[kairaven.de] Das Grobkonzept 2.0 für den elektronischen Personalausweis (ePA) des Bundesinnenministeriums vom 2. Juli 2008, das Ralf Bendrath am 4. Juli 2008 in einem Beitrag bei netzpolitik verlinkte, gibt weiter Aufschluß über Funktionen und angedachte Anwendungsmöglichkeiten, die der ePA mit sich bringen wird. Wie der Titel des Dokuments schon sagt, bietet es nur grobe Informationen, die sich erst mit dem ausstehenden Feinkonzept (Leistungsbeschreibung) des Bundesinnenministeriums, dem Konzept beteiligter Hersteller wie der Bundesdruckerei GmbH und den nachfolgenden Technischen Richtlinine des BSI zum ePA verdichten werden.

Abseits davon, hier meine Ergebnisse der Durchsicht des Grobkonzepts zur Ergänzung des Beitrags Elektronische Ausweise und Portale für den kontrollierten Portalbuerger nachgetragen:

Der ePA im ID-1 Scheckkartenformat wird nur einen RFID Funkchip besitzen, keinen kontaktbehafteten Chip (wie z. B. in der EC-Karte) und auch keine Kombination wie in anderen ID-Karten, die bereits in einigen EU-Mitgliedsstaaten im Umlauf sind.

Begründet wird dies mit der kürzen Lebendauer von ca. 5 Jahren bei Kontaktchips und der erwünschten Kompatibilität mit den "Kontrollinfrastrukturen", Lesegeräten und ICAO-Normen für den bereits mit Funkchip ausgestatten ePass, die man kostengünstig auch für den ePA nutzen will. Man kann auch sagen, die ICAO-Normen, EU-Richtlinien für die Einführung biometrieunterstützender Pässe und der ePass selbst waren das "Einfallstor", durch das man den "Sachzwang" für den ePA schuf, auf den man sich jetzt beziehen kann. Außerdem könnten mit der "kontaktlosen Ein-Chip-Lösung die Anforderungen einer sicheren Signaturerstellungseinheit (SSE)" für die Qualifizierte elektronische Signatur (QES) "sichergestellt werden", was man allerdings auch mit kontaktbehafteten Chipkarten "sicherstellen kann", wie die zertifizierten Produkte für qualifizierte elektronische Signaturen bei der Bundesnetzagentur beweisen.

Im Funkchip wird das Gesicht als biometrisches Merkmal gespeichert, aber die Fingerabdrücke vorerst nicht, wenn der ePA-Antragsteller der Aufnahme der Fingerabdrücke nicht zustimmt. Das ist dem derzeit großen politischen Widerstand geschuldet, aber auch dem einfachen Umstand, dass auf EU-Ebene noch keine EU-Richtlinie für einen EU-weit einheitlichen "ePA" existiert, die Fingerabdrücke vorschreibt.

Wie für den Funkchip wird auch die Aufnahme biometrischer Merkmale mit der Existenz der internationalen ICAO-Normen für Reisedokumente begründet, deren Datenformaten man "genügen" muss. Als ein Hauptargument für die Nutzung biometrischer Merkmale wie für den ePA ingesamt führt das Dokument den angeblich viel zu hohen Anteil des Dokumentenmissbrauchs an Urkundendelikten "in der Kriminalitätsstatistik" an, den optisch ähnlich aussehende Personen mit gestohlenen oder verlorengegangenen Bundespersonalausweisen des alten Typs begehen, um falsche Identitäten vorzutäuschen. "Untersuchungen der Bundespolizei und des Auslands" hätten einen 10 - 70% Anteil des Dokumentenmissbrauchs an allen Urkundendelikten ergeben, so das Dokument. Amtliche und detaillierte Statistiken zu diesen Aussagen wären ganz interessant.

Fehler bei der optischen Authentifizierung seitens Beamter der Polizei, des Zolls und der Passbehörden, die sich aus dem Missbrauch ergeben, hofft man deshalb, mit der biometrischen Authentifizierung auszuschließen. Hinweise auf Fehlerraten der bisher eingesetzten Biometrietechnik und durch die Fehlbedienung des Personals fehlen vollständig.

