Inhaltsverzeichnis

 

1. Vorwort Inhalt

Eine hitzige Diskussion entspann sich im Heise-Forum (Link möchte ich absichtlich nicht setzen, benutzt Google) über das Für und Wider des ePA. Befürworter führen gerne die fantastischen neuen Möglichkeiten an, die der elektronische Ausweis bieten soll und heben hervor, dass das System „sicher“ sei und so wenig wie möglich zusätzliche und damit mißbräuchlich nutzbare Daten generiere.

Dem muss nun einmal widersprochen werden, ich habe deswegen Argumente zusammengetragen, die gegen das System argumentieren. Ihr werdet hier keine Pro-Argumente finden.

2. Einführende Links und Vorträge Inhalt

Vorab sollte sich der geneigte Leser in der Wikipedia den für Nicht-Techniker relativ gut geschriebenen Artikel bzw. Abschnitt für den ePA zu Gemüte führen. Auch der gestreamte Vortrag über das verwendete Protokoll vom 26c3 erscheint sehenswert. Sehr interessante Vortragsfolien (PDF) habe ich von Dataport gefunden, sie zeigen für die Behörden praktische Auswirkungen auf.

Hier das Video eines Vortrags vom CCC, man möge dem Referenten seinen teils verwirrenden Stil vergeben.

3. Contra ePA Inhalt

Vorab möchte ich anmerken, dass zu manchen Punkten Unklarheiten bestehen und ich diese updaten werde, sobald mehr Informationen verfügbar sind. Die entsprechenden Passagen sind selbstverständlich gekennzeichnet.

3.1 Anwendungen Inhalt

Die wichtigste Frage stellt sich nach der Anwendung des ePA, genauer: dem elektronischen Identitätsnachweis. Es sind verschiedene Felder auslesbar und andere auf einen gegebenen Wert prüfbar. Im wesentlichen werden vier Betätigungsfelder angeführt:

• Hoheitsfunktion: Die Grenzbeamten im In- und Ausland können feststellen, ob der Ausweis gültig ist, die Namen mit dem Aufdruck übereinstimmen und ob die im Formular ausgefüllte Adresse mit der im Ausweis übereinstimmt, so sie sich die Mühe machem, die Adresse selbst in ihren Rechner zu klopfen. Wo da der Vorteil zum bisherigen Verfahren liegt, ist zumindest mir nicht ersichtlich. Unklar: Funktioniert die Prüfung online und wird das obligatorisch?
• Altersverifikation: Ist wohl vornehmlich für Zigaretten und Pornoprodukte gedacht. Verzeihung, aber Kippenkaufen geht auch mit Führerschein oder EC-Karte, Orion und Amazon liefern 18+-Produkte eben „zu Händen“ bzw. „Persönlich“ aus. Und der reguläre Durchschnittskonsument findet im Internet eine Reihe von kostenfreien Alternativprodukten, yourporn,  tube8 und deviantclips, um nur einige zu nennen.
• „Sichere Rechtsgrundlage“ im Internet: Hä? Was ist denn jetzt die unsichere Rechtsgrundlage? Das Verfahren mit Vorkasse funktioniert doch sehr gut. Der Kunde zahlt und sagt, wo es hinsoll. Protokolle (z.B. „eMail“) halten die beteiligten Vorgänge einwandfrei fest auf beiden Vertragsseiten. Und nachdem die gespeicherte Adresse noch nicht einmal auslesbar, sondern nur „verifizierbar“ ist, kann ich den Ausweis noch nicht einmal als „Ausfüllhilfe“ bezeichnen. Und mal ehrlich, was interessiert’s den Versender, wo er hinversendet oder wie sein Kunde heißt? Er hat doch sein Geld schon bekommen, und die korrekte Adressangabe ist im Interesse des Kunden.
• Optional – Behördengänge mittels QES, eGovernment: Man soll sich offenbar authentifizieren (können), wenn man Offizielles bei der Verwaltung tätigt. Bei allem nötigen Respekt, aber wann muss ich das schon? Gewerbebetrieb und Steuererklärung funktionieren derzeit sogar ohne Zertifikate über ELSTER einwandfrei und unkompliziert, alles andere kann ich per Fax erledigen, und die Ummeldung, bei der es tatsächlich Einsparungen bringen könnte, mache ich einmal in fünf Jahren.

Unklar ist weiterhin, wie ich das eGovernment benutze: Während das BSI schreibt, dass eGovernment schon mit eID möglich ist, scheint die rechtsverbindliche Unterschrift, die bei Behörden vonnöten wäre, nur mit QES möglich zu sein. WTF!?

Weitere Anwendungen, weswegen man den Ausweis bräuchte, wollen mir gerade nicht einfallen.

