Der neue, elektronische Personalausweis - TUM · 2013-02-08 · Der neue deutsche Personalausweis ist f¨unf Gramm leicht, gr¨un-blau unterlegt und wird aus Polykarbonat hergestellt

Der neue, elektronische Personalausweis

Maximilian ImhofBetreuer: Holger Kinkelin

Seminar Future Internet SS2011Lehrstuhl Netzarchitekturen und Netzdienste

Fakultät für Informatik, Technische Universität MünchenE-Mail: [email protected]

KURZFASSUNGJeder Bundesburger ist dazu verpflichtet, ab seinem 16. Le-bensjahr ein Ausweisdokument mit sich zu fuhren. Aufgrunddessen wird jeder Burger fruher oder spater den neuen Per-sonalausweis beantragen mussen. Bislang gab es weder einenStandard-Identitatsnachweis fur die Online-Welt, noch wares moglich rechtskraftige Willenserklarungen im Internet ab-zuschließen. Der fehlende Identitatsnachweis ermoglicht Cy-berkriminalitat wie zum Beispiel Phishing oder Identitats-diebstahl. Die Einfuhrung des neuen, innovativen Personal-ausweises soll Onlinegeschafte erleichtern und die Krimina-litat im zukunftigen Internet erschweren oder ganzlich ver-hindern. Um den elektronischen Identitatsnachweis zu reali-sieren, wurde eine neue Infrastruktur mit dazugehorigen Si-cherheitsmerkmalen entwickelt. Am 1. November 2010 wares soweit und der neue Ausweis wurde eingefuhrt. Doch ne-ben den innovativen Vorteilen kamen auch Sicherheitsluckensowie weitere Probleme zum Vorschein. Der Personalausweisist in der hoheitlichen Funktion im Moment das sichersteAusweisdokument in Deutschland. Die Nutzung der Online-funktionen muss sich allerdings noch bei den Nutzern sowiebei den Dienstanbietern etablieren.

SchlüsselwortenPA, eID, QES, Infrastruktur, PersAuswG, CAN, eID-PIN,PACE, EAC, PA, PKI, CSCA, CVCA

1. EINLEITUNG”1400 Buchdruck, 1930 Fernseher, 1941 Computer, 1956Faxgerat, 1969 Kartenchip, 1. November 2010 elektronischerPersonalausweis”. Unter dem Titel

”Gute Ideen aus Deutsch-

land“ wirbt das Bundesministerium des Inneren (BMI) furden neuen Personalausweis [7]. Seit dem 1. November 2010kann dieser in Deutschland in den Burgeramtern beantragtwerden. Die elektronische Multifunktionskarte gilt im Reise-verkehr, in der Personenkontrolle sowie in der elektronischenWelt. Der Ausweis wurde nicht nur als modernes, sicherereshoheitliches Dokument eingefuhrt, sondern auch mit zusatz-lichen elektronischen Funktionen versehen, wie dem elektro-nischen Identitatsnachweis (eID) und der qualifizierten elek-tronische Signatur (QES). Mit diesen Funktionen konnenOnlinegeschafte des alltaglichen Lebens sicherer abgeschlos-sen und Vertrage unterzeichnet werden.

Im folgenden Abschnitt wird allgemein auf den neuen Per-sonalausweis eingegangen. Im Besonderen werden die Ein-fuhrung, der Aufbau mit den Erneuerungen und weitere In-formationen die zu beachten sind, erlautert. Der dritteAb-

schnitt gibt einen Uberblick uber die drei neuen Funktionen:Die hoheitliche Biometriefunktion, der elektronische Iden-titatsnachweis und die qualifizierte elektronische Signatur.Der elektronische Identitatsnachweis wird Allgemein erlau-tert. Desweiteren wird die Infrastruktur beschrieben. Im An-schluss werden die Komponenten zur Nutzung der Funktio-nen fur die Burger als auch fur Unternehmen veranschau-licht. Der 5. Abschnitt handelt von Sicherheitsmechanismenzum Schutz der personenbezogenen Daten. Die Sicherheits-lucken werden neben weiteren Problematiken im nachstenAbschnitt thematisiert. Abschließend wird ein kurzes Fazitgegeben.

2. ALLGEMEINSchon im Mittelalter musste man sich mit Wappen, Ordenoder Zunftzeichen ausweisen. In der Bundesrepublik gibtes seit 1951 einen Pass. Hingegen wurde in der damaligenDDR erst 1953 ein Ausweisdokument eingefuhrt. Der Per-sonalausweis, den wir bis vor kurzem noch hatten und zumTeil noch haben, existiert seit dem 1. April 1987. Am 18.Dezember 2008 wurde der neue Personalausweis, auch nPA1

genannt, vom Bundestag bewilligt und am 1. November2010 eigefuhrt. Neben dem neuen Ausweis trat auch das

”Gesetz uber Personalausweise und den elektronischenIdentitatsnachweis“ (PersAuswG) in Kraft [12].

Der Ausweis wurde mit dem Hintergrund eingefuhrt,ein neues, sichereres Ausweisdokument zu scha↵en. Durchdie neuen Funktionen soll das Dokument viele Dienst-leistungen der o↵entlichen Verwaltung sowie Aktivitatenund Einkaufe des alltaglichen Lebens erleichtern. Einenstandardisierten, elektronischen Identitatsnachweis gab esbislang noch nicht. So ist es fortan moglich sich gegenuberBehorden in Bereichen des E-Gouvernements auszuweisen.Dadurch kann sich der Burger

”lastige“ Behordengange

ersparen. Des Weiteren ist das Ausweisen im Bereich desE-Business moglich und wird als schneller, einfacher undsicherer vom Bundesministerium des Inneren beschrieben.Folglich soll der Ausweis Internetgeschafte sicherer machenund Cyberkriminalitat wie Phishing und Identitatsdiebstahlverhindern.

Der neue deutsche Personalausweis ist funf Grammleicht, grun-blau unterlegt und wird aus Polykarbonathergestellt. Er besitzt nicht mehr wie der Alte das ID-2

1Sollte erst”elektronischer Personalausweis“ (ePA) genannt

werden, jedoch fuhrte Kritik an diesem Namen zur Umbe-nennung in

”neuer Personalausweis“ (nPA)

doi: 10.2313/NET-2011-07-2_07Seminar FI & IITM SS 2011, Network Architectures and Services, July 2011

47

Format sondern hat mit 8,6cm Lange und 5,4cm Breite diegleichen Abmessungen wie ubliche Scheckkarten und istsomit im Besitz des ID-1 Formats. Wie schon der Vorgangerenthalt dieser Ausweis zahlreiche Sicherheitsmerkmale,welche die Falschungssicherheit erhohen. Er verfugt ubermehrfarbige Guillochen, Mikroschriften, UV-Aufdrucke,einen 3-D Bundesadler, Kontrastschriften, Melinfasern, einLaserkippbild und viele weitere Merkmale [17]. Auf der Vor-derseite ist der Familienname sowie der Geburtsname, derVorname, ein gegebenenfalls vorhandener Doktorgrad, Tagund Ort der Geburt, die Staatsangehorigkeit, das Lichtbild,die Unterschrift, Gultigkeitsdatum, die Seriennummer unddie Card Access Number (CAN) zu lesen. Die Card AccessNumber ist eine auf der Vorderseite des Personalausweisesaufgedruckte sechsstellige dezimale zufallige Nummer. DieCAN lasst sich nicht aus personen- oder dokumentenbe-zogenen Daten berechnen. Die Card Access Number wirdbei der hoheitlichen Biometriefunktion (siehe auch 3.1),der Anderung von Daten in den Ausweisbehoden sowiebeim Verbindungsaufbau zur Signaturanwendung benotigt.Neben den Aufgedruckten Daten ist auf der Vorderseite,wie in Abbildung 1, das biometrische Passbild zu erkennen.

Abbildung 1: Ausweisansicht Vorderseite [16]

Auf der Ruckseite des Ausweisdokumentes befinden sichdie Augenfarbe, die Große, die Anschrift, die Stadt mitPostleizahl der ausstellenden Behorde, Ausstelldatum,Ordens- bzw. Kunstlername und das Logo sowie die ma-schinenlesbare Zone(MRZ). Die Ansicht auf die Ruckseitedes Ausweises ist in Abbildung 2 dargestellt.Im Vergleich zum vorherigen Ausweis sind die CAN und diePostleizahl neu hinzugekommen. Das Ausweisdokument istnach ISO 14443 mit einem kontaktlosen Chip ausgestattet.Auf dem Dokument sind nach §5 Abs. 5 PersAuswG Fa-milienname, Geburtsname, Vorname, Doktorgrad, Tag undOrt der Geburt, Lichtbild, Anschrift, Staatsangehorigkeit,Seriennummer, Ordensname beziehungsweise Kunstlernameund die Daten der maschinenlesbaren Zone auf dem radio-frequency identification(RFID)-Chip gespeichert[12]. Nebenden genannten Daten konnen auch freiwillig Fingerabdru-cke, sowie die Qualitat und Bezeichnung dieser gespeichertwerden. Diese Daten dienen zur eindeutigen Zuordnung vonAusweis und Inhaber.

Abbildung 2: Ausweisansicht R

¨

uckseite [16]

Nach §1 Abs. 1 des PersAuswG ist jeder Burger, derdie deutsche Staatsangehorigkeit innehat und somit derMeldepflicht unterliegt, oder sich uberwiegend in Deutsch-land aufhalt, ab 16 Jahren dazu verpflichtet einen Ausweiszu besitzen. Kinder und Jugendliche unter 16 Jahrenkonnen ebenfalls einen Personalausweis beantragen, aller-dings ohne den elektronischen Identitatsnachweis. Bei derBeantragung werden ein aktuelles, biometrisches Lichtbildund ein gultiges Identitatsdokument benotigt. Die eID kannjederzeit im Burgeramt nachtraglich ein- oder ausgeschaltetwerden. Der Personalausweis kostet fur Personen ab 24Jahren 28,80 Euro und fur Antragsteller unter 24 Jahren22,80 Euro. Er ist mehr als 3,5 mal so teuer wie der alteAusweis. Weitere Kosten sind in der

”Gebuhrenverordnung

fur den neuen Personalausweis“ zu entnehmen[8].

Bei Verlust oder Diebstahl des Ausweises ist der Inhaberdazu verpflichtet, den Verlust der Personalausweisbehor-de zu melden. Hat der Ausweis die eID Funktion, mussdiese mit Hilfe des Sperrkennworts gesperrt werden. Diessollte schnellstmoglich im Burgeramt oder uber den 24-Stundensperrnotruf 0180-1-33 33 332 geschehen. Falls auchdie Qualifizierte Elektronische Signatur genutzt wird, mussdas Signaturzertifikat beim jeweiligen Anbieter gesperrt wer-den.

3. FUNKTIONENDas Ausweisdokument dient weiterhin als Sichtausweis, wur-de jedoch um zusatzliche Funktionen erganzt. Die hoheitli-che Biometriefunktion soll das Ausweisen an Grenzkontrol-len erleichtern und den Ausweis sicherer machen. Zusatzlichkann der elektronische Identitatsnachweis und die qualifi-zierte elektronische Signatur beantragt werden. Um diesefreiwilligen Funktionen zu nutzen, wird eine Software, welcheals Schnittstelle zwischen Ausweis, Kartenlesegerat und dereinzelnen Funktion fungiert, benotigt. Diese Software wird

23,9 Ct/Min. aus dem dt. Festnetz, aus dem Mobilfunknetzmaximal 42 Ct/Min.. Auch aus dem Ausland erreichbar


48

vom Bundesamt fur Sicherheit in der Informationstechnik(BSI) fur Windows, Linux und MacOS zur Verfugung ge-stellt und tragt den Namen

”AusweisApp“3. Im Folgenden

werden die einzelnen Funktionen betrachtet. Es wird beson-ders auf den elektronischen Identitatsnachweis eingegangen.

3.1 Die Hoheitliche BiometriefunktionMit dem Terrorismusbekampfungsgesetz vom 9. Januar 2002wurden die biometrischen Merkmale mit in den deutschenPersonalausweis aufgenommen. Der nPA ist weiterhin alsSichtausweis verwendbar und als Passersatz innerhalb derEuropaischen Union gultig. Die elektronisch gespeichertenDaten sind nur mit einem hoheitlichen Berechtigungszerti-fikat auslesbar. Biometrische Daten durfen nur von Polizei-vollzug, Zoll, Steuerfahndung der Lander, sowie der Pass-, Personalausweis- und Meldebehorden ausgelesen werden.Um die biometrischen Daten auszulesen, muss die auf demAusweis aufgedruckte Card Access Number eingegeben wer-den. Um Grenzkontrollen zu beschleunigen kann statt derCAN das Basic Access Control (BAC) Verfahren verwendetwerden. Bei diesem Verfahren liest das Durchzugslesegeratder Behorden die optischen Daten aus der MRZ und er-stellt einen SHA-1-Hashwert aus der 9 stelligen Seriennum-mer, dem Geburtsdatum und dem Ablaufdatum. Die ersten16 Byte des Hashwertes bilden einen Schlussel. Der Auswei-schip hat ebenfalls anhand der eigenen Daten einen Schlusselberechnet. Sind diese Schlussel gleich, wird ein gemeinsamerSchlussel zwischen Chip und Lesegerat bestimmt. Darau↵ol-gend gibt der Chip die Daten fur das Lesegerat frei.[9]

3.2 Der elektronische IdentitätsnachweisDie wohl großte Innovation des neuen Personalausweisesist der elektronische Identitatsnachweis, welcher als Online-Authentifizierung am PC dient. Mit den auf dem Ausweisgespeicherten Datenfeldern kann sich der Ausweisinhaber imelektronischen Rechts- und Geschaftsverkehr eindeutig iden-tifizieren. Der Inhaber legitimiert sich uber den Personalaus-weis und seine eID-PIN. Die Dienstanbieter weisen sich miteinem staatlichen Berechtigungszertifikat aus. Das Zertifikatgestattet nur das Auslesen der im Berechtigungszertifikataufgefuhrten Datenfelder und die Gultigkeit des Ausweises.Um dies zu ermoglichen wurde eine neue Infrastruktur rea-lisiert.

3.2.1 aus der Sicht des AnwendersMochte der Ausweisnutzer die elektronische Identifikationauf einer Website nutzen, klickt er auf den eID-Button. Folg-lich o↵net sich die AusweisApp lokal auf seinem Rechner.Fur den Nutzer gibt es vier sichtbare Schritte in der Appli-kation. Im ersten Schritt erfahrt der Benutzer, wer auf seinenAusweis zugreifen will, wie lange dessen Berechtigungszerti-fikat gultig ist und von wem das Zertifikat ausgestellt wur-de. Im nachsten Schritt zeigt die Anwendung eine Ubersicht,der von dem Dienstanbieter angeforderten Datenfelder. Dar-aufhin kann der Benutzer Datenfelder hinzufugen oder ent-fernen. Im dritten Schritt muss der Nutzer seine eID-PINeingeben um die Daten freizugeben. Im letzten Abschnittwerden die PIN, sowie die Gultigkeit des Personalausweisesund die Anbieterberechtigung gepruft. Wenn die Uberpru-fung erfolgreich war, werden die Daten ubertragen. Infolge-

3Download auf www.ausweisapp.bund.de

dessen schließt sich die Applikation und das Ergebnis wirdim Browser dargestellt.

3.2.2 eID-PINNach Beantragung eines Ausweises mit eID wird ein PIN-Brief per Post, welcher eine 5-stellige zufallige Transport-PIN, die PUK Nummer und ein Sperrkennwort beinhaltet,zugestellt. Diese 5-stellige Nummer, muss durch einen 6-stellige, dezimale personliche eID-PIN beim Burgeramt oderan einem passenden Lesegerat ersetzt werden. Ohne eigeneeID-PIN ist die eID Funktion nicht nutzbar. Um das Erra-ten der eID-PIN durch Ausprobieren zu verhindern enthaltder Chip einen Fehlbedienungszahler (FBZ), welcher die dieKarte nach drei falschen Eingaben sperrt. Der dritte Einga-beversuch ist erst nach Eingabe der CAN moglich um einenDenial of Service-Angri↵ zu verhindern. Das PIN-Schema istin Abbildung 3 dargestellt.

Abbildung 3: Eingabe der eID-PIN [5]

3.2.3 PseudonymDer Personalausweisinhaber hat die Moglichkeit sich beiInternetdiensten mit Pseudonymen anzumelden. DiesesPseudonym wird bei jeder spateren Anmeldung vom Dienst-anbieter wiedererkannt und ohne personenbezogene Datenwie zum Beispiel Name und Adresse weitergegeben. DieseFunktion ist karten- und dienstspezifisch, dies bedeutet, dassfur jedes Pseudonym ein Schlussel aus einem Ausweis-Chip-schlussel und Schlussel des Betreibers berechnet wird. Somitist das Abgleichen der Datenbanken von Dienstanbietern,um personenbezogene Daten zu bekommen, nutzlos.

3.2.4 InfrastrukturAuf der Seite des Burgers ist der Kartenleser an den PCangeschlossen. Auf diesem PC ist die AusweisApp instal-liert. Ein Plug-in im Browser startet diese Applikation beidem Aufruf der eID Funktion. Auf Seiten des Dienstanbie-ters, wie in Abbildung 3 zu erkennen, arbeitet ein Web-server als Frontend, welcher uber einen eID-Connector mitdem eID-Server kommuniziert. Der eID-Server, der entwe-der vom Betreiber der Website oder einem weiteren Dienst-anbieter unterhalten wird, ubernimmt die Kommunikationmit der AusweisApp, den Abruf von Berechtigungszertifika-ten und der Sperrliste. Die Sperrliste ist eine Liste, welchedie gesperrten Ausweise beinhaltet. Als Schnittstelle wird


49

Abbildung 4: Infrastruktur [1]

die eCard-API verwendet. Die Daten werden zwischen eID-Server und Webserver, bei einem o↵enen Netz, verschlusseltund signiert ubertragen. Klickt nun der Ausweisinhaber aufdie eID-Funktion auf einer Website eines Dienstanbieters,o↵net sich lokal die Applikation. Diese erhalt die notwendi-gen Parameter wie zum Beispiel die Adresse des zustandigeneID-Servers. Mit dem Erhalt der Parameter wird der sichereVerbindungsaufbau zwischen Chip des Ausweises und demeID-Server veranlasst. Diese Verbindung ist in Abbildung 4zu erkennen. Die Zugri↵skontrolle ubernimmt das PACE-Protokoll (siehe 5.1) um die Verbindung abzusichern. DereID-Server muss seine Leseberechtigung mit einem Zertifi-kat nachweisen.

3.3 Die qualifizierte elektronische SignaturNeben dem elektronischen Identitatsnachweis wurde diequalifizierte elektronische Signatur, auch Unterschriftsfunk-tion genannt, eingefuhrt. Diese ermoglicht dem Auswisinha-ber das digitale Signieren von Dokumenten.

3.3.1 AllgemeinDer Ausweisinhaber kann freiwillig, je nach Bedarf die Un-terschriftfunktion auf seinem Ausweis aktivieren. Fur dieNutzung der Funktion wird ein Signaturzertifikat benotigt.Dieses verursacht jahrliche Zusatzkosten in Hohe von unge-fahr 60 bis 80 Euro. Die Signatur wird von verschiedenen An-bietern angeboten, hierdurch entsteht der Unterschied in denKosten. Wie bei der eID-Funktion ist eine Geheimnummer,die Signatur-PIN erforderlich. Zum Auslieferungszeitpunktdes Ausweises ist keine Signatur-PIN gesetzt, das heißt derInhaber muss diese PIN selbst bestimmen. Die Signatur istder eigenhandigen Unterschrift rechtlich gleichgestellt undes konnen somit rechtsverbindliche Willenserklarungen ab-gegeben werden. Aus diesem Grund sind die Anforderungen

an die Sicherheit großer als bei der eID. Die QES kann nurmit einem Komfortlesegerat (siehe 4.1) genutzt werden.

3.3.2 aus der Sicht des AnwendersMochte der Burger ein Dokument signieren, o↵net er dieAusweisApp. Zunachst muss die zu signierende Datei ausge-wahlt werden. Daraufhin wird der Ausweisinhaber nach derauf dem Ausweis aufgedruckten CAN gefragt. Infolgedessenkann der TrustedViewer4 den Inhalt des zu unterzeichnen-den Dokuments anzeigen und warnt vor unsichtbaren Inhal-ten. Mit der Eingabe der Signatur-PIN ist das Dokument un-terschrieben. Nachtragliche Veranderungen des Dokumentswerden angezeigt.

4. KOMPONENTEN ZUR NUTZUNGUm Funktionen wie eID oder QES zu nutzen, wird gewissesZubehor benotigt. Was benotigt wird und welche Kostendabei fur Nutzer und Unternehmen anfallen wird in diesemAbschnitt genauer dargestellt. Es wird auf die Komponentensowie auf die entstehenden Kosten naher eingegangen.

4.1 Für AusweisinhaberFur die Nutzung der elektronischen Identifikation und derqualifizierten elektronischen Signatur wird neben der Aus-weisApp auch ein kontaktloses Kartenlesegerat benotigt. Esgibt drei verschiedene Arten von Lesegeraten: den Basisle-ser fur 10 bis 25 Euro, den Standardleser fur 30 bis 80 Euround den Komfortleser fur 90 bis 160 Euro. Lesegerate sind imfreien Handel zu erwerben. Somit ist der Preisunterschied zuerklaren. Fur die eID-Funktion reicht ein Basislesegerat aus,

4Der TrustedViewer ist ein Programm welches das Doku-ment vor der Unterzeichnung auf versteckte Inhalte uber-pruft


50

bei welchem die PIN uber den Computer eingegeben werdenmuss. Das Standardlesegerat hat ein seperates Tastenfeld so-wie ein Display. Das Komfortlesegerat hat ebenfalls einPIN-Pad und ein Display. Das Komfortlesegerat ist jedoch mitdem EAL4+ Modul ausgestattet, welches zur Nutzung derQES notwendig ist. Es ist darauf zu achten, dass nur vomBSI zertifizierte Lesegerate verwendet werden, welche an ei-nem aufgedruckten Personalausweis-Logo zu erkennen sind.Auf der Internetseite der AusweisApp sind die von der Ap-plikation unterstutzten Lesegerate gelistet.

4.2 Für UnternehmenDamit Unternehmen die eID Funktion nutzen und auf Datenzugreifen konnen, mussen sie uber ein Berechtigungszertifi-kat verfugen. Diese kann bei der Vergabestelle fur Berechti-gungszertifikate, welches dem Bundesverwaltungsamt unter-liegt, beantragt werden. Laut Detlef Borchers von

”C’t“ kos-

tet die Beantragung 105 Euro [1]. Zur Beantragung muss dasUnternehmen glaubhaft nachweisen, weshalb sie die Daten-felder nutzen mochte. Die Vergabestelle pruft, welche Datendas Unternehmen fur seine Zwecke wirklich braucht und obes ein vertrauenswurdiges Unternehmen ist. Derzeit werdennach Borchers nur zwei Grunde akzeptiert, ein gesetzlicherGrund wie zum Beispiel die Altersverifikation oder, wennein erhebliches

”kreditorisches Risiko“ angenommen werden

muss. Die Zertifikate sind in der Regel drei Jahre gultig,konnen jedoch auch jederzeit entzogen werden. Um die eIDzu nutzen mussen zusatzlich zu dem Zertifikat noch ein eID-Server und Hardware Security Module angescha↵t werden.Die Server kosten schatzungsweise 200.000 bis 300.000 Euro,ohne die laufenden Kosten. Fur Unternehmen mit geringenAnfragen ist ein eID-Service-Provider die bessere Alternati-ve. Der Provider

”]init[“ bietet zwei unterschiedliche Services

an. Fur die Nutzung von einem Zertifikat bietet”]init[“ den

”Trusted eID-Service Premium“ fur 250 Euro im Monat plus750 Euro Einrichtungsgebuhr an. Der

”Trusted eID-Service

Enterprise“ welcher bis zu 16 Berechtigungszertifikate ver-walten kann, kostet 2750 Euro im Monat zuzuglich 7500Euro Einrichtungsgebuhr [18]. Der Service, das HardwareSecurity Modul, von D-Trust, einer Tochterfirma der Bun-desdruckerei kostet 250 Euro pro Monat und jedes weitereModul 150 Euro. Die Einrichtungsgebuhr hierfur liegt bei750 Euro. Zur Beantragungsgebuhr, dem Server und demModul kommen noch die Zertifikatgebuhren hinzu. Das ers-te Zertifikat kostet 2000 Euro pro Jahr und jedes weiterejeweils 500 Euro pro Jahr. Fur Behorden der Bundeslan-der und Kommunen sind die eID-Server kostenlos. Jedochmuss die Kommune mindestens 5700 Euro im Jahr fur dasBerechtigungszertifikat bezahlen [1].

5. SICHERHEITSMECHANISMENZur Sicherung der personenbezogenen Daten, welche aufdem kontaktlosen Chip gespeichert sind, wurden neue Si-cherheitsmechanismen entwickelt. Unter anderem das Pass-word Authenticated Connection Establishment, das Exten-ded Access Control, die Passive Authentication, sowie diePublic Key Infrastructures.

5.1 Password Authenticated Connection Es-tablishment (PACE)

Password Authenticated Connection Establishment, kurzPACE, ist ein kryptografisches Protokoll fur den gegensei-

tigen Authentisierungsmechanismus zwischen Terminal undChip. PACE wurde vom Bundesamt fur Sicherheit in derInformationstechnik fur den neuen Personalausweis entwi-ckelt und wird in der Technischen Richtlinie TR-03110 [4]beschrieben. Das PACE-Protokoll sorgt fur die verschlus-selte und integritatsgesicherten Kanal zwischen Kartenle-ser und Chip. Welches Passwort fur die Generierung einesVerschlusslungspassworts benutzt wird hangt vom Lesegeratund Nutzen des Ausweises ab. Zur Nutzer-Authentifikationbeim Verwenden der eID-Funktion wird die 6-stellige eID-PIN verwendet. Bei hoheitliche Kontrollen wird die auf demKartenkorper aufgedruckte Card Access Number oder dieHashnummer aus der Basic Access Control verwendet[5].Der Chip generiert eine Zufallszahl, welche er mit dem Pass-wort uber eine Hashfunktion verschlusselt. Das Lesegeratmuss zur Entschlusselung ebenfalls die Hashfunktion sowiedas Passwort kennen. Hat das Lesegerat die geheime Zu-fallszahl herausgefunden wird ein gemeinsamer symmetri-scher AES-Schlussel fur Secure Messaging zwischen Chipund Lesegerat abgeleitet[9]. Kern des Verfahrens ist derDi�e-Hellman-Schlusseltausch. Das Protokoll soll vor demunbefugten Auslesen des Chips aus der Entfernung schutzen.

5.2 Extended Access Control (EAC)Extended Access Control, kurz EAC, ist eine erweiterte Zu-gangskontrolle zwischen Lesegerat oder Dienstanbieter undChip. EAC besteht aus zwei Unterprotokollen, der Chip Au-thentication (CA) und der Terminal Authentication (TA).Es wird ebenfalls in den Technischen Richtlinien TR-03110[4] des BSI beschrieben.

5.2.1 Chip AuthenticationDie Chip Authentication dient zur Uberprufung der Echt-heit des Chips, sowie dem sicheren Verbindungsaufbau zwi-schen Chip und Lesegerat, beziehungsweise den Dienstan-bietern bei der Nutzung der eID-Funktion. Die CA basiertauf dem Di�e-Hellmann-Schlusselaustausch. Das Lesegeratnutzt ein fluchtiges Schlusselpaar und der Chip ein statischesPaar. Der Schlussel des Ausweischips wird wahrend der Her-stellung signiert. Dadurch wird die Echtheit des Chips unddamit auch der auf dem Chip gespeicherten Daten nach-gewiesen. Weiter dient die Authentifizierung zum Aufbaueines sicheren Kanals zwischen Kartenlesegerat oder Dienst-anbierter und RFID-Chip.

5.2.2 Terminal AuthenticationDer Zweck der Terminal Authentication ist die Authentisie-rung des Lesegerats oder eines Dienstanbieters zum Auslesenvon Daten. Hierzu verschickt das Lesegerat oder der Dienst-anbieter seine Leseberechtigung in Form des Terminal-Zertifikats an den Chip. Des Weiteren wird das CountryVerifying Certificate Authority (CVCA) sowie die Zertifika-te in der Zertifikat-Hierarchie zwischen Terminal-Zertifikatund CVCA mitgeschickt. Darauf pruft der Chip die Echtheitund Unverfalschtheit des Terminals. Es mussen alle Zerti-fikate mit dem geheimen Schlussel des Vorgangers signiertworden sein beginnend mit dem CVCA-Zertifikat um ein po-sitives Ergebnis zu erhalten. Das CVCA-Zertifikat wurde beider Herstellung des Chips auf dem Chip gespeichert. Wenndie Echtheit und Unverfalschtheit des Terminal-Zertifikateserfolgreich festgestellt wurde, muss gepruft werden ob diesesZertifikat auch wirklich fur dieses Lesegerat ausgestellt wur-de. Hierzu schickt der Chip eine Zufallszahl an das Lesegerat.


51

Die Zahl wird mit dem geheimen Schlussel des Terminal-Zertifikats signiert und an den Chip zuruckgesand. Durchden o↵entlichen Schlussel des Lesegerats, kann der Chip dieSignatur der Zahl uberprufen und feststellen, ob das Lese-gerat den passenden Schlussel besitzt[3].

5.3 Passive Authentication (PA)Die Passive Authentication, kurz PA, dient zur Uberprufungder Echtheit und Unverfalschtheit der Daten auf dem Chip.Bei der Herstellung des Ausweisdokuments werden die elek-tronischen Daten mit dem Document Signing-Zertifikat di-gital signiert. Dieses Zertifikat ist wiederum mit dem Coun-try Signing Certificate Authority (CSCA), welches nur demAusweishersteller zur Verfugung steht, signiert. Beim Leseneines Ausweises wird anhand der passiven Authentisierungdie Signatur der Daten gepruft und bis zum CSCA zuruck-verfolgt. So kann festgestellt werden, ob die Daten vom of-fiziellen Passhersteller im Chip gespeichert wurden und obdiese unverfalscht sind.

5.4 Public Key Infrastructures (PKI)Die Public Key Infrastructures, kurz PKI, ist die Hierarchievon digitalen Zertifikaten. Fur den Ausweis werden zwei PKIbenotigt, die Country Signing Certificate Authority und dieCountry Verifying Certificate Authority. Diese Infrastruk-turen werden in den Technischen Richtlinien TR-03128 [6]beschrieben. Das CSCA ist laut BSI die Hierarchie von digi-talen Zertifikaten zur Signierung von Daten in elektronischenAusweisdokumenten. Dagegen ist das CVCA die Hierarchievon digitalen Zertifikaten zur Leseberechtigung bei elektro-nischen Ausweisdokumenten[3].

6. SICHERHEITSLÜCKEN UND WEITE-RE PROBLEME

In der Presse und anderen Medien wird immer wieder Kritikzum Personalausweis ausgeubt. Es heißt, Betrugern sei esproblemlos moglich sensible Daten sowie die geheime PINabzufangen. Die Bundesregierung behauptet hingegen, derAusweis sei sicher. In der Kritik stehen auch die Umsetzungund die daraus resultierenden Probleme fur die Kommunenund den Burger. Diese Kritik wird im folgenden Abschnittgenauer dargelegt.

6.1 SicherheitslückeDer neue Personalausweis geriet wegen Sicherheitsmangelunter heftigen Beschuss in den Medien. So auch vom West-deutschen Rundfunk (WDR). Dieser thematisierte im

”Be-

richt aus Brussel“ vom 22. September 2010, 21:55 Uhr, denAusweis und dessen festgestellte Sicherheitsmangel. Mit-telpunkt des geschilderten Angri↵sszenarios ist ein mit ei-nem Trojanischen Pferd infizierter Rechner. Die Schadsoft-ware wurde mithilfe eines Hackerangri↵s unbefugt platziert.Der Hacker sieht darau↵olgend alle Tastatureingaben oderkann Bildschirmanzeigen mitlesen. Mit Hilfe eines Keylog-gers konnen diese Daten aufgezeichnet werden. Im Beispielwurde so die PIN herausgefunden und konnte vom Angrei-fer geandert werden. Im schlimmsten Fall konnte der Hackeronline einkaufen oder ein Konto ero↵nen. Das BSI nimmt ineiner Pressemitteilung [2] Stellung zum

”Bericht aus Brussel“

und weist die Sicherheitsbedenken erneut zuruck. So heißt esin dieser, der Angreifer konne zwar die PIN erspahen und an-dern, aber dies wurde zur Entdeckung des Angri↵s und somit

zur Sperrung des Ausweises fuhren. Daruber hinaus zahltdas BSI grundlegende Sicherheitsmaßnahmen im Umgangmit dem Ausweis auf. Peter Schaar, der Bundesbeauftragtefur den Datenschutz und die Informationsfreiheit, außertesich in einer Pressemitteilung [13] zum Personalausweis am29.Oktober 2010:

”Wer die Gefahr des Ausspahens der PIN

mittels einer Schadsoftware umgehen will, sollte lieber einhoherwertiges Lesegerat einsetzen“. Das Ausspahen der PINist ausschließlich bei der Nutzung eines Basislesers moglich.Grund hierfur ist, dass Basisleser nicht uber eine PC externeHardware zum Eingeben der PIN verfugen. Des Weiteren istein Angri↵ nur moglich, wenn der Ausweis auf dem Lesegeratliegt. Der Ausweis sollte daher laut BSI immer sicher ver-wahrt werden und nur bei Nutzung auf das Lesegerat gelegtwerden. Aufgrund dieser Tatsachen gilt der neue Personal-ausweis als sichere Alternative zu den ursprunglich Benut-zerdaten im E-Business. Jedoch belegen Banking-Trojaner,dass Betruger sicher bereit sind, vergleichbaren Aufwand zubetreiben, wenn die Gewinnerwartung hoch genug ist. Furdie Nutzer der eID und der QES ist die Nutzung und standi-ge Aktualisierung von Firewall, Antivirensoftware und Sys-temupdates im eigenen Interesse Pflicht.

6.2 Weitere ProblemeNeben den Sicherheitslucken im technischen Bereich sindauch zusatzliche Probleme entstanden. Probleme wie dieSchlusselfunktion des Staates, die Belastung fur die Verwal-tung und die Akzeptanz des Ausweises. Desweiteren ist dieHaftung bei Angri↵en zu nennen. Auf diese Schwachstellenwird in den folgenden Abschnitten naher eingegangen.

6.2.1 Einführung durch den StaatDie technische Sicherheit und die Sicherheitslucken sind dieeine Seite. Auf der anderen Seite hingegen steht die Kritik ander politischen Sicherheit. Peter Schaar kritisierte in seinemVortrag auf dem Chipkarten-Kongress Omnicard 2011, dassder Staat nun

”ein neue Schlusselfunktion“ zwischen Konsu-

menten und Dienstanbietern einnimmt. Dies geschieht durchdie Zertifikatausteilung und -entziehung.

6.2.2 Belastung für VerwaltungEin weiteres Problem bei der Einfuhrung des Ausweisdo-kuments ist die zusatzliche Belastung fur Kommunen undOrdnungsamter. So schrieb die Hessische/NiedersachsischeAllgemeine Zeitung am 23.07.2010:

”Der neue Ausweis, der

ab dem 1. November beantragt werden kann, soll 28,80 Eu-ro kosten. Die sechs Euro, die davon bei den Stadten undGemeinden bleiben sollen, reichten nicht, um deren Kostenzu decken. 22,70 Euro gehen an den Hersteller, zehn Centfließen in die notwendigen Computerprogramme. Grund furdie Mehrkosten bei den Stadten ist vor allem eine langereBearbeitungszeit: Bisher kalkulieren sie mit siebeneinhalbMinuten Bearbeitungszeit fur einen Ausweis“ [15]. Das Ham-burger Abendblatt datierte den Personalaufwand auf bis zudreimal so hoch wie bisher [14]. Daruber hinaus mussen dieMitarbeiter auf den neuen Ausweis geschult werden. AntonHanfstengl, Leiter des Burgerburos Munchen berichtet da-von, dass sich die Anderungsterminals der Bundesdruckereifur PIN und PUK oft aufhangen und sich somit die Aus-weisausgabe verzogert [11]. Jedoch ist das großte Bedenkender Burgeramter, dass die Burger bei technischen Problemenmit Kartenlesern oder Software die Burgerburos aufsuchen.


52

6.2.3 Basisleser und Haftung bei AngriffenIm Rahmen des IT-Investitionsprogramms des Konjunktur-pakets II stellt der Bund 24 Millionen Euro fur die Forde-rung von Lesegeraten zur Verfugung. Durch diese Unterstut-zung konnen rund 1,5 Millionen IT-Sicherheitskits kostenfreioder verbilligt ausgegeben werden. Diese Kits enthalten ei-nen Basiskartenleser und Informationsbroschuren zur Nut-zung mit Chipkarten. Die Verteilung dieser Kits wird jedochkritisiert, da die Basisleser als unsicher gelten. Der Staat haf-tet nicht bei Hackerangri↵en, so Ex-Bundesinnenminister deMaiziere in einem Interview mit Plusminus vom 24. August2010. Somit bleibt den Nutzern bei Angri↵en nur die Ho↵-nung auf Kulanz bei Dienstanbietern.

6.2.4 Akzeptanz des AusweisesDas Bundesministerium des Innern hat eine Studie von derUniversitat Potsdam durchfuhren lassen, um die Akzeptanzdes neuen Personalausweises zu prufen [10]. Untersucht wur-den drei Zielgruppen, die Burger, die Verwaltung und dieUnternehmen. Die Studie zeigte, dass es bei den BurgernSkepsis aber auch Begeisterung gibt. So weiß ein Drittel nochgar nicht uber den neuen Personalausweis Bescheid. Jedochwill jeder zehnte Burger noch vor Ablauf seines alten Aus-weises den Neuen beantragen. Auf Seiten der Unternehmersind die Funktionen des Ausweisdokumentes weitestgehendunbekannt. So gibt es derzeit erst wenige Unternehmen diedie Nutzung der eID-Funktion anbieten5. Die großen Inter-nationalen Unternehmen wie Google, Amazon, PayPal odereBay werden nach eigenen Aussagen die Entwicklung desneuen Personalausweises beobachten.

7. FAZITZusammenfassend kann festgestellt werden, dass der neuePersonalausweis ein sicheres Ausweisdokument darstellt.Wer den elektronischen Identitatsnachweis nutzen mochte,kann das Vertrauensverhaltnis zwischen Verbrauchernund Dienstanbietern im Internet durch mehr Sicherheitverbessern. Der Ausweisinhaber kann mit der qualifiziertenelektronischen Signatur fortan rechtsgeschaftliche Abschlus-se elektronisch tatigen, was den Geschaftsverkehr erleichtertund beschleunigt. Dadurch setzt Deutschland neue Maß-stabe im Identitatsmanagement. Doch den Ausweis nebenErfindungen, wie den Buchdruck oder das Auto zu stel-len ist vom Bundesministerium des Inneren ubertrieben.Weiterhin ist die Belastung in der Verwaltung kritisch zubetrachten, denn die Burgeramter sind jetzt schon uberfor-dert. Ebenso zeigt die Studie, dass die Burger und vorallemdie Unternehmen der Bundesrepublik Deutschland bisherwenig uber den neuen Personalausweis Informiert sind.Die fruhe Einfuhrung zeigt die Dringlichkeit mit welcherder Staat dieses Dokument herbeifuhren wollte. Trotz derneu entwickelten Sicherheitsmechanismen ist aufgrund deraufgezeigten Sicherheitslucke das Nutzen eines Basislesersnicht zu empfehlen. Ein Standardleser oder Komfortleserist daher zu bevorzugen. Letztendlich bleibt abzuwarten,inwieweit die neuen Funktionen des Personalausweises vonden Burgern und Unternehmen akzeptiert und zu einemfesten Bestandteil des Internets werden.

5Eine Liste von Unternehmen ist unter www.npa-in-aktion.de zu finden

8. LITERATUR[1] Detlef Borchers: Digitale Identitat:

Anwendungszenarien fur den elektronischenPersonalausweis, Report, C’t, Heise ZeritschriftenVerlag, Oktober 2010

[2] Bundesamt fur Sicherheit in der Informationstechnik:BSI weist Sicherheitsbedenken zum neuenPersonalausweis erneut zuruck, Pressemitteilung,Bonn, September 2010

[3] Bundesamt fur Sicherheit in der Informationstechnik:Innovationen fur eine eID-Architektur in Deutschland,Broschure, Bonn, September 2010

[4] Bundesamt fur Sicherheit in der Informationstechnik:Technical Guideline TR-03110: Advanced SecurityMechanisms for Machine Readable Travel Documents,Version 2.05, Technische Richtlinie, Bonn, Oktober2010

[5] Bundesamt fur Sicherheit in der Informationstechnik:Technische Richtlinie TR-03127: Architekturelektronischer Personalausweis und elektronischerAufenthaltstitel, Version 1.13, Technische Richtlinie,Bonn, Oktober 2010

[6] Bundesamt fur Sicherheit in der Informationstechnik:Technische Richtlinie TR-03128: EAC-PKI’n fur denelektronischen Personalausweis, Version 1.1,Technische Richtlinie, Bonn, Oktober 2010

[7] Bundesministerium des Inneren: Der elektronischePersonalausweis, Broschure, Berlin, Februar 2009

[8] Bundesministerium des Inneren: Gebuhrenverordnungfur den neuen Personalausweis, Gebuhrenverordnung,Berlin, August 2010

[9] Prof. Dr. Claudia Eckert: Vorlesung IT-Sicherheit,WS 10/11, Vorlesung, Munchen, Januar 2011

[10] Jasper Hugo Grote, Daniela Keizer, Dominik Kenzler,Patrick Kenzler, Prof. Dr. Christoph Meinel, MaximSchnjakin, Lisa Zoth: Vom Client zur App:Ideenkatalog zur Gestaltung der Software zum Einsatzdes neuen Personalausweises, Universitat Potsdam,Studie, Potsdam, September 2010

[11] Kolja Kroger: Computer-Probleme mit dem neuenPersonalausweis, Artikel, merkur-online, Munchen,Dezember 2010

[12] Horst Kohler, Dr. Angela Merkel, Dr. WolfgangSchauble: Gesetz uber Personalausweise und denelektronischen Identitatsnachweis sowie zur Anderungweiterer Vorschriften, Gesetz, Bundesanzeiger Verlag,Berlin, Juni 2009

[13] Peter Schaar: Neuer Personalausweis: Sie haben dieWahl!, Pressemitteilung, Bonn / Berlin, Oktober 2010

[14] Fabian Schindler: Neuer Ausweis - Kommunenfurchten hohe Kosten, Zeitungsartikel, HamburgerAbendblatt, Hamburg, Juli 2010

[15] Olaf Weiß: Neuer Personalausweis: Hohe Kosten furStadte und Gemeinden, Zeitungsartikel, HessischeAllgemeine, Northeim, Juli 2010

[16] Aufbau Personalausweis,http://www.personalausweisportal.de/

SharedDocs/Bilder/DE/Ausweisansicht.jpg?__

blob=poster&v=7,(26.03.2011,17.34Uhr)

[17] Sicherheitsmerkmale des neuen Personalausweises,http://www.personalausweisportal.de/


53

SharedDocs/Downloads/DE/Flyer_Bundesdruckerei_

Sicherheitsmerkmale_nPA.pdf?__blob=

publicationFile,(30.03.2011,12.37Uhr)

[18] Trusted eID-Services, http://www.init.de/sites/default/files/downloads/Trusted_eID-Services_

print.pdf,(04.04.2011,15.00Uhr)


54