Thema: Privatsphäre: Datenschützer kritisiert Biometriepässe

[SiLæncer]

Der zum November 2010 erwartete elektronische Personalausweis setzt im Unterschied zum elektronischen Reisepass auf das PACE-Protokoll. Dieses patentfreie Protokoll wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt. Nachdem das BSI selbst einen Sicherheitsbeweis in Auszügen auf der ISC 2009 vorgestellt hat, steht der komplette Beweis nun allgemein zur Peer Review durch Kryptologen zur Verfügung.

Ab sofort können interessierte Forscher sich auf die Suche nach Schwachstellen bei der PACE-Verschlüsselung machen. Beim BSI ist man besonders gespannt, wie das Urteil des Chaos Computer Clubs ausfallen wird. Dieser hatte auf seinem Jahresendtreffen mitgeteilt, dass man sich über die Auslieferung des elektronischen Personalausweis im November freue, da dieser dann zum nächsten Treffen "geliefert, gehackt und gefrostet" präsentiert werden könne.

Der elektronische Personalausweis ist das Schwerpunktthema der Omnicard 2010, die kommenden Dienstag in Berlin beginnt. Neben Berichten von den laufenden Anwendertests und von Geschäftsmodellen rund um den neuen Ausweis sollen auch Untersuchungen zur Akzeptanz des elektronischen ID-Systems vorgestellt werden, das mit dem Personalausweis entsteht.

Im Unterschied zur zähen Einführung der elektronischen Gesundheitskarte soll der Personalausweis ein begehrter "Selbstläufer" werden. So gibt es im Innenministerium Überlegungen, die Produktion billiger USB-Stick-Lesegeräte für den kontaktlosen Ausweis deutlich zu erhöhen. Ursprünglich war geplant, eine Million Sticks zusammen mit einem Softwarepaket kostenlos an die Erstbesteller des Personalausweises auszugeben. Diese Zahl gilt heute als "Untergrenze".

Quelle und Links : http://www.heise.de/newsticker/meldung/Sicherheitsbeweis-zum-elektronischen-Personalausweis-veroeffentlicht-904255.html

[SiLæncer]

Der Staatssekretär im Bundesinnenministerium (BMI) und Beauftragte der Bundesregierung für Informationstechnik, Hans Bernhard Beus, erwartet intensive Diskussionen über den elektronischen Personalausweis, der ab November das bisherige Dokument ablösen wird. "Wir halten sie für gut und richtig", erklärte er anlässlich der Eröffnung der dreitägigen Omnicard, dem alljährlichen Branchentreff der Chipkarten-Industrie. Das Treffen steht in diesem Jahr unter dem Leitthema "Sicherer elektronischer Identitätsnachweis" und thematisiert auch die Einsatzmöglichkeiten des neuen Ausweises beim E-Commerce und im E-Government. Vom Sommer an will das BMI deshalb die Öffentlichkeitsarbeit intensivieren – und Beus zählt dabei auf die Mitwirkung der Unternehmen und öffentlichen Verwaltungen. Wichtig sei vor allem, deutlich die verschiedenen Funktionsebenen des neuen Ausweises zu trennen, die in der Öffentlichkeit häufig durcheinander gebracht würden, wie der BMI-Staatssekretär beklagte.

Der neue Ausweis im Scheckkartenformat führt neben der biometriegestützten Identitätsfunktion, die ausschließlich den zur Identitätsfeststellung berechtigten Behörden vorbehalten ist, als unabhängige weitere Anwendung die eID-Funktion zur sicheren Online-Authentisierung am PC ein: Die Daten, die heute visuell vom Dokument ablesbar sind, werden künftig im Ausweis-Chip gespeichert, so dass sich der Inhaber auch im elektronischen Rechts- und Geschäftsverkehr über das Internet ausweisen kann. Zusätzlich wird als dritte Neuerung den Bürgern optional auch die qualifizierte elektronische Signatur (QES) mit dem kontaktlos auslesbaren Chip auf der Ausweiskarte zur Verfügung stehen.

Die eID-Funktion werde dem Bürger "mehr Souveränität über seine Daten im Ausweis verschaffen, als das bisher der Fall ist". So könne man jeweils im Einzelnen entscheiden, welche Daten man bei einer Transaktion im Internet übermittelt und "man weiß zugleich, an wen man seine Daten übermittelt". Denn Webshops und Dienstleistern wird der Zugriff auf die eID-Daten nur mit einem Berechtigungszertifikat möglich sein, das sie bei der beim Bundesverwaltungsamt in Köln angesiedelten Vergabestelle (VfB) beantragen und dabei ein berechtigtes Interesse für das Auslesen personenbezogener Daten aus dem Personalausweis nachweisen müssen. Aufgrund dieses Verfahrens hat der Netzbürger die Gewähr, "dieses Unternehmen gibt es in der wirklichen Welt und es ist berechtigt, mit diesen Daten zu arbeiten", erklärte Beus. "Wir werden Vertragsbeziehungen und Geschäftsbeziehungen haben, die von mehr Vertrauen getragen sind, als wir es heute haben."

Derzeit werden jährlich etwa fünf bis sechs Millionen Personalausweise erneuert, doch Beus hofft auf einen Run auf die Meldestellen und dass die Vorzüge der neuen Generation viele Bürger veranlassen, noch vor Ablauf der Geltungsfrist des alten einen neuen Ausweis zu beantragen. Zu den Mehrkosten für den Bürger über die bisher verlangte Gebühr von acht Euro hinaus wollte der Staatssekretär heute keine Angaben machen; man sei noch in Verhandlungen mit den Herstellern. "Da lässt sich im Augenblick noch keine Hausnummer nennen", erklärte er, versicherte aber, "das werden wir bis zum Frühjahr geklärt haben".

Auf der Eröffnungsveranstaltung erinnerte Mario Tobias vom Bitkom an die politischen Diskussionen über die biometrische Merkmalserfassung auf dem hoheitlichen Teil des Ausweis-Chips. Dies seien "schlechte Voraussetzungen" gewesen, "um den neuen Personalausweis mit seinen Vorzügen einzuführen". Deshalb begrüße er es, dass jetzt offiziell nicht mehr vom ePA, sondern vom nPA, dem "neuen Personalausweis " die Rede ist. Der Bitkom-Vertreter regte an, in der Öffentlichkeitsarbeit besonders die Jugendlichen zu adressieren und den "nPA" künftig nicht erst ab 16 Jahren, sondern vielleicht schon ab 14, oder sogar ab 12 Jahren auszugeben.

Der Sprecher des Deutschen Städte- und Gemeindebundes, Franz Reinhard Habbel, begrüßte die neuen Möglichkeiten der eID-Funktion im E-Government. Als eine Anwendung könne er sich beispielsweise auch "Datenkontrollstationen" vorstellen – einen Webzugang in die Verwaltung, über den der Bürger feststellen könne, welche Daten die Behörden über ihn gespeichert haben. Weitere Funktionen auf den Ausweis-Chip zu laden, sei technisch möglich, aber juristisch hierzulande nicht vorgesehen. So sei es denkbar, sein Auto statt mit dem Zündschlüssel künftig mit dem Ausweis zu starten.

