01.11.2010 · Der elektronische Personalausweis ist da - und wird heftig kritisiert. Die IT-Beauftragte der Bundesregierung, Cornelia Rogall-Grothe, hält die Diskussion um die Sicherheit des „ePerso“ für überflüssig. Im Interview sagt sie, er sei absolut sicher.
© Peter Welchering
„Das bedeutet nicht, dass der Personalausweis unsicher ist”: Cornelia Rogall-Grothe
Der elektronische Personalausweis wird von diesem Montag an ausgeliefert. Doch nun gibt es eine spannende Diskussion über die Sicherheit des „ePerso“. Die IT-Beauftragte der Bundes-regierung, Cornelia Rogall-Grothe, zugleich Staatssekretärin im Bundesinnenministerium, hält die Diskussion um die Sicherheit des Personalausweises aber für überflüssig: Der neue „ePerso“ sei absolut sicher.
Wann gibt es denn den ePerso 2.0, bei dem die Sicherheitslücken geschlossen sind, über die wir im Augenblick diskutieren?
Die Frage ist vielleicht eher verständlich, wenn Sie erklären, wo Sie Sicherheitslücken sehen.
© dpa
Der neue Ausweis im Kartenlesegerät
(siehe auch: „ePerso“ ist da: Kartenspiel mit Risiko)
Wenn sich ein Computervirus oder „Keylogger“, der Tastatureingaben mitschreibt, auf dem PC befindet, an dem ein Lesegerät für den neuen Ausweis angeschlossen ist, lässt sich dessen sechsstellige PIN ausspionieren.
Sie gehen also von einem infizierten PC aus. Mittelpunkt des geschilderten Angriffsszenarios ist ein mit Schadsoftware infizierter PC, auf den ein Unbefugter mit Hilfe eines speziellen Hackerangriffs Zugriff erlangt hat. Ist dieser Angriff erfolgreich, kann der Angreifer unabhängig von der genutzten Anwendung heimlich alle Tastatureingaben oder Bildschirmanzeigen mitlesen. Aber das hat nichts mit dem Personalausweis zu tun.
Die PIN wird aber doch nur abgefragt, wenn der Personalausweis im Lesegerät liegt.
Ich wiederhole: Das bedeutet nicht, dass der Personalausweis unsicher ist. Es gibt keine Sicherheitslücke. Vor Schadsoftware am PC kann sich jeder wirksam schützen, indem er Virenschutzprogramme benutzt und eine Firewall installiert.
Muss die Regierung nicht auch das reale Umfeld des Personalausweis-Einsatzes bedenken, wenn dieser unter anderem eine digitale Signatur und biometrische Daten enthält? Virenbefall hat doch jeder schon mal erlebt.
Man muss mehrere Dinge auseinanderhalten. Zunächst geht es darum, wie der Personalausweis konfiguriert ist. Er hat einen Chip, auf dem biometrische Daten gespeichert sind. Die Speicherung von Fingerabdrücken ist fakultativ, also nicht zwingend. Dieser Teil des Chips betrifft den Personalausweis als Ausweisdokument für hoheitliche Zwecke, etwa bei einem Grenzübertritt, und kann auch nur von den dazu berechtigten hoheitlichen Stellen und nicht im Internet ausgelesen werden. Dann gibt es zweitens die sogenannte eID-Funktion, mit der man sich im Privatrechtsverkehr und im Umgang mit Behörden authentifizieren kann. Diese Funktion ist ebenfalls freiwillig, wir empfehlen sie aber. Drittens die Signaturfunktion, die eine Unterschrift ersetzt, auch sie ist freiwillig. Letztere ist nichts Neues, es gibt schon länger Signaturkarten und die qualifizierte elektronische Signatur. Die gesamte Technik ist sicher. Wenn man den Ausweis einsetzt, findet das immer in einem Umfeld statt, das man im Blick haben muss. Es gelten dieselben Sorgfaltspflichten, die bereits heute bei Internetanwendungen - etwa beim Online-Banking - zum Tragen kommen. Dazu gehört eine sichere Computerumgebung.
Wäre es nicht besser, das Starterkit für den neuen Ausweis mit einem eigenen Tastenfeld auszustatten? Dann hätten Keylogger keine Chance.
Selbst wenn ein PC infiziert ist und die PIN mit einem Keylogger ausgelesen werden könnte, hilft das dem Betrüger nur wenig. Er muss ja auch den Ausweis haben. Wir empfehlen daher, den Ausweis nur für die Dauer der Nutzung auf dem Lesegerät liegen zu lassen. Das Starterkit heißt übrigens IT-Sicherheitskit, weil es ein deutliches Plus an Sicherheit liefert. Es gibt drei Lesegeräte: Bereits das Basis-Modell ohne Tastatur ist deutlich sicherer als andere Authentisierungsverfahren, die heute praktiziert werden. Das Standard-Lesegerät hat eine eigene Tastatur. Zudem gibt es das Komfort-Lesegerät, das nicht nur eine eigene Tastatur hat, sondern auch ein Display und eine weitere Kryptofunktion. Wenn man auf den Personalausweis eine qualifizierte elektronische Signatur aufbringen will, kann diese nur mit dem Komfort-Lesegerät genutzt werden. Und ich wiederhole: Alle Lesegeräte sind sicherer als das, was wir derzeit haben.
