Die deutschen Internetnutzer sollen nach den Plänen der Bundesregierung ihre Einkäufe im E-Commerce viel sicherer und leichter tätigen können, sobald sie über den neuen Personalausweis verfügen. Dieser wird bereits ab dem 1. bzw. 2. November von den Ratshäsern und Bürgerämtern ausgestellt. Zugleich verteilen diese Stellen rund 1,5 Millionen Lesegeräte. Denn solch ein Lesegerät ist nötig, damit der Personalausweis, der ja nunmehr einen Chip aufweist, auch in den PC des Nutzers eingelesen werden kann.
Der neue Personalausweis verfügt über zahlreiche Sicherheitsmerkmale
Da der neue Personalausweis neben einer bestehenden Identitätskarte geführt werden kann, rechnet das Bundesinnenministerium mit rund zwölf Millionen Bürgern, die sich solch eine Chipkarte ausstellen lassen wollen. Behördengänge und Papierverbrauch sollen damit deutlich zurückgehen. Das senkt die Staatsausgaben und schont die Umwelt, spart dem Nutzer aber auch viel Zeit.
Der neue Ausweis soll zahlreiche Vorteile mit sich bringen, nicht nur für den Privatnutzer, sondern auch für den Shopbetreiber. Der Nutzer hält mit der Chipkarte einen von den Behörden beglaubigten Identitätsnachweis in Händen: die eID (Electronic Identity). Während er sich mit Lichtbild, Unterschrift und Fingerabdruck bei physischen Stellen (Behörden, Flughäfen, Läden, Banken) ausweist, dient die eID ausschließlich zum Ausweis im Internet.
Die eID kann der Nutzer bei einem Online-Händler einsetzen, der über ein Berechtigungszertifikat verfügt. Dieses hat der Händler selbstverständlich rechtzeitig beim Bundesverwaltungsamt besorgt und zeigt es beim Verkauf an. Das Zertifikat wird vom Personalausweis geprüft: Ist der Händler etwa eine gefälschte Webseite? Und ist der Käufer der, für den er sich ausgibt und nicht etwa ein Kreditkartenräuber? Oder ist sein Ausweis bereits abgelaufen?
Haben sich beide Seiten per Zertifikat und eID authentifiziert, kann die Transaktion zustandekommen. Die Eingabe von Name und Anschrift erübrigt sich: Sie sind Teil der eID. Nach einer letzten Prüfung kann der Nutzer daher seine Willenserklärung mit der Eingabe seiner sechsstelligen Personal Identification Number (PIN) abschließen und abschicken. Ebenso funktioniert eine Transaktion am PoS, einem Verkaufsautomaten. Beim Fahrkartenkauf soll der Nutzer künftig Zeit sparen. Papier für Dokument, Anträge und Papierpost soll weniger verbraucht werden.
Auch Banken und Versicherungen lassen sich wie viele weitere Verträge und Anträge sowohl mit dem Ausweis ausfüllen als auch beglauben und unterschreiben – alles elektronisch. Bei vielen Online-Shops ist das Ausfüllen von Formularen nötig. Dies entfällt ebenfalls, weil das Formular den Ausweis einliest. Phishing wäre also sehr schwierig bis unmöglich.
Alternativ kann sich der Nutzer auch mit einem Pseudonym registrieren, wenn er das wünscht, so etwa in einem Sozialen Netzwerk. Er ist anonym, aber das Netzwerk erkennt ihn dennoch als berechtigten User. Weder Username noch Passwort werden auf dem Chip gespeichert.
Manche Online-Artikel, etwa indizierte DVDs, oder Dienste erfordern den Nachweis der Geschäftsfähigkeit des Nutzers: Die nötige Altersbestätigung erfolgt per eID. Dies dient auch dem gesetzlich vorgeschriebenen Jugendschutz, sowohl von Shops als auch durch Erziehungsberechtigte oder Aufsichtspersonen. Ebenso kann ein Shopbetreiber, der seine Dienste nur regional in einem bestimmten Geltungsbereich anbieten will, durch den Wohnortnachweis in der eID die Berechtigung des Nutzers für diese Dienste prüfen – Location-based Services.
Behinderte sollen ebenso durch barrierefreie Internetdienste profitieren wie Werksangehörige von einem leichteren Zugang zu ihrem Betrieb. In einer Dienstleistungsgesellschaft wie unserer bietet der Personalsausweis also zahlreiche Vorteile.
Eventuelle Risiken
Wie der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Michael Hange, im Interview mehrfach bestätigt hat, bietet der Ausweis eine dreifache Sicherheit: durch seine Beglaubigung durch die Behörden, durch das Berechtigungszertifikat des Shopbetreibers und durch die PIN des Nutzers.
Ist der Rechners des Nutzers jedoch bereits gekapert und wird als Bot in einem Botnetz missbraucht, so bestehe laut Hange die Möglichkeit, dass durch einen Keylogger und Screengrabber entsprechende Eingaben des Nutzers, die er mit der Chipkarte und einem unsicheren Lesegerät tätigt, abgefangen und an Unbefugte weitergeleitet werden. Allerdings sind alle Datenübertragungen verschlüsselt. Deshalb legen sowohl BSI als auch BITKOM und Bundesinnenministerium (BMI) den Einsatz von hochwertigen Lesegeräten nahe.
Sicherheit hat ihren Preis, und der Endbenutzer zahlt ab 28,80 € für den Ausweis. Das Aktivieren der Online-Ausweisfunktion ist hingegen gebührenfrei. Die Kosten für das Aufbringen eines elektronischen Signaturzertifikates schwanken je nach Anbieter (Übersicht unter www.nrca-ds.de unter dem Punkt „Akkreditierte Anbieter“).
Zahlreiche weitere Fragen beantwortet das Personalausweisportal des BMI, das auch eine Broschüre verteilt, die alle Fragen beantwortet und mit Bildern illustriert.
Michael Matzer, editor Germany
