungslose Kartenleser berücksichtigt werden. Wie die Kartenleser für Kontaktchipkarten sind sie in drei verschiedene Sicherheitsebenen unterteilt, die vom Bundesministerium des Innern wie folgt benannt wurden: Dieser Kartenleser wird damit als sicheres Signaturerzeugungsgerät im Sinn des Gesetzes über die digitale Signatur betrachtet und ermöglicht die rechtlich verbindliche digitale Signierung von Schriftstücken durch eine qualifizierte Signierung.

Der Einsatz eines RFID-Chips hatte aufgrund der funkbasierten Anfrage bereits eine Debatte über die Sicherheitslücke im digitalen Pass auslöst. Datenauslesung und Datenvernichtung wurden gemeldet. Der WDR berichtete am Samstag, dem 13. Oktober, über die mögliche Vernichtung der RFID-Chips des neuen Ausweises, dass Neuntklässler den Chips im Physik-Unterricht nach Anweisung aus dem Netz abgeschaltet hätten.

Weitere Gefahren bestehen im Zusammenhang mit dem Nachweis der Identität. Bei elektronischem Personalausweis ist das Risiko des Missbrauchs niedriger, denn der missbräuchliche Gebrauch erfordert nicht nur die genaue PIN-Nummer, sondern auch das Ablegen des Personalausweises auf einem Kartenleser. Der BMI vertritt die Auffassung, dass dies einen Identitätsdiebstahl erfordern würde, doch der chaotische Computerclub hat bewiesen, dass ein Mißbrauch auch dann möglich ist, wenn der Karteninhaber seine Karte auf dem Kartenleser liegt.

Bemerkenswerterweise sind solche Verpflichtungen in der Tat in der Personalausweis-Verordnung festgeschrieben. Im § 23 Abs. 2 steht: "Der Karteninhaber hat dafür zu sorgen, dass bei der Verwendung des Personalausweises vor allem folgende Bestandteile verwendet werden: Informationstechnologische Anlagen mit entsprechenden Schutzmaßnahmen gegen Sicherheitsmängel nach dem neuesten technischen Standard, vom BSI zertifizierte Leser, vom BSI zertifizierte Programme für den Einsatz von Ausweispapieren.

Spiegel Online hatte am 8. November 2010 eine Sicherheitsmängel in der Anwendung und einen Tag später berichtet: "BSI blockiert den Download der ID-Card-App". Neu ist auch die Aufbereitung für die elektronischen Unterschriften. Bei der elektronischen Unterschrift handelt es sich um ein Verfahren, mit dem ein Dokument klar einem Urheber zugeordnet und zugleich der Content vor Fälschungen geschützt werden kann.

Bei einem Trustcenter muss der Vertragsunterzeichner als Zertifizierungsdienstleister ein geheimes und ein öffentliches Schlüsselpaar einreichen. Die Geheimzahl wird unleserlich auf einer Chip-Karte abgelegt, das Publikum wird in einem über das Netz erreichbaren Adressbuch publiziert. Im Gegensatz zum elektronischen Personalausweis, der die Identitätsprüfung von Menschen zulässt, gestattet die qualifizierende Unterschrift die Identitätsprüfung eines Dokumentes in Bezug auf die Zuweisung an einen gewissen Urheber oder Versender und in Bezug auf die Vollständigkeit.

Sollen Transaktionen oder Verwaltungsverfahren, die der schriftlichen Form bedürfen, im Internet abgewickelt werden, muss nach dem Nachweis der Identität in der Regel zusätzlich eine digitale Unterschrift angebracht werden. Im Gegensatz zum Ausweis wird die digitale Unterschrift jedoch nicht von Anfang an auf dem Ausweischip des neuen Ausweises umgesetzt. Die technische Vorbereitung und Zertifizierung des Chips ist so weit fortgeschritten, dass der Karteninhaber bei einem Trustcenter eine Unterschrift anfordern und den Privatschlüssel darauf auslesen kann.

Bei den Planungen zur EinfÃ?hrung des neuen Ausweises wurde nicht nur die Aufbereitung der Ausweisstellen fÃ?r ihre verÃ?nderten Aufgabenstellungen bei der Antragstellung und Ausstellung der neuen Personalausweise durchgefÃ?hrt. Ein beaufsichtigter Bewerbungstest für den Ausweis wurde ebenfalls konzipiert, beworben und ausgeführt, so dass zum Ausstellungszeitpunkt des ersten Ausweises eine ausreichende Zahl von attraktiven Bewerbungen vorliegt.

Die Prüfung startete im Juli 2010, aber am 11. Oktober 2010 gab es noch kein bindendes Einzelangebot. Die Ausstellung eines Zertifikates durch die ausstellende Behörde heißt jedoch nicht, dass die eID-Funktion zur Authentifizierung für die entsprechenden Online-Dienste genutzt wird. Selbst fünf Jahre nach der ersten Antragsmöglichkeit auf elektronische Identitätsnachweise ist es noch nicht möglich, fundierte Angaben zu ihrer Annahme zu machen.

