Die Vorteile des elektronischen Personalausweises sehen viele nicht – noch nicht! Die Zweifel und die Skepsis gegenüber der Online-Ausweisfunktion sind jedoch größtenteils unbegründet, denn sie beruhen überwiegend auf Unwissenheit.

„Es ist mit einem Smartphone möglich, sogar aus einer Entfernung von mehreren Metern, Daten von Bank- und anderen Karten mit integriertem RFID-Chip auszulesen.“ – Der wohl größte und in zahlreichen Internetforen kursierende Mythos, sorgt bei vielen Bürgern immer wieder für Misstrauen in die Online-Ausweisfunktion des Personalausweises. Doch was steckt wirklich dahinter?

Fakten, Fakten, Fakten

Der Personalausweis mit eID-Funktion wird seit November 2010 ausgestellt und im Oktober 2020 ist der alte Personalausweis komplett abgelöst. Laut dem Bundesministerium des Inneren, für Bau und Heimat (BMI) ist die Online-Ausweisfunktion bei rund 26 Millionen deutschen Ausweisen bereits aktiviert; seit Juli 2017 sind alle neu ausgegebenen Ausweise mit PIN aktiviert. Mit der eID können sich Bürger nicht nur zum Beispiel beim Eröffnen eines Bankkontos im Internet sicher ausweisen, sondern auch gegenüber Behörden kann die persönliche Identität online nachgewiesen werden – Stichwort eGovernment. Und sehnt sich der Bürger nicht nach digitalen deutschen Behörden? Innerhalb von Minuten online von überall aus ummelden, anstatt eine Nummer beim Einwohnermeldeamt ziehen – noch ist das für Deutschland mehr Wunsch als Realität, aber mit dem Personalausweis mit eID-Funktion ist es möglich. Estland zeigt übrigens mit der e-Residency, was sonst noch so alles möglich wäre. Aber bleiben wir zunächst bei den Fakten:

Die gespeicherten Daten

Im Chip des Personalausweises sind Familienname, Vorname, Geburtsdatum und -ort, Anschrift und Postleitzahl und, wenn angegeben, Ordens- oder Künstlernamen sowie Doktorgrad hinterlegt. Als vereinfachte Faustregel kann man sich merken: Auf dem Chip sind die Daten gespeichert, die auch auf dem Ausweis stehen. Genauer gesagt, sind diese Daten auf dem RFID-Chip gespeichert. Ebenso sind darauf einige weitere Daten hinterlegt, welche nur von hoheitlichen Behörden ausgelesen werden können.

RFID steht für „radio-frequency identification“, auf Deutsch: Identifizierung mithilfe elektromagnetischer Wellen. Ein RFID-System besteht aus einem Transponder, der sich zum Beispiel im Personalausweis befindet. Ein Lesegerät – zum Beispiel ein NFC-fähiges Smartphone oder Tablet – spricht den RFID-Chip im Personalausweis durch magnetische Wechselfelder in geringer Reichweite (etwa zwei Zentimeter) an. So werden nicht nur Daten übertragen, sondern auch der Transponder mit Energie versorgt. Daten können bei der Fernidentifizierung jedoch nur nach einer Freigabe durch den Ausweisinhaber, mithilfe der Online-Ausweisfunktion per NFC übermittelt werden. Wichtig zu wissen: Es werden ausschließlich Daten übermittelt, die für den jeweiligen Geschäftszweck erforderlich sind. Das bedeutet, nicht immer werden alle Daten übermittelt und ohne explizite Freigabe und Eingabe der persönlichen und geheimen PIN des Ausweisinhabers sowieso gar keine. Immer mitgesendet werden, nach der Freigabe des Ausweisinhabers, die Angaben über Gültigkeit und ob der Ausweis gesperrt ist. Das ist eine Sicherheitsmaßnahme. Neben den eben genannten Daten existieren zusätzlich geschützte Daten. Hierzu zählen das biometrische Lichtbild und die auf Wunsch gespeicherten Fingerabdrücke, genauso wie das Geschlecht. Diese Informationen können von AUTHADA als Identifikationsanbieter niemals ausgelesen werden, da sie besonderem Schutz unterliegen!

Wer darf Daten auslesen?

Die auf dem Chip gespeicherten Daten, dürfen ausschließlich von Unternehmen ausgelesen werden, die im Besitz des entsprechenden staatlichen Berechtigungszertifikates sind. Alle AUTHADA-Lösungen sind zudem vom Bundesministerium für Sicherheit in der Informationstechnik (BSI) zertifiziert. Neben zertifizierten Dienstleistern sind lediglich öffentliche Stellen mit hoheitlichen Berechtigungszertifikaten berechtigt, Personalausweisdaten auszulesen, etwa die Polizei oder der Zoll.

Sicher ist sicher …

Es ist an der Zeit, die Mythen, die sich um den Personalausweis mit eID ranken, noch einmal genau unter die Lupe zu nehmen. Kann man Daten von Bank- und anderen Karten wie dem Personalausweis mit integriertem RFID-Chip wirklich per Smartphone aus einer Entfernung von mehreren Metern auslesen? Diese Behauptung ist schlichtweg falsch. Selbst bei einem Kassenterminal, das für kontaktloses Bezahlen genutzt wird, liegt die Reichweite des elektromagnetischen Feldes, das NFC nutzt, unter vier Zentimetern. Bei einem Smartphone, das für den Auslesevorgang des Personalausweises mittels AUTHADA-App verwendet wird, liegt sie bei maximal zwei Zentimetern.

Ohnehin wäre ein Auslesevorgang auch bei direktem Kontakt von Smartphone und Ausweis nicht ohne weiteres möglich, denn ihn schützt die Zwei-Faktor-Authentifizierung. Sie dient zum sicheren Identitätsnachweis des Nutzers durch Kombination von zwei unterschiedlichen und unabhängigen Faktoren. Zum einen muss der Ausweis nah genug an dem mobilen Endgerät sein und zum anderen muss die geheime PIN eingegeben werden. Nur wenn die korrekte Kombination aus beiden Faktoren gegeben ist, wird Zugriff gewährt und der Identifizierungsprozess kann abgeschlossen werden – und zwar bequem von zu Hause aus und theoretisch zu jeder Tages- und Nachtzeit.

Lesen Sie hier für was Sie den Personalausweis mit Online-Ausweisfunktion in der digitalen Welt einsetzen können.

Veröffentlicht: Januar 2019