Elektronischer Personalausweis: Sicherer Weg in die digitale Welt

Was der neue Personalausweis leistet und warum er den elektronischen Heilberufsausweis nicht ersetzen kann

Wer einen neuen Personalausweis benötigt, erhält seit dem 1. November 2010 den neuen elektronischen Personalausweis (nPA) in den Einwohnermeldeämtern. Bestehende Personalausweise bleiben bis zum jeweiligen Laufzeitende gültig, so dass in spätestens zehn Jahren alle Bundesbürger mit dem neuen Personalausweis ausgestattet sein werden. Ein vorzeitiger Austausch ist jederzeit möglich. Der nPA wird vor allem eingeführt, um die Fälschungssicherheit zu erhöhen und um den Personalausweis auch zur Identifikation in der elektronischen Welt verwenden zu können. Damit hält eine Reihe von neuen hoheitlichen (staatlichen) und nichthoheitlichen Funktionen Einzug. Doch auch im gewohnten Umgang mit dem Personalausweis sind Änderungen erforderlich.

Fotos: BMI

Rein äußerlich fällt das geldbörsenfreundlichere Chipkartenformat des nPA direkt ins Auge. Der nPA ist aus stabilem Polycarbonat und wird von der Bundesdruckerei produziert. Neu sind die Aufnahme der Postleitzahl im Anschriftenfeld sowie die Wiederaufnahmemöglichkeit von Ordens- und Künstlernamen auf der Ausweisrückseite.

Besonderheiten des nPA

Im Gegensatz zu anderen Mikroprozessorchipkarten, wie EC- oder Kreditkarten, elektronischen Gesundheitskarten und elektronischen Heilberufsausweisen, besitzt der nPA keinerlei Chip-Kontaktfläche. Der Ausweis ist eine Kontaktloskarte, das heißt, die elektronische Kommunikation zwischen dem Lesegerät und dem im Inneren des nPA enthaltenen Chip läuft über eine im Kartenkörper eingelassene Antenne mittels Nahfunk. Hierüber wird der Chip zudem durch elektromagnetische Induktion mit Strom versorgt. Der nPA verwendet dieselbe RFID-Technologie (radio-frequency identification) wie der elektronische Reisepass, der ebenfalls einen Funkchip enthält.

Neu und gegebenenfalls wichtig für den Praxisalltag ist, dass für den nPA keine Hinterlegungspflicht mehr besteht (§ 1 Absatz 1 PAuswG; Personalausweisgesetz). Das heißt, eine Aufforderung an den Inhaber, den Ausweis zum Beispiel als Pfand zu hinterlegen, ist nicht mehr statthaft; der Bürger kann dies verwehren. Das bedeutet, dass sich der Bürger zwar mit dem nPA ausweisen kann, für das „Pfandmanagement“ sind aber andere Wege zu etablieren. Diese Änderung begründet sich mit den weiteren elektronischen Funktionen des nPA.

Die einzelnen Elemente auf der Vorder- und Rückseite des neuen Personalausweises, der ab dem 1. November 2010 die elektronische Identifikation in vielen Geschäftsprozessen erleichtern soll.

Zusätzlich zur herkömmlichen Funktion des Ausweises als Sichtausweis unterstützt der neue Personalausweis drei elektronische Funktionen (Kasten). So bietet er den für die Identitätsfeststellung berechtigten Behörden (Polizei, Zoll etc.) die Möglichkeit des elektronischen Zugriffs auf die eigentliche Ausweisfunktion des nPA. Diese Funktion („hoheitliche Biometriefunktion“) stellt ein wesentliches Merkmal der höheren Fälschungssicherheit des nPA gegenüber den bisherigen Ausweisen dar. Außerdem beinhaltet der nPA eine Online-Ausweisfunktion („eID-Funktion“). Hiermit soll sich der Bürger beispielsweise im Internet sicher authentifizieren („Das bin ich!“). Optional kann er zudem – wie bei der elektronischen Gesundheitskarte auch – eine elektronische Signaturfunktion kostenpflichtig auf dem nPA aktivieren. Diese qualifizierte elektronische Signatur gemäß dem Signaturgesetz bietet ein rechtssicheres Äquivalent zur eigenhändigen Unterschrift im elektronischen Rechts- und Geschäftsverkehr (rechtssicheres Signieren von Verträgen, Willenserklärungen: „Das will ich!“).