Bei einer Befragung des Branchenverbandes BITKOM im März 2010 erklärten 30% aller Internet-Nutzer, dass sie vorzeitig einen neuen Personalausweis anfordern würden. Die gleiche Anzahl von Befragten gab an, vor dem Stichtag der Befragung ganz gezielt einen älteren Personalausweis für zehn Jahre beanspruchen zu wollen.

Bei der Befragung war weder bekannt, dass der neue Personalausweis ein Vielfaches des bisherigen beträgt, noch wo man den neuen Personalausweis verwenden kann. Beispielsweise möchten 38% der Teilnehmer die eID-Funktion im Online-Banking nutzen. Lediglich eine einzige Institution, die DKB (Deutsche Kreditbank), nahm am Bewerbungstest teil und nutzte die eID-Funktion nur zur Eröffnung von Konten, nicht aber zur Verwaltung von Online-Konten.

In diesem Beispiel wird die Zweideutigkeit der Verwendung der eID-Funktion sehr gut veranschaulicht. Sie erhalten dann die Rückmeldung nach dem Post-Ident-Verfahren, bei dem der Zusteller den Beleg erst gegen Vorweisung des Ausweises übergibt und die Ausweisdaten nachweist. Mit der eID-Funktion kann dieser Vorgang für die Hausbank wesentlich einfacher und kostengünstiger gestaltet werden.

Wenn die Eröffnung eines Kontos nicht der alleinige Vorgang der Online-Authentifizierung ist, für den Sie einen Kartenleser und die ID-App installieren, wird es auch für den Benutzer ein wenig leichter sein. Die DKB stellt aber auch keine Authentifizierung mit der eID-Funktion zur Verwaltung von Online-Konten zur Verfügung. Durch die eID-Funktion auf dem neuen Personalausweis kann diese automatische Datensicherung der einzelnen Vorgänge nicht ersetzt werden.

Müssen sie sich jedoch an die TANs halten, besteht für die Filialen und Sparkassen in Deutschland kein Anlass, das Anmeldeverfahren von Benutzernamen und Kennwort auf eID-Funktion zu ändern und einen Kartenleser und eine ID-Karten-App anzufordern. Das kommt auch als allgemeine Vorgehensweise nicht in Betracht, da es noch zehn Jahre dauern wird, bis der zuletzt verwendete Personalausweis ausgetauscht werden muss und nur ein Teil der Besitzer einer neuen Karte die eID-Funktion aktiviert hat.

Dieser lange, so genannten Roll-out-Zeit und freiwillige Charakter erlaubt nur allen Dienstleistern, Firmen und Ämtern die Nutzung der eID-Funktion neben den bisher üblichen Authentifizierungsverfahren. Für den Anwender ergibt sich jedoch die Fragestellung, warum man den Einsatz mit einem Kartenleser und einer Applikation durchführen sollte, wenn die vermeintlich weniger gesicherten Prozeduren beibehalten werden.

Weil die Freischaltung des Nachweises der Identität explizit deklariert werden muss, ergibt sich die Fragestellung nach den Vorteilen und Gefahren aus der Perspektive des Karteninhabers als Internet-Nutzer. Mit dem neuen Personalausweis erhält er zuverlässige amtliche Registrierungsdaten und vermeidet durch das automatisierte Lesen auch Eingabefehler, die bei der Eingabe von Name und Adresse immer mit zusätzlichem Arbeitsaufwand verbunden sind.

Warum aber sollte ein Ausweisinhaber einen Personalausweis anfordern, einen Kartenleser erwerben, die Kartenapp herunter laden, um Dienstleistern diese Leistungen zu bieten? Auch in einem Faltblatt im ID-Format wurden zu Beginn des Jahres 2010 noch sehr weit reichende Anwenderversprechen gemacht: "Von jedem Ort ins Büro: Mit dem digitalen Personalausweis lassen sich Verwaltungsformalitäten bequem im Internet erledigen: zu jeder Zeit und an jedem Ort.

"Volles Selbstvertrauen im Internet. Dank des digitalen Identitätsausweises wissen Sie immer, mit wem Sie es im Netz zu tun haben. "Diese Leistungsversprechen können nicht alle dem BMI als Verleger des neuen Identitätsausweises zusichern, da die zugesagte Nutzung immer vom Leistungsverhalten der Anbieter abhängig ist. Der neue Personalausweis übernimmt in der so genannte reale Realität die oben beschriebene hoheitliche Funktion zur Prüfung von Name, Wohnort, Nationalität, Echtheit der Karte usw. in einem abgeschlossenen Techniksystem mit einer zentralen Kontrolle, einheitlichen offiziellen Registriergeräten, die von Polizei und Zoll betrieben werden und eine Identifikation der Benutzer erfordern.

