Neuer Personalausweis Bezahlen mit der digitalen Identität

Aus dem amtlichen Personalausweis wird von November an ein kleiner, aber leistungsstarker Computer. Damit kann der Inhaber sich nicht nur gegenüber Behörden ausweisen, sondern auch im Internet einkaufen und seine elektronischen Briefe mit einer digitalen Unterschrift versehen. Aber nicht nur das: Der elektronische Personalausweis soll auch Arbeitnehmerdaten aus Beschäftigungsverhältnissen speichern. Alle Ausweisdaten und Programme für die Bearbeitung dieser Daten sind auf dem Funkchip des neuen Personalausweises gespeichert. Die im elektronischen Personalausweis verwendeten passiven Funkchips sind RFID-Technik und können Daten nur dann verarbeiten, wenn ihnen von außen Energie zugeführt wird. Dafür ist in der Regel ein Lesegerät zuständig, das ein elektromagnetisches Hochfrequenzfeld aufbaut.

Der gesamte Verarbeitungsprozess der auf dem RFID-Chip gespeicherten Daten wird vom Lesegerät gesteuert. Die Lesegerät-Software steuert auch den Aufbau des Funkfelds. Kleine Funkfelder überbrücken dabei nur wenige Millimeter. Der Ausweis mitsamt Chip muss also unmittelbar an das Lesegerät gehalten werden. Es können aber auch Entfernungen von bis zu einigen Meter überwunden werden. Die neuen Personalausweise lassen sich auch aus der Ferne auslesen, ohne dass es der Besitzer bemerkt. Mit dem Funkfeld erhält das Betriebsystem des RFID-Chips vom Lesegerät Befehle, bestimmte Daten zu berechnen und verschlüsselt zu übertragen. Der Verschlüsselungsprozess findet direkt auf dem Chip statt. Er ist also mit einer leistungsstarken Recheneinheit ausgestattet und so gesehen ein kleiner PC.

Der neue Personalausweis wird Chipkartengröße haben und soll durch unterschiedliche Identitätsfunktionen nicht nur das Einkaufen im Internet, sondern auch den E-Mail-Verkehr sicherer und einfacher machen. Genauso sicher und bequem wie beim Einkaufen im Internet soll sich der Inhaber auch gegenüber Behörden ausweisen können. Deshalb ist der Funkchip des neuen Ausweises in einen hoheitlichen und einen nichthoheitlichen Bereich aufgeteilt. Doch gerade dieser eigentlich erwünschte Doppelnutzen kann Sicherheitsrisiken mitbringen.

Auf dem Funkchip sind gleich mehrere Identitäten gespeichert

Die liegen vor allen Dingen im Diebstahl der digitalen Identität. Denn auf dem Funkchip sind gleich mehrere Identitäten gespeichert. Zum einen sind das die persönlichen Daten wie Name, Vorname, Wohnort und Geburtsdatum sowie ein digitales Lichtbild und - wenn man zustimmt - die Fingerabdruckdaten als biometrisches Merkmal. Auf Wunsch erhält der Ausweisinhaber eine weitere digitale Identität, mit der er Online-Geschäfte leichter vornehmen oder sich beim Kauf von Zigaretten am Automaten als Erwachsener legitimieren kann. Drittens kann der Ausweisinhaber eine qualifizierte digitale Signatur beantragen, mit der er dann „online“ rechtsgültige Unterschriften leisten kann.

Will ein Ausweisinhaber etwa ein Auto im Internet kaufen, schiebt er seinen elektronischen Personalausweis mit dem Funkchip in ein Lesegerät am PC. In seinem Internet-Browser hat er die Seite des Autohauses geöffnet, das Bestellformular schon ausgefüllt und klickt jetzt den Menüpunkt „digitale Unterschrift“ an. Nun schickt der Server des Autohauses per Datenpäckchen ein Berechtigungszertifikat an den Kunden, mit dem die zuständige Behörde bescheinigt, dass dieses Autohaus digitale Unterschriften seiner Kunden verarbeiten darf. Gleichzeitig fordert das Lesegerät des Autokäufers ihn auf, seine geheime persönliche Identifikationsnummer einzugeben.