Einen anderen Blick in die Zukunft warf der Geschäftsführer der Bundesdruckerei, Ulrich Hamann, der bereits an mobile Anwendungen der eID-Services denkt. "Warum soll man das Handy nicht als Terminal für den Personalausweis einsetzen", fragte er. Die absehbare Verbreitung von NFC-fähigen Mobiltelefonen würde dies ermöglichen und die NFC-Schnittstelle das Handy zum kontaktlosen Lesegerät für den elektronischen Ausweis machen. Im internationalen NFC-Forum engagiert sich die Bundesdruckerei bereits für eine entsprechende Anpassung der NFC-Spezifikation. "Wir arbeiten mit Partnern heftig dran", erklärte Hamann und kündigte an, "wir werden auf der CeBIT eine erste Applikation vorstellen".

Quelle : www.heise.de

[SiLæncer]

Mit der Ausgabe der neuen elektronischen Personalausweise (ePA) und ihrer eID-Funktion ist auch der Aufbau einer Infrastruktur verbunden. Damit die eID vom Bürger zur Authentisierung in E-Commerce- und E-Government-Anwendungen genutzt werden kann, benötigt der User ausser dem ePA einen Kartenleser und eine spezielle Software, den sogenannten Bürgerclient. Im Hintergund müssen zudem ein oder mehrere eID-Server die sichere Abwicklung der Authentisierungsvorgänge zwischen dem Kunden und Dienstanbieter übernehmen. Zur Infrastruktur gehört auch ein Portal, von dem der Client heruntergeladen werden kann und das Unterstützungsleistungen sowie FAQs anbietet.

Diese Komponenten werden unter der Projektleitung von Siemens IT Solutions and Services in einem Konsortium mit den Partner OpenLimit (Bürgerclient) und der Bundesdruckerei (eID-Service) entwickelt. Wie Hubert Geml von Siemens jetzt auf der Omnicard in Berlin erläuterte, setzt der Bürgerclient als Middleware das 'eCard API Framework' (BSI TR-03112) um und "ermöglicht auch die Online-Authentisierung mit anderen eCards", also beispielsweise der elektronischen Gesundheitskarte, Signaturkarten, ELSTER oder ELENA – so sie denn in der geplanten Form kommen. Die Ver- und Entschlüsselung von E-Mails sowie als Option die qualifizierte elektronische Signatur (QES) "sind weitere Funktionalitäten, die der Bürgerclient anbietet".

Die Software wird diverse Betriebssysteme unterstützen. Mit Microsoft XP und Vista ist das bereits im Anwendungstest der Fall; noch in diesem Monat werden laut Geml Mac OS X und Ubuntu hinzukommen, weitere sollen folgen. Die Nutzung des Client ist derzeit mit den Browsern Explorer, Firefox und Safari möglich. Der eID-Service wiederum, der sich bei jeder Online-Datenabfrage aus dem neuen Ausweis durch einen dazu berechtigten Webshop einschaltet, entspreche der Richtlinie TR-03130 des BSI, werde in einem hochsicheren Trust Center betrieben und setze in der realisierten Architektur auf "eine saubere Trennung zwischen der eID-Kernfunktionalität, den eID-Cryptodiensten, und Hintergrundsystemen wie der Berechtigungs-PKI und dem Sperrdienst".

Die mit dem Bürgerclient einsetzbaren Kartenleser müssen der BSI-Richtlinie TR-03119 entsprechen. Die lässt drei Kategorien von Lesegeräten für die eID-Anwendungen zu, den Basisleser (Cat B), den Standardleser (Cat S) und den Komfortleser (Cat K). Gemeinsam ist allen die kontaktlose Schnittstelle nach ISO 14443 zur Karte sowie die eCard-API zum Host PC. Gegenüber der Basisversion werden Cat-S-Geräte die Möglichkeit zu sicheren Firmwareupdates bieten und über ein eigenes PIN-Pad zur sicheren Eingabe der sechsstelligen Geheimzahl verfügen. Beim Komfortleser kommen darüber hinaus ein zweizeiliges Display, ein kontaktbehaftetes Interface nach ISO 7816 sowie die Zertifizierung nach den Common Criteria hinzu. Mit den Cat-K-Geräten lassen sich dann auch, sofern der Inhaber diese Option des neuen Ausweises nutzt, qualifizierte elektronische Signaturen erstellen, vor allem aber kann man mit ihnen dank der zusätzlichen Schnittstelle auch die kontaktbehafteten HBCI-Karten zum Online-Banking oder die GeldKarte weiter nutzen.

"Wir haben relativ schnell die Technische Richtlinie des BSI umsetzen können", erklärte Dietmar Wendling von der SCM Microsystems GmbH auf der Kongressmesse in Berlin. Sein Unternehmen bietet Produkte in allen drei Kategorien mit den Treibern für die Betriebssysteme MS Windows 2000, XP, Vista, Mac OS X und Linux an. Der für das Geschäftsfeld EGovernment bei SCM zuständige Manager glaubt, dass die eID-Funktion zu einer "Killer-Applikation" wird. "Die kritische Masse von Bürgern mit positiven Erfahrungen", ist Wendling überzeugt, "erzeugt den 'me too'-Effekt".

Bereits seit Oktober läuft ein zentral koordinierter Anwendungstest mit 30 Dienstanbietern, in dem Mitarbeiter der beteiligten Firmen die eID- und QES-Funktionen des Ausweises im Zusammenspiel mit den entwickelten Anwendungen und dem eID-Service erproben. Anfang Januar hat jetzt die zweite Phase mit einem offenen Feldtest begonnen, an dem jedes interessierte Unternehmen teilnehmen kann. Zur Zeit haben sich mehr als 80 Firmen gemeldet, weitere sind aber willkommen. "Das ist kein closed shop", betonte der Bundes-CIO und Staatssekretär im Bundesinnenministerium, Hans Bernhard Beus auf der Omnicard. "Wir sind glücklich und zufrieden über jeden, der sich dafür interessiert, um auf die Weise die Zahl der Anwendungen zu erhöhen".

Bislang liege man im Zeitplan, erklärte Siemens-Manager Geml. Im Februar wird mit der Verabschiedung der Personalausweis-Verordnung durch den Bundesrat gerechnet. Vom 1. Mai an sollen die Diensteanbieter ihre Anträge für die Berechtigungszertifikate zum Wirkbetrieb bei der Vergabestelle (VfB) im Bundesverwaltungsamt einreichen können. Parallel dazu, ab Ende März, sollen der Bürgerclient und der eID-Server in der Version 2 in die Zertifizierung nach Common Criteria EAL3+ gehen. Die Abnahme durch den Auftraggeber, das Bundesinnenministerium, ist im Zeitraum von Juli bis Mitte September vorgesehen. Beobachter indes halten den Zeitplan für ein Entwicklungsprojekt in dieser Größenordnung angesichts noch vieler offener Fragen für "gewagt". So sei bisher noch nicht einmal bekannt, wie die Berechtigungszertifikate aussehen, warf Torsten Wunderlich von der Datev in die Diskussion ein. Doch Geml blieb optimistisch. "Wir sehen derzeit keine Hindernisse größerer Natur, die den Zeitplan in irgendeiner Weise in Frage stellen würden".

Quelle : www.heise.de

[SiLæncer]

Der eID-Funktion  des neuen Personalausweises  liege "ein intelligentes und datenschutzfreundliches Konzept" zugrunde, lobte der Bundesdatenschutzbeauftragte Peter Schaar in einer Podiumsdiskussion auf dem Chipkarten-Kongress Omnicard. Es erlaube den Bürgern im elektronischen Geschäftsverkehr über das Internet die klare Unterscheidung "zwischen Identifizierung, Authentisierung und Autorisierung". Bei jeder Transaktion könnten sie entscheiden, in welchem Umfang sie personenbezogene Daten über sich preisgeben. Gleichwohl sparte Schaar nicht mit Kritik an dem Projekt, bei dem das Roll-out der Ausweise im Scheckkartenformat vom 1. November an bevorsteht.

