Zusammenfassung

Neuer Personalausweis: Alle Fakten und Features

17.01.2012
Zum neuen Personalausweis gibt es immer noch sehr viele Fragen. Wir versuchen, Klarheit zu schaffen. Daher haben wir die wichtigsten Fakten einmal zusammengestellt.
Der neue Personalausweis im Scheckkartenformat.

Die Einführung des neuen Personalausweises am 1. November 2010 erregte im Vorfeld große Aufmerksamkeit. Fachleute hatten schon früh darauf aufmerksam gemacht, dass die neue IDKarte sich als zentrales Instrument für sicheres Identitätsmanagement im Internet anbietet.

Im Juni 2010 gewann das Bundesministerium des Innern (BMI) auf der "European Identity Conference 2010" den "European Identity Award" für das neue ID-Dokument: Damit honorierte die Analystengruppe Kuppinger Cole das "innovative und technisch durchdachte Konzept, das auch Datenschutzbelangen in hervorragender Weise Rechnung trägt". Viele innovationsfreudige Bürger waren neugierig und haben gleich in den ersten Novembertagen das Identitätsdokument im Scheckkartenformat beantragt.

Die Anforderungen an den neuen Personalausweis hat das BMI festgelegt. Für die Produktion und die technische Infrastruktur, in die der Ausweis eingebettet ist, zeichnet die Bundesdruckerei verantwortlich. Sie produziert die Dokumente und stattet auch die rund 5.500 Pass- und Personalausweisbehörden mit Hard- und Software-Komponenten aus (zum Beispiel mit Änderungsterminals und Fingerabdruckscannern)

Neue Anwendungen

Den neuen Ausweis kann der Bürger für alle Zwecke verwenden, für die er auch seinen Vorgänger einsetzen konnte - dabei ist er noch deutlich vielseitiger. mit der Online-Ausweisfunktion und der Qualifizierten elektronischen Signatur (QES) stehen zwei Anwendungen zur Verfügung, die Transaktionen im Netz komfortabler und sicherer machen. Ob und wann der Bürger diese Funktionen verwendet, entscheidet er selbst. Zum ersten Mal gibt es mit dem neuen Personalausweis ein sehr stark verbreitetes standardisiertes Identitätsdokument, mit dem sich der Bürger im Internet zu erkennen geben kann. Zugleich erleichtert es der neue Ausweis dem Nutzer, jederzeit die Kontrolle über die eigenen Daten zu behalten.

Als Dokument im Format einer Scheckkarte ist die neue ID-Karte nach wie vor als so genannter Sichtausweis verwendbar, den man zum Beispiel bei Polizeikontrollen vorzeigt. Das Format ID1 entspricht dem vieler normierter Chipkarten und ist angeglichen an die Größe des europäischen Kartenführerscheins. Dank der Abmessung 86,50 mm x 53,98 mm passt der kompakte neue Ausweis in jede Geldbörse.

Damit übertrifft das Sicherheitsdesign des Ausweises unter anderem die Empfehlungen der Internationalen Zivil-Luftfahrtorganisation der Vereinten Nationen (International Civil-Aviation Organization, ICaO). Sie rät ausdrücklich dazu, biometrische Daten in ID-Dokumente aufzunehmen, weil diese die eindeutige Identifizierung eines Menschen ermöglichen. Für das Porträtfoto gelten deshalb nun die international standardisierten Passbildvorgaben. Das bis 2010 noch erlaubte Halbprofil ist wie beim ePass nicht mehr zulässig, weil hier die Proportionen weniger gut überprüft werden können.

Auf der Rückseite ist ein eigens für den Ausweis entwickeltes Logo zu sehen. die Zwei sich ergänzenden Halbkreise stehen dafür, dass die Bürger das Dokument sowohl im realen als auch im Virtuellen Umfeld einsetzen können. gleichzeitig lassen sich die Kreise als Symbol für die Authentisierung deuten, die bei Onlinetransaktionen für beide Beteiligten Pflicht ist: sowohl der Ausweisinhaber als auch der Dienste-Anbieter oder die Behörde müssen sich eindeutig zu erkennen geben, damit eine Onlinetransaktion abgewickelt werden kann.

Wie der alte Personalausweis zählt auch die neue ID-Karte aufgrund ihrer optischen, taktilen und holografischen Merkmale und der verwendeten Sicherheitsprotokolle zu den sichersten Dokumenten der Welt. Feine, ineinander verschlungene Muster, die sogenannten Guillochen, sowie Mikroschriften, spezielle Farbeffekte und fühlbare Oberflächenstrukturen machen den Ausweis fälschungssicher.

Herzstück ist ein Chip

mit der sechsstelligen Zugangsnummer auf der Vorderseite sowie einem Datenfeld für Postleitzahl und Künstler- bzw. Ordensnamen. Auf der Rückseite enthält der Ausweis außerdem mehr Informationen als das Vorgängermodell. Herzstück ist der kontaktlose integrierte Sicherheits-Chip mit einer Speicherkapazität von über 100 kB, der tief im Inneren des Dokuments zwischen mehreren Kunststoffschichten liegt. Er ist inklusive Gehäuse nicht einmal 10 mm2 groß. Versucht jemand, den Chip zu manipulieren, wird die elektronische Ausweis Funktion unbrauchbar. Das ID-Dokument kann dann nur noch als Sichtausweis dienen.

Auf dem Chip sind alle auf dem Ausweis aufgedruckten Informationen zusätzlich digital hinterlegt:

Damit übertrifft das Sicherheitsdesign des Ausweises unter anderem die Empfehlungen der Internationalen Zivil-Luftfahrtorganisation der Vereinten Nationen (International Civil-Aviation Organization, ICaO). Sie rät ausdrücklich dazu, biometrische Daten in ID-Dokumente aufzunehmen, weil diese die eindeutige Identifizierung eines Menschen ermöglichen. Für das Porträtfoto gelten deshalb nun die international standardisierten Passbildvorgaben. Das bis 2010 noch erlaubte Halbprofil ist wie beim ePass nicht mehr zulässig, weil hier die Proportionen weniger gut überprüft werden können.

Auf Wunsch können auf dem Chip zusätzlich die Daten zweier Fingerabdrücke gespeichert werden, um eine noch stärkere Bindung zwischen Pass und Inhaber zu knüpfen. Sie können und dürfen ausschließlich von staatlich autorisierten Instanzen ausgelesen werden. Wer rechtsgültige Verträge im Internet abschließen will, muss für die Qualifizierte Elektronische Signatur außerdem die Informationen so genannter Signaturzertifikate auf der Karte speichern lassen.

Authentisierung im Internet

Die Online-Ausweisfunktion erlaubt es, sich über persönliche Daten wie Name, Adresse und Geburtsdatum im Internet zu erkennen zu geben, ohne dafür mühsam Online-Formulare per Tastatur auszufüllen. Die Nutzung der Funktion ist freiwillig: Bürger über 16 Jahre können sie unkompliziert bei ihrer Meldebehörde an- und ausschalten lassen. Ist sie aktiviert, liest man die Daten per Lesegerät bequem am heimischen PC aus. Welche Information jemand jeweils preisgeben möchte, entscheidet er bei jeder Transaktion per Freigabe durch eine PIN neu.

Nur nach Zustimmung übermittelte Daten

Diese Informationen muss man ausdrücklich freigeben, damit Dienste-Anbieter sie auslesen können:

Nur die Angabe, ob ein Personalausweis gesperrt ist, wird standardmäßig an Diensteanbieter im Netz übermittelt. Diese Grundprinzipien helfen dem Bürger dabei, sparsam mit seinen Daten umzugehen und nur die zusätzlichen Informationen anzugeben, die im jeweiligen Fall tatsächlich nötig sind.

Dank der mehrfach verschlüsselten und gesicherten Übertragungswege ermöglicht die Online-Ausweisfunktion damit ein neues Maß an Sicherheit und Freiheit im Internet. Anwender müssen sich nicht mehr Dutzende von Benutzernamen und Passwörtern merken, um sich bei den verschiedenen Diensten zu identifizieren. Wer im Netz nicht von anderen erkannt werden möchte, kann für die Anmeldung in Chatrooms und sozialen Netzwerken die Pseudonymfunktion des neuen Ausweises verwenden.

Selbst bei Bestellungen, die erst ab einem bestimmten Lebensalter erlaubt sind, muss das genaue Geburtsdatum nicht angegeben werden: Die Ausweis-App übermittelt nur ein schlichtes Ja oder Nein auf die Abfrage, ob jemand den Alterskriterien entspricht oder nicht.

Um die Online-Ausweisfunktion nutzen zu können, wird eine spezielle Treibersoftware, die so genannte Ausweis-App, benötigt. Erst wenn sie und ein zugelassener Kartenleser auf dem Rechner installiert sind, kann man mit dem Ausweis kommunizieren. Zudem muss auch der Geschäftspartner im Internet die Identifikation mit dem elektronischen Identitätsnachweis ausdrücklich anbieten und sich zunächst selbst als berechtigter Online-Partner zu erkennen geben.

Solche Berechtigungen erhalten nur Unternehmen, die bereit sind, präzise Angaben über ihr Angebot, ihren Geschäftssitz, ihre Datenschutzregelungen und den Grund für die möglichen Datenabfragen zu machen. Sie dürfen allerdings nur auf zuvor exakt definierte Kategorien von Daten zugreifen. So weiß zum einen der Bürger, mit wem er Geschäfte machen kann. Zum anderen kann auch der Diensteanbieter sicher sein, dass er korrekte Angaben erhält. Das Prinzip der Authentifizierung beider beteiligten Parteien, eines der Kernelemente sicherer Online-Transaktionen, ist erfüllt.

