Sicherheitsstandards Wie gut der neue Perso wirklich ist

Der maschinenlesbare Personalausweis kommt - aber was bringt er? Das Bundesinnenministerium hat nun vier Studien vorgestellt, die verschiedene Aspekte des Projekts beleuchten. Juristen sind eher zufrieden, Informatiker und Datenschützer üben Kritik.
Neuer Personalausweis: Kritik von Fachleuten

Neuer Personalausweis: Kritik von Fachleuten

Foto: Angelika Warmuth/ dpa

Hamburg/Berlin - Ab dem 1. November 2010 erhält jeder, der einen Personalausweis beantragt, die neue scheckkartengroße Version mit integriertem Chip. Mit den darauf gespeicherten Daten sollen sich die Bürger in Zukunft auch im Internet ausweisen können. In Berlin wurden an diesem Freitag vier Begleitstudien vorgestellt, die vom Bundesinnenministerium in Auftrag gegeben wurden. Die Ergebnisse wecken zwei Wochen vor der geplanten Einführung Zweifel: Eine der Untersuchungen kritisiert die Software für die Identifizierung im Internet. Eine andere rät von der Verwendung des einfachen Kartenlesegeräts ab, mit dem die Daten des Ausweises ausgelesen werden.

Die Informatiker des Hasso-Plattner-Instituts an der Universität Potsdam bemängelten, die Bedienung der "AusweisApp" sei in der bisherigen Testversion "kaum intuitiv". Institutsleiter Christoph Meinel sagte: "Das könnte man durch die Gestaltung der Oberfläche verändern, wie man es gewohnt ist von vernünftigen Programmen." Die Forscher erklärten außerdem, dass für die Verbraucher kein echter Mehrwert des elektronischen Ausweises erkennbar sei. "Fast alle Nutzungsszenarien helfen also nur den Diensteanbietern und meist nicht dem Endnutzer", heißt es in der am Freitag vorgelegten Studie.

Eine zweite Untersuchung warnte vor dem Einsatz der Basiskartenleser (siehe Kasten). Die Wissenschaftler am Institut für Internetsicherheit der Fachhochschule Gelsenkirchen kamen zwar zu dem Ergebnis, dass die Identifizierung mit dem elektronischen Personalausweis im Vergleich zur herkömmlichen Authentifizierung mit Passwörtern ein höheres Sicherheitsniveau aufweist. Allerdings müsse davon ausgegangen werden, dass viele Personal Computer in Deutschland nicht umfassend genug gegen Schadsoftware gesichert seien.

Zweifel an Sicherheit der einfachen Kartenleser

Deshalb könne nur der Einsatz eines höherwertigen Lesegerätes mit eigener Tastatur empfohlen werden. Beim Basislesegerät, das mit der Einführung des Ausweises in großen Mengen verteilt werden soll, kann die PIN für den Zugriff auf die Ausweisdaten von einem Trojaner abgefangen werden, wenn dieser Code über die PC-Tastatur eingetippt wird.

Dass nun auch Experten von der Verwendung der Basisleser abraten, verstärkt das Problem, vor dem viele Bürger bald stehen könnten: Die empfohlenen Kartenleser der höheren Sicherheitsstufe werden voraussichtlich erst ab nächstem Jahr erhältlich sein.

Gute Noten erhielt das Ausweis-Projekt dagegen in zwei weiteren Studien zur Verschlüsselungstechnik und hinsichtlich der Haftungsrisiken für den Verbraucher. Experten der Technischen Universität Darmstadt untersuchten die Verschlüsselung der Daten auf dem Ausweis-Chip. Dabei seien keine kryptografischen Schwächen festgestellt worden, erklärte Marc Fischlin und fügte hinzu: "Die verkürzte Darstellung, dass der Personalausweis unsicher sei, teilen wir nicht."

Keine Bedenken aus juristischer Sicht

Aus juristischer Sicht kam Georg Borges von der Ruhr-Universität Bochum nach einer Prüfung der Haftungsrisiken zum Ergebnis: "Der Ausweisinhaber wird durch dieses System geschützt, er kann die Vorteile genießen." Eine Haftung bestehe für die Verbraucher nur bei einem fahrlässigen Umgang mit dem Ausweisdokument oder seiner PIN.

Bei der Vorstellung der Studien sagte Ministerialrat Andreas Reisen, bisher wollten 300 Unternehmen und Behörden die sichere Identifizierung mit dem Personalausweis für Online-Geschäfte oder für Verwaltungsvorgänge im Internet nutzen. Schon im November werde es erste Dienstleistungen im Netz geben, sagte Reisen. Darunter seien mehrere Angebote von Versicherungen und Online-Shops. Im nächsten Jahr werde es auch möglich sein, die Steuererklärung 2010 mit dem neuen Personalausweis im Internet abzugeben.

Die bisherigen Personalausweise bleiben bis zum Ablauf der angegebenen Frist gültig. Die neuen Dokumente werden für eine Gebühr von 28,80 Euro ausgegeben. Der Chip speichert alle auf dem Dokument aufgeführten Personendaten, das Lichtbild sowie auf freiwilliger Basis auch einen Fingerabdruck.

Der neue Ausweis soll drei verschiedene Aufgaben erfüllen: erstens die bisherige Ausweisfunktion gegenüber Behörden, zweitens eine sichere Identifizierung der eigenen Person im Internet und drittens die Möglichkeit für eine elektronische Signatur digitaler Dokumente. Der Inhaber des neuen Ausweises kann auf die zweite und dritte Möglichkeit verzichten, die dann nicht freigeschaltet oder gar nicht erst eingerichtet wird.

ank/dpa