Heise hatte gestern schon drüber berichtet, und heute habe ich das Original-Dokument erhalten. Das Innenministerium bittet diesmal sogar ausdrücklich um Verbreitung:

[D]er Entwurf des neuen Personalausweisgesetzes befindet sich derzeit in der Abstimmung mit den Bundesressorts. Auf der Grundlage des aktuellen Planungsstandes möchte das Bundesminisiterium des Innern mit Ihnen den Dialog zur Einführung des elektronischen Personalausweises, insbesondere zu den Vorbereitungen von Testmaßnahmen und praktischen Anwendungen im E-Government und E-Business, intensivieren. Dazu erhalten Sie die aktuelle Fassung des Grobkonzepts zum elektronischen Personalausweis. Eine weitere Streuung über Ihre Fachverteiler ist ausdrücklich erwünscht.

Ich würde mich freuen, wenn auch hier unsere kollektive Intelligenz das Konzeptpapier genauer analysieren könnte. Mich interessieren unter anderem

• die Möglichkeit, bei der Authentifizierung einzelne Felder auszukreuzen,
• die Sicherheit bereichsspezifischer Pseudonyme,
• die Interoperabilität mit Standards wie InfoCards oder anderen (OpenID wird wohl nicht die Sicherheitskriterien erfüllen),
• und die Revocation-Mechanismen.

Wer ein wenig Ideen für kritische Fragen haben will, sollte sich mal den Vortrag von Caspar Bowden beim IdentityCamp Bremen ansehen, der gut dargestellt hat, wofür man hier in bestimmten Bereichen spezielle Crypto-Verfahren braucht (Zero-Knowledge-Proofs), wenn man es wirklich wasserdicht datenschutzfreuindlich machen will. Ich bezweifle, dass der ePA diese Kriterien erfüllt, da die Technik dafür derzeit noch(?) in Microsofts Patent-Portfolio schmort. Weitere Anregungen und Infos gibt es unter anderem bei Kai Raven.

Analysen, Einschätzungen oder mehr Fragen bitte hier in die Kommentare oder Trackbacks. Das BMI wünscht sich Feedback unter ePA[at]bmi.bund.de. In dem Rundschreiben sind auch drei Telefonnummern des Referats IT4 (für die Bereiche Technik, e-Government/Signaturbündnis und e-Commerce/Öffentlichkeitsarbeit) angegeben. Aus Rücksicht auf die BMI-MitarbeiterInnen veröffentliche ich die hier aber nicht. Wer qualifizierte Nachfragen oder Kommentare dort telefonisch loswerden will, kann sie gerne bei mir erfragen.

Die Softwarefirma HSH macht eGovernment-Dienstleistungen. Ein Bereich, der zukünftig immer wichtiger wird. Ihr Informationsregister-Tool wird dabei häufig von Einwohnermeldeämtern eingesetzt, um unsere (Melde-)Daten zu verabeiten. Darin werden dann Adressen, Passbilder und Religionszugehörigkeiten gespeichert, was das EInwohnermeldeamt halt über einen sammelt. Die Standard-Software wird aber immer mit einem Standard-Passwort ausgeliefert und das Standard-Passwort lag jahrelang auf der Webseite der Firma offen für den Test-Zugang herum. Soweit so gut, aber was passiert, wenn die IT-Abteilungen schlampen und niemand das Standard-Passwort entfernt?

Das ARD-Magazins “Report München” berichtet nun, dass einige Städte und Gemeinden dieses Standard-Passwort niemals ausgewechelt haben: Bürgerdaten ungeschützt im Internet? Die Daten von 200 Städten und Gemeinden waren damit frei im Netz zugänglich. Seit Freitag gibt es nun andere Passwörter.

Die betroffene Softwarefirma HSH meldete derweil, dass die Sicherheitslücke inzwischen geschlossen sei. Weiter teilte das Unternehmen mit, dass wegen der Panne die Meldedaten von 15 deutschen Kommunen monatelang im Internet frei verfügbar gewesen seien. Mit Hilfe eines Zugangscodes war es möglich, Adressen, Passbilder und Religionszugehörigkeiten von etwa 500.000 Bürgern herauszufinden, wie das Unternehmen aus Ahrensfelde bei Berlin mitteilte. Nutzerkennung und Passwort waren demnach auf einer Webseite zwischen März und Juni verfügbar. In welchem Umfang sich in den vergangenen Jahren Unberechtigte - von Privatleuten über Werbefirmen bis hin zu Kriminellen - Zugang zu den Einwohnermelderechnern verschafft hätten, lasse sich nicht abschätzen.

[Danke an Karsten]

Es gibt Meldungen, wo man das Gefühl hat, in einer Zeitreise im Jahre 1998 gelandet zu sein. Wie diese hier: Bundestagsabgeordnete werden erstmals chatten.

E-Government sieht anders aus. Aber was die beiden Bundestagsabgeordneten Katja Mast und Jörg Rohde am Donnerstag vorhaben, geht schon mal in die richtige Richtung. Sie werden zur Ausbildungsförderung chatten. Zum ersten Mal werden am Donnerstagnachmittag Abgeordnete des Deutschen Bundestages nach einer Plenardebatte auf der Webseite des Parlaments im Chat Rede und Antwort stehen. Das teilte die Internetredaktion von Bundestag.de am Mittwoch in einer Presseerklärung mit.

Dann dauert es nur noch schätzungswise sieben Jahre, bis man mal ein Weblog oder andere neue Medien einsetzt. Chat kann man ja schon zu den “alten Medien” zählen, vor allem Politiker-Chats, die in der Regel sowas von langweilig und unnötig sind: Eine Frage, ein Satz Antwort und zur nächsten Frage. Manchmal gibts auch zwei Sätze Antwort. Das ist dann schon fast eine Argumentation.

Wie wäre es, wenn man die Berichterstatter der Fraktionen mal ausführlicher nach einer PLenardebatte in einem Blog argumentieren lässt, warum man wofür und wogegen war. Mit einer Feedback-Möglichkeit, die zeitunabhängig ist, wie in den Kommentaren? Wo man vielleicht noch explizit auf die Beiträge der anderen Teilnehmer und auf Kommentatoren eingeht? Naja, vielleicht in sieben Jahren…