von Frank Rosengart und Martin Haase aus DS93
Nach der Einführung eines biometrischen Reisepasses mit RFID(ePass)
steht nun die Einführung des elektronischen Personalausweis (ePA) vor der Tür.
Fingerabdrücke
Am meisten öffentlich diskutiert wurde die Aufnahme des Fingerabdruckes,
bis schließlich zu einem faulem Kompromiss kam: Die Abgabe des Fingerabdruck ist Freiwillig.
Das bringt eine „Zwei-Klassen-Gesellschaft“ mit sich:
Inhaber von Ausweisen mit Fingerabdruck werden beim Grenzübergang vermutlich anders behandelt als solche ohne. Zudem ist die Infrastruktur für die zwangsweise Erfassung aller Fingerabdrücke bereits aufgebaut. Technisch möglich ist dass bei jeder Kontrolle mit Fingerabdruckabnahme diese nachträglich auf dem Personalausweis gespeichert werden.
Innenminister Schäuble hat außerdem angekündigt, das man für die zwangsweise Erfassung von Fingerabdrücken (und sogar für die Einführung einer Zentralen Datenbank ) wieder auf die EU setzen will, also über EU-Vorschriften sowohl die Erfassung der Fingerabdrücke als auch die Einrichtung einer zentralen Datenbank in Deutschland notwendig machen will. Außerdem fällt auf, dass die Bekanntgabe des Kompromisses zeitlich mit dem Verkauf der Bundesdruckerei zusammenfällt. Es scheint , als ob hier der Preis in der Höhe getrieben werden soll, damit der Bund endlich an die 300 Millionen Euro aus der damaligen Privatisierung kommt.
Biometrisches Foto
Ein Biometrisches Foto ist Natürlich nur sinnvoll, wenn damit auch biometrische Anwendungen geplant sind-hier sollte die Bundesregierung darüber Auskunft geben, was sie in Zukunft damit vorhat (abgleiche auf Demos etc.). Das Argument, das es für die Grenzkontrolle erforderlich sei,ist wie sich schon beim Reisepass unsinnig, da es kein Land gibt, in dem solche Systeme bereits erfolgreich eingesetzt werden. Außerdem könnte hier klar zwischen den Anforderungen an einen Personalausweis und denen an einen Reisepass getrennt werden.
Qualifizierte elektronische Signatur
Als Argument für den neuen Personalausweis wird immer wieder die qualifizierte elektronische Signatur verwiesen. Im Signaturgesetz werden der Rechtsgültigkeit der Signatur jedoch keine Grenzen gesetzt.Laut Bundesministerium des Inneren kann die Signatur einen Notar ersetzen – damit wäre es sogar möglich, ein Testament zu unterschreiben oder ein Haus zu (ver-)kaufen....
Für den Bürger ergibt sich ein dramatisches Risiko, denn wenn etwas schief geht, also die Signatur gefälscht oder missbraucht wird,liegt die Beweislast ähnlich wie bei der EC-Karte beim Inhaber des Ausweises. Bei der Frage der Haftung bewegt sich die elektronische Signatur praktisch im rechtsfreien Raum.
Elektronische ID (eID)
Es muss eine neue Bundesstelle geschaffen werden, bei der sich die Anbieter akkreditieren müssen, um Zertifikate für die Anforderung der eID-Daten der Bürger zu erhalten. Diese Zertifikate sind dann für drei Jahre gültig (bzw. werden drei Jahre lang alle drei Tage erneuert).Die große Frage ist, was diese Bundesstelle prüft, was also deren Policy ist und welchen Rechtsanspruch man so auf ein Zertifikat hat.
Hier ein einfaches Beispiel: Ich hole mir ein Zertifikat für die GeldParkBank GmbH und werbe dann unter vielgeldparken.de für hohe Zinsen, wenn man dort Geld parkt. Die Leute eröffnen dort fleißig Konten , und dann nach ein paar Wochen löst sich alles in Luft auf. Dann wird der Betrogene Bürger Ansprüche gegenüber dem Bund geltend machen, der die ominöse Parkbank zertifiziert hat.
Diese eID wird vor allem dazu führen, das elektronische Dienste nicht mehr anonym benutzt werden können. Bereits bei der Nutzung eines öffentlichen W-LANs wird man sich mit seiner eID ausweisen müssen. Nach und nach werden immer mehr Dienste auf die eID zurückgreifen und ganz nebenbei die mit der eID validierten Daten sammeln. Die Vorausetzung für die komplette Abschaffung der Anonymität durch die eID wird mit dem elektronischem Personalausweis geschaffen. Dann haben wir Zustände wie in China.
Jede Website wird nach der eID fragen, und der Bürger wird gezwungen, sich überall mit seiner echten Identität-staatlich zertifiziert-auszuweisen. Ein Paradies für Phisher, Identitätsdiebe und Datensammler. Interessanterweise wird gerade Phishing als Argument für den elektronischen Personalausweis angesehen, obwohl er hier eher Probleme schafft als löst.
Wie ein Mantra wird von den Befürwortern immer wieder behauptet, der elektronische Personalausweis mache das Online Banking sicherer, das ist natürlich Unsinn, denn schon längst gibt es Verfahren wie HBCI, die jedoch kaum genutzt werden, zum Beispiel weil Kartenleser zu teuer sind und immer da stehen, wo man gerade kein Online-Banking machen will. So dürfen die Mitarbeiter in einer Firma meist keinen Leser an Ihren Arbeitsplatzrechner anschließen.
Die Bundesregierung verspricht das Paradies bei der elektronischen Transaktionen, aber es ist offensichtlich, daß dies nicht eintreten wird. Der elektronische Personalausweis löst keines der aktuelen Probleme.
Angebliche Kostenersparnis
Die Kostenrechnung der Bundesregierung (100 Millionen Euro Einsparung) ist ein Taschenspielertrick, denn sie verschweigt, wo diese Kosten eingespart werden: bei der ohnehin völlig veralteten Erfassung von Meldedaten bei Pflegeheimen und Unterkünften. Diese Gelder werden im Rhamen der Melderechtsreform gespart, nicht mit dem elektronischem Personalausweis. Seriöse Zahlen zu den Kosten liegen nicht vor.
RFID
Signaturen auf RFID-Chips bergen nochmal ein ganz neues Risiko. Über die neuen Sicherheitsfeatures wie das Password Authenticated Connection Establishment (PACE, übrigens eine sehr deutsche Bezeichnung) wissen wir leider noch zu wenig.
LINKS
Bericht über den Kabinettsbeschluss zur Einführung des ePA: http://www.spiegel.de/politik/deutschland/0,1518,567502,00.html
Ausmaß der ePA-Nutzung:
http://www.heise.de/newsticker/Elektronischer-Personalausweis-Wenn-das-Web-den-Ausweis-sehen-will--/meldung/108208
Informationen des BMI:
http://www.bmi.bund.de/cln_028/nn_1082274/Internet/Content/Themen/PaesseUndAusweise/Listentexte/elPersonalausweis.html
ePA soll Pishing verhindern:
http://www.stern.de/politik/deutschland/:Daten-Klau-BKA-Verbraucherschutz/637441.html
Bundesdruckerei:
http://www.ccc.de/epass/bundesdruckerei?language=de
PACE:
http://www.heise.de/security/PACE-fuer-die-schnelle-Authentifizierung--/news/meldung/85024
Diese ist ein Artikel aus der Datenschleuder Ausgabe 93 des CCC.
Posts
