Die Fakten: Der elektronische Personalausweis (ePA)

Die Kommentare auf meinen Post „Identitätsnachweis mit elektronischem Personalausweis“ beinhalten einige Fragen zum elektronischen Personalausweis (ePA).  Erwartungsgemäß kommen dadurch viele Fragen zum Thema Datenschutz und Sicherheit auf.

Die komprimierten Fakten und Antworten zum elektronischen Personalausweis (ePA):

Zugriffe

• Der ePA bietet mit der qualifizierten elektronischen Signatur (QES) die Möglichkeit einer digitalen Unterschrift. Die ermöglicht rechtssichere Geschäfte welche bisher nur Schriftlich gültig waren.
• Nur Ausweisbehörden und Kontrollbehörden ist gestattet auf den elektronischen Fingerabdruck zuzugreifen.
• Nur Behörden mit offiziellen Berechtigungs- zertifikate können ePA Daten lesen.

• Leseangriffe auf den Funkchip werden unterbunden, indem bei zweimaliger Falscheingabe des PINs der Chip gesperrt wird. Nur wenn ein auf der Karte gedruckter Freischaltcode eingegeben wird, ist ein dritter Versuch möglich.

Dienstanbieter

• Dienstanbieter (z.B. Webshops) greifen nicht direkt, sondern immer über einen gesicherten eID-Server auf den elektronischen Personalausweis zu.
• Bei der pseudonymen Nutzung des Ausweises wird nicht der richtige Name, sondern nur ein Pseudonym übertragen.
• Dienste erhalten nur Zugriffsberechtigungen auf die Daten, welche sie unbedingt benötigen. Bspw. erhält ein Dienst, der ausschließlich verifizieren muss, ob der Inhaber ein gewisses Alter über- oder unterschritten hat, nur Zugriff auf die Funktion „Altersverifikation“.
• Jeder Dienstanbieter erkennt anhand eigener Sperrlisten ob ein Personalausweis gesperrt ist.
• Ein Usertracking ist nicht möglich, da jeder Diensteanbeiter eigene Sperrlisten erhält.

Bürger bzw. Benutzer

• Der elektronische Ausweis wird für den Bürger teurer. Wie viel ist noch nicht klar.
• Der Nutzer erhält ein berührungsloses Lesegerät (nach ISO 14443) samt Software (eCard-API-Framework) zur Installation an seinem PC.  Heise berichtet, dass im Zuge des Konjunkturpakts II ab 2010 über eine Million der Kartenleser kostenlos an Bürger ausgegeben werden sollen.
• Ob der Fingerabdruck auf dem Chip gespeichert wird, entscheidet der Bürger selbst.
• Der Bürger selbst entscheidet ob und wieviel Daten ein Dienst vom ePA lesen darf (informationelle Selbstbestimmung).
• Durch die standardmäßige Eingabe einer 4 stelligen PIN, belegt der Besitzer rechtmäßiger Inhaber des ePA zu sein. Gegenüber Authentifizierung mit Benutzername/Passwort (Wissen und Wissen) bietet ePA/PIN (Besitz und Wissen) ein höhere Sicherheit (2-Faktor Authentisierung).

Einführung

• Seit 20. Juni 2009 läuft die Umsetzungsphase (Anwendungstest mit 30 Unternehmen ab 01. Oktober 2009) des elektronischen Personalausweises.
• Die Ausgabe erfolgt über die Personalausweisbehörden ab 01. November 2010.

Links/Quellen:

• Erklärvideo von Joachim Gebauer VeriSign
• Der elektronische Personalausweis als moderne Infrastrukturkomponente
• Architektur des elektronischen Personalausweises
• Eigene Projekte mit doubleSlash und Teilnahme am 11. Deutscher IT-Sicherheitskongress
• Interview mit Dr. Hans Bernhard Beus, Staatssekretär im BMI und Beauftragter der Bundesregierung für IT auf dem IT-Gipfelblog des Hasso-Plattner-Instituts
• Protokolle des Münchner Kreis (Vereinigung zur Kommunikationsforschung)