Welches Sicherheitssystem verwendet der elektronische Personalausweis?
Im Unterschied zum elektronischen Reisepass setzt der elektronische Personalausweis auf das sogenannte PACE-Protokoll ("Password Authenticated Connection Establishment"). PACE setzt einen Schlüssel für die sichere Übertragung von Nachrichten. So können geheime Daten verifiziert werden, eine Übertragung der Daten muss dafür nicht stattfinden.
Dieses Protokoll wurde vom Bundesamt für Sicherheit der Informationstechnik entwickelt und wird derzeit von diversen Organisationen, unter anderem dem Chaos Computer Club, auf Sicherheitslücken getestet.
Was ändert sich gesetzlich?
Von allen Ausweisinhabern darf künftig insbesondere nicht mehr verlangt werden, den Ausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben (§ 1 Abs. 1 S. 3 PAuswG). Dies würde angesichts der auf dem Ausweis gespeicherten Daten ein zu großes Sicherheitsrisiko bedeuten.
Was geschieht mit den Fingerabdrücken?
Fingerabdrücke können auf dem neuen Personalausweis auf freiwilliger Basis gespeichert werden (§ 5 PAuswG). Behörden können diesen dann zum Identifikationsabgleich abrufen. Die ausstellende Behörde muss den Fingerabdruck unmittelbar nach der Ausstellung des Ausweises wieder löschen.
Möglich für Antragssteller: digitale Identifikation
Daneben hat der neue Personalausweis auch die Möglichkeit, eine digitale Identifikation darzustellen (§ 10 PAuswG). Auch diese muss beantragt werden und ist nicht verpflichtend. Durch Kartenleser kann im Internet dann später die Identität (rechtlich) eindeutig festgestellt werden. Abhanden gekommene Ausweise werden auf einer Sperrliste vermerkt. Die Identifikation über das Internet funktioniert über die Verknüpfung von Ausweisnummer mit einer PIN-Nummer und insoweit grundlegend wie beim EC-Karten-System.
Ratsam: Authentifizierung nur über gesicherte Netzwerke
Den Ausweisinhaber trifft eine gesetzliche Pflicht, "zumutbare Maßnahmen" zu treffen, dass Dritte keine Kenntnis von der Geheimnummer erhalten (§ 27 PAuswG). Dies meint insbesondere die Eingabe bzw. den Zugang zu den gespeicherten Daten nur über gesicherte Netzwerke und Computer zu veranlassen. Insofern müssen vom Anwender auch Antivirenprogramme und Firewalls eingesetzt werden, um letztlich ein Ausspionieren der Daten zu erschweren.