Rechtsverbindliche Unterschrift

Die Qualifizierte Elektronische Signatur (QES) macht es möglich, online rechtsverbindlich Verträge, Vollmachten oder Anträge zu unterschreiben. Sie ist der eigenhändigen Unterschrift rechtlich gleichgestellt. Anders als die Online-Ausweisfunktion (eID), mit der man sich sozusagen vorstellt ("Das bin ich"), dient die QES dazu, sein Einverständnis mit einem Sachverhalt zu bekunden ("Damit bin ich einverstanden").

Um sie nutzen zu können, muss man die Online-Ausweisfunktion aktiviert haben. Außerdem benötigt man eine individuelle eID-PIN sowie eine zusätzliche Signatur-PIN. Diese und das nötige Signaturzertifikat kann der Anwender bei einem akkreditierten Zertifizierungsdiensteanbieter (ZDA) wie etwa D-TRUST, dem Trustcenter der Bundesdruckerei, erwerben. Während für die Nutzung der Online-Ausweisfunktion ein Basislesegerät ausreicht, braucht man für die QES ein Komfortlesegerät. Auf dieses Gerät legt der Anwender während des Signiervorgangs seinen neuen Personalausweis und gibt die Signatur-PIN ein.

Eindeutige Identifikation

Die hoheitlichen Ausweisfunktionen sind ausschließlich für den Umgang mit staatlich autorisierten Instanzen von Bedeutung. So hat niemand außer Polizei-, Grenz- und Zollkontrollbehörden, den Steuerfahndungsstellen der Länder sowie den Meldebehörden Zugriff auf sie. Allerdings können selbst diese Instanzen die Daten nicht ohne Wissen ihres Besitzers quasi "im Vorbeigehen" auslesen: Auch hier ist wieder ein entsprechendes Berechtigungszertifikat nötig, das die ZDA ausstellen.

Der Ausweisinhaber muss für das Auslesen der Daten zudem persönlich anwesend sein und sein Dokument vorlegen. Erst dann kann ein Mitarbeiter mit einem speziellen Lesegerät die aufgedruckte Zugangsnummer erfassen. Zum Einsatz kommt dieses Verfahren zum Beispiel bei Passkontrollen an der Grenze oder bei der Eingabe von Adressänderungen auf den Meldeämtern. Den Diensteanbietern stehen verschiedene Optionen offen, wenn sie ihren Kunden die Online-Ausweisfunktion oder die QES ermöglichen möchten.

Grundsätzlich können sie auch selbst die entsprechende Hard- und Software entwickeln und somit die gesamte Kommunikation mit der Ausweis-App der Kunden und die dazugehörigen Verwaltungsprozesse in Eigenregie steuern. Voraussetzung dafür ist, dass sie dabei die entsprechenden technischen Richtlinien einhalten. In der Technischen Richtlinie BSI TR- 03127 "Architektur elektronischer Personalausweis und elektronische Aufenthaltstitel" des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist ein Überblick zu allen technischen Spezifikationen zu finden.

Das wäre für die meisten Online-Anbieter allerdings mit einem erheblichen personellen und materiellen Aufwand verbunden. Daher entscheiden sich viele für den so genannten eID-Service, den akkreditierte ZDA wie D-TRUST , das Trustcenter der Bundesdruckerei, bereitstellen.

Die ZDA verfügen über umfangreiche Erfahrungen mit dem Management von digitalen Identitäten. Sie stellen hierfür eine leistungsfähige Infrastruktur zur Verfügung. Der Dienste-Anbieter muss keinen eigenen eID-Server aufbauen, um seinen Kunden die Anwendung der Online-Ausweisfunktion oder der QES zu ermöglichen. Vielmehr regelt der eID-Service die gesamte Kommunikation mit dem Personalausweis-Chip und stellt sicher, dass sowohl Berechtigungszertifikate als auch Sperrlisten stets auf dem neuesten Stand sind.

So bleiben dem Dienste-Anbieter umfangreiche Investitionen in die entsprechenden Systeme und deren Betrieb erspart. Zugleich sind seine Transaktionen mit Kunden optimal abgesichert. Der eID-Service lässt sich kurzfristig in die IT-Systemarchitektur des Dienste-Anbieters integrieren, sodass der Online-Shop die Vorteile der neuen Ausweisanwendungen komfortabel und kostengünstig nutzen kann.

Dieser Beitrag ist ein Auszug aus dem eID-Service Pocketguide - bereitgestellt mit freundlicher Genehmigung der Bundesdruckerei.