banner sicherheit https-everywhere Zugriff im Tor-Netzwerk Sitemap | Impressum DE | EN
web2.0 Diaspora RSS Vimeo A-FsA Song MeetUp Twitter Youtube Flickr Spenden über Betterplace Bitmessage Facebook
24.03.2010 Elektronischer Personalausweis und das Bürgerportal

Elektronischer Personalausweis und das "Bürgerportal"

Der Entwurf des Gesetzes über Personalausweise und den elektronischen Identitätsnachweis  wurde am 23.Juli 2008 vom Kabinett beschlossen. Die Verabschiedung des Gesetzes durch den Bundestag erfolgte am 18. Dezember 2008, die Billigung durch den Bundesrat am 13. Februar 2009.

Was ist nun neu am elektronischen Personalausweis (ePA oder ePerso)?

Zuerst einmal der Name: Die Bundesregierung nennt ihn 

ganz unauffällig „neuer Personalausweis“ (nPA).
Der neue Ausweis ist nur noch so groß wie eine EC-Karte. Der konkrete Aufbau des ePA wird in einem Bericht der Tagesschau-Redaktion gezeigt.Aufbau des ePA

Die Daten sind verschlüsselt auf einem RFID-Chip gespeichert. Auch beim Auslesen werden die Daten verschlüsselt übertragen.

Der Ausweis enthält erstmal die gleichen Daten, die heute schon optisch vom Dokument ablesbar sind. Sie können von "Berechtigten" zukünftig aus dem Ausweis-Chip ausgelesen werden.

  • Darüber hinaus wird das biometrische Foto des Inhabers zusätzlich digital in dem RFID Chip gespeichert. Damit gilt der Ausweis wie der elektronische Reisepass als Reisedokument. Bei Grenzkontrollen können die biometrischen Daten vom Chip ausgelesen werden.
  • Zusätzlich kann der Inhaber auf freiwilliger Basis zwei Fingerabdrücke von sich speichern lassen. Das Innenministerium wollte dies zur Pflicht machen, scheiterte jedoch am Widerstand der SPD.
  • Der Ausweis kann im Internet als elektronischer Identitätsnachweis genutzt werden.
  • Ausweisinhaber können freiwillig ein Zertifikat für eine qualifizierte elektronische Signatur auf ihren Personalausweis in den RFID Chip laden. Solch eine persönliche Signatur ist kostenpflichtig bei privaten Trustcentern erhältlich und wahrscheinlich nicht über die ganze Gültigkeitsdauer des Ausweises von 10 Jahren gültig.

Das Bundesinnenministerium beschreibt den ePA als:

  • ein sicheres Reisedokument
  • Medienbruchfrei, sicher und preiswert können auf elektronischen Wege Signaturdienste in Anspruch genommen werden.
  •  Der neue Personalausweis hilft, Internetkriminalität zu bekämpfen und das Vertrauen der Bevölkerung in elektronische Transaktionen zu steigern.

Kritik am ePA

Datenschützer warnen schon seit Jahren vor den Gefahren bei der Nutzung von RFID Chips. Diese können über größere Distanzen ohne Berührung ausgelesen werden. Es ist also denkbar, dass Kriminelle unbemerkt Ausweise im Vorbeigehen auslesen oder sogar die Daten im RFID Chip verändern. Es ist Sicherheitsexperten bereits mehrfach gelungen die Verschlüsselung von RFID-Chips zu überlisten.

Update: Genau das ist geschehen - Mit dem ePerso - Identitätsdiebstahl wird einfacher

"Der neue Ausweis suggeriert den Verbrauchern eine trügerische Sicherheit", sagt Cornelia Tausch, Datenschutz-Expertin beim Bundesverband der Verbraucherzentralen in Berlin. "Bevor er eingeführt wird, muss die Bundesregierung unbedingt eine breit angelegte Informationskampagne starten, damit Bürger und Verbraucher über die damit verbundenen Chancen und Risiken umfassend aufgeklärt werden."

Wegen der oben beschriebenen datenschutzrechtlichen Probleme wollen jetzt sogar einige Liberale den ePA auf Eis legen. Der elektronische Personalausweis solle nicht wie geplant zum November 2010 starten, "sondern seine Einführung bis 2020 ausgesetzt werden", erklärte Frau Piltz im März 2010. Sie sagte, "der elektronische Personalausweis ist nicht sicher, schon gar nicht für zehn Jahre Gültigkeitsdauer". Die Menschen liefen Gefahr, dass ihre Daten unbefugt ausgelesen und ihre Identität missbraucht würde. "Zudem besteht keine Notwendigkeit, biometrische Merkmale in den Ausweis aufzunehmen."

