Der neue Personalausweis und RFID Chips

Ab dem 1.November wird nun nach dem Reisepass auch jeder neu beantragte Personalausweis in Deutschland mit RFID Chip ausgestattet sein.

„Der neue Personalausweis ist mit der eID-Funktion ausgerüstet. Damit können Prozesse wie Log-in, Adressverifikation und Altersnachweis wirtschaftlicher und schneller realisiert werden.“ (http://www.cio.bund.de/DE/IT-Projekte/Neuer_Personalausweis/neuer_personalausweis_node.html)

Hiermit ist unter anderem gemeint, dass der Chip Informationen über die Identität der Person, also biometrische Daten gespeichert hat, die hoheitlichen, also bestimmten staatlichen Zwecken vorbehalten sind, sowie wirtschaftlich und gesellschaftlich intereressante Daten, die den Einsatz zur Identifizierung, z.B. bei Geschäften im Internet optimieren sollen. Also eine brisante Mischung, die personenbezogene Daten leicht automatisierbar zentralisiert.

„Gespeichert werden auf dem Chip Passbild, Name, Vorname, Geburtsdatum, Nationalität, Geburtsort und Adresse. Auf freiwilliger Basis können zusätzlich Fingerabdrücke hinterlegt werden.“ (http://www.heise.de/newsticker/meldung/Das-sicherste-Dokument-auf-dem-Planeten-1062365.html)

Vom IT-Beauftragten der Bundesregierung wird weiter beschrieben:

„Der Ausweisinhaber selbst behält die volle Kontrolle darüber, welche seiner persönlichen Daten an den Anbieter übermittelt werden.“ (http://www.cio.bund.de/DE/IT-Projekte/Neuer_Personalausweis/neuer_personalausweis_node.html)

Auf der anderen Seite gibt es bereits Produkte für den Reisepass, die genau diese generell nicht vorhandene Kontrolle absichern soll, siehe z.B. „RFID Schutzhülle für Reisepass“ (http://www.pass-sicherheit.de/?gclid=CJuFlei_mKQCFdcqDgodYib0Eg)

RFID (radio frequency identification) Chips sind Transponder, die einen eindeutigen Code beinhalten und mit Lesegeräten ausgelesen werden können. Sie sind sehr kostengünstig und werden vor allem zur Identifizierung von Dingen oder Lebewesen verwendet (siehe z.B. http://de.wikipedia.org/wiki/RFID#Einsatz). Grundsätzlich können die gesendeten Signale von beliebigen Lesegeräten ausgelesen werden. Für die Personalausweise werden die Daten mit einer PIN verschlüsselt übertragen. Das heißt, wie bei einer Bank-Chipkarte ist das Verfahren nur so sicher, wie die PIN mit der Karte zusammen, d.h. wenn Beides entwendet wird, ist es möglich die komplette Kontrolle zu übernehmen. Nur mit der PIN ist es allerdings auch schon möglich, eine Person über ihre Chipkarte mit einem Lesegerät zu identifizieren bzw. persönliche Daten auszulesen. Auf welche Distanz dies möglich ist, ist abhängig von dem Frequenzbereich der verwendeten Chips, diese ist mir nicht bekannt (siehe: http://de.wikipedia.org/wiki/RFID#Frequenzbereiche ) Aber wenn sich bereits für Reisepässe Schutzhüllen vermarkten lassen, wird die Sicherheit des neuen Personalausweises sicher in einer ähnlich bedenklichen Kategorie sein.

Tatsächlich ist die Abwicklung von Online Transaktionen mit physikalischem Schlüssel zusätzlich zu Passwörtern erheblich sicherer als sonst übliche einfache Verfahren, aber die Kombination mit sensiblen persönlichen Daten erscheint wenig überzeugend. Alleinstehende Konzepte hierzu gibt es bereits seit langem, diese sind allerdings meist auf sensiblere Anwendungsfelder begrenzt (siehe z.B. http://www.cryptoken.com/de/hardware-overview oder https://www.ironkey.com/hardware-encryption) Zudem scheint sich die Begeisterung der potentiellen Plattformen, ihre Software aufzurüsten noch in Grenzen zu halten (http://www.heise.de/newsticker/meldung/Geschaeftsanwendungen-fuer-den-neuen-Personalausweis-noch-wenig-gefragt-1079605.html)

Also ist der Sinn dieses „Fortschrittes“ vorrangig vielleicht doch eher in staatlich ausgeweiteten Überwachungsmöglichkeiten zu sehen?

Interessant ist auch den juristischen Kontext zu betrachten:

„Mit der Einführung des elektronischen Personalausweises wird auch das Personalausweisgesetz geändert. Gerade weil der Ausweis eine wichtige ID-Komponente im Internet-Alltag ist und nicht nur hoheitliche Funktionen hat, soll er nicht länger hinterlegt werden dürfen. Wer dies dennoch verlangt, muss ein Bußgeld zahlen, darauf weist der Jurist Jens Ferner in seinem Blog über die neuen Rechte und Pflichten hin, die der ePA mit sich bringt. Zu den Pflichten gehört auch, den heimischen PC auf den jeweiligen Stand der Sicherheit zu bringen, wie er aktuell vom BSI definiert wird. Inhaber von elektronischen Personalausweisen müssen sich regelmäßig beim BSI über den Stand der Technik informieren.“ (http://www.heise.de/newsticker/meldung/Elektronischer-Personalausweis-Wissens-oder-Sicherheitsdefizite-Update-1065519.html)

Dann gibt es auch noch den Ausblick, dass noch mehr Daten zentralisiert werden könnten, indem Personalausweis und Gesundheitskarte fusioniert werden: http://www.heise.de/newsticker/meldung/KKH-Allianz-will-Personalausweis-und-Gesundheitskarte-zusammenbringen-1079202.html

Wenn dann noch die Herstellerfirma mit Superlativen nicht geizt („das sicherste Dokument auf dem Planeten“) ist eine gesunde Skepsis, sich von diesem Ding möglichst fernzuhalten erstmal mit Sicherheit das Sicherste (http://www.heise.de/newsticker/meldung/Das-sicherste-Dokument-auf-dem-Planeten-1062365.html)

Nur bleibt die Frage, wie lange die Freiwilligkeit der Nutzung anhält und wann diese nach einer gewissen Phase dann als Pflicht ausgeweitet wird. Ohnehin ist es ja eine Frage der Zeit, bis auch der letzte Personalausweis ohne Chip abgelaufen sein wird…