Dr. Martin Bartonitz ist stellvertretender Leiter des Competence Center Elektronische Signaturen beim Verband Organisations- und Informationssysteme (VOI) und arbeitet beim Dokumenten-Management-Hersteller „Saperion". Der Experte für elektronische Signaturen prüft zurzeit als ausgewählter Proband den neuen Personalausweis auf Herz und Nieren. CIO.de berichtete bereits über den Anwendungstest in den Artikeln "Der Ausweis fürs Internet" und "Der Elektronische Personalausweis kommt".
CIO.de: Haben Sie sich den neuen Personalausweis schon besorgt?
Martin Bartonitz: Nein, den neuen Ausweis gibt es ja erst ab 1. November, im Moment werden noch die Mitarbeiter auf den Ämtern geschult. Wenn ich ihn dann Anfang November bestelle, wird er mir wohl erst in der dritten Novemberwoche ausgehändigt. Alle, die bisher mit dem Ausweis zu tun haben, besitzen nur eine Testkarte, die etwas anders tickt. Auch die Kartenlesegeräte sind noch etwas anders ausgestattet. Erst mit dem neuen Ausweis kommen sie in der endgültigen Version auf den Markt.
CIO.de: Sie experimentieren aber schon mit Ihrem Testausweis?
Bartonitz: Ja. Ich habe einen eigenen personalisierten Personalausweis mit meinen Daten und eigenem Foto zum Testen erhalten. Die meisten anderen arbeiten mit einem Ausweis, der auf „Max Mustermann" ausgestellt ist.
CIO.de: Was probieren Sie aus?
Bartonitz: Uns interessieret zum einen die eID, also die elektronische Identität, die auf dem Ausweis enthalten ist. Über diese kann ich mich bei Anwendungen über das Internet authentifizieren. Im Augenblick machen 30 Unternehmen bei dem Anwendungstest mit. Die bieten aber nicht alle etwas an, was ich auch haben möchte. Ich wollte mir ja keine neue Versicherung zulegen, und auch bei den Verkehrsbetrieben Düsseldorf, wo es wohl ein Terminal gibt, wollte ich mir keine Monatskarte kaufen. Ich habe mir dann lieber im Fujitsu-Shop mit meinem Ausweis einen Zugang eingerichtet und eine neue Maus bestellt.
CIO.de: Das hat gut funktioniert?
Bartonitz: Ja, das hat einwandfrei funktioniert. Ich hatte auch den Eindruck, dass das sicher genug ist. Es gab ja vor einigen Wochen einen Beitrag vom Chaos Computer Club, der schlecht recherchiert war. Mich hat gewundert, dass der CCC damit zur ARD gegangen ist. Denn das, was dort gezeigt wurde, betrifft ja grundsätzlich alle Internet-Anwendungen. Da ging es also gar nicht vorrangig um den neuen Ausweis. Die haben einen Trojaner per E-Mail verschickt, und da es auf dem PC keinen Virenschutz gab, ist der Trojaner dann im System gelandet.
"Das kann so nicht stimmen"
Dann kann ich natürlich sehen, was dort auf dem Bildschirm passiert. Wenn ich zudem noch einen Keylogger versende, der sich dort einnistet, bekomme ich natürlich mit, was auf der Tastatur getippt wird. In diesem Fall wurde ein Kartenlesegerät ohne eigene Tastatur verwendet, so dass auf dem Keyboard getippt werden musste. Das ist dann natürlich unsicher. Und jeder, der ins Internet geht, sollte sich natürlich davor schützen. Ich besitze noch ein anderes Kartenlesegerät, das für das elektronische Signieren verwendetet wird. Es besitzt eine Tastatur, was entsprechend sicherer ist, denn da kommt auch kein Keylogger dran.
CIO.de: Was stimmte noch nicht in dem Bericht?
Bartonitz: Dort wurde behauptet, man könnte auf dem Bildschirm die Daten sehen, desjenigen, der sich mit dem neuen Ausweis authentifiziert hat. Das kann so nicht stimmen, denn die Daten, die übertragen werden, werden gar nicht angezeigt. Ich kann nur entscheiden, ob ich meinen Namen, mein Alter, meine Adresse etc. weiter geben will, ohne dass diese Daten angezeigt werden. Die Ausweis-App, wie er jetzt heißt, der ehemalige Bürgerclient, zeigt keinerlei Daten an.
CIO.de: Diese Berichterstattung ärgert sie?
Bartonitz: Ja, das ärgert mich enorm. Denn wir haben ja jetzt die große Chance, auf mehr Green-IT, nämlich dahin zu kommen, dass man weniger Papier verwendet, weil mehr Kommunikation gesichert, nachweisbar und beweisbar abgewickelt werden kann, so dass man auf das Papier verzichten kann. Schlecht recherchierte Beiträge wie dieser verunsichern alle, die nicht so tief in der Materie stecken, um beurteilen zu können, wie sicher das ganze Verfahren wirklich ist.
CIO.de: Meinen Sie, dass hier noch Aufklärungsarbeit nötig ist?
Bartonitz: Mich wundert, dass es doch noch relativ still ist, was den Prozess des neuen Personalausweises angeht. Die Tests laufen zwar, man sieht aber wenige Berichte derjenigen, die organisatorisch hinter dem neuen Ausweis stehen. Es gibt zwar ein Kompetenzcenter, doch die Innformationen dort sind relativ dünn.