Zum einen sieht er die Gefahr, dass diese Differenzierung von den Webshop-Betreibern unterlaufen wird und in der Praxis quasi automatisch "jedesmal, wenn der elektronische Personalausweis eingesetzt werden kann, tatsächlich die Identifizierung abverlangt wird". Zum anderen wies er darauf hin, dass der Staat mit der eID "eine neue Schlüsselfunktion" zwischen Konsumenten und Diensteanbietern einnimmt und durch die Zertifikatausteilung und -entziehung "eine enorme Macht ausübt", ohne dass geklärt wurde, an welche Voraussetzungen dies geknüpft ist und welche Vorstellung von Zuverlässigkeit des Diensteanbieters dem zugrunde liegt. "Das sind Fragestellungen, die noch nicht wirklich zu Ende gedacht worden sind", bedauerte der Bundesdatenschutzbeauftragte. Die Zuverlässigkeit sei im Gesetzgebungsverfahren durch eine dahingehende bloße Vermutung ersetzt worden; sie an ein Datenschutzaudit zu knüpfen, "war offenbar nicht durchsetzbar". Der Zugriff auf Identitätsdaten sollte jedoch "nur solchen privaten Stellen gewährt werden, die sich einem Datenschutzaudit unterwerfen", bekräftigte er seine Position und forderte, dies zu gegebener Zeit im Rahmen einer "ergebnisoffenen und objektiven Evaluation" des elektronischen Personalausweises wieder auf die Tagesordnung zu setzen.

Die Forderung der Kopplung sei im parlamentarischen Verfahren zum Personalausweisgesetz diskutiert worden, entgegnete der IT-Direktor im Bundesinnenministerium, Martin Schallbruch; aber es gebe noch kein Datenschutzauditgesetz. Grundsätzlich bestünde aber die Möglichkeit, dass die Vergabestelle für Berechtigungszertifikate (VfB) beim Bundesverwaltungsamt eine erteilte Berechtigung im Missbrauchsfall wieder entzieht. Natürlich hätte man sich die Voraussetzungen solcher Eingriffe juristisch noch "sehr viel schärfer" formuliert vorstellen können, diese unterlägen jedoch "allen möglichen Rechtsgebieten". Voraussetzung eines Entzugs sei jedenfalls nicht nur ein eklatanter Datenmissbrauch, "die Gesetzesformulierung ist durchaus etwas weiter gefasst", und ob sie auch die von Verbraucherschützern immer wieder beklagten Abo-Fallen und Koppelgeschäfte im Internet umfasse, müsse man sehen. "Da werden wir Erfahrungen sammeln müssen". Im Vergleich zum privatwirtschaftlichen Gebrauch des Personalausweises in Offline-Geschäften, wo kein Kunde kontrollieren könne, was mit den Daten geschieht, wenn sich der Vertragspartner eine Kopie zieht, sei die eID im E-Commerce aber "ein Riesenfortschritt".

Die Vertreterin der Verbraucherzentrale Bundesverband, Cornelia Tausch, bemängelte die Diskrepanz zwischen den bislang unzureichenden Informationen und der Art, wie die eID "im Augenblick als Heilmittel transportiert" werde. "Die meisten Verbraucher sind noch gar nicht informiert", klagte sie, "weder über die Vorteile noch gegebenenfalls die Risiken". Sie empfahl, nicht nur die Systeme und Software, sondern auch die offiziellen Verlautbarungen und Publikationen vorab darauf hin zu prüfen, ob sie von weniger technikaffinen Verbrauchern richtig verstanden werden. Denn gegen viele Missbrauchsarten wie Abo-Fallen, Koppelgeschäfte in Gestalt einer über den eigentlichen Vertragszweck hinausgehenden Erhebung von Daten und beim Bezahlen im Internet "in hohem Umfang" festzustellenden Missbrauch mit Kontodaten werde die eID nicht schützen, deshalb sollte man auch "keine Versprechungen machen, die der elektronische Personalausweis nicht erfüllen kann".

Amtliche Ampeln und Verkehrszeichen würden auch nicht jeden Verstoß gegen die Straßenverkehrsordnung ausschalten, konterte Schallbruch. Missbrauch gibt es auch mit dem alten Personalausweis; die eID bringe zusätzliche Sicherheitsfeatures, "aber man wird nicht alles damit ausschließen können". Er gestand aber ein, "das müssen wir kommunizieren". Im Sommer werde dazu eine allgemeine Öffentlichkeitskampagne gestartet. Schallbruch verteidigte auch die als Neusprech kritisierte Umbenennung des ePA in nPA, den 'neuen Personalausweis'. "Wir haben festgestellt, dass andere Funktionen, wie zum Beispiel das kleinere Format der Karte, Teile einer großen Veränderung sind, deshalb erschien es uns besser, das alles kommunikativ zusammenzufassen", erläuterte er.

"Wir können mit dem elektronischen Personalausweis nicht alle Probleme lösen, die wir haben", schloss sich Datev-Chef Dieter Kempf als Vertreter des Bitkom-Präsidiums der Argumentation Schallbruchs an. Der Industrie sei wichtig, "möglichst schnell eine relevante Flächendeckung" zu erreichen. Das Augenmerk richte der Bitkom auf die Altersgruppe der 16-Jährigen, die erstmals das amtliche Ausweisdokument erhalten werden. Für sie wünscht sich der Verband zielgruppengerechte Anwendungen der eID und plant, gemeinsam mit Deutschland sicher im Netz (DSiN) demnächst einen entsprechenden Wettbewerb auszuschreiben. Diese Jugendlichen sollten die Lesegeräte kostenlos erhalten, forderte er und empfahl, sich "erst einmal mit den Chancen zu beschäftigen, als mit den Problemen".

Quelle : www.heise.de

[SiLæncer]

Selbst ist der Bürger, wird es künftig immer öfter heißen, wenn ab dem 1. November die neuen Personalausweise ausgegeben werden. Deren eID-Funktion wird nicht nur mehr Sicherheit im E-Commerce bringen; Verwaltungsfachleute erwarten von der Möglichkeit zur elektronischen Authentisierung auch die Erschließung von Rationalisierungspotentialen durch Selbstbedienung (SB) im kommunalen E-Government. "Warum versuchen wir nicht dasselbe, wie die Banken es gemacht haben?" fragte der Diplom-Verwaltungswirt Peter Klinger auf der Abschlussveranstaltung des Chipkarten-Kongresses Omnicard.

Der frühere Leiter des Hagener Betriebes für Informationstechnik (HABIT), der nach seinem Ausscheiden aus dem aktiven Dienst Lehrbeauftragter an der Fernuniversität Hagen ist, plädiert für die Modellierung von Selbstbedienungsprozessen in den Bürgerämtern. "Wir haben doch das gleiche Equipment", erklärte er; "die Infrastruktur aus elektronischem Personalausweis, eID, und PIN für die Freischaltung der eID entspricht der seit Jahren bei vielen Nutzern vorhandenen Ausstattung zur Selbstbedienungsabwicklung von Geldgeschäften bei Banken und Sparkassen." Damit eröffne sich die Möglichkeit, Bürgern auch unabhängig von einem eigenen Internetzugang die Dienstleistungen der Verwaltung an SB-Terminals in öffentlichen Gebäuden oder in den Geldinstituten anzubieten. "Das Problem wird sicherlich sein, wie wir die Sicherheitsinfrastruktur, die beim Sachbearbeiter angesiedelt ist, zehn Meter weiter an ein SB-Terminal bringen."