3.2 Hardware Inhalt

Für jeden teilnehmenden Rechner oder auch „Clienten“ braucht man offenbar ein kompatibles = zertifiziertes Lesegerät. Ob das Lesegerät oder der teilnehmende Rechner (nicht Benutzer!) an sich im System eindeutig identifizierbar ist oder sein wird, ist mir derzeit unklar. Im digitalen Behördenfunk wird das so sein, jedes Gerät soll ja eindeutig adressier- und vor allem sperrbar sein, falls es verloren geht oder gestohlen wird.

Nun stellt sich die Frage, ob wir denn nichts gelernt haben aus HBCI und FinTS, dem „sicheren“ Online-Banking. Die Parallelen sind frapide: Man brauchte ein Lesegerät (ca. 30,- €, soweit ich noch weiß), von der Bank eine HBCI-Chipkarte (ca. 10,- €) und HBCI-PIN sowie eine kompatible zertifizierte (?) Software (z.B. Starmoney oder das T-Online Produkt). HBCI hat es nie weit gebracht, vermutlich, weil der finanzielle und organisatorische Aufwand für den Anwender im Gegensatz zum Nutzen zu groß war.

Zwar ist das System bestehend aus Webinterface und *TAN nicht besonders sicher, aber dafür einfach und von relativ vielen Menschen bedienbar. Und hier noch eine inoffizielle sinngemäße Aussage eines Vorstands einer österreichischen Bank:

Sicher kosten die Schäden, welche uns durch Online-Banking-Betrug und PIN-Phishing entstehen, Geld. Es würde uns aber sehr viel mehr kosten, wenn wir durch neue Verfahren und neue Sicherheitssysteme unsere Kunden verunsichern. Daher zahlen wir lieber und machen um diese Vorfälle keinen großen Wind.

3.3 Software Inhalt

Damit ein Rechner am System teilnehmen kann, muss zusätzlich darauf eine Software, der sogenannte Bürger-Client, installiert werden. Laut Wikipedia ist der Auftraggeber das Bundesministerium des Inneren (BMI), und da habe ich schon aufgehört zu lesen. Außer dem Wikipedia-Artikel habe habe keine detailreicheren Beschreibungen zur Software gefunden. Folgende Punkte sind unklar:

• Wird die Software OpenSource (No Security through Obscurity!)?
• Für welche Betriebssysteme wird es sie geben?
• Wer garantiert mir, dass ein potentiell vorhandenes Auto-Update-Feature keinen Bundestrojaner auf meinen Rechner lädt bzw. dass die Software nur genau das tut, was sie soll?
• Muss sie unter einem Administrator-Account laufen?

3.4 Verbindung Inhalt

Offenbar benötigt der Client eine Online-Verbindung. Das kann ich zwar bei den Personen, die die obigen Anwendungen nutzen, als gegeben voraussetzen, auf der anderen Seite aber hatten 2007 „nur“ knapp 20 Millionen Haushalte von 39 Millionen, sprich zirka die Hälfte, einen Breitbandanschluss. Über Schmalbandverbindungen habe ich keine verläßlichen Aussagen gefunden.

Potentiell müssen also die Mitglieder der anderen 20 Millionen Haushalte vorerst auf die Benutzung des Systems verzichten, bezahlen es aber trotzdem.

3.5 Usability Inhalt

Weiterhin gibt es verschiedene Daten und Nummern, mit denen der Benutzer zurecht kommen muss:

• Personal Identification Number (PIN) zum Benutzen der eID Funktionen
• Aufgedruckte CAN für dritten Eingabeversuch der PIN
• PIN Unblocking Key (PUK) zum Zurücksetzen von drei Fehlversuchen (PIN-Änderung damit aber nicht möglich)
• Sperrkennwort für den Ausweis
• Optional: PIN2 für QES
• Unklar: PUK2 zum Entsperren der PIN2?

Der Nutzen der CAN stellt sich mir sehr infrage, nachdem offenbar ein simpler Kopierer diese Nummer bereits kopieren kann und sie statisch zu sein scheint. Es scheint so zu sein, dass die Nutzung der CAN sicherstellen soll, dass der Ausweis tatsächlich vor Ort am Lesegerät liegt, nachdem sie offenbar nur für hoheitliche Stellen benutzbar ist.

Jetzt aber kommt der Hammer: Man mache die Unterschiede zwischen diesen Teilen einem Nicht-Techniker klar. Yummi! By the way: Wenn die PIN dreimal falsch eingegeben wurde, was bei älteren Teilnehmern schon mal vorkommt, kann nur noch eine Behörde mit entsprechendem Zertifikat (oder der PUK) dat Dingen wieder entsperren. Juchuu, wenn so ein Entsperrzertifikat, von denen es potentiell Hunderte geben kann, abhanden kommt, nicht wahr (der Vollständigkeit halber möchte ich diesen Punkt allerdings als unklar anbringen).

3.6 Biometrie Inhalt

Das Paßfoto wird elektronisch auf dem Ausweis gespeichert, und ist offenbar durch hoheitliche Stellen auslesbar. Zitat aus diesem PDF, Seite 71:

Aufdruck der Karten-Zugangsnummer, mit der hoheitliche Stellen auf alle Daten [confirmed: auch die eID-Daten] im Chip zugreifen können.

