Der neue Personalausweis Sichere elektronische Identität für jedermann

Redakteur: Manfred Klein

Die Einführung des neuen Personalausweises im Herbst verfolgt das Ziel, die Voraussetzungen für eine sichere Kommunikation und Authentisierung zwischen Bürgern, Verwaltung und Unternehmen in den Neuen Medien zu schaffen. Doch dem Vorzeigeprojekt des Bundesinnenministeriums (BMI) machen in letzter Zeit immer wieder datenschutzrechtliche und sicherheitstechnische Bedenken zu schaffen.

Firmen zum Thema

neuer Personalausweis Quelle: BMI
neuer Personalausweis Quelle: BMI
( Archiv: Vogel Business Media )

Der neue Personalausweis ist jedoch Voraussetzung dafür, dass Deutschland nicht den Anschluss im eGovernment verliert. Umso wichtiger ist es, dass die Befürchtungen zerstreut werden können. Das BMI nutzt den Public Sector Parc daher dazu, Bürger und Unternehmen mit den zahlreichen Sicherheitsfeatures vertraut zu machen.

Über 60 Millionen Bürgerinnen und Bürger nutzen ihren Personalausweis schon heute nicht nur zum Identitätsnachweis gegenüber Behörden, sondern vor allem im privaten Umfeld, beispielsweise beim Eröffnen eines Bankkontos, beim Erwerb altersbeschränkter Waren oder beim Abholen von Einschreiben bei der Post.

Mittlerweile verlagern sich diese Transaktionen und Prozesse jedoch immer mehr in das Internet. Einen vergleichbaren Standard-Identitätsnachweis für die Online-Welt, der die gebotenen Sicherheitsaspekte erfüllt, gibt es bislang jedoch nicht.

Mit der Einführung des neuen Personalausweises soll diese Lücke geschlossen werden. „Durch das nur noch scheckkartengroße Dokument wird die elektronische Identität genauso einfach und sicher, wie es das Vorzeigen eines Ausweises heute ist. So soll der neue Personalausweis auch als Treiber für eGovernment-Dienstleistungen wirken. Die herkömmliche Funktion als Sichtausweis mit Lichtbild und gedruckten Personendaten bleibt vollständig erhalten“, erklärt das Bundesinnenministerium die Vorteile des neuen Ausweises.

Darüber hinaus könnten mit der neuen Multifunktionskarte Diensteanbieter aus Wirtschaft und Verwaltung künftig elektronische Services anbieten, bei denen sich die Nutzer mit ihrem neuen Personalausweis authentisieren. Dadurch werde das Anmelden in Portalen, das Ausfüllen von Formularen und die Altersverifikation im Internet oder an Automaten erheblich erleichtert.

Datensicherheit

Dabei sind alle Informationen und Übertragungen mit international anerkannten und etablierten Verschlüsselungsverfahren geschützt. Ein auf Berechtigungszertifikaten basierendes Zugriffssystem regelt darüber hinaus, wer auf welche personenbezogenen Ausweisdaten zugreifen darf. Beim elektronischen Ausweisen gegenüber Diensteanbietern regelt das Berechtigungszertifikat, welche Daten der Anbieter erheben kann. Die Nutzer haben die Möglichkeit, diese Auswahl weiter einzuschränken. Darüber hinaus müssen sie die Übertragung ihrer Daten mit einer sechsstelligen PIN explizit bestätigen. Und: Nur Anbieter, die erfolgreich eine staatliche Berechtigung beantragt haben, erhalten technischen Zugang zu den Ausweisdaten ihrer Nutzer. Die ausgetauschten Daten sind somit in jedem Fall für beide Seiten – die Anbieter und die Nutzer – valide.

Und nur hoheitliche Stellen verfügen über die Berechtigung, sehr sensible Informationen, wie Lichtbild und gegebenenfalls gespeicherte Fingerabdrücke, abzufragen. Hierzu ist es zusätzlich erforderlich, dass der Ausweis physisch vorliegt, um ein unbemerktes Auslesen zu verhindern. An Diensteanbieter oder über das Internet werden biometrisch nutzbare Daten in keinem Falle übertragen.

