Bitte halten Sie Ihren ePA an das Lesegerät

[kairaven.de] Das Grobkonzept 2.0 für den elektronischen Personalausweis (ePA) des Bundesinnenministeriums vom 2. Juli 2008, das Ralf Bendrath am 4. Juli 2008 in einem Beitrag bei netzpolitik verlinkte, gibt weiter Aufschluß über Funktionen und angedachte Anwendungsmöglichkeiten, die der ePA
mit sich bringen wird. Wie der Titel des Dokuments schon sagt, bietet
es nur grobe Informationen, die sich erst mit dem ausstehenden
Feinkonzept (Leistungsbeschreibung) des Bundesinnenministeriums, dem
Konzept beteiligter Hersteller wie der Bundesdruckerei GmbH und den
nachfolgenden Technischen Richtlinine des BSI zum ePA verdichten werden.

Abseits davon, hier meine Ergebnisse der Durchsicht des Grobkonzepts zur Ergänzung des Beitrags Elektronische Ausweise und Portale für den kontrollierten Portalbuerger nachgetragen:

Der ePA im ID-1 Scheckkartenformat wird nur einen RFID Funkchip
besitzen, keinen kontaktbehafteten Chip (wie z. B. in der EC-Karte) und
auch keine Kombination wie in anderen ID-Karten, die bereits in einigen
EU-Mitgliedsstaaten im Umlauf sind.

Begründet wird dies mit der kürzen Lebendauer von ca. 5 Jahren bei
Kontaktchips und der erwünschten Kompatibilität mit den
"Kontrollinfrastrukturen", Lesegeräten und ICAO-Normen
für den bereits mit Funkchip ausgestatten ePass, die man kostengünstig
auch für den ePA nutzen will. Man kann auch sagen, die ICAO-Normen,
EU-Richtlinien für die Einführung biometrieunterstützender Pässe und
der ePass selbst waren das "Einfallstor",
durch das man den "Sachzwang" für den ePA schuf, auf den man sich jetzt
beziehen kann. Außerdem könnten mit der "kontaktlosen Ein-Chip-Lösung
die Anforderungen einer sicheren Signaturerstellungseinheit (SSE)" für die Qualifizierte elektronische Signatur (QES) "sichergestellt werden", was man allerdings auch mit kontaktbehafteten Chipkarten "sicherstellen kann", wie die zertifizierten Produkte für qualifizierte elektronische Signaturen bei der Bundesnetzagentur beweisen.

Im Funkchip wird das Gesicht als biometrisches Merkmal gespeichert, aber die Fingerabdrücke vorerst nicht,
wenn der ePA-Antragsteller der Aufnahme der Fingerabdrücke nicht
zustimmt. Das ist dem derzeit großen politischen Widerstand geschuldet,
aber auch dem einfachen Umstand, dass auf EU-Ebene noch keine
EU-Richtlinie für einen EU-weit einheitlichen "ePA" existiert, die
Fingerabdrücke vorschreibt.

Wie für den Funkchip wird auch die
Aufnahme biometrischer Merkmale mit der Existenz der internationalen
ICAO-Normen für Reisedokumente begründet, deren Datenformaten man
"genügen" muss. Als ein Hauptargument für die Nutzung biometrischer
Merkmale wie für den ePA ingesamt führt das Dokument den angeblich viel
zu hohen Anteil des Dokumentenmissbrauchs an Urkundendelikten "in der
Kriminalitätsstatistik" an, den optisch ähnlich aussehende Personen mit
gestohlenen oder verlorengegangenen Bundespersonalausweisen des alten
Typs begehen, um falsche Identitäten vorzutäuschen. "Untersuchungen der
Bundespolizei und des Auslands" hätten einen 10 – 70% Anteil des
Dokumentenmissbrauchs an allen Urkundendelikten ergeben, so das
Dokument. Amtliche und detaillierte Statistiken zu diesen Aussagen wären ganz interessant.

Fehler bei der optischen Authentifizierung seitens Beamter der Polizei,
des Zolls und der Passbehörden, die sich aus dem Missbrauch ergeben,
hofft man deshalb, mit der biometrischen Authentifizierung
auszuschließen. Hinweise auf Fehlerraten der bisher eingesetzten
Biometrietechnik und durch die Fehlbedienung des Personals fehlen
vollständig.

