Neuer Personalausweis mit RFID / NFC -Chip
Seit dem 1. November 2010 ist der neue elektronische Personalausweis (nPA) bereits im Umlauf. Obwohl viele Bürger den neuen Personalausweis mittlerweile schon mehrere Jahre besitzen, sind die genauen Änderungen noch nicht jedem bekannt oder werden mit einer gewissen Skepsis gesehen. Wir gehen in diesem Artikel auf die Neuerungen des elektronischen Personalausweises ein und betrachten die neuen Funktionen auch unter dem Aspekt der Sicherheit. Die wohl auffälligste Änderung ist, dass der neue Personalausweis nun im praktischen Scheckkartenformat daherkommt. Weniger auffällig ist jedoch, dass der neue Personalausweis auch einen RFID-Chip mit der Möglichkeit zum elektronischen Identitätsnachweis (eID) enthält. Seit 2017 werden neue Personalausweise nun direkt mit einer einsatzbereiten eID-Funktion ausgegeben. Spätestens jetzt sollte man also wissen, was sich hinter der eID-Funktion des neuen Personalausweises verbirgt.
Funktionen des neuen Personalausweises
Grundsätzlich sind auf dem RFID-Chip im Ausweis persönliche Daten gespeichert, die mit speziellen Kartenlesegeräten ausgelesen werden können. Die erste interessante Frage ist also, welche Daten sich eigentlich auf dem RFID-Chip befinden.
Daten auf dem RFID-Chip
- Familienname und Vornamen
- Geburtsdatum und -ort
- Wohnanschrift
- Lichtbild
- Seriennummer
- Zwei Fingerabdrücke (optional)
Die zweite spannende Frage ist nun, von wem diese Daten eigentlich ausgelesen werden können und zu welchem Zweck. Beim RFID-Chip im neuen Personalausweis unterscheidet man im Wesentlichen hoheitliche und nicht-hoheitliche Funktionen. Unter der hoheitlichen Funktion versteht man den klassischen Zweck eines Personalausweises, nämlich sich beispielsweise bei Grenz- oder Polizeikontrollen ausweisen zu können. Nur Polizeivollzugsbehörden, Zollverwaltung, Steuerfahndungsstellen der Länder sowie Pass-, Personalausweis- und Meldebehörden sind befugt. die Daten auf dem RFID-Chip mit einem speziellen Lesegerät auszulesen. Unter die nicht-hoheitliche Funktion fällt die eID-Funktion, die es Bürgern erlaubt, sich mit Ihrem Ausweis im Internet gegenüber Dritten auszuweisen.
Elektronischer Identitätsnachweis (eID-Funktion)
Der neue Personalausweis soll Bürgern eine sichere Möglichkeit bieten, sich im Internet gegenüber Behörden, Online-Shops oder Online-Dienstanbietern eindeutig zu authentifizieren.
- Identitätsnachweis: Bürger können mit ihrem neuen Personalausweis Ihre Identität auch im Internet eindeutig nachweisen und können so beispielsweise online ein Bankkonto eröffnen.
- Altersverifikation: Über die eID-Funktion kann einem Internetanbieter übermittelt werden, ob ein Kunde das erforderliche Alter besitzt, um beispielsweise einen Film ab 18 Jahren in einer Online-Videothek auszuleihen.
- Formularfunktion: Mit dem neuen Personalausweis können Anträge an das Bürgeramt auch online gestellt werden, da die eingegebenen Daten mit der eID-Funktion verifiziert werden können.
- Login: Alternativ zu einer Vielzahl von Benutzernamen und Passwörtern können Nutzer auch einfach die eID-Funktion nutzen, um sich im Internet beispielsweise bei Online-Shops einzuloggen.
- Anonymer Login: Mit der eID-Funktion kann man sich bei verschiedenen Dienstanbietern unter einem Pseudonym einloggen. Auf diese Weise werden keine persönlichen Daten übertragen und das Surfverhalten von Nutzern lässt sich weniger leicht nachverfolgen.
Was benötigt man, um die eID-Funktion zu nutzen?
Der neue Gesetzesentwurf liegt vor allem vor, weil die eID-Funktion bisher nur von einem sehr geringen Anteil der deutschen Bevölkerung genutzt wird. Es ist jedoch fraglich, ob der neue Gesetzesentwurf tatsächlich die Nutzung fördert, denn oft wird kritisiert, dass es einfach zu umständlich ist die eID-Funktion zu nutzen. Es ist naheliegend, dass ein Personalausweis mit aktivierter Online-Funktion benötigt wird. Wer bei der Beantragung seines Ausweises die Funktion aktiviert hat, kann bei der Abholung eine 6-stellige PIN selbst wählen. Sobald das neue Gesetz in Kraft tritt, ist die Online-Funktion standardmäßig aktiviert. Zusätzlich wird jedoch auch noch eine sichere Software für die Authentifizierungsprozesse im Internet benötigt. Für diesen Zweck hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die sogenannte AusweisApp entwickelt. Zu guter Letzt wird noch ein Kartenlesegerät benötigt, das mit dem neuen Personalausweis kompatibel ist.
