[8.11.2010] Der neue Personalausweis (nPA) ist eine tragende Säule der Nationalen E-Government-Strategie. Jetzt kann das Ausweisdokument beantragt werden. Nach zahlreichen Diskussionen über die Sicherheit des nPA sind viele Bürger offenbar verunsichert und bestellten noch schnell den alten Pass.

Seit 1. November 2010 kann der neue Personalausweis (nPA) im Scheckkartenformat beantragt werden – und schon gibt es neue Warnungen. Diesmal nicht von Sicherheitsexperten, sondern von kommunalen Meldebehörden. Das Bürgerbüro der Stadt Groß-Umstadt beispielsweise wurde dem Andrang kaum gerecht, weil die Antragsprozedur rund 20 Minuten dauert. Deshalb weist das UmStadtBüro darauf hin, dass es keine sofortige Umtauschpflicht gebe und die Bürger den neuen Personalausweis erst beantragen sollen, wenn der alte ausläuft. Die gesamte Technik wie Software, Scanner und Drucker funktioniere zwar, aber noch laufe alles nicht so flott, wie es im kundenfreundlichen Alltag wünschenswert wäre, heißt es in einer Pressemitteilung der Stadt.

Säule der E-Government-Strategie

Allzu lange sollten sich die Bürger aber nicht Zeit lassen. Denn der neue Personalausweis ist eine tragende Säule der E-Government-Strategie der Bundesregierung. „Der neue Personalausweis soll helfen, sich einfacher und verlässlich identifizieren zu können“, so brachte Bundesinnenminister Thomas de Maizière das Ziel des nPA auf den Punkt. Für die virtuelle Welt gebe es bislang kein allgemein einsetzbares, vertrauenswürdiges Dokument. Durch den zunehmenden Geschäftsverkehr im Internet sei dies aber notwendig. Der nPA soll diese Lücke mit der so genannten Online-Ausweisfunktion schließen, die einen sicheren elektronischen Identitätsnachweis erlaubt. Darüber hinaus besteht die Möglichkeit, den Ausweis für eine qualifizierte elektronische Signatur einzusetzen und biometrische Fingerabdrücke darauf zu speichern.

Bedenken des Chaos Computer Club

Gerade diese Funktionen wurden aber im Vorfeld der Einführung heftig diskutiert. Insbesondere die Sicherheit des neuen Ausweisdokuments wurde mehrfach angezweifelt. Noch Ende September 2010 wollte der Chaos Computer Club (CCC) erhebliche Schwachstellen beim elektronischen Personalausweis gefunden haben. Zwei Sicherheitsexperten demonstrierten, dass sich der Ausweis mittels einfach erhältlicher Software ferngesteuert benutzen lasse. „Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen“, kommentiert dies CCC-Sprecher Dirk Engling.
Der Chaos Computer Club wies darauf hin, dass viele Computer nicht jederzeit allein unter der Kontrolle ihrer Besitzer stehen. Verwende der Ausweisbenutzer eines der billigen Lesegeräte, sei er gezwungen, seine geheime PIN über die Tastatur seines Rechners einzugeben. Lausche nun eine versteckte Software-Komponente wie etwa ein so genannter Trojaner auf dem Rechner diese Tastatureingaben mit, sei die PIN nicht mehr als vertraulich zu betrachten, warnten die Computer-Experten. Mit der PIN könne ein Angreifer nun den Ausweis benutzen, solange dieser auf einem Lesegerät liegt. Selbst der Einsatz von teureren Lesegeräten mit eigener PIN-Tastatur böte nur begrenzten Schutz. Denn der aus dem Online-Banking bekannte Angriff Man-In-The-Browser benötige keine PIN. Hierbei werde der Inhalt von Transaktionen modifiziert, ohne dass der Benutzer dies bemerkt. Bei den meisten Online-Banking-Applikationen würden deshalb nicht nur die Identität des Kunden, sondern auch der Inhalt der Transaktion validiert und bestätigt. Obwohl die meisten Banken diese Probleme erkannt haben und durch den Einsatz eines sicheren Zweitkanals den Schwachstellen entgegenwirken, scheinen diese Erfahrungen an den Designern des nPA vorbeigegangen zu sein, kritisierte der Chaos Computer Club und rät allen Ausweisbesitzern, dass nur höherwertige Lesegeräte mit eingebautem PIN-Pad verwendet werden sollten, um wenigstens einen Schutz vor den simplen Angriffen mittels leicht verfügbarer Spionage-Software zu erreichen.

