Neuland

Zwei Gesichter vor PlatinenlayoutAls ich vor vielen Jahren einen neuen Personalausweis brauchte, weil der alte abzulaufen drohte, bekam ich so ein scheckkartengroßes Plastikdings.  Mit Verbrecherfoto (so sah es zumindest aus), das ich vorher noch beim Fotografen machen lassen musste. Nicht lachen, nicht das Gesicht verziehen, Augen geradeaus! “Biometrisch” nannten sie es politisch korrekt. Auf dem Stück Plastik dann noch gefühlt eine Million unverständliche Nummern und ganz viel künstlerisch bestimmt sehr wertvolle Muster. Damals bestand schon die Möglichkeit, den zwangsläufig enthaltenen Chip zu aktivieren, allerdings entschied ich mich dagegen. Immerhin fragte man mich, ob ich das wollte, und ich durfte damals noch “nein” sagen. Der Chip war (vermutlich in der rechten oberen Ecke) dennoch enthalten, aber er tat nichts. Jetzt, zehn Jahre später, ist das ein wenig anders.

In Neuland angekommen

In ihrer legendären Ansprache 2013 bezog sich die Kanzlerin natürlich auf das Internet insgesamt, nicht auf den damals schon mehrere Jahre alten teildigitalen Ausweis. Dieses Wort zog viel Häme nach sich und ist auch sieben Jahre danach noch allen bestens in Erinnerung. Nichtsdestotrotz sind wir alle gelegentlich mit solchen Neulanderfahrungen konfrontiert, jeder mit anderen, und mit allem geht jeder sehr unterschiedlich um.

Der Chip, der genau genommen schon seit 2017 in jedem seitdem neu ausgestellten Personalausweis enthalten und aktiviert ist, eröffnet uns neue Möglichkeiten in der digitalen Welt. Ich bin zwar skeptisch, aber auch experimentierfreudig. Ich möchte gerne wissen, was geht und was nicht, und daher habe ich die schöne neue Welt natürlich auch mal erforscht.

Als erstes musste das Smartphone ran. Dieses verfügt ja bereits über einen NFC-Sender-/Empfänger, obwohl ich diesen bislang nicht wirklich benutzt habe. Aber da das genau die Technik ist, die als “RFID-Chip” im Personalausweis verbaut ist, war der Gedanke naheliegend, es damit zu versuchen. Eine allgemeine NFC-App hatte ich auch bereits installiert, so dass nach Aktivierung der Funktion beim Überstreichen des Ausweises ein dezentes “Quaak” ertönte, gefolgt von der Fehlermeldung, dass dieses Protokoll noch nicht unterstützt werde. Na immerhin eine Reaktion, und “noch nicht” lässt ja hoffen.

Aktivieren!

Der nächste Versuch war die AusweisApp2, wie sie unter anderem im Google Play Store enthalten ist. Diesmal quakte das Handy nicht nur, es zeigte auch etwas an. Es funktioniert also im Grundsatz, Zeit für ein paar systematischere Versuche.

Um die Funktion des im Personalausweis enthaltenen Chips nutzen zu können, muss sie zunächst eingerichtet werden. Aktiviert ist der Chip ja bereits bei der Ausgabe, wie bereits oben angedeutet. Nun muss ich nur noch die in einem separaten Brief erhaltene “Transport-PIN” und eine neu ausgedachte PIN eingeben. Ohne diese kann die Funktion nicht genutzt werden (Zwei-Faktor-Authentifizierung). Letztere muss 6stellig sein, ein einfaches “0815” oder “4711” reicht also nicht. Das war’s schon. Das hätte ich auch im Rathaus erledigen lassen können, aber warum? Selber spielen ist viel schöner.

