Technologie

Interview zum ePerso: „Kaufe nie die Version 1.0“

Das Bundesinnenministerium hat heute die Preise für den neuen elektronischen Personalausweis bekannt gegeben. Dieser wird ab dem 1. November zum Preis von 28,80 Euro ausgegeben. Wir haben dazu Frank Rosengart, Sprecher des Chaos Computer Club, interviewt.

Uns fehlen noch 62.000 Euro!
netzpolitik.org - unabhängig & kritisch dank Euch.

netzpolitik.org: Das Bundesinnenministerium bewirbt den neuen ePerso, der im November den alten ablösen wird. Brauchen wir eigentlich einen neuen Personalausweis?

Frank Rosengart: Das massive Lobbying der Branchenverbände wie Bitkom zur Einführung des ePerso lassen darauf schließen, dass mit dem neuen Personalausweis vor allem Wirtschaftsinteressen befriedigt werden. Dabei spielt sicher auch die Bundesdruckerei als Hersteller der Karte eine entscheidende Rolle. Böse Zungen sprechen von einem Lex-ebay-Projekt, weil gerade die elektronische ID den Anbietern zugute kommt, deren Geschäftsmodell auf eine gewisse Verbindlichkeit der Nutzer untereinander aufbaut. Ein Sicherheitsgewinn ist genau wie beim elektronischen Reisepass nicht gegeben, da die deutschen Ausweisdokumente auch ohne elektronische Merkmale als fälschungssicher gelten.

netzpolitik.org: Was soll denn mit dem neuen ePerso alles möglich sein?

Frank Rosengart: Das einst für hoheitliche Zwecke vorgesehene Dokument wird nun eine Wirtschafts-Service-Karte. Der neue Personalausweis verfügt neben den auf dem Chip gespeicherten biometrischen Merkmalen über die „eID“-Funktion. Damit soll eine Identitätsfeststellung oder Alternachweis im Online-Geschäftsverkehr möglich werden. Zusätzlich ist vorgesehen, den ePerso mit einer Applikation für eine qualifizierte elektronische Signatur entsprechend dem Signaturgesetz auszustatten.

netzpolitik.org: Wie steht es denn um den Datenschutz? Welche Bedenken hat der Chaos Computer Club?

Frank Rosengart: Zugegeben, beim neuen Personalausweis hat man sich viele Gedanken darüber gemacht, wie man einen solchen Ausweis möglichst datenschutzfreundlich gestalten kann. Abgesehen von einigen Details stellt sich aber grundsätzlich die Frage, ob die nun geschaffene Möglichkeit, dass sich der Bürger gegenüber Anbietern im Netz elektronisch identifizieren kann, nicht auch neue Begehrlichkeiten nach einer Pflicht zur Identifikation weckt. Jeder Online-Anbieter kann nun einfach prüfen, wer ich bin und wird diese Chance auch nutzen. Und schlussendlich steht natürlich immer noch zu befürchten, dass wir uns zukünftig mit unserem elektronischen Ausweis „am Netz“ anmelden müssen, um überhaupt Zugang zum Internet zu bekommen. Unverständlich ist, warum das Gesichtsfoto nun auch biometrisch sein soll. Im Nutzungszenario des ePerso dürfte ein Abgleich per Gesichtserkennung kaum passieren. Die Bedenken, die wir schon zur Speicherung des biometrie-tauglichen Fotos im Reisepass haben, bleiben bestehen. Wofür also jegliche Begründung fehlt ist die zwangsweise biometrische Erfassung. Jeder Bürger muss nun ein biometrisches Gesichtsbild abgeben, das digitalisiert und auf dem Chip hinterlegt wird. Gleiches gilt für Besitzer einer dauerhaften Aufenthaltsgenehmigung. Die tatsächliche biometrische Erfassung aller Menschen wird damit in die Tat umgesetzt.

netzpolitik.org: Ist ein dreifach höherer Preis gerechtfertigt?

Frank Rosengart: Für das, was an Technik im neuen ePerso drin steckt, mag der Preis vielleicht gerechtfertigt sein. Die neuen elektronischen Funktionen werden allerdings nur einer sehr kleinen Zahl von Bürgern etwas bringen – es ja auch offen, ob die Funktion der eID von der Wirtschaft, vor allem aber von den Bürgern angenommen wird. Und ob die Wirtschaft verantwortungsvoll mit den gesammelten Daten umgeht und damit das Vertrauen der Bürger gewinnt. Die Kommunen beklagen, dass mit den Zusatzfunktionen ein hoher Aufwand bei der Ausstellung der Dokumente und vor allem bei Problemen (PIN vergessen etc.) auf sie zukommt, für den keine zusätzliche Vergütung vorgesehen ist.

netzpolitik.org: Kommen noch höhere versteckte Kosten hinzu, beispielsweise durch Lesegeräte?

