In wenigen Tagen, genauer gesagt am 01.11.2010, soll der neue Personalausweis eingeführt werden. Ein Personalausweis in der Größe einer Scheckkarte, erweitert um einige elektronische Funktionen und einem RFID-Chip, welcher neben den persönlichen Daten in digitaler Form optional auch erkennungsdienstliche Merkmale (wie zum Beispiel Fingerabdrücke) enthalten kann.
In diesem Artikel soll es um die Funktionen und die Sicherheit des neuen elektronischen Personalausweises gehen. Ebenso soll hier kurz beleuchtet werden, welche Auswirkungen der neue Personalausweis (nPA) bei der Einführung vor Ort bei uns im Land in den Städten und Gemeinden mit sich bringt.
Was genau kann der neue elektronische Personalausweis?
Gleich zum Start des sogennannten nPA sollen zwanzig Anwendungen verfügbar sein. Zwei generelle Funktionen sind jedoch wesentlich: zum einen lassen sich die digitalen Daten lokal vom Chip an den dafür vorgesehenen Geräten auslesen (zum Beispiel an Grenzen zur Personenüberprüfung bei Ein- oder Ausreise), zum anderen kann sich der Besitzer eines neuen nPA in Online-Shops oder auch gegenüber Behörden über ein am Rechner angeschlossenes Terminal, in den der Personalausweis eingelegt werden muss, legitimieren.
Auf der eigens eingerichteten Webseite Personalausweisportal zum neuen Personaldokument finden sich die weiteren Funktionen:
- Online-Registrierung
- An Automaten ausweisen
- Pseudonymer Zugang
- Online unterschreiben
- Altersbestätigung
- Automatisch Formulare ausfüllen
- Online-Behördengänge
- Barrierefreie Internetdienste nutzen
- Zutrittskontrollen
Zudem können erstmalig biometrische Daten in Form des Fingerabdruckes hinterlegt werden. Ebenso soll es möglich sein, eine digitale verschlüsselte Signatur auf dem Chip zu speichern. Diese qualifizierte elektronische Signatur (QES) muss gesondert bei entsprechend zertifizierten Unternehmen nachträglich bestellt werden. Auf dem Personalausweisportal heißt es dazu:
Wie genau erhält man ein Signaturzertifikat?
Die Signaturzertifikate werden nicht von den Personalausweisbehörden ausgestellt, sondern von speziellen Dienstleistern – den Signaturanbietern – die nach dem Signaturgesetz (SigG) zugelassen sind. Eine Liste der zugelassenen Signaturanbieter finden Sie auf den Seiten der Bundesnetzagentur.
Bei einigen Signaturanbietern können Sie ihr Signaturzertifikat sogar komplett von zu Hause auf ihren Ausweis nachladen. Da jeder Anbieter hierfür sein eigenes Verfahren verwendet, beachten Sie hierfür bitte die Anleitungen des jeweiligen Anbieters. Voraussetzung ist aber in jedem Fall, dass die eID-Funktion (Online-Ausweisfunktion) Ihres Personalausweises eingeschaltet sein muss und dass Sie Ihre eID-PIN nach Erhalt des Ausweises bereits neu gesetzt haben.
Begibt man sich auf die Seite der Bundesnetzagentur, wählt dort einige der zugelassenen Unternehmen aus, kommt man sich alsbald im Dschungel von Fachbegriffen wie Signing Services als Nutzer nicht nur sehr verloren vor, sondern verliert auch schnell den Überblick, was eigentlich für eine QES nötig ist und was sie denn kosten soll.
Wie steht es um die Sicherheit des neuen elektronischen Personalausweises?
Der Chaos Computer Club (CCC) hat sich des nPAs angenommen. Hier wurde vor allem im Zusammenhang mit dem am PC des Nutzer angeschlossenem Lesegerät die Angreifbarkeit der Funktionen und Daten demonstriert.
Allerdings muss man dazu sagen, dass hier spezielle Szenarien aufgesetzt wurden. So muss der Rechner, an dem das Lesegerät angeschlossen ist, bereits von einem Trojaner infiziert sein. Dies ermöglicht dem Angreifer die PIN des Personalausweisinhabers auszulesen, wenn dieser sie in das Lesegerät eingibt.
Das Lesegerät selbst sollte es zunächst in zwei Varianten geben. Der CCC hat die einfache Variante getestet. Die Premium-Version sollte über ein zusätzliches Display und eine integrierte Tastatur verfügen. Dies würde dann verhindern, dass das Auslesen der PIN auf einem durch einen Trojaner infizierten PC möglich sei, teilte ein BSI-Experte mit. Dies ist jedoch nicht ganz richtig: es erschwert lediglich das Auslesen, da so zusätzlich noch die Verschlüsselung der Daten, die vom Lesegerät über ein USB-Kabel in den Rechner wandern, gebrochen werden muss. Zum anderen muss der Bürger die erweiterten Lesegeräte-Versionen auch teurer bezahlen. Inzwischen hat der Bürger hier die Auswahl zwischen drei unterschiedlichen Lesegeräten.
