Eines gleich vorweg: Nein, ich habe den “neuen”/ elektronischen/ biometrischen Ausweis (auch ePa, nPa usw. genannt) nicht. Und ich will den auf kurz oder lang gesehen auch nicht haben. Zumindest nicht freiwillig und so lange ich es vermeiden kann. Also habe ich noch eine Frist bis zum Ablauf der Gültigkeit….
Aber warum stehe ich diesem neuen Ausweis kritisch gegenüber? Warum lasse ich mich nicht von den ganzen tollen Möglichkeiten überzeugen, die dieser mit sich bringt (bzw. bringen soll)? Warum möchte ich diesen nicht unbedingt haben?
Ich betrachte ersteinmal die positiven Aspekte des neuen Pesonalausweises:
- Seine Größe: Er ist nun, wie auch schon der Führerschein vor einigen Jahren, auf die bekannte Scheckkartengröße umgestellt worden. Damit passt er nun auch in kleinere (frauen)handtaschentaugliche Geldbörsen.
Das wäre quasi auch der erste und meiner Ansicht nach auch letzte Vorteil, den der neue Ausweis bietet.
Alle anderen beworbenen “Vorteile” sind skeptisch betrachtet eher von zweifelhafter Natur. Es ist zwar sehr löblich, der Produktfälschung (sprich Fälschung von Ausweisen) einhalt gebieten zu wollen, aber hierzu gäbe es sicherlich auch bessere Wege.
Welche Negativaspekte oder Probleme werden durch die Einführung des ePa hervorgerufen?
Als sicherheitsrelevantes Merkmal/ Funktion des Ausweises wird die eindeutige Identifikation bei Onlinegeschäften und online-Behördengängen hervorgehoben. Die Bürger sollen mit Hilfe eines Lesegerätes die Möglichkeit bekommen, sich gegenüber Behörden oder Firmen zu verifizieren. Hierzu soll der Ausweis auf ein Lesegerät gelegt bzw. in dieses gesteckt werden und durch Eingabe einer PIN über die ePa-Software verifiziert und freigegeben werden.
Im Grund klingt das gut. Man legt für einen Behördengang, für den man eigentlich ins Einwohnermeldeamt hätte gehen müssen, den Ausweis zu Hause auf das Lesegerät, gibt die PIN ein und kann den Antrag damit abgeben. Das spart Zeit für die Fahrt zur Behörde, kann variabel zu jeder Tages- und Nachtzeit durchgeführt werden. Toll sollte man denken.
Aber hier kommt das erste Problem zum Tragen: Das Lesegerät. Als einfachstes Gerät dieser Klasse gibt es das sogenannte Basislesegerät. Dieses wird vom BMI im Anfangsstadium kostenfrei verteilt und ist über einige Mitstreiter wie Banken, Versicherungen, Zeitschriften usw. des nPa ebenfalls kostenfrei zu beziehen. Das Basislesegerät bietet nur die elementarsten Funktionen: Auslesen des ePa. Mehr nicht. Die Eingabe der PIN erfolgt über die Tastatur des PCs. Völlig ungesichert. Unverschlüsselt.
Und wie Studien der letzten Jahre zeigen sind vor allem PCs mit Windows ein quell verschiedenster Schadsoftware (Keylogger, Trojaner usw). Und eben diese Schadsoftware kann u.U. dazu genutzt werden, die Eingabe der PIN abzufangen und z.B. auf Server von Angreifern umzuleiten. Nun wird man sagen, dass dieses ja eher theoretischer Natur ist. Ja, ist es. Aber die Geschichte hat gezeigt, dass das passieren wird. Das ist also gar nicht so theoretisch wie man meinen mag. Und dem BMI wäre gut daran gelegen, gleich die Geräteklassen der höheren Sicherheitsklasse zu nehmen. Diese bieten eine direkte Eingabe der PIN im Lesegerät (ähnlich der EC Terminals im Laden). Damit ist zumindest der Rechner mit Schadsoftware nicht mehr in der Lage, die PIN mitzulesen. Aber natürlich sind diese Geräte teurer. Viel teurer. Und für viele lohnt sich die Anschaffung solch teurer Geräte nicht. Also wird das einfachste (und somit auch sicherheitskritische) Gerät verteilt und unter das Volk gebracht….