Doch auch wenn nun alles vorbereitet ist, heißt das nicht, dass der Ausweis nun ständig meine Position sendet. NFC heißt ausgeschrieben “near field communication”, also “Nahfeldkommunikation”. Das ist technisch im Grunde das gleiche wie die “RFID” genannte Technik der Chips an der Ware im Laden. Erst wenn von außen ein elektromagnetisches Feld einer bestimmten Frequenz und Stärke auf den Chip einwirkt, nimmt eine Induktionsschleife aus diesem Feld Energie auf und der Mini-Computer erwacht zum elektronischen Leben. Was er dann macht, hängt ganz von der Bauart ab. Von einem einfachen “ich bin da” bis hin zu komplizierten Aktionen ist theoretisch alles denkbar, solange Energie vorhanden ist. Denn einen eigenen Akku hat so ein Chip nicht.

Zur Energieübertragung muss das Smartphone direkt auf der Karte aufliegen, denn dessen Sendestärke ist nicht besonders hoch. Schon wenige Zentimeter Entfernung verhindern die Aktivierung. Da die Feldstärke eines elektromagnetischen Feldes mit dem Quadrat der Entfernung abnimmt (Abstandsgesetz), ist früher oder später einfach nicht mehr genügend Energie da, um den Chip zu betreiben. Außerdem ist es ja nur ein Smartphone, kein Atomreaktor.

Während das Feld existiert, kann der kleine Computer also mit dem großen Bruder irgendwo kommunizieren. Im Falle des Perso-Chips erfolgt dies – wie überall zu lesen ist – verschlüsselt. Dadurch “verrät” der Chip zunächst nur seine Existenz, nicht aber irgendwelche Daten. Im Falle der AusweisApp muss der Datenzugriff erst durch die Eingabe der (von mir festgelegten) PIN freigegeben werden. Dann braucht es einige Zeit, bis App und Chip sich einig sind, dass sie miteinander reden wollen (dürfen). Die App braucht bereits dazu eine Netzwerkverbindung. Während dieses Vorgangs wird laut Anzeige ein Zertifikat heruntergeladen. Ich vermute, dass dieses der App “sagt”, was sie darf.

Ein Scan durch Bundesbehörden dürfte allerdings auch ohne diese Freigabe möglich sein. Es wäre ja auch  sehr witzig, wenn ich eine Ausweiskontrolle einfach so verweigern könnte. Auch das Problem des Abstandes ließe sich theoretisch durch einen hinreichend starken Sender oder auch durch eine gerichtete Abstrahlung der Energie lösen. Denkbar wäre also, dass unbemerkt eine Erfassung statt findet, wenn man durch eine Tür oder einen Gang entlang geht.

Das ist das alte Dilemma: Jede gute Technik kann auch missbraucht werden.

Was ist gespeichert?

Als erstes habe ich die Funktion “Meine Daten einsehen” ausprobiert. Denn natürlich interessiert mich, was der Chip über mich verrät. Hier ergibt sich allerdings schon die erste Diskrepanz zu der offiziellen Angabe. Während die AusweisApp mir Name, Geburtsdatum und -ort, Adresse, Staatsangehörigkeit und evtl. noch Doktorgrad und Künstlername anzeigt, sagt sie über das ebenfalls gespeicherte Passbild nichts aus und zeigt dies auch nicht an.

Das Passbild ist der Behörde aber durch den Antragsprozess ohnehin digital bekannt. Das lässt es natürlich erwarten, dass früher oder später auch großflächige Bilderkennungsverfahren zum Einsatz kommen. Dass das Bild nun auch im Chip gespeichert ist, macht da natürlich keinen großen Unterschied mehr.

Ich vermute, dass auch die Fingerabdrücke, die dort spätestens ab Juli 2021 ebenfalls verpflichtend gespeichert werden, nicht angezeigt würden. Ich muss mich also darauf verlassen, was offizielle Stellen so sagen, denn technisch nachprüfen kann ich es nicht.

Wie geht das?

Der Chip ermöglicht es, sich über das Internet digital zu identifizieren. Interessant an dem Konzept ist, dass der Anwender vor der Datenübertragung an einen anderen Anbieter eine Information darüber erhält, welche Daten an den Dienstleister übermittelt werden sollen. Erst danach gibt er die PIN ein und erst dann werden die Daten verschlüsselt übertragen. Das ist insgesamt ein gutes Konzept, das durchaus zur Bildung von Vertrauen beitragen kann.

Und was geht damit?

Diese Frage ist nicht so einfach zu beantworten. Eine der ersten Möglichkeiten, die ich gefunden habe, ist die Abfrage meines Punktekontos beim Kraftfahrtbundesamt in Flensburg. Dazu habe ich zusätzlich noch die AusweisApp2 auf einem Linux-Rechner installiert, da die Aktionen am PC-Bildschirm doch etwas einfacher sind. Dazu müssen beide sich im gleichen Netzwerk befinden, dann braucht man außer dem Smartphone keinen separaten Kartenleser. Auf der App muss der “Fernzugriff” aktiviert werden und die PC-App einmalig mit der Smartphone-App gekoppelt werden. Das geht im Grunde wie bei einer Bluetooth-Kopplung.

Die Linux-App listet eine Reihe von Anbietern auf, die durchaus interessant sind. Jeweils wird auch eine Beschreibung des Dienstes angezeigt. Diverse BAfÖG-Ämter finden sich darunter, auch einige Bürgerservices diverser Städte. Sogar ein “Vollstreckungsportal” gibt es, aber dessen Beschreibung enthält nur einen Herzlich-Willkommen-Text. Eine Bank (IBB) wird aufgezählt, ebenso eine Versicherung (LVM), das ist nicht gerade viel. Gerade im Finanzsektor hätte ich erwartet, dass das Angebot hier umfangreicher ist.

Aber – Überraschung – die Governikus GmbH & Co. KG bietet an, meinen PGP-Schlüssel zu signieren! Allerdings sind dabei nur zwei Identitäten auswählbar, und in meinem Falle ausgerechnet die beiden einzigen zurückgezogenen!

Laut der Tagesschau (Facebook-Post vom 1.11.2020) nutzen nur 6 % der Bundesbürger die Online-Funktion. Ich tat das in den vergangenen 10 Jahren schließlich auch nicht, allerdings habe ich auch nicht in Erinnerung, dass mich irgend eine Website darauf aufmerksam gemacht hat. Irgendwie muss man als Anbieter dafür auch etwas Werbung machen, oder?

Schutz gegen Missbrauch

Die Frage mag bei dem Personalausweis aufgrund der Zwei-Faktor-Authentifizierung nicht so im Vordergrund stehen, stellt sich aber grundsätzlich bei allem, was berührungslos ausgelesen werden kann, zum Beispiel auch Bezahlkarten, die das WLAN-Symbol aufgedruckt haben. Das Limit ohne PIN-Eingabe liegt dabei je nach Karte bei 25 oder 50 €. Aufgrund der Corona-Pandemie (so ist zu lesen), wurde das Limit bei allen auf 50 € angehoben, wobei die PIN in der Regel erst ab einer Summe von 150  € pro Tag erforderlich ist.

Wer also über ein mobiles Endgerät verfügt, der könnte damit unbemerkt Geld “abbuchen”. Im Falle einer unberechtigten Abbuchung sollte unbedingt sofort die Bank benachrichtigt werden, angeblich trägt diese auch das Risiko hierbei.

Wer allerdings auf Nummer Sicher gehen will, mag sich eine Schutzhülle (Affiliate-Link) beschaffen. Damit ist dann nicht nur die Bezahlkarte, sondern auch der Personalausweis gegen unbefugten Zugriff geschützt. Erst wenn die Karte aus der Hülle gezogen wurde, ist sie wieder betriebsbereit.

Ähnliche Artikel:

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht.

elf + 4 =