„Die Ausweisinhaber können somit nicht nur darauf vertrauen, dass alle Stellen, die Informationen aus dem Personalausweis abfragen, tatsächlich dazu berechtigt sind, sondern erhalten ein Mehr an Kontrolle über ihre eigenen personenbezogenen Daten“, so das Fazit des Bundesinnenministeriums.

Schutz vor Missbrauch

Obligatorisch werde immer das Lichtbild digital auf dem Chip des Ausweises gespeichert. Die Bürgerinnen und Bürger entschieden jedoch in jedem Einzelfall selbst, ob die Fingerabdrücke aufgenommen werden. Dazu das BMI: „Die Nutzung biometrischer Daten erhöht die Bindung zwischen Ausweisinhaber und Dokument deutlich und schützt damit vor Missbrauch. Die Daten dürfen nur von den zur Identitätsprüfung berechtigten Behörden eingesehen werden.“ Darüber hinaus schaffe der neue Personalausweis die Sicherheitsinfrastruktur der Informationsgesellschaft. Er schütze vor Datenmissbrauch und Identitätsdiebstählen und fördere darüber hinaus aktiv die Datensparsamkeit.

Die Ausweiskarte

Wie schon der bisherige Ausweis enthält auch das neue Dokument zahlreiche Sicherheitsmerkmale, die die Fälschungssicherheit erhöhen. Unter anderem gehören dazu der Sicherheitsdruck mit mehrfarbigen Guillochen und Mikroschriften, kinegrafische Strukturen, Oberflächenprägungen, ein integrierter Sicherheitsfaden und ein Laser-Kippbild. Im Vergleich mit dem alten Ausweis ist ein neues Datenfelder hinzugekommen: der Ordens- oder Künstlername auf der Rückseite.

Bestandteil des neuen Designs ist auch ein Logo auf der Rückseite, das ab November 2010 Internet-Anwendungen, Automaten und Lesegeräte kennzeichnen soll, die den neuen Personalausweis unterstützen. Die beiden sich ergänzenden Halbkreise stehen für das Prinzip des gegenseitigen Ausweisens zwischen Nutzer und Anbieter und symbolisieren die Verwendung in der Online- und der Offline-Welt.

Die eID-Funktion

Eine der zentralen Funktionen des neuen Personalausweises ist die elektronische Identität. Mit dieser eID-Funktion erhalten die Ausweisinhaber, die sich für deren Nutzung entscheiden, eine sogenannte elektronische Identität. eID steht dabei für den englischen Begriff „electronic Identity“.

Der Vorteil: Auch ohne persönlich anwesend zu sein, kann der Nutzer sich mit dieser elektronischen Identität überall dort ausweisen, wo Dienstleistungen personalisiert – also direkt für den einzelnen Nutzer angepasst – angeboten werden. Da immer mehr Internetanbieter personalisierte Dienste zur Verfügung stellen, werde diese Technologie viele Angebote einfacher, sicherer und bequemer machen, so das Bundesinnenministerium. „Die eID-Funktion ist dafür gedacht, das Anmelden und Identifizieren bei elektronischen Diensten zu vereinfachen. Solche Dienste können die Online-Services von privatwirtschaftlichen Unternehmen, wie Online-Shops, Banken, eMail-Anbietern oder sozialen Netzwerken sein. Aber auch Anbieter aus der Verwaltung im Rahmen von eGovernment, wie zum Beispiel die Kfz-Ummeldung oder die Beantragung von Geburtsurkunden, können die Funktionalitäten des neuen Personalausweises nutzen.“

Was heute oft nur durch das Ausfüllen und postalische Versenden von Formularen möglich sei, lasse sich mit dem neuen Personalausweis in wenigen Schritten am heimischen PC erledigen. Die Identitätsdaten seien sicher auf dem Ausweis selbst gespeichert und gegen unberechtigtes Auslesen geschützt. Ein auf staatlich vergebenen Berechtigungszertifikaten basierendes Zugriffssystem regle, wer Zugang zu welchen personenbezogenen Ausweisdaten hat. Letztendlich bestimme aber immer der Nutzer selbst, welche Daten übertragen würden.