Henryk Plötz von der Humboldt-Universität meint, wer den elektronischen Personalausweis emulieren, also den Chip mit seinem Dateisystem kopieren kann, der kann sich auch in den Besitz einer qualifizierten Signatur bringen. Würden Sie ihm widersprechen?
Ja, denn wir verwenden eine Technik, die eine solche Emulation ausschließt. Hier geht es um Hardware-Sicherheit. Emulieren kann man nur, wenn man die Geheimnisse aus dem Chip auslesen könnte. Das können Sie aber nicht, weil die Schlüssel nur in einem sicherheitsevaluierten Chip vorhanden sind. Das Klonen eines Personalausweis-Chips ist daher unmöglich.
Was machen Sie gegen Lauschangriffe? Der Chip rechnet mit dem privaten Schlüssel. Dabei entsteht eine elektromagnetische Signatur.
Sie haben sich mit den Abstrahleigenschaften von Chips auseinandergesetzt. Wissen Sie, bis zu welcher Entfernung die angesprochen werden können?
Das hängt von der Stärke des Funkfeldes ab. Bis zu drei Zentimeter sind auf jeden Fall gut machbar.
Ja, das ist richtig und betrifft die aktive Komponente, also das Ansprechen durch Lesegeräte. Für das Mitlesen Unberechtigter ist man im Bereich von rund 2,70 Meter. Wir setzen aber starke Kryptographie ein. Die Sicherheit dieser kryptographischen Verfahren ist mathematisch nachgewiesen und bestätigt. Ein Mitlesen ist also nicht möglich.
Bei der hoheitlichen Funktion wird die PIN nicht eingegeben, sondern über einen aufgedruckten Code generiert. Derzeit werden ja zwei Angriffsmöglichkeiten diskutiert. Zum einen der Nachbau von Lesegerät und Software, zum anderen, dass ein Behördengerät abhandenkommt und von Kriminellen eingesetzt wird. Wie wird in dieser Hinsicht Sicherheit gewährleistet?
Einen Nachbau des Geräts halte ich für ein abenteuerliches Szenario. Wir setzen Hardware ein, die vom Bundesamt für Sicherheit in der Informationstechnik sicherheitsevaluiert ist. Bei Stromlosigkeit wird das Schlüsselmaterial deaktiviert. Mit einem Gerät, das verlorengegangen ist oder gestohlen wurde, können Sie dann nicht mehr auf Personalausweise zugreifen.
Qualifizierte digitale Signaturen sind wichtig für sichere Online-Geschäfte. Ist es klug, die diesbezügliche Infrastruktur mit einem hoheitlichen Dokument zu verbinden?
Das ist nicht zwingend, es spricht aber auch nichts dagegen. Die Signatur auf einem hoheitlichen Dokument vermittelt ja Authentizität, verleiht der digitalen Unterschrift zusätzliches Gewicht. Denn wir halten den Ausweis für ein hochsicheres Dokument. Es ist die sicherste Technik, die es gibt. Deshalb ist der Ausweis ein ideales Trägermedium für die qualifizierte elektronische Signatur. Sie unterstellen Sicherheitslücken, die es nicht gibt.
Es gibt diese Diskussion, und man kann sie nicht ausblenden.
Die Diskussion ist schon an ein Ende gekommen, nachdem klargeworden ist, dass die angebliche Sicherheitslücke keine des Personalausweises ist, sondern des PCs. Sie schließen doch auch Ihre Haustür ab, um sich vor Einbrechern zu schützen. Dies ist in der Offline-Welt selbstverständlich. Mit derselben Selbstverständlichkeit sollten Sie auch für Sicherheit in der Online-Welt sorgen, indem Sie Ihren Computer wirksam vor Schadsoftware schützen. Sie können doch nicht erwarten, dass der Personalausweis alle Sicherheitsprobleme löst, die es geben mag, die aber nichts mit dem Ausweis zu tun haben.
Die Verbreitung der qualifizierten Signatur über den elektronischen Personalausweis wird aber nur dann funktionieren, wenn die Bürger von den Vorteilen überzeugt sind, oder?