Zugleich heißt es trotz der "Schwachstellen", die der alte Personalausweis angeblich hat, an anderer Stelle, er "hat
sich – abgesehen von den (…) beschriebenen Schwachstellen – im
Grundsatz für die bisherigen Verwendungszwecke in der Praxis
ausgezeichnet bewährt. Insbesondere in den Bereichen der polizeilichen
Personenkontrolle im Inland, der Grenzkontrolle, der Identifizierung im
privatwirtschaftlichen Umfeld bei Geschäften von Angesicht zu Angesicht
sowie hinsichtlich seiner Fälschungssicherheit kann auf jahrelange
positive Erfahrungen mit dem bisherigen Personalausweis zurückgeblickt
werden.
"

Das bisher häufig verwendete Argument der höheren Fälschungssicherheit
für den ePA fällt mittlerweile völlig unter den Tisch, denn "verschiedene
optische Sicherheitsmerkmale (z. B. Sicherheitsdruck,
Laserbeschriftung) machen den aktuellen Personalausweis zu einem
Hochsicherheitsdokument. Mit diesen Maßnahmen konnte die
Fälschungssicherheit gegenüber seinem Vorgänger soweit erhöht werden,
dass Totalfälschungen schon heute praktisch nicht vorkommen
"
bestätigt das Grobkonzept. Die Einführung des ePA hat mit Sicherheit
nichts mit Fälschungsdelikten zu tun, auch wenn das weiterhin von
Innenpolitikern wie Bosbach behauptet wird.

Aus den bisherigen
Informationen ergibt sich, dass eigentlich der alte Personalausweis
ausreicht. Vielleicht könnte die optische Überprüfung sogar noch
verbessert werden, wenn ein oder mehrere größere Farbbilder des Kopfes
verwendet und die Beamten noch besser geschult würden. Aber das war ja
nie die Absicht der Bundesregierung. Beim neuen ePA würde ebenfalls ein
normales verbessertes Bild genügen – wenn nötig sogar als Bewegtbild.
Als Chip würde ein kontaktbehafteter Chip ausreichen, auf dem Name,
Anschrift und Geburtsdatum für die neuen Funktionen zum elektronischen
Identitätsnachweis (eID) und die Zertifikate für die elektronische
Signatur gespeichert sind – bei Inkaufnahme einer kürzeren Lebensdauer
und den damit verbunden höheren Gesamtkosten, die der Bürger und
Steuerzahler zu tragen nicht bereit wäre.

ePA Nutzung

Wegen
des fehlenden Chips kann der alte Personalausweis natürlich keine
elektronischen Signatur- und Identitätsnachweis-Funktionen bieten, die
für E-Government und E-Commerce Dienste tatsächlich sinnvoll und
praktisch sind.

Nur das man diese Funktionen, da sie beide eh nicht zwingend, sondern
optional vom ePA-Inhaber genutzt werden können, genauso auf einer
eigenen eID/QES Karte mit Kontaktchip hätte einbringen können. Was wäre
so schwer daran, mit dem alten Personalausweis eine Behörde oder Stelle
aufzusuchen, um sich dort nach Identitätsnachweis mit dem alten
Personalausweis eine Karte aushändigen zu lassen, auf der die eID Daten
bereits behördlich zertifiziert gespeichert sind, danach selbst mit der
als sicher zertifizierten Soft- und Hardware das Schlüsselpaar für die
Qualifizierten Signaturzertifikate zu erzeugen und diese abschließend
sicher off- oder online zertitifzieren zu lassen? Aber dieses Kind ist
schon lange (auch international) in den Brunnen gefallen und so bekommt
man als Bürger alles auf der Staats-Karte in Gestalt des ePA.

