Der elektronische Personalausweis (ePA)
Für die Einen der Hoffnungsträger schlechthin für sicherere und effizientere Geschäftsprozesse, insbesondere im Internet. Für die Anderen eine Horrorvision.
Am 16.11.2009 vermeldeten Heise und Golem die offizielle Bestätigung, dass Siemens und OpenLimit die Infrastruktur bzw. die Middle-Ware (Bürgerclient, von uns auch Bürgerware genannt) für den ePA liefern werden. Die SIS (Siemens IT Solutions and Services) hat als Generalunternehmer die Hauptverantwortung und ihrerseits die OpenLimit SignCubes GmbH mit der Herstellung der Endanwender-Software beauftragt.
In den Foren der beiden oben genannten News-Seiten sorgte dies leider für viele polemische Kommentare weitab von Sachlichkeit. Was ist nun eigentlich dran am ePA?
Beginnen wir doch bei einigen Mythen die nun in den letzten Monaten entstanden sind.
- ”Der ePA soll als ‘Internet-Ausweis’ jeden Bürger eindeutig im Netz identifizieren”.
Wir reden hier nicht über ein “soll”, sondern über ein “kann”. Es bietet sich die Möglichkeit Geschäfts- und Verwaltungsprozesse für den Bürger und die Anbieter/Ämter zu vereinfachen. Dabei können Vertragsschlüsse (Direktbanken, Direktversicherungen, grössere Online-Einkäufe auf Rechnung, …) oder Anträge (Hundemarke, KFZ-Kennzeichen, Wohngeld, etc.pp.) quasi 24/7 von der Wohnzimmercouch aus erledigt werden. Der Bürger muss diese Dienste nicht nutzen, aber er/sie darf es.
Als zusätzliches Merkmal verfügt der ePA über einen “Restricted Identifier” (sektorspezifische Kennung). Diese ID ist als Pseudonym zu verstehen und hat ihren Ursprung in internationalen Standards. Sie dient der Identifikation des Benutzers im Single-Sign-On Gedanken. Ein einmal einem Benutzerkonto hinzugefügter Personalausweis kann so zukünftig durch den Benutzer als sichere Login-Methode verwendet werden. ”Sektorspezifisch” heisst hierbei, dass die resultierende ID je “Sektor” zwar eindeutig über mehrere Sektoren hinweg jedoch nicht mehr zuordenbar ist. Der Sinn dahinter ist es genau keine weitgreifenden Datenspuren zu legen.
2. “Alle Angaben des Benutzers sind unkontrolliert verfügbar.”
Bis der ePA überhaupt etwas preisgibt ist es ein langer Weg. Kurz gefasst antwortet der ePA erst dann wenn während der aktuellen Verbindung ein gültiges Berechtigungszertifikat präsentiert wurde. Dieses Zertifikat weist den Anfragenden nicht nur als akkreditiert aus, sondern sagt auch aus auf welche Fragen der ePA antworten darf. Fragen sind hierbei z.B. “Vorname?”, “Nachname?”, “Land?”, “Bist Du über 18?”, uvam. Es kann nicht automatisch jeder jede Information abrufen. Und wie man sehr deutlich sieht ist insbesondere für die Altersverifikation ein Mechanismus implementiert, der lediglich noch die Frage beantwortet ob jemand z.B. voll Geschäftsfähig ist oder nicht – das genaue Geburtsdatum erfährt der Anfragende nicht. Weiterhin ist es vorgeschrieben, dass der Bürgerclient in einem Fenster den Nutzer um Bestätigung bittet welche Daten dieser für den Anfragenden freigeben möchte. Dabei kann der Nutzer beliebig Elemente abwählen (z.B. kein Nachname, kein Land).
3. “Bürgerclient == Bundestrojaner”
Sicherlich ist die Sorge berechtigt, dass sich in der Software früher oder später auch Trojaner (eigentlich sind es ja Griechen) untergebracht finden. Jedoch würde so ein Fall genauso früher oder später bekannt werden und zum maximalen Image-Schaden für die Verantwortlichen in den Behörden wie auch in der Wirtschaft werden. Dabei würde jede Menge verbrannte Erde entstehen, die die EU für ihre zukünftigen ID-Projekte absolut nicht gebrauchen kann. Damit aber auch kein Wildwuchs und daraus resultierende Probleme entstehen gibts es eine Reihe Technischer Richtlinien vom BMI (nein, das Kürzel TR steht nicht für TRojaner und auch nicht für Türkei), welche genau vorschreiben wie der ePA (BMI TR-03130) aber auch der Client (BMI TR-03112) auszusehen und zu funktionieren haben. Um Spekulationen gleich vorzubeugen sei gesagt, dass die Verwendung eines Clients nach BMI TR-03112 durch das Gesetz über Personalausweise (PAuswG) in §27 (3) vorgeschrieben ist.