Autohaus kann auf die Identitätsdaten des Bestellers zugreifen

Stimmt die eingegebene PIN mit der auf dem Funkchip gespeicherten überein, erzeugt der Funkchip auf der Basis des geheimen privaten Schlüssels einen öffentlichen Schlüssel, der an den Server des Autohauses über dieselbe Internetverbindung geschickt wird. Mit diesem öffentlichen Schlüssel kann das Autohaus auf die Identitätsdaten des Bestellers zugreifen. Die „online“ ausgefüllte Bestellung wird dann mit den Identitätsdaten auf dem Funkchip überprüft und vom Autohaus an den Kunden-PC geschickt. Zu diesem wechselseitigen Hin und Her kommt ferner eine Prüfsumme. Damit wird sichergestellt, dass die Bestellung nicht während des Versands oder nachträglich im Autohaus von Unbefugten verändert werden kann. Nach einer Änderung an dem Bestelldokument würde die Prüfsumme nicht mehr stimmen. Mit dem öffentlichen Schlüssel, den das Autohaus vom Ausweisinhaber erhalten hat, kann auch die verschlüsselte Bestellung entschlüsselt werden.

Kopfzerbrechen bereitet den Fachleuten, dass mit gestohlenen Ausweisdaten eine qualifizierte elektronische Signatur erworben und beispielsweise für kostspielige Bestellungen missbraucht werden kann. Der Identitätsklau kann auf verschiedene Arten vor sich gehen. Seit der Informatiker Lukas Grunwald im Sommer 2006 einen Reisepass-Funkchip gefälscht hat, wissen die Sicherheitsexperten, wie einfach sich eine digitale Identität entwenden lässt. Grunwald hat sich einfach ein offiziell zertifiziertes Lese- und Schreibgerät für Funkchips gekauft und sich des Weiteren von der internationalen Luftfahrtbehörde ICAO die technische Beschreibung der Systemstandards für elektronische Reisepässe schicken lassen. In diesem Dokument ist genau beschrieben, wie ein Datensatz für den Funkchip im elektronischen Reisepass aufgebaut ist. Alles in allem hat der Informatiker für die beiden Beschaffungen etwas mehr als 100 Euro ausgegeben. Und dann hat er auf einer Fachkonferenz in Las Vegas das gemacht, was jeder Hobby-Programmierer ebenfalls machen kann: Er hat einen elektronischen Reisepass genommen, den Funkchip mit einem frei im Handel erhältlichen Lesegerät ausgelesen und diese Daten auf einen neuen Chip kopiert.

Mehrstufiges Verfahren beim Auslesen der Chipdaten

Die Fachleute im Bundesinnenministerium haben aus diesem Vorfall durchaus gelernt und nach langen Diskussionen den für die Reisepässe verwendeten Basic Access Code (BAC) für den neuen elektronischen Personalausweis nicht übernommen. Dennis Kügler vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte dieser Zeitung, dass das BAC-Protokoll zu simpel aufgebaut sei, um den Sicherheitsanforderungen des elektronischen Personalausweises zu genügen. Deshalb haben die BSI-Spezialisten ein neues Protokoll entwickelt, das ein mehrstufiges Verfahren beim Auslesen der Chipdaten vorsieht.