Inwieweit RFID-Chips nun auf kurze Distanz von jedermann ausgelesen werden können ist unklar. In fast jedem Produkt, das wir um die Ecke erwerben, stecken heute bereits kleine RFID-Chips, welche auf kurze Distanz an der Kasse ausgelesen werden können. Wie leicht können da nicht auch die Daten des Personalausweises ausgelesen werden?
Weiterhin muss man sich fragen, wie sicher der Personalausweis wirklich ist, wenn sogar Schüler den RFID-Chip innnerhalb einer Doppelstunde löschen, und zwar mit einfachsten Mitteln.
Dennoch bleiben Bundesinnenminister Thomas de Maizière und das Bundesamt für Informationssicherheit (BSI) unbeeindruckt und konstatieren, dass der neue elektronische Personalausweis sicher sei. Wer dieser Aussage nicht traut, sollte allerdings auch nicht unbedingt der Empfehlung folgen, den Ausweis inkl. Chip einfach in die haushaltsübliche Mikrowelle zu legen, um den Chip innerhalb weniger Sekunden zu zerstören. Laut FoeBuD e.v. führt dies zu einem kleinen flammenden Inferno in der Mikrowelle, die man dann auch noch reinigen muss. Zudem gibt es Stimmen, die das für eine Straftat halten.
Dennoch: auch mit einem defekten Chip ist der Personalausweis weiterhin uneingeschränkt gültig, selbst wenn er nicht maschinen-lesbar ist,
Wie erfolgt die Umsetzung in Städten und Gemeinden?
In der Onlineausgabe der Welt vom 09.10.10 war über die Einführung unter anderem in München zu lesen:
Weil der Verwaltungsaufwand sich verdreifacht, mussten manche Gemeinden neues Personal einstellen. Die Stadt München etwa hat eben 20 neue Stellen eingerichtet – und erwartet weitere Folgekosten.
Auch in der schleswig-holsteinischen Landeshauptstadt Kiel wurden umfangreiche Einführungs-Maßnahmen getroffen, so Tim Holborn, Pressestelle der Landeshauptstadt. So wurden die Mitarbeiter durch das Innenministerium in zwei landesweiten zentralen Veranstaltungen geschult. “Ins Haus selbst kommen überwiegend technische Dienstleister, die bei der Umsetzung helfen.” erzählt Holborn weiter.
In der Stadt Schleswig verläuft die Einführung des nPA weitestgehend normal. Frau Dr. Antje Wendt, von der Pressestelle der Stadt Schleswig hat sich dankenswerter Weise um die Beantwortung meiner Fragen gekümmert.
Landesblog: Wie klappt die technische Umsetzung vor Ort? Ist die Einbindung in Ihre EDV-Systeme ohne Probleme erfolgt? Mussten Systeme umgestellt werden?
Frau Dr.Wendt: Die technische Umsetzung klappt normal. Bei der Einbindung in das bestehende System ist es im Großen und Ganzen zu keinen nennenswerten Schwierigkeiten gekommen. Das System musste umgestellt werden.
Landesblog: Wurden Ihre Mitarbeiter im Vorwege ausreichend geschult? Gab es lediglich Informationsblätter, oder wurde auf Seminaren geschult?
Frau Dr.Wendt: Die Mitarbeiterinnen des EMA (Anm. d Redaktion: Einwohner Meldeamt) sind ausreichend geschult worden (rechtzeitig und umfangreich durch Seminare und Infos).
Landesblog: Erwarten Sie eine Veränderung in der Beratung und im zeitlichen Aufwand?
Frau Dr.Wendt: Zeitlicher Mehraufwand rund 20 Minuten durch Beratung.
Landesblog: Welche konkreten Probleme gab oder gibt es noch?
Frau Dr.Wendt: Konkretes Problem: An der Funktionalität der Hardware wird noch gearbeitet.
Landesblog: Können Sie etwas zu den Kosten der Einführung sagen? Wie hoch sind diese? Wurden Sie vom Land oder vom Bund übernommen?
Frau Dr.Wendt: Kostenermittlung zurzeit nicht möglich. Hardware und Software werden vom Bund zur Verfügung gestellt.
Landesblog: Stellen Sie zur Zeit eine höhere Nachfrage nach dem alten Personalausweis fest?
Frau Dr.Wendt: „Alte“ PA wurden stärker nachgefragt.
