Der neue Personalausweis - innovatives High Tech oder gläserner Bürger?

Im Dezember 2008 beschloss der Bundestag die Einführung eines neuen Personalausweises (nPA) im Scheckkartenformat. Ab dem 1. November 2010 soll er nun ausgegeben werden. Die Bundesregierung und das Bundesamt für Sicherheit in der Informationstechnik (BSI) preist die "wichtigste Karte" als innovativ, revolutionär und hochgradig sicher an. Datenschützer indes laufen Sturm, befürchten einen Orwellschen Überwachungsstaat und mannigfaltige Betrugsmöglichkeiten.

Auf dem nPA mit seinem eingebauten Chip werden alle Personalien inklusive Lichtbild und (auf Wunsch) Fingerabdrücke gespeichert und sind elektronisch mittels des kontaktfreien RFID-Verfahrens auslesbar. Mit dieser Technik sind heute schon Ski-Pässe, Zugangskarten zu Büros und Parkhäusern oder Studentenausweise ausgestattet.

Da die Datenübertragung per Funk geschieht, sehen Datenschützer hier große Risiken: es ist kein Kontakt mehr zwischen Chipkarte und Lesegerät nötig, wie es bei Bankkarten oder Versichertenkarten noch der Fall ist. Datenräuber könnten mit einem entsprechenden Lesegerät beispielsweise in der U-Bahn in großem Stil Ausweisdaten auslesen, ohne dass der nPA die Brieftasche des Ausweisinhabers verlässt. Auf einen Blankoausweis kopiert, wäre dem Datenmissbrauch und Identitätsdiebstahl Tür und Tor geöffnet.


Nicht zu knacken oder nicht zu fassen?

Das BSI beruhigt: Die Daten seien hochgradig verschlüsselt und durch eine individuelle PIN derart geschützt, dass die Daten nicht geknackt werden könnten. Noch nicht - denn wer weiß, welche Möglichkeiten die Hackergemeinschaft innerhalb der nächsten zehn Jahre, in welchen die erste Generation von nPAs gültig sein wird, noch erlangen werden.

Das elektronische Prüfverfahren für den Reisepass (ePass) hat sich jedenfalls als längst nicht so sicher wie versprochen herausgestellt. Ob das eigens für den nPA entwickelte Verschlüsselungsprotokoll ein Höchstmaß an Sicherheit garantieren kann, wird sich eben erst zeigen, wenn das System einmal implementiert ist und von den Hackern "ehrenamtlich getestet" wird. Einen Artikel zur Sicherheit des nPA finden Sie auch hier.

Ein weiteres Horrorszenario der Datenschützer ist die Möglichkeit, anhand der kontaktlosen Ausweisidentifikation ein Bewegungsprofil des Bürgers zu erstellen - wann er sich wo aufgehalten hat, also an einem Lesegerät vorbei gekommen ist; ob die Strecke im Fahrtenbuch des Dienstwagens auch wirklich richtig dokumentiert ist; ob er sich im Ausland aufgehalten hat usw. Der gläserne Bürger bekäme von all dem nichts mit. Hinter jedem Fenster, unter jeder Parkbank könnte ein Lesegerät versteckt sein. Perspektive: Paranoia.

Kein Grund zur Sorge, so das BSI, sei doch die Reichweite der kontaktlosen Abfrage auf wenige Zentimeter begrenzt und nur besondere Behörden wie etwa Polizei, Zollverwaltung, Steuerfahndung, Pass- und Personalausweisbehörden oder Einwohnermeldeämter hätten die entsprechenden Zertifikate, um Ausweisdaten ohne Zustimmung des Karteninhabers auszulesen.

Allerdings kann man nicht garantieren, dass irgendwann ein solches Zertifikat den Weg in die falschen Hände findet. Zudem bedeutet das Wort "Ausweispflicht" nicht, dass man seinen Ausweis stets dabei haben muss. Man muss lediglich im Besitz eines gültigen Ausweises sein, der kann aber auch daheim bleiben.