Der Innenexperte der Grünen, Wolfgang Wieland, kritisiert: "Es entsteht eine teure, unsichere Datenhalde mit biometrischem Zusatzrisiko - ohne erkennbare Notwendigkeit."

Besonders bedenklich ist auch die Speicherung des Fingerabdrucks. Dieser kann vor allem im Ausland missbraucht werden. Dort gilt der deutsche Datenschutz nicht und die Fingerabdrücke können  von Sicherheitsbehörden gespeichert werden. Diese sehr persönlichen Daten können dann missbraucht werden, ohne dass man noch seine Unschuld beweisen kann.

Was kann man/frau tun?

  • Vor dem 1. November 2010 einen (alten) neuen Personalausweis beantragen. Dieser gilt dann 10 Jahre und kostet nur 8 Euro.  Update: Dazu ist es nun zu spät!!!
  • Wer danach einen neuen Ausweis benötigt, kann zumindest auf die Abgabe seiner Fingerabdrücke verzichten. Die Speicherung der Fingerabdrücke ist immer noch freiwillig!
  • Die Funktionen "elektronischer Identitätsnachweis" im Internet und "elektronische Signatur" sind ebenfalls freiwillig und außerdem kostenpflichtig. Wer es nicht braucht, kann Geld sparen und etwas für seine Privatheit tun.
  • Weitersagen was ab 1. November 2010 auf uns zukommt!
  • Das Thema muss wieder in die Öffentlichkeit bevor das Gesetz wirksam wird. Also überlegen, welche Aktionen dazu beitragen können!

Links

Das Bundesinnenministerium http://www.bmi.bund.de/cln_192/DE/Themen/Sicherheit/PaesseAusweise/ePersonalausweis/ePersonalausweis_node.html

http://www.sueddeutsche.de/politik/708/501948/text/

http://www.netzwelt.de/news/81391-elektronischer-personalausweis-chipkarte-kommt-jahr-2010.html

http://www.spiegel.de/politik/deutschland/0,1518,567502,00.html


Die Antwort der Bundesregierung auf eine kleine Anfrage der Linken zu Kosten und Sicherheit beim ePerso: http://dip21.bundestag.de/dip21/btd/17/039/1703932.pdf


 

Das "Bürgerportal" mit DE-Mail

Was steckt hinter DE-Mail?  

Das Projekt DE-Mail wurde von Bundeskanzlerin Merkel im November 2008 erstmals auf dem IT-Gipfel in Darmstadt öffentlich vorgestellt. Es handelt sich dabei um ein gemeinsames Projekt der Bundesregierung und der Deutschen Telekom AG.

Nach einem Pilotprojekt im Raum Friedrichshafen im Jahr 2009 soll für das Vorhaben noch im Jahr 2010 eine gesetzliche Grundlage geschaffen werden.  Privatwirtschaftliche Unternehmen, die als Provider auftreten wollen, müssen in einem Akkreditierungsverfahren nachweisen, dass sie die festgelegten Anforderungen erfüllen.

Für dieses sogenannte "offene Bürgerportal" wird eine Infrastruktur geschaffen, die für jeden Bürger gewährleisten soll, dass er sichere und rechtsgültige E-Mails verschicken und empfangen kann.  Damit soll sichergestellt werden, dass jede/r über das Internet mit Firmen oder auch Firmen untereinander rechtsgültige Verträge per E-Mail schließen können.
Das bedeutet auch, dass man bei Bedarf auf eine E-Mail eine gerichtsfeste authentifizierte Bestätigung über deren Empfang erhält.
 

Verschlüsselte sichere E-Mail, hört sich doch gut an - was ist daran so schlimm?

Schön, wenn es so wäre. Wieder einmal steckt der Teufel im Detail.

 Verfolgen wir gemeinsam den Weg einer E-Mail.

Der Schreiber der E-Mail meldet sich mit seinen Benutzernamen und Passwort bei seinem E-Mail-Provider an, schreibt und verschlüsselt seine E-Mail und sendet sie an seinen Provider. 
Der Provider entschlüsselt die E-Mail, überprüft sie nach Viren, verschlüsselt sie wieder neu und versendet sie an den Provider des Empfängers.  Auch dort wird die Nachricht wieder entschlüsselt, wieder auf Viren geprüft, erneut verschlüsselt und an den Empfänger gesendet. Nun kann der Empfänger die Mail mithilfe seiner Kenndaten entschlüsseln und lesen.
 
Wäre die Bundesregierung vor 20 Jahren mit diesem Plan in die Öffentlichkeit getreten, so hätte man gesagt, okay, ein möglicher Vorschlag. Allerdings gibt es seit 1991 Jahren ein gut funktionierendes System der E-Mail Verschlüsselung von Phil Zimmermann namens Pretty Good Privacy (PGP). Die frei verfügbare und kostenlose Software dafür (GnuPG) ist für alle gängigen Betriebssysteme (Windows, Mac, Linux) vorhanden. Damit ist eine Ende-zu-Ende Verschlüsselung möglich, das heißt, niemand auf dem Datenübertragungsweg kann in den Inhalt der E-Mail schauen oder diesen verfälschen.
 