Nur was kann der Angreifer mit der PIN machen?
Grundsätzlich sollte die Zeit, die der Ausweis auf dem Lesegerät verbringt, äußerst kurz sein. Aber auch diese kurze Zeit reicht für Angreifer mitunter schon aus. Eine Funktion des ePa ist die Änderung der PIN. Diese kann durch den Nutzer geändert werden. Allerdings auch mit dem Problem, dass die PIN nach dreifacher Falscheingabe gesperrt werden kann (Infos zur PIN siehe http://www.personalausweisportal.de/cln_093/SharedDocs/FAQs/DE/Was-passiert-wenn-ich-meine-PIN-falsch-eingebe.html?nn=830990).
In einigen Versuchen, z.B. durch den CCC (Chaos Computer Club) wurde demonstriert, wie sich durch eine Schadsoftware auf einem Rechner A die PIN-Eingabe remote von Rechner B mitlesen ließ. Danach kann z.B. die PIN remote verändert werden. Die PIN auf dem Lesegerät A ist damit verändert. Der Nutzer kommt u.U. in das Problem, dass seine Ausweis-PIN gesperrt wird. Aber dafür gibt es natürlich eine Hilfe. Die Gebührenordnung sieht vor, dass man im Bürgeramt die PIN entsperren lassen kann. Für 6 Euro.
Sollte es nun dem Angreifer gelingen, die PIN von remote zu sperren und der Nutzer hat aus irgendwelchen Gründen seine PIN/ PUK Kombination nicht mehr vorliegen, so muss dieser die PIN im Bürgeramt entsperren lassen. Für 6 Euro. Sollten nun mehrere Ausweise gleichzeitig verändert/ manipuliert werden können, so ließe sich hier die Arbeitsbelastung der Bürgerämter enorm steigern. Und die Einnahmen für den Staat.
Naja. Ist ja nur theoretisch…
Kontaktlose Datenübertragung – RFID
Seit Jahren werden RFID Chips dazu genutzt, kontaktlos Daten zu übertragen bzw. auszulesen. Viele unterschiedliche Systeme auf dem Markt sind hier verbreitet und bieten Bezahlfunktionen bei Verkehrsunternehmen (z.B. die Oyster-Card für London Transport), Zutrittskontrollen für Türen (Schließsysteme, Zutritt in gesicherte Bereiche usw.), Warenverfolgung (Paletten oder die Waren selber erhalten RFID Chips und lassen sich somit in Lagerhallen wiederfinden), Studentenkarten für die Bezahlung in der Mensa…. und noch viel mehr Möglichkeiten.
Leider sind kontaktlose Übertragungen über Funk nicht immer sicher. Ebenfalls kritisch ist die Implementierung von Sicherheit in den RFID Chips, der Verschlüsselung der Daten usw.
Einige Kartensysteme sind hierbei in den letzten Jahren negativ aufgefallen. Eine der vielen bekannt gewordenen Kartenprobleme sind die Mifare Classic Karten. In vielen Beispielen wurde demonstriert, wie sich Bezahlsysteme manipulieren ließen: Den Systemen wurde vorgekaukelt, dass ein Betrag X von der Karte gebucht wurde. Die Karte selber hatte jedoch durch Manipulation einen Geldbetrag, der nie runter ging. Man hatte also eine günstige Möglichkeit, Zahlungen vorzunehmen.
Weiterhin ließen sich einige Kartensysteme kopieren. Natürlich im Grunde nur, wenn die Karten physikalisch vorlagen. Aber da RFID Karten auch Funkkarten sind, kann mit etwas (mehr) Technikaufwand aus einer gewissen Entfernung mitgelesen werden. Und mit noch ein wenig mehr Aufwand konnten dann Karten kopiert werden. Das ist natürlich bei Zutrittskontrollsystemen an Türen nicht so praktisch. Und dumm nur, dass in Holland vor einigen Jahren genau solche Karten im Innenministerium genutzt wurden….