Zugleich heißt es trotz der "Schwachstellen", die der alte Personalausweis angeblich hat, an anderer Stelle, er "hat sich – abgesehen von den (...) beschriebenen Schwachstellen – im Grundsatz für die bisherigen Verwendungszwecke in der Praxis ausgezeichnet bewährt. Insbesondere in den Bereichen der polizeilichen Personenkontrolle im Inland, der Grenzkontrolle, der Identifizierung im privatwirtschaftlichen Umfeld bei Geschäften von Angesicht zu Angesicht sowie hinsichtlich seiner Fälschungssicherheit kann auf jahrelange positive Erfahrungen mit dem bisherigen Personalausweis zurückgeblickt werden."

Das bisher häufig verwendete Argument der höheren Fälschungssicherheit für den ePA fällt mittlerweile völlig unter den Tisch, denn "verschiedene optische Sicherheitsmerkmale (z. B. Sicherheitsdruck, Laserbeschriftung) machen den aktuellen Personalausweis zu einem Hochsicherheitsdokument. Mit diesen Maßnahmen konnte die Fälschungssicherheit gegenüber seinem Vorgänger soweit erhöht werden, dass Totalfälschungen schon heute praktisch nicht vorkommen" bestätigt das Grobkonzept. Die Einführung des ePA hat mit Sicherheit nichts mit Fälschungsdelikten zu tun, auch wenn das weiterhin von Innenpolitikern wie Bosbach behauptet wird.

Aus den bisherigen Informationen ergibt sich, dass eigentlich der alte Personalausweis ausreicht. Vielleicht könnte die optische Überprüfung sogar noch verbessert werden, wenn ein oder mehrere größere Farbbilder des Kopfes verwendet und die Beamten noch besser geschult würden. Aber das war ja nie die Absicht der Bundesregierung. Beim neuen ePA würde ebenfalls ein normales verbessertes Bild genügen – wenn nötig sogar als Bewegtbild. Als Chip würde ein kontaktbehafteter Chip ausreichen, auf dem Name, Anschrift und Geburtsdatum für die neuen Funktionen zum elektronischen Identitätsnachweis (eID) und die Zertifikate für die elektronische Signatur gespeichert sind – bei Inkaufnahme einer kürzeren Lebensdauer und den damit verbunden höheren Gesamtkosten, die der Bürger und Steuerzahler zu tragen nicht bereit wäre.

Wegen des fehlenden Chips kann der alte Personalausweis natürlich keine elektronischen Signatur- und Identitätsnachweis-Funktionen bieten, die für E-Government und E-Commerce Dienste tatsächlich sinnvoll und praktisch sind.

Nur das man diese Funktionen, da sie beide eh nicht zwingend, sondern optional vom ePA-Inhaber genutzt werden können, genauso auf einer eigenen eID/QES Karte mit Kontaktchip hätte einbringen können. Was wäre so schwer daran, mit dem alten Personalausweis eine Behörde oder Stelle aufzusuchen, um sich dort nach Identitätsnachweis mit dem alten Personalausweis eine Karte aushändigen zu lassen, auf der die eID Daten bereits behördlich zertifiziert gespeichert sind, danach selbst mit der als sicher zertifizierten Soft- und Hardware das Schlüsselpaar für die Qualifizierten Signaturzertifikate zu erzeugen und diese abschließend sicher off- oder online zertitifzieren zu lassen? Aber dieses Kind ist schon lange (auch international) in den Brunnen gefallen und so bekommt man als Bürger alles auf der Staats-Karte in Gestalt des ePA.

Für die eID-Funktionen, werden laut den Anforderungen 8 - 9 an die elektronische Anwendung im Funkchip in Datenfeldern Vornamen, Familienname, Doktorgrad, Tag und Ort der Geburt, gegenwärtige Anschrift, Dokumentenart, Abkürzung "D" für Bundesrepublik Deutschland, Angabe, ob Personalausweis gültig ist, Angabe, ob ein bestimmtes Alter über- oder unterschritten wird (Alterskontrolle), Angabe, ob ein Wohnort dem abgefragten Wohnort entspricht und ein ominöses "diensteanbieter- und kartenspezifisches Kennzeichen" gespeichert.

Die Nutzung des elektronischen Identitätsnachweises soll laut des Dokuments eigentlich genauso optional sein wie die Nutzung der Qualifizierten Signatur: "Die Ausweisinhaber sollen selbst über die Nutzung des elektronischen Identitätsnachweises entscheiden, indem sie bei der Aushändigung des Personalausweises schriftlich gegenüber der Personalausweisbehörde erklären, ob sie den elektronischen Identitätsnachweis nutzen wollen oder nicht" und später die eID-Funktionen auch wieder deaktivieren können. Ob die Freiwilligkeit angesichts der Kostenersparnisse und Marktzuwächse, die man sich für private und staatliche Diensteanbieter erhofft, erhalten bleibt, wird sich zeigen.

