Vier wissenschaftliche StudienE-Ausweis sicher, aber nutzlos?
Schon bald werden die ersten neuen Personalausweise mit einem elektronischen Chip ausgestellt. Die Debatte darüber hält aber weiter an. Vier wissenschaftliche Studien im Auftrag des Innenministeriums kommen zu unterschiedlichen Ergebnissen.
Gut zwei Wochen vor Einführung des neuen Personalausweises haben Wissenschaftler die Software für den Identitätsnachweis kritisiert. Außerdem rieten sie von der Verwendung des einfachen Kartenlesegeräts ab, mit dem Daten auf dem integrierten Chip des Ausweises ausgelesen werden. Zwei entsprechende Studien im Auftrag des Bundesinnenministeriums wurden in Berlin vorgestellt. Gute Noten erhielt das Ausweis-Projekt in zwei weiteren Studien zur Verschlüsselungstechnik und hinsichtlich der Haftungsrisiken für den Verbraucher.
Kaum Mehrwert für Endnutzer
Experten des Hasso-Plattner-Instituts an der Universität Potsdam bemängelten, die Bedienung der "AusweisApp" sei in der bisherigen Testversion "kaum intuitiv". "Das könnte man durch die Gestaltung der Oberfläche verändern", sagte Institutsleiter Christoph Meinel und fügte hinzu: "... wie man es gewohnt ist von vernünftigen Programmen". Er schlug vor, den neuen Ausweis zusammen mit einem "Starterpaket" mit allen nötigen Zutaten auszuhändigen. Die Forscher erklärten außerdem, dass für die Verbraucher kaum ein Mehrwert des elektronischen Ausweises erkennbar sei. "Fast alle Nutzungsszenarien ... helfen also nur den Diensteanbietern und meist nicht dem Endnutzer", heißt es in der Studie.
Basislesegerät unsicher
Wissenschaftler am Institut für Internet-Sicherheit der Fachhochschule Gelsenkirchen kamen zum Ergebnis, dass die Identifizierung mit dem elektronischen Personalausweis im Vergleich zur herkömmlichen Authentifizierung mit Passwörtern ein höheres Sicherheitsniveau aufweist. Allerdings müsse davon ausgegangen werden, dass viele Computer in Deutschland nicht umfassend genug gegen Schadsoftware gesichert seien. Deshalb könne nur der Einsatz eines höherwertigen Lesegerätes mit eigener Tastatur empfohlen werden. Beim Basislesegerät, das mit der Einführung des Ausweises in großen Mengen verteilt werden soll, kann die PIN für den Zugriff auf die Ausweisdaten von einem Trojaner abgefangen werden, wenn dieser Code über die PC-Tastatur eingetippt wird.
Verschlüsselung sicher
In einer weiteren Studie untersuchten Experten der Technischen Universität Darmstadt die Verschlüsselung der Daten auf dem Ausweis-Chip. Dabei seien keine kryptographischen Schwächen festgestellt worden, erklärte Marc Fischlin und fügte hinzu: "Die verkürzte Darstellung, dass der Personalausweis unsicher sei, teilen wir nicht." Aus juristischer Sicht kam Georg Borges von der Ruhr- Universität Bochum nach einer Prüfung der Haftungsrisiken zum Ergebnis: "Der Ausweisinhaber wird durch dieses System geschützt, er kann die Vorteile genießen." Eine Haftung bestehe für die Verbraucher nur bei einem fahrlässigen Umgang mit dem Ausweisdokument oder seiner PIN.
Bei der Vorstellung der Studien sagte Ministerialrat Andreas Reisen, bisher wollten 300 Unternehmen und Behörden die sichere Identifizierung mit dem Personalausweis für Online-Geschäfte oder für Verwaltungsvorgänge im Internet nutzen. Schon im November werde es erste Dienstleistungen im Netz geben, sagte Reisen. Darunter seien mehrere Angebote von Versicherungen und Online-Shops. Im nächsten Jahr werde es auch möglich sein, die Steuererklärung 2010 mit dem neuen Personalausweis im Internet abzugeben.
Alte Ausweise bleiben gültig
Die bisherigen Personalausweise bleiben bis zum Ablauf der angegebenen Frist gültig. Bei neuen Anträgen für das Dokument wird ab 1. November ein Ausweis mit einem integrierten Chip ausgestellt, für eine Gebühr von 28,80 Euro. Der Chip speichert alle auf dem Dokument aufgeführten Personendaten, das Lichtbild sowie auf freiwilliger Basis auch einen Fingerabdruck.
Der neue Ausweis erfüllt drei verschiedene Aufgaben: Erstens die bisherige Ausweisfunktion gegenüber Behörden, zweitens eine sichere Identifizierung der eigenen Person im Internet und drittens die Möglichkeit für eine elektronische Signatur digitaler Dokumente. Der Inhaber des neuen Ausweises kann auf die zweite und dritte Möglichkeit verzichten, die dann nicht freigeschaltet oder gar nicht erst eingerichtet wird.