Die Stadt Hagen gehörte bereits zu den 30 Teilnehmern an den Pilotversuchen zum elektronischen Personalausweis; das Hagener E-Government-Konsortium, an dem sich die Stadtverwaltung, HABIT, die Fernuniversität, SAP und zwei kleinere Unternehmen beteiligen, ist auch in dem jetzt begonnenen offenen Feldtest der eID aktiv. Zu den Dienstleistungen, die dort im Rahmen von SB-Prozessen geprüft werden, gehört zunächst einmal das Management der eID-Funktion selbst – wie beispielsweise das Aktivieren oder Deaktivieren dieses optionalen Features auf dem neuen Ausweis – darüber hinaus aber auch Vorgänge aus dem 'Massengeschäft' der Kommunalverwaltung: An- oder Ummeldung des Wohnsitzes, die Erteilung von Melde- und Aufenthaltsbescheinigungen, die Beantragung eines Anwohnerparkausweises und dergleichen mehr.

Klinger hält diese Entwicklung aus der Sicht der Kommunen für unabdingbar, auf die gerade durch den elektronischen Personalausweis zusätzliche Belastungen zukommen. "Da sind Entlastungen bei den bestehenden Aufgaben notwendig." Außerdem seien 30 Prozent der Beschäftigten in der öffentlichen Verwaltung über 50 Jahre, und es sei nicht anzunehmen, dass die ausscheidenden Mitarbeiter in vollem Umfang durch Neueinstellungen ersetzt werden. Auch dies mache weitere Rationalisierungen erforderlich.

Eine Hürde ließe sich dadurch aus dem Weg räumen, indem der Gesetzgeber die in einfachen kommunalen Massenverfahren vielfach noch geltende Anforderung der Schriftform neu definiere; dann würde es möglich, die bei der Transformation auf den elektronischen Rechts- und Geschäftsverkehr nötige, bei den Bürgern bislang jedoch kaum verbreitete qualifizierte elektronische Signatur durch die Identifizierung per eID und PIN zu ersetzen. "Wir hoffen, dass sich das im weiteren Gesetzgebungsverfahren ein bisschen lockert", erklärte Klinger. "Dann hätten wir es noch einfacher, kommunale Verwaltungsverfahren zu digitalisieren". Bei den Massendienstleistungen der Banken und Sparkassen legten die Bürger "seit Jahrzehnten in Milliarden von Fällen" doch auch andere Kriterien an: "Nach sicherer Identifikation durch die Geldkarte und die PIN bekommen wir Geld, überweisen wir Geld und drucken unsere Kontoauszüge aus, ohne dafür jedesmal irgendetwas unterschrieben zu haben".

Quelle : www.heise.de

[SiLæncer]

Kritiker haben schon seit Längerem immer wieder vor Sicherheitsrisiken bei elektronischen Ausweisdokumenten gewarnt. Britische Hacker bestätigten dies nun: sie deckten ernsthafte Schwächen beim aktuellen ePass auf, die Bewegungsprofile der Inhaber ermöglichen.

Die betreffenden Ausweisdokumente werden in den USA, Großbritannien und rund 50 anderen Ländern verwendet. Der Angriff ermöglicht es, ein Ausweisdokument in Echtzeit zu verfolgen, ohne zuvor den kryptographischen Schlüssel des Dokuments zu kennen. Zu diesem Schluss kamen Forscher University of Birmingham. Dies sei permanent möglich, da der RFID-Chip im Ausweis nicht abgeschaltet werden könne. Einzige Abhilfe bietet die Abschirmung des Dokuments, beispielsweise mit Hilfe eines speziellen, mit Metallgewebe gefütterten Portemonnaies.

Die Forscher, Tom Chothia and Vitaliy Smirnov, erklären, dass durch den vorgestellten Angriff die Daten auf dem Chip nicht kompromittiert würden. Für die Privatsphäre der Ausweisinhaber allerdings, so die beiden, könnte das Angriffsszenario (die sogenannte "traceability attack") durchaus ernsthafte Konsequenzen haben. "Angenommen, die Zielperson hätte ihren Ausweis bei sich, dann könnte ein Angreifer ein Gerät in einem Eingang platzieren, das feststellt, wann die Zielperson das Gebäude betreten oder verlassen hat," beschreiben die Forscher eine beispielhafte Anwendung ihrer Erkenntnisse.

Für einen erfolgreichen Angriff müssten die Interessenten den Datenaustausch des Ausweises der Zielperson mit einem "autorisierten" Lesegerät beobachten. Anhand dieser Daten könnten sie dann ein Gerät bauen, das registriert, wenn der Ausweis sich dem Gerät auf eine bestimmte Entfernung annähert. Die Wissenschaftler schätzen, dass das Gerät bis zu einer Entfernung von 20 inches, also rund einem halben Meter, funktionieren würde.

Diese Erkenntnisse sind lediglich ein weiterer Beleg dafür, dass elektronische Ausweisdokumente durchaus nicht frei von Risiken für die Benutzer sind. Ähnliche Forschungsprojekte gab es bereits seit Jahren - und auch sie kamen größtenteils zu dem Ergebnis, dass bei den ePässen besorgniserregende Lücken bestehen. Dennoch sind diese Dokumente auf dem Vormarsch. Auch Deutschland will ab Ende des Jahres Personalausweise mit RFID-Chips ausgeben.

Quelle : www.gulli.com

[SiLæncer]

Wegen der zu erwartenden Kostenentwicklung sprachen sich verschiedene Politiker der FDP dafür aus, die Einführung des elektronischen Personalausweises aufzuschieben. Eigentlich sollte dieser allen Bundesbürgern ab November 2010 obligatorisch ausgestellt werden.

Die FPD-Politiker Gisela Piltz und Christian Ahrend plädieren dafür, den Start des ePersos um zehn Jahre zu verlegen. Obwohl dieser immer teurer zu werden droht, wurde in der Vergangenheit häufiger der Sinn von Experten angezweifelt. Man kritisiert dabei die geplanten sieben Millionen Euro, die für die Werbung des geplanten ePerso ausgegeben werden sollten. Im Anbetracht der angespannten Haushaltslage sei eine solche Ausgabe zweifelhaft. Auf dem Chip des elektronischen Personalausweises sollen bekanntlich persönliche Daten und ein digitales Foto des Inhabers gespeichert werden. Damit soll bei Behördengängen, Überweisungen und Geschäften im Internet die Identität des ePerso-Inhabers sichergestellt werden.

Jan Korte von der Linkspartei findet, die sieben Millionen Euro sollten lieber dem Bundesbeauftragten für den Datenschutz zur Verfügung gestellt werden. Grünen-Politiker Malte Spitz sagte taz.de, der ePerso gehöre schnell eingestampft. Er brächte nicht mehr Sicherheit, "sondern mehr Datenunsicherheit".