Die Datenfelder kann ein privater oder staatlicher Diensteanbieter auslesen, um die Identität eines Kunden bzw. Nutzers zu überprüfen. Dazu erhält der Diensteanbieter eine 3 Jahre gültige Berechtigung und zweckbezogene Berechtigungs-Zertifikate, die zum Auslesen der eID-Datenfelder berechtigen. Die Berechtigungs-Zertifikate enthalten u. a. "Angaben über den Diensteanbieter und dessen Datenschutzaufsichtsbehörde, Angaben zu dessen Berechtigungen für den Zugriff auf einzelne Datenfelder (z. B. Name, Alter, Adresse) und den Erhebungs- und Verarbeitungszweck". Sie sollen maximal drei Tage gültig sein mit der Möglichkeit für den Diensteanbieter, Folgezertifikate online nachzuordern.

Staatliche Behörden und Stellen, die über die nötigen Berechtigungs-Zertifikate und die Karten-Zugangsnummer verfügen, können jederzeit alle eID-Datenfelder und die Datenfelder mit den biometrischen Merkmalen auslesen, während private Diensteanbieter keinen Zugriff auf die biometrischen Daten erhalten sollen. Die gleichen Behörden können auch die eID Funktionen an- oder abschalten, genauso wie sie einen ePA ganz sperren können, was einen ePA-Inhaber automatisch von allen Vorgängen abschneidet, bei dem der eID nötig sein wird, während ein alter Personalsausweis mit ausreichendem Gültigkeitsdatum auch dann noch akzeptiert würde. Damit erhält der ePA ein Repressions- und Kontroll-Potential, an das niemand denkt.

Zum Auslesen der Datenfelder überträgt der Diensteanbieter sein Berechtigungs-Zertifikat, dessen Inhalt dem ePA-Inhaber über Kartenlesegerät und -software angezeigt wird. Danach kann der ePA-Inhaber die Datenfelder abwählen, die er nicht an den Diensteanbieter übertragen will. Ob dann die Inanspruchnahme der "Dienstleistung" weiterhin möglich ist, ist die Frage oder fraglich. Zum Abschluß gibt der ePA-Inhaber die PIN seines ePA ein, um die Übermittlung der Inhalte der zugelassenen Datenfelder freizuschalten.

Diese Infrastruktur könnte auch anders gestaltet werden, wenn nicht nur Folgezertifikate, sondern alle Berechtigungs-Zertifikate bei staatlichen "Zertifikatediensteanbietern" (ZDA) live und online bezogen werden müssten, die nur erteilt werden, wenn zugleich Angaben über den aktuellen Zweck und Identitätsdaten des ePA-Inhabers an den ZDA übermittelt werden. In diesem Szenario hätte der ZDA immer einen vollständigen Überblick über die Beziehungen, Vorgänge und Identitäten der Diensteanbieter und ePA-Inhaber. Aber so soll es ja nicht laufen.

Dem ePA-Inhaber soll auch die Möglichkeit der pseudonymen Authentifizierung zur Verfügung stehen. Ob das immer der Fall ist oder ob der Diensteanbieter bestimmt, wann ein "pseudonymer eID" gestattet ist, geht nicht aus dem Grobkonzept hervor.

Für die pseudonyme Authentifizierung wird aus der Kennnummer des übertragenen Berechtigungs-Zertifikats des Diensteanbieters und einem "personalausweisindividuellem Geheimnis" des ePA (ob damit der Inhalt des "diensteanbieter- und kartenspezifischen Kennzeichens" gemeint ist?) ein "bereichsspezifisches Kennzeichen" (das "Pseudonym") berechnet, das anstelle der realen Inhalte der eID-Datenfelder (nach Eingabe der PIN) an den Diensteanbieter übermittelt. Detailliertere Informationen gibt es dazu nicht, deshalb auch keine Informationen, wie sicher das Ganze implementiert ist und inwiefern das effektiv einer Verkettung der Identität entgegenwirken kann. Fragen werden sich besonders dann ergeben, wenn der ePA zur Multifunktions-Karte ausgebaut, weitere Anwendungen und Funktionen auf sich vereinigen würde, die bisher über eigene ID-Karten und Infrastrukturen abgewickelt wurden und damit auch andere Rollen des ePA-Inhabers erfasst.

