Der Chaos Computer Club warnt vor Risiken. Man braucht 36 Minuten, um die App herunterzuladen. Das Innenministerium beschwichtigt.

Berlin. Kurz vor dem Start des neuen elektronischen Personalausweises ist immer noch Skepsis spürbar. „Es gibt ein Grundmisstrauen gegen alles staatliche Handeln“, sagte Informatik-Professor Christoph Meinel bei einer Veranstaltung des Bundesinnenministeriums. Dies komme beim neuen Personalausweis mit dem Misstrauen gegenüber dem Internet zusammen. Da der Verbraucher zudem kaum einen zusätzlichen Nutzen erkenne, frage er sich: „Warum klemmt sich der Staat so dahinter?“

Um den Mangel an Vertrauen zu beheben, sollte die Software zur Identifizierung bei Online-Shops oder Behörden im Internet möglichst ansprechend gestaltet werden, empfahl der Wissenschaftler. Für das Bundesinnenministerium sagte Ministerialrat Andreas Reisen, jetzt gehe es darum, „in den nächsten Wochen die Nutzungspotenziale transparent zu machen“. Wenn dies gelinge, sei er überzeugt, „dass der Personalausweis ein großer Erfolg wird“.

Zusammen mit Experten seines Hasso-Plattner-Instituts untersuchte Meinel die bisherige Testversion der „Ausweis-App“, also das Computerprogramm, das für den Identitätsnachweis im Internet eingesetzt werden soll. Allein für die Installation habe ein Tester 36 Minuten benötigt, sagte Institutsleiter Meinel. Die Bedienung der Software sei „kaum intuitiv“. Der Informatiker schlug vor: „Das könnte man durch die Gestaltung der Oberflächen verändern“ – und fügte hinzu: „wie man es gewohnt ist von vernünftigen Programmen“.

Mit Blick auf die Akzeptanz – also die Frage, inwieweit der neue Ausweis von den Bürgern akzeptiert wird – regte Meinel unter anderem eine „Vorratsdatenspeicherung rückwärts“ an, eine Aufstellung aller Internet-Dienste, die Ausweisdaten abgerufen haben. Es sollte auch möglich sein, diese Daten zurückfordern zu können, sagte Meinel.

Entwickelt wird die Ausweis-App von der Berliner Software-Firma OpenLimit. Ein Sprecher sagte dazu auf der Konferenz in Berlin: „Für uns markiert der 1. November nicht das Ende des Projekts, sondern den Beginn der Weiterentwicklung für diese Plattform.“ Auch Ministerialrat Reisen räumte ein: „Wir haben hier noch einige Dinge vor uns.“

Im Mittelpunkt von vier wissenschaftlichen Studien im Auftrag des Bundesinnenministeriums stand aber die Frage der Sicherheit – nach Demonstrationen des Chaos Computer Clubs (CCC) zu möglichen Angriffsszenarien. Dabei wird heftig über die Kartenleser debattiert, die benötigt werden, um auf die Daten des Chips zuzugreifen. Mehrere Experten sprachen sich für einen Verzicht auf das Basislesegerät aus, das kein „Pinpad“ hat, also keine eigene Tastatur zur Eingabe der PIN für den Ausweis-Chip.

Bei Lesegeräten ohne Pinpad und gleichzeitiger Infektion des PCs mit Schadsoftware gebe es das Risiko, dass die geheime PIN von Angreifern gelesen werden könne, sagte Norbert Pohlmann vom Institut für Internetsicherheit in Gelsenkirchen. „Bei bekannter PIN und aufliegendem Personalausweis ist ein Identitätsmissbrauch per entferntem Zugriff möglich. Ich kann mich dann überall als die andere Person registrieren.“ Die Studie der Gelsenkirchener empfiehlt daher die Verwendung eines Lesegeräts mit Pinpad. Der Einsatz des neuen Personalausweises im Internet sei aber in jedem Fall sicherer als die bisher übliche Verbindung von Nutzername und Passwort.

„Es gibt keine hundertprozentige Sicherheit“, sagte Rüdiger Wehrmann von der Behörde des Hessischen Datenschutzbeauftragten als Teilnehmer der Konferenz. „Das Internet hat spezifische Risiken. Ich würde immer empfehlen, ein Lesegerät mit Tastatur einzusetzen.“

Wenn etwas schief geht, ist die Frage des Risikos entscheidend für die Beurteilung der rechtlichen Haftung, wie der Bochumer Jurist Georg Borges in seinem Gutachten für das Innenministerium betonte. „Wenn es Angriffe gibt, die nicht rein theoretisch sind, kann dies nicht zulasten des Ausweisinhabers gehen“, erklärte Borges. Allerdings ist „der Ausweisinhaber verpflichtet, den Ausweis sorgfältig zu verwahren und die PIN für sich zu behalten.“