Für die eID-Funktionen, werden laut den Anforderungen 8 – 9 an die
elektronische Anwendung im Funkchip in Datenfeldern Vornamen,
Familienname, Doktorgrad, Tag und Ort der Geburt, gegenwärtige
Anschrift, Dokumentenart, Abkürzung "D" für Bundesrepublik Deutschland,
Angabe, ob Personalausweis gültig ist, Angabe, ob ein bestimmtes Alter
über- oder unterschritten wird (Alterskontrolle), Angabe, ob ein
Wohnort dem abgefragten Wohnort entspricht und ein ominöses
"diensteanbieter- und kartenspezifisches Kennzeichen" gespeichert.

Die Nutzung des elektronischen Identitätsnachweises soll laut des
Dokuments eigentlich genauso optional sein wie die Nutzung der
Qualifizierten Signatur: "Die
Ausweisinhaber sollen selbst über die Nutzung des elektronischen
Identitätsnachweises entscheiden, indem sie bei der Aushändigung des
Personalausweises schriftlich gegenüber der Personalausweisbehörde
erklären, ob sie den elektronischen Identitätsnachweis nutzen wollen
oder nicht
" und später die eID-Funktionen auch wieder
deaktivieren können. Ob die Freiwilligkeit angesichts der
Kostenersparnisse und Marktzuwächse, die man sich für private und
staatliche Diensteanbieter erhofft, erhalten bleibt, wird sich zeigen.

Die Datenfelder kann ein privater oder staatlicher
Diensteanbieter auslesen, um die Identität eines Kunden bzw. Nutzers zu
überprüfen. Dazu erhält der Diensteanbieter eine 3 Jahre gültige
Berechtigung und zweckbezogene Berechtigungs-Zertifikate, die zum
Auslesen der eID-Datenfelder berechtigen. Die Berechtigungs-Zertifikate
enthalten u. a. "Angaben über den Diensteanbieter und dessen
Datenschutzaufsichtsbehörde, Angaben zu dessen Berechtigungen für den
Zugriff auf einzelne Datenfelder (z. B. Name, Alter, Adresse) und den
Erhebungs- und Verarbeitungszweck". Sie sollen maximal drei Tage gültig
sein mit der Möglichkeit für den Diensteanbieter, Folgezertifikate
online nachzuordern.

Staatliche
Behörden und Stellen, die über die nötigen Berechtigungs-Zertifikate
und die Karten-Zugangsnummer verfügen, können jederzeit alle
eID-Datenfelder und die Datenfelder mit den biometrischen Merkmalen
auslesen, während private Diensteanbieter keinen Zugriff auf die
biometrischen Daten erhalten sollen. Die gleichen Behörden können auch
die eID Funktionen an- oder abschalten, genauso wie sie einen ePA ganz
sperren können, was einen ePA-Inhaber automatisch von allen Vorgängen
abschneidet, bei dem der eID nötig sein wird, während ein alter
Personalsausweis mit ausreichendem Gültigkeitsdatum auch dann noch
akzeptiert würde. Damit erhält der ePA ein Repressions- und
Kontroll-Potential, an das niemand denkt.

Zum Auslesen der
Datenfelder überträgt der Diensteanbieter sein
Berechtigungs-Zertifikat, dessen Inhalt dem ePA-Inhaber über
Kartenlesegerät und -software angezeigt wird. Danach kann der
ePA-Inhaber die Datenfelder abwählen, die er nicht an den
Diensteanbieter übertragen will. Ob dann die Inanspruchnahme der
"Dienstleistung" weiterhin möglich ist, ist die Frage oder fraglich.
Zum Abschluß gibt der ePA-Inhaber die PIN seines ePA ein, um die
Übermittlung der Inhalte der zugelassenen Datenfelder freizuschalten.

Diese
Infrastruktur könnte auch anders gestaltet werden, wenn nicht nur
Folgezertifikate, sondern alle Berechtigungs-Zertifikate bei
staatlichen "Zertifikatediensteanbietern" (ZDA) live und online bezogen
werden müssten, die nur erteilt werden, wenn zugleich Angaben über den
aktuellen Zweck und Identitätsdaten des ePA-Inhabers an den ZDA
übermittelt werden. In diesem Szenario hätte der ZDA immer einen
vollständigen Überblick über die Beziehungen, Vorgänge und Identitäten
der Diensteanbieter und ePA-Inhaber. Aber so soll es ja nicht laufen.