Warum sollen wir die Beschäftigten bei unseren Internet Providern in die Gefahr bringen, zufällig oder mit Vorsatz in unsere E-Mails zu schauen? Es ist außerdem zu befürchten, dass das Bundesinnenministerium, welches stark bei der Entwicklung des Projektes eingebunden war, sich über diesen Weg die Möglichkeit eines Zugriffs auf unsere Daten ermöglichen will.
 
Nur für eine Virenüberprüfung brauchen wir jedenfalls nicht die Hilfe anonymer Provider, das können wir auch auf unserem lokalen PC machen.
 

Es ist also zu kritisieren:

  • mit den Systemen wird eine trügerische Scheinsicherheit erzeugt
  • das System garantiert keine Vertraulichkeit der Kommunikation (ständiges verschlüsseln und entschlüsseln)
  • das System ist nicht mit gängigen und funktionierenden Ende-zu-Ende Verschlüsselungssystemen (z.B. PGP) vereinbar
  • die Menschen können einem Bürgerportal nicht vertrauen, dass von den Großunternehmen realisiert werden soll, die bisher durch die größten Datenmissbrauchsskandale aufgefallen sind
  • es ist zu befürchten, dass die Menschen für die Kosten der Software und der für die "elektronische Signatur" notwendigen Chipkarte aufkommen müssen 
  • bei allen Providern stehen die Abhörboxen der deutschen Geheimdienste; warum soll gerade dort meine E-Mail unverschlüsselt vorbeikommen?
  • im schlimmsten Fall wäre eine DE-Mail Adresse verpflichtend
  •  eine anonyme Kommunikation könnte dann künftig verboten werden und Menschen, die nicht daran teilnehmen wollen werden dadurch ausgegrenzt, vielleicht sogar stigmatisiert oder kriminalisiert

Die vorgesehene Ausführung des Projekts DE-Mail ist technisch unsicher und unausgereift, rechtlich unklar und aus Sicht der Bürgerrechte schwer bedenklich. Diese Bedenken wachsen noch, wenn man die Verknüpfung der elektronischen Signatur mit dem elektronischen Personalausweis betrachtet.

Links

DE-Mail:
http://de.wikipedia.org/wiki/De-Mail
http://www.golem.de/0902/65067.html
http://t3n.de/news/de-mail-verbindliche-e-mail-de-mail-20-centstuck-kosten-266631/
Pilotprojekt 2009 in Friedrichshafen: http://www.fn.de-mail.de/cln_164/DeMail/DE/Home/home_node.html
http://www.cio.bund.de/cln_102/sid_1D60D3BC661B7DFD76DEAE3A588324BC/DE/IT-Projekte/De-Mail/demail_node.html
Zertifikate und Schlüssel von der Deutschen Telekom: Sicherheit aus dem Trustcenter
Zertifikate und Schlüssel in der Schweiz: SuisseID - Sicherheit und Datenschutz stehen an erster Stelle
Phil Zimmermann und PGP: http://de.wikipedia.org/wiki/Phil_Zimmermann


Kommentar: RE: Elektronischer Personalausweis und das Bürgerportal

Wenn man so eine Informationsansammlung veröffentlicht, dann bitte mit richtigen Inhalten:
Der elektronische Identitätsnachweis ist nicht kostenpflichtig und lässt sich ein- und ausschalten.
Die elektronische Signatur kann optional auf den neuen Personalausweis geladen und müsste bei Trustcentern gekauft werden.
Das Auslesen der Fingerabdrücke wird nur von hoheitlichen Stellen möglich sein z. B. Bundespolizei!
Bitte ändern!
MfG
Matthias 2010-05-17 07:42:45


Kommentar: RE: RE: Elektronischer Personalausweis und das Bürgerportal

Welche Funktion kostenpflichtig sein wird und wie viel der Ausweis kosten wird, das kann noch spannend werden.
Wenn dann auch noch private Trustcenter mitspielen dürfen, wozu dann unbedingt auf dem Ausweis? Ich hoffe auch, dass nur die dt. Polizei die Fingerabdrücke lesen kann. Das gilt leider immer nur bis zum ersten Hack.
Gruss Rainer
PS. ich werde das im Text noch klarstellen, danke

Rainer 2010-05-19 16:14:16


Kommentar: RE: Elektronischer Personalausweis und das Bürgerportal

by the way: nicht ePA oder ePerso sondern nPA (neuer Personalausweis) ist die richtige Bezeichnung!

Porth 2010-05-18 06:11:11


Kommentar: RE: RE: Elektronischer Personalausweis und das Bürgerportal

nPA hätte die Bundesregierung jedenfalls gern, da die Menschen nach dem elenden Versuchen mit der "elektronischen Gesundheitskarte" davon langsam die Nase voll haben.

Rainer 2010-05-19 16:16:50


 Kommentar: RE: Elektronischer Personalausweis

hallo ich möchte den neuen personalausweis nicht, könnt ihr mir helfen?

Nancy  2012-08-17 15:06:05


 

 Kommentar: RE: RE: Elektronischer Personalausweis

Hallo Nancy,
"nicht haben" geht leider nicht mehr. Bis zu seiner Einführung konnte man/frau schnell noch einen alten beantragen und auch bekommen.
Jetzt kommst du um das biometrische Foto nicht mehr rum, aber die Abgabe von Fingerabrdücken ist freiwillig. Den ganzen Signaturkrempel kannst du auch ablehnen (ist freiwillig) da es bisher keine/kaum Anwendungen dafür gibt.
Auf unserer Seite http://www.aktion-freiheitstattangst.org/de/articles/1202-elektronischer-personalausweis.htm steht mehr dazu.
Du kannst aber weiter Menschen in deinem Umfeld aufklären über den ganzen Überwachungskram.
Viele Grüße
Aktion FsA  2012-08-18 10:37:25


Kommentar: RE: RE: RE: Elektronischer Personalausweis

Ja gut aber viel bringt das ja nicht wenn es garkeine Chance gibt das abzuwenden. Es muss doch eine Möglichkeit geben. Habe mir den alten Ausweis noch geholt aber was ist danach? Wollt ihr also still sitzen und euch überwachen lassen?

Nancy  2012-08-18 10:58:55


 Kommentar: RE: RE: RE: RE: Elektronischer Personalausweis

Nein, wir wollen nicht still sitzen und wir wollen uns auch nicht überwachen lassen.
Wir versuchen die Zusammenhänge deutlich zu machen. So ist der ePerso erst richtig gefährlich, wenn ihn jeder benutzen muss, um sich an jeder Ecke zu identifizieren, wenn man/frau ihn z.B. für das (inzwischen erfolgreich gekippte) ELENA Projekt beim Beantragen von Sozialleistungen benutzen müsste.
Die Gefahren durch die vielen(!) Überwachungsmaßnahmen sind riesengroß und wir müssen mit möglichst vielen dagegen vorgehen. Mach einfach mit! Mail an kontakt@aktion-fsa.de
Es gibt genug zu tun, aktuell sind das - NoPNR die Speicherung unserer Reisedaten, - INDECT,  - ACTA kommt sicher auch wieder, - Vorratsdatenspeicherung droht von der EU noch immer.
http://www.aktion-freiheitstattangst.org/de/articles/2159-20110610-keine-vorratsdatenspeicherung-fuer-fluggastdaten.htm
http://www.aktion-freiheitstattangst.org/de/articles/1917-indect.htm
Um den ePERSO wieder los zu werden, brauchst du "nur" eine Mehrheit im Bundestag oder wöchentliche Demo dafür mit mindestens 5000 Teilnehmern. Als wir gegen die Volkzählung (Zensus 2011) im letzten Jahr eine Kundgebung vor dem Statistischen Bundesamt gemacht haben, blieb leider niemand interessiert stehen. Nicht dass uns das entmutigt aber es zeigt, dass jede/r wohl noch viele überzeugen muss.
http://www.aktion-freiheitstattangst.org/de/articles/1895-zensus-2011-schon-wieder-eine-volkszaehlung.htm

Viele Grüße
Aktion FsA   2012-08-18 12:28:57


 


Kategorie[27]: Polizei&Geheimdienste Short-Link dieser Seite: a-fsa.de/d/1kZ
Tags: FsaMitteilung, Elektronischer Personalausweis, epa, eperso, Ueberwachung, biometrie, rfid, Polizei, de-mail
Erstellt: 2010-03-24 09:03:59
Aufrufe: 18872

Kommentar abgeben

Wer hat, der kann! Für eine verschlüsselte Rückantwort hier den eigenen Public Key reinkopieren.
(Natürlich optional)
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots auszuschließen.
logos Mitglied bei European Civil Liberties Network Creative Commons Mitglied bei WorldBeyondWar Wir unterstützen den CCC Beim freiwilligen Engagement stets dabei Mitglied bei Schule ohne Militär Wir speichern nicht Wir verwenden kein JavaScript Mitglied bei Fundamental Right Platform Für Transparenz in der Zivilgesellschaft Nominiert für Deutschen Engagementpreis