Freitag, 15. Oktober 2010

Der neue Personalausweis - Teil 3 - Sicher nur für Informatiker

Die Katze ist aus dem Sack, der neue Personalausweis heißt ab sofort nPA. Soweit die guten Nachrichten, da muss man weniger tippen. Nun zu den vermeintlich guten:

Das Bundesministerium des Inneren hat heute seine Begleitstudien zum nPA vorgestellt, mit denen die aus verschiedenen Kreisen laut werdenden Stimmen der Unsicherheiten hinsichtlich des Datenschutzes und der Angreifbarkeit des neuen Dokumentes besänftigt werden sollen. Wie beinahe zu erwarten war, erscheint jegliche Debatte um die Sicherheit der Daten damit erstmal in einem sehr viel positiveren Licht, als Kritiker den Bürger bisher glauben ließen.

Als kryptografisch sicher wird unsere zukünftige Identität im Scheckkartenformat betitelt. Dazu sollen vor allem Secure Messaging, das PACE-Protokoll (Password Authenticated Connection Establishment) und EAC (Extended Access Control, bereits bekannt aus dem neuen Reisepass) beitragen. Die Anhäufung solch wichtiger Großbuchstaben lässt schon erahnen, dass für Bürger ohne IT-nahe Ausbildung damit längst nicht alle Fragezeichen aus dem Gesicht verschwinden.
Von offizieller Seite holt man sich also mit Institutionen wie dem "Lehrstuhl für Bürgerliches Recht, deutsches und internationales Wirtschaftsrecht, insb. IT-Recht" von der Ruhr-Universität Bochum oder dem "Center for Advanced Security Research Darmstadt"  in erster Linie Beistand von Einrichtungen, die namentlich erstmal eine Menge Gewicht suggerieren, inhaltlich aber wahrscheinlich nur von einem geringen Teil der zukünftigen Ausweisinhaber verstanden werden.

Tatsächlich ist, wenn man aufmerksam zwischen den Zeilen liest, eben doch nicht alles so einfach, wie es im besseren Falle sein sollte. So sprechen die Vertreter der beauftragten Einrichtungen natürlich sehr deutlich von einer Mitwirkungspflicht der Bürger. Das System kann nur sicher sein, wenn der Nutzer, also jeder Bürger, seinen PC für die Nutzung der elektronischen Funktionen des nPA optimal in Schuss hält, also Anti-Viren-Programme und Firewalls in auf jeweils aktuellen Stand bringt.
Auch der Umgang mit dem neuen Dokument muss gelernt werden. Die Experten empfehlen die Nutzung von teureren Lesegeräten als die kostenlos vergebenen Basis-Stationen, außerdem sollten die Ausweise beispielsweise nur kurz zur Authentifizierung auf die Lesegeräte gelegt werden.

Fazit: Das größte Sicherheitsrisiko, wie sonst auch im Umgang mit elektronischen Systemen, ist also der Inhaber der Karte selber. Nur wer das nötige Vorwissen mitbringt, die im verborgenen agierenden Prozesse versteht und mindestens latente Kenntnisse in Sachen IT-Sicherheit aufweisen kann, der ist vermutlich auch im Stande, sich im Umgang mit seinem nPA sicher wähnen zu können. "Das war allerdings [in der Studie der Uni Potsdam] nur bei Informatikern der Fall", so Prof. Dr. Christoph Meinel.

Wie tief dieses Sicherheitsbewusstsein jedoch bei dem Normalbürger heutzutage bereits verankert ist, das kann man dank WEP- oder gar nicht verschlüsselter Netzwerke, sowie den PIN-Nummern auf vielen Rückseiten der roten Plastikschuber für Sparkassenkarten ja ungefähr erahnen.
Der nPA ist sicher!

Quellen