Es funktioniert wirklich! Online-Perso an der Ausweis-App (Foto: BSI)
Schon seit Ende 2010 gibt es in Deutschland den Personalausweis mit RFID-Chip. Auf dem sind die Basisdaten des Dokuments gespeichert. Mit aktivierter eID-Funktion können die Daten auf dem Chip zusammen mit einer Kennung vom Inhaber zur elektronischen Identifikation benutzt werden. Allerdings haben weniger als ein Drittel der Bürger, die den neuen Personalausweis schon bekommen haben, diese Funktion aktivieren lassen. Auf der anderen Seite gibt es neben den verschiedenen Bundes-, Landes- und Kommunalbehörden kaum Stellen, die diese Identifikation per Perso überhaupt anbieten. Hinzu kam, dass es zumindest Lesegeräte ohne eigene Tastatur Hackern leicht machten, die Daten und auch die sechsstellige PIN auszulesen. Das alles ändert sich seit ein paar Monaten- zumindest auf gesetzlicher und technischer Seite.
Der Innenminister der vorherigen Regierung, Thomas de Maizière, hat wegen der geringen Nutzung – lediglich 2,5 Millionen Inhaber des elektronischen Personalausweise haben die eID-Funktion mindestens einmal genutzt – im Frühjahr 2017 ein Gesetz eingebracht, nachdem die Funktion nun standardmäßig aktiviert ist … und auch auf Antrag nicht mehr deaktiviert werden kann. Das gilt für alle ab Juni 2017 ausgegebenen Personalausweise. Wer schon einen Perso neuen Typs besitzt, kann die eID-Funktion natürlich immer noch deaktiviert oder auf Antrag freischalten lassen. Datenschutzaktivisten sehen sich in ihren Befürchtungen bestärkt, dass es der eigentliche Zweck des eingebauten Chips ist, Behörden, insbesondere den Geheimdiensten, den Zugriff auf persönliche Daten zu erleichtern.
So wird das Smartphone als Lesegerät mit dem PC gekoppeltIm Dezember 2017 kam dann die AusweisApp2 heraus. Es gibt sie in Versionen für Windows und MacOS und für Smartphones mit Android und iOS. Und damit fängt es an spannend zu werden, weil ein Anwender, der die eID-Funktion tatschlich zur Identifizierung nutzen will, ganz ohne mehr oder weniger teures und unsicheres Kartenlesegerät auskommt. Jedes Smartphone mit NFC-Chip und der Ausweis-App ist nun nicht nur in der Lage, die Daten des Perso-Chips auszulesen, sondern kann anstelle eines Lesegeräts eingesetzt werden. Bestes Beispiel ist Elster, das Portal der Finanzverwaltungen, das von immer mehr Bürgern für ihre Steuerangelegenheiten genutzt wird. Mit der App auf dem Rechner und dem Smartphone kann sich nun der fortschrittliche User im Portal einloggen.
Das funktioniert nachdem man einen einigermaßen komplizierten Prozess durchlaufen hat. Denn die eID-Funktion kann aktiv erst genutzt werden, wenn man eine eigene sechsstellige PIN festgelegt hat. Dazu braucht man aber den sogenannten „PIN-Brief“ der Meldebehörde mit der automatisch vergebenen Kennung, die geändert werden muss, will man die Funktion aktivieren. In diesem Brief findet sich auch eine PUK für den Fall, dass man die PIN vergessen hat, und ein festes Sperrkennwort, mit dem man das Auslesen vor Ort unterbinden kann. Anschließend muss man die Apps installieren und muss die Funktion sowohl auf dem Rechner, als auch auf dem Handy autorisieren.
So kann man den eigenen Perso mit der App auslesenIst das alles fehlerfrei absolviert, kann die Smartphone-App den RFID-Chip via NFC auslesen und an die App auf dem Rechner weiterleiten – wenn man sich dort bei einem Dienst mit dem eID-Verfahren identifizieren will. Voraussetzung dafür ist, dass Computer und Handy im selben Wlan angemeldet sind. Bei den ersten Malen kann die Angelegenheit ein bisschen fummelig werden, weil sich der Chip im Perso in unmittelbarere Nähe der NFC-Zone des Smartphones befinden und dort verbleiben muss bis der Autorisierungsprozess abgeschlossen ist. Leider haben einige Smartphones erhebliche Probleme mit der NFC-Funktion, besonders wenn das Gerät in einem Bumper oder einer Hülle steckt. Schlimmstenfalls muss man das „nackte“ Mobiltelefon mit dem Personalausweis zusammenbringen. Außerdem sollte man sich vorher informieren, wo genau die NFC-Zone am Smartphone sitzt; auf dem Perso findet sie sich auf der Rückseite, markiert durch das neue Personalausweis-Icon.
So richtig viele Anbieter gibt es immer noch nicht…Gäbe es mehr Unternehmen, insbesondere Online-Shops, die sich dem Verfahren anschließen würden, könnte das Einloggen per Perso eine interessante Alternative zum altmodischen Eintippen von Nutzername und Passwort und auch zu den aktuellen biometrischen Verfahren sein. Vielleicht wird es ja mit der AusweisApp2 in dieser Hinsicht besser. Sicherheitsbedenken bleiben, denn im Prinzip können Kriminelle den eID-Chip im Vorübergehen auslesen und mit einigem Aufwand auch die PIN abgreifen. Schließlich können NFC-Chips – unter Laborbedingungen auch noch in Entfernungen jenseits von zwei Metern erfolgreich gescannt werden. Gelegentlich wird deshalb empfohlen, den Personalausweis mit Alufolie zu schützen oder in einer mit Alu beschichteten Hülle aufzubewahren – Experten halten diesen Tipp allerdings für Humbug.