Dem
ePA-Inhaber soll auch die Möglichkeit der pseudonymen Authentifizierung
zur Verfügung stehen. Ob das immer der Fall ist oder ob der
Diensteanbieter bestimmt, wann ein "pseudonymer eID" gestattet ist,
geht nicht aus dem Grobkonzept hervor.

Für die pseudonyme Authentifizierung wird aus der Kennnummer des
übertragenen Berechtigungs-Zertifikats des Diensteanbieters und einem
"personalausweisindividuellem Geheimnis" des ePA (ob damit der Inhalt
des "diensteanbieter- und kartenspezifischen Kennzeichens" gemeint
ist?) ein "bereichsspezifisches Kennzeichen" (das "Pseudonym")
berechnet, das anstelle der realen Inhalte der eID-Datenfelder (nach
Eingabe der PIN) an den Diensteanbieter übermittelt. Detailliertere
Informationen gibt es dazu nicht, deshalb auch keine Informationen, wie
sicher das Ganze implementiert ist und inwiefern das effektiv einer
Verkettung der Identität entgegenwirken kann. Fragen werden sich
besonders dann ergeben, wenn der ePA zur Multifunktions-Karte
ausgebaut, weitere Anwendungen und Funktionen auf sich vereinigen
würde, die bisher über eigene ID-Karten und Infrastrukturen abgewickelt
wurden und damit auch andere Rollen des ePA-Inhabers erfasst.

Der pseudonyme eID zielt ja auf Dienste ab, bei der ein Kunde/Nutzer
dem Diensteanbieter nicht als Person erkennbar sein soll, aber der
Diensteanbieter einen bestimmten ePA wiedererkennen kann. Wieso sollte
er aber pseudonym einen bestimmten ePA wiederkennen wollen? Das wäre
zum Beispiel nur sinnvoll, wenn aus einem realen eID-Datenfeld wie dem
Geburtsdatum abgeleitet die Information Volljährig:Ja/Nein mit
übertragen würde, um zum Beispiel Angebote mit Altersbeschränkungen zu
unterstützen. Ein anderes Beispiel wäre ein Angebot, das nur
Kunden/Nutzern aus Deutschland zugänglich sein soll. Einen großen
Gewinn für die anonyme Kommunikation und Nutzung von Angeboten im
Internet verspreche ich mir davon nicht.

Was
der eID aber abseits der Nutzung staatlicher und kommerzieller
Dienstleistungen mit sich bringt, ist die Gefahr und das Potential zur
Einschränkung der anonymen Nutzung und des anonymen Zugangs zu allen
übrigen Dienstleistungen im Internet und Internet-Diensten allgemein.

"Der
elektronische Personalausweis wird die Abwicklung elektronischer
Geschäftsprozesse revolutionieren. Unternehmen werden zukünftig in der
Lage sein, elektronische Dienste anzubieten, die der Identitätsprüfung einer Bürgerin bzw. eines Bürgers bedürfen und bisher nicht vertrauenswürdig online durchgeführt werden können
" heißt es in dem Dokument an einer Stelle, "Der Personalausweis mit PIN [Anm.: und eID] eröffnet die Möglichkeit, ein sicheres "Single-Sign-On" für Internetservices
einzusetzen. Auf Basis lokaler Identitätsverwaltungsprogramme oder
durch eID-Provider kann der Zugang zu Internetservices oder
Netzwerkressourcen automatisiert werden
" an einer anderen Stelle.

Ein Beispiel für einen dieser elektronischen Dienste ist das bereits beschriebene "Bürger-Portal",
die von staatlichen Stellen selbst oder mit Zertifizierung durch den
Staat von "Internetserviceprovidern" betrieben werden. Bei ihnen ist
die Einrichtung eines Benutzerkontos und die Nutzung von E-Mail immer
an die Anwendung des eID mit eingestecktem oder an das Lesegerät
gehaltenen ePA gebunden. Anonym eingerichtete E-Mail Konten mit
pseudonymen Kennungen gibt es nicht mehr. Genauso könnte ein
"Internetserviceprovider", aber auch die Betreiber von Internet-Cafes
und Internet-Terminals das Login und den Zugang zum Internet an die
Identitätsprüfung und Nachweis durch den ePA-Inhaber knüpfen. Das
"Modell" lässt sich beliebig auf alle Dienste-Anbieter und Dienste
ausdehnen, was im Dokument auch deutlich gesagt wird. In den
"Vorschlägen für den elektronischen Identitätsnachweis im E-Business"
wird das Szenario "Internetservice allgemein" beschrieben:

Aktuelle Situation:
Bei der Einrichtung
von Benutzerkonten auf Serviceportalen im Internet, einschl. E-Mail-
und Hostingportalen, Webshops und Auktionsplattformen, aber auch für
Tauschbörsen, Chats, Foren, Blogs, Computerspiele und vieles andere mehr
werden personenbezogene Daten erhoben und Benutzernamen, Kennungen oder Spitznamen vergeben.

Der personalisierte Zugang
ist im Internet häufig nur mit einfachen Passwörtern geschützt. Die
gleichen Kennungen oder Passwörter werden mehrfach verwendet. Aktive
Internetnutzer verfügen darüber hinaus über verschiedene virtuelle
Identitäten und müssen sich dafür eine Vielzahl von Benutzernamen und
Passwörtern merken.

Internetserviceanbieter erfragen bei der Anmeldung meist zusätzliche
Personendaten zur Identitätsfeststellung, z.B. das Geburtsdatum oder
die Hausnummer und nutzen diese – für die Anmeldung – häufig gar nicht
erforderlichen Daten datenschutzrechtswidrig für andere gewerbliche
Zwecke.

künftiges Szenario:
Die Identität des Inhabers eines Benutzerkontos wird bei der Einrichtung und bei jeder Anmeldung gegenüber dem Internetservice sicher nachgewiesen.

Internetservices, die nur eine sichere Wiedererkennung des Nutzers
fordern, nutzen den pseudonymen Nachweis der Identität ohne
Personendaten.

Durch die Vergabe von Berechtigungszertifikaten erfolgt der Zugriff auf
ePA-Daten zweckbezogen und datensparsam. Zusätzlich kann der
Ausweisinhaber das Auslesen erfragter Personendaten verweigern.

Der Personalausweis mit PIN eröffnet die Möglichkeit, ein sicheres "Single-Sign-On" für Internetservices
einzusetzen. Auf Basis lokaler Identitätsverwaltungsprogramme oder
durch eID-Provider kann der Zugang zu Internetservices oder
Netzwerkressourcen automatisiert werden.

Der Daten- und Verbraucherschutz und die Sicherheit im Internet werden nachhaltig unterstützt.

Die hier dargestellten Schwachstellen, Sicherheitslücken, Datenschutzmängel (die wohl eher bei den Passbehörden selbst zu finden
sind) und Einschränkungen der Usability stellen zugleich wichtige
Merkmale dar, die den anonymen Zugang zum Internet und die anonyme oder
pseudonyme Nutzung von Dienstangeboten im Internet und der Dienste des
Internets ermöglichen. Sie können und sollen mit dem ePA und dem eID zu
Internet-Zugängen führen, die nur noch mit Identifizierung des
ePA-Inhabers zu haben sind, zu Dienstleistungen und Diensten, die nur
noch über Benutzerkonten zugänglich sind, für die man die
eID-Prozeduren durchlaufen hat und deren Nutzung jedesmal an eine
Identitätsprüfung gebunden ist. Als Schreckgespenst steht am Ende der
Internetzugangs-Provider, der den Nutzer nur noch mit eID und ePA ins
Internet lässt und zugleich sicherstellt, dass sich der
ePA-Internetnutzer bei ihm als eID-Provider oder einem staatlichen
eID-Provider anmeldet, der auch Zugang und Nutzung von Diensten und
Dienstleistungen kontrollieren und regulieren (zum Beispiel u. a. auch
mit Unterstützung durch Deep Packet Inspection und angedachter Kontrollstrukturen beim Provider) könnte.