Der ehemalige Polizist Thomas Wüppesahl hatte letzte Woche im Rahmen unseres Interviews eine bessere Ausstattung des Datenschutzbeauftragen gefordert: "Was sehr erfreulich ist und was ich schon vor 20 Jahren im Bundestag Jahr für Jahr vergeblich forderte: Der Bundesdatenschutzbeauftragte für den Datenschutz (BfD) soll eine verbesserte Ausstattung in personeller wie sächlicher Hinsicht erhalten. Hoffentlich erhält er sie auch. Wenn man sich bloß ansieht, wie viel Hunderte (!) mehr Personalstellen dem Bundeskriminalamt (BKA) in den letzten 25 Jahren bewilligt wurden und wie schwach der BfD gehalten wird, dann muss schon naiv sein, wer an Zufall glaubt." Thomas Wüppesahl wies auch darauf hin, dass man die Rechtskontrolle ausschalten oder zumindestens erheblich schwächen kann, indem man die Kontrollinstanzen mit zu geringen Ressourcen ausstattet, "um sich dann ganz doll und plötzlich zu wundern, wenn ein Datenskandal nach dem anderen bekannt wird."

In diesem Zusammenhang dürften zahlreiche Bürgerinnen und Bürger die Idee von Jan Korte wohlwollend beurteilen. Ob man aber in Berlin diese Ansicht teilen wird?

Quelle : www.gulli.com

[SiLæncer]

Mit neuem Logo, das eID-Anbieter künftig auf ihren Webseiten nutzen sollen, präsentiert sich der elektronische Personalausweis auf der CeBIT in Halle 9 mit einem ganzen Bündel von Anwendungen. "Meine wichtigste Karte", so der neue Werbeslogan für den Ausweis, soll so überzeugend sein, dass ab dem 1. November ein regelrechter Run auf die Karten einsetzen kann. Über 30 Industriepartner aus dem Feldtest präsentieren Lösungen für den Ausweis, täglich gibt es mehrere Vorträge über seine Fähigkeiten.

In seinem Referat stellte Frank-Rüdiger Srocke vom Bundesinnenministerium (BMI) klar, dass der neue Ausweis im Zeitplan liege. Zum Januar haben die Anwender- und Feldtests begonnen, ab 1. Mai startet das Bundesverwaltungsamt mit der Ausgabe von Berechtigungszertifikaten. Diese Zertifikate werden von Dienstleistern benötigt, um auf Datenfelder im nicht-hoheitlichen Teil des Ausweises zugreifen zu können. Im August soll in einem Feldtest mit 28 Ausweisbehörden und den unterschiedlichsten Verwaltungssystemen das Ausstellen echter Ausweise geprobt werden, anschließend startet ein Systemtest.

Mit dem Stichtag 1. November gibt es nur noch die neuen Ausweise, die von etwa 5300 Stellen ausgegeben werden. Diese erhalten nicht nur neue Software mit einem neuen XhD-Datenaustauschformat, sondern auch neue Lesegeräte, da der elektronische Personalausweis nicht von den bisher genutzten Lesegeräten verarbeitet werden kann. Das ist aber nötig, weil jeder Bürger am Arbeitsplatz der Meldebehörde seine kompletten Daten einsehen können soll. Was er mit den Daten machen kann, darüber soll eine bundesweite Hotline (0180/1333333) rund um die Uhr aufklären. Sie soll vom Kompetenzzentrum neuer Personalausweis betrieben werden.

Wer die elektronischen Funktionen nicht aktivieren will, wird dies schriftlich bei der Meldebehörde beantragen müssen – ebenso wie der Verzicht auf Fingerabdrücke im hoheitlichen Teil schriftlich dokumentiert werden muss. Keine Angaben machte Srocke darüber, was der neue Ausweis kosten soll. Ihm zufolge verhandelt das BMI derzeit mit den kommunalen Spitzenverbänden und der Bundesdruckerei. Die in den Medien kolportierte Summe von 16 Euro sei "aus der Luft gegriffen".

Eine ganze Reihe von auf der CeBIT gezeigten Anwendungen nutzt die digitale Altersangabe des Ausweises, etwa beim Lotto-Portal von Lotto Hessen oder bei den neuen Zigarettenautomaten der Firma Willi Weber. Dann sind eine Reihe von Versicherungen und Banken wie Gothaer, HUK24, LVM die Sparkassen und die DKB auf der Messe vertreten, die beim Banking oder der Eingabe von Schadensmeldungen die elektronische ID-Prüfung nutzen. Großen Zuspruch erhoffen sich die Ausweisplaner von einer Anwendung, die die Arbeitsgemeinschaft eKFZ und das Fraunhofer Fokus-Institut entwickelt: die elektronische An- und Abmeldung des Autos.

Auch der elektronische Lohnzettel, den die große Steuerberater-Genossenschaft Datev im Jahre 2011 starten will, setzt den elektronischen Personalausweis bei der Identifizierung des Anwenders voraus. Die Bundesdruckerei zeigt gemeinsam mit der deutschen Bahn eine Lösung, die das bisherige Verfahren "Call A Bike" ersetzen soll: Anwender, die ein Handy mit NFC-Funktionalität haben, sollen die Mieträder in Zukunft an NFC-Terminals ausleihen, in die der Ausweis gesteckt werden muss.

Bei aller Euphorie über den digitalen Schwung, den der neue Ausweis bringen soll, war es am Bundesamt für Sicherheit in der Informationstechnik (BSI) als technische Aufsichtsbehörde, das positive Bild etwas zu dämpfen. Jens Bender stellte nüchtern fest: "Die elektronische ID des Ausweises als Infrastrukturmaßnahme kann nicht alle Probleme des Netzes lösen." Insofern sei es unredlich, bestimmte Dinge mit dem Ausweis zu verknüpfen, der primär der sicheren Authentfizierung diene. "Der Einsatz des Ausweises ist kein Schutz vor Malware. Er ist auch kein absoluter Schutz gegen das Social Engineering, aber er macht das Phishing schwerer."

Quelle : www.heise.de

[SiLæncer]

Am gestrigen Dienstag hat die Vergabestelle für Berechtigungszertifikate beim Bundesverwaltungsamt ihren Betrieb aufgenommen. Ab sofort können Firmen Zertifikate für den Zugriff auf die nicht-hoheitlichen Datenfelder des elektronischen Personalausweises beantragen. Für interessierte Bürger wurde außerdem im Rahmen der Ausweiswerbung für "Meine wichtigste Karte" das Personalausweisportal gestartet. Dort sind Demonstrationsvideos zum neuen Personalausweis, eine Sammlung von erklärenden PDF-Dateien und Formulare, mit denen der Bürger Widerspruch einlegen kann, wenn seine frei gegebenen Daten nicht mehr von einem Dienstleister verwendet werden sollen, abrufbar.

Zum Start des elektronischen Personalausweis am 1. November sollen nach dem Willen der Bundesregierung einige attraktive Angebote das neue Identitätssicherungssystem im Internet begleiten, das mit dem Ausweis möglich wird. Zur automatischen Abfrage der Datenfelder des Ausweises, die mit einem kontaktlosen Lesegerät, einem Bürgerclient und einer PIN-Eingabe möglich sein sollen, brauchen Firmen Berechtigungszertifikate. Alle Anbieter, die den elektronischen ID-Dienst (eID) nutzen wollen, weisen sich mit so einem Berechtigungszertifikat vor dem Bürger aus. Neben der Verifikation setzt das Zertifikat fest, welche Felder der eID ausgelesen werden dürfen, etwa Titel, Name, Vorname und Anschrift bei einem Versender oder die Angabe, ob bei einem Anbieter erotischer Inhalte ein bestimmtes Alter über- oder unterschritten wird.

