Ideenwettbewerb zeigt Einsatzwünsche und Möglichkeiten des nPA

Online-Shops  haben per se ein Problem: Sie wissen nicht, ob ihr Kunde tatsächlich der ist, für den er sich ausgibt. Ist der Kunde, der ein Video für Erwachsene bestellt hat, wirklich über 18 Jahre alt? Und hat er seine richtige Identität angegeben und bezahlt seine Rechnung nach Erhalt der Ware? Durch Missbrauch geht der Branche jährlich ein hoher Geldbetrag verloren – für manche Internethändler ist das eine Frage ihrer Existenz. Mit dem neuen Personalausweis können Online-Shops diese Probleme lösen. Denn bei Transaktionen mit dem neuen Dokument weisen sich sowohl der Kunde als auch der Online-Shop gegenseitig aus und geben sich somit eindeutig zu erkennen.

Die diesjährige zweite Runde des eIDEE-Wettbewerbs förderte zutage, dass diese Sicherheit für Internet-Nutzer wichtig ist – zahlreiche Einreichungen beschäftigten sich mit der Frage der sicheren Identifikation. Auch der Wunsch nach höherem Komfort lässt sich aus den Ideen herauslesen. Viele Teilnehmer regten an, vermehrt bei Log-in-Vorgängen den neuen Ausweis einsetzen zu können. Das spart das lästige Merken von Benutzerkennung und Passwort. Ein Vorschlag erinnerte an Hollywood-Sciencefiction: Der neue Ausweis solle den realen Charakter seines Besitzers so eindeutig mit seinem virtuellen Charakter verknüpfen, dass diese Funktion zur sicheren Identifikation dienen kann und Missbrauch unterbindet.

NSA-Diskussion hinterlässt Spuren

Ihre Spuren hinterlassen hat offenbar die NSA-Diskussion der letzten Monate. Mehrere Einreichungen beschäftigten sich mit der Verschlüsselung von E-Mails. Andere würden den Ausweis gerne für die Zutrittskontrolle oder die Zeiterfassung im Büro nutzen können. Noch weiter ging der Vorschlag, mit dem Ausweis den Haustür- oder sogar Autoschlüssel zu ersetzen. Eine Idee regt dazu an, in Kombination mit einer Smartphone-App und dem Ausweis neue Passwörter zu generieren oder den Ausweis als Schlüssel zum Entsperren des Handys zu nutzen.

Der neue Personalausweis als Multikarte – dieses Szenario wurde ebenfalls mehrfach eingereicht. Viele Bürger würden es gut finden, wenn beispielsweise der Studentenausweis, die Gesundheitskarte oder der Organspendeausweis in den Ausweis integriert würden. Als einen Beitrag gegen Diskriminierung wertete ein Einreicher seinen Vorschlag, auch den Behindertenausweis in den Personalausweis zu integrieren, so dass diese Funktion nicht sofort sichtbar wäre. Manche Ideengeber gehen soweit, auch Bezahlfunktionen einbinden zu wollen. Sie schlagen vor, den neuen Personalausweis für die Bezahlung kleinerer Geldbeträge zu nutzen oder ihn beim Online-Banking statt ec-Karte einzusetzen. Ein Teilnehmer wünscht sich, den Ausweis dafür nutzen zu können, an Geldautomaten gestohlene Bankkarten zu sperren.

Über 600.000 Tweets und Kommentare

Als Fazit des diesjährigen Wettbewerbs ist festzuhalten: Nicht alle Ideen sind technisch oder rechtlich umsetzbar. Aber der Wettbewerb hat zwei Aspekte verdeutlicht: Zum einen wünschen sich die Menschen vor allem mehr Sicherheit und mehr Komfort bei Internet-Prozessen. Und die zweite Erkenntnis lautet: Die große Teilnehmerzahl und die über 600.000 positiven Tweets und Facebook-Kommentare haben gezeigt, dass es Zeit wird für weitere Online-Anwendungen des neuen Personalausweises.

Autorin: Antonia Maas, Leiter Unternehmenskommunikation der Bundesdruckerei. Die Bundesdruckerei ist eines der traditionsreichsten Unternehmen der Branche. Seit 250 Jahren wird am Standort Berlin im staatlichen Auftrag gedruckt und seit 2009 gehört das Unternehmen wieder zu 100 Prozent dem Bund. Doch gerade in den letzten Jahren hat sich das Unternehmen zu einem internationalen Anbieter für Full-ID-Management gewandelt. Heute deckt sie mit ihren Lösungen und Produkten – neben dem klassischen Wert- und Banknotendruck – die gesamte Prozesskette „Sichere Identität“ ab: von der Erfassung und Verwaltung biografischer und biometrischer Daten über die Herstellung und Personalisierung modernster ID-Dokumente bis hin zu Systemen zur Ausgabe und Verifikation dieser Dokumente.

Fünf Gründe für die Nutzung des neuen Personalausweises im Internet

  • 1. Schutz vor Identitätsdiebstahl: Staatliche Berechtigungen gewährleisten, dass der Geschäftspartner auch der ist, für den er sich ausgibt.
  • 2. Datenschutz: Nur Ausweiskarte und PIN zusammen erlauben die Nutzung der Online-Ausweisfunktion – das ist sicherer als Verfahren mit Passwort und Benutzername.
  • 3. Datensparsamkeit: Es werden nur die Daten übermittelt, die erforderlich sind, um eine gewünschte Leistung zu erbringen. Welche Daten dies jeweils sind, prüft die Vergabestelle für Berechtigungszertifikate im Bundesverwaltungsamt. Der Ausweisinhaber bestimmt durch Eingabe seiner PIN selbst, welche Daten er weitergeben will.
  • 4. Kinder- und Jugendschutz: Mit der Online-Ausweisfunktion kann verhindert werden, dass Kinder und Jugendliche Zugang zu Angeboten erhalten, die für ihr Alter nicht freigegeben sind.
  • 5. E-Business-Dienste ohne Medienbruch: Der Ausweis ermöglicht onlinebasierte, medienbruchfreie Prozesse, die Zeit und Kosten sparen. Auch eine rechtskräftige Online-Unterschrift ist mit dem neuen Personalausweis möglich.

Stimmen zum nPA: Pro

"Die eID-Funktion des neuen Personalausweises ist eine nationale Basistechnologie für die Sicherheit und den Datenschutz der Bürgerinnen und Bürger und der Online-Anbieter im Internet.“

Die Online-Ausweisfunktion des neuen Personalausweises oder des elektronischen Aufenthaltstitels bietet einen sicheren und gegenseitigen Schutz der elektronischen Identität (eID). Zum einen garantieren starke Verschlüsselungsverfahren eine abhörsichere Übertragung der Personendaten des Ausweises zum Dienstanbieter. Zum anderen regelt ein staatliches Berechtigungssystem, auf welche Ausweisdaten Unternehmen oder Behörde zugreifen dürfen. Nach dem Datenschutzgrundsatz der Datensparsamkeit werden dabei nur die Personendaten freigegeben, die für den Geschäftszweck erforderlich sind. Wer Web-Dienste mit der eID-Funktion anbietet, belegt seine besondere Vertrauenswürdigkeit.

Die Online-Ausweisfunktion bietet mit ihrer Kombination aus Besitz und Wissen deutlich mehr Sicherheit als die Verwendung von Benutzernamen und Passwort. Anders als bei der Verwendung von Benutzernamen und Passwort (nur Wissen) reicht die Kenntnis der PIN für die eID-Funktion nicht aus, um persönliche Daten auszulesen. Die verschlüsselten Daten werden nur dann übermittelt, wenn der Ausweis (im Besitz des Ausweisinhabers) mit einem vom BSI zugelassenen Kartenlesegerät verbunden ist und die PIN (im Wissen des Ausweisinhabers) eingegeben wird. Die Verwendung fehlerfreier Personendaten eines nachweislichen Kunden senkt das Handelsrisiko.

Autor: Andreas Polster, Mag. Ing. Wirtschaftsinformatik, ist Referent im IT-Stab des Bundesministeriums des Innern und seit 2007 mit der Einführung des neuen Personalausweises, Grundsatzfragen der elektronischen Identität und der eID im kommerziellen Bereich befasst.

Stimmen zum nPA: Kontra

"Das „gefährliche“ am nPA ist nicht dessen Technik, sondern dessen unterstellte Beweissicherheit. Denn zu beweisen, dass der nPA bei der Anwendung doch manipuliert wurde, ist fast ein Ding der Unmöglichkeit, ein Anwender kann seine Unschuld also kaum beweisen.“

Ich möchte nicht der neuen Personalausweis als solchen verdammen, denn an sich ist er für Bürger und Unternehmen ein Mehrwert an Sicherheit. Mein Kritikpunkt ist vielmehr der, dass man bei der zugehörigen Rechtsprechung vorsichtig sein sollte. Denn der neue nPA gilt – soweit ich das verstanden habe – als beweissicher. Das bedeutet rechtlich gesehen, dass einem Bürger, wenn dessen PC für Geschäfte irgendwelcher Art mit dem nPA genutzt wurde, laut Anscheinsbeweis* unterstellt wird, dass er dies auch war. Und nun kommt das große Aber: Niemand kann einen Befall mit Viren und Trojanern auf seinem Computer verhindern, auch nicht mit Firewall und Virenscanner. Trojaner und Viren sind aber in der Lage, die vom nPA signierten Informationen unbemerkt auszutauschen oder zu manipulieren. So lassen sich beispielsweise im Namen des Opfers Geschäfte zu tätigen. Das gilt natürlich auch wenn zur Absicherung ein pin-pad-reader verwendet wird. Für ein Opfer ist es daher nahezu unmöglich, seine Unschuld zu beweisen – siehe eben den Anscheinsbeweis. Und damit ist das Risiko für den Anwender unüberschaubar - er bliebe gegebenenfalls mangels der Umkehrmöglichkeit der Beweislast auf dem Schaden sitzen. Wollen Sie so etwas empfehlen?

*rechtlicher Hintergrund:

Es gibt Beweismittel und Beweishilfen, von denen ganz unterschiedliche Beweishilfen zugelassen sind:

Offenkundige Tatsachen: Sie sind allgemein bekannt oder werden vom Gericht durch die amtliche Tätigkeit bereits erwartet. Solche Tatsachen müssen nicht mehr bewiesen werden.

Indizienbeweise bzw. Tatsachenvermutungen: Anders verhält es sich mit den Indizienbeweisen oder auch Tatsachenvermutungen. Hier werden die abhängigen und die unabhängigen Indizien voneinander unterschieden. Es können jedoch nur Indizien verwertet werden, die bewiesen oder unstreitig sind.

Die gesetzliche Vermutung: Hier wird aus einer bestimmten Tatsache, die vorhanden ist, auf das Bestehen oder das Nichtbestehen des Rechts geschlossen. Anders als bei der Tatsachenvermutung. Hier wird von einer Tatsache auf die andere Tatsache geschlossen.Beweishilfen des ersten Anscheins: Der Beweis des ersten Anscheins wird auch als Anscheinsbeweis oder prima-facie-Beweis bezeichnet. Diese Beweishilfe stützt sich auf den Grundsatz der allgemeinen Lebenserfahrung und den daraus resultierenden Vermutungen. So ist beispielsweise das Aufgeben eines Briefes bei der Post ist als Anscheinsbeweis zu bewerten.

Autor: Gunnar Porada war in seiner Jugend selber Hacker bevor er die Seiten wechselte. Nun ist er  über 20 Jahre in der IT-Security Branche aktiv und hat dabei unterschiedliche Positionen als Berater und Produkt Manager besetzt. Bekannt wurde er vor allem durch seine Vorträge zum Thema „Live-Hacking“ und sowie seine Demonstrationen zu potenziellen Sicherheitslücken beim npA.  Anfang 2010 gründete er in die in der Zentralschweiz ansässige Firma innoSec mit der Zielsetzung, innovative und effektive IT-Security Beratung durchzuführen.

RSS Feed

Entdecken Sie die Printmagazine des WIN-Verlags