Heise hatte gestern schon drüber berichtet, und heute habe ich das Original-Dokument erhalten. Das Innenministerium bittet diesmal sogar ausdrücklich um Verbreitung:
[D]er Entwurf des neuen Personalausweisgesetzes befindet sich derzeit in der Abstimmung mit den Bundesressorts. Auf der Grundlage des aktuellen Planungsstandes möchte das Bundesminisiterium des Innern mit Ihnen den Dialog zur Einführung des elektronischen Personalausweises, insbesondere zu den Vorbereitungen von Testmaßnahmen und praktischen Anwendungen im E-Government und E-Business, intensivieren. Dazu erhalten Sie die aktuelle Fassung des Grobkonzepts zum elektronischen Personalausweis. Eine weitere Streuung über Ihre Fachverteiler ist ausdrücklich erwünscht.
Ich würde mich freuen, wenn auch hier unsere kollektive Intelligenz das Konzeptpapier genauer analysieren könnte. Mich interessieren unter anderem
- die Möglichkeit, bei der Authentifizierung einzelne Felder auszukreuzen,
- die Sicherheit bereichsspezifischer Pseudonyme,
- die Interoperabilität mit Standards wie InfoCards oder anderen (OpenID wird wohl nicht die Sicherheitskriterien erfüllen),
- und die Revocation-Mechanismen.
Wer ein wenig Ideen für kritische Fragen haben will, sollte sich mal den Vortrag von Caspar Bowden beim IdentityCamp Bremen ansehen, der gut dargestellt hat, wofür man hier in bestimmten Bereichen spezielle Crypto-Verfahren braucht (Zero-Knowledge-Proofs), wenn man es wirklich wasserdicht datenschutzfreuindlich machen will. Ich bezweifle, dass der ePA diese Kriterien erfüllt, da die Technik dafür derzeit noch(?) in Microsofts Patent-Portfolio schmort. Weitere Anregungen und Infos gibt es unter anderem bei Kai Raven.
Analysen, Einschätzungen oder mehr Fragen bitte hier in die Kommentare oder Trackbacks. Das BMI wünscht sich Feedback unter ePA[at]bmi.bund.de. In dem Rundschreiben sind auch drei Telefonnummern des Referats IT4 (für die Bereiche Technik, e-Government/Signaturbündnis und e-Commerce/Öffentlichkeitsarbeit) angegeben. Aus Rücksicht auf die BMI-MitarbeiterInnen veröffentliche ich die hier aber nicht. Wer qualifizierte Nachfragen oder Kommentare dort telefonisch loswerden will, kann sie gerne bei mir erfragen.
„die Möglichkeit, bei der Authentifizierung einzelne Felder auszukreuzen“
Meine Paranoia sagt das, wenn man bestimmte Felder abwählen kann, die entsprechenden Informationen bereits an anderer Stelle erfaßt werden. Die Felder die man abwählen kann sind also eigentlich überflüssig und ein Privacyplacebo.
Da das Innenministerium um Verbreitung des Entwurfs bittet, liest es vielleicht sogar hier mit und da richte ich mich mal direkt an das Ministerium für Frieden und Wahrheit:
Wo in Europa/Deutschland haben denn nun die ganzen Terroranschläge stattgefunden, mit denen eine solche Datensammlung begründet wird. Ich würde auch Zahlen akzeptieren die durch Datensammelei verhinderte Terroranschläge nachweisen.
Lieber Kobalt,
bitte lies das Konzept bevor Du Deiner tatsächlichen Paranoia freien Lauf lässt.
Hier geht es doch um den elektronischen Nachweis der Identität im Internet, um die Datensammelei aller, insbeondere auch privatrechtlicher Anbieter einzudämmen. Schau Dich mal um, wer hier die meisten Daten sammelt, genau bescheid weiß wo Du wohnst, wie alt Du bist, was Du so einkaufst, welche Musik Du hörst, was Deine Vorlieben im Internet sind, was Deine Katze frisst usw. usf.
Ich find es toll, wenn sich der Internetanbieter künftig auch ausweisen muss. Das Konzept betrifft demnach nicht nur den elektronischen Personalausweis sondern auch einen elektronischen Firmenausweis im Internet, genannt Berechtigungszertifikat für den Zugriff auf elektronische PA-Daten!!!
Übrigens, die Biometrie im Reiseverkehr (Gesichtsbild und wer möchte auch die Fingerabdrücke), die wir alle dem internatiopnalen Terror zu verdanken haben, ist zwar auch auf dem Chip – und auch nur dort – und ist ausschließlich den Grenz- und Peronenkontrollen durch Beamte vorbehalten und hat mit den eID-Daten für den kommerziellen und behördlichen Gebrauch gar nichts zu tun.
Beste Grüße und fleißig weiterlesen…:-)