Neben
zwingend und noch optional gespeicherten biometrischen Merkmalen, der
elektronischen Authentifizierung und dem elektronischen
Identitätsnachweis (eID) machen die bereits erwähnten optionale
Signaturfunktionen zur Verschlüsselung und für das elektronische
Unterschreiben von E-Mails, Rechnungen, Anträgen oder An- und Abfragen
mittels der Qualifizierten elektronischen Signatur eine weitere
Hauptneuerung des ePA aus.

Wie das dazu notwendige Paar aus
geheimem und öffentlichem Schlüssel in den Chip privater ePA-Inhaber
kommt, darüber ist sich das Grobkonzept im Gegensatz zu privaten und
staatlichen Diensteanbietern nicht ganz klar.

Während der Diensteanbieter laut "Teilprozess 4.5" nach Erhalt der
Berechtigung sein Schlüsselpaar immer mit zertifizierter Krypto Soft-
und Hardware selbst im Chip erzeugen darf und der Berechtigungsstelle
für die Berechtigungs-Zertifikate sein öffentliches Schlüsselzertifikat
zur Gegenzertifizierung und das TLS/SSL Zertifikat für das
Dientsangebot im Internet übermittelt, heißt es in den Anforderungen 18
+ 20 an die Elektronische Anwendung für den privaten ePA-Inhaber, dass
das geheime Schlüsselzertifikat "in sicherer Weise auf dem ePA erzeugt
oder auf ihn geladen" wird. Etwas später wird daraus nur noch der
ePA-Inhaber, der "das Trustcenter [Anm.: oder auch
"Zertifikatediensteanbieter" (ZDA)] aussucht, das ihm den privaten
Schlüssel des qualifizierten Signaturzertifikats (QES) auf seinen
Personalausweis lädt". Ob da der Wunsch, sich ein Hintertürchen für die
Hinterlegung des privaten Schlüssels offenzulassen, Vater der noch wirr
bleibenden Gedanken war?

Laut
Anforderung 19 an die Elektronische Anwendung QES soll die Anwendung
der digitalen Signatur und damit der Schutz des privaten Schlüssels
neben der PIN für die Freigabe der eID-Datenfelder mit einer eigenen
PIN geschützt werden. Bei OpenPGP wäre das die Passphrase, die der
Nutzer selbst vergibt. Die PINs ("persönliche Geheimzahl") und der PUK
("persönlicher Entsperrungsschlüssel), mit dem laut des Grobkonzepts
die Zählerstände auf Null gesetzt werden, wenn die PINs trotz Eingabe
der auf dem ePA aufgedruckten Zugangsnummer insgesamt 3x falsch
eingegeben wurde, werden vom Hersteller der ePAs erzeugt und per
ePA-Inhaber-spezfischem Brief an den ePA-Antragsteller versendet. In
dem Brief ist zusätzlich ein "Sperrkennwort" enthalten, mit dem man bei
Verlust des ePA die eID-Funktionen sperren lassen kann. Wozu man das
braucht, wo doch die eID-Datenfelder kryptografisch gesichert sein
sollen und nur mit der PIN übermittelt werden können, weiß ich auch
nicht.

Wie es tatsächlich mit der Freiwilligkeit und der
optionalen Nutzung von Komponenten des ePA bestellt ist, lehrt der
Beschluß zur Einführung des Elektronischen Einkommensnachweises, über
die im Heise Beitrag Bundeskabinett beschließt elektronischen Einkommensnachweis ELENA
berichtet wurde. Wer ab 2012 am Erwerbsleben teilnehmen oder
Sozialleistungen erhalten will, muss daran teilnehmen und er muss eine
Qualifizierte elektronische Signatur erwerben und nutzen. Genauso wie
ELENA kann auch der ePA das Internet "revolutionieren", wie es im
Grobkonzept so schön heißt. Man kann auf alle eID-Funktionen, die QES
oder die Aufnahme von Fingerabdrücken verzichten, könnte dafür aber
langfristig mit Zugangsbeschränkungen, Benachteiligungen und
verweigerten Dienstleistungen konfrontiert werden. Geschickt
eingefädelt.

Siehe auch:
Heise – Grobkonzept des elektronischen Personalausweises steht
Heise – Elektronischer Personalausweis aus europäischer Perspektive

 

Source: blog.kairaven.de