Frank Rosengart: Wenn man keine Zusatzfunktionen des neuen ePersos nutzen möchte, muss man kein Lesegerät kaufen. Für die eID-Funktion sollte ein einfacher ISO14443-kompatibler RFID-Reader ausreichen. Die Signaturfunktion des ePersos dürfte noch ein größeres technisches Abenteuer werden, da hierfür Geräte mit Display und Pin-Eingabe erforderlich sind, die es bisher jedoch nur für Kontakt-Chips gibt.

netzpolitik.org: Wie sicher sind die Zusatzfunktionen des neuen Personalausweises?

Frank Rosengart: Wie wir kürzlich gerade gesehen haben, sind selbst die als besonders sicher angepriesenen Klasse-3-Lesegeräte keine Garantie für eine absolute Sicherheit bei der elektronischen Signatur. Es ist also abzusehen, dass die Sorge um die Sicherheit auf den Bürger abgewälzt wird und er im Zweifelsfall beweisen muss, dass er ein bestimmtes Dokument nicht elektronisch unterschrieben hat. Konzeptuell ist es vorgesehen, dass der Besitzer des ePA größtenteils selbst für die Sicherheit sorgen muss.

netzpolitik.org: Was empfiehlt Ihr den Bürgern? Vorher noch zum Sonderpreis den neuen kaufen oder einfach abwarten, bis der aktuelle abgelaufen ist?

Frank Rosengart: Wer keine 29 Euro für das Hightech-Spielzeug ausgeben möchte und außerdem einen Perso ohne spaßfreies („nicht Lächeln“) biometrietaugliches Foto für die nächsten zehn Jahre in der Tasche haben möchte, sollte sich rechtzeitig (am besten noch Ende September!) in Richtung Bürgeramt/Meldestelle begeben. Wir empfehlen klar, sich noch rechtzeitig einen „alten“ Personalausweis zu holen, denn eine alte Hackerregel sagt: Kaufe nie die Version 1.0. Schließlich könnte es auch noch wie in Großbritannien kommen: Dort wurden die nationalen „ID cards“ jüngst entsorgt, gleich zusammen mit dem nationalen Personenregister.

netzpolitik.org: Anders als beim Reisepass muss ich für den ePerso keine Fingerabdrücke abgeben. Die Bundesregierung empfiehlt dies aber „aus Sicherheitsgründen“. Warum sollte ich das tun?

Frank Rosengart: Die Fingerabdrücke können – genau wie beim ePass – derzeit ausschließlich von deutschen Behörden ausgelesen werden, weil hierfür ein spezielles Zertifikat erforderlich ist. Der Sicherheitsgewinn beschränkt sich also ohnehin auf wenige Behördenkontakte, wobei kein einziges Szenario denkbar ist, wo einem das als Bürger helfen würde. Erkennungsdienstliche Behandlung ist was für die Polizeiwache, nicht für die Meldestelle.

netzpolitik.org: Danke für das Interview.

32 Kommentare
  1. Kann man einfach so einen neuen Personalausweis beantragen, auch wenn der Alte noch gültig ist? Also z.B. man hat einen, der bis 2012 gilt. Oder muss man den vorher „verlieren“.?

    Grüße,
    Drizzt

  2. Hab mir auf jedenfall vorgenommen mir den alten Ausweis kurz vorher zu besorgen, da ich aber eh umziehe im September muss ich wohl so oder so machen ;)

  3. Ich fänd ja einen PersoFlash schön. An einem grauen und verhangenen Tag im September gehen schwarzgekleidete Gestalten zu den Meldeämtern und beantragen alle einen alten Ausweis.

  4. „Gleiches gilt für Besitzer einer dauerhaften Aufenthaltsgenehmigung“

    Wie? Die dauerhafte ‚haftet‘ an einer seite meines Kanadischen Passes? Der,speichert keine Daten. A German Trojan in my passport!!!! Alert CSIS!!!!

  5. Denn alten Perso. jetzt noch holen würde ich lassen.Da durch verlängert sich nur stillschweigend das Vertragsverhältnis(und man unterwirft sich freiwillig,unfreiwillig deren Gerichtsbarkeit) mit der BRD.Lösung:Bei der Geschäftsleitung fristlos kündigen oder warten bis das Vertragsverhältnis ausläuft (Gültigkeit Perso.) und gleichzeitig mit der Kündigung oder nach Vertragsablauf der Geschäftsleitung schriftlich mitteilen das man sich denn Völkerrechtlichen Regel oder -,Regelungen unterwirft und der BRD nicht mehr zur Disposition steht.