Der pseudonyme eID zielt ja auf Dienste ab, bei der ein Kunde/Nutzer dem Diensteanbieter nicht als Person erkennbar sein soll, aber der Diensteanbieter einen bestimmten ePA wiedererkennen kann. Wieso sollte er aber pseudonym einen bestimmten ePA wiederkennen wollen? Das wäre zum Beispiel nur sinnvoll, wenn aus einem realen eID-Datenfeld wie dem Geburtsdatum abgeleitet die Information Volljährig:Ja/Nein mit übertragen würde, um zum Beispiel Angebote mit Altersbeschränkungen zu unterstützen. Ein anderes Beispiel wäre ein Angebot, das nur Kunden/Nutzern aus Deutschland zugänglich sein soll. Einen großen Gewinn für die anonyme Kommunikation und Nutzung von Angeboten im Internet verspreche ich mir davon nicht.

Was der eID aber abseits der Nutzung staatlicher und kommerzieller Dienstleistungen mit sich bringt, ist die Gefahr und das Potential zur Einschränkung der anonymen Nutzung und des anonymen Zugangs zu allen übrigen Dienstleistungen im Internet und Internet-Diensten allgemein.

"Der elektronische Personalausweis wird die Abwicklung elektronischer Geschäftsprozesse revolutionieren. Unternehmen werden zukünftig in der Lage sein, elektronische Dienste anzubieten, die der Identitätsprüfung einer Bürgerin bzw. eines Bürgers bedürfen und bisher nicht vertrauenswürdig online durchgeführt werden können" heißt es in dem Dokument an einer Stelle, "Der Personalausweis mit PIN [Anm.: und eID] eröffnet die Möglichkeit, ein sicheres "Single-Sign-On" für Internetservices einzusetzen. Auf Basis lokaler Identitätsverwaltungsprogramme oder durch eID-Provider kann der Zugang zu Internetservices oder Netzwerkressourcen automatisiert werden" an einer anderen Stelle.

Ein Beispiel für einen dieser elektronischen Dienste ist das bereits beschriebene "Bürger-Portal", die von staatlichen Stellen selbst oder mit Zertifizierung durch den Staat von "Internetserviceprovidern" betrieben werden. Bei ihnen ist die Einrichtung eines Benutzerkontos und die Nutzung von E-Mail immer an die Anwendung des eID mit eingestecktem oder an das Lesegerät gehaltenen ePA gebunden. Anonym eingerichtete E-Mail Konten mit pseudonymen Kennungen gibt es nicht mehr. Genauso könnte ein "Internetserviceprovider", aber auch die Betreiber von Internet-Cafes und Internet-Terminals das Login und den Zugang zum Internet an die Identitätsprüfung und Nachweis durch den ePA-Inhaber knüpfen. Das "Modell" lässt sich beliebig auf alle Dienste-Anbieter und Dienste ausdehnen, was im Dokument auch deutlich gesagt wird. In den "Vorschlägen für den elektronischen Identitätsnachweis im E-Business" wird das Szenario "Internetservice allgemein" beschrieben: Die hier dargestellten Schwachstellen, Sicherheitslücken, Datenschutzmängel (die wohl eher bei den Passbehörden selbst zu finden sind) und Einschränkungen der Usability stellen zugleich wichtige Merkmale dar, die den anonymen Zugang zum Internet und die anonyme oder pseudonyme Nutzung von Dienstangeboten im Internet und der Dienste des Internets ermöglichen. Sie können und sollen mit dem ePA und dem eID zu Internet-Zugängen führen, die nur noch mit Identifizierung des ePA-Inhabers zu haben sind, zu Dienstleistungen und Diensten, die nur noch über Benutzerkonten zugänglich sind, für die man die eID-Prozeduren durchlaufen hat und deren Nutzung jedesmal an eine Identitätsprüfung gebunden ist. Als Schreckgespenst steht am Ende der Internetzugangs-Provider, der den Nutzer nur noch mit eID und ePA ins Internet lässt und zugleich sicherstellt, dass sich der ePA-Internetnutzer bei ihm als eID-Provider oder einem staatlichen eID-Provider anmeldet, der auch Zugang und Nutzung von Diensten und Dienstleistungen kontrollieren und regulieren (zum Beispiel u. a. auch mit Unterstützung durch Deep Packet Inspection und angedachter Kontrollstrukturen beim Provider) könnte.

