bedeckt München

Elektronischer Personalausweis:Eine Frage des Lesegeräts

Wer die Identitätsfunktion des neuen Peronalausweises nutzen will, sollte beim Lesegerät nicht sparen - sonst leidet die Sicherheit.

Helmut Martin-Jung

Constanze Kurz fällt es hörbar schwer, ihren Ärger zurückzuhalten: "Wenn das Konzept schon so toll ist", kritisiert sie die Sicherheitsvorkehrungen des neuen Personalausweises, "warum muss man es dann vom Lesegerät runternehmen wie eine heiße Kartoffel?"

Kurz, Diplom-Informatikerin an der Berliner Humboldt-Universität, ist Mitglied im Chaos Computerclub (CCC). Der Club hat, wenige Wochen vor der geplanten Einführung des neuen Personaldokuments im November, demonstriert, wie Angreifer über das Internet den neuen Personalausweis über das Internet missbrauchen können. Laufen die Deutschen sehenden Auges in die Falle Internetkriminalität und Identitätsdiebstahl?

In dieser Ausschließlichkeit will das nicht einmal der CCC sagen. Es könnte aber sein, dass die mit viel Aufwand geschaffenen Zusatzfunktionen des Ausweises nicht angenommen werden - es wäre nicht das erste Mal, dass der Versuch scheitert, zum Beispiel die Möglichkeit rechtsverbindlicher Unterschriften via Internet zu etablieren.

Aber was ist eigentlich so besonders am neuen Personalausweis (nPA)? Er hat das Format einer Scheckkarte und zeigt wie der alte ein Bild, das nun aber biometrischen Anforderungen genügen muss, sowie Daten wie Geburtsdatum und Adresse. Das Neue am nPA ist sein Minicomputer, auf dem Daten elektronisch gespeichert werden.

Über ein gut abgesichertes System von elektronischen Schlüsseln und Schlössern wird sichergestellt, dass der Funkchip in der Karte nur Berechtigten Daten preisgibt, der Polizei beispielsweise. Diese kann dann anhand des elektronisch gespeicherten Passbildes überprüfen, ob eine Person rechtmäßige Eigentümerin des Dokumentes ist.

Auf Datensparsamkeit ausgerichtet

Der nPA bietet aber auch zwei Zusatzfunktionen, die seine Schöpfer besonders hervorheben. In Verbindung mit einem Lesegerät für den Computer eignet er sich auch dafür, im Internet seine Identität nachzuweisen, zum Beispiel, um bei einem Versandhändler etwas zu bestellen. Diese Funktion kann man kostenlos freischalten lassen.

Vereinfacht dargestellt funktioniert sie so: Man legt den Ausweis auf ein Lesegerät. Der Chip auf der Karte und der Server des Internethändlers klären nun über verschiedene Verfahren erst einmal, ob der Verkäufer legitimiert ist, Daten des Ausweises anzufordern.

Der Ausweisinhaber muss dazu eine sechsstellige Geheimzahl (Pin) eingeben und wird dann darüber informiert, welche Daten der Verkäufer von ihm haben will. Das gesamte Verfahren - das macht es einzigartig - ist dabei auf Datensparsamkeit ausgerichtet.

Übertragen werden nur diejenigen Daten, die für das jeweilige Geschäft auch nötig sind. Wer etwa ein Kinderbuch bestellt, braucht nur Name und Adresse anzugeben, nicht aber das Geburtsdatum.

Lesen Sie mehr zum Thema

Zur SZ-Startseite