Probleme der Bundesdruckerei

Kritik im Vorfeld der nPA-Einführung kam auch aus den Kommunen. Die von der Bundesdruckerei gestellten Änderungsterminals bereiteten den Meldeämtern offenbar große Probleme. Anton Hanfstengl, Leiter des Münchner Bürgerbüros, sagte gegenüber heise online, ihm seien bislang keine Kommunen bekannt, welche die Änderungsterminals mithilfe der von der Bundesdruckerei gelieferten Software anbinden konnten: „Wir haben bereits verschiedene Versionen erhalten, aber alle waren so fehlerbehaftet, dass sie sich als nicht einsatzfähig herausstellten.“ Die meisten Hersteller der in den Melde- und Ausweisbehörden zum Einsatz kommenden Lösungen hätten die Software nicht in die Systeme einbinden können, weshalb bisher kaum ein Verfahren durchgetestet wurde. Wie heise online weiter berichtete, werden außerdem die herstellerabhängigen Vorgaben der Bundesdruckerei etwa zur Verwendung von Microsoft-Produkten kritisiert.

BSI zu Sicherheitsbedenken

Die permanenten Zweifel an der Sicherheit des nPA will das Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht gelten lassen. Allein durch die Kenntnis der Ausweis-PIN könne der nPA nicht missbraucht werden. Ein Angreifer benötige zur Nutzung der Online-Ausweisfunktion Zugriff auf die Karte selbst. Eine Änderung der Ausweis-PIN durch den Angreifer wäre nach Erspähen der alten PIN und Zugriff auf die Karte zwar grundsätzlich möglich, gibt das BSI zu. Dies würde jedoch zur Entdeckung des Angriffs durch den Inhaber führen, da dessen PIN nicht mehr funktioniere. All diese Szenarien könnten ausgeschlossen werden, wenn die Bürger die vom Bundesministerium des Innern und vom BSI empfohlenen grundlegenden Sicherheitsmaßnahmen im Umgang mit dem neuen Personalausweis befolgen. Diese lauten:
Anwender sollten eine Personal Firewall und einen leistungsfähigen Viren-Scanner nutzen und diese stets aktualisieren.
Neben dem Browser sollten auch das Betriebssystem und alle weitere eingesetzte Software durch regelmäßige Sicherheitsupdates auf dem neuesten Stand gehalten werden.
Der Ausweis sollte nur für die Dauer der tatsächlichen Nutzung auf das Lesegerät gelegt werden.
Anwender, die das Gefühl haben, ihre PIN sei ausspioniert oder manipuliert worden, sollten diese an einem nicht infizierten PC oder in der Personalausweisbehörde ändern oder den Ausweis sperren lassen.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hält den nPA für „ziemlich sicher“. Aber auch Peter Schaar rät: „Wer die Gefahr des Ausspähens der PIN mittels einer Schad-Software umgehen will, sollte ein höherwertiges Lesegerät einsetzen. Diese Standard- oder Komfortlesegeräte sind an der integrierten Tastatur zu erkennen.“