Die Prüfung der Anbieter und die darauffolgende Ausgabe von Zertifikaten durch das Bundesverwaltungsamt ist seit gestern aktiv. Vor allem Automatenhersteller, Versicherungen und Banken sowie kommunale Datenverarbeiter sollen zu den Antragsstellern der ersten Stunde gehören. Bereits 170 Firmen haben zu den Anwendungstests bereits Zertifikate erhalten; insgesamt hofft man, dass 1000 bis 1500 Dienstleister beim Start des Personalausweises dabei

Fragt eine Firma als Dienstanbieter Daten aus dem elektronischen Personalausweis ab, so präsentiert sie dem Bürger mit dem Berechtigungszertifikat ihren Namen, die Anschrift und die E-Mail-Adresse, einen Hinweis auf den zuständigen Datenschutzbeauftragten, einen Kurztext über den Zweck der Datenabfrage sowie den letzten Tag der Gültigkeitsdauer des Zertifikats. Außerdem nennt sie die Nummern der 12 Kategorien, die im Personalausweis gespeichert sind. Mit diesen Informationen kann der Bürger entscheiden, ob er seine Daten dem Dienstleister zukommen lassen will und dokumentiert sein Einverständnis durch die Eingabe einer sechsstelligen PIN. Der Dienstleister bezieht dann die Daten und kann sie für eigene Zwecke speichern und weiterverarbeiten. Die Daten sind dabei nicht signiert und können daher nicht missbräuchlich weiterverkauft werden. Hegt der Bürger einen Verdacht auf Datenmissbrauch, so kann er sich an den im Zertifikat genannten Datenschutzbeauftragten wenden, der für die Sperrung von Zertifikaten zuständig ist.

Quelle : www.heise.de

[SiLæncer]

Der neue Personalausweis im Scheckkartenformat wird 28,80 Euro kosten – mehr als dreimal so viel wie bisher. Wer unter 24 Jahre alt ist, erhält das Dokument mit einem Chip zur elektronischen Identifizierung vom 1. November an zum ermäßigten Preis von 19,80 Euro. Der erste Personalausweis für Jugendliche zwischen 16 und 18 Jahren wird kostenfrei sein. Den Entwurf für die Gebührenordnung legte das Bundesinnenministerium am Donnerstag vor. Derzeit kostet ein Personalausweis 8,00 Euro.

Im Ausweis ist ein Chip integriert, auf dem die persönlichen Daten digital gespeichert werden. Damit soll auch eine Identifizierung im Internet etwa beim Online-Shopping oder Online-Banking ermöglicht werden.

Die Gebühr für den Ausweis mit elektronischer Identitätsfunktion liege im europäischen Vergleich im Mittelfeld, sagte Innenminister Thomas de Maizière (CDU). Zu einem Fünftel werden die Einnahmen für den Verwaltungsaufwand der Kommunen verwendet, mit dem Rest sollen die Herstellungskosten der Bundesdruckerei gedeckt werden.

Quelle : www.heise.de

[SiLæncer]

Bundesinnenminister Thomas de Maizière und der Verein "Deutschland sicher im Netz" (DsiN) haben am heutigen Donnerstag bei der Bundesdruckerei in Berlin den elektronischen "neuen" Personalausweis vorgestellt. Mit dem vom 1. November an verfügbaren Dokument hätten Staat und Wirtschaft einen "Standard-Identitätsnachweis fürs Internet geschaffen", erklärte der CDU-Politiker die wichtigste Weiterentwicklung des im Scheckkartenformat gehaltenen "kleinen neuen Schätzchens". Das lästige Merken oder versteckte Notieren vieler Passwörter für Online-Dienste werde damit überflüssig. Die Ausweisfunktion fürs Netz brauche aber keiner nutzen, so dass auch "niemand Angst vor Missbrauch" haben müsse.

Die Neuentwicklung werde "mit allen üblichen IT-Systemen auf Nutzer- und Anbieterseite zusammenarbeiten" können, versicherte der Minister weiter. "Wir mussten eine Art kleinen Computer entwickeln und eine Infrastruktur dafür aufbauen." Der Staat wirke dabei als "hoheitlicher Vertrauensstifter", ohne sich jedoch selbst in die Kommunikation einzumischen. Dafür sei unter Berücksichtigung von Datenschutzaspekten ein "wechselseitiger Identifikationsprozess" über ein Berechtigungszertifikat geschaffen worden. Anders als bei eID-Funktionen in Estland oder Italien müsse auch die abfragende Stelle erst sagen, wer sie sei.

Ausgelesen werden könnten nur die personenbezogenen Informationen, die in der jeweiligen Situation von Unternehmen oder Institutionen tatsächlich benötigt würden, betonte de Maizière weiter. Ein Online-Shop etwa brauche zwar die Adresse des Einkäufers, aber nicht immer dessen Alter. Der Nutzer sei so imstande, mit seinen Daten "souverän und sparsam umzugehen". Diese könne auch keiner "mitlesen, verändern oder kopieren", wenn er keine ausdrückliche Genehmigung dafür habe.

Auf die umstrittene Möglichkeit, auch freiwillig Fingerabdrücke auf dem kontaktlos auslesbaren Chip speichern zu lassen, ging der Innenminister nur kurz ein. Die entsprechenden Daten "werden auf keinen Fall für private Anbieter zur Verfügung gestellt", führte er aus. Sie blieben "hoheitlichen Befugnissen" vorbehalten, was auch für "biometrische Daten anderer Art" wie die digitalen Fotos der Ausweisinhaber gelte. De Maizière selbst will sein neues Dokument "am liebsten gleich am 1. November" beantragen. Zugleich verteidigte er das gesetzlich festgeschriebene Verfahren, dass der Ausweis weiterhin persönlich abgeholt werden muss. Dies sei zumindest in der ersten Phase wichtig, um die künftigen Inhaber noch einmal speziell über die Nutzung aufzuklären. Später sei eventuell auch ein Ansatz wie bei Bankkarten vorstellbar, bei dem die PIN separat verschickt wird.

Ralph Haupter, Chef von Microsoft Deutschland, geht davon aus, dass bis 2012 ein Drittel der Bürger den E-Perso in der Tasche haben dürften. Um für Akzeptanz zu sorgen und den "Mehrwert" des Systems zu demonstrieren, hätten in einem ersten Test 30 Firmen und andere Einrichtungen seit Oktober 2009 praktische Anwendungen entwickelt. So habe das Fraunhofer-Institut Fokus etwa ein Verfahren gefunden, "wie man sich ohne persönliches Erscheinen online immatrikulieren kann". Die bereits vorbereiteten Verfahren würden für den Start im November "aktuell optimiert", weitere 160 Bewerber stünden für eine weitere Stufe Schlange.