Wie läuft eine Authentifizierung im Internet ab?
Der elektronische Identitätsnachweis basiert auf einer gegenseitigen Authentifizierung, sodass sowohl Anbieter als auch Nutzer auf der sicheren Seite sind.
- Authentifizierung des Anbieters: Das Bundesverwaltungsamt ermittelt die Echtheit eines Anbieters und stellt diesem ein Berechtigungszertifikat aus. Ein solches Zertifikat berechtigt einen Anbieter überhaupt erst Daten von einem Nutzer anzufragen.
- Authentifizierung des Nutzers: Dem Nutzer wird das Berechtigungszertifikat übermittelt. Daraufhin platziert der Nutzer seinen Personalausweis auf dem Kartenlesegerät und die AusweisApp liest die erforderlichen Daten vom RFID-Chip des Ausweises. Dem Nutzer wird angezeigt, welche Daten an den Anbieter übermittelt werden. Erst nach einer PIN-Eingabe durch den Nutzer wird durch die AusweisApp eine sichere Verbindung zu einem eID-Server aufgebaut und die Daten werden verschlüsselt übermittelt. Die Echtheit der PIN wird durch das Sicherheitsprotokoll Passwort Authenticated Connection Establishment (PACE) ermittelt.
Wie sicher ist der neue Personalausweis?
So praktisch die eID-Funktion auch klingt – viele stellen sich auch nach der Frage der Sicherheit des neuen Personalausweises. Können beispielsweise Kriminelle die Daten auf dem RFID-Chip in unseren Ausweisen nutzen, um sich im Internet als eine andere Person auszugeben? Das würde bedeuten, dass Kriminelle in unserem Namen im Internet ein Bankkonto eröffnen oder eine Bestellung in einem Online-Shop aufgeben könnten. Zur Nutzung der AusweisApp und damit auch der eID-Funktion wird wie oben beschrieben ein Kartenlesegerät benötigt. Hierbei stellen insbesondere Basis-Lesegeräte ohne Tastatur ein Sicherheitsrisiko dar, weil die PIN-Eingabe am PC über einen Relay-Angriff abgefangen werden kann. Deutlich sicherer ist daher in ein zertifiziertes Lesegerät mit eigener Tastatur zu investieren. In der Realität wird jedoch häufig das Basis-Lesegerät vorgezogen, da es mit rund 50 € deutlich günstiger ist als ein zertifiziertes mit bis zu 150 €. An den Preisen wird auch deutlich, dass Bürger bisher nur einen geringen Anreiz haben die eID-Funktion zu nutzen, wenn vorher erst rund 150 € in ein zertifiziertes Lesegerät investiert werden müssen. Ein weiteres Sicherheitsrisiko besteht darin, dass die AusweisApp mittlerweile auch als Mobilversion verfügbar ist. Theoretisch könnten Personen mit kriminellen Absichten diese App auf Ihrem Handy installieren und dann versuchen im Vorbeigehen mit Ihrem Smartphone auf den RFID-Chip im neuen Personalausweis zuzugreifen. Um die eID-Funktion allerdings tatsächlich in unserem Namen nutzen zu können, müsste ein Krimineller dabei noch unsere selbst gewählte 6-stellige PIN erraten. Ohne diese PIN erfolgt kein Zugriff. Es empfiehlt sich also keine zu simplen PINs wie 123456 oder das eigene Geburtsdatum zu wählen.
Neuen Personalausweis vor dem Auslesen schützen
Wer auf Nummer sichergehen will, kann seinen Personalausweis auch in einer NFC-Schutzhülle mit abschirmender Aluminiumschicht aufbewahren. Durch eine solche Schutzhülle ist der Chip im Ausweis nicht mehr in der Lage mit dem Smartphone eines Kriminellen zu kommunizieren, selbst wenn die PIN eventuell bekannt ist. NFC-Schutzhüllen sind nicht nur für den neuen Personalausweis sinnvoll, sondern auch für alle anderen Karten mit einem RFID- oder NFC-Chip. So lassen sich mit einer NFC-Schutzhülle beispielsweise auch NFC-Kreditkarten vor unbefugtem Auslesen schützen. Im Video demonstrieren wir, dass sich derselbe Effekt prinzipiell auch mit gewöhnlicher Alu-Folie erzielen lässt.