Zugegeben: Die qualifizierte elektronische Signatur hat sich bislang nicht so durchgesetzt, wie man sich das erhofft hat. Der Personalausweis bietet nun die Möglichkeit, diese Signatur aufzubringen, aber er bietet als weitere Funktion die Möglichkeit, sich zu authentifizieren. Die Signatur ersetzt praktisch die Unterschrift. Ist keine Unterschrift nötig, nutzen Sie die elektronische Identifikation, die eID-Funktion des Personalausweises. Dann weiß Ihr Gegenüber, wer sein Geschäftspartner ist. Dem Nutzer obliegt die Kontrolle, die Daten freizugeben, die er freigeben möchte. Wenn Sie ein Buch im Internet kaufen, sind der Name und die Anschrift anzugeben. Aber es gibt keine Veranlassung, auch das Geburtsdatum oder den Geburtsort zu übermitteln. Man kann also jeweils im Einzelfall die Daten beschränken auf diejenigen, die für den Abschluss des Geschäfts zwingend erforderlich sind.
Denken Sie darüber nach, das Zugriffsverfahren des Personalausweises auch auf den Reisepass zu übertragen, oder bleibt es beim Reisepass bei dem nicht so sicheren Basic-Access-Verfahren?
Auch das sogenannte Basic-Access-Control ist sicher. Da der Reisepass nicht für eine Kommunikation im Internet eingesetzt wird, ist das Verfahren völlig ausreichend. Gleichwohl haben wir das Protokoll „Pace“, das beim Personalausweis eingesetzt wird, in die internationale Standardisierung bei der ISO und der ICAO, der internationalen zivilen Luftfahrtorganisation, eingebracht. Hier muss sich zeigen, wie die internationale Staatengemeinschaft damit umgehen will. Wir werden zu gegebener Zeit eine Entscheidung treffen, ob wir dieses Protokoll auch für den Reisepass einsetzen und uns dabei an das international abgestimmte Vorgehen halten. Aber wie gesagt: Einen Sicherheitsgrund zu wechseln, sehe ich nicht.
Denken Sie an Fördermaßnahmen, um die Nutzung der qualifizierten elektronischen Signatur im E-Business voranzubringen?
Die Wirtschaft begrüßt die Signaturfunktion des neuen Personalausweises. Insgesamt gibt es rund 600 Anwendungen, die jetzt schon getestet werden, darunter auch viele, die die Signaturfunktion nutzen. Die Wirtschaft wartet geradezu auf den 1. November, damit von den neuen Möglichkeiten Gebrauch gemacht werden kann.
Wie sieht es beim E-Government aus?
Hier gibt es schon viele schöne Beispiele. Es wird etwa möglich werden, sein Kraftfahrzeug online anzumelden oder den „Punktestand“ in Flensburg abzufragen. Das wird nicht alles gleich zum 1. November kommen, aber nach und nach. Die Bürger wollen und müssen von den Öffnungszeiten der Behörden unabhängig sein.
Werden mit der Online-Nutzung nicht auch neue Barrieren aufgebaut?
Nein. Wer das Gespräch mit dem Sachbearbeiter einer Behörde wünscht, wird das auch weiterhin führen können. Der direkte Weg bleibt. Und die Software namens „Ausweis App“, die auf den PC der Bürger aufgespielt werden kann, ist barrierefrei, kann also auch von blinden oder sehbehinderten Menschen genutzt werden.
Die Kommunen werden ihre informationstechnische Infrastruktur ausbauen müssen. Gibt es vom Bund Fördermaßnahmen zum Beispiel für den Aufbau von Bürgerportalen?
Die Kommunen sind zum Start des neuen Personalausweises mit der notwendigen Infrastruktur ausgestattet. Wir verfolgen und prüfen diese Ausstattung regelmäßig. Der deutsche Städte- und Gemeindebund und der Städtetag sehen erhebliche Effizienzsteigerungen und Kosteneinsparungen, die mit dem Einsatz des neuen Personalausweises verbunden sind. Deshalb investieren die Kommunen auch gern in solche Portale.
Seit zwei Jahren wird immer wieder über das länderübergreifende Zusammenführen von Meldeportalen diskutiert. Wie ist hier der Stand der Dinge?
Es gibt noch keine Entscheidungen. Wir nehmen die Diskussion mit den Ländern auf. Dreizehn Länder haben zentrale Landesmelderegister. Ob sie die zusammenschalten und ein gemeinsames Portal bilden, das bleibt abzuwarten.
Wie wollen Sie die Starterkits unters Volk bringen?
Sie heißen, wie gesagt, IT-Sicherheitskits. Wir haben Unternehmen und Konsortien gefördert, die diese Lesegeräte herstellen und vertreiben. Es gibt verschiedene Vertriebswege. Sie werden teilweise über Computerzeitschriften vertrieben, sie werden im Handel angeboten. Die Unterstützung bei der Entwicklung wirkt sich natürlich auf die Preisgestaltung aus.
Wie viel Geld ist denn in diese Förderung geflossen?
Die IT-Sicherheitskits werden mit 24 Millionen Euro gefördert.
Wird der neue Personalausweis kostendeckend über die Gebühr finanziert?
Ja. Der neue Ausweis kostet 28,80 Euro. Die Bundesdruckerei erhält 22,80 Euro für die Produktion. Das ist kostendeckend.