Wesentliche Voraussetzungen für eine erfolgreiche Etablierung der eID-Funktion im privatwirtschaftlichen Umfeld und im eGovernment sind eine Software beim Anwender, geeignete Kartenlesegeräte und der sogenannte eID-Server beim Dienstanbieter. Für den Aufbau dieser Infrastruktur hat der Bund mit Mitteln aus dem Konjunkturpaket II eine Software („AusweisApp“) entwickeln lassen, die für alle Bürger zur privaten Nutzung kostenfrei zur Verfügung steht und mit der die Online-Ausweisfunktion von zu Hause aus genutzt werden kann. Außerdem ist sie als Signaturanwendungskomponente gemäß den Anforderungen des deutschen Signaturgesetzes zugelassen. (Die Bundesärztekammer wird dafür Sorge tragen, dass auch die Unterstützung der bereits vorhandenen und künftigen Generationen der elektronischen Arztausweise durch diese Software sichergestellt wird.)

Mit 24 Millionen Euro aus dem Konjunkturpaket hat der Bund die Anschaffung von nPA-fähigen Kartenlesern gefördert. Diese Kartenleser werden unter anderem als Teil von 1,5 Millionen „IT-Sicherheitskits“ auf unterschiedlichen Wegen kostenfrei oder verbilligt verfügbar gemacht. Damit soll das „Henne-Ei-Problem“ zwischen Diensten und Anwendungen auf der einen Seite sowie der Verfügbarkeit der nötigen Infrastruktur und der Komponenten (Kartenterminals) auf der anderen Seite minimiert werden.

Warum noch ein eHBA?

Die Stärke der verwendeten Sicherheitsmechanismen beim nPA und elektronischen Heilberufsausweis (eHBA) ist gleichwertig. Aber jeder eHBA – und somit auch jeder elektronische Arztausweis (eArztausweis) – bietet immer die Möglichkeiten zur qualifizierten elektronischen Signatur sowie – im Gegensatz zum nPa – der sicheren Ver- und Entschlüsselung. Darüber hinaus sind mit dem eHBA der Offline-Zugriff auf die geschützten Notfalldaten der elektronischen Gesundheitskarte und die Abbildung von Berufsgruppenberechtigungen möglich. Diese Funktionalitäten bietet der nPA naturgemäß nicht. Wie der nPA kann der eArztausweis grundsätzlich für die Authentifizierung in verschiedenen Systemen verwendet werden, allerdings nicht auf Basis der eID-Funktionalität, sondern mittels der standardmäßig auf dem eArztausweis enthaltenen X.509-Zertifikate.

Kartenleser mit eigenem Pin-Pad (Zifferneingabefeld) zur Eingabe der PIN bieten ein hohes Maß an Sicherheit. Foto: dapd

Der eArztausweis unterstützt – im Gegensatz zum neuen Personalausweis – ebenfalls die Stapel- und Komfortsignaturen gemäß den Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie die Konzepte zur entfernten PIN-Eingabe. Das heißt, der Arzt müsste für den Einsatz des nPA diesen stets bei sich tragen, da eine entfernte Auslösung einer Signatur aus jedem beliebigen Behandlungszimmer nicht möglich ist. Zudem muss beim nPA für jede Signatur zusätzlich zur Signatur-PIN stets auch die Karten-PIN (zur Absicherung der Funkschnittstelle) eingegeben werden. Diese zweifache PIN-Eingabe ist für die Prozesse in einer Arztpraxis nicht zumutbar. Schließlich ist auch kein Ersatzkartenkonzept mit dem nPA möglich, da ein Bürger nicht mehrere gleichzeitig aktive Personalausweise besitzen kann. Auch ein künftig notwendiger Daten- und Berechtigungserhalt ist nur unter enormen Aufwand mit dem nPA umsetzbar.

Die künftigen Generationen der elektronischen Gesundheitskarte und der Heilberufsausweise werden voraussichtlich ebenfalls die kontaktlose Schnittstelle verwenden, allein wegen der physischen Robustheit. Die kryptografische Absicherung der Funkschnittstelle ist jedenfalls als sehr hoch anzusehen und, laut BSI, für die zehnjährige Laufzeit der Personalausweise ausreichend. Damit ist auch davon auszugehen, dass eine Verlängerung der Laufzeit der eArztausweise von heute fünf Jahren denkbar ist.

Vorderansicht des standardisierten, bundesweit gültigen elektronischen Arztausweises

Sowohl nPA als auch eHBA sind hochsichere Werkzeuge, die nicht für sich allein, sondern erst in Kombination mit sinnvollen Anwendungen und Diensten Mehrwerte und Synergien und eine Erhöhung der Sicherheit bieten können. Beide Ausweise sind auf eine dahinterliegende Infrastruktur angewiesen, deren bundesweiter Aufbau mühsam und langwierig ist und die eigentliche Herausforderung darstellt. Stehen die Komponenten und Infrastrukturen zur Verfügung, ist eine anwendungsübergreifende Interoperabilität realisierbar, die es ermöglicht, dass sich die Nutzer immer mittels derselben sicherheitsevaluierten Komponenten und Verfahren authentifizieren und nicht für jede Anwendung proprietäre Verfahren, wie Username/Passwort, realisiert werden müssen.

Es wäre also vermeidbar, dass eine Vielzahl schwacher Passwörter, „gemeinsame Username/Passwort-Kombinationen“ für komplette Krankenhausstationen oder Post-It’s am Monitor vielerorts den Status quo im Gesundheitswesen darstellen, und auch die Nachvollziehbarkeit von Datenzugriffen ließe sich damit im Sinne des Datenschutzes wesentlich erhöhen. Damit diese gelebte Bequemlichkeit nicht als Argument gegen die Datensicherheit greift, stehen die Anwendungs- und Dienstentwickler vor der Herausforderung, die kartenbasierten Abläufe praktikabel für den Alltag zu gestalten.

Bewertung und Ausblick

Als hinderlich für die Akzeptanz des neuen Ausweises könnte sich erweisen, dass dieser lediglich optional mit einer elektronischen Signaturfunktion ausgestattet ist, denn diese stellt als Willenserklärung im Geschäfts- und Rechtsverkehr und im Umgang mit Behörden letztlich den eigentlichen Mehrwert zum derzeitigen Personalausweis dar. Nachbesserungsbedarf besteht auch für die Anzeige der vorhandenen optionalen Funktionalitäten des nPA bei seiner Verwendung gegenüber den Dienstanbietern. Diese können nicht sicher davon ausgehen, dass die Signatur tatsächlich unterstützt wird. Dies hat zur Folge, dass elektronisch initiierte Vorgänge dann doch unterbrochen werden (zum Nachladen der Signatur) oder papierbasiert fortgeführt werden müssen. Ein Nachteil ist auch, dass keine Verschlüsselungsfunktion mit dem nPA angeboten wird.

Ob und inwiefern dieses Angebot und die damit verbundenen Möglichkeiten sowohl von den Bürgern als auch von den Anwendungs- und Dienstanbietern angenommen werden, ist derzeit noch nicht abzuschätzen. Sichtbar ist bereits jetzt, dass die 2005 gestartete „eCard-Initiative“ des Bundes weiter fortschreitet, die Infrastrukturen aufgebaut werden und die öffentlichen Verwaltungen zunehmend auf elektronische Verfahren umstellen werden.

Beispielhaft sei hier das Bürgerportal der Stadt Hagen erwähnt (www.hagen.de), über das mittels nPA zum Beispiel verschiedene Formulardienste oder die Anforderung von Urkunden und Führungszeugnissen genutzt werden können. Selbstbedienungsterminals (eKioske) oder die Nutzung von Dienstleistungen über das Internet sind angedacht. Die Kfz-Zulassung, direkt vom Autohändler aus mit dem nPA, wird bereits erprobt.

In den vergangenen Monaten lief ein größerer Feldtest mit mehr als 200 Unternehmen und 27 Behörden. Laut Auskunft des Bundesministeriums des Innern sind alle Teilprojekte, unter anderem auch das zentral aufzubauende Sperrmanagement für gestohlene oder verlorene Ausweise, im Plan. Es ist aber davon auszugehen, dass die Feldtests auch weiterhin fortgeführt werden und eine Vielzahl weiterer (gewerblicher und behördlicher) Anbieter die nichthoheitliche eID-Funtion des nPA in ihre Dienstleistungen integrieren werden.

Dipl.-Ing. Dirk Schladweiler,
Leiter Projektbüro elektronischer Arztausweis
im Telematik-Dezernat der Bundesärztekammer

Informationen: www.personalausweisportal.de (Quelle: Bundesministerium des Innern)

Elektronische Funktionen des neuen Personalausweises

• Hoheitliche Biometriefunktion: Wie der bisherige Personalausweis enthält auch der neue Personalausweis (nPA) biometrische Daten, wie die Unterschrift, Größe und Augenfarbe sowie ein Passbild für die Funktion als Sichtausweis. Das Gesichtsbild und – freiwillig für den Bürger – auch Fingerabdrücke werden zusätzlich in elektronischer Form auf dem Ausweis abgelegt. Sämtliche im Chip gespeicherten biometrischen Daten stehen ausschließlich für die hoheitliche Funktion des nPA zur Verfügung. Für den gesicherten Zugriff auf diese Daten sind spezielle Geräte und kryptografische Verfahren (hoheitliche Berechtigungszertifikate) für die zugreifenden Instanzen nötig, mit denen sichergestellt wird, dass nicht unbefugt auf diese Daten zugegriffen wird. Die Eingabe einer PIN durch den Bürger ist für den hoheitlichen Zugriff nicht nötig. Um ein für den Bürger unbemerktes Auslesen zu verhindern, muss die sogenannte Zugangsnummer von der nPA-Vorderseite durch den Behördenmitarbeiter eingegeben werden.

Nur das Gesichtsbild wird dezentral in den ausgebenden Einwohnermeldeämtern gespeichert. Sämtliche anderen biometrischen Daten werden nur auf dem Ausweis selbst – und nicht zentral – abgelegt.

• Signaturfunktion: Optional bietet der nPA seinem Inhaber auch die Möglichkeit, eine qualifizierte elektronische Signaturfunktion (QES) kostenpflichtig von einem der am Markt verfügbaren Zertifizierungsdiensteanbieter über ein Online-Verfahren auf den nPA nachzuladen beziehungsweise zu aktivieren. Für die Nutzung der QES ist eine gesonderte 6-stellige PIN, die Signatur-PIN, einzugeben. Diese ist jederzeit veränderbar und muss bei Aktivierung vom Bürger auf eine gewünschte PIN gesetzt werden.
• Online-Ausweisfunktion: Der elektronische Identitätsnachweis („eID-Funktion“) ist sowohl online als auch offline und nur nach PIN-Autorisation durch den Bürger nutzbar. Auch diese PIN ist 6-stellig und jederzeit änderbar. Nach mehrfacher PIN-Falscheingabe ist die eID-Funktion blockiert und kann mittels der „Zugangsnummer“ wieder freigeschaltet werden. Die Nutzung der eID-Funktion ist freiwillig. Die Funktion kann in den Meldeämtern jederzeit (auch nachträglich) an- oder abgeschaltet werden. Das Abschalten ist kostenfrei, das nachträgliche Anschalten kostet circa sechs Euro.

Die eID-Funktion dient dem Identitätsnachweis, also der Authentifikation des Bürgers etwa im Internet beziehungsweise im elektronischen Geschäftsverkehr und im Umgang mit Behörden (eBusiness, eFinanzservice, eGovernment). Denkbar ist aber auch, dass der elektronische Identitätsnachweis für die Zugangskontrolle zu geschlossenen IT-Domänen (etwa Krankenhausinformationssystemen) oder für die Zugangskontrolle in Krankenhäusern eingesetzt wird. Hierfür müssen die Unternehmen lediglich ein Zertifikat bei der Vergabestelle für Berechtigungszertifikate, einer Organisation des Bundesverwaltungsamtes, erwerben und die berechtigten Personalausweise in das Identitätsmanagement der Zugangssysteme integrieren.

Die Lösung mit der direkt vom Personalausweis interpretierten Berechtigungszertifikate ist datenschutzfreundlich im Sinne der Datensparsamkeit ausgestaltet worden, da hiermit der Bürger die Möglichkeit erhält, gezielt nur die für den Anwendungsfall relevanten Informationen zu übertragen. Dies bedeutet beispielsweise, dass der nPA zur Altersverifikation im Internet oder an Automaten eingesetzt werden kann und ausschließlich dem amtlich gesicherten Altersnachweis („ist älter als 18“) dient, ohne sonstige Informationen (wie das genaue Geburtsdatum) zu übermitteln. Auch pseudonyme Kennungen sind realisierbar, wobei diese dienst- und kartenspezifisch generiert werden. Damit lässt sich sicherstellen, dass ein Dienstanbieter nur den „Nachweis der selben Identität“, ohne Zusatzinformationen, erhält und keine weiteren Informationen miteinander verketten kann. Im Rahmen der Vergabe der Berechtigungszertifikate muss der potenzielle Dienstanbieter begründen, warum er auf welche Informationselemente (Name, Vorname, Geburtsdatum) zugreifen will. Nur diese werden dem Bürger im elektronischen Dialog mit dem Dienstanbieter angezeigt, und der Bürger kann auch gezielt die Übertragung einzelner Elemente „verweigern“.