Nachdem nicht klar ist, was „zugreifen“ genau bedeutet, gehe ich einmal davon aus, dass es mit „auslesen“ gleichzusetzen ist. Dafür ist offenbar ein wiederum potentiell hundertfach vorhandenes Hoheitszertifikat ausreichend. Außerdem steht der Beweis, dass eine automatisierte Gesichtserkennung besser ist als die eines Menschen, noch aus. Stichwort „Seam-Carving“.

3.7 Gläserner Bürger, Überwachung, Mißbrauch Inhalt

Neben der schon angesprochenen potentiellen (unklaren) Schwachstelle der vielen verteilten Zertifikate, die etwas dürfen in den Ausweisen (PIN zurücksetzen und entsperren, Adressen ändern, Ausweis für ungültig erklären, Daten auslesen, und anderes) existiert möglicherweise eine eklatante Schwachstelle im Datenschutz.

Fakt ist, dass eine Firma, die eID für ihre Kunden anbieten möchte, sich beim Ausweishersteller (Bund oder BMI) zertifizieren lassen muss und ein entsprechendes elektronisches Zertifikat bekommt, mit welchem sie Datenfelder aus Kundenausweisen auslesen kann (Zustimmung des Kunden natürlich vorausgesetzt).

Offensichtlich gibt es weiterhin sogenannte Sperrlistenbetreiber, die die von einer PKI bekannten Revocation-Lists (CRL) bereithalten, also das Wissen darüber, welche Ausweise (genauer: deren IDs) ungültig sind. Eventuell ist der Inhaber gestorben, oder hat seinen Ausweis selbst gesperrt, die Gründe sind verschieden.

Es macht daher für jeden eID-Teilnehmer (Geschäft oder hoheitliche Stelle) Sinn, einen Ausweis vorab auf Gültigkeit zu prüfen. Legt der Kunde einen ungültigen Ausweis vor, würde die restliche Transaktion (Bestellung, Einreise, usw.) abgebrochen oder zumindest anders abgewickelt werden.

Das Geschäft oder die hoheitliche Stelle wird also bei dem oder einem Anbieter der offiziellen CRL die Gültigkeit des Dokumentes nachfragen. Damit ergibt sich auf der Anbieterseite der CRL ein Record ähnlich des folgenden:

• ID des Ausweises
• ID der anfragenden Einheit
• Zeitstempel

Kann nun eine Verknüpfung hergestellt werden zwischen Ausweis-ID und Inhaberdaten, was theoretisch bei jedem Online-Einkauf mit eID-Funktion geschieht, hat der CRL-Betreiber bereits wertvolle Daten erhalten.

Kann eine weitere Verknüpfung zwischen Lesegerät-ID und Standort bzw. Inhaber hergestellt werden (potentiell beim Herausgeber der Zertifikate vollständig vorhanden), so ist nun auch bekannt, welchem Zweck die Abfrage diente. Hat beispielsweise der „Orion-Versand“ für „Max Müller“ die Gültigkeit geprüft, dürfte recht eindeutig sein, was Max Müller wohl bestellt hat.

Die Gefahr besteht deswegen aus meiner Sicht, dass sich vollständige Reise- und Kaufprofile von Benutzern erstellen lassen. Allein dass die Möglichkeit besteht, rechtfertigt schon eine ernsthafte Sorge, denn wo Mißbrauchsmöglichkeiten bestehen, werden sie früher oder später auch genutzt. Siehe Deutsches LKW-Mautsystem und Gefahrenabwehr. Lach.

3.8 Kosten Inhalt

Mein herkömmlicher Ausweis hat knapp 8,- € gekostet. Der Bio-Reisepass hat 56,- € EUR, knapp das doppelte, gekostet. Nun stellt sich mir die berechtigte Frage: Wer soll das bezahlen, wer hat soviel Geld?

Das BMI meint lapidar:

Was wird der elektronische Personalausweis kosten?
Noch befindet sich der elektronische Ausweis in der Planungsphase. Ein Preismodell wird derzeit erarbeitet. Ziel der Konzeptionierung ist es, Kosten und Nutzen für die Bürgerinnen und Bürger ausgewogen zu gestalten.

Bedeutet also, ich als Anwender soll den Käse auch noch zahlen. Und es hört ja nicht beim Ausweis auf. Wer bezahlt den Leser? Wer ersetzt den Teilnehmern im Internet (Versandshops) ihre Kosten für die Zertifizierung? Zumindest die Vergangenheit zeigt, dass das die Verbraucher sein werden. Vielen Dank dafür.

4. Fazit Inhalt

Null Nutzen, mehrfache Kosten. Was soll der Quatsch! Ich werde mir rechtzeitig im Oktober noch einen alten Ausweis holen, dann hab ich wenigstens für 10 Jahre Ruhe.