Nov 022010
 

Seit gestern wird nur noch der neue Personalausweis mit RFID Chip ausgestellt.

„New national ID cards are coming to Germany. The new cards boast features designed to safeguard against the hazards of the Internet age, including phishing and identity theft, but critics say there are still problems.“ (deutsche welle, http://www.dw-world.de/dw/article/0,,6140545,00.html )

Im Artikel der „deutschen welle“ gibt es einige interessante Hintergrundinformationen zur Geschichte und Technik der neuen Personalausweise, inklusive einem Link zu einem kurzen Film, der die Herstellung der Chips erläutert. Auf der anderen Seite werden Argumente gegen und für die neuen Dokumente erwähnt. Ein Argumente für die Nutzung des RFID Chips zur Identifizierung sei die mögliche Reduzierung von „Phishing“ Angriffen, da die Zertifizierung einer Seite besser überprüfbar sei. Dies mag sein, wenn Zertifikate auf der Karte gespeichert werden, leuchtet mir aber nicht ein, warum ein Chip, der sensible Daten zentralisiert besser geeignet sein soll als ein Browser, der ebenfalls Zertifikate überprüfen kann. Siehe hierzu beispielsweise die Support Seiten von Mozilla zu Firefox.
Mit Hilfe von Keylogger-Systemen hat der Chaos Computer Club vor einigen Monaten die Schwächen der Technik dargelegt. Deutlich wird, das wie immer die schwächste Schwachstelle in solchen Sicherheitssystemen der kompetente Umgang der Nutzer/innen ist. Allerdings ist auch fraglich, warum Nutzer/innen Interesse am neuen System haben sollten. Langfristig gedacht ist es sinnvoll, webbasierte Geschäftsabläufe und Kommunikation sicherer zu gestalten, aber die Richtung dieser Bemühungen ist nicht schicksalsgegeben.
Offen bleibt im Artikel vor allem, was neben der Erhöhung der „Sicherheit im Internet“ Motivation für eine solche Weiterentwicklung von Ausweisdokumenten ist. Ganz nebenbei wird der Zusammenhang zur Verstärkung der Grenzsicherheit in der EU angesprochen. Die Möglichkeit, Identitäten in Netzwerken zu garantieren ist auch über Schlüssel möglich, die nicht mit den persönlichsten Daten zusammenfallen müssen.

(siehe auch meinen älteren Artikel zum Thema sowie dem Artikel vom CCC:
Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis)