Sicherheitsrisiken und Kosten des neuen Personalausweises
der Abgeordneten Jan Korte, Petra Pau, Jens Petermann, Frank Tempel und der Fraktion DIE LINKE.
Vorbemerkung
Am 1. November 2010 wurde, trotz vielfacher Kritik, der maschinenlesbare neue Personalausweis eingeführt. Obwohl Verbraucherschützer die Kosten bemängeln, Datenschützer und Computerexperten massive Sicherheitsbedenken äußerten und der neue Personalausweis insgesamt nicht ausgereift erscheint, soll der neue Personalausweis nach Ansicht der Bundesregierung auch Geschäfte im Internet sicherer machen.
Der neue Personalausweis wird mit regulär 28,80 Euro mehr als das Dreifache des jetzigen Personalausweises kosten. Er hat die Maße einer Scheckkarte, benötigt ein Lichtbild mit neutralem Gesichtsausdruck und wird mit einem RFID-Chip (RFID: Identifizierung mit Hilfe von elektromagnetischen Wellen) ausgestattet sein.
Dieser Funkchip soll biometrische Daten wie eine Kopie des Bildes mit Gesichtsbiometrie und – vorläufig freiwillig – auch die Fingerabdrücke der Zeigefinger des betroffenen Bundesbürgers enthalten.
Für Online-Angebote gibt es zusätzliche Optionen, eine elektronische Identitätsbestätigung (eID), eine kostenpflichtige, qualifizierte elektronische Signatur (QES) zum elektronischen Unterschreiben und eine Pseudonymfunktion zur Bestätigung der Person, ohne persönliche Informationen von sich preisgeben zu müssen.
Um diese Funktionen nutzen zu können, braucht man spezielle Lesegeräte, über die der Ausweis mit einem Computer verbunden wird. Dies birgt jedoch ein großes Sicherheitsproblem, da viele Computer ungenügend geschützt sind. Deutschland befand sich Anfang des Jahres auf der Rangliste der Länder mit den meisten infizierten Rechnern auf Platz drei. Nach Schätzungen von IT-Sicherheitsexperten sollen mehrere hunderttausend Rechner in Deutschland von sogenannten illegalen Botnetzen genutzt werden (vgl. taz vom 25. August 2010). Auf den infizierten und gekaperten Rechnern befinden sich ohne Wissen der Benutzerinnen und Benutzer Schadprogramme, mit deren Hilfe die Ressourcen des PCs von Kriminellen unbemerkt genutzt und auch PINs von Bankkonten ausgeforscht werden können.
Will man also schon durch die Hardware einem Missbrauch möglichst gut vorbeugen, sollte man laut dem Bundesministerium des Innern (BMI) einen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten Standard- oder besser einen Komfortleser der höchsten Sicherheitsklasse benutzen. Doch neben den erwähnten Sicherheitsproblemen sind die derzeit zur Verfügung stehenden Lesegeräte nach Angaben „DER SPIEGEL“ Mangelware. Bislang seien nur drei Modelle offiziell zertifiziert, von deren Benutzung das BMI selbst aus Sicherheitsgründen aber abrät, da alle drei Geräte nur Basisleser sind, deren Sicherheitsprobleme der Chaos Computer Club e. V. erst kürzlich nachweisen konnte (vgl. SPIEGEL ONLINE vom 15. Oktober 2010). Bei der Billigvariante kann Schadsoftware, etwa ein sogenannter Trojaner, die sechsstellige PIN mitlesen. Von den zehn beim Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS gelisteten Herstellern stellen nur zwei auch die sicherste Variante, den Komfortleser her. Dabei braucht man dieses Gerät der höchsten Sicherheitsklasse, will man alle angepriesenen Fähigkeiten des neuen Personalausweises nutzen: Die Unterschriftsfunktion, mit der man online Dokumente rechtsverbindlich unterzeichnen kann, wird nur mit einem Komfortleser für mehr als 150 Euro möglich sein. Am 3. November 2010 waren nach Angaben des Kompetenzzentrum neuer Personalausweis beim Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS (vgl. www.ccepa.de) weder ein Standardleser noch ein Komfortlesegerät, sondern nur die drei vom „DER SPIEGEL“ erwähnten unsicheren Basislesegeräte durch das BSI zertifiziert.
Trotz der unbestrittenen Sicherheitsprobleme sollen auch die derzeitigen Haftungsregelungen – im Falle des Missbrauchs von digitalen Identitäten – weiter gelten, die schon jetzt von Verbraucherschützern als unzureichend bezeichnet werden. Angesichts der Fülle von Daten aus unterschiedlichsten Bereichen, die in der Vollversion des ePerso dort gespeichert bzw. mit ihm abgerufen sind, kann ein Verweis auf Sicherheitsmaßnahmen, die jeder Bürger selbst zu treffen hat, nicht ausreichend sein bei Dokumenten, die jeder Bürger haben muss. Ist hier kein akzeptabler Sicherheitsstandard für alle zu gewährleisten, darf eine solche Technik oder ein solches Instrument nicht obligatorisch eingeführt werden. Die Bundesregierung ist für die Sicherheit, die sie verspricht, verantwortlich.
Wir fragen die Bundesregierung:
Fragen20
Wie hoch wurden die Kosten für das Projekt neuer Personalausweis zu Beginn geschätzt (Planung, Entwicklung, Sicherheit etc.)?
Wie hoch sind die bisherigen Kosten (bitte nach Jahren auflisten)?
Wie hoch werden sich die Kosten insgesamt belaufen, bis der neue Personalausweis vollständig ausgegeben worden ist?
Welche Kosten kamen bereits und werden noch im Zusammenhang mit dem neuen Personalausweis nach Kenntnis der Bundesregierung auf die Gemeinden und Kommunen zukommen (bitte aufschlüsseln nach Beantragung/ Erstellung, künftig anzubietende online-Dienste im Rahmen von E-Government und einschließlich Berechtigungszertifikate, ID-Service, IT-System-, Software- und IT-Integrationskosten)?
Welche Schlüsse zieht die Bundesregierung aus den vier Gutachten zu Restrisiken (Dietrich, Rossow, Pohlmann. „Restrisiken beim Einsatz der AusweisApp auf dem Bürger PC …“. FH Gelsenkirchen, Fachbereich Informatik. Institut für Internet-Sicherheit. Oktober 2010), Rechtsfragen (Prof. Dr. G. Borges. „Rechtsfragen der Haftung im Zusammenhang mit dem eIdentitätsnachweis …“. Ruhr Universität Bochum), Software (Grote, Keizer u. a. „Vom Client zur APP“. Hasso Plattner Institut. 30. September 2010) und Sicherheitsanalyse (Dagdelen, Fischlin. „Sicherheitsanalyse des EAC-Protokolls“. TU Darmstadt) (bitte jeweils getrennt aufführen)?
Wie gedenkt die Bundesregierung die derzeitige Situation bei den offiziell zertifizierten Lesegeräten, von deren Gebrauch das BMI aus Sicherheitsgründen abrät, zu ändern?
Welche vom BSI zertifizierten Lesegeräte (Basis-, Standard- oder Komfortlesegerät) stehen ab wann, und zu welchem Preis zur Verfügung?
Welche anderen zertifizierten Lesegeräte stehen ab wann, und zu welchem Preis zur Verfügung?
Hat die Bundesregierung mögliche Schadensersatzansprüche gegen die Hersteller der unsicheren Basislesegeräte geprüft?
Wenn ja, mit welchem Ergebnis, und wenn nein, warum nicht?
Hält die Bundesregierung einen Rückruf der unsicheren Basislesegeräte für notwendig?
Wenn ja, wann wird dieser erfolgen?
Wenn nein, warum nicht?
Wie sah der ursprüngliche Zeitplan der Implementierung des neuen Personalausweises aus (bitte nach Entwicklung, Testphasen, Zertifizierung, Ausgabe und Verbreitung der Lesegeräte aufschlüsseln)?
Um wie viele Monate hinkt die Entwicklung, Zertifizierung und Verteilung der nach bisherigem Stand sicheren Lesegeräte hinter dem ursprünglichen Zeitplan her?
Wird die Bundesregierung an ihrem Vorhaben festhalten und die Verbreitung der Kartenleser mit 24 Mio. Euro aus dem Konjunkturpaket II finanziell unterstützen?
Wenn ja, auf welche Gerätemodelle verteilen sich die finanziellen Mittel im Detail (bitte aufschlüsseln)?
Welche Beträge der aus dem IT-Sonderprogramm im Haushalt eingeplanten 24 Mio. Euro sind bereits für welche Maßnahmen ausgegeben worden, und wofür ist der Rest verbindlich vergeben?
Wurden Firmen für die Entwicklung und Erprobung von Lesegeräten finanzielle Unterstützungen aus dem Bundeshaushalt gewährt (bitte nach Firma, Modell, Höhe der Förderung und Zeitrahmen aufschlüsseln)?
Rechnet die Bundesregierung mit zusätzlichen Kosten bei der Entwicklung, Zertifizierung und Verteilung von sicheren Lesegeräten, und wenn ja, in welcher Höhe?
Wann werden nach Einschätzung der Bundesregierung wie viele Bundesbürger bis 2020 den neuen Personalausweis besitzen und nutzen (bitte nach Anzahl und Monaten/Jahren aufschlüsseln)?
Wann werden die sicheren Lesegeräte der höchsten Sicherheitsklasse frei erhältlich sein, und mit welchen Kosten pro Stück rechnet derzeit die Bundesregierung?
Hält die Bundesregierung daran fest, dass eine Änderung der Haftungsregelungen nicht erforderlich sei, weil ja jeder Einzelne selbst entscheide, welche Dienste er in welchem Umfang in Anspruch nehmen wolle?
Erfüllt nach Auffassung der Bundesregierung die am 1. November 2010 bereitgestellte Technik die Anforderungen und Versprechungen nach mehr Sicherheit für die Bürgerinnen und Bürger, die einen neuen Personalausweis erhalten und nutzen?