  6. Hab mir dann Freitag nen neuen beantragt, dauert wohl zwei Wochen…
    Bedenkt das bitte, wer weiß was geschieht wenn man am 30. Oktober bestellt ^^

  7. Moment, versteh ich das richtig? Auf dem Perso, der momentan ausgegeben wird, darf man noch ein normales foto haben??
    Meine letzte Info war, dass man bereits auf dem jetzigen Perso ein Verbrecherkartei-Foto haben muss…

    Was ein Glück das mein Perso noch im August auslaufen wird :)

  8. habe jetzt einen beitrag ueber netzpolitik.org auf dem dlf gehoert und habe diese seite aufgesucht.

    p. s. hier ist jetzt schoenes wetter und ich werde zum strand gehen

    gruss edm.

  9. Hab gelesen, das 2011 bestimmte Internetseiten, die ab 18 sind gesperrt werden sollen und nur noch mit dem neuen Ausweis erreichbar wären … ^^ Falls das stimmt, müsste ich mir dann ja leider den neuen holen :-/. Naja selbst wenn, dann besorg ich mir ne dicke Metallhülle besorgen und den Ausweiß so oft wie irgendmöglich zu Hause liegen lassen … :-D dann hat sich die Überwachung erledigt! Hah!

  10. hm, also ausspioniert will glaub ich keiner werden….. krieg ja richtich angst hier, wenn ich das so lese! bisher hab ich mir immer auf den neuen perso gefreut, weil der ja wenigstens in mein kleines portmonnee passt. bin ja schon nen bisschen enttäuscht. naja, der neue perso ist bei mir eh erst nächstes jahr im april dran.

  11. @Markus
    Ne, auch Perso und sogar Führerschein. Ich hab mir neulich einen neuen FS geholt und mir wurde gesagt, ich solle auf dem Foto nicht lächeln, sondern nur stur geradeaus gucken.

  12. @Sven

    Die Kriterien für den FS haben nichts mit den Kriterien für den Perso zu tun.
    Der (bisherige und noch erhältliche) Perso benötigt kein biometrisches Foto.
    quote von wikipedia (und es stimmt sogar):

    „Passbild (Graustufen- oder Farbbild), derzeit besteht in Deutschland – im Gegensatz zum elektronischen Reisepass – noch kein Zwang zu biometrietauglichen Passbildern für den Personalausweis. Das Foto sollte bei Beantragung eines neuen Personalausweises nicht älter als sechs Monate sein.“

    Ein ganz normales Passbild reicht also aus (für den bisherigen Perso!).

    Nur weil dir neulich gesagt wurde, dass Du geradeaus schauen und nicht lächeln sollst bei der Aufnahme für ein Foto für den FS, heißt das noch lange nicht, dass selbiges für den Perso gilt.
    Die logische Deklination Perso ist das wichtigere Dokument im Vgl. zum FS ist nachvollziehbar, Du ziehst aber den falschen Schluss daraus.
    Sie haben schlicht nichts miteinander zu tun, der FS ist kein offizielles Ausweisdokument wie der Perso, und der Perso ist keine Fahrerlaubnis.
    Erst mit dem neuen Perso gilt dann auch dort die Notwendigkeit für ein biometrisches Foto.

  13. Hmmm… sehe ich das richtig, dass der CCC hier „lediglich“ einen Trojaner auf dem Notebook der Reporterin installiert hat, um an die PIN zu kommen?

    In meinen Augen daher nicht vergleichbar mit dem Hack des Reisepasses. Die PACE Authentifizierung des neuen PAs hat auch nichts mehr mit der BAC Authentifizierung des Reisepasses zutun und benutzt wesentlich bessere kryptographische Verfahren.

    Für mich ist es vergleichbar mit Kleissners Stoned Bootkit für truecrypt – AES (als Verfahren) ist dadurch auch noch nicht geknackt.

    Korrigiert mich, wenn ich falsch liege. Ist mir nur im Interview und der PlusMinus Reportage aufgefallen, dass der neue PA nicht in dem Maße „gehacked“ wurde, wie der Reisepass.

    Allerdings ist es schon ein Armutszeugnis, dass das BSI es nicht schafft, eine sichere Verbindung zwischen Lesegerät und PA herzustellen.

    Kann man beim eID Verfahren eigentlich selbst bestimmen, welche Daten man preisgeben möchte, oder hat man das gar nicht selbst in der Hand? Vorallem wenn Internetshops eine Altersüberprüfung durchführen, fände ich es wichtig, dass ich bestimmen kann, dass die Seite auch wirklich nur mein Alter erfährt und nicht mehr.

    Gruß.
    bearmann

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.