152 58 7MB
German Pages 283
ELEKTRONISCHE AUSWEISDOKUMENTE klaus SCHMEH
GRUNDLAGEN UND PRAXISBEISPIELE
Schmeh Elektronische Ausweisdokumente
v
Bleiben Sie einfach auf dem Laufenden: www.hanser.de/newsletter Sofort anmelden und Monat für Monat die neuesten Infos und Updates erhalten.
Klaus Schmeh
Elektronische Ausweisdokumente Grundlagen und Praxisbeispiele
Klaus Schmeh ist Informatiker mit Schwerpunkt Verschlüsselungstechnik. Er arbeitet als Berater für die Gelsenkirchener Firma cryptovision. Kontakt: [email protected]
Alle in diesem Buch enthaltenen Informationen, Verfahren und Darstellungen wurden nach bestem Wissen zusammengestellt und mit Sorgfalt getestet. Dennoch sind Fehler nicht ganz auszuschließen. Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autor und Verlag übernehmen infolgedessen keine juristische Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieser Informationen – oder Teilen davon – entsteht. Ebenso übernehmen Autor und Verlag keine Gewähr dafür, dass beschriebene Verfahren usw. frei von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Buch berechtigt deshalb auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Bibliografische Information der Deutschen Nationalbibliothek: Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Dieses Werk ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren) – auch nicht für Zwecke der Unterrichtsgestaltung – reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. © 2009 Carl Hanser Verlag München, www.hanser.de Lektorat: Margarete Metzger Copy editing: Jürgen Dubau, Freiburg Herstellung: Irene Weilhart Umschlagdesign: Marc Müller-Bremer, www.rebranding.de, München Umschlagrealisation: Stephan Rönigk Datenbelichtung, Druck und Bindung: Kösel, Krugzell Ausstattung patentrechtlich geschützt. Kösel FD 351, Patent-Nr. 0748702 Printed in Germany ISBN 978-3-446-41918-6
Inhalt Geleitwort ............................................................................................................................ 1 1 1.1 1.2
Einführung................................................................................................................ 1 Elektronische Ausweisdokumente........................................................................................... 1 Danksagung und Aufruf zur Mithilfe ...................................................................................... 5
Teil I: Grundlagen ............................................................................................................ 7 2 2.1 2.2
2.3
Ausweisdokumente ................................................................................................. 9 Ausweisformate..................................................................................................................... 10 Welche Ausweisdokumente es gibt ....................................................................................... 11 2.2.1 Reisepässe................................................................................................................ 11 2.2.2 Identitätsausweise .................................................................................................... 15 2.2.3 Ausweise im Gesundheitswesen .............................................................................. 17 2.2.4 Behördenausweise ................................................................................................... 18 2.2.5 Dienstausweise ........................................................................................................ 19 2.2.6 Ausweise im Bildungswesen ................................................................................... 19 2.2.7 Mitgliedsausweise.................................................................................................... 20 2.2.8 Mitarbeiterausweise ................................................................................................. 20 2.2.9 Kundenausweise ...................................................................................................... 20 Angriffe auf Ausweisdokumente........................................................................................... 21 2.3.1 Totalfälschung ......................................................................................................... 21 2.3.2 Verfälschung............................................................................................................ 22 2.3.3 Fantasieausweise...................................................................................................... 22 2.3.4 Fremdnutzung.......................................................................................................... 23 2.3.5 Unrechtmäßiges Erlangen........................................................................................ 23 2.3.6 Unbefugtes Auslesen ............................................................................................... 23 2.3.7 Zerstören.................................................................................................................. 24 2.3.8 Markieren................................................................................................................. 24
V
Inhalt 3 3.1 3.2
3.3
3.4 4 4.1
4.2 4.3
4.4
4.5
4.6
Security Engineering............................................................................................. 25 Grundlagen des Security Engineering ....................................................................................25 Kryptografie ...........................................................................................................................28 3.2.1 Symmetrische Verschlüsselung ................................................................................28 3.2.2 MAC-Funktionen .....................................................................................................29 3.2.3 Asymmetrische Verschlüsselung..............................................................................30 3.2.4 Digitale Signaturen ...................................................................................................31 3.2.5 Kryptografische Protokolle.......................................................................................33 3.2.6 Public-Key-Infrastrukturen.......................................................................................33 3.2.7 Signaturgesetze.........................................................................................................36 Authentifizierung ...................................................................................................................36 3.3.1 Nachrichtenauthentifizierung ...................................................................................37 3.3.2 Challenge-Response-Verfahren ................................................................................38 3.3.3 Biometrie ..................................................................................................................39 Evaluierung ............................................................................................................................42 Karten- und Mikrochiptechnik .............................................................................. 45 Speichertechniken ..................................................................................................................45 4.1.1 Hochprägung ............................................................................................................45 4.1.2 Maschinenlesbare Schrift..........................................................................................46 4.1.3 Strichcodes und 2D-Codes .......................................................................................47 4.1.4 Magnetstreifen..........................................................................................................48 4.1.5 Optischer Speicherstreifen........................................................................................48 4.1.6 Speicherchips............................................................................................................49 Mikrochips und Mikrocontroller ............................................................................................49 Chipkarten und Smartcards ....................................................................................................50 4.3.1 Kontaktbehaftete Chipkarten ....................................................................................52 4.3.2 Kontaktlose Chipkarten ............................................................................................53 Kryptografische Nutzung von Chipkarten..............................................................................56 4.4.1 Wichtige kryptografische Abläufe............................................................................56 4.4.2 Kryptografische Schnittstellen..................................................................................58 Smartcard-Betriebssysteme ....................................................................................................61 4.5.1 Proprietäre Betriebssysteme .....................................................................................61 4.5.2 Java Card ..................................................................................................................61 4.5.3 MULTOS..................................................................................................................62 Karten-Management...............................................................................................................63
Teil II: Elektronische Ausweisdokumente ............................................................... 65 5 5.1
VI
Elektronische Ausweise im Überblick ................................................................. 67 Die Technik elektronischer Ausweise ....................................................................................67 5.1.1 Vor- und Nachteile elektronischer Ausweise............................................................68 5.1.2 Technische Grundlagen ............................................................................................69 5.1.3 Elektronische Ausweise und Biometrie ....................................................................70 5.1.4 Kryptografische Sicherheitsmerkmale......................................................................71 5.1.5 Elektronische Ausweise als kryptografische Werkzeuge..........................................73
Inhalt
5.2
5.3
5.4
6 6.1 6.2
5.1.6 Infrastruktur ............................................................................................................. 74 Elektronische Ausweisdokumente im Überblick................................................................... 75 5.2.1 Elektronischer Reisepass ......................................................................................... 75 5.2.2 Elektronischer Identitätsausweis.............................................................................. 76 5.2.3 Elektronische Ausweise im Gesundheitswesen ....................................................... 78 5.2.4 Elektronische Behördenausweise............................................................................. 80 5.2.5 Elektronische Dienstausweise.................................................................................. 80 5.2.6 Elektronische Ausweise im Bildungswesen............................................................. 81 5.2.7 Elektronische Mitgliedsausweise ............................................................................. 81 5.2.8 Elektronische Mitarbeiterausweise .......................................................................... 82 5.2.9 Elektronische Kundenausweise................................................................................ 82 Angriffe auf elektronische Ausweise..................................................................................... 82 5.3.1 Totalfälschung ......................................................................................................... 83 5.3.2 Verfälschung............................................................................................................ 83 5.3.3 Fantasieausweise...................................................................................................... 83 5.3.4 Fremdnutzung.......................................................................................................... 84 5.3.5 Unrechtmäßiges Erlangen........................................................................................ 84 5.3.6 Unbefugtes Auslesen ............................................................................................... 84 5.3.7 Zerstören.................................................................................................................. 84 5.3.8 Markieren................................................................................................................. 85 Betriebssysteme für elektronische Ausweise......................................................................... 86 5.4.1 Elektronische Ausweise mit proprietären Betriebssystemen.................................... 86 5.4.2 Elektronische Ausweise mit Java Card .................................................................... 86 5.4.3 MULTOS................................................................................................................. 87
6.3 6.4
Elektronische Mitarbeiterausweise ...................................................................... 89 Elektronische Mitarbeiterausweise im Überblick .................................................................. 89 Anwendungen elektronischer Mitarbeiterausweise ............................................................... 90 6.2.1 Zeiterfassung, Zutrittskontrolle, Bezahlen ............................................................... 90 6.2.2 PKI und elektronische Mitarbeiterausweise............................................................. 91 6.2.3 Mitarbeiterausweise als Multiapplikations-Werkzeuge ........................................... 91 Administration elektronischer Mitarbeiterausweise .............................................................. 92 Kombinierte Mitarbeiter- und Identitätsausweise.................................................................. 94
7 7.1 7.2 7.3 7.4 7.5
Alternative Ansätze ............................................................................................... 95 Token-Ausweise .................................................................................................................... 95 Implantierte Chips ................................................................................................................. 96 Virtuelle Ausweise ................................................................................................................ 97 Web of Trust.......................................................................................................................... 99 Fazit..................................................................................................................................... 101
VII
Inhalt Teil III: Standardisierung elektronischer Ausweisdokumente ......................... 103 8 8.1 8.2
8.3 8.4
8.5 9 9.1 9.2
9.3 9.4 9.5 9.6 9.7 9.8 9.9 9.10 10 10.1 10.2 10.3
10.4
VIII
Der MRTD-Standard der ICAO ............................................................................ 105 Aufbau des Standards...........................................................................................................106 Kryptografische Schutzmaßnahmen.....................................................................................108 8.2.1 Basic Access Control (BAC) ..................................................................................108 8.2.2 PACE......................................................................................................................109 8.2.3 Secure Messaging ...................................................................................................110 8.2.4 Passive Authentifizierung.......................................................................................111 8.2.5 Aktive Authentifizierung ........................................................................................111 8.2.6 Chip-Authentifizierung...........................................................................................112 8.2.7 Terminal-Authentifizierung....................................................................................113 8.2.8 Restricted Identification (RI)..................................................................................114 8.2.9 EAC........................................................................................................................114 8.2.10 mEAC.....................................................................................................................115 Kombination der kryptografischen Werkzeuge....................................................................115 MRTD-Implementierungen..................................................................................................116 8.4.1 Golden Reader Tool................................................................................................116 8.4.2 GlobalTester ...........................................................................................................118 Bewertung des MRTD-Standards.........................................................................................118 Initiativen für interoperable elektronische Ausweise....................................... 119 Elektronische Reisepässe in der EU .....................................................................................119 Die European Citizen Card (ECC) .......................................................................................120 9.2.1 Der ECC-Standard..................................................................................................120 9.2.2 Inhalt des Standards................................................................................................121 9.2.3 Bewertung des ECC-Standards...............................................................................122 Die STORK-Initiative ..........................................................................................................123 Die Porvoo-Gruppe ..............................................................................................................123 Die NETC@RDS-Initiative..................................................................................................124 Elektronische EHIC..............................................................................................................124 epSOS ..................................................................................................................................125 E-Ausweis-Abkommen des Golf-Kooperationsrats .............................................................126 Asia IC Card Forum .............................................................................................................126 Fazit......................................................................................................................................127 Die eCard-Strategie der Bundesregierung ........................................................ 129 Das eCard-Rahmenwerk.......................................................................................................129 Aufbau des eCard-Rahmenwerks .........................................................................................130 Die vier Schichten des eCard-Rahmenwerks .......................................................................132 10.3.1 Schicht 1: Application-Layer..................................................................................132 10.3.2 Schicht 2: Identity-Layer ........................................................................................133 10.3.3 Schicht 3: Service-Access-Layer ............................................................................134 10.3.4 Schicht 4: Terminal-Layer......................................................................................135 Bewertung der eCard-API ....................................................................................................136
Inhalt Teil IV: Beispielprojekte ............................................................................................. 137 11 11.1
11.2
11.3
11.4
11.5 11.6 12 12.1 12.2
12.3
12.4
12.5 12.6
E-Ausweis-Projekte in Deutschland................................................................... 139 Elektronischer Personalausweis (ePA) ................................................................................ 139 11.1.1 Hintergrund des ePA.............................................................................................. 139 11.1.2 Technik des ePA .................................................................................................... 141 11.1.3 Bewertung des ePA................................................................................................ 143 Elektronischer Reisepass (ePass)......................................................................................... 144 11.2.1 MRTD-Reisepass in Deutschland.......................................................................... 144 11.2.2 Kritik...................................................................................................................... 145 Elektronische Gesundheitskarte (eGK) ............................................................................... 145 11.3.1 Hintergrund............................................................................................................ 146 11.3.2 Der Vorläufer: Die Versichertenkarte.................................................................... 146 11.3.3 Ein weiterer Vorläufer: Die QuaSi-Niere-Karte .................................................... 148 11.3.4 Die elektronische Gesundheitskarte entsteht.......................................................... 149 11.3.5 Anwendungen der elektronischen Gesundheitskarte.............................................. 150 11.3.6 Technik der elektronischen Gesundheitskarte........................................................ 152 11.3.7 Der Heilberufsausweis und die Sicherheitsmodulkarte.......................................... 153 11.3.8 Die Telematikinfrastruktur..................................................................................... 154 11.3.9 Die PKI der elektronischen Gesundheitskarte ....................................................... 156 11.3.10 Perspektiven der elektronischen Gesundheitskarte ................................................ 158 11.3.11 Bewertung der elektronischen Gesundheitskarte ................................................... 158 Elektronischer Dienstausweis (Deutschland) ...................................................................... 159 11.4.1 Hintergrund............................................................................................................ 159 11.4.2 Technik des eDA ................................................................................................... 160 11.4.3 Bewertung des eDA ............................................................................................... 161 JobCard (ELENA) ............................................................................................................... 161 ELSTER-Sicherheitsstick.................................................................................................... 162 E-Ausweis-Projekte in Österreich ...................................................................... 163 Der österreichische elektronische Reisepass ....................................................................... 163 Die e-Card ........................................................................................................................... 164 12.2.1 Hintergrund............................................................................................................ 164 12.2.2 Technik der e-Card ................................................................................................ 165 12.2.3 Bewertung der e-Card............................................................................................ 166 Österreichische Bürgerkarte ................................................................................................ 167 12.3.1 Hintergrund der Bürgerkarte.................................................................................. 168 12.3.2 Technik der Bürgerkarte ........................................................................................ 168 12.3.3 Bewertung der Bürgerkarte.................................................................................... 169 Die Educard......................................................................................................................... 169 12.4.1 Hintergrund............................................................................................................ 169 12.4.2 Technik der Educard.............................................................................................. 171 12.4.3 Bewertung der Educard ......................................................................................... 171 Elektronischer Dienstausweis (Österreich).......................................................................... 171 Elektronischer Rechtsanwaltsausweis ................................................................................. 172
IX
Inhalt 13 13.1 13.2 13.3
E-Ausweis-Projekte in der Schweiz ................................................................... 173 Der schweizerische elektronische Reisepass ........................................................................173 Elektronische Identitätskarte ................................................................................................173 Elektronische Versichertenkarte...........................................................................................175 13.3.1 Hintergrund der elektronischen Versichertenkarte .................................................175 13.3.2 Technik der elektronischen Versichertenkarte........................................................176 13.3.3 Bewertung der elektronischen Versichertenkarte ...................................................177
14 14.1 14.2 14.3
Andere europäische Länder ............................................................................... 179 Europäische Union ...............................................................................................................179 Albanien ...............................................................................................................................180 Belgien .................................................................................................................................180 14.3.1 Hintergrund der BELPIC........................................................................................180 14.3.2 Technik der BELPIC ..............................................................................................182 14.3.3 Bewertung der BELPIC..........................................................................................182 Bulgarien..............................................................................................................................182 Estland..................................................................................................................................183 14.5.1 Hintergrund ............................................................................................................183 14.5.2 Technik...................................................................................................................184 14.5.3 Bewertung der EstEID............................................................................................185 Finnland ...............................................................................................................................185 14.6.1 Hintergrund der FINEID ........................................................................................185 14.6.2 Technik der FINEID...............................................................................................186 14.6.3 Bewertung der FINEID ..........................................................................................187 Frankreich ............................................................................................................................187 14.7.1 Die elektronische Identitätskarte CNIE ..................................................................187 14.7.2 Die Carte Vitale......................................................................................................189 Großbritannien .....................................................................................................................191 14.8.1 Hintergrund der Identity Card ................................................................................191 14.8.2 Technik der Identity Card.......................................................................................193 14.8.3 Bewertung der Identity Card ..................................................................................193 Italien ...................................................................................................................................194 14.9.1 Elektronische Identitätskarte ..................................................................................194 14.9.2 Elektronische Gesundheitskarten in Italien.............................................................196 Kroatien................................................................................................................................196 Liechtenstein ........................................................................................................................197 Litauen ................................................................................................................................197 Montenegro ..........................................................................................................................198 Niederlande ..........................................................................................................................198 Polen ................................................................................................................................198 Portugal ................................................................................................................................199 14.16.1 Hintergrund der Cartão de cidadão .........................................................................199 14.16.2 Technik der Cartão de cidadão ...............................................................................200 14.16.3 Bewertung der Cartão de cidadão...........................................................................201 Schweden .............................................................................................................................201 14.17.1 Hintergrund der nationellt id-kort...........................................................................201
14.4 14.5
14.6
14.7
14.8
14.9
14.10 14.11 14.12 14.13 14.14 14.15 14.16
14.17
X
Inhalt
14.18 14.19 14.20
14.21
14.22 14.23 14.24
14.17.2 Technik der nationellt id-kort ................................................................................ 202 14.17.3 Bewertung der nationellt id-kort............................................................................ 203 Serbien ............................................................................................................................... 203 Slowakei .............................................................................................................................. 204 Slowenien ............................................................................................................................ 204 14.20.1 Die slowenische Health Insurance Card (HIC) ...................................................... 205 14.20.2 Die slowenische eID .............................................................................................. 207 14.20.3 Der slowenischer elektronische Dienstausweis...................................................... 208 Spanien ............................................................................................................................... 208 14.21.1 Hintergrund der DNIe............................................................................................ 208 14.21.2 Technik der DNIe .................................................................................................. 209 14.21.3 Bewertung der DNIe.............................................................................................. 212 Tschechien........................................................................................................................... 212 Türkei ............................................................................................................................... 213 Ungarn ............................................................................................................................... 214
15 15.1 15.2 15.3 15.4
Ostasien ............................................................................................................... 215 Bangladesch ........................................................................................................................ 215 Brunei.................................................................................................................................. 216 China ................................................................................................................................... 216 Hongkong ............................................................................................................................ 217 15.4.1 Hintergrund der Smart ID Card ............................................................................. 217 15.4.2 Technik der Smart ID Card.................................................................................... 219 15.4.3 Bewertung der Smart ID Card ............................................................................... 220 15.5 Indien................................................................................................................................... 221 15.6 Japan.................................................................................................................................... 222 15.7 Macao .................................................................................................................................. 223 15.8 Malaysia .............................................................................................................................. 223 15.8.1 Hintergrund der MyKad......................................................................................... 223 15.8.2 Technik der MyKad ............................................................................................... 226 15.8.3 Bewertung von MyKad.......................................................................................... 227 15.9 Singapur .............................................................................................................................. 228 15.9.1 Hintergrund des SS-ID........................................................................................... 228 15.9.2 Bewertung des SS-ID............................................................................................. 230 15.10 Südkorea.............................................................................................................................. 231 15.11 Thailand............................................................................................................................... 231 15.12 Taiwan ............................................................................................................................... 232 16 16.1
16.2 16.3
Arabien ................................................................................................................. 233 Bahrain ................................................................................................................................ 234 16.1.1 Hintergrund der bahrainischen Identitätskarte ....................................................... 234 16.1.2 Technik der bahrainischen Identitätskarte.............................................................. 234 16.1.3 Bewertung der bahrainischen Identitätskarte ......................................................... 235 Jemen................................................................................................................................... 235 Katar.................................................................................................................................... 236 16.3.1 Hintergrund der ID Card........................................................................................ 236
XI
Inhalt
16.4 16.5
16.6
16.7
17 17.1 17.2 17.3 17.4 17.5 17.6
16.3.2 Technik der ID Card ...............................................................................................236 16.3.3 Bewertung der ID Card...........................................................................................237 Kuwait..................................................................................................................................237 Oman....................................................................................................................................237 16.5.1 Hintergrund der omanischen Identitätskarte ...........................................................237 16.5.2 Technik der omanischen Identitätskarte .................................................................238 16.5.3 Bewertung der omanischen Identitätskarte .............................................................238 Saudi-Arabien ......................................................................................................................238 16.6.1 Hintergrund der National ID Card ..........................................................................238 16.6.2 Technik der National ID Card ................................................................................239 16.6.3 Bewertung der National ID Card ............................................................................239 Vereinigte Arabische Emirate ..............................................................................................239 16.7.1 Hintergrund der VAE-Identitätskarte .....................................................................240 16.7.2 Technik der VAE-Identitätskarte............................................................................240 16.7.3 Bewertung der VAE-Identitätskarte .......................................................................240 Amerika und Afrika.............................................................................................. 241 Brasilien ...............................................................................................................................241 Ecuador ................................................................................................................................242 El Salvador...........................................................................................................................242 Guatemala ............................................................................................................................242 Marokko ...............................................................................................................................242 USA......................................................................................................................................243 17.6.1 PIV-Karte ...............................................................................................................244 17.6.2 WHTI-Ausweise.....................................................................................................245 17.6.3 Common Access Card (CAC) ................................................................................247 17.6.4 TWIC-Karte............................................................................................................249 17.6.5 Bewertung der elektronischen Ausweise in den USA ............................................250
Anhang ............................................................................................................................ 251 Literatur ............................................................................................................................................251 Bildnachweis ....................................................................................................................................257 Register ........................................................................................................................... 259
XII
Geleitwort Was steckt hinter dem Begriff „elektronisches Ausweisdokument“? Bietet uns diese Technik mehr Chancen, unser Leben in der digitalen Welt zu vereinfachen? Oder entstehen durch sie mehr Risiken für unsere Privatsphäre, weil sie eine direkte Verbindung zwischen unserer digitalen und unserer tatsächlichen Identität herstellen? Fragen dieser Art werden in den nächsten Jahren zu einem entscheidenden Reibungspunkt zwischen Bürgern, Staat und Wirtschaft werden. Der Umgang damit wird bestimmen, wie wohl wir uns in unserer Staatsgemeinschaft im Hinblick auf den Schutz unserer Persönlichkeitsrechte fühlen. Gibt es heute schon abschließende Antworten? Definitiv nicht, denn die Auswirkungen derartig weitreichender Infrastrukturen hängen viel mehr vom Verhalten der Nutzer ab als von der dahinterstehenden Technik. Können Sie sich vorstellen, einem Softwareprogramm mit einem einfachen Mausklick zu erlauben, die Daten Ihres elektronischen Personalausweises auszulesen, um sich bei Anbietern wie eBay, Amazon oder anderen anzumelden? Werden wir tatsächlich Verträge für den Kauf eines Hauses, Autos oder anderer höherwertiger Güter mit unserem elektronischen Personalausweis digital unterschreiben? Auf der einen Seite warnen uns Datenschützer davor, solche Dinge überhaupt in Erwägung zu ziehen, bis nicht ins letzte Detail geklärt ist, wer die Daten zu kommerziellen oder gar kriminellen Zwecken verwenden könnte. Auf der anderen Seite wären viele Eltern froh, wenn Portale mit jugendgefährdenden Inhalten grundsätzlich eine – übrigens anonyme – Altersprüfung über den Ausweis verlangen würden. Wichtig bei der hier angerissenen Debatte ist, sie so wenig emotional und so sachlich wie möglich zu führen. Und dies ist am besten durch Aufklärung mithilfe von verständlich aufbereiteten Informationen zu erreichen. Neben den Erklärungen zu technischen Mechanismen gehören dazu auch historische Betrachtungen und ein Blick über den Tellerrand hinaus, wie in verschiedenen Länder in allen Teilen der Welt mit diesen Fragen umgegangen wird. Daher freue ich mich sehr, dass sich mein Freund Klaus Schmeh mit diesem Buch dem Thema elektronische Ausweisdokumente widmet. Mit seinen Kryptografie-Büchern hat er
XIII
Geleitwort bewiesen, dass es möglich ist, Themen, deren Grundlage ihren Ursprung in hochkomplexen Bereichen der Mathematik, Elektrotechnik und Informatik haben, für jeden Menschen verständlich darzustellen. Als überzeugter Skeptiker, Fachbuchautor und analytisch denkender Mensch ist er wie kaum ein anderer in der Lage, uns mit Informationen zu diesem Themenkomplex zu versorgen, ohne dabei durch Panikmache und vorschnelle Urteile Emotionen zu provozieren, die eine sachliche Auseinandersetzung unmöglich machen. Was steckt hinter dieser Technologie, wie gehen andere damit um und was muss ich als „Bürger“ verstehen, um mündig selbst zu entscheiden, ob und wie intensiv ich sie nutzen sollte? Auf diese Fragen gibt dieses Buch Antworten! Gelsenkirchen im Juli 2009
XIV
Markus Hoffmeister
1 1 Einführung Wussten Sie, dass Johann Wolfgang von Goethe braune Augen hatte und dass seine Haare im Alter von 57 Jahren noch nicht vollständig ergraut waren? Diese interessante Information ist uns durch einen 1808 ausgestellten Reisepass überliefert, den sich der bekannte Dichter für eine Fahrt nach Karlsbad (heute in Tschechien) ausstellen ließ. Da es damals noch keine Passfotos gab, war es üblich, persönliche Merkmale wie die Haar- und Augenfarbe schriftlich in einem solchen Dokument festzuhalten. Selbst die Art der Kleidung wurde im Reisepass vermerkt. Für Historiker sind derartige Beschreibungen heute interessante Informationsquellen.
1.1
Elektronische Ausweisdokumente Blickt man auf die weitere Geschichte von Ausweisdokumenten, dann ist dies gleichzeitig eine Reise durch die Technikgeschichte. Im 20. Jahrhundert kamen erst Passfotos auf, später wurde Kunststoff zum bevorzugten Material für die Passherstellung, und schließlich hielt auch die Computertechnik (in Form maschinenlesbarer Ausweise) ins Ausweiswesen Einzug. Eine technische Vorreiterfunktion nahmen Ausweisdokumente allerdings nie ein. So war die Fotografie bereits über ein halbes Jahrhundert alt, als Passfotos in den 1920er Jahren zum Standard wurden. Auch Kunststoff gehörte längst zum Alltag, als uns die achtziger Jahre erstmals den in Plastik eingeschweißten Personalausweis brachten. Als Gegenstand, der millionenfach hergestellt wird, lange halten muss und nicht allzu empfindlich sein darf, ist ein Ausweis für technische Experimente offenbar nicht besonders geeignet. Seit einigen Jahren hat eine weitere, ebenfalls nicht mehr ganz neue Technik in die Welt der Ausweisdokumente Einzug gehalten: der Mikrochip. Ein Mikrochip ist – je nach Ausprägung – ein Datenspeicher oder gar ein Computer im Kleinformat, der auf einer Fläche von wenigen Quadratmillimetern untergebracht ist. Mikrochips lassen sich in so ziemlich jedes technische Gerät und in viele Alltagsgegenstände einbauen, wobei unterschiedlichste Anwendungen möglich sind. Insbesondere lässt sich ein Mikrochip auch auf einen Aus-
1
1 Einführung weis aufbringen. In diesem Fall sprechen wir von einem elektronischen Ausweis bzw. von einem elektronischen Ausweisdokument oder E-Ausweis. Unter diese Definition fallen sowohl Ausweise, die mit einem einfachen Speicherchip ausgestattet sind, als auch solche, auf denen ein Minicomputer angebracht ist. Der Nutzen eines Mikrochips auf einem Ausweis ist offensichtlich. Ein solcher Chip kann persönliche Daten des Inhabers speichern, das Auslesen dieser Daten steuern (und gegebenenfalls verhindern) und die Fälschungssicherheit des Dokuments erhöhen. Außerdem sind elektronische Ausweise für Anwendungen geeignet, die ohne Mikrochip kaum umsetzbar waren, beispielsweise bargeldloses Bezahlen, das Abheben von Geld am Bankautomaten oder digitales Signieren. Nicht zuletzt lässt sich ein elektronischer Ausweis auch hervorragend online nutzen, was mit einem chiplosen Dokument sicherlich nicht funktioniert. Angesichts dieser Vorteile verwundert es kaum, dass elektronische Ausweisdokumente seit einigen Jahren einen enormen Boom erleben. Dieser wird sich ohne Zweifel fortsetzen, denn noch stehen wir erst am Anfang einer gewaltigen Entwicklung. Allein im deutschsprachigen Raum gibt es derzeit über zehn Großprojekte, die elektronische Ausweise zum Inhalt haben. Dazu gehören beispielsweise der elektronische Personalausweis, der deutsche elektronische Reisepass, die deutsche elektronische Gesundheitskarte, die österreichische e-Card, die österreichische Bürgerkarte und die Schweizer Gesundheitskarte, um nur die wichtigsten Vorhaben zu nennen.
Abbildung 1.1: Allein im deutschsprachigen Raum gibt es über ein Dutzend E-Ausweis-Projekte.
In den nächsten Jahren werden weitere Dokumente dieser Art dazukommen – man denke nur an den elektronischen Führerschein oder den elektronischen Schülerausweis. Davon abgesehen gibt es Ausweisdokumente, die nicht von hoheitlichen Stellen ausgestellt werden, aber dennoch eine wichtige Bedeutung haben (z. B. Rechtsanwalts- oder Presseausweise). Auch hier ist die Elektronisierung in vollem Gange, was beispielsweise der elek-
2
1.1 Elektronische Ausweisdokumente tronische Rechtsanwaltsausweis in Österreich zeigt, der bereits in praktischer Verwendung ist. Nicht zu vergessen sind Firmenausweise, die in vielen Fällen schon seit Jahren mit einem Mikrochip ausgestattet sind. Durch die zusätzlichen Anwendungsmöglichkeiten, die ein Mikrochip bietet, sind elektronische Ausweise häufig Multifunktionsgegenstände. Der Inhaber kann sie nicht nur als Identitätsnachweis, sondern auch zum Signieren, zum Bezahlen, als Passwortersatz im Internet, für den Altersnachweis und für einiges mehr verwenden. Elektronische Ausweise können auf diese Weise sogar Technologien zum Durchbruch verhelfen, die bisher noch nicht allzu populär sind. Man denke etwa an das digitale Signieren oder das Bezahlen von Kleinbeträgen im Internet (Micropayment). Elektronische Ausweise nützen jedoch nicht nur den Inhabern, sondern bieten auch Unternehmen und öffentlichen Verwaltungen interessante Anwendungsmöglichkeiten. So können die Betreiber von Bankautomaten, Online-Shops, Bürgerportale und ähnliche Einrichtungen ihre Passwörter und TAN-Listen durch die Abfrage des elektronischen Personalausweises ersetzen – das ist sicherer und benutzerfreundlicher. Fallen bei einer Transaktion Gebühren an, dann kann der Anwender diese online mit seiner Ausweiskarte bezahlen. Ist eine Unterschrift notwendig, dann kann der Anwender diese als digitale Signatur mit dem Ausweischip anfertigen. Durch diese Vielfalt können elektronische Ausweise bei konsequenter Nutzung erhebliche Vereinfachungen mit sich bringen. Unternehmen, die ClientServer-Systeme entwickeln, werden sich daher in den nächsten Jahren verstärkt mit elektronischen Ausweisen beschäftigen müssen. Manche Online-Angebote sind sogar speziell auf elektronische Ausweise zugeschnitten. Dies ist vor allem im Gesundheitswesen der Fall. Ein Beispiel hierfür ist die digitale Krankenakte, die auf einem Server liegt und für den Patienten oder Arzt mithilfe des passenden elektronischen Ausweises zugänglich ist. Eng verwandt damit sind Konzepte wie das elektronische Rezept oder der elektronische Impfausweis. Dabei gibt es stets auch die Möglichkeit, Daten nicht auf einem Server, sondern direkt auf dem Ausweischip zu speichern. Notfalldaten (etwa die Blutgruppe oder die Unverträglichkeit bestimmter Medikamente) sind aus naheliegenden Gründen auf dem Chip besser aufgehoben als auf einem Server. Gerade diese medizinischen Anwendungen machen deutlich, dass ein elektronischer Ausweis in der Regel nur ein Puzzlestück in einer größeren Infrastruktur ist. Diese besteht meist aus Clients, Servern, Netzen und diversen Softwarepaketen. Unter anderem aus diesem Grund kommen heute Menschen mit der Technik von Ausweisen in Berührung, die Personalausweise und Reisepässe früher höchstens aus der eigenen Brieftasche kannten. Software-Entwickler und IT-Berater sind Beispiele dafür. Durch diese Überlegungen dürfte klar sein, dass sich seit dem Aufkommen elektronischer Ausweise mehr Menschen für das Ausweiswesen interessieren, als dies jemals zuvor der Fall war. Doch trotz der ständig steigenden Bedeutung elektronischer Ausweisdokumente gibt es bisher kein Buch, das sich ausschließlich diesem Thema widmet. Das Buch, das Sie gerade in den Händen halten, schließt diese Lücke. Es behandelt Ausweise aller Art, die mit einem Mikrochip ausgestattet sind. Die Bandbreite reicht vom elektronischen Reise-
3
1 Einführung pass über elektronische Krankenversichertenkarten bis zu elektronischen Unternehmensausweisen. Der Schwerpunkt des Buchs liegt auf den computertechnischen Aspekten der elektronischen Ausweise. Wir werden uns also anschauen, welche Mikrochips es auf Ausweisen gibt, welche Daten darauf gespeichert werden, wie ein sicheres Auslesen funktioniert und welche Anwendungen möglich sind. Dabei werden nicht zuletzt zahlreiche Beispielprojekte aus aller Welt zur Sprache kommen. Auf physikalische Belange wie die Technik von Sicherheitshologrammen oder die Produktion von Kunststoffkarten werde ich dagegen nicht näher eingehen. Nicht außer Acht lassen will ich dagegen in diesem Buch gesellschaftliche und rechtliche Fragen. Daher wird beispielsweise auch das Thema Datenschutz eine Rolle spielen. Weitere interessante Fragen lauten: Werden elektronische Ausweise akzeptiert oder stoßen sie auf Widerstand in der Bevölkerung? Wie sieht es mit der Benutzerfreundlichkeit aus? Welche Ausweispolitik verfolgen die verschiedenen Staaten? Die folgenden Seiten werden die entsprechenden Antworten liefern. Nicht verschweigen möchte ich an dieser Stelle ein Problem, mit dem wohl jeder zu kämpfen hat, der sich mit elektronischen Ausweisen beschäftigt. Dieses Problem besteht darin, dass die Quellenlage in einigen Fällen recht bescheiden ist. Viele Ausweisbehörden (vor allem solche außerhalb der westlichen Industrieländer) lassen sich buchstäblich nicht in die Karten schauen und geben daher nur sehr wenige Informationen über die Technik ihrer Ausweisdokumente preis. Meist wollen sich die Verantwortlichen durch eine solche Geheimhaltung vor Fälschern schützen – auch wenn Experten immer wieder darauf hinweisen, dass zu viel Geheimniskrämerei der Sicherheit mehr schadet als nützt. Da elektronische Ausweise bei Datenschützern und Bürgerrechtlern nicht besonders beliebt sind, befürchtet zudem so mancher Staat, durch allzu viel Öffentlichkeitsarbeit schlafende Hunde zu wecken. Wie viel über ein elektronisches Ausweissystem bekannt ist, hängt nicht zuletzt auch davon ab, wie weit seine Umsetzung bereits fortgeschritten ist. Über Projekte, die sich noch im Planungsstadium befinden, kann ich oft nicht viel berichten. Umso ergiebiger sind elektronische Ausweise, die bereits seit Jahren im Einsatz sind und zu denen es bereits wichtige Erfahrungen gibt. Die unterschiedliche Quellenlage hat sich vor allem auf den letzten Teil dieses Buchs ausgewirkt, in dem die weltweit wichtigsten Ausweisprojekte vorgestellt werden. Einige Kapitel fallen aufgrund fehlender Informationen recht kurz aus, andere sind dagegen dank aussagekräftiger Quellen deutlich ausführlicher. Insbesondere europäische Ausweissysteme sind teilweise recht gut öffentlich dokumentiert. Bleibt zu hoffen, dass andere Staaten diesem Beispiel folgen werden.
4
1.2 Danksagung und Aufruf zur Mithilfe
1.2
Danksagung und Aufruf zur Mithilfe Als Autor freue ich mich selbstverständlich über Kommentare und konstruktive Kritik zu diesem Buch. Falls Sie mir etwas mitzuteilen haben, schreiben Sie mir daher bitte eine E-Mail ([email protected]). Da es sicherlich in absehbarer Zeit eine zweite Auflage geben wird, landen solche Hinweise nicht im Papierkorb. Elektronische Ausweisdokumente sind ein internationales Thema, in dem es große nationale Unterschiede gibt. Selbst wenn man sich auf hoheitliche Dokumente beschränkt, ist es praktisch unmöglich, sämtliche E-Ausweis-Aktivitäten in allen Ländern zu überblicken. Zudem halten, wie oben beschrieben, die zuständigen Behörden die Funktionsweise ihrer Ausweissysteme oft geheim oder hängen entsprechende Informationen zumindest nicht an die große Glocke. Nebenbei schildern die involvierten Marketingexperten ihre Ausweisprojekte meist in den schillerndsten Farben, während sie kritische Informationen unter den Tisch fallen lassen. Aus diesen Gründen sind fachliche Hinweise von Lesern für mich besonders wichtig. Schon bei meinen früheren Buchveröffentlichungen habe ich von meinen Lesern so manche interessante Information erhalten, an die ich sonst nie gekommen wäre. Ich bin mir sicher, dass dies auch dieses Mal wieder der Fall sein wird. Bereits zu dieser Ausgabe haben zahlreiche Personen beigetragen, bei denen ich mich an dieser Stelle bedanken will: Dr. Christiane Angermayr, Heinrich Angermayr, Roman Behúl (PosAm), Hajo Bickenbach (2B Advice), Marco Breitenstein (Secunet), Jordi Buch (Safelayer), Christian Dietrich (IFIS), Ralf Distler (Siemens), Dr. Hans-Joachim Dreier, Benjamin Drisch (Cryptovision), Wolfgang Effing (Giesecke & Devrient), Arno Fiedler (Nimbus Network), Lorenzo Gaston (Gemalto), Barbaros Gültekin (Cryptovision), Dr. Sibylle Hick (Secunet), Markus Hoffmeister (Cryptovision), Robert Hofmann (SCM Microsystems), Reinhard Kalla (Cryptovision), Dr. Marian Margraf (Bundesamt für Sicherheit in der Informationstechnik), Jürgen Massing (Cryptovision), Dr. Kim Nguyen (Bundesdruckerei), Wolfgang Rankl (Giesecke & Devrient), Carl Rosenast (QuoVadis Trustlink Schweiz), Volker Schmeh, Dr. Ulrich Schneider (Bundeskriminalamt), Uwe Skrzypczak (Cryptovision), Evelyn Spitzwieser (Secunet), Claudia Wolf-Balbach (Giesecke & Devrient), Dr. Thomas Zeggel (Cryptovision), Andrej Žlender (Health Insurance Institute of Slovenia).
5
I Teil I: Grundlagen
7
2 2 Ausweisdokumente Marketing-Experten würden Ausweise wohl zu den „Low-Interest“-Produkten zählen. Zwar besitzt nahezu jeder von uns einige Exemplare – vom Reisepass über den Führerschein bis zum Büchereiausweis – und passt auf, dass keines davon verloren geht. Ansonsten kümmern sich jedoch die wenigsten um die diversen Ausweise in ihrer Brieftasche und sind allenfalls genervt, wenn eines der Dokumente verlängert oder ausgetauscht werden muss. Einen gewissen Wert hat höchstens die mit einem Ausweis verbundene Bedeutung – etwa die Mitgliedschaft in einer Organisation oder die Staatsbürgerschaft in einem Land. Da ohnehin jeder weiß, was ein Ausweis ist, kann ich mich mit einer Definition kurz fassen. Ein Ausweis ist (zumindest in diesem Buch) ein privates oder amtliches Dokument in einem kleinen Format, das die Identität des Inhabers belegt und diesem (optional) bestimmte Rechte bescheinigt. Beachten Sie, dass der Identitätsbeleg ein Teil der Definition ist. Ein Ausweis im Sinne dieses Buchs ist stets dazu geeignet, dass der Inhaber damit beweisen kann, wer er ist. Ein Ausweis ist gemäß dieser Definition nicht übertragbar und verfügt über einen Schutzmechanismus (beispielsweise ein Passfoto oder ein Fingerabdruck), der eine Fremdnutzung verhindert. Eine Eintrittskarte oder ein Gutschein ist daher im Sinne dieses Buchs kein Ausweis. Auch Fahrausweise und Skipässe gehören normalerweise nicht in diese Kategorie – auch wenn die jeweiligen Bezeichnungen dies nahe legen (wenn allerdings der Name des Inhabers und ein Passfoto auf dem Fahrausweis bzw. Skipass aufgebracht sind, handelt es sich tatsächlich um einen Ausweis). Für Ausweise, die der genannten Definition entsprechen, wird meist der Begriff visueller Ausweis verwendet (wenn es sich um ein Dokument handelt, das der Inhaber offen – also etwa an der Brusttasche des Hemds – trägt, spricht man auch von einem Sichtausweis). Ein visueller Ausweis ist ein Ausweis, für dessen Prüfung man kein spezielles Gerät benötigt, da alle relevanten Informationen aufgedruckt sind. Das Gegenstück dazu wäre (theoretisch) ein Ausweis, der nur elektronisch auslesbar ist. Ein Dokument, das nur elektronisch existiert, will ich in diesem Buch jedoch nicht als Ausweis bezeichnen. Daher ist in diesem Zusammenhang jeder Ausweis (auch ein elektronischer) gleichzeitig auch ein visueller Ausweis. Ich werde den Begriff nur dann verwenden, wenn die aufgedruckten Informationen eines Ausweises im Vordergrund stehen.
9
2 Ausweisdokumente Eng verwandt mit dem Ausweis ist der Pass. Dieser leitet sich vom lateinischen „passare“ (vorbeigehen) ab, das mit dem deutschen „passieren“ verwandt ist. Ein Pass ist daher im engeren Sinne ein Ausweis, der den Zutritt zu einem bestimmten Ort oder das Überschreiten einer Grenze erlaubt. Das bekannteste Beispiel dafür ist der Reisepass. Bei einem Mutterpass oder Impfpass ist die ursprüngliche Bedeutung eines Passes dagegen kaum noch erkennbar. Da auch sonst kaum jemand einen Unterschied zwischen Pass und Ausweis macht, will ich die beiden Begriffe in diesem Buch gleichbedeutend verwenden. Um Verwirrungen zu vermeiden, werde ich den Ausdruck „Pass“ jedoch nur in zusammengesetzten Wörtern wie „Reisepass“ nutzen und ansonsten von Ausweisen bzw. Ausweisdokumenten reden. Beachten Sie, dass viele Dokumente, die gemeinhin als Pass bezeichnet werden, nicht als Identitätsbeleg geeignet sind (dies gilt auch für die bereits erwähnten Beispiele Mutterpass und Impfpass). Es handelt sich dabei also nicht um Ausweise im Sinne dieses Buchs.
2.1
Ausweisformate Es ist wohl unmöglich, alle Ausweisdokumente, die irgendwo auf der Welt in Umlauf sind, vollständig zu erfassen und zu kategorisieren. Schon allein das Format eines Ausweises kann völlig unterschiedlich sein, auch wenn alle Exemplare (per Definition) die Jackentaschengröße nicht überschreiten. Dennoch kann man viele Ausweisdokumente einem von drei Formaten zuordnen, die in der Norm ISO/IEC 7810 standardisiert sind: Kreditkartenformat (ID-1): Das ID-1-Format sieht eine Länge von 85,60 Millimetern und eine Breite von 53,98 Millimetern vor. Dies entspricht 3,370 bzw. 2,125 Zoll. Dieses Format ist in Form von Kreditkarten und Telefonkarten seit Jahrzehnten bekannt. Auch Führerscheine und Identitätsausweise haben in vielen Ländern ID-1-Größe. Die Hersteller von Geldbörsen haben sich auf dieses Format eingestellt und statten ihre Modelle daher häufig mit Steckplätzen für mehrere ID-1-Karten aus. Personalausweisformat (ID-2): Das ID-2-Format schreibt eine Größe von 105 Millimetern mal 74 Millimetern (4,125 Inch mal 2,875 Inch) vor. Dies entspricht dem Format DIN A7, also der halben Postkartengröße. ID-2 findet beispielsweise beim deutschen Personalausweis Anwendung. Im Vergleich zu ID-1 bietet ID-2 etwas mehr Platz, der sich beispielsweise für ein größeres Passfoto oder für zusätzliche physikalische Sicherheitsmerkmale nutzen lässt. Auch auf die ID-2-Größe haben sich die Geldbörsenhersteller längst eingestellt, weshalb sich ein Ausweis dieses Formats meist problemlos neben den Geldscheinen aufbewahren lässt. Reisepassformat (ID-3): Dieses Format hat eine Größe von 125 Millimetern mal 88 Millimetern, was 4,875 Inch mal 3,5 Inch entspricht. Dies entspricht dem Format DIN B7, ist also etwas größer als DIN A7. Dieses Format bestimmt weltweit die Größe von Reisepässen.
10
2.2 Welche Ausweisdokumente es gibt Darüber hinaus gibt es noch zahlreiche weitere (meist nicht standardisierte) Ausweisformate. Diese sind für uns jedoch nicht besonders interessant, da nahezu alle hoheitlichen Ausweisdokumente (um diese geht es in diesem Buch vor allem) ID-1-, ID-2- oder ID-3Format haben. Sieht man von den Reisepässen ab, dann geht der Trend bereits seit 20 Jahren in Richtung ID-1-Format. Gerade elektronische Ausweise haben nur selten eine andere Größe. 0 cm
5 cm
ID-1-Format
10 cm
ID-2-Format
15 cm
20 cm
ID-3-Format
Abbildung 2.1: Die Formate ID-1, ID-2 und ID-3 sind die bedeutendsten Ausweisformate.
2.2
Welche Ausweisdokumente es gibt Interessanter als das Format ist sicherlich der Zweck eines Ausweises. Dieser hängt unter anderem davon ab, ob ein solcher von einer Behörde oder von einer privaten Organisation ausgestellt worden ist. In den folgenden Unterkapiteln werden wir einen genaueren Blick auf die gebräuchlichsten Varianten werfen.
2.2.1 Reisepässe Der Reisepass ist die älteste bekannte Form des Ausweises. Schon in der Bibel wird ein Dokument erwähnt, das eine ähnliche Funktion hatte (Nehemia 2, 7-9). Es handelt sich dabei um einen Brief, den der persische König Artaxerxes schrieb und dem Propheten Nehemia vor dessen Reise nach Judäa aushändigte. Das Schreiben bestätigte, dass Nehemias Reise rechtmäßig war, und bat gleichzeitig die Herrscher der benachbarten Länder, dem Propheten eine sichere Reise zu ermöglichen. Einen Brief mit einem solchen Zweck bezeichnen Historiker als „Geleitbrief“. Geleitbriefe sind ab dem Mittelalter auch in Europa belegt. Die Grenzen waren damals noch zahlreicher als heute, und wer auf Reisen ging, war der Willkür des jeweiligen Landesherrn und seiner Beamten ausgesetzt. Ein Geleitbrief, der meist vom Herrscher des Heimatlands unterschrieben war, war für einen Reisenden oft eine Voraussetzung, um sich in einem Land aufhalten oder es durchqueren zu dürfen. In besonders wichtigen Fällen stellte der Landesherr einem Reisenden mit Geleitbrief sogar bewaffnete Beschützer zur
11
2 Ausweisdokumente Verfügung. Der Geleitbrief war also weniger ein Identitätsnachweis, sondern vor allem ein Dokument, das eine Berechtigung bescheinigte.
Abbildung 2.2: Preußischer (links) und österreichischer (rechts) Reisepass aus dem 19. Jahrhundert
2.2.1.1
Die Geschichte des Reisepasses
Aus dem Geleitbrief entwickelte sich im Laufe der Jahrhunderte der heutige Reisepass. Seinen Durchbruch erlebte dieses Dokument in Mitteleuropa nach dem Ende des Dreißigjährigen Krieges, als unzählige Vagabunden und Bettler durch die Lande zogen. Die Behörden nutzten Reisepässe nun, um Reisende von streunenden Nichtsesshaften zu unterscheiden. Gleichzeitig erwiesen sich solche Papiere auch als hilfreich, wenn es um die Rekrutierung von Wehrpflichten, um Steuerfragen oder um die Verwaltung von Ein- bzw. Auswanderern ging. Schon früh diente der Reisepass dadurch auch als Identitätsnachweis im Inland. Da es zu dieser Zeit noch keine Passfotos gab, enthielten Reisepässe meist eine genaue Beschreibung des Inhabers. Zu den üblichen Angaben – Name, Alter, Heimatland und Körpergröße – kamen meist noch Informationen zu den Haaren, Zähnen, zur Lippenform und sogar zur Barthaarstärke. Auch besondere Körpermerkmale wie Narben oder ein Buckel wurden akribisch vermerkt; teilweise notierte man sogar Gewohnheiten und Charaktereigenschaften der jeweiligen Person. Wie bereits in der Einführung dieses Buchs bemerkt, liefern uns die Personenbeschreibungen in historischen Reisepässen heute oft interessante Informationen über die damaligen Menschen. So lässt sich mithilfe eines 1808
12
2.2 Welche Ausweisdokumente es gibt ausgestellten Reisepasses von Johann Wolfgang von Goethe feststellen, dass der bekannte Dichter braune Augen und braune Haare hatte. Eine Reisepasspflicht gab es erstmals Ende des 18. Jahrhunderts in Frankreich. Die dortige Revolution ließ so manchen Adeligen flüchten, was die Behörden dazu veranlasste, die Ausreise ohne Reisepass und Reiseerlaubnis zu verbieten. Andere Länder übernahmen diese Praxis. Weiterhin nutzte die Obrigkeit Reisepässe auch als Identitätsnachweis für Verwaltungsangelegenheiten im Inland. Durch die damals große Zahl von Staaten gab es viele unterschiedliche Regelungen. Im 19. Jahrhundert kam die Eisenbahn auf und vereinfachte das Reisen erheblich. Viele Reisepassbestimmungen waren nun nicht mehr praktikabel, und so lockerten viele europäische Regierungen ihre diesbezüglichen Vorschriften. Die Bedeutung des Reisepasses nahm dadurch deutlich ab. Erst mit Beginn des Ersten Weltkriegs führten viele Staaten die Reisepasspflicht wieder ein, weil sie Spionage fürchteten und weil sie die Auswanderung kriegswichtiger Personen verhindern wollten. Die meisten Regelungen blieben auch nach Ende des Kriegs in Kraft. Nun wurde es zudem üblich, einen Reisepass mit einem Passfoto auszustatten. 1920 legte der Völkerbund (Vorläufer der UNO) erstmals Richtlinien für Reisepässe fest, die zu einer internationalen Vereinheitlichung führen sollten. Allerdings hatte diese Maßnahme bei weitem nicht den gewünschten Erfolg. Nach Gründung der UNO im Jahr 1945 übernahm diese auch die Zuständigkeit für Reisepässe. Um deren Standardisierung kümmert sich seitdem die UNO-Tochterorganisation ICAO (International Civil Aviation Organization), die für Fragen der Luftfahrt verantwortlich ist. Dies ist kein Zufall, denn die Luftfahrtindustrie ist seit Jahrzehnten die treibende Kraft hinter der Weiterentwicklung und Standardisierung von Reisepässen. Fluggesellschaften müssen eine große Menge an Reisepassvorgängen durchführen und haben daher ein existenzielles Interesse daran, dass dies reibungslos funktioniert. Da die UNO 189 Mitgliedsstaaten hat, kommen den ICAO-Richtlinien eine große Bedeutung zu.
Abbildung 2.3: Reisepässe (hier jeweils ein Exemplar aus Deutschland, Österreich und der Schweiz) sind international standardisiert.
13
2 Ausweisdokumente 2.2.1.2
Der maschinenlesbare Reisepass
Der Reisepass zählt heute zu den wichtigsten Ausweisdokumenten überhaupt. Praktisch alle Staaten der Welt geben Reisepässe an ihre Bürger aus, damit diese sie für Reisen ins Ausland (und teilweise auch zur Identitätsfeststellung im Inland) nutzen können. Die meisten Reisepässe enthalten neben den Angaben zur Person und zur Staatsangehörigkeit ihres Inhabers leere Seiten, die für amtliche Vermerke des Ausstellerstaates, Visa, Kontrollstempeln und Ähnliches verwendet werden können. Wie so oft bei Ausweisdokumenten hinkte auch bei den Reisepässen die Entwicklung dem technisch Machbaren hinterher. So waren Reisepässe bis in die achtziger Jahre relativ simple Papierdokumente, die sich durchaus auch fälschen ließen. Eine maschinelle Abfrage war nicht vorgesehen. Erst in den achtziger Jahren wurden nach Vorgaben der ICAO maschinenlesbare Reisepässe eingeführt. Diese werden als MRPs (Machine Readable Passports) bezeichnet und sind im 1980 erstmals erschienenen DOC 9303 Teil 1 standardisiert [DOC9303/-1, DOC9303/2-1]. Der Standard macht lediglich Vorgaben bezüglich der Plastikkarte im Reisepass (Biographic Data Page), während die restliche Gestaltung eines MRP dem jeweiligen Staat überlassen bleibt. Die ursprünglichen maschinenlesbaren Reisepässe hatten noch keinen Computer-Chip eingebaut und zählten daher nicht zu den elektronischen Ausweisen. 125 mm
visuelle Zone (VIZ) 88 mm
maschinenlesbare Zone (MRZ)
23,2 mm
Abbildung 2.4: Die Biographic Data Page eines maschinenlesbaren Reisepasses ist standardisiert, lässt den einzelnen Staaten jedoch Freiräume.
Die Biographic Data Page eines MRP entspricht dem ID-3-Format. Sie ist in zwei Bereiche aufgeteilt: die visuelle Zone (VIZ) und die maschinenlesbare Zone (MRZ). Letztere besteht aus zwei Buchstabenreihen, die in der maschinenlesbaren Schrift OCR-B gesetzt sind. Wie der Name andeutet, ist die MRZ für das Auslesen mit einem Scanner gedacht. In der VIZ sind die Personendaten des Inhabers sowie ein Passfoto abgebildet. In der MRZ werden die wichtigsten dieser Daten wiederholt. Einige Teile der Biographic Data Page sind genau festgelegt, andere lassen den einzelnen Staaten Freiräume. Die genaue Aufteilung der Biographic Data Page ist in Abbildung 2.4 zu sehen. Am unteren Ende befindet sich die 23,2 Millimeter hohe MRZ. Damit das maschinelle Auslesen funktioniert, hat die ICAO für diese Zone recht genaue Richtlinien erlassen, die kaum Spielraum erlauben. Es stehen die Zeichen von A bis Z (Großbuchstaben) sowie die Zahlen von 0 bis 9 und schließlich das als Leerzeichen verwendete < zur Verfügung (dies sind 37 Zeichen). Die VIZ ist in mehrere kleinere Teilbereiche aufgeteilt. Insgesamt gibt es hier
14
2.2 Welche Ausweisdokumente es gibt mehr Spielraum für die einzelnen Nationen. Genau festgelegt ist allerdings die Position des Fotos, da diese auch für Lesegeräte einfach aufzufinden sein soll.
Abbildung 2.5: Die Biographic Data Page eines deutschen maschinenlesbaren Reisepasses. Die untersten zwei Textzeilen bilden die maschinenlesbare Zone (MRZ).
Die Verbreitung des maschinenlesbaren Reisepasses verlief relativ schleppend. 1981 begannen die USA mit der Einführung, die ersten europäischen Länder folgten einige Jahre später. Es dauerte immerhin zehn Jahre, bis das zehnte Land auf der Einführungsliste stand. Ende 2008 gab es immer noch 30 Staaten, die den MRP noch nicht eingeführt hatten. Derzeit sind weltweit etwa 600 Millionen Reisepässe im Umlauf. Inzwischen hat die ICAO zudem einen Standard für elektronische Reisepässe entwickelt, der als MRTD (Machine Readable Travel Documents) bezeichnet wird. Mehr dazu gibt es in Kapitel 8.
2.2.2 Identitätsausweise Wenn Sie deutscher Staatsbürger sind, dann ist vermutlich ein Personalausweis Ihr ständiger Begleiter. Wenn Sie dagegen in Österreich oder der Schweiz beheimatet sind, dann kennen Sie ein Dokument dieses Namens möglicherweise nur vom Hörensagen. Bevor wir ins Detail gehen, ist daher eine Definition notwendig: Ein Identitätsausweis oder eine Identitätskarte ist ein amtlicher Ausweis, der der Identitätsfeststellung dient, aber nicht in erster Linie für Auslandsreisen verwendet wird (im Gegensatz zu einem Reisepass). Der deutsche Identitätsausweis heißt „Personalausweis“, in der Schweiz wird das entsprechende Dokument als „Identitätskarte“ bezeichnet. In Österreich gibt es mit dem Personalausweis und dem Identitätsausweis gleich zwei Identitätsausweise. Im Gegensatz zum Reisepass ist der Umgang mit dem Identitätsausweis international recht unterschiedlich geregelt. Schon die Lage in den deutschsprachigen Ländern deutet dies an. So besitzt nahezu jeder erwachsene Deutsche einen Personalausweis, während die Schweizer Identitätskarte keine Selbstverständlichkeit ist. In Österreich wissen viele Bürger nicht einmal, dass in ihrem Land Personalausweise bzw. Identitätsausweise existieren. Manche Staaten (beispielsweise die USA und Großbritannien) geben gar keine Identitätsausweise aus.
15
2 Ausweisdokumente In manchen Ländern ist der Bürger (meist ab einem bestimmten Alter) dazu verpflichtet, einen Identitätsausweis zu besitzen (Ausweispflicht). In anderen Ländern ist die entsprechende Pflicht auch mit dem Besitz eines Reisepasses erfüllt (dies ist etwa in Deutschland der Fall). Manche Staaten mit Ausweispflicht verlangen, dass der Bürger den Ausweis ständig bei sich trägt, wenn er seine Wohnung verlässt. In Ländern ohne Identitätsausweise verwenden die Bürger meist den Führerschein, den Reisepass oder teilweise sogar die Geburtsurkunde, um sich auszuweisen. Die Bürger von Staaten mit Identitätsausweisen aber ohne Ausweispflicht haben entsprechend die Wahl. Einige Staaten geben Identitätsausweise nur an ihre Staatsbürger aus, in anderen können oder müssen auch ausländische Personen, die sich dauerhaft dort aufhalten (Residenten), ein solches (oder ähnliches) Dokument besitzen.
Abbildung 2.6: Die Identity Card des kanadischen Bundesstaats British Columbia ist ein Beispiel für einen Identitätsausweis.
Im Vergleich zum Reisepass hat der Identitätsausweis eine deutlich jüngere Geschichte [MeBa07]. Die ersten Dokumente dieser Art kamen in der ersten Hälfte des 20. Jahrhunderts auf. Zunächst galten Identitätsausweise als Alternative zum Reisepass für Personen, die nicht reisten. Im Zweiten Weltkrieg erließen mehrere Staaten (z. B Deutschland und Großbritannien) eine Ausweispflicht, die teilweise später wieder abgeschafft wurde. Diese Ausweise waren für das Militär und die Verwaltung von Nutzen. Nationen mit einem hohen Anteil an Gastarbeitern (z. B. die meisten arabischen Staaten) führten Identitätsausweise ein, um illegale Einwanderung zu verhindern. In den letzten Jahrzehnten haben Identitätsausweise teilweise die ursprüngliche Funktion eines Reisepasses übernommen. So ist innerhalb der EU sowie in einigen anderen Regionen der Identitätsausweis als Reisedokument ausreichend, während der Reisepass zuhause bleiben kann. Wie Sie im Verlauf dieses Buchs sehen werden, schlägt sich dies auch darin nieder, dass Personalausweise nach Vorgaben erstellt werden, die eigentlich für Reisepässe entwickelt wurden. Es ist nicht damit zu rechnen, dass Personalausweise in absehbarer Zeit verschwinden. Dies liegt nicht zuletzt daran, dass die Regierungen die Freiheiten, die sie bei der Gestaltung von Personalausweisen haben, gerne nutzen.
16
2.2 Welche Ausweisdokumente es gibt
Abbildung 2.7: Die europäische Krankenversichertenkarte (EHIC) ist auf der Rückseite einiger nationalen Gesundheitsausweise angebracht.
2.2.3 Ausweise im Gesundheitswesen Ausweise im Gesundheitswesen sind bereits seit dem 19. Jahrhundert belegt. Allerdings waren solche Dokumente zunächst nur für das medizinische Personal (beispielsweise für Ärzte oder Apotheker) üblich [Goet07]. Bis heute gibt es in vielen Ländern Arztausweise, Apothekerausweise und ähnliche Dokumente, die teilweise von den Berufsorganisationen, teilweise aber auch vom Staat ausgegeben werden. Die Regeln sind international recht unterschiedlich. Die Idee, auch Patienten mit Ausweisen auszustatten, kam dagegen erst in den letzten Jahrzehnten auf [StAh07]. In der Regel handelt es sich dabei um Ausweisdokumente, die von Krankenversicherungen ausgestellt werden und das Recht auf bestimmte Behandlungen (bzw. deren Bezahlung durch die Versicherung) bescheinigen. Der Übergang zwischen einem Behandlungsgutschein (Krankenschein) und einem Ausweis ist fließend. Die Regelungen variieren international stark. Auch außerhalb des Gesundheitswesens gibt es in vielen Ländern Ausweise für die Empfänger öffentlicher Leistungen. Zu den wenigen internationalen Dokumenten im Gesundheitswesen gehört die europäische Krankenversichertenkarte EHIC (European Health Insurance Card). Diese ist seit dem 1. Juni 2004 innerhalb des europäischen Wirtschaftsraums gültig. Sie ermöglicht es dem Inhaber, während eines Auslandsaufenthalts medizinische Leistungen in Anspruch zu nehmen, wobei die Kosten von seiner Krankenversicherung übernommen werden. Die rechtliche Grundlage hierfür ist ein Abkommen, wonach die Krankenversicherungen in den beteiligten Staaten auch Behandlungen in den jeweils anderen Ländern bezahlen. Die EHIC dient also als Beleg dafür, dass der Inhaber eine Krankversicherung abgeschlossen hat, die für die entsprechenden Kosten aufkommt. Die EHIC ist für sich genommen kein Ausweis im Sinne dieses Buchs, da sie sich nicht zur Identifizierung einer Person nutzen lässt (sie trägt kein Passfoto). Allerdings nutzen viele Staaten ihre nationalen Gesundheitsausweise, um die EHIC auf der Rückseite aufzubringen.
17
2 Ausweisdokumente
2.2.4 Behördenausweise Neben dem Identitätsausweis und dem Reisepass gibt es noch einige weitere Ausweisdokumente, die von Behörden ausgestellt werden. Diese dienen jedoch nicht in erster Linie als Identitätsnachweis, sondern als Bescheinigung dafür, dass man eine bestimmte Berechtigung hat. Das bekannteste Beispiel ist zweifellos der Führerschein (in der Schweiz auch Führerausweis genannt). Dieser bestätigt bekanntlich die Erlaubnis, ein Fahrzeug steuern zu dürfen. Der Führerschein ist fast so alt wie das Auto selbst [Wehn07]. Bereits 1888 (also zwei Jahre nach Erfindung des Autos durch Carl Benz) wurde das erste Exemplar ausgestellt. Auch wenn der Führerschein offiziell nur der Bestätigung der Fahrerlaubnis dient, spricht nichts dagegen, ihn auch für den Identitäts- oder Altersnachweis zu verwenden. In den USA, wo es keine Personalausweise gibt, ist dies sogar die gebräuchlichste Form, sich auszuweisen. Dort werden selbst für Nicht-Autofahrer Führerscheine ausgestellt, um dies zu ermöglichen. Auch in Österreich ist es eine gängige Praxis, sich mit dem Führerschein auszuweisen. In seiner über hundertjährigen Geschichte hat der Führerschein eine ähnliche Entwicklung wie andere Ausweisdokumente durchgemacht. Ursprünglich war er aus Papier, was auch zu Bezeichnungen wie „Lappen“ oder „Pappe“ führte. Neuere Führerscheine sind meist aus Kunststoff und haben häufig das ID-1-Format. Die ausgebenden Behörden verwenden dieselben physikalischen Sicherheitsmerkmale, die auch auf Identitätsausweisen und Reisepässen zum Einsatz kommen. In praktisch jedem Land sieht der Führerschein anders aus. Zum Glück gibt es auch beim Führerschein Tendenzen, dieses Dokument international einheitlich zu gestalten. So sollen die rund 110 verschiedenen Führerscheinmodelle innerhalb der EU in den nächsten Jahren durch den einheitlichen EU-Führerschein abgelöst werden. Die alten Modelle gelten noch 26 Jahre weiter, erst dann wird ein Umtausch verpflichtend. Der EU-Führerschein wird jedoch vorläufig nicht mit einem Chip ausgestattet sein, weshalb es sich nicht um einen elektronischen Ausweis handelt. Neben dem Führerschein gibt es noch zahlreiche weitere, von Behörden ausgestellte Ausweisdokumente. Man denke beispielsweise an Jagdscheine, Pilotenscheine, Angelscheine
Abbildung 2.8: Der EU-Führerschein soll in den nächsten Jahren die nationalen Modelle der Mitgliedsstaaten ablösen.
18
2.2 Welche Ausweisdokumente es gibt und Boots- bzw. Schiffsführerscheine, um nur die wichtigsten Beispiele zu nennen. Diese Dokumente spielen jedoch als elektronische Ausweisdokumente bisher keine Rolle. Deshalb werde ich sie in diesem Buch nicht weiter beachten.
2.2.5 Dienstausweise Als Dienstausweis bezeichnet man ein Ausweisdokument, das die Berechtigung zur Ausübung hoheitlicher Befugnisse nachweist. So gibt es in vielen Ländern Dienstausweise für Polizisten, Zollbeamte, Soldaten, Zivildienstleistende, Diplomaten und vieles mehr. Dienstausweise sind international recht uneinheitlich geregelt. Selbst innerhalb eines Landes geben unterschiedliche Behörden meist unterschiedliche Ausweise aus. Erst seit dem Aufkommen elektronischer Ausweise gibt es ernsthafte Anstrengungen, derartige Dokumente zu vereinheitlichen. Davon wird in diesem Buch noch die Rede sein.
2.2.6 Ausweise im Bildungswesen Im deutschsprachigen Raum stellt traditionell jede Bildungseinrichtung nach eigenen Richtlinien Schüler- bzw. Studentenausweise aus [Ziem07]. Man kann ein solches Dokument daher mit einem Mitarbeiter- oder Mitgliedsausweis vergleichen. Studentenausweise sind meist aufwendiger gestaltet als Schülerausweise und bieten daher in der Regel eine größere Fälschungssicherheit. Schüler- und Studentenausweise werden fast überall anerkannt, wenn es um verbilligten Eintritt und ähnliche Vergünstigungen geht. Da die daraus resultierenden Vorteile sind meist so gering, dass sich eine Fälschung nicht lohnt. Als Altersnachweis erkennen viele einen Schüler- oder Studentenausweis dagegen nicht an. Neben den Ausweisen, die jede Lehranstalt eigenständig ausgibt, gibt es auch einen international einheitlichen Studentenausweis: die International Student Identity Card (ISIC). Diese wird seit 1968 von der ISIC Association ausgegeben. Die ISIC Association gehört zur International Student Travel Confederation (ISTC), die sich als nichtkommerzielle Organisation den Belangen des studentischen Reisens widmet. Hinter dieser Vereinigung stehen etwa 70 Reiseanbieter, die an der Vermarktung von Studentenreisen interessiert sind.
Abbildung 2.9: Die International Student Identity Card (ISIC) wird weltweit anerkannt.
19
2 Ausweisdokumente Wer eine ISIC haben will, kann diese daher in einem Reisebüro beantragen, wobei er eine Immatrikulationsbescheinigung oder ein ähnliches Dokument vorlegen muss. Manche Bildungseinrichtungen kümmern sich selbst um die ISIC-Ausgabe. Obwohl die ISIC von der UNO unterstützt wird und das Logo der UNESCO trägt, handelt es sich dabei nicht um ein amtliches Dokument. Vielmehr kann man eine ISIC als Mitgliedsausweis betrachten. Für den Hauptzweck (Nachweis, dass eine Person eine Studentenermäßigung oder ein Studentenangebot in Anspruch nehmen darf) hat die ISIC dennoch weltweit eine hohe Anerkennung.
2.2.7 Mitgliedsausweise Dieses Buch behandelt hauptsächlich amtliche Ausweise, also Ausweisdokumente, die von einer hoheitlichen Stelle ausgestellt worden sind. Dies soll jedoch nicht darüber hinweg täuschen, dass es auch nichtamtliche Ausweise gibt. Mitgliedsausweise, die von Organisationen ausgegeben werden, sind ein Beispiel dafür. In diese Kategorie fallen unter anderem der Jugendherbergsausweis oder der Spielerpass im Sportverein. Allerdings sind nicht alle Mitgliedsausweise automatisch Ausweise im Sinne dieses Buchs, da viele von ihnen kein Passfoto enthalten und daher nicht zur Identifizierung des Inhabers geeignet sind. Mitgliedsausweise spielen unter anderem im Pressewesen eine wichtige Rolle. Da es im deutschsprachigen Raum keine amtlichen Presseausweise gibt, übernehmen die Mitgliedsausweise von Journalistenorganisationen diese Rolle. Auch Anwaltskammern, Notarkammern und ähnliche Einrichtungen stellen Ausweise aus, die zwar keine hoheitlichen Dokumente sind, aber dennoch eine gewisse Anerkennung finden.
2.2.8 Mitarbeiterausweise Zahlreiche Unternehmen geben Ausweise an ihre Mitarbeiter aus. Vor allem größere Unternehmen, in denen sich die Kollegen nicht mehr alle gegenseitig kennen, arbeiten mit derartigen Dokumenten. Mit seinem Mitarbeiterausweis kann sich ein Mitarbeiter beispielsweise am Werkstor identifizieren, um Zutritt zum Firmengelände zu erhalten. Manche Unternehmen geben für Mitarbeiter mit speziellen Funktionen (beispielsweise für das Wachpersonal) eigene Ausweise aus, damit die entsprechenden Personen sich bei Bedarf legitimieren können. Es versteht sich von selbst, dass Mitarbeiterausweise von Unternehmen zu Unternehmen anders aussehen.
2.2.9 Kundenausweise Eine weitere Form des Ausweises ist der Kundenausweis. Das bekannteste Beispiel dafür ist die BahnCard der Deutschen Bahn. In Österreich (VorteilsCARD) und der Schweiz (Halbtax) gibt es ähnliche Dokumente. Bank- und Kreditkarten haben oft ebenfalls den Status eines Kundenausweises. Allerdings sind die meisten Exemplare nicht mit einem Passfoto ausgestattet, wodurch es sich nicht um Ausweise im Sinne dieses Buchs handelt.
20
2.3 Angriffe auf Ausweisdokumente
2.3
Angriffe auf Ausweisdokumente Von einem Angriff auf einen Ausweis sprechen wir, wenn eine Person (Angreifer) versucht, einen Ausweis nachzumachen, abzuändern, unbefugterweise auszulesen oder unbrauchbar zu machen. Die folgenden Unterkapitel nennen die wichtigsten Angriffsformen.
2.3.1 Totalfälschung Von einer Totalfälschung spricht man, wenn der Angreifer einen Ausweis nachmacht, ohne dabei ein echtes Dokument zu verarbeiten oder zu verändern. Totalfälschungen von hoheitlichen Ausweisen sind durch die Fortschritte in der Herstellungstechnik in den letzten Jahrzehnten deutlich seltener geworden. Allerdings gibt es nach wie vor Ausweisdokumente, die nicht durch Hologramme, Lasergravuren oder ähnliche Maßnahmen geschützt sind und dadurch Fälschern die Arbeit erleichtern. Als Urheber von Totalfälschungen treten einerseits Kleinkriminelle auf. Viele primitive Fälschungen haben lediglich den Zweck, dem Besitzer den Eintritt in die Disco oder ins Kino zu ermöglichen. Wenn die Person, die den Ausweis kontrolliert, nicht so genau hinschaut, dann erfüllt oft auch eine amateurhafte Fälschung ihren Zweck. Auch selbstgemachte Führerscheine, die eine nicht vorhandene Fahrerlaubnis vortäuschen sollen, sind keine Seltenheit. Seit dem Aufkommen von Farbkopierern kann selbst ein Laie ohne größeren Aufwand eine Fälschung erstellen, die bei einer oberflächlichen Prüfung durchgeht. Besonders erfolgversprechend ist es, ausländische Ausweise zu fälschen, da zumindest ein Laie kaum weiß, wie ein echtes Dokument aussieht. Neben talentierten Hobby-Fälschern gibt es durchaus auch Profis, die Ausweise nachmachen. Viele davon sind dem organisierten Verbrechen zuzuordnen. Seit Aufkommen des Internets ist es erstaunlich einfach, einen Fälscher zu finden. Dies bestätigte 2003 die Recherche eines US-Fernsehsenders, der sich auf verschiedenen Webseiten umsah und schließlich bei einem geeigneten Anbieter die Fälschung eines US-Führerscheins in Auftrag gab [Kolo03]. Die zuständige Redakteurin übermittelte als Passfoto die Aufnahme eines international gesuchten Terroristen und erhielt nach einigen Tagen tatsächlich die gewünschte Ware zugeschickt. Der gelieferte Führerschein kostete 150 Dollar und sah täuschend echt aus. Eine gängige Software zur Führerscheinprüfung akzeptierte die Fälschung anstandslos. Zu den prominentesten Opfern von Ausweisfälschern zählt der Musiker Dieter Bohlen. Dieser legte 2002 in Spanien eine Prüfung zur Erlangung eines Bootsführerscheins ab und bekam das gewünschte Dokument anschließend ausgehändigt [Bohl03]. Offenbar war die Jachtschule jedoch nicht berechtigt, die Prüfung abzunehmen, und jubelte dem Popstar daher eine Führerscheinfälschung unter. Dies fiel bei einer Kontrolle der Polizei auf. Bohlen musste die Prüfung anschließend noch einmal ablegen. Neben gewöhnlichen Kriminellen sind schließlich auch Geheimdienste in der Ausweisfälschung aktiv. Schon im Zweiten Weltkrieg betätigten sich alle beteiligten Mächte als Ausweisfälscher, um ihren Agenten eine falsche Identität zu verschaffen. In Deutschland
21
2 Ausweisdokumente betrieben die Nazis sogar Fälscherwerkstätten in den Konzentrationslagern. Inhaftierte, die ein entsprechendes Know-how hatten, wurden oft zur Mitarbeit gezwungen. Für viele dieser Fälscher wider Willen erwiesen sich ihre Fähigkeiten als Lebensversicherung.
2.3.2 Verfälschung Neben der Totalfälschung ist die Veränderung (Verfälschung) eines Ausweises eine Option. Mit einem solchen Trick versuchte es beispielsweise im Jahr 2007 der Profimusiker Ole Junge, als er sich für die Casting-Sendung „Deutschland sucht den Superstar“ bewarb. Zum Nachteil von Junge lag das Höchstalter für die Casting-Show bei 30 Jahren, und die hatte er bereits überschritten. Kurzerhand erstellte er daher eine Kopie seines Personalausweises, auf der er sein Geburtsjahr von 1970 in das Jahr 1978 verlegte. Durch diesen Betrug zog Junge tatsächlich in die zweite Runde ein. Als er dort jedoch das Original seines Ausweises zeigen musste, flog der Schwindel auf. Da in den meisten Fällen nicht eine Kopie, sondern das Original eines Ausweises geprüft wird, ist das Verfälschen eines Ausweises keine leichte Aufgabe. In der Tat ist es bei der heutigen Ausweistechnik schwierig, einen amtlichen Ausweis unbemerkt zu verändern. Der am leichtesten zu verfälschende Ausweis ist der Sozialversicherungsausweis; dieser enthält eine selbstklebende Folie für das Einfügen eines Passbildes, das jedermann ohne Aufsicht einkleben kann.
2.3.3 Fantasieausweise Ein Bekannter von mir, der in der Chipkarten-Branche arbeitet, machte sich vor einigen Jahren selbst einen Ausweis. Dazu nutzte er einen Plastikkartendrucker, wie er inzwischen in zahlreichen Unternehmen vorhanden ist (der Preis liegt bei einigen Tausend Euro). Er nahm eine Druckvorlage, die der Druckerhersteller zu Testzwecken mitgeliefert hatte, versah diese mit seinem Passfoto und druckte sich schließlich eine Plastikkarte aus, die beeindruckend wichtig aussah. Der Aufdruck „Passport“ und ein paar hoheitlich wirkende Druckelemente ließen keine Zweifel aufkommen, dass es sich dabei um ein staatliches Dokument handeln musste. Das Erstaunliche daran: Mit diesem Spielzeugausweis überstand mein Bekannter so manche Kontrolle. In den USA konnte er damit Alkohol kaufen (in vielen US-Staaten wird das Alter von Alkoholkonsumenten streng kontrolliert) oder konnte Glücksspiele nutzen. Mit Fantasie-Ausweisen arbeiteten auch die Täter, die 1997 ein Postamt in Zürich überfielen und dabei die fantastische Summe von 53 Millionen Franken erbeuteten. Den Zugang zum Verladeplatz verschafften sich die Täter mit einem Fantasieausweis, den einer von ihnen aus dem Auto dem Wachposten entgegen hielt [FAZ94]. Ähnlich ging 2008 ein Dieb vor, als er sich Zugang zu einem Teil des Hauses 10 Downing Street (dies ist der Wohnsitz des Premierministers) in London verschaffte [Oate08]. Er hielt den Kontrolleuren an der Tür den litauischen Identitätsausweis seiner Freundin entgegen und durfte passieren.
22
2.3 Angriffe auf Ausweisdokumente
2.3.4 Fremdnutzung Ein einfacher, aber durchaus wirkungsvoller Angriff ist das Nutzen eines Ausweises, der auf eine andere Person ausgestellt ist. So ist es sicherlich keine Seltenheit, dass sich ein Minderjähriger den Ausweis des älteren Bruders ausleiht, um sich im Laden hochprozentige Alkoholika zu besorgen. Besonders gut funktioniert dies oft bei Angehörigen fremder Ethnien. Mir sind mehrere Fälle bekannt, in denen beispielsweise Asiaten erfolgreich darauf spekulierten, dass ein Kontrolleur keinen Verdacht schöpfen würde, wenn zum asiatischen Gesicht ein asiatisches Passfoto gezeigt wurde – auch wenn es sich nicht um dieselbe Person handelte. In den siebziger Jahren macht der Terrorgruppe RAF eine weitere Form des Ausweismissbrauchs populär. Dieser sah vor, dass ein RAF-Sympathisant, der jedoch ansonsten ein unbescholtener Bürger war, seinen Personalausweis als verloren meldete. In Wirklichkeit übergab er das Dokument jedoch an einen Terroristen. Dieser hatte damit ein echtes Ausweisdokument zur Verfügung, während der rechtmäßige Inhaber einen neuen Pass beantragte. Noch einen Schritt weiter ging die RAF in den achtziger Jahren. 1985 lockte die Terroristin Birgit Hogefeld den US-Soldaten Edward Pimental aus einer Wiesbadener Bar in den Wald, um ihn dort mit Komplizen zu erschießen. Mit Pimentals Militärausweis verschaffte sich die RAF am Tag darauf Zugang zur US Airbase am Frankfurter Flughafen und brachte dort einen mit 200 Kilogramm Sprengstoff beladenen Personenwagen zur Detonation. Es gab drei Todesopfer.
2.3.5 Unrechtmäßiges Erlangen Selbst der fälschungssicherste Ausweis bringt wenig, wenn er auf die falsche Person ausgestellt wird. Da es sich hierbei um ein Problem handelt, gegen das es kaum technische Gegenmaßnahmen gibt (auch nicht, wenn wir von einem elektronischen Ausweis ausgehen), spielt das unrechtmäßige Erlangen eines Ausweises in diesem Buch keine wesentliche Rolle.
2.3.6 Unbefugtes Auslesen Ausweise enthalten in der Regel keine geheimen Daten. Dennoch haben die meisten Menschen etwas dagegen, wenn ein Unbefugter den Inhalt ihres Ausweises ausliest – schließlich geht es niemanden etwas an, wie alt der Ausweisinhaber ist und wie seine Adresse lautet. Allerdings ist es für einen Angreifer meist nicht ohne Weiteres möglich, einen Ausweis unbefugt auszulesen, und kaum jemand käme auf die Idee, Taschendieb-Methoden anzuwenden, nur um an den Inhalt eines Ausweises heranzukommen. Das unbefugte Auslesen ist daher nur im Zusammenhang mit elektronischen Ausweisen von Belang, zu denen wir später kommen.
23
2 Ausweisdokumente
2.3.7 Zerstören Das Zerstören eines Ausweises ist sicherlich der einfachste Angriff auf ein solches Dokument. Wer einen Ausweis kaputt machen will, kann ihn zerschneiden, verbrennen oder einfach wegwerfen. Allerdings hat das Zerstören eines Ausweises für den Angreifer meist nur einen geringen Nutzen. Es handelt sich bei einer solchen Aktion um einen reinen Sabotageakt, der in erster Linie dazu geeignet ist, dem Ausweisinhaber eins auszuwischen. Es gibt jedoch noch einen weiteren Grund, warum einige Zeitgenossen manchmal einen Ausweis zerstören. Dies hängt damit zusammen, dass viele Ausweisprojekte umstritten sind (meist aufgrund des Datenschutzes). So kommt es immer wieder vor, dass die Kritiker eines Ausweissystems Ausweise (meist ihre eigenen) unbrauchbar machen. So lässt sich beispielsweise der Magnetstreifen auf einem Ausweis mit einem Magneten löschen. Auf dieses Weise soll das Ausweissystem sabotiert werden. Allerdings ist mir kein Fall bekannt, in dem eine solche Vorgehensweise einen größeren Erfolg hatte. Meist schaden die Saboteure nicht dem Ausweissystem, sondern sich selbst, da sie mit einem unbrauchbaren Ausweis längere Wartezeiten oder zusätzliche Kontrollen in Kauf nehmen müssen.
2.3.8 Markieren Ein interessanter Angriff besteht darin, einen Ausweis zu markieren. Dies ist technisch nicht allzu schwierig. Es gibt Dutzende von Substanzen, die sich unsichtbar auf einem Ausweis anbringen lassen und die bei entsprechender Behandlung sichtbar werden. Wenn ein Beamter an der Grenze einen Reisepass abstempelt, kann er diese Möglichkeit nutzen. Es gehört nicht viel dazu, sich einige Missbrauchsmöglichkeiten für markierte Ausweise auszudenken. Allerdings sind mir bisher diesbezüglich keine Fälle aus der Praxis bekannt.
24
3 3 Security Engineering Security Engineering ist eine Disziplin der Computertechnik. Sie beschäftigt sich mit dem Aufbau sicherer Systeme. Zwischen Security Engineering und elektronischen Ausweisen gibt es eine gegenseitige Abhängigkeit: Einerseits ist ein elektronischer Ausweis ein wichtiges Werkzeug im Security Engineering; andererseits ist Security Engineering eine wichtige Grundlage für elektronische Ausweise. Im Folgenden werde ich eine kurze Einführung in dieses Thema geben. Wenn Sie mehr wissen wollen, dann empfehle ich Ihnen das Buch „Security Engineering“ von Ross Anderson [Ande07].
3.1
Grundlagen des Security Engineering In der Computertechnik (und allgemein im Ingenieurswesen) unterscheidet man grundsätzlich zwischen Safety und Security. Da beide Begriffe im Deutschen mit „Sicherheit“ übersetzt werden, ist der Unterschied nicht auf den ersten Blick erkennbar. Mit Safety ist der Schutz vor unbeabsichtigter Beschädigung oder Zerstörung gemeint. Wer für die Safety einer Computeranlage verantwortlich ist, muss sich daher fragen, wie er seine Rechner vor einem Festplattendefekt, einem Zimmerbrand oder einem Wassereinbruch schützen kann. Der Betreiber eines Rechenzentrums muss häufig sogar auf Ereignisse wie ein Erdbeben oder einen Flugzeugabsturz vorbereitet sein. Typische Safety-Maßnahmen sind Sicherungskopien, das Entfernen brennbarer Gegenstände aus dem Umfeld des Computers oder das Verstärken der Wände. Die Security beschäftigt sich dagegen mit dem Schutz vor absichtlichen Angriffen auf Computersysteme. Wichtige Security-Themen sind Computer-Viren, Hackerangriffe, gestohlene Passwörter und abgehörte Telefonate. Als Gegenmaßnahmen stehen einem Security-Verantwortlichen Viren-Scanner, Firewalls, Verschlüsselungsprogramme, digitale Signaturen und ähnliche Werkzeuge zur Verfügung. Wie Sie sich leicht vorstellen können, ist das Thema Safety im Zusammenhang mit elektronischen Ausweisen durchaus von Bedeutung. Ein Ausweis muss die Widrigkeiten des Alltags aushalten und sollte beispielsweise nicht kaputt gehen, wenn er versehentlich in
25
3 Security Engineering der Waschmaschine landet. Zudem sollte ein Ausweisdokument innerhalb der vorgesehenen Lebensdauer keine Verschleißerscheinungen zeigen, was bei einem Gültigkeitszeitraum von oft mehreren Jahren keine Selbstverständlichkeit ist. Mit Fragen der AusweisSafety müssen sich in erster Linie Materialexperten und Hardwarekonstrukteure beschäftigen. Da der Schwerpunkt dieses Buchs jedoch auf der Computertechnik liegt, werde ich auf solche Aspekte nicht näher eingehen. Die Überschrift dieses Kapitels heißt aus diesem Grund „Security Engineering“ und nicht „Safety Engineering“. Sehr wohl eine Rolle spielt in diesem Buch die Security. Diese ist im Zusammenhang mit elektronischen Ausweisen deutlich wichtiger als die Safety. Die Gründe dafür sind offensichtlich: Zum einen sind Ausweise und die zugehörigen Infrastrukturen zahlreichen Angriffen ausgesetzt; zum anderen können elektronische Ausweise die Security eines Computersystems deutlich erhöhen. Damit sind wir wieder bei der am Anfang dieses Kapitels beschriebenen Abhängigkeit. Diese kann man wie folgt auf einen gemeinsamen Nenner bringen: Elektronische Ausweise sind für die Security von Nutzen, und die Security ist für elektronische Ausweise von Nutzen. Da wir die Safety nicht näher betrachten, ist mit Sicherheit im Folgenden immer Security gemeint. Sicherheit im Sinne von Security verfolgt im Wesentlichen drei Ziele: Vertraulichkeit: Sicherheitsmaßnahmen können dafür sorgen, dass geheime Daten geheim bleiben. Auch und gerade die auf elektronischen Ausweisen gespeicherten Daten sind in vielen Fällen vertraulich. Verfügbarkeit: Sicherheit ist nur gegeben, wenn ein Angreifer Daten nicht zerstören oder vorübergehend unzugänglich machen kann – wenn die Daten also verfügbar sind. Wie man sich leicht vorstellen kann, ist die Verfügbarkeit ein Ziel, das oft nur schwer zu gewährleisten ist. Dies gilt auch für elektronische Ausweise, denn es gibt nichts Einfacheres, als ein solches Dokument zu zerstören. Zum Glück hat ein Angriff auf die Verfügbarkeit für den Angreifer meist nur einen geringen Nutzen. Integrität: Darunter versteht man den Schutz vor unbefugten Datenveränderungen. Auch dieses Ziel ist offensichtlicherweise für elektronische Ausweise von Interesse. Authentizität: Authentizität ist erfüllt, wenn Daten zuverlässig einem bestimmten Absender bzw. Urheber zugeordnet werden können. Bei elektronischen Ausweisen ist Authentizität unverzichtbar. Ein nichtauthentischer Ausweis ist wertlos. Manche Literaturquellen nennen noch weitere Ziele, beispielsweise Nichtabstreitbarkeit oder Zurechenbarkeit. Allerdings lassen sich diese Aspekte auf Vertraulichkeit, Verfügbarkeit, Integrität oder Authentizität zurückführen. Will man die genannten vier Ziele erreichen, dann sollte man eine Reihe von Grundsätzen beachten, wie beispielsweise die folgenden: Ganzheitliche Sicherheit: In einem sicheren System müssen stets alle Bestandteile dazu beitragen, das angestrebte Sicherheitsniveau zu erreichen. Da sich ein Angreifer in der Regel das schwächste Glied in der Kette aussucht, ist die Sicherheit des Ganzen immer nur so hoch wie die niedrigste Sicherheit eines Bestandteils. Diese Erkenntnis gilt uneingeschränkt auch für elektronische Ausweise.
26
3.1 Grundlagen des Security Engineering Sicherheit per Design: Sicherheitsfragen sollten bereits in der Designphase eines Systems betrachtet werden. Oder wie es der Netzwerkspezialist Andrew S. Tanenbaum formuliert: „Sicherheit ist, genauso wie Korrektheit, kein Feature, das man hinterher einbauen kann.“ Bei elektronischen Ausweisen versteht es sich ohnehin von selbst, dass man das Ausweissystem inklusive Infrastruktur nicht ohne einen ständigen Blick auf die Sicherheit planen kann. Benutzerfreundliche Sicherheit: Die Benutzerfreundlichkeit eines sicheren Computersystems muss möglichst hoch sein. Ist dies nicht der Fall, dann kommt es fast zwangsläufig zu Fehlverhalten und zu wilden Protesten der Anwender. Die Zumutbarkeitsgrenze ist hierbei schnell überschritten. Schon ein Virenscanner, der für ein paar Sekunden Verzögerung sorgt, oder eine Verschlüsselungsfunktion, die mehrere Mausklicks benötigt, sorgen häufig für Unmut. Ähnliches ist auch und gerade bei elektronischen Ausweisdokumenten zu beachten. Selbst das beste Ausweissystem funktioniert nicht, wenn die Ausweisinhaber nicht richtig damit umgehen können oder wollen. Relative Sicherheit: 100 Prozent Sicherheit gibt es nicht, und 99 Prozent Sicherheit ist sowohl unbezahlbar als auch unpraktikabel. Security Engineering erfordert daher immer einen Kompromiss zwischen Sicherheit, Kosten und Praktikabilität. Auch diese Erkenntnis lässt sich ohne Einschränkung auf elektronische Ausweise übertragen. Schon allein die Tatsache, dass ein Ausweis als millionenfach hergestellter Artikel kein Vermögen kosten darf, setzt den Sicherheitsanforderungen Grenzen. Eine interessante Frage im Security Engineering lautet stets, welche Details eines Sicherheitssystems veröffentlicht werden sollen. In der Verschlüsselungstechnik (Kryptografie) gilt meist: Alle Details eines Verfahrens sollten öffentlich bekannt sein, und die Sicherheit darf nicht von der Geheimhaltung des Verfahrens abhängen. Geheimniskrämerei ist (zumindest in der akademischen Kryptografie) verpönt und wird als „Security by Obscurity“ bezeichnet. In der Kryptografie kann man sich diese Offenheit leisten, denn die zur Verfügung stehenden Verfahren sind auch bei Offenlegung äußerst sicher. Anders verhält es sich beispielsweise bei der Konstruktion manipulationssicherer Hardware. Es ist nahezu unmöglich, für einen vertretbaren Preis einen Mikrochip zu produzieren, der vor allen Auslese- und Manipulationsversuchen gefeit ist. Um dem unerreichbaren Ziel wenigstens möglichst nahezukommen, geben die Hersteller meist keine Details über den Chip-Aufbau preis. Wie ich bereits im Einführungskapitel dieses Buchs ausgeführt habe, sind auch die Betreiber elektronischer Ausweissysteme häufig nicht besonders mitteilsam. Inwieweit ein solches Vorgehen notwendig ist, ist jedoch fraglich, denn es gibt durchaus auch elektronische Ausweisdokumente, deren Spezifikation im Internet zum Download bereitsteht. Nach diesen Vorüberlegungen betrachten wir im Folgenden die wichtigsten Werkzeuge des Security Engineering. Dabei beschränken wir uns auf diejenigen Themen, die für elektronische Ausweise von Belang sind, und zwar die Kryptografie, die Authentifizierung sowie die Evaluierung.
27
3 Security Engineering
3.2
Kryptografie Die Kryptografie ist die Wissenschaft der Verschlüsselung sowie einiger damit verwandter Techniken. Die Kryptografie bildet eine wichtige Säule des Security Engineering und spielt im Zusammenhang mit elektronischen Ausweisdokumenten eine zentrale Rolle. Dies liegt vor allem daran, dass Mikrochips recht gut in der Lage sind, kryptografische Verfahren auszuführen und die verwendeten Schlüssel unauslesbar zu speichern. Die gegenseitige Abhängigkeit zwischen elektronischen Ausweisen und der Sicherheitstechnik werden in der Kryptografie besonders deutlich. Denn einerseits macht die Kryptografie elektronische Ausweise sicherer; andererseits nutzen sichere elektronische Ausweise der Kryptografie. Natürlich kann ich an dieser Stelle nur auf die wichtigsten Grundlagen der Kryptografie eingehen. Als ausführlichere Quelle zum Thema empfehle ich Ihnen mein Buch „Kryptografie – Verfahren, Protokolle, Infrastrukturen“ [Schm09/2].
3.2.1 Symmetrische Verschlüsselung Die in der Kryptografie verwendeten Verschlüsselungsverfahren sehen meist vor, dass in die Verschlüsselung einer Nachricht eine Geheiminformation (Schlüssel) eingeht. Die Sicherheit des Verfahrens sollte alleine im Schlüssel liegen. Dies bedeutet, dass ein Angreifer, der das Verfahren, aber nicht den Schlüssel kennt, keine Möglichkeit zur Dechiffrierung haben darf. Das älteste und am einfachsten zu verstehende Werkzeug der Kryptografie ist die symmetrische Verschlüsselung. Hierbei entschlüsselt der Empfänger die verschlüsselte Nachricht mit demselben Schlüssel, den auch der Absender zum Verschlüsseln verwendet hat. Die symmetrische Verschlüsselung war schon im Altertum bekannt. So nutzte Julius Cäsar ein Verfahren, bei dem er jeden Buchstaben innerhalb des Alphabets um eine feste Zahl von Einheiten verschob (z. B. aus A wird D, aus B wird E, aus C wird F ...). Noch heute bezeichnet man diese Methode als Cäsar-Chiffre. Die Anzahl der Buchstaben, um die im Alphabet verschoben wird, ist bei der Cäsar-Chiffre der Schlüssel. Wie man sich leicht klar macht, kennt die Cäsar-Chiffre 25 verschiedene Schlüssel (eine Verschiebung um 0 oder 26 Einheiten ist wirkungslos). Allerdings handelt es sich dabei nicht um ein besonders gutes symmetrisches Verschlüsselungsverfahren, da ein Angreifer meist schon durch das Zählen der Buchstaben (das E ist im Deutschen der häufigste) zum Erfolg kommt. Nachdem die Kryptografie über Jahrtausende hinweg Handarbeit gewesen war, kamen um das Jahr 1920 spezielle Maschinen auf, die eine symmetrische Verschlüsselung automatisch durchführten. Diese Verschlüsselungsgeräte waren meist mit einer Schreibmaschinentastatur ausgestattet. Eine geeignete Mechanik, die in der Regel auf verschiedenen Rädern (je nach Ausführung als Nockenrad oder Rotor bezeichnet) beruhte, bildete jeden eingetippten Buchstaben auf einen anderen ab und sorgte dadurch für die Verschlüsselung. Die Anfangseinstellung bestimmter Räder bildete den Schlüssel. Die bekannteste Verschlüsselungsmaschine ist zweifellos die deutsche Enigma, die im Zweiten Weltkrieg eine wichtige Rolle spielte. Weitere interessante Geräte sind die Kryha-Maschine (Deutschland)
28
3.2 Kryptografie und die M-209 (USA). Wenn Sie sich für Verschlüsselungsmaschinen oder allgemein für die Geschichte der Kryptografie interessieren, dann empfehle ich Ihnen mein Buch „Codeknacker gegen Codemacher“ [Schm07]. In den siebziger Jahren übernahm schließlich der Computer das Verschlüsseln. Die zu verschlüsselnden Daten sind seitdem keine Buchstaben mehr, sondern beliebige Byte-Folgen. Auch die verwendeten Schlüssel haben diese Form. Nach wie vor lautet die wichtigste Forderung in der Kryptografie, dass ein Verschlüsselungsverfahren ohne Schlüssel nicht zu knacken sein darf. Es ist sogar üblich, Verschlüsselungsverfahren in allen Details öffentlich bekannt zu machen, damit jeder es auf Schwachstellen untersuchen kann. Handelt es sich um ein gutes Verschlüsselungsverfahren, dann hat ein Angreifer trotz allem keine Chance zur Dechiffrierung, sofern er den Schlüssel nicht kennt. Das momentan bedeutendste symmetrische Verschlüsselungsverfahren ist der Advanced Encryption Standard (AES). Dieser verschlüsselt jeweils 128 Bit auf einmal und arbeitet mit einem Schlüssel, der wahlweise 128, 192 oder 256 Bit lang ist. Der AES wurde im Jahr 2000 zum Sieger eines mehrjährigen Wettbewerbs ausgerufen, an dem 15 Verfahren teilgenommen hatten. Seitdem ist der AES in den USA ein offizieller Standard, der auch für militärische Geheimnisse verwendet wird. Es gibt keine Hinweise darauf, dass der AES irgendwelche Sicherheitslücken hat. Symmetrische Verschlüsselungsverfahren spielen für elektronische Ausweise eine wichtige Rolle. Der Computer-Chip auf einem Ausweis kann das Speichern eines Schlüssels und die Durchführung der Verschlüsselung übernehmen. Viele elektronische Ausweise unterstützen den AES. Weit verbreitet ist in diesem Bereich außerdem das Verfahren TripleDES, das aus einer Dreifach-Ausführung des AES-Vorgängers DES (Data Encryption Standard) besteht.
3.2.2 MAC-Funktionen Eng verwandt mit den symmetrischen Verschlüsselungsverfahren sind Algorithmen zur Generierung einer schlüsselabhängigen Prüfsumme. Ein derartiger Algorithmus wird als MAC-Funktion bezeichnet. Die Abkürzung MAC steht hierbei für Message Authenticity Check. Der Zweck einer MAC-Funktion ist es nicht, Daten unlesbar zu machen. Vielmehr dient eine solche dazu, unbemerkte Veränderungen an Daten erkennbar zu machen. Eine gute MAC-Funktion zeichnet sich dadurch aus, dass es ohne Schlüssel nicht möglich ist, die Prüfsumme zu berechnen. Das Funktionsprinzip einer MAC-Funktion ist einfach: Der Absender einer Nachricht wendet eine solche an, wobei er einen geheimen Schlüssel einfließen lässt. Das Ergebnis ist eine Prüfsumme, die an die Nachricht angehängt wird. Der Empfänger generiert mit demselben Schlüssel und derselben MAC-Funktion ebenfalls eine Prüfsumme. Stimmt diese mit der angehängten überein, dann ist die Nachricht unverändert.
29
3 Security Engineering
3.2.3 Asymmetrische Verschlüsselung Die symmetrische Verschlüsselung hat einen offensichtlichen Nachteil: Sender und Empfänger müssen sich auf einen gemeinsamen Schlüssel einigen. Für diesen Zweck steht jedoch oft kein sicherer Übertragungsweg zur Verfügung (gäbe es diesen, dann müsste man nicht verschlüsseln). Da es für dieses Problem (Schlüsselaustauschproblem) bis Mitte der siebziger Jahre keine kryptografische Lösung gab, mussten die Nutzer von Kryptografie oft mit großem Aufwand für einen Schlüsseltransport sorgen. Im Militär- und Geheimdienstwesen setzte man häufig geheime Kuriere ein, die Schlüsselmaterial unauffällig durch die Lande transportierten. Im Zweiten Weltkrieg nahmen Schiffe umfangreiche Schlüsselbücher mit an Bord, um ihre Funksprüche mit der Enigma sicher verschlüsseln zu können.
Dies ist ein unverschlüsselter Text.
öffentlicher Schlüssel Klartext
Dies ist ein unverschlüsselter Text.
sfd5HBtOArz KSldklsli4F JfKDFKJKDJK JVKd6sDdYD5
privater Schlüssel Geheimtext
Klartext
Abbildung 3.1: Bei der asymmetrischen Verschlüsselung verwendet der Absender den öffentlichen Schlüssel des Empfängers zum Verschlüsseln. Der Empfänger nutzt seinen privaten Schlüssel zum Entschlüsseln.
In den siebziger Jahren entdeckten Mathematiker schließlich eine verblüffende Lösung für das Schlüsselaustauschproblem: die asymmetrische Verschlüsselung. Diese sieht vor, dass der Sender für das Verschlüsseln einen anderen Schlüssel verwendet als der Empfänger für das Entschlüsseln. Der Senderschlüssel kann öffentlich bekannt sein und wird daher als öffentlicher Schlüssel bezeichnet. Den Empfängerschlüssel darf dagegen nur der Empfänger kennen. Er wird deshalb privater Schlüssel genannt. Da der öffentliche Schlüssel nicht geheim ist und keine Entschlüsselung ermöglicht, kann ihn der designierte Empfänger einer Nachricht ohne Angst vor einem Angreifer an den Absender schicken. Das Schlüsselaustauschproblem ist dadurch gelöst. Die asymmetrische Verschlüsselung ist mathematisch recht anspruchsvoll. So hängt der öffentliche Schlüssel zwar vom privaten Schlüssel ab und kann daher aus diesem berechnet werden. Eine solche Rechenoperation muss jedoch so aufwendig sein, dass sie praktisch nicht durchführbar ist. Es gibt nur relativ wenige Algorithmen, die auf diese Weise verwendet werden können und zudem eine ausreichende Sicherheit bieten. Das bekannteste Verfahren ist RSA (benannt nach den Erfindern Rivest, Shamir und Adleman). Im Vergleich zur symmetrischen Verschlüsselung ist die asymmetrische deutlich langsamer (typischerweise etwa um den Faktor Hundert). Deshalb ist die asymmetrische Verschlüsselung für besonders rechenschwache Prozessoren nicht geeignet. Auch in perfor-
30
3.2 Kryptografie manteren Umgebungen (etwa auf einem PC) ist es üblich, die asymmetrische Verschlüsselung nur zum Verschlüsseln eines Schlüssels zu nutzen, mit dem anschließend die eigentliche Nachricht verschlüsselt wird. Es gibt auch asymmetrische Verfahren, die sich zwar nicht zum Verschlüsseln nutzen lassen, die es jedoch dem Sender und Empfänger ermöglichen, sich auf einen gemeinsamen Schlüssel zu einigen. Diesen können die beiden anschließend für eine symmetrische Verschlüsselung verwenden. Das wichtigste Verfahren, das in diese Kategorie fällt, ist der Diffie-Hellman-Schlüsselaustausch (manchmal auch nur als Diffie-Hellman bezeichnet). RSA und Diffie-Hellman sind zwar die am weitesten verbreiteten asymmetrischen Verschlüsselungsverfahren, es gibt jedoch attraktive Alternativen. Hier sind vor allem die Verfahren auf Basis elliptischer Kurven (ECC-Verfahren) zu nennen. Diese werden bereits seit einem Jahrzehnt als Zukunftstechnologie gehandelt, setzen sich jedoch erst jetzt langsam durch. ECC-Verfahren kommen bei gleicher Sicherheit mit kürzeren Schlüsseln aus als RSA bzw. Diffie-Hellman und bieten dadurch eine etwa zehnmal so hohe Verarbeitungsgeschwindigkeit. Für elektronische Ausweise sind asymmetrische Verschlüsselungsverfahren ausgesprochen wichtig. Ein elektronischer Ausweis kann auf seinem Chip einen privaten Schlüssel speichern und eine Entschlüsselung mit diesem selbst durchführen. Der private Schlüssel verlässt hierbei den Chip nicht. Viele elektronische Ausweise unterstützen RSA, manche auch oder stattdessen Diffie-Hellman. ECC-Verfahren sind derweil stark im Kommen.
3.2.4 Digitale Signaturen Eine digitale Signatur ist nicht etwa eine eingescannte Unterschrift, sondern eine kryptografische Form der Prüfsumme. Das Funktionsprinzip digitaler Signaturen ähnelt dem der asymmetrischen Verschlüsselung. Zum Generieren einer Signatur (also einer Prüfsumme) verwendet der Absender einer Nachricht einen privaten Schlüssel. Zum Überprüfen nutzt der Empfänger den zugehörigen öffentlichen Schlüssel. Dieser Ablauf hat zur Folge, dass nur der Besitzer des privaten Schlüssels die digitale Signatur generieren kann, während jeder andere in der Lage ist, mithilfe des öffentlichen Schlüssels eine Überprüfung vorzunehmen. Die Überprüfung einer digitalen Signatur ist nur dann erfolgreich, wenn das signierte Dokument unverändert ist. Verändert sich nur ein Bit daran, dann ist das Ergebnis negativ. Ein digitales Signaturverfahren ist nicht dasselbe wie eine MAC-Funktion. Ersteres arbeitet asymmetrisch, was bedeutet, dass die Überprüfung mit einem öffentlich bekannten Schlüssel erfolgen kann. MAC-Funktionen erfordern dagegen, dass Sender und Empfänger denselben, geheimen Schlüssel besitzen. Digitale Signaturen sind dadurch die leistungsfähigere Variante. Allerdings dauert eine Signaturerstellung bzw. -prüfung mit den gängigen Verfahren erheblich länger als eine Prüfsummenberechnung mit einer MAC-Funktion. Die Mathematik der digitalen Signaturen ist recht komplex. Wie bei der asymmetrischen Verschlüsselung hängt der öffentliche Schlüssel vom privaten ab, darf jedoch aus diesem nicht mit realistischem Aufwand zu berechnen sein. Glücklicherweise benötigt man für
31
3 Security Engineering digitale Signaturen keine gänzlich neuen Verfahren, sondern kann dieselben Methoden wie für die asymmetrische Verschlüsselung verwenden. Insbesondere lässt sich das RSAVerfahren, das Sie bereits kennen, auch für digitale Signaturen einsetzen. Die Rechenoperationen sind dieselben, lediglich die Reihenfolge der Vorgänge wird vertauscht. Das Signieren entspricht mathematisch dem Entschlüsseln und ist der erste Schritt, während das Überprüfen dem Verschlüsseln entspricht und als zweites folgt.
Dies ist ein Text.
ż ja
o8wfSaoASkt
privater Schlüssel
digitale Signatur
ż nein öffentlicher Schlüssel
Überprüfungsergebnis
Klartext Abbildung 3.2: Eine digitale Signatur ist eine Prüfsumme, die mit einem privaten Schlüssel generiert und mit einem öffentlichen Schlüssel überprüft wird.
Die ECC-Verfahren, die Sie von der asymmetrischen Verschlüsselung kennen, lassen sich auch für digitale Signaturen nutzen und sind hierfür sogar sehr gut geeignet. Die Namen der entsprechenden Algorithmen beginnen meist mit den Buchstaben EC (Elliptic Curve) und lauten beispielsweise ECDSA oder ECNR. Auch für digitale Signaturen sind ECCVerfahren vor allem deshalb attraktiv, weil sie eine höhere Geschwindigkeit (beim Signieren und Verifizieren) erzielen und kürzere Schlüssel verwenden. Allerdings sind selbst ECC-Verfahren (und erst recht RSA) zu langsam, um größere Datenmengen zu signieren. Ähnlich wie bei der asymmetrischen Verschlüsselung werden digitale Signaturen daher so gut wie nie für ganze Dokumente eingesetzt. Stattdessen signiert der Absender nur eine Prüfsumme (Hashwert), die beispielsweise eine Größe von 256 Bit hat. Ein Signaturprozess besteht daher in der Praxis fast immer aus zwei Prüfsummenbildungen: Zuerst wird aus dem Dokument ein Hashwert generiert (erste Prüfsumme), und dieser wird anschließend digital signiert (zweite Prüfsumme). Für die Hashwert-Generierung gibt es spezielle kryptografische Hashfunktionen, die deutlich schneller arbeiten als ein Signaturverfahren, dafür jedoch auch keine Schlüssel (weder öffentliche noch private) verarbeiten. Elektronische Ausweisdokumente sind geradezu prädestiniert für die Arbeit mit digitalen Signaturen. Da ein Ausweis zum unveräußerlichen und individuellen Besitz einer Person gehört, bietet es sich an, auf dem Ausweischip einen privaten Signaturschlüssel (auch dieser ist individuell und unveräußerlich) zu speichern. Die Signatur wird auf dem Chip generiert, wodurch der Schlüssel den Chip nie verlässt. Darüber hinaus sind die Daten auf einem elektronischen Ausweis (z. B. Name und Adresse) oft digital signiert, damit ein Angreifer keine unbemerkte Änderung vornehmen kann.
32
3.2 Kryptografie Leider werden gerade im Zusammenhang mit elektronischen Ausweisen die Begriffe Signatur und privater Schlüssel häufig durcheinandergeworfen. Wenn ein Chip eine digitale Signatur enthält, dann enthält er lediglich eine Prüfsumme, die zu einem beliebigen Zeitpunkt innerhalb oder außerhalb der Karte erstellt worden sein kann. Etwas anderes ist es, wenn die Karte digitale Signaturen erstellen kann und dafür einen privaten Schlüssel speichert. Manchmal ist ein Satz wie „Die Karte enthält eine digitale Signatur“ zu hören oder zu lesen, obwohl es eigentlich „Die Karte enthält einen privaten Schlüssel und kann damit Signaturen erstellen“ heißen müsste.
3.2.5 Kryptografische Protokolle In der Praxis reicht es in aller Regel nicht aus, Daten einfach nur zu verschlüsseln oder zu signieren. Vielmehr müssen Sender und Empfänger oft einen komplexen Ablauf (kryptografisches Protokoll) abarbeiten, um mittels kryptografischer Verfahren ein bestimmtes Ziel zu erreichen. Ein typisches kryptografisches Protokoll ist beispielsweise die Verschlüsselung mit vorhergehendem Schlüsselaustausch. Der Absender generiert hierbei einen Schlüssel, den er beispielsweise mit dem RSA-Verfahren verschlüsselt und an den Empfänger schickt, woraufhin dieser den Schlüssel entschlüsselt; anschließend verwendet der Absender den Schlüssel, um eine Nachricht damit symmetrisch zu verschlüsseln, die der Empfänger mit dem zuvor empfangenen Schlüssel entschlüsseln kann. Das Design eines kryptografischen Protokolls ist oft eine anspruchsvolle Aufgabe. Häufig gilt es, mehrere Sicherheitsziele gleichzeitig zu beachten, die sich sogar gegenseitig widersprechen können. So muss man oftmals damit rechnen, dass sich eine am Protokoll beteiligte Instanz selbst als Angreifer betätigt (Insider-Angriff). Manchmal soll auch verhindert werden, dass in einem Protokoll Nachrichten außerhalb der Nutzdaten übertragen werden (einen solchen unerlaubten Übertragungsweg bezeichnet man als Covert Channel). Eine weitere gängige Anforderung lautet, dass ein Angreifer mit einem Schlüssel, den er erlangt hat, nur einen begrenzten Schaden anrichten kann (Forward Security), was sich in vielen Fällen durch einen regelmäßigen Schlüsselwechsel gewährleisten lässt. Das Tückische an kryptografischen Protokollen ist, dass selbst sichere kryptografische Verfahren noch kein sicheres Protokoll garantieren. Kryptografische Protokolle spielen im Zusammenhang mit elektronischen Ausweisen eine wichtige Rolle. Zum einen benötigt ein elektronisches Ausweissystem geeignete kryptografische Protokolle, beispielsweise für die Kommunikation zwischen einem Chip und der Außenwelt. Zum anderen kann ein Chip auf einem Ausweis ein wichtiger Baustein sein, um ein kryptografisches Protokoll (etwa im Internet) sicherer zu machen. Die gegenseitige Abhängigkeit zwischen der Kryptografie und elektronischen Ausweisen ist also auch hier gegeben.
3.2.6 Public-Key-Infrastrukturen Der öffentliche Schlüssel eines asymmetrischen Verfahrens hat die Eigenschaft, dass sein Besitzer ihn bedenkenlos über einen abhörgefährdeten Kanal schicken kann. Dies ist ein
33
3 Security Engineering erheblicher Vorteil gegenüber den geheimen Schlüsseln symmetrischer Verfahren. Dennoch gibt es einige Fallstricke. So ist einem öffentlichen Schlüssel nicht anzusehen, wem er gehört, wie lange er gültig ist, vom wem er herausgegeben wurde und für welchen Einsatzzweck er gedacht ist. Dies führt insbesondere dazu, dass ein Angreifer seinen eigenen öffentlichen Schlüssel als den einer anderen Person ausgeben kann. Angesichts dieser Problemstellung kamen Kryptografen bereits Ende der siebziger Jahre auf die Idee, öffentliche Schlüssel zu beglaubigen. Dazu führte man ein Konstrukt ein, das als digitales Zertifikat bezeichnet wird. Ein digitales Zertifikat ist ein Datensatz, der den öffentlichen Schlüssel einer Person, deren Name (oder ein Pseudonym) und einige weitere Informationen enthält (zum Beispiel den Gültigkeitszeitraum und den Verwendungszweck des Schlüssels). Ein digitales Zertifikat ist digital signiert. Mithilfe eines digitalen Zertifikats kann jedermann feststellen, wem ein bestimmter öffentlicher Schlüssel gehört, wie lange er gültig ist und für welchen Zweck er verwendet werden darf. Die Signatur auf einem digitalen Zertifikat kommt in der Regel von einer unabhängigen Stelle, die man als eine Art digitale Ausweisstelle bezeichnen kann. Diese Stelle wird als Zertifizierungsstelle oder Certification Authority (CA) bezeichnet. Im deutschsprachigen Raum wird auch der Begriff Trust Center häufig verwendet (obwohl es sich um ein englisches Wort handelt, verwenden Briten und Amerikaner es kaum). Neben der Zertifizierungsstelle sind für die Nutzung digitaler Zertifikate noch weitere Komponenten notwendig, beispielsweise ein Server für den Abruf der Zertifikate und eine Registrierungsstelle. Die Infrastruktur, die aus derartigen Komponenten besteht und der Verarbeitung digitaler Zertifikate dient, wird als Public-Key-Infrastruktur (PKI) bezeichnet. Eine PKI ist somit in vielen Fällen eine Voraussetzung, um digitale Signaturen und asymmetrische Verschlüsselungen im größeren Maßstab sinnvoll einsetzen zu können. In vielen Fällen ist es sinnvoll, wenn eine Zertifizierungsstelle selbst ein digitales Zertifikat besitzt. In manchen PKI-Umgebungen gibt es für diesen Zweck spezielle Zertifizierungsstellen, die lediglich dazu dienen, digitale Zertifikate für andere Zertifizierungsstellen auszustellen. Der Vorteil hierbei besteht darin, dass ein Anwender nur den öffentlichen Schlüssel der übergeordneten Zertifizierungsstelle kennen muss, um damit die öffentlichen Schlüssel mehrerer anderer Zertifizierungsstellen prüfen zu können. Da auch eine übergeordnete Zertifizierungsstelle selbst wiederum ein digitales Zertifikat besitzen kann, können auf diese Weise ganze Hierarchien entstehen. Die oberste Zertifizierungsstelle in einer solchen Hierarchie wird als Wurzel-Zertifizierungsstelle oder Root-CA bezeichnet. Theoretisch wäre es möglich, sämtliche Zertifizierungsstellen der Welt auf eine einzige WeltWurzel-Zertifizierungsstelle zurückzuführen. Dieser Traum aus den Anfangstagen der PKITechnik hat sich jedoch nicht erfüllt. Einer der wichtigsten Standards im Zusammenhang mit Public-Key-Infrastrukturen hat den Namen ITU-T X.509 (kurz X.509). In diesem Standard wird ein Format für digitale Zertifikate beschrieben, das weltweit eine große Verbreitung hat [X.509]. X.509 ist generisch aufgebaut und lässt sich dadurch an die jeweiligen Rahmenbedingungen anpassen. Diese Flexibilität führt jedoch häufig auch dazu, dass unterschiedliche X.509-Implementierungen nicht miteinander kompatibel sind. X.509 ist zudem relativ komplex, wodurch Smartcard-
34
3.2 Kryptografie
Wurzel-Zertifizierungsstelle
Zertifizierungsstelle
Zertifikatsinhaber
Zertifikatsinhaber
Zertifizierungsstelle
Zertifikatsinhaber
Zertifikatsinhaber
Abbildung 3.3: Public-Key-Infrastrukturen sind oft als mehrstufige Hierarchie aufgebaut. An der Spitze steht die Wurzel-Zertifizierungsstelle.
Chips mit ihren beschränkten Ressourcen meist nicht in der Lage sind, ein Zertifikat auszuwerten. Ein weiteres wichtiges Zertifikatsformat wird im Standard ISO/IEC 7816-8 beschrieben. Zertifikate, die diesem Format entsprechen, werden CV-Zertifikate genannt [ISO7816-8]. CV steht hierbei für „Card Verifiable“. Wie der Name andeutet, sind CV-Zertifikate so gestaltet, dass ein Kartenchip sie auswerten kann (trotz der vergleichsweise geringen Rechenleistung, die ein solcher Chip bietet). Damit dies möglich ist, haben CV-Zertifikate eine sehr einfache Syntax, die obendrein nur sehr wenig Speicherplatz benötigt. Das CVZertifikatsformat ist nicht mit X.509 kompatibel. Die Beziehung zwischen elektronischen Ausweisdokumenten und der PKI-Technik ist wiederum von einer gegenseitigen Abhängigkeit geprägt. Eine PKI kann ein Ausweissystem sicherer machen, und ein elektronischer Ausweis kann eine PKI sicherer machen. Ähnlich verhält es sich mit der Zertifizierungsstelle. Da diese ohnehin eine ähnliche Funktion wie eine Ausweisausgabestelle hat, bietet es sich an, dass eine Ausweisausgabestelle diese Funktion gleich mit übernimmt. Andererseits lässt sich die Sicherheit eines Ausweises erhöhen, wenn eine Ausgabestelle gleichzeitig als Zertifizierungsstelle fungiert und dabei für jeden Ausweis ein digitales Zertifikat generiert. Die meisten digitalen Zertifikate, die im Zusammenhang mit elektronischen Ausweisen verwendet werden, entsprechen dem X.509-Standard. Allerdings spielen auch CV-Zertifikate innerhalb elektronischer Ausweissysteme eine wichtige Rolle, da ein solches von einem Ausweischip leichter verarbeitet werden kann.
35
3 Security Engineering
3.2.7 Signaturgesetze Digitale Signaturen werden in den meisten Ländern von jeher rechtlich anerkannt. Dies liegt daran, dass die meisten Rechtssysteme das Prinzip der freien Beweiswürdigung vorsehen. Nach diesem ist Prinzip nahezu jedes Beweismittel zulässig, auch wenn es sich um so etwas Exotisches wie eine digitale Signatur handelt. Trotzdem herrschte Mitte der neunziger Jahre, als digitale Signaturen aufkamen, eine große Rechtsunsicherheit. Niemand wusste, wie ein Gericht im Streitfall eine digitale Signatur bewerten würde. Deutschland war 1997 das erste Land, das zur Lösung dieses Problems ein spezielles Signaturgesetz ins Leben rief. Es folgte eine EU-Richtlinie, die für die EU einen Rahmen setzte, den die Mitgliedstaaten nach und nach umsetzen mussten. Auch die Schweizer, die bekanntlich nicht der EU angehören, orientierten sich daran. Die EU-Richtlinie legt mehrere Stufen für digitale Signaturen fest. Diese Stufen unterscheiden sich vor allem in den Sicherheitsanforderungen, die an die zugehörige PKI gestellt werden. Für uns ist hierbei lediglich von Interesse, dass es innerhalb der EU qualifizierte und nichtqualifizierte digitale Signaturen gibt. Erstere haben rechtlich eine größere Bedeutung, erfordern dafür jedoch ein deutlich höheres Sicherheitsniveau innerhalb der PKI. Für E-Government-Anwendungen und wichtige Rechtsgeschäfte sind in den EULändern häufig qualifizierte Signaturen vorgeschrieben. Leider erwiesen sich die diversen Produkte für digitales Signieren in den letzten zehn Jahren europaweit als Ladenhüter. Kaum jemand wollte eine Signaturkarte haben. Das Aufkommen elektronischer Ausweise könnte (und soll) an dieser Situation etwas ändern. Die Überlegung ist einfach: Wenn jeder Bürger mit seinem Ausweis gleich einen Signaturschlüssel geliefert bekommt, dürfte die Bereitschaft deutlich steigen, digitale Signaturen zu nutzen. In der Tat sind Ausweischips gut für diesen Zweck geeignet und lassen sich insbesondere auch für qualifiziertes Signieren nutzen. Viele Experten hoffen daher, dass elektronische Ausweise der digitalen Signatur zum Durchbruch verhelfen werden.
3.3
Authentifizierung Authentifizierung ist die Überprüfung, ob jemand derjenige ist, der er vorgibt zu sein. Eine Authentifizierung ist ein alltäglicher Vorgang, der sowohl in der realen Welt als auch im Internet häufig vorkommt. Es gibt drei Ansätze, um eine Authentifizierung durchzuführen: Authentifizierung durch Besitz („etwas, was man hat“): Ein typischer Gegenstand, dessen Besitz sich zur Authentifizierung nutzen lässt, ist ein Ausweis. Man kann Ausweise sogar generell als Mittel zur Authentifizierung bezeichnen. Wenn sich der Prüfer und der Geprüfte persönlich begegnen, dann funktioniert vor allem die Authentifizierung per visuellem Ausweis recht gut. Authentifizierung durch Wissen („etwas, was man weiß“): Wenn sich eine Person durch Wissen authentifiziert, dann heißt das, dass sie ein Passwort nennt (je nach Aus-
36
3.3 Authentifizierung prägung kann es sich auch um eine Geheimnummer oder einen geheimen Schlüssel handeln). Diese Methode kommt beispielsweise am Bankautomaten, beim OnlineBanking oder beim Online-Bezahlen zum Einsatz. Generell ist eine Passwortabfrage dann eine nützliche Methode, wenn der Prüfer dem Geprüften nicht persönlich gegenübersteht, sondern beispielsweise per Telefon oder Internet mit ihm verbunden ist. Authentifizierung durch Eigenschaft („etwas, was man ist“): Ein Beispiel hierfür ist ein Fingerabdruck-Scanner, der den Fingerabdruck des Geprüften einliest und mit einem gespeicherten Referenzmuster vergleicht. Dies bezeichnet man als Biometrie. Ich werde in Abschnitt 3.3.3 genauer auf dieses Thema eingehen. Es ist möglich und eine gängige Praxis, mehrere Formen der Authentifizierung miteinander zu kombinieren. Beispielsweise muss ein Bankkunde am Geldautomaten in der Regel sowohl seine Bankkarte (Besitz) als auch seine Geheimnummer (Wissen) eingeben. Man bezeichnet dies auch als Zwei-Faktor-Authentifizierung. Von den vier Sicherheitszielen Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität erfüllt die Authentifizierung nur das letzte. Andererseits kann man praktisch alle Maßnahmen zur Gewährleistung der Authentizität in die Rubrik Authentifizierung einordnen. Nicht zu verwechseln mit der Authentifizierung ist die Autorisierung. Darunter versteht man die Zuweisung von Zugriffsrechten an eine Person oder eine Komponente. Die Autorisierung erfolgt meist nach einer erfolgreichen Authentifizierung. Ein Ausweis dient oft nicht nur der Authentifizierung, sondern auch der Autorisierung, und zwar dann, wenn dessen Besitz mit bestimmten Rechten verbunden ist (dies ist etwa beim Führerschein der Fall). Es ist sogar möglich, Angaben zur Autorisierung auf einem Ausweis unterzubringen (beispielsweise die Fahrzeugklasse auf dem Führerschein).
3.3.1 Nachrichtenauthentifizierung Ein Spezialfall der Authentifizierung ist die Nachrichtenauthentifizierung. Hierbei überprüft der Empfänger einer Nachricht, ob der Absender derjenige ist, der er vorgibt zu sein. Zur Nachrichtenauthentifizierung wendet der Absender meist eine digitale Signatur oder eine MAC-Funktion auf die Nachricht an. Der Empfänger führt dann über eine Signaturverifikation bzw. über die Generierung des Hashwerts die Echtheitsprüfung durch. Da der Absender hierbei einen privaten Signaturschlüssel oder einen geheimen Schlüssel verwendet, handelt es sich dabei prinzipiell um eine Authentifizierung durch Wissen. Wird der entsprechende Schlüssel allerdings auf einem Chip (z. B. auf dem Chip eines elektronischen Ausweises) gespeichert, dann kann man von einer Authentifizierung durch Besitz sprechen. Die Nachrichtenauthentifizierung ist ein wichtiges Werkzeug in jedem elektronischen Ausweissystem. Wenn die Ausweisausgabestelle die Inhalte eines elektronischen Ausweises signiert, dann ist dies ein Fall von Nachrichtenauthentifizierung. Wenn der Chip eines elektronischen Ausweises eine MAC-Funktion auf Daten anwendet, die er ausgibt, liegt ebenfalls eine Nachrichtenauthentifizierung vor.
37
3 Security Engineering
3.3.2 Challenge-Response-Verfahren Im Internet sind nicht Ausweise, sondern Passwörter das mit Abstand gebräuchlichste Mittel zur Authentifizierung. Passwörter gelten jedoch generell als nicht besonders sicher, da viele Anwender allzu sorglos damit umgehen. So mancher Computernutzer wählt als Passwort den Namen seiner Freundin oder gar den eigenen. Weit verbreitet ist es auch, ein Passwort aufzuschreiben oder ein solches an andere weiterzugeben. Doch selbst, wenn ein Anwender solche Unsitten vermeidet, ist es für Insider (z. B. Administratoren) oftmals möglich, ein Passwort mitzulesen. Noch einfacher ist es häufig, einem Kollegen beim Eintippen zuzuschauen. Davon abgesehen gibt es einige einfache Hackertricks, um an Passwörter zu kommen. Dazu gehört beispielsweise eine spezielle Schnüffelhardware, die sich zwischen Tastatur und Rechner schalten lässt und dort alle Eingaben protokolliert. Verschiedene Softwareprogramme erfüllen eine ähnliche Funktion. Um eine Passwortabfrage sicherer zu machen, gibt es zwei wichtige Ansätze, die sich sehr gut kombinieren lassen. Zunächst einmal sollte man das Passwort nicht ungeschützt über das Netz schicken. Hier schafft die Kryptografie Abhilfe in Form eines sogenannten Challenge-Response-Verfahrens. Bei einem solchen wird das Passwort als Schlüssel für ein Verschlüsselungsverfahren verwendet (oder man verwendet einen Schlüssel, der nicht von einem Passwort abgeleitet ist). Eine gängige Challenge-Response-Variante mit symmetrischer Verschlüsselung sieht wie folgt aus: 1. Der Prüfer schickt an den Geprüften einen zufälligen Wert (Challenge). 2. Der Geprüfte verschlüsselt diesen Wert mit dem Passwort bzw. dem Schlüssel und sendet das Ergebnis zurück (Response). 3. Der Prüfer entschlüsselt die Response und prüft, ob das Ergebnis der Challenge entspricht. Bei diesem Ablauf müssen Prüfer und Geprüfter denselben Schlüssel kennen. Lässt sich diese Voraussetzung nicht gewährleisten, dann kann man auch ein asymmetrisches Verfahren nutzen. Hierbei übernimmt der private Signaturschlüssel die Funktion des Passworts. Der Ablauf kann beispielsweise wie folgt aussehen: 1. Der Prüfer schickt an den Geprüften einen zufälligen Wert (Challenge). 2. Der Geprüfte signiert die Challenge und sendet die signierte Version zurück (Response). 3. Der Prüfer prüft die Signatur mit dem öffentlichen Schlüssel des Senders. Dem Prüfer muss in dieser Variante der öffentliche Schlüssel des Geprüften bekannt sein. Dazu kann er eine Public-Key-Infrastruktur nutzen. Man spricht in diesem Fall von einer zertifikatsbasierten Authentifizierung. Die zertifikatsbasierte Authentifizierung ist eine der wichtigsten Anwendungen von PKIs. Um Passwortabfragen sicherer zu machen, sieht ein weiterer Ansatz vor, das Passwort bzw. den Schlüssel auf einem Mikrochip (z B. auf einer Smartcard) zu speichern. Der Chip übernimmt hierbei selbst die Berechnung der Response aus der Challenge. Diese Vorgehensweise funktioniert sowohl in der symmetrischen als auch in der asymmetrischen Vari-
38
3.3 Authentifizierung ante. An dieser Stelle kommen elektronische Ausweise ins Spiel. Der Chip eines elektronischen Ausweises kann die Berechnung der Response übernehmen. Für digitale Ausweisdokumente spielt die Authentifizierung aus zwei Gründen eine wichtige Rolle. Zum einen liefert die Kryptografie eine Möglichkeit, ein elektronisches Ausweisdokument sicher zu gestalten, indem darauf ein privater Schlüssel gespeichert wird. Mit einem entsprechenden Lesegerät lässt sich dadurch per Challenge-Response überprüfen, ob der Chip echt ist. Auf diese Weise lässt sich ein elektronisches Ausweisdokument auch online als Ersatz für Passwörter verwenden. Die Challenge wird hierbei vom Server geschickt, und der Client signiert sie.
3.3.3 Biometrie Biometrie bezeichnet das Vermessen von Lebewesen und biologischen Objekten. Das Wort wird in unterschiedlichen Zusammenhängen verwendet. So gehört das Messen des Blutdrucks in der Medizin genauso zur Biometrie wie die Ermittlung der Erntemenge in der Landwirtschaft. Im Zusammenhang mit Security Engineering ist mit Biometrie jedoch stets etwas anderes gemeint: das Vermessen eines menschlichen Körpermerkmals (z. B. des Fingerabdrucks) mit dem Ziel, den Menschen daran zu erkennen. Um Verwechslungen zu vermeiden, kann man daher von „biometrischer Authentifizierung“ sprechen. Bis vor einigen Jahren waren solche Verwechslungen recht häufig, doch spätestens seit die USRegierung und der damalige Innenminister Otto Schily die Biometrie (im Sinne biometrischer Personenerkennung) als Mittel zur Terrorbekämpfung entdeckt haben, wissen auch viele Laien, was damit gemeint ist. Aus Sicht des Security Engineering ist die Biometrie eine Methode zur Authentifizierung. Damit ist sie eine Ergänzung zu Passwörtern und Smartcards. Eine wichtige Frage hierbei lautet, welche Körpermerkmale (man spricht auch von biometrischen Merkmalen) überhaupt für eine biometrische Personenerkennung geeignet sind. Die folgende Liste gibt einen Überblick: Fingerabdruck: Dies ist das bekannteste biometrische Merkmal. Fingerabdrücke wurden schon lange vor Aufkommen des Computers zur Personenerkennung verwendet. Gesicht: Menschen erkennen sich gegenseitig meist am Gesicht. Auch ein Computer ist dazu in der Lage. Hand: Die Handgeometrie ist individuell verschieden und gut messbar. Hand- und Fingervenen: Die Blutgefäße in der Hand lassen sich mit einem speziellen Gerät aufnehmen. Sie sind individuell verschieden. Selbst wenn man nur die Venen in den Fingern verwendet, lässt sich daran eine Person erkennen. Ohr: Bei einem Blick auf Ihre Mitmenschen werden Sie feststellen, dass Ohren sehr unterschiedlich aussehen können. Gang: Selbst an der Gehbewegung kann man Menschen auseinanderhalten. Iris: Die Iris ist der farbige Kranz um die Pupille. Die Iris ist noch unverwechselbarer als ein Fingerabdruck.
39
3 Security Engineering
Abbildung 3.4: Die Fingerabdruckerkennung ist die am weitesten verbreitete Form der Biometrie.
Retina: Die Retina ist die Augenrückwand. Das auf ihr erkennbare Muster von Adern ist noch unverwechselbarer als die Iris. Körperausdünstungen: Die Geruchserkennung ist eine weitere Methode zur Personenerkennung. EKG: Das Elektrokardiogramm (EKG) dient normalerweise als Diagnosewerkzeug in der Medizin. Man kann einen Menschen jedoch auch daran erkennen. EEG: Ein EEG zeichnet die Gehirnströme auf. Auch diese sind individuell verschieden. In allen Fällen benötigt man ein geeignetes Messgerät, um die Biometrie zu nutzen. Teilweise (Gesicht, Iris, Ohr) genügt für diesen Zweck eine digitale Fotokamera. Der Gang lässt sich mit einer Videokamera messen. Für Fingerabdruck, Retina, Geruch, EKG und EEG sind jeweils Spezialgeräte erforderlich. Das jeweils verwendete Biometriesystem vergleicht den gemessenen Wert mit einem gespeicherten Vergleichsmuster (Referenzmuster) und trifft dann eine positive oder negative Entscheidung. Die große Herausforderung in der Biometrie liegt zweifellos in den Algorithmen, die den Vergleich zwischen dem gemessenen Wert und dem Referenzmuster bewerkstelligen. Da der gemessene Wert nie vollständig mit dem Referenzwert übereinstimmt, muss ein Biometriesystem stets eine gewisse Toleranz zulassen. Dabei kann es leicht zu falsch-positiven oder falsch-negativen Resultaten kommen. Ein gutes Biometrieverfahren muss sowohl das eine als auch das andere vermeiden. Eine für uns interessante Frage lautet, in welcher Form ein biometrisches Referenzmuster abgespeichert wird. Hierbei gibt es zwei Möglichkeiten: Zum einen kann das Biometriesystem die gemessenen Werte unverändert ablegen (bei der Gesichtserkennung, der Fingerabdruckerkennung, der Iriserkennung und einigen anderen Biometrievarianten bedeutet dies, dass eine Bilddatei als Referenzmuster verwendet wird); zum anderen kann das Biometriesystem einen im Rahmen der Auswertung generierten Datensatz (Referenzdatensatz) abspeichern. Der Referenzdatensatz kann bei der Gesichtserkennung beispielsweise die Position von Augen, Mund und Nase enthalten (in der Praxis ist die Sache allerdings etwas
40
3.3 Authentifizierung
Abbildung 3.5: Die Iriserkennung gilt als besonders sichere Form der Biometrie. Sie ist jedoch teurer als beispielsweise die Fingerabdruckerkennung.
komplexer). Wie Sie sich leicht vorstellen können, benötigt eine Bilddatei mehr Speicherplatz, als dies bei einem Referenzdatensatz der Fall ist. In Umgebungen mit beschränkten Ressourcen (also beispielsweise auf einem Mikrochip) ist dies ein wichtiger Vorteil. Andererseits verwenden die verschiedenen Erkennungsalgorithmen teilweise recht unterschiedliche Referenzdatensätze, wodurch es schnell zu Inkompatibilitäten kommen kann. In Umgebungen, in denen sich der verwendete Algorithmus ändern kann (beispielsweise, wenn auf ein anderes Biometrieprodukt umgestellt wird) ist eine Bilddatei daher die bessere Wahl. Wie Sie in Abschnitt 5.1.3 erfahren werden, setzen die Betreiber von elektronischen Ausweissystemen fast ausschließlich Bilddateien als Referenzmuster ein. Die Biometrie unterscheidet sich wesentlich von anderen Authentifizierungsmethoden. Einer ihrer Vorteile ist, dass sich ein biometrisches Merkmal nicht auf eine andere Person übertragen lässt – im Gegensatz zu einem Passwort oder einer Smartcard. Dafür hat man in der Biometrie mit zahlreichen praktischen Problemen zu kämpfen. So muss ein Biometriesystem ein Gesicht auch dann erkennen, wenn die jeweilige Person eine Brille trägt, und bei der Fingerabdruckerkennung muss man damit rechnen, dass nicht jeder Anwender seinen Finger millimetergenau an die richtige Stelle legt. Darüber hinaus haben es die Betreiber von Biometriesystemen häufig mit Akzeptanzproblemen zu tun. Eine interessante Frage lautet zudem, ob man Biometriedaten für Diagnosezwecke missbrauchen kann. Am auffälligsten ist dies zweifellos bei der EKG- und EEG-Erkennung. Wie man sich leicht vorstellen kann, ist die Biometrie ein ausgesprochen wichtiges Hilfsmittel im Zusammenhang mit elektronischen Ausweisen. Insbesondere kann die Biometrie dazu beitragen, dass die Fremdnutzung eines Ausweises deutlich erschwert wird.
41
3 Security Engineering
3.4
Evaluierung Sicherheit ist nicht messbar. Um diese unumstößliche Tatsache kommt kein Entwickler eines sicheren IT-Systems herum. Doch trotz dieser ungünstigen Voraussetzung haben Experten in den vergangenen Jahrzehnten zahlreiche Versuche unternommen, um wenigstens so etwas Ähnliches wie ein Maß für die Sicherheit eines IT-Systems zu entwickeln. Eine Wunderwaffe ist dabei erwartungsgemäß nicht entstanden. Dennoch gibt es heute Methoden, mit denen man Sicherheitsmodule in verschiedene Sicherheitsklassen aufteilen und dadurch bewerten kann. Diese Methoden sehen meist vor, dass ein Prüfer (Evaluator) das betreffende Sicherheitsmodul mithilfe einer Liste von genau definierten Kriterien (Kriterienkatalog) untersucht. Je mehr der Kriterien erfüllt sind, desto höher ist mutmaßlich die Sicherheit des Moduls. Meist kann man die Kriterien eines Kriterienkatalogs in zwei Gruppen aufteilen: Ein Kriterium der ersten Gruppe bezieht sich jeweils auf eine bestimmte Sicherheitsmaßnahme. Ist diese im betrachteten Modul vorhanden, dann ist das Kriterium erfüllt. Eine Sicherheitsmaßnahme kann beispielsweise eine Passwortabfrage, der Einsatz von Verschlüsselung an einer bestimmten Stelle oder die komplette Trennung zweier unterschiedlicher Teilsysteme sein. Die Kriterien der zweiten Gruppe beziehen sich auf die Korrektheit des Programmcodes des Sicherheitsmoduls. Wenn eine bestimmte Maßnahme ergriffen wurde, um die Fehlerfreiheit des Codes zu gewährleisten, dann ist das jeweilige Kriterium erfüllt. Hintergrund dieser Anforderung ist, dass viele Sicherheitslücken durch Programmfehler entstehen. Typische Maßnahmen zur Verhinderung von Programmfehlern sind das Erstellen einer formalen Spezifikation oder das Durchführen bestimmter Tests. Prüft ein Evaluator ein Sicherheitsmodul mithilfe eines Kriterienkatalogs, dann spricht man von einer Evaluierung (oder genauer von einer IT-Sicherheitsevaluierung). Nach einer erfolgreichen Evaluierung (mit Kriterien aus beiden Gruppen) ist die Wahrscheinlichkeit hoch, dass das evaluierte Modul geeignete Sicherheitsmaßnahmen umsetzt und dass diese fehlerfrei implementiert sind. Eine Garantie dafür gibt es allerdings nicht, denn Sicherheit ist – wie anfangs erwähnt – nicht messbar. Als wichtigster Kriterienkatalog für IT-Sicherheitsevaluierungen galt bis vor einigen Jahren ITSEC (Information Technology Security Evaluation Criteria). Dabei handelt es sich um einen europäischen Standard, der seit 1991 existiert. ITSEC bewertet zum einen das Vorhandensein bestimmter Sicherheitsmerkmale (dies entspricht der ersten Gruppe nach obiger Einteilung). Je nachdem, welche Kriterien ein Modul erfüllt, wird es als „niedrig“, „mittel“ oder „hoch“ eingestuft. Zudem bewertet ITSEC die Qualität der Programmfehlervermeidung (dies ist die zweite Gruppe nach obiger Einteilung). Jedes Modul hat hierbei mindestens die Stufe E0. Werden bestimmte Korrektheitsprüfungen durchgeführt, dann ist Stufe E1 erreicht. Bei anspruchsvolleren Prüfungen liegt die Stufe bei E2, E3 usw. Die höchste Stufe ist E6. Das Gesamtergebnis einer ITSEC-Evaluierung wird demnach mit einer Angabe wie beispielsweise „E4/hoch“ oder „E2/mittel“ angegeben.
42
3.4 Evaluierung ITSEC gilt inzwischen als veraltet. Die Nachfolge hat in den letzten Jahren der Standard Common Criteria übernommen. Im Gegensatz zum europäischen ITSEC werden die Common Criteria weltweit anerkannt. Auch die Common Criteria prüfen sowohl das Vorhandensein von Schutzmaßnahmen (Gruppe 1) als auch Maßnahmen zur Fehlervermeidung (Gruppe 2). Ersteres erfolgt jedoch nicht nach vorgegebenen Stufen, sondern ist nach Belieben definierbar. Die Prüfung der Fehlerfreiheit funktioniert ähnlich wie bei ITSEC. Die niedrigste Prüfstufe heißt EAL1 (EAL0 gibt es dagegen nicht), danach folgen EAL2, EAL3, EAL4, EAL5, EAL6 und EAL7. Eine Sicherheitsevaluierung ist in allen Fällen ein aufwendiger und teurer Prozess. Selbst bei einfachen Modulen dauert ein solcher Vorgang mehrere Monate. Sobald sich an der evaluierten Komponente auch nur eine Kleinigkeit ändert, ist eine neue Evaluierung notwendig. Evaluierungen sind daher nur bei besonders sicherheitskritischen IT-Systemen sinnvoll. Elektronische Ausweise sind ein Beispiel dafür. In der Tat sind viele Ausweischips evaluiert, meist nach den Common Criteria.
43
4 4 Karten- und Mikrochiptechnik Elektronische Ausweise nutzen Mikrochips und zählen damit zu den Chipkarten. Bevor wir zum eigentlichen Thema dieses Buchs kommen, müssen wir uns daher mit der Kartenund Mikrochiptechnik beschäftigen. In diesem Kapitel werde ich Ihnen die wichtigsten Grundlagen dazu vermitteln. Für ausführlichere Informationen empfehle ich das Buch „Handbuch der Chipkarten“ von Rankl und Effing [RaEf08]. Soweit nicht anders erwähnt, ist mit Karte bzw. Plastikkarte im Folgenden stets eine Plastikkarte im ID-1-Format gemeint.
4.1
Speichertechniken Betrachten wir zunächst die Möglichkeiten, die zum Speichern von Daten auf einer Plastikkarte zur Verfügung stehen. Dabei wollen wir uns auf Techniken beschränken, die eine maschinelle Lesbarkeit ermöglichen.
4.1.1 Hochprägung Kreditkarten und viele andere Plastikkarten haben einen erhabenen Aufdruck (genauer gesagt eine Prägung). Diese Hochprägung ist nicht nur gut sichtbar, sondern auch einfach mit den Fingern zu fühlen. Kreditkartenfirmen nutzen diese Technik, um den Namen des Inhabers, die Kartennummer und den Gültigkeitszeitraum auf eine Karte aufzubringen. Hochprägungen haben den Vorteil, dass man sie mit einer einfachen Maschine und Durchschlagpapier auf einen Zettel übertragen kann. Die Hochprägung ist so gesehen die einfachste Möglichkeit, Daten auf einer Karte maschinenlesbar zu speichern – auch wenn die Maschine die Daten nicht wirklich liest, sondern nur überträgt. Für die Größe und Lage der Hochprägung auf einer Karte gibt es Vorgaben, die im Standard ISO/IEC 7811 festgelegt sind. Diese Vorgaben sehen auf einer Karte zwei Hochprägungsbereiche vor, deren Größe und Lage genau definiert sind. Der untere Bereich enthält etwas kleinere Buchstaben bzw. Ziffern (in zwei Zeilen) und dient bei Kreditkarten der
45
4 Karten- und Mikrochiptechnik Angabe des Inhabernamens und des Gültigkeitszeitraums. Im oberen Bereich sind die Schriftzeichen etwas größer und erstrecken sich über eine Zeile. Dies wird bei Kreditkarten für die Kreditkartennummer genutzt.
Abbildung 4.1: Hochgeprägte Buchstaben und Zahlen lassen sich mit einem einfachen Gerät auf Papier übertragen.
Durch die zunehmende Verbreitung von Mikrochips und anderer Techniken hat die Hochprägung auf Plastikkarten in den letzten Jahren an Bedeutung verloren. Auf Karten, die als amtliche Ausweise verwendet werden, spielt die Hochprägung ohnehin kaum eine Rolle. Karten mit einem kommerziellen Hintergrund enthalten dagegen noch häufig hochgeprägte Buchstaben. Dies liegt unter anderem daran, dass eine Hochprägung einer Karte ein edleres Aussehen verleiht und daher auch ein Werbeinstrument ist.
4.1.2 Maschinenlesbare Schrift Computer können heutzutage lesen. Fachleute bezeichnen dies als optische Zeichenerkennung (Optical Character Recognition, OCR). Daher liegt es nahe, zum Aufbringen von Daten auf eine Plastikkarte eine menschenlesbare, aber computerfreundliche Schrift zu verwenden. Computerfreundlich sind insbesondere Schriftarten, die speziell für OCR-Anwendungen entworfen wurden. Diese Schriften sind so gestaltet, dass ein OCR-Lesegerät die einzelnen Zeichen ohne großen Rechenaufwand erkennen und unterscheiden kann. Ein früher Vertreter dieser Spezies ist die aus den sechziger Jahren stammende Schriftart OCRA, die recht klobig wirkt. Deutlich unauffälliger und natürlicher sieht deren Nachfolger OCR-B aus. Durch die Fortschritte in der Computertechnik kommen gute OCR-Systeme heute auch mit gewöhnlichen Schriften gut zurecht. Selbst Handschriften sind inzwischen kein Problem mehr. OCR-Schriften haben daher an Bedeutung verloren. Im Ausweiswesen spielen solche
Abbildung 4.2: Die Schriftart OCR-B ist für einen Computer leicht lesbar. Sie wird auf vielen Ausweisdokumenten verwendet.
46
4.1 Speichertechniken Schriften (genauer gesagt OCR-B) jedoch nach wie vor eine wichtige Rolle. So haben beispielsweise alle standardisierten Reisepässe einen OCR-B-Aufdruck. Ein wesentlicher Vorteil dieser Speichermethode ist, dass die Herstellung mit einem einