Frage an Michael Paul von Felix B. bezüglich Innere Sicherheit

Sehr geehrter Herr Becker,

viele Dank für Ihre Zuschrift vom 31. Oktober 2010, in der Sie sich mit der Sicherheit des neuen, elektronischen Personalausweises auseinandersetzen.

Der neue Personalausweis ist nicht nur aufgrund des neuen Kartenformates, sondern vor Allem auch aufgrund seiner neuen elektronischen Identifikationsfunktionen für die Bürgerinnen und Bürger attraktiv. Er trägt dazu bei, dass die Identifikation auch für den Geschäftsverkehr im Internet, an dem immer mehr Menschen in Deutschland täglich teilnehmen, komfortabler wird.

Natürlich ist es besonders wichtig, dass die neuen Funktionen des elektronischen Personalausweises sicher sind und die Sicherheit des Geschäftsverkehrs verbessern. Hier ist zunächst festzustellen, dass der neue Personalausweis ermöglicht, mit einem amtlichen Dokument die Identität des Onlineanwenders nachzuweisen. Allein durch diese Funktion wird die Sicherheit bei Onlinegeschäften im Vergleich zu den bisherigen Identifikationsverfahren deutlich verbessert.

Das System, mit dem der neue Ausweis dabei operiert, ist auf dem derzeit höchsten technischen Stand. Dennoch wäre es, ganz gleich für welches computergestützte System, vermessen zu behaupten, es funktioniere mit absoluter Sicherheit. Es liegt in der Natur der Sache, dass ein von Menschen gemachtes System auch von einem anderen Menschen wieder entschlüsselt werden kann.

Wichtiger ist es daher, einen Sicherheitsmaßstab zu finden, der nach den neuesten Erkenntnissen den höchsten Schutz vor unerlaubter Benutzung und Missbrauch bietet. Denn würden wir eine absolute Sicherheit voraussetzen, dürften auch Onlineshopping-Verfahren, Online-Banking oder die Benutzung einer EC-Karte aufgrund der Missbrauchsgefahr nicht zugelassen werden. Dennoch werden diese Systeme flächendeckend eingesetzt, weil das Interesse an dem damit verbundenen Komfort, abgewogen mit dem in engen Grenzen vorkommenden Missbrauch dieser Systeme, durch die Menschen als vorrangig bewertet wird.

Der neue Personalausweis bietet hier, im Vergleich zu vielen Internetanwendungen, bei denen sich der Benutzer nur auf einem Weg mit Benutzernamen und Kennwort identifiziert, einen wesentlich höheren Sicherheitsstandard. Denn für den Warenverkehr im Internet führt der Ausweis erstmals ein Zwei-Komponenten-Verfahren ein. Eine Identifikation kann dabei, wie bei der EC-Karte, nur erfolgen, wenn der Benutzer physisch über die Karte verfügt und die PIN kennt. Das gilt unabhängig davon, ob die PIN über die Computertastatur (Basislesegerät) oder über das Komfortlesegerät, das über eine eigene Tastatur verfügt, eingegeben wird. Würde man hier Ihrer Einschätzung folgen, dass die Eingabe auf der Computertastatur zu unsicher ist, dürften auch EC-Karten- oder Online-Banking-Verfahren nicht mehr zugelassen werden.

Und ebenso richtig ist, dass der Computer des Benutzers eine Schwachstelle im System darstellen kann, wenn er nicht angemessen vor Angriffen von außen geschützt ist. Auch dieses Problem ist aber nicht erst mit dem Verfahren des neuen Personalausweises entstanden, sondern besteht bereits seit Jahren, etwa bei der Eingabe der Zugangsdaten für ein Online-Banking-Portal. Auch hier sind die Fälle des Missbrauchs im Vergleich zur Zahl der Anwender dieser Verfahren gering, weil auch diese Systeme mit einem Zwei-Komponenten-Verfahren arbeiten.

Ich halte die Bürgerinnen und Bürger unseres Landes aber sehr wohl für fähig und in der Lage, die Gefahren, die mit Transaktionen im Internet verbunden sind, einzuschätzen und diesen, mit Hilfe der derzeit sichersten Technik, angemessen zu begegnen.

Mit freundlichen Grüßen

Ihr

Dr. Michael Paul