Zunächst schiebt der Ausweisinhaber den Personalausweis in ein Lesegerät. Das Betriebssystem auf der Chipkarte erzeugt dann einen öffentlichen Schlüssel, mit dem - je nach erteilter Freigabe und Befugnis - auf unterschiedliche persönliche Daten zugegriffen werden kann. So darf beispielsweise das Abfragesystem eines Zigarettenautomaten nur auf das Datenfeld „Alter“, nicht aber auf das Datenfeld „Geburtsdatum“ zugreifen. Dieser öffentliche Schlüssel muss zudem bestätigt werden. Diesen Vorgang nennen die Fachleute Authentisierung. Die Authentisierung erfolgt über eine sechsstellige persönliche Identifikationsnumer (PIN), mit der dann der Ausweisinhaber den Zugriff auf bestimmte persönliche Daten freigibt. Der Chip kennt die PIN, weil sie intern gespeichert ist. Das Lesegerät kennt die PIN, weil der Ausweisinhaber sie eingegeben hat.

„Die zugehörige Software wird sicherlich nicht öffentlich zur Verfügung gestellt“

Bei einer Personenkontrolle durch die Polizei oder bei einem Behördenbesuch funktioniert das etwas anders. Die Obrigkeiten lesen die persönlichen Daten über einen Zugriffscode in der maschinenlesbaren Zone der Plastikkarte aus. Die auf den Lesegeräten der Behörden aufgespielte Software kann auf alle Daten des Funkchips zugreifen. Deshalb ist während der vergangenen drei Jahre die Bundesregierung von Sicherheitsexperten mehrfach gefragt worden, wie sie sicherstellen will, dass derartige Lesegeräte mit ihrer Software ausschließlich von Behörden angewendet werden und nicht von Kriminellen, die damit digitale Identitäten stehlen könnten. „Die zugehörige Software wird sicherlich nicht öffentlich zur Verfügung gestellt“, sagt dazu Dennis Kügler vom Bundesamt für Sicherheit in der Informationstechnik. Allerdings räumt er ein: „Es spricht nichts dagegen, dass man eine Software realisiert, die dieses Verfahren implementiert.“

Die Experten im Innenministerium arbeiten deshalb mit Hochdruck an der Verbesserung der Ausleseprozedur der Behörden. Dabei haben sie allerdings mit der Schwierigkeit zu kämpfen, dass die Berechtigungsprozeduren des Chip-Betriebssystems abgehört werden können. So lassen sich nicht nur Zugriffsberechtigungen rekonstruieren. Bei der elektronischen Signatur könnte auf diese Weise auch der im Chip gespeicherte private Schlüssel ermittelt werden. Wer wiederum den privaten Schlüssel hat, kann digitale Unterschriften beim Online-Kauf fälschen. Die gesamte Sicherheit der elektronischen Signatur steht und fällt mit diesem privaten Schlüssel. Wer ihn besitzt, kann öffentliche Schlüssel generieren und die digitale Unterschrift beliebig fälschen.

Weil jeder algorithmische Zugriff auf diesen privaten Schlüssel prinzipiell angreifbar ist, müssen diese Zugriffe besonders abgesichert sein. Diese Absicherung ist aber beispielsweise mit dem für die Bürger gedachten „Starter-Kit“ des Lesegeräts der „Sicherheitsklasse 1“ nicht gewährleistet. Auch bei den teureren Lesegeräten der Sicherheitsklasse 3 ist ein Zugriff mit der „Bürger Client“ genannten Software auf sensible Systembereiche des Funkchips möglich. Deshalb sieht Claudia Eckert, die Direktorin des Fraunhofer-Instituts „Sichere Informationstechnologie“ in Darmstadt, noch etliche Hausaufgaben für die Entwickler. Die Bundesregierung hat auf diese Bedenken reagiert und angekündigt, sie wolle die Bürger-Client-Software als offenen Quellcode zur Verfügung stellen. Das wird auch von den Mitgliedern des „Chaos Computer Clubs“ gelobt. Allerdings weisen sie zu Recht darauf hin, dass damit noch nichts über die Abschottung des Chip-Betriebssystems gesagt ist. Zusätzliche Hausaufgaben und Nachbesserungen sind also an mehreren Stellen von den Verantwortlichen im Innenministerium zu erledigen. Und die Zeit dafür wird knapp.