"Wir stehen an der Geburt eines neuen Mediums", begeisterte sich Thomas Walloschke von Fujitsu als einer der Testentwickler für die kommenden Möglichkeiten. Die eigentliche Revolution sei es, dass der elektronische Identitätsnachweis das Ausfüllen "langweiliger Registrierungsformulare" erübrige. Dieses sei künftig mit dem "Bürger-Client" per Knopfdruck zu erledigen. Dabei habe der Nutzer die Möglichkeit, den übertragenen Datensatz zu beschränken. Bei einer erneuten Anmeldung über den gleichen Dienst sei bei speziellen Anwendungen dann ein erneutes Auslesen der freigegebenen Informationen nicht mehr nötig. Die zugleich benötigte sechsstellige PIN legte der Industrievertreter den Zuhörern als "weiteren Teil ihres Lebens" ans Herz. Nötig sei nun noch die Verbreitung der Lesegeräte, die vom Staat in einer Basisversion für rund 35 Euro angeboten würden. Zudem erachtete Walloschke die "internationale Anerkennung" des Projekts im eID-Bereich für wichtig, wofür mit einer Zertifizierung auf Basis des EU-Projekts STORK bereits ein Schritt getan sei.

Ein Vertreter der Deutschen Kreditbank zeigte sich "sehr froh, wenn wir hier saubere, qualitativ hochwertige Daten bekommen". Diese seien auch nicht mehr veränderbar, wenn das Online-Formular ausgefüllt sei. Beim bisher eingesetzten Post-Ident-Verfahren habe man doch immer wieder mit Zahlendrehern bei den Postleitzahlen oder unterschiedlichen Schreibweisen von Namen zu kämpfen gehabt. Als Hürde für den Einsatz des Ausweises beim Online-Banking bezeichnete es der Branchenvertreter, dass für den Erhalt eines neuen Kontos zunächst eine zusätzliche Legitimation durch eine "Initialüberweisung von einem bestehenden Konto" erfolgen müsse. Jugendliche, die noch kein eigenes Konto haben, könnten daher übers Netz auch kein weiteres eröffnen.

Die näher kommende Einführung der 28,80 Euro kostenden ID-Karte ruft aber auch nach wie vor Kritiker auf den Plan. Cornelia Tausch vom Bundesverband der Verbraucherzentralen (vzbv) wies darauf hin, dass das Zertifikat zur prinzipiellen Ausleseberechtigung nicht mit einem "Gütesiegel" verwechselt werden dürfe. Es finde "keine Seriösitätsprüfung" statt. Sie fürchtete zudem, dass viele Computernutzer derzeit nicht das "entsprechende Know-how" hätten, den Pass fürs Netz wirklich sicher anzuwenden. Dafür müsse schließlich vorausgesetzt werden, dass Systeme mit aktuellen Firewalls und Virenschutz ausgerüstet seien. Ferner wollten sich Bürger "nicht an jeder Stelle" im Internet ausweisen, sondern oft anonym im Netz unterwegs sein.

Auch der Bremer Informatikprofessor Herbert Kubicek goss Wasser in den Wein der Karten-Euphoriker mit der Ansage, dass die derzeitige PIN-TAN-Lösung für die meisten Nutzer komfortabel sei. In Finnland etwa hätten nach der Einführung eines ähnlichen Systems nur drei Prozent der Bürger freiwillig die eID-Funktion angenommen. Der Bundesdatenschutzbeauftragte Peter Schaar appellierte an alle Bürger, genau zu überlegen, ob sie ihre Fingerabdrücke abgeben wollten. Eine effektive Sicherung der gespeicherten biometrischen Daten sei "unverzichtbar".

Quelle : www.heise.de

[SiLæncer]

Die IT-Sicherheitsfirma media transfer AG nimmt erste Identitätsserver in Betrieb, mit welchen ab November 2010 die neuen elektronischen Personalausweise in Deutschland verwaltet werden sollen.

Ab November ist es soweit: Die alten Personalausweise werden von elektronischen, scheckkartengroßen Ausweisen abgelöst. Diese neue Generation von Dokumenten soll mit einer größeren Sicherheit sowie einem größerem Maß an Komfort einhergehen.

Auf dem Pass sind alle Informationen, die auf dem alten Ausweis schriftlich vermerkt waren, auf einem kleinen integrierten Chip gespeichert. Zudem wird auch ein Bild sowie biometrische Informationen des Besitzers in der Karte integriert sein. Freiwillige können überdies auch ihre Zeigefingerabdrücke im Personalausweis speichern lassen.

Durch diese Änderung werden Grenzkontrollen zukünftig schneller vonstattengehen können, da ein Computer automatisch das Bild auf dem Ausweis mit dem der betreffenden Person vergleicht. Des Weiteren soll auch das sogenannte E-Business auf diese Weise revolutioniert werden: Onlineeinkäufe, Altersüberprüfugen und so weiter sollen so laut Bund wirtschaftlicher und schneller abgehandelt werden. Hierfür benötigt der Bürger allerdings ein spezielles Kartenlesegerät, das Daten vom Ausweis ins Internet überträgt. Allerdings wird es nicht jeder Website erlaubt sein die Personalien eines Nutzers abzufragen. Hierfür wird ein Zertifikat, das vom Bund vergeben wird, benötigt. Um mehr Sicherheit zu gewährleisten, wird der Nutzer zur Eingabe einer sechstelligen PIN-Nummer aufgefordert, bevor die Daten übertragen werden.

Zum neuen Ausweis gibt es allerdings nicht nur positive Stimmen: Zwar gilt die Verschlüsselung der Daten auf dem Chip nach eigenen Angaben der Verantwortlichen als sehr sicher, allerdings wurde dies vom elektronischen Reisepass auch behauptet, dessen Schutz innerhalb kürzester Zeit geknackt war. Ist der Schutz erst einmal ausgehebelt, so könnte sich ein Verbrecher eine weitere Schwäche des Passes zunutze machen: Der zur Speicherung verwendete RFID-Chip ist nicht nur auf kurze Distanz lesbar, sondern die Daten wären auch auf eine Entfernung von etwa 2 Metern noch empfangbar. So würde es reichen, durch eine Menschenmenge zu laufen, um zahlreiche Datensätze zu stehlen. Diese könnten dann auf einen anderen Chip übertragen werden, sodass man eine gefälschte Identität erlangt.

Die media transfer AG geht davon aus, dass sie die fertigen Endgeräte bis Ende September 2010 liefen kann. Einige Prototypen sind bereits in Betrieb und werden in geschlossener Umgebung getestet.

Quelle : www.gulli.com

[SiLæncer]

Das Bundesinnenministerium hat nach der Konsultation des Bundesrates die Personalausweisgebührenverordnung beschlossen. Die Länderkammer hat vor allem die geplanten Ermäßigungen angesichts der Finanznot der Länder und Gemeinden abgelehnt. Während der kommende elektronische Personalausweis wie bereits gemeldet  im Normalfall für Bürger ab 24 Jahren 28,80 Euro kosten wird, wird der Ausweis für Bürger unter 24 Jahren auf 22,80 Euro ermäßigt. Usprünglich sollte die Ermäßigung 19,80 Euro für Bürger von 18 bis 24 Jahren betragen, für 16-18-Jährige sollte er sogar kostenfrei sein.

Die "Die Verordnung über Gebühren für Personalausweise und den elektronischen Identitätsnachweis" (Personalausweisgebührenverordnung) musste nach einer Sitzung der Länderkammer vom 9. Juli geändert werden, weil die Länder sich nicht in der Lage sahen, den Ausweis für junge Staatsbürger zu subventionieren. Unabhängig von den Altersgrenzen bleibt es den Gemeinden überlassen, ob Bedürftige eine Gebührenermäßigung bekommen oder den Ausweis kostenfrei erhalten.