Zu wenig Marketing für den neuen Personalausweis
Mich wundert, dass man den neuen Ausweis mit so wenig Marketing bewirbt. Für die Ausgabe der IT-Sicherheitspakete wird mit 24 Millionen Euro viel Geld in die Hand genommen. Die Bürger erhalten verbilligte Kartenlesegeräte und Software. Aber, wenn so wenig Werbung dafür gemacht wird ist, bleibt die Frage, wer das denn dann kauft. Außerdem gibt es ein Henne-Ei-Problem: Das heißt, die Bürger können den neuen Personalausweis nutzen, aber es gibt bisher nur wenige der angekündigten Anwendungen.
Zertifikat ist nicht gleich mit dabei
Alle, die eine Anwendung anbieten, bei der man sich mit dem neuen Ausweis über das Internet authentifiziert, müssen ja auch ein Stück Software implementieren. Das machen wohl nur wenige, weil sie befürchten, dass sich kaum jemand den Personalausweis mit der neuen optionalen eID-Funktion bestellt. Und wenn man mit dem Ausweis digital signieren will, muss man ja noch einmal zusätzlich Geld ausgeben. Das Zertifikat zum Signieren wird nicht zugleich mit dem Ausweis ausgeben. Man muss anschließend prüfen, wo man ein Zertifikat zum Signieren bekommt, das man selber aufspielen muss. Es kostet einen höheren zweistelligen Euro-Betrag und gilt nur für drei Jahre, danach muss man noch einmal bezahlen.
CIO.de: Was wünschen Sie sich?
Bartonitz: Ich hätte mir gewünscht, dass das Zertifikat gleich mit dabei ist, und dass diejenigen, die davon profitieren in einen Fonds einzahlen und die digitale Signatur so mit finanzieren. Denn die Banken und Versicherungen sowie alle Branche, bei denen Kunden etwas unterschreiben müssen profitieren ja davon. Diese Unternehmen freuen sich doch darüber, wenn das zukünftig elektronisch und nicht mehr auf Papier passiert.
CIO.de: Was ist der Grund, warum dem nicht so ist?
Bartonitz: Der Grund liegt 15 Jahre zurück. Als damals die Signaturkarten eingeführt wurden, hat man gesagt, das machen wir nicht in bundeshoheitlicher Verwaltung, sondern lassen es privat finanzieren. So haben die Zertifizierungsdienste-Anbieter aufgerüstet und für die Ausgabe und die Verwaltung der Zertifikate Rechenzentren gebaut. Diese Unternehmen haben Geld in die Hand genommen, um dann daran zu verdienen. Das hat schon damals nicht geklappt. Es sind kaum Karten verkauft worden. Da habe ich schon die Sorge, dass es mit dem neuen Ausweis einen ähnlicher Schuss in den Ofen gibt, wenn das nicht entsprechend gefördert wird.
Ich hätte mir gewünscht, dass da deutlich mehr gemacht wird. Die Finnen zum Beispiel haben die digitale Signatur komplett kostenfrei gestellt. Das hat gut funktioniert. Warum also nicht auch in einem Land wie Deutschland, das ja hier auch Vorreiter sein will? Da wurde gepatzt.
CIO.de: Könnte sich das noch ändern?
Bartonitz: Ich könnte mir vorstellen, dass doch die eine oder andre Großbank oder die eine oder andere große Versicherung ihren Kunden entsprechende Geräte und Zertifikate kostenfrei zur Verfügung stellt. Die Sparkassen etwa haben ein entsprechendes Zertifikatsangebot. Die könnten sagen: Alle unsere Kunden bekommen ein Zertifikat kostenfrei.
Warten auf Zulieferer von Software fürs Signieren
CIO.de: Was macht Ihr Unternehmen zur Vorbereitung?
Wir versuchen die digitale Signatur mit dem neuen Ausweis möglichst zügig in unsere Dokumenten-Management-Software einzubauen. Wir verwalten Dokumente, bekommen und erzeugen unterschriebene Dokumente. Hierfür haben wir schon für die alten Signaturkarten mit Zusatzsoftware eine Verbindung erstellt, die die Signaturen erzeugen. Wir sind dabei, die Signatursoftware so nachzurüsten, dass man mit dem neuen Personalausweis unterschreiben kann.
CIO.de: Werden Sie damit rechtzeitig zum 1. November fertig?
Bartonitz: Wir müssen auf zwei Zulieferer von Software für das Signieren warten, schaffen es aber vielleicht noch zum 1. November. Der neue Ausweis arbeitet kontaktlos, die bisherigen Signaturkarten haben einen Chip ähnlich der in EC-Karten eingebaut. Das Ganze ist ein Zukaufprodukt zu unserem Dokumenten-Management-System. Für Versicherungen und Banken, die die Software meistens verwenden, ist dafür ein relativ kleiner Betrag notwendig, wenn man bedenkt, dass man dadurch auf Papier verzichten kann und die Prozesse deutlich schneller laufen.
Martin Bartonitz bloggt auch über den neuen Personalausweis: www.saperionblog.com