Im sogenannten Virtual World, also in Online-Shops und staatlichen Online-Angeboten, gibt es unzählige verschiedene Kombinationsmöglichkeiten von Computern, Betriebsystemen, Browser, Kartenlesern etc. einerseits und verschiedenen Systeme auf der Anbieterseite, mit denen eine Vielzahl von nicht standardisierten Prozessen von der Erstanmeldung über Einzelverträge oder Altersüberprüfung bis hin zur Genehmigung von Einzeltransaktionen durchgeführt werden kann.

Im Gegensatz zur Praxis wird die Identifikation mit dem neuen Personalausweis nahezu immer als Zusatzoption zu bestehenden Prozeduren genutzt. Etwas zurückhaltender wird in der von den Personalausweisbehörden bei der Beantragung des neuen Personalausweises übergebenen Informationsbroschüre darauf hingewiesen: "Die Online-Personalausweisfunktion kann nur von Providern genutzt werden, die den Online-Ausweis auch wirklich in ihren Dienstleistungen bereitstellen.

Die in den vorangegangenen Ankündigungen geschilderten Auswirkungen, nämlich die Auswirkungen von Identitätsdiebstählen, dem so genannten Phishing, auf das Netz zu reduzieren und die Sicherheitsanliegen vieler Benutzer auszuräumen, die sie bisher daran gehindert haben, Kauf-, Zahlungs- und Regierungsgeschäfte im Netz durchzuführen, sind nicht mehr zugesagt. In einer Untersuchung über andere europäische Länder (Kubicek und Nationalsozialismus 2010 ), die bereits ein national anerkanntes elektronisches Ausweisdokument auf der Grundlage von Angaben aus Staatsregistern einführen, zeigen sich klare Differenzen zwischen zwei Ländergruppen und ihren jeweiligen Konzepten bei vergleichsweise geringer Akzeptanz.

In Ländern wie Belgien, Estland, Finnland und Spanien wurde wie in Deutschland ein elektronischer Personalausweis in Chipkartenform erstellt. In Finnland liegt der Prozentsatz der Karteninhaber, die diese Funktionen aktivieren, zwischen 1% in Finnland, 50% in Estland und 80% in Belgien. Im Gegensatz dazu betrug der Prozentsatz derjenigen, die dann die Bedingungen für den Praxiseinsatz und die Nutzung dieser Funktionalität z.B. bei der Erstellung elektronischer Steuererklärungen geschaffen haben, im Jahr 2009 in Belgien und Estland nur 14%.

Dies bedeutet eine große Kluft zwischen denen, die die Aufgabe haben und denen, die sie nutzen. Hier wird die elektronische Ausweisfunktion von Kreditinstituten lizenziert und sowohl für Bankgeschäfte als auch für Online-Verwaltungsverfahren genutzt. Die schwedischen Staatsbürger können zwischen einer digitalen Identitätskarte auf einer Karte oder als Software-Zertifikat auswählen.

Auch in Deutschland wird derzeit die Annahme des neuen Personalausweises um ein weiteres Hindernis erweitert. WÃ?hrend die gesamte Bank abwartet oder ablehnt, werden gleichzeitig zwei miteinander im Wettbewerb stehende Dienste geboten, die auch den Anspruch haben, elektrische GeschÃ?fte im Netz sicher zu machen und die auch ohne Chipkarte, Kartenleser und Client-Applikationen durchkommen.

In einem Feldtest in Friedrichshafen testete das BMI De-Mail mit zwei Providern, die 2011 unter anderem von der Telekom AG zur Verfügung gestellt werden. Dies ist ein vom BSI zertifizierter E-Mail-Dienst, bei dem sich der Benutzer mit seinem Personalausweis im Internet oder offline ausweisen und eine einmalige E-Mail-Adresse einrichten kann.

Parallel dazu stellt die DPAG einen Brief vor, der auf elektronischem Wege versendet werden kann, aber sowohl im Internet als auch offline zugehen kann. Für beide neuen Services werden vergleichbare Applikationen wie für den neuen Personalausweis genannt: Alles in allem lässt sich prognostizieren, dass der Nachweis der Identität in Deutschland noch schwieriger sein wird als in anderen Staaten und dass er in den zehn Jahren bis zum Austausch des zuletzt verwendeten Ausweises nur eine Möglichkeit unter einer ganzen Serie von Online-Identifikationsverfahren sein wird.

Auch in fünf Jahren hat sich im Netz viel verändert. Allerdings lässt sich der Ausweis auf dem neuen Personalausweis nicht ohne weiteres anpassen, da jede neue Kopie mit den aktuellen Funktionalitäten des Chip und der Client- und Server-Software rückwärtskompatibel sein muss. In der virtuellen Umgebung des Internets ist es anders als in der realen Umgebung von Regierungsanwendungen.

Auch interessant

Mehr zum Thema