Münster in der ersten Reihe

Bleibt zu hoffen, dass die Stadt Münster ihren Bürgern kein Danaergeschenk macht. Die westfälische Universitätsstadt verteilt im Laufe der nächsten Monate 50.000 einfache Lesegeräte für den neuen Personalausweis an interessierte Bürger. Finanziert wird die Aktion vom Bundesinnenministerium. Münster und die von der Stadt geführte kommunale Kooperation von 18 Städten und Gemeinden erhielten als einzige kommunale Antragsteller vom Bund Lesegeräte zur kostenlosen Verteilung. Im virtuellen Münsteraner Rathaus sind bereits ab Mitte November erste neue Online-Anwendungen für den nPA verfügbar: die Bestellung von Urkunden beim Standesamt, von Karten beim Vermessungs- und Katasteramt, der Antrag auf Sondernutzung an öffentlichen Straßen beim Tiefbauamt sowie die Anmeldung von Elektrogroßgeräten zur Abholung und Entsorgung durch die Abfallwirtschaftsbetriebe. Wie das städtische Presseamt mitteilt, sollen bis Ende 2011 rund 25 städtische Online-Anwendungen zur Verfügung stehen, welche die elektronische Identität des nPA nutzen. Oberbürgermeister Markus Lewe: „In den Kommunen steht ein Quantensprung im E-Government bevor, und Münster befindet sich hier in vorderster Reihe.“
Auch die Stadt Potsdam hat sich etwas einfallen lassen: Die ersten 1.000 neuen Personalausweise, welche die Verwaltung der brandenburgischen Landeshauptstadt ausgibt, werden in einer Box ausgehändigt. Darin enthalten ist auch eine DVD mit der vorinstallierten AusweisApp sowie eine Broschüre, welche die Schritte bis zur ersten Nutzung der Online-Funktion des neuen Personalausweises beschreibt. Nur das notwendige Kartenlesegerät für den Ausweis mit seinem Mikrochip müssen sich die Bürger selbst beschaffen.

Stichtag ohne Probleme

Die Beantragung des neuen Personalausweises verlief in vielen Kommunen am Stichtag 1. November ohne größere Probleme. Die Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), mit deren Melde-Software OK.EWO immerhin 20 Millionen Bürger betreut werden, berichtet von positiven Rückmeldungen der Kunden. In der Freien und Hansestadt Hamburg – mit ihren fast 1,8 Millionen Einwohnern der größte Einzelkunde der AKDB – verlief der Tag in den Bezirksämtern störungsfrei. In Wiesbaden überzeugte sich Oberbürgermeister Helmut Müller auf einem Rundgang im Bürgerbüro von der reibungslosen Einführung des nPA. Bayreuths Oberbürgermeister Michael Hohl gehörte sogar zu den Ersten, die im Einwohner- und Wahlamt der Stadt den neuen Ausweis beantragten.
Den gelungenen Start führt der kommunale IT-Dienstleister auf eigene Maßnahmen zurück. Die AKDB habe ihre Kunden fit für den nPA gemacht. Die neuen Geschäftsprozesse in den Ausweisbehörden seien optimal in OK.EWO integriert, um den zusätzlichen Aufwand für die Sachbearbeiter so gering wie möglich zu halten, so die AKDB in einer Pressemitteilung. Zudem habe die AKDB als einer der ersten Software-Hersteller bereits im Sommer umfassende Kundenschulungen durchgeführt, an denen weit über 2.000 Sachbearbeiter aus über 1.300 Meldebehörden teilgenommen hätten.
Einen Ansturm auf das Bürgerbüro verzeichnete die baden-württembergische Universitätsstadt Tübingen. Allerdings nicht am 1. November, sondern am 29. Oktober: Über 200 Anträge zur Ausstellung eines alten Personalausweises nahm das Bürgeramt der baden-württembergischen Universitätsstadt entgegen. Den neuen wollten am ersten Ausgabetag dagegen nur 42 Bürger haben. (al)

http://www.personalausweisportal.de

Stichwörter: Digitale Identität, Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), Neuer Personalausweis (nPA), Chaos Computer Club (CCC), Bundesamt für Sicherheit in der Informationstechnik (BSI), Anstalt für kommunale Datenverarbeitung in Bayern (AKDB)