CeBIT: Jetzt kommt der elektronische Personalausweis

Nun soll er also kommen, der elektronische Personalausweis und mit ihm auch die Möglichkeit, sich im Internet zu authentifizieren. Gestern wurde das Kärtchen, dass am dem 3. Quartal ausgegeben werden soll, auf der Computermesse CeBIT vorgestellt. Neu ist diese Meldung wirklich nicht, aber nun wird es konkret – wir bekommen das Ding.

(Bild: Bundesinnenministerium)

Laut einer Bitkom-Umfrage ist der elektronische Perso gar nicht so beliebt – und die Beliebtheit hinge nach dem verlinkten Heise-Bericht auch davon ab, ob die befragte Person das Internet nutzt oder nicht. Der ePA soll im Wesentlichen über die Möglichkeit verfügen, sich im Internet elektronisch „ausweisen“ zu können, da bleibt abzuwarten, ob das nicht recht schnell geknackt wird (man kann sich etliche Szenarien vorstellen, bei denen von Identitätsdieben und anderen Kriminellen ergaunerte Ausweisdaten Unschuldige in existenzbedrohender Weise belasten können). Neben dem Identitätsnachweis soll man mit dem Ausweise auch Dokumente digital signieren können, ähnliche Sicherheitsrisiken sind denkbar.

Ursprünglich wollte Schäuble, dass jedem Personalausweisinhaber zukünftig ein Fingerabdruck genommen und auch auf dem Ausweis elektronisch abgespeichert wird – das kommt, allerdings auf freiwilliger Basis, wie der FOCUS berichtete. Man kann der in diesem Artikel dargelegten Argumentation, dass sich verdächtig macht, wer von der freiwilligen Fingerabdruckabgabe keinen Gebrauch macht, durchaus folgen.

Insgesamt birgt der ePA deutliche Sicherheitsrisiken – aber viele werden einen ordentlichen Reibach damit machen. Wer einmal einen Blick in die Broschüre zum elektronischen Personalausweis des Bundesinnenministeriums wirft, der wird erstaunt sein, wer von der Privatwirtschaft sich etwas vom neuen Perso verspricht: Wincor Nixdorf, Tabakwaren Weber, der Verkehrsverbund Rhein-Ruhr, T-Systems, die SCHUFA, die Provinizial-Versicherungen, HUK24, die hessische Lotteriegesellschaft, Gothaer, DKB, Air Berlin, die Allianz…, um nur einige zu nennen. Alle sind sie spitz auf den ePA. Wer hat denen den bitte so viel Geld oder Einsparpotenzial versprochen?

Ich bin ein internetaffiner Mensch. Und nichts desto trotz habe ich bei Vertragsabschlüssen nur ganz selten einen Personalausweis gebraucht. Wenn man sich online einen Handyvertrag bestellt, wird der Perso vom Zusteller verifiziert – eine gangbare Methode (die dem Telco einmal Geld kostet, aber schließlich verdient der ja 24 Monate lang an mir). Einmal habe ich, glaube ich, meiner Bank eine Perso-Kopie mal gefaxt (gut, ich habe auch noch ein Faxgerät, die sind ja inzwischen am Verschwinden, aber wenn man einmal im Jahr die Ausweiskopie mit der Post – auch so was altmodisches – per Brief verschickt, fällt einem auch kein Ei aus der Hose).

Natürlich ist es praktisch, Dokumente digital signieren zu können,hier erwächst aber auch die efahr der Manipulation. Sehr wesentliche und wichtige Dokumente kann man auch mal per eingeschriebenem Brief versenden oder persönlich auf Ämtern abgeben. Das passiert dem Privatmann in der Regel nicht allzu häufig und stärkt den Schutz von Bürgern und Verbrauchern vor Betrug und Kriminellen, vor Datendiebstahl etc.

Natürlich kann ich mich auch mit dem neuen ePA so verhalten – wenn ich das noch kann. Wenn im Onlinehandel die Authentifizierung mit dem ePA Standard und damit Quasi-Pflicht wird, dann müssen die auf mein Geld eben verzichten. Nur, was passiert, wenn man wegen Kosteneinsparungen von Staat, Land und Kommunen zum Nutzen diverser e-Government-Angebote verpflichtet wird?

Ähnlich wird über Vor- und Nachteile auch hier diskutiert.

Ihr seht: Ich bin skeptisch. Und das hat gute Gründe: Ein Blick in die Vergangenheit zeigt, dass es wirklich keine einzige Technologie gibt, die als sicher bewertet werden kann. Der Blick in die jüngere Technikgeschichte zeit, dass es bislang keine Informationstechnologie gab, die nicht von Hackern in positiven Sinne oder von Kriminellen im negativen geknackt worden wäre, solange sie den sportlichen Ehrgeiz oder eine „kommerzielle“ Perspektiven der jeweiligen Angreifer geweckt hat. Und mit den ePA-Daten ließe sich im Zweifel jede Menge Unfung anstellen.

Will man dieses Risiko zum Preis einer möglicherweise flächendeckend verfügbaren Authentifizierungs- und Signaturfährigkeit eingehen? Ich selbst will das nicht, denn die Vergangenheit und Gegenwart zeigt, dass es auch ganz gut ohne elektronischen Reisepass und ePA geht.