Und: „Nutzbar ist die eID-Funktion nur bei den Anbietern, die das elektronische Ausweisen in ihren Diensten auch anbieten. Nicht alle Angebote im Internet werden also mit der Einführung des neuen Personalausweises automatisch auf das neue Verfahren umgestellt. Vielmehr wird das Identifizieren mit der eID-Funktion als sichere und komfortable Alternative zu bisherigen Anmelde- und Registrierungsverfahren angeboten werden, da jeder Bürger selbst wählen kann, ob er die elektronische Identität nutzen will. Darüber hinaus werden auch neue Dienste und Angebote entstehen.“

So könne der Personalausweis in Kombination mit der persönlichen Geheimnummer für Login und Registrierung bei Online-Diensten verwendet werden – vorausgesetzt, der Dienst biete diese Möglichkeit an. Das elektronische Ausweisen funktioniert aber nicht nur im Internet. Auch an Verkaufsautomaten (beispielsweise für Fahrkarten), bei Mietservices für Autos und Fahrräder oder beim Einchecken im Hotel könne die eID-Funktion des neuen Personalausweises eingesetzt werden.

Wie funktioniert der eID-Nachweis?

Die für die beschriebenen Dienste notwendigen Daten, wie zum Beispiel den Namen und die Anschrift des Ausweisinhabers, stellt der neue Personalausweis bereit – jedoch nur mit Einwilligung des Ausweisinhabers. Da solche Daten häufig für die Erstregistrierung, zum Ausfüllen von Formularen und Anträgen oder zum Abschluss von Verträgen erhoben werden, damit der entsprechende Dienst überhaupt angeboten werden kann, bringt der neue Personalausweis auch hier mehr Komfort für den Anwender. Die Informationen werden mit der eID-Funktion sekundenschnell und fehlerfrei übertragen.

Mit der eID-Funktion können sich sowohl Nutzer als auch Diensteanbieter sicher sein, dass ihr Gegenüber derjenige ist, für den er sich ausgibt. Auf Nutzerseite gewährleistet dies die schon die Anwendung der eID-Funktion, denn sie setzt den Besitz des Dokuments und das Wissen der Geheimnummer voraus. Aber auch der Diensteanbieter muss seine Identität bestätigen. Nur solche Anbieter, die von der stattlichen Vergabestelle für Berechtigungszertifikate (VfB) geprüft worden sind, erhalten überhaupt die technische Möglichkeit, die Ausweisdaten ihrer Nutzer abzufragen. Die VfB prüft bei jedem einzelnen Dienst, ob er sich an die Datenschutzbestimmungen hält. Sie entscheidet außerdem, auf welche Datenkategorien des Personalausweises der Diensteanbieter Zugriff erhält. Welche Vorteile die Nutzung der eID-Funktion bietet, lässt sich gut am Beispiel Online-Einkauf aufzeigen:

  • Der Nutzer sucht bei einem Online-Händler ein Produkt zum Kauf aus.
  • Der Händler benötigt für den Vertragsabschluss, zur Rechnungsstellung und zum Zusenden der Ware den Namen, Vornamen und die Anschrift des Nutzers.
  • Diese Informationen können mithilfe der eID-Funktion übermittelt werden.
  • Der Online-Händler überträgt sein staatliches Berechtigungszertifikat. Der Computerchip im Personalausweis prüft, ob es gültig ist.
  • In einem Formular am PC kann abgelesen werden, welche Datenkategorien der Online-Händler aus dem Ausweis abfragen will. Diese Auswahl kann vom Anwender beliebig eingeschränkt werden.
  • Mit der Eingabe der Geheimnummer wird die Übertragung der Daten bestätigt. Der Kaufvertrag wird aber erst durch eine separate Willenserklärung endgültig geschlossen.
  • Das System des Online-Händlers überprüft, ob der Personalausweis des Nutzers gültig ist.
  • Durch einen Abgleich mit einer Sperrliste wird sichergestellt, dass der Personalausweis nicht als verloren oder gestohlen gemeldet ist.
  • Danach werden die freigegebenen Daten verschlüsselt an den Online-Händler übertragen.
  • Der Verkäufer empfängt die Daten. Im Regelfall wird noch einmal die Gelegenheit gegeben, sie zu überprüfen.
  • Der Vertrag mit dem Onlinehändler kommt – wie bisher auch – erst dann zustande, wenn die die Bestellung durch den Nutzer final bestätigt wird.