Landesblog: Haben Sie bzw. das Amt allgemeine Sicherheitsbedenken?
Frau Dr.Wendt: Sicherheitsbedenken bestehen zurzeit nicht.
Auch in Schleswig gab es also bei der Einführung ein paar kleinere Schwierigkeiten und auch hier wird der Beratungsaufwand deutlich ansteigen. Ein weiteres Detail, welches nicht weiter verwunderlich scheint ist, dass es durchaus, laut Aussage der Ämter, eine höhere Nachfrage nach dem “alten” Personalausweis vor Einführung des nPA gibt.
Spannend dürfte jedoch vor allem die Frage werden, wie sich die Einführung des neuen Personalausweises auf die Kostenentwicklung in den Städten und Gemeinden tatsächlich entwickelt. Sicherlich müssen kleinere Städte und Gemeinden nicht gleich zusätzliche Mitarbeiter für die Beratung der Bürger bereitstellen, doch ein höherer Beratungsaufwand mündet letztlich in höheren Kosten auf denen die Gemeinden sitzen bleiben werden.
Der reguläre nPA soll den Bürger 28,80 Euro kosten. Von diesen 28,80 Euro gehen 22,80 Euro an die Bundesdruckerei, die restlichen 6 Euro dürfen die Gemeinden als Verwaltungskostenanteil einbehalten. Allerdings müssen die Gemeinden auch 22,80 Euro abführen, wenn Personen unter 24 Jahren den Ausweis beantragen. Hier gibt es dann keinen Verwaltungskostenanteil für die Gemeinde mehr. Noch schlimmer wird es hingegen bei Personen, die den Ausweis aufgrund ihrer Bedürftigkeit gänzlich umsonst bekommen. Auch hier müssen die Gemeinden 22,80 Euro abführen, obwohl dem keinerlei Einahme gegenübersteht. Vor allem bei kleinen und ländlichen Gemeinden dürfte diese Situation ein weiteres Loch in den Haushalt reißen. Somit zahlt der Bürger nicht nur seinen eigenen nPA, sondern trägt auch alle anderen oben genannten Kosten über seinen Steueranteil.
Links zum Thema:
Heute morgen habe ich mir noch einen alten PA in Kiel im Rathaus geordert. Die Sachbearbeiterin sagte auf meine Nachfrage, dass die Stadt Kiel (wie viele andere Kommunen in SH) sich für eine kostengünstigere Softwarelösung entschieden habe, was jetzt zur Folge habe, dass die meisten SachbearbeiterInnen sich nach jedem Antrag für einen nPA aus- und wieder einloggten, um zu vermeiden, während der nächsten Antragssession aus dem System zu fliegen. Außerdem erfolge auf Wunsch von OB Albig momentan ein Umbau des EMA in Kiel. Dadurch stünden nicht alle Arbeitsplätze durchweg zur Verfügung. Bleibe nur zu hoffen, dass der Umbau nach einem möglichen Weggang Albigs in die Staatskanzlei nicht wieder rückgängig gemacht werde, so die Sachbearbeiterin zu mir.
Der neue Personalausweis ist aus meiner Sicht auf allen Ebenen eine Katastrophe. Warum Herr Weichert da auf einmal butterweich geworden ist, ist mir ein Rätsel. Der Staat will sparen und Du schreibst es wird drei mal so teuer. Maschinenlesbar war ja bereits der alte Pass — allerdings mit weniger Fallstricken. Ich bin froh, dass ich mir noch einen alten geholt habe vor einiger Zeit. Bei RFID ist ja vor allem die Profilbildung ein Problem: Durch das Sammeln vieler RFID-Chips sind viele als Individuen erkennbar — und durch immer mehr RFID-Leser in Geschäften kann man überall solche Profile erstellen. Wenn man diese auch nch vernetzt kann man Leuten überall hin folgen. Ganz ohne Handy.
Wenn man ein wenig nach „long-range RFID” sucht, findet man Hinweise darauf, dass sich die Chips auch aus größeren Entfernungen lesen lassen. 30m scheinen kein Problem zu sein…
Ich bin mal sehr gespannt, wie sich der neue nun entwickeln wird. Die Aufwände in den Gemeinden werden weiter steigen und in den kommenden Gemeindehaushalten wird der neue Personalausweis definitiv ein Thema sein.
Ebenfalls darf man gespannt sein, wann es den ersten Datenmissbrauchsskandal um den nPA geben wird. Long-Range RFID wird dabei vielleicht auch eine Rolle spielen…
Pingback: Der neue ePerso, erklärt im Video von Alexander Lehmann | Penzweb.de
Pingback: Ein Rückblick auf die Einführung des neuen Personalausweises (nPA) | Landesblog Schleswig-Holstein