Die nunmehr vom Innenministerium freigegebene Verordnung nennt erstmals auch die weiteren Gebühren. Danach ist das Aktivieren der Online-Funktion des Ausweises nur bei Ausweisausgabe gebührenfrei. Wird die Online-Funktion zu einem späteren Zeitpunkt im Amt aktiviert, kostet dies 6 Euro. Das Deaktivieren der Online-Funktion oder das Sperren dieser Funktion beim Ausweisverlust bleibt gebührenfrei, ein Entsperren (etwa bei einem wiedergefundenen Ausweis) kostet 6 Euro. Auch die im Online-Verkehr benötigte sechsstellige PIN-Nummer ist nur bei der Ausweisausgabe kostenlos. Wird die PIN vergessen oder besteht der Verdacht auf einen Missbrauch, so kostet die PIN-Änderung wiederum 6 Euro.

Die neue Gebührenverordnung legt keine Fixkosten für das Aufbringen einer qualifizierten elektronischen Signatur auf den Ausweis fest, wie sie etwa für den elektronischen Entgeltnachweis (ELENA) von Bürgern benötigt wird, die Arbeitslosengeld I oder Wohngeld beantragen wollen. Die Festlegung dieser Kosten bleiben den Signaturanbietern überlassen.

Unberührt von der Personalausweisgebührenverordnung ist auch die offene Zuwendungsmaßnahme IT-Sicherheitskit mit entsprechenden Ausweis-Lesegeräten, für die im Rahmen des Konjunkturpakets II 24 Millionen Euro ausgegeben werden. Für diese Summer sollen 1,5 Millionen Sicherheitskits vom November 2010 bis Dezember 2011 an Bundesbürger verschenkt werden, um die Akzeptanz des elektronischen Personalausweises zu fördern. Zehn Firmen wurden mit der Ausgabe dieser Kits beauftragt und entwickeln derzeit ihre Marketingstrategien.

Quelle : www.heise.de

[SiLæncer]

Der niederländische Halbleiterkonzern NXP hat am Donnerstag bekannt gegeben, dass das Unternehmen die Chips für den neuen elektronischen Personalausweis produziert, der ab 1. November in Deutschland ausgegeben werden soll. Hergestellt werden die sogenannten SmartMX-Chips, die sich per Near Field Communication (NFC) kontaktlos auslesen lassen, im Hamburger Werk von NXP, das im Jahr 2006 aus der ausgegliederten Halbleitersparte des Philips-Konzern hervorgegangen war.

Gespeichert werden auf dem Chip Passbild, Name, Vorname, Geburtsdatum, Nationalität, Geburtsort und Adresse. Auf freiwilliger Basis können zusätzlich Fingerabdrücke hinterlegt werden. Außerdem ermöglicht er die Übertragung von Daten bei Online-Geschäften, etwa für die sichere Identifizierung oder für einen Altersnachweis. Bei Bedarf kann auf dem Chip auch ein Schlüssel für die elektronische Signatur erstellt werden, also für eine rechtskräftige Unterschrift im Internet.

Die Ausweise selbst werden von der Bundesdruckerei in Berlin hergestellt. "Das ist das sicherste Dokument, das Sie auf dem Planeten finden können", versicherte der NXP-Geschäftsführer in Deutschland, Rüdiger Stroh. Die Chip-Lösung von NXP wird auch beim deutschen Reisepass eingesetzt. NXP hat nach eigenen Angaben bislang rund 500 Millionen SmartMX-Chips verkauft, davon 200 Millionen für E-Government-Anwendungen.

Quelle : www.heise.de

[SiLæncer]

Die Zusammenarbeit des Fernsehmagazins Plusminus und des Chaos Computer Clubs hat wieder einmal Früchte getragen: Nach der Demonstration, wie ein Fingerabdruck gefälscht  werden kann, soll in einer Sendung am heutigen Dienstagabend demonstriert werden, dass der elektronische Personalausweis unsicher ist. Diese Demonstration soll mit Basis-Lesegeräten erfolgen. Diese allerdings bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) selbst kritisch.

Wie es in der Vorabmeldung zur Fernsehsendung heißt, habe man Mängel festgestellt, die die Sicherheit des Ausweises untergraben. "In Zusammenarbeit mit dem Chaos Computerclub e.V. hat die Plusminus-Redaktion Testversionen der Basis-Lesegeräte geprüft. Für Betrüger ist es demnach problemlos möglich, sensible Daten abzufangen – inklusive der geheimen PIN-Nummer. Die Lesegeräte sind nötig, um den neuen Personalausweis am heimischen Computer zu nutzen und sich somit für die Abwicklung von Internet-Geschäften zu identifizieren."

Die der BSI-Richtlinie TR-03119 lässt drei Kategorien von Lesegeräten für die Funktionen zur Internet-Authentifizierung mittels des elektronischen Personalausweises zu, den Basisleser (Cat B), den Standardleser (Cat S) und den Komfortleser (Cat K). Gemeinsam ist allen die kontaktlose Schnittstelle nach ISO 14443 zur Karte sowie die eCard-API zum Host PC. Gegenüber der Basisversion werden Cat-S-Geräte die Möglichkeit zu sicheren Firmwareupdates bieten und über ein eigenes PIN-Pad zur sicheren Eingabe der sechsstelligen Geheimzahl verfügen. Beim Komfortleser kommen darüber hinaus ein zweizeiliges Display, ein kontaktbehaftetes Interface nach ISO 7816 sowie die Zertifizierung nach den Common Criteria hinzu. Mit den Cat-K-Geräten lassen sich dann auch, sofern der Inhaber diese Option des neuen Ausweises nutzt, qualifizierte elektronische Signaturen erstellen, vor allem aber kann man mit ihnen dank der zusätzlichen Schnittstelle auch die kontaktbehafteten HBCI-Karten zum Online-Banking oder die GeldKarte weiter nutzen.

Basis-Lesegeräte sind im Prinzip also einfache USB-Sticks mit einer RFID-Schnittstelle ohne eigene Tastatur zur Eingabe der PIN und eigene Terminalsoftware. Wer einen PC etwa mit einem Keylogger kompromittiert und dessen Tastatureingaben mitschreiben kann, kann auch die Eingabe der PIN abfangen, die beim Einsatz des elektronischen Personalausweises im Internet benötigt wird.

In der entsprechenden technischen Richtlinie des BSI (PDF-Datei) steht deshalb die Warnung zum elektronischen Personalausweis (ePA): "In diesem Zusammenhang können nur Cat-S und Cat-K Leser die Geheimhaltung der PIN des ePAs garantieren. Weiterführend kann nur der Cat-K Leser die authentische Anzeige von Berechtigtem und Berechtigungen bei der eID-Funktion übernehmen."

Dieser Schwachpunkt dürfte in der Fernsehsendung heute (ARD, 21.50) demonstriert werden. Zur Sendung liegt nach Angaben von Plusminus bereits eine Stellungnahme des Bundesinnenministeriums vor, das für die Ausgabe des elektronischen Personalausweises zuständig ist. "Bundesinnenminister Thomas de Maizière sieht im Plusminus-Interview keinen unmittelbaren Handlungsbedarf", heißt es in der Vorabmeldung. Für 24 Millionen Euro sollen 1,5 Millionen Sicherheitskits vom November 2010 bis Dezember 2011 an Bundesbürger verschenkt werden, um die Akzeptanz des elektronischen Personalausweises zu fördern; die Summe wird im Rahmen des Konjunkturpakets II bereitgestellt. Diese Sicherheitskits sollen aber nur Basis-Lesegeräte enthalten.

Quelle : www.heise.de