Besserer Datenschutz und Datensparsamkeit

Bei den eID-Funktionen werden die Daten also nicht mehr an einen unbekannten Online-Partner übermittelt. Ein Identitätsdiebstahl über gefälschte Webseiten – mit dem sich Betrüger immer wieder Zugriff zum Beispiel auf die Kontodaten von Bürgern verschaffen – wird damit wirksam verhindert. Zudem stellen Berechtigungszertifikate die Identität des Gegenübers sicher und es werden nur die Daten übermittelt, die nötig sind, um die gewünschte Leistung zu erbringen.

Auch der Onlineanbieter kann sich auf die Identität des eID-Nutzers verlassen. Die persönlichen Daten der eID-Funktion werden durch eine Geheimnummer geschützt. Die eID-Funktion lässt sich nur in Kombination mit dieser Geheimnummer nutzen und verhindert so den Missbrauch.

Dazu erklärt das Bundesinnenministerium: „Die eID-Funktion verhindert, dass sich Betrüger mit gefälschten Identitäten im Internet als Verkäufer oder Käufer betätigen. Die Nutzer haben somit die Sicherheit, dass ihre Onlinepartner tatsächlich die sind, für die sie sich ausgeben.“

Besserer Kinder- und Jugendschutz

Die eID-Funktion kann darüber hinaus auch wirksam verhindern, dass Kinder und Jugendliche zu Websites und Darstellungen gelangen, die für ihr Alter nicht freigegeben sind. Dies unterbindet den Zugang von Minderjährigen zu Darstellungen von Gewalt und Pornografie. Und auch gesetzliche Altersbeschränkungen – etwa beim Kauf von Spirituosen und Tabakwaren – lassen sich so wirksam umsetzen.

Die eID-Funktion soll auch bereits etablierten Online-Diensten, wie zum Beispiel dem ELSTER-Verfahren, zu mehr Zuspruch verhelfen und der Online-Kommunikation zwischen Bürgern und Unternehmen auf der einen Seite und Behörden und Verwaltungen auf der anderen zum Durchbruch verhelfen. Zudem lässt sich ein Online-Antrag schon vor der Abgabe elektronisch auf Plausibilität und Vollständigkeit prüfen. Dies vermeidet unnötigen Schriftverkehr. Bürger, Unternehmen und Verwaltung sparen so Zeit und Aufwand.

Und der im Geschäftsverkehr wie auch in Verwaltungsverfahren immer wieder notwendigen Schriftformerfordernis, zum Beispiel bei der Abgabe einer Willenserklärung, können Online-Verfahren nun ebenfalls gerecht werden, denn bei Anträgen, Bescheiden und Verträgen im Netz kann diesem Schriftformerfordernis mit der qualifizierten elektronischen Signatur Rechnung getragen werden.

Dazu das Bundesinnenministerium: „Inhaber eines neuen Personalausweises können die Funktion des sicheren Identitätsnachweises jederzeit um die qualifizierte elektronische Signatur ergänzen. Im Unterschied zu den Ausweiskonzepten von Belgien, Estland, Italien, Hongkong und Spanien ist die elektronische Signatur jedoch kein fester Bestandteil der deutschen Ausweiskarte. Das entsprechende Signaturzertifikat kann vielmehr auf Wunsch bei privaten Signaturanbietern nachgeladen werden. Der Weg der optionalen Ergänzung der Ausweiskarte wurde gewählt, da viele Inhaber des Ausweises keine qualifizierte elektronische Signatur benötigen und ihnen daher die Kosten für diese Funktion nicht zugemutet werden sollten.“

Der Identitätsnachweis und ebenso die qualifizierte elektronische Signatur machen den neuen Personalausweis zu einem universellen, zukunftsfähigen und sicheren Schlüsselinstrument für eGovernment und eBusiness.

Fazit

Über alle Funktionen, Einsatzmöglichkeiten, Sicherheitsfeatures und mögliche neue Geschäftsmodelle des neuen Personalausweises können sich Bürger und Unternehmensvertreter aber auch Angehörige von Verwaltungen und Behörden auf dem CeBIT-Stand des Bundesinnenministeriums umfassend und kompetent informieren lassen. mk

(ID:2043394)