Neben zwingend und noch optional gespeicherten biometrischen Merkmalen, der elektronischen Authentifizierung und dem elektronischen Identitätsnachweis (eID) machen die bereits erwähnten optionale Signaturfunktionen zur Verschlüsselung und für das elektronische Unterschreiben von E-Mails, Rechnungen, Anträgen oder An- und Abfragen mittels der Qualifizierten elektronischen Signatur eine weitere Hauptneuerung des ePA aus.

Wie das dazu notwendige Paar aus geheimem und öffentlichem Schlüssel in den Chip privater ePA-Inhaber kommt, darüber ist sich das Grobkonzept im Gegensatz zu privaten und staatlichen Diensteanbietern nicht ganz klar.

Während der Diensteanbieter laut "Teilprozess 4.5" nach Erhalt der Berechtigung sein Schlüsselpaar immer mit zertifizierter Krypto Soft- und Hardware selbst im Chip erzeugen darf und der Berechtigungsstelle für die Berechtigungs-Zertifikate sein öffentliches Schlüsselzertifikat zur Gegenzertifizierung und das TLS/SSL Zertifikat für das Dientsangebot im Internet übermittelt, heißt es in den Anforderungen 18 + 20 an die Elektronische Anwendung für den privaten ePA-Inhaber, dass das geheime Schlüsselzertifikat "in sicherer Weise auf dem ePA erzeugt oder auf ihn geladen" wird. Etwas später wird daraus nur noch der ePA-Inhaber, der "das Trustcenter [Anm.: oder auch "Zertifikatediensteanbieter" (ZDA)] aussucht, das ihm den privaten Schlüssel des qualifizierten Signaturzertifikats (QES) auf seinen Personalausweis lädt". Ob da der Wunsch, sich ein Hintertürchen für die Hinterlegung des privaten Schlüssels offenzulassen, Vater der noch wirr bleibenden Gedanken war?

Laut Anforderung 19 an die Elektronische Anwendung QES soll die Anwendung der digitalen Signatur und damit der Schutz des privaten Schlüssels neben der PIN für die Freigabe der eID-Datenfelder mit einer eigenen PIN geschützt werden. Bei OpenPGP wäre das die Passphrase, die der Nutzer selbst vergibt. Die PINs ("persönliche Geheimzahl") und der PUK ("persönlicher Entsperrungsschlüssel), mit dem laut des Grobkonzepts die Zählerstände auf Null gesetzt werden, wenn die PINs trotz Eingabe der auf dem ePA aufgedruckten Zugangsnummer insgesamt 3x falsch eingegeben wurde, werden vom Hersteller der ePAs erzeugt und per ePA-Inhaber-spezfischem Brief an den ePA-Antragsteller versendet. In dem Brief ist zusätzlich ein "Sperrkennwort" enthalten, mit dem man bei Verlust des ePA die eID-Funktionen sperren lassen kann. Wozu man das braucht, wo doch die eID-Datenfelder kryptografisch gesichert sein sollen und nur mit der PIN übermittelt werden können, weiß ich auch nicht.

Wie es tatsächlich mit der Freiwilligkeit und der optionalen Nutzung von Komponenten des ePA bestellt ist, lehrt der Beschluß zur Einführung des Elektronischen Einkommensnachweises, über die im Heise Beitrag Bundeskabinett beschließt elektronischen Einkommensnachweis ELENA berichtet wurde. Wer ab 2012 am Erwerbsleben teilnehmen oder Sozialleistungen erhalten will, muss daran teilnehmen und er muss eine Qualifizierte elektronische Signatur erwerben und nutzen. Genauso wie ELENA kann auch der ePA das Internet "revolutionieren", wie es im Grobkonzept so schön heißt. Man kann auf alle eID-Funktionen, die QES oder die Aufnahme von Fingerabdrücken verzichten, könnte dafür aber langfristig mit Zugangsbeschränkungen, Benachteiligungen und verweigerten Dienstleistungen konfrontiert werden. Geschickt eingefädelt.

Siehe auch:
Heise - Grobkonzept des elektronischen Personalausweises steht
Heise - Elektronischer Personalausweis aus europäischer Perspektive

 

Source: blog.kairaven.de