Warum also RFID im epa? Eigentlich ist das nur für das Auslesen des Ausweises gut. Hier hätte aber auch eine kontaktbasierte Auslesung durch z.B. einen Chipkontakt gereicht. Damit ließe sich nicht aus (wenn auch sehr geringer) Entfernung der Chip auslesen. Weiterhin sind RFID Antennen in Checkkarten nicht besonders gegen motorische Einwirkungen geschützt. Jeder, der solche (Zutritts-)Kartensysteme nutzt hat sicherlich schon mal erlebt, dass die eigene Karte nicht mehr zuverlässig funktioniert, da die kleine Karte u.U. etwas geknickt wurde.
Ich selber habe z.B. alle paar Jahre Probleme, dass meine EC Karten brechen. Normal im Portomonaie transportiert brechen langsam die Ecken etwas ein. Steckt hier die RFID Antenne drin, kann das Probleme verursachen.
Warum also kein Kontakt zum Auslesen? Kontakte haben zwar auch den Nachteil, dass diese verschleißen. Natürlich sind diese ebenfalls mechanischen Einwirkungen, Kratzer, Fettfingern auf den Kontakten usw. ausgeliefert. Aber sicher ist das nicht schlechter als die Antennen selber.
Was passiert nun, wenn sich dieser Ausweis (gut, nach derzeitigem Stand der Technik ist die Verschlüsselung der Übertragung sicher) aus einiger Entfernung auslesen und damit kopieren ließe….? Doppelte Ausweise für Abschluss von Verträgen? Anträge bei Behörden? Identitätsprüfung der Person bei sonstigen Geschäften?
Hoheitlicher Bereich – Daten nur für den Staat?
Es gibt im ePa einen Bereich, der nicht offen (z.B. über die ePa Software) auslesbar ist. Dieser sogenannte hoheitliche Bereich beinhaltet die biometrischen Daten (Fingerabdruck, biometrisches Passbild). Nur mit Hilfe einer PIN (diese steht idealerweise auf dem Ausweis aufgedruckt drauf) und spezieller Software kann ein zertifikatsbasierter Zugriff auf diese Daten erfolgen.
Gut mag man denken. Dieser Zugriff soll ja nicht jeder erhalten können. Und sicher ist es ja auch…
Grundsätzlich ja. Aber die erste Frage, die sich einem ergeben sollte ist, was tatsächlich in diesen Daten drin steht? Sind es wirklich nur die biometrischen Daten? Steht da noch mehr drin?
Und was passiert, wenn solche Lesegeräte abhanden kommen und die Zertifikate u.U. öffentlich verbreitet werden? Jede zertifikatsbasierte Verschlüsselung funktioniert nur so lange, wie die Zertifikate wirklich geheim bleiben. Und sollte wirklich mal ein Zertifikat abhanden kommen, muss dieses revoced (widerrufen) werden können. Dazu ist aber eine Zertifikatsverwaltung nötig, bei der quasi vor jedem Zugriff abgefragt werden muss, ob das Zertifikat noch gültig ist. Was also, wenn diese Zertifikate abhanden kommen und öffentliche Verwendung finden können?
Mal angenommen, wir haben solch ein Lesegerät, welches den hoheitlichen Bereich auslesen kann. Nicht sonderlich schwer. Schließlich sollen u.a. Polizei und andere Strafverfolgungsbehörden Zugriff auf diese Geräte erhalten. Ebenfalls Behörden wie Einwohnermeldeamt. Sind die Geräte dort sicher? Ist die Software der Geräte so sicher, dass diese Zertifikate niemals ausgelesen werden können, sollte irgendwann mal jemand Zugriff auf das Gerät erlangen? Man stelle sich einfach mal vor: Bei einem Einbruch in eine Außenstelle eines Einwohnermeldeamtes (ja, die haben angeblich auch Einbruchmeldeanlagen…) kommt ein Gerät abhanden. Die Täter schrauben das auf, kommen durch etwas technisches Verständnis an die Daten ran. Das Zertifikat wäre damit kurze Zeit später quasi offen im Netz….
Leider gibt es dann ja noch das Problem der Zugriffssicherung auf die hoheitlichen Daten. Vorgesehen ist, dass sich bei Überprüfung durch Staatsbehörden der hoheitliche Bereich “freigeschaltet” werden muss. Dieses geschieht durch die Eingabe der aufgedruckten PIN (steht auf dem ePa) in einem hoheitlichen Lesegerät. Erst danach kann der Bereich ausgelesen und angesehen werden. Mal angenommen, diese PIN ist aus irgendwelchen Gründen unleserlich geworden. Damit wäre die eindeutige Überprüfung der Identität quasi auch wieder hinfällig da sich der hoheitliche Bereich nicht auslesen lässt. Das Backup Lichtbild auf dem Ausweis ist dann nur noch verbleibend. Die tollte neue Welt hilft dann auch nichts mehr.
Es soll ja schon vorgekommen sein, dass sich die Hauskatze über den Ausweis spielend hergemacht hat und ein, zwei Stellen der PIN ungekenntlich gemacht wurden….
Identitätsprüfung online – Wer schließt den Vertrag gerade ab?
Ein weiterer Vorteil soll die Möglichkeit sein, online rechtsverbindliche Geschäfte und Verträge abzuschließen. Sicher und zuverlässig. Und geprüft. Durch den Ausweis.
Komisch, ich habe seit zig Jahren online Verträge bei Versicherungen, Banken, Onlineshops usw. abgeschlossen. Nie gab es Zweifel an meiner Identität. Und sollte es welche gegeben haben, gab es das PostIDent Verfahren. Oder andere, ähnliche Verfahren, bei denen man sich legitimieren musste. Natürlich kostet das den Auftraggeber ein paar Euro. Aber damit wurde zumindest bei dem PostIdent-Verfahren durch einen Angestellten der Post durch Vorlage des Lichtbildausweises sichergestellt, dass die Person und der Ausweis des Antragsstellers zusammen passen. Nun soll alles besser werden. Online prüft die Bank, bei der ich mein neues Konto eröffnen möchte, ob ich der bin der ich zu meinen scheine.
Naja. Zumindest theoretisch: Denn es kann ja nur geprüft werden, ob Antragssteller derjenige ist, der gerade den physikalischen Zugriff auf den Ausweis und zufällig im Besitz der PIN ist.
Was also, wenn ich in einer WG wohne. Mein Portomonaie mit dem Ausweis liegt offen herum. Und dummerweise hat irgendwer meiner Mitbewohner meinem Rechner eine Software zum Auslesen der PIN untergeschoben und diese durch das Basislesegerät erhalten. Und nun legt dieser bei Bank X, Versicherung Y oder Behörde Z meinen Ausweis auf das Lesegerät und gibt die PIN ein. Was ist jetzt sicherer als die Identitätsprüfung durch den Mitarbeiter in der Behörde oder bei PostIdent?
Kosten – Für alle wird es deutlich teurer
Seit dem 1. November 2010 muss nun jeder den neuen Ausweis beantragen. Und natürlich mit allen Funktionen, ob er will oder nicht. Für alle kostet er gleich viel, ist mit nunmehr knapp 29 Euro für einen zehnjährigen Ausweis deutlich teurer geworden als bisher mit 8 Euro.
Ja, die neuen Funktionen müssen natürlich irgendwie bezahlt werden. Aber müssen alle den Kram zahlen, ob nun 18 oder 80 Jahre alt? Wird Oma Gertrud mit ihren 78 Jahren wirklich online die Identifikationsprüfung durch den ePa nutzen?
Bei einer Unmenge an Ausweisen, die nun in den nächsten Monaten und Jahren ausgestellt werden kommen nicht ganz unerhebliche Summen zusammen. Wofür? Werden diese in die Entwicklung der Software gesteckt, mit der man sich identifizieren kann? Wird das Geld für die Einführung und die Kosten der Basislesegeräte genutzt? Oder für die Sicherheit der hoheitlichen Daten? Der Lesegeräte?
Oder ist es vll. so, dass sich nun einige Hersteller von Lesegeräten oder der Chips die Hände reiben und sich eine goldene Nase verdienen können auf Kosten der Bundesbürger?
Gut also, wer sich noch vor der Einführung für 8 Euro einen neuen Ausweis geholt hat…
biometrische Daten – elektronische biometrische Vollerfassung aller Bürger
Die biometrisch auf dem Ausweis hinterlegten Daten sind durch die Definition des “hoheitlichen Bereiches” vor unbefugtem Zugriff (zumindest in der Theorie ersteinmal) geschützt. Sind wir uns da alle so sicher?
Richtig ist, dass man als (derzeit noch mündiger) Bürger bei der Beantragung die Fingerabdrücke abgeben kann, jedoch (noch) nicht muss. man sollte sich somit gut überlegen, ob man diese abgeben möchte/ muss/ will. Beim Reisepass und dem Wunsch, in eines der westlicher gelegenen Länder dieser Welt einreisen zu wollen bleibt einem gar keine andere Wahl. Dort wird einem von der Homeland Security Behörde auch gleich alles abgenommen. Bilder des Gesichts von allen Seiten, Fingerabdrücke aller Finger und so weiter. Aber bei dem ePa ist die Abgabe freiwillig und sollte gut bedacht werden.
In mehreren Schritten werden die erfassten Daten verarbeitet, übertragen und bearbeitet. Beim Einwohnermeldeamt gibt es ein vom BSI zertifiziertes Gerät, über welches man (seit Jahren schon für den Reisepass) seinen Fingerabdruck abgeben darf. Dieses hängt per USB an einem Windows-PC. Die Daten werden nun von diesem Rechner über verschiedene Zwischenpunkte (hoffentlich Ende-Ende verschlüsselt) an die Bundesdruckerei übertragen. Bundesdruckerei. War da nicht was? Wurde nicht diese eigentlich hoheitliche Institution vor einigen Jahren an eine Investorengruppe verkauft? Ja, im Jahre 2000 wurde die staatliche Bundesdruckerei an Apax Partners & Co. verkauft. Ausländische Unternehmen konnten/ durften/ sollten nun sowohl Geldscheine als auch Ausweisdokumente erstellen und drucken. Zusätzlich wurden seit November 2007 damit begonnen, den zweiten Schritt des digitalen Reisepasses zu drucken. In ihm sind schon die Fingerabdrücke gespeichert. Ein ausländisches Unternehmen, welches biometrische Fingerabdrücke in digitalen Daten vorliegen hat und speichern kann und muss. Nun könnte man fast auf die Idee kommen, dass diese Daten vielleicht mal einen Weg aus dem Unternehmen gefunden haben. Natürlich nur theoretisch. Man kann nur hoffen, dass alle Daten hochverschlüsselt nur zum Druck und Anfertigung der Ausweise genutzt wurde und danach restlos von allen betroffenen Systemen verschwunden wurden. Oder wird seit Jahren eine Datenbank gepflegt, in der alle Fingerabdrücke seit mehreren Jahren aufgeführt werden?
Abwägig ist die ganze Idee nicht. Zumal man mit einer solchen Datenbank auch in Kombination mit den neuen Ausweisen eine eindeutige(re) Identifikation einer Person durchführen kann.
Eine digitale Vollerfassung der Bundesbürger wird somit unter bestimmten Umständen in den nächsten Jahren immer wahrscheinlicher. Datenbanken, gefüllt mit Ausweisdaten, biometrischen Erkennungsmerkmalen, zusätzlich noch eine Auflistung aller Vorgänge mit Versicherungen, eine Verknüpfung zu den Stadtwerken und noch vieles mehr.
Wenn das kein Ziel für Datendesaster ist…
Software – Der Staat entwickelt nun auch Software…
Vor einigen Jahren gab es mal den Versuch, den Bundestrojaner durchzusetzen. Dann kam das Schlagwort Kinderpornographie auf und es sollte das STOP Schild eingeführt werden. Sinnvolle Ideen zur Bekämpfung von bekannten (kinderpornographischen) Problemen gab es nicht. Aber filtern statt löschen wurde zur neuesten Mode. Lieber sollte mit Hilfe sinnfreier Techniken (DNS Server sollten falsche Antworten liefern) das Anzeigen von bestimmtem Material verhindert behindert werden. Toll. Ich finde auch im Telefonbuch keinen Eintrag mehr, wenn das Inhaltsverzeichnis rausgerissen wird…
Nun also eine neue Idee? Sollte man u.U. dazu über gegangen sein, dass die ePa Software gleichzeitig einmal einen Check der Festplatte nach bestimmten Kriterien machen kann? Weiß man, ob durch die Software nicht einmal ein Check von Bildern, Dateien, Verzeichnissen durchgeführt wird, bei dem nach Schlagwörtern gesucht wird? Ist ausgeschlossen, dass diese Software nicht bestimmte Informationen mit Servern der Regierung austauscht? Wer kann das ausschließen? Wie kann man sicher gehen?
Die Idee ist sicherlich für den einen oder anderen Staatslenker verlockend: Alle Nutzer haben die Software auf dem Rechner installiert. Man muss sich also gar nicht mehr über rechtliche Grenzen hinweg und auf den Bundestrojaner setzen sondern bekommt gleich eine Menge an Daten, sortiert und mit entsprechender Verifikation des Nutzers, an den Bundesserver übertragen….
Oder das Thema Bugs: Wer garantiert, dass die scheinbar gerade mit heißer Nadel zusammengestrickte, nicht in Massen und noch gar nicht veröffentlichte und erprobte Software fehlerfrei ist? Fehlerfreie Software gibt es nicht! Daher auch mit großer Sicherheit diese nicht. Welche Bugs sind drin? Was passiert, wenn bestimmte Fehler unangenehme und ungewünschte Reaktionen hervorrufen?
Betriebssysteme: Gleich vom Start an soll es für die gängigen Betriebssysteme Windows, Linux und MacOS Clients für den ePa geben. Schön. Was ist mit meinem FreeBSD Client? Ich habe vielleicht kein Microsoft System oder auch kein Linux. Was nun? Kann ich nicht in den Genuss des ePa kommen? Gibt es die Software, bezahlt von Steuergeldern, quelloffen und für alle zugänglich, so dass ich mir zur Not für meinen Client aus dem Quellcode heraus meinen Client kompilieren kann?
Sicherlich nicht. Die OpenSource Initiative wird sicherlich auch hier wieder versagen…. Und geschlossener Quelltext wird in Binärform für die Nutzer zur Verfügung stehen. Mehr nicht.
Sicherheit im Umgang mit dem ePa – das BSI empfiehlt
Das BSI (Bundesamt für Sicherheit im Internet) empfiehlt Kartenlesegeräte für die Nutzung mit der AusweisApp. Klasse Idee. Aber auch hier stehen wieder ganz oben in der Liste die billigen Geräte ohne eigenes Eingabefeld für die PIN.
Und damit man sich den Schein der sicheren Bedienung wahren kann wird gleich wieder das Wort “Firewall Software” in den Mund genommen. Natürlich ist eine Firewall schön. Aber was hilft diese bitte, wenn die Software schon lange auf dem Rechner ist und der Keylogger die Eingabe mitliest? Dafür empfiehlt das BSI die Eingabe der PIN über eine Bildschirmtastatur. Toll Idee, wenn eine Software auf dem Rechner läuft, die die Bildschirmausgabe zusätzlich auf remote Systemen ausgibt und dem Angreifer damit auch ein Bild des Vorganges gibt. Also auch nicht die Lösung.
Dann gibt es noch Software, die einfach den Datenstrom auf dem USB mitlesen kann. Auch gut, vor allem wenn die Daten hierdrüber unverschlüsselt sind. Wie die Daten einer Eingabe über die normale Tastatur.
Eine Firewall mag toll klingen. Hilft aber hier wieder gar nichts. Solange ein Großteil der Rechner im Internet verseucht mit Schadsoftware, Viren, Trojanern und sonstigen Sachen sind hilft das wenig bis gar nichts. Der Nutzer wird in einer trügerischen Sicherheit gewogen und klickt trotzdem bei der nächsten Möglichkeit auf die von einer unbekannten Person kommende eMail mit einem Dateianhang…. Hirn aus, Mausschupsen an.
Die ersten Mitstreiter – Versicherungen, Banken, Stadtwerke
Die ersten (und vielleicht für die schnelle Durchdringung des ePa) wichtigsten Mitstreiter in diesem Multi-Millionen Euro teuren Projektes sind auch Banken, Versicherungen und Stadtwerke.
Man mag sich nun fragen, wieso gerade Banken hier mitmachen: Ich habe doch bei meinem Onlinebanking meine Logindaten, die natürlich kryptisch mit sicherem Passwort versehen per HTTPS von fast jedem Rechner auf der Welt per Webbrowser Zugriff auf mein Konto erlauben. Und hierdrüber bin ich authentifiziert und kann meine Bankgeschäfte erledigen. Einzig die Beantragung eines Kontos spielt hier vielleicht rein und erleichtert (auch finanziell gesehen) der Bank die Eröffnung eines neuen Kontos.
Versicherungen: Wieso muss ich denn nun für die Beantragung meiner Haftpflichtversicherung eindeutig Identifiziert werden? Soweit ich mich erinnern kann kann ich doch seit Jahren online eine Versicherung abschließen und musste mich nicht ein einziges Mal gegenüber der Versicherung identifizieren. Wozu auch. Es gibt einen Versicherungsnehmer und es wird eine Prämie gezahlt. Muss hier sichergestellt werden, dass der, der beantragt auch der Versicherungsnehmer ist? Kann ich dann noch online eine Versicherung abschließen, die eine andere Person als Begünstige aufführt?
Stadtwerke: Ja, gerade die glänzen seit Jahren mit ihrem Onlineangebot. Ich erinnere mich nur zu gerne, dass man quasi nicht viel online machen konnte. Wozu sollte ich dann nun mit Hilfe des ePa mehr machen können?
Fazit
Ich stehe, wie man unschwer erkennen kann, der Sache äußerst kritisch gegenüber. Wozu der ganze Aufwand und der Bedarf, dieses Projekt halbfertig und ohne viele Unterstützer auf den Weg zu bringen? Welche Vorteile ergeben sich wirklich? Kann es nicht sein, dass wir uns als mündige Bundesbürger hiermit vielleicht Dinge ins Haus holen, die wir nicht wollen? Erfassung der biometrischen Daten im Großen Stil? Nachverfolgung der einzelnen Nutzungen?
Ich für meinen Fall habe mir jedenfalls erstmal ein Basislesegerät bestellt. Mal sehen, was ich damit sonst noch so anfangen kann. Für kostenfrei (dank verschiedener Aktionen derzeit) nimmt man das Gerät natürlich gerne mit. Gerne hätte ich noch ein, zwei mehr. RFID Lesegeräte, die man vll. sogar mit richtiger Software nutzen kann sind nicht falsch. Sowas kann man sicherlich irgendwann mal gebrauchen. Wenn auch nicht für den eigentlichen Sinn in Kombination mit dem ePa.
Mag sein, dass ich hier nicht wie jeder andere bin. In Zeiten, in denen die jüngeren Menschen Ihren Aufenthaltsort quasi minütlich per GPS Twittern, Facebooken oder in sonstigen sozialen Netzwerken vermerken mag ich eine Ausnahme sein. Ich halte meine Daten, sofern möglich, beisammen. Und ich stehe, auch als technisch interessierter Mensch, einigen Dingen einfach kritisch gegenüber.
Man mag sich nun selber denken, was man will. Wir haben keine Wahl mehr. Wir müssen nun damit leben…….
Ein paar Links:
http://www.personalausweisportal.de
http://bmi.bund.de
http://www.ccc.de/de/updates/2010/sicherheitsprobleme-bei-suisseid-und-epa
http://www.netzwelt.de/news/84121-neuer-personalausweis-ccc-enttarnt-sicherheitsluecken-update.html
http://www.welt.de/wirtschaft/webwelt/article9805885/Hackern-gelingt-Aenderung-der-Personalausweis-Pin.html
http://www.reiner-sct.com/npa/standard.html
https://www.ausweisapp.bund.de/pweb/cms/kartenleser.jsp
Eines gleich vorweg: Nein, ich habe den “neuen”/ elektronischen/ biometrischen Ausweis (auch ePa, nPa usw. genannt) nicht. Und ich will den auf kurz oder lang gesehen auch nicht haben. Zumindest...
