Für neue Kritik am neuen Personalausweis sorgt das Bundesinnenministerium schon selber. Zwar gibt es noch keine sichtbare Marketingkampagne, aber vier neue Begleitstudien, die das Innenministerium finanziert hat. Hintergrund: „Das Bundesinnenministerium hat bei dem Projekt neuer Personalausweis stets den Dialog mit der Öffentlichkeit, Verbraucherschützern und Datenschützern gesucht und schon frühzeitig die Begleitforschung als Teilprojekt in die Gesamtorganisation integriert“, schreibt das Innenministerium in seiner Presserklärung. CIO.de berichtete schon mehrfach über den neuen Personalausweis, unter anderem in dem Artikel „Der Ausweis fürs Internet“ und „Kritik an Chaos Computer Club“.
Die Begleitforschung wurde in zwei Schritten durchgeführt: Standen in der ersten Stufe der Begleitforschung (2007 bis 2008) noch die Anforderungen an das Dokument, die Umsetzung in den Personalausweisbehörden und die grundsätzlichen Nutzungsmöglichkeiten im Vordergrund, hat sich die zweite Phase der Begleitforschung (2009 bis 2010) insbesondere mit der Wahrnehmung und den Auswirkungen des Dokuments und seiner Funktionen bei Bürgerinnen und Bürgern sowie Wirtschaft und Verwaltung beschäftigt.
Vier neue Studien im Rahmen der zweiten Stufe der Begleitforschung gibt es:
"Rechtsfragen der Haftung im Zusammenhang mit dem elektronischen Identitätsnachweis"
Die Studie (PDF) von der Ruhr-Universität Bochum Lehrstuhl für Bürgerliches Recht, deutsches und internationales Wirtschaftsrecht, insbesondere IT-Recht, Professor Dr. Georg Borges, untersucht haftungsrechtliche Fragestellungen der Beteiligten bei Nutzung des neuen Personalausweises zum elektronischen Identitätsnachweis.
Fazit: „Insgesamt wird der Einsatz des elektronischen Identitätsnachweises voraussichtlich zu einer Erleichterung und einer erhöhten Sicherheit der elektronischen Kommunikation führen. Die mit dem elektronischen Identitätsnachweis einher gehenden Risiken sind ganz überwiegend nicht neuartig, sondern bestehen ähnlich auch bei anderen Authentisierungsmedien. Neuartige Risiken bestehen etwa bei der Erstauthentisierung. Hier können zusätzliche rechtliche Sicherungsmechanismen erforderlich werden. Daher sollte die Entwicklung insoweit sorgfältig beobachtet werden. Soweit beim elektronischen Identitätsnachweis Haftungsrisiken bestehen, lassen sie sich mit dem Instrumentarium des geltenden Rechts bewältigen. Allenfalls erscheinen punktuelle gesetzliche Ergänzungen sinnvoll.“
"Restrisiken beim Einsatz der Ausweis-App auf dem Bürger-PC zur Online-Authentisierung mit Penetration-Test"
Die Studie (PDF) der Fachhochschule Gelsenkirchen, Institut für Internetsicherheit, Professor Dr. Norbert Pohlmann, dient der Identifizierung technischer Restrisiken bei der Nutzung des elektronischen Identitätsnachweises im privaten Umfeld und soll Handlungsempfehlungen für die erforderlichen, vom Nutzer umzusetzenden IT-Sicherheitsmaßnahmen geben. Es liegt ein Zwischenbericht vor.
Fazit: "Zusammenfassend lässt sich feststellen, dass die eID-Funktion im Vergleich zur herkömmlichen Authentisierung mit Passwörtern ein höheres Sicherheitsniveau aufweist. Der Grad des Sicherheit-Zuwachses ist dabei unmittelbar von der Vertrauenswürdigkeit des Bürger-PCs, der Aufklärung des Benutzers und der Wahl des Lesegeräts abhängig. Die Benutzer müssen Kompetenz entwickeln, um ihren Computer (PC, Notebook, Smartphone, …) sicher einzurichten, unabhängig vom neuen Personalausweis. Da deshalb die Vertrauenswürdigkeit von vielen PCs in Deutschland faktisch nicht sichergestellt ist, kann abschließend nur der Einsatz eines höherwertigen Lesegeräts (Standardleser, Komfortleser) empfohlen werden. Bei der Nutzung eines höherwertigen Lesegeräts bietet die eID-Funktion einen deutlich höheren Grad an Sicherheit, verglichen mit herkömmlichen Authentisierungsmethoden."
Teaserbild: Bundesinnenministerium
"Sicherheitsanalyse des EAC-Protokolls"
Die Studie (PDF) der Technischen Universität Darmstadt/CASED, Prof. Dr. Johannes Buchmann, analysiert die kryptographischen Protokolle zum Aufbau einer sicheren Kommunikation zwischen dem neuen Personalausweis (nPA) und einem Lesegerät. Betrachtet werden dabei die Protokolle EAC, PACE und Secure Messaging.
Kyptographische Verfahren gewährleisten adäquate Sicherheit
Fazit. „Ziel war es, zu untersuchen, ob die sensitiven Daten (insbesondere des nPA) durch die Ausführung der Protokolle auch vertraulich bleiben, und sich nur authentische Teilnehmer erfolgreich den Partnern gegenüber ausweisen können. Das Resultat der Studie ist, dass die kryptographischen Verfahren adäquate Sicherheit diesbezüglich gewährleisten.“
"Nutzbarkeit und Akzeptanz der Software Ausweis-App zur Nutzung des neuen Personalausweises"
Die Studie (PDF) der Universität Potsdam, Hasso-Plattner-Institut, Professor Dr. Christoph Meinel, beschäftigt sich mit den Fragestellungen, ob die neuen Funktionen des Personalausweises von den Nutzern angenommen werden und wie deren Sicherheitswahrnehmung ist. Fazit: „Unser Projekt zeigte einige schwierige Umfeldfaktoren, wie zum Beispiel mangelndes Vertrauen, in der Welt der Nutzer, aber vor allem Potenziale zur Verbesserung der Software und des Gesamtkonzepts.
Ebenso ergaben sich mögliche Anknüpfungspunkte für neue Interpretationen und Einsatzmöglichkeiten des neuen Personalausweises. Die prototypische Umsetzung der zukünftigen Ausweis-App kommt mit vielen Neuerungen daher, die dem Nutzer nicht nur eine gute, weil intuitive Usability, sondern auch einen Mehrwert bieten kann. Insbesondere die Frage nach dem Mehrwert sollte dabei in Zukunft besondere Aufmerksamkeit genießen. Hier schlummern große Potenziale für einen nachhaltigen, nutzerzentrierten Erfolg.“
Das Potsdamer Team sprach sich dafür aus, dass die Kommunen den Personalausweis zusammen mit einem Starterpaket aushändigen. Dieses soll das Kartenlesegerät, eine DVD mit vorinstallierter Ausweis-App und Gerätetreibern sowie eine einfache Bedienungsanleitung enthalten. Ferner schlägt das HPI-Team unter anderem vereinfachte Abläufe im Dialog mit dem Softwarenutzer, übersichtlichere grafische Gestaltung der Oberflächen sowie verständlichere Bezeichnungen vor.
Wichtig ist für das Potsdamer Experten-Team auch, dass künftig zusätzliche Funktionalitäten angeboten werden. "Bei unseren Tests mit der vorgesehenen Software bewiesen die Nutzer große Geduld, waren aber nachher enttäuscht, dass sich trotz der schwierigen Handhabung kein wirklicher Mehrwert in Zusammenhang mit der Online-Funktion des Personalausweises ergab“, erklärte Institutsleiter Meinel.
Ideenkatalog zur Zukunft der Software der Personalausweisnutzung
Gewinnbringend wäre es aus Sicht seines Teams, wenn die Online-Nutzer des Personalausweises mit Hilfe einer „History-Funktion“ stets abrufen könnten, wann sie mit wem kommuniziert und welche Daten sie dabei übermittelt haben.
Auch ein „Datentresor“, der in verschlüsselter Form wichtige Daten wie PINs, TANs und Passwörter sicher aufbewahrt und der nur mit dem eigenen Ausweis geöffnet werden kann, gehört zu den vorgeschlagenen Zusatzfunktionen. Schließlich kann sich das HPI-Team auch eine E-Governmentfunktion der neuen "Ausweis-App“ vorstellen. Sie soll die direkte Vorort-Speicherung aller für Behördengänge notwendigen Formulare ermöglichen und Zugang zu einem zentralen Register aller E-Government-Dienstleistungen verschaffen.