4. “Der ePA dient als Vorwand von allen Bürgern biometrische Daten zu erfassen”
Diese Aussage ist ebenfalls nicht wahr. Schon immer wird zu einem Personalausweis die Augenfarbe, die Körpergrösse und ein Lichtbild (aka Foto) erfasst. Das Lichtbild ist nun zwar ein ”biometrisches Bild”, um eine maschinelle Wiedererkennung zu vereinfachen aber sonst ändert sich an der Menge der erfassten Daten nichts. Um das biometrische Bild ranken sich schon seit dem neuen Reisepass diverse Gerüchte bezüglich der damit entstehenden Fahndungsmöglichkeiten. Trotz aller Spekulation um die rechentechnischen Möglichkeiten von Regierungsbehörden, insbesondere einige Jahre in der Zukunft, ist die Gesamtmenge des -im Zweifelsfall- zu verifizierenden Materials enorm gross. Unterstellt man diesen Institutionen die “schlechteste” Motivation aus Sicht der Kritiker, so werden diese lediglich einen bereits vorhandenen Anfangsverdacht bestätigen können. Die Erfassung von Fingerabdrücken ist überdies optional und erfolgt vor Ort in einer Ausweisstelle. Die Fingerabdrücke werden erfasst, auf den Chip gebracht und anschliessend gelöscht. Eine zentrale Speicherung findet nicht statt. Die Fingerabdrücke sind nur durch hoheitliche Institutionen zwecks Identifikation aus dem ePA abrufbar.
Die Techies interessiert ggf. dass das RFID Protokoll ISO-14443-B ist und die Kommando-Kommunikation entsprechend ISO 7816 und der eCard-API Sepzifikation erfolgt. Prinzipiell ist es also auch für Andere möglich passende Middleware zu entwickeln. Es bleibt abzuwarten wie hier in Zukunft die EU-weiten Reglementationen aussehen werden.
Zum ebenfalls angekündigten Anwendungstest des ePA stellt das Kompetenzzentrum Elekronischer Personalausweis weitere Informationen bereit.
Wesentlich interessanter, aber in Öffentlichkeit bisher nahezu völlig unbeachtet, sind die Änderungen am Gesetz über Personalausweise. BMI TR-03127 verweist in Kapitel 6.5 “Verantwortung des Ausweisinhabers” explizit darauf, dass der ePA nicht mehr als “Pfand” hinterlegt oder anderweitig (z.B. zum Zigaretten kaufen ausleihen) aus der Hand gegeben werden darf (PAuswG §1 (1)). Weiterhin bei Verlust nach PAuswG §27 (1) umgehend sperren zu lassen ist oder bei Kompromittierung der eID-PIN diese unverzüglich zu ändern, oder die Anwendung abschalten zu lassen (PAuswG §27 (2)).
Online nachzulesen sind die aktuellen Änderungen des PAuswG vom Sommer z.B. hier: http://www.buzer.de/gesetz/8807/index.htm, http://www.buzer.de/gesetz/8806/index.htm.
Auf jeden Fall wird die weitere Entwicklung des ePA sehr spannend. Soweit es mir möglich ist werde ich an dieser Stelle weiterhin berichten und versuchen mit Fakten auch Klarheit zu schaffen. Es bleiben noch eine ganze Menge Details offen, die ich hier und jetzt nicht anschneiden konnte und auch in Zukunft folgen. Von Anfragen zu Details die über das, was ich hier freiwillig schreibe, hinausgehen bitte ich abzusehen, da auch ich teilweise unter NDA (Verschwiegenheitserklärung) stehe und schlichtweg nicht berechtigt bin zu einigen Punkten Stellung zu beziehen. Viele sollten mich jedoch gut genug kennen, dass ich mir nicht die Mühe machen würde den ePA in ein richtigeres Licht zu rücken wenn es unsauber wäre.
Hinterhergeschickt sei auch noch, dass ich die Vorläuferabteilung der SIS, die SBS, im Zusammenhang mit der Implementierung von Signaturgesetzkonformen Projekten nun seit über 8 Jahren kenne. Die SIS hat definitiv wesentlich mehr Erfahrung im Umgang mit solchen Systemen und ihren Implikationen als die Meisten, die mit Kommentaren mit Siemens-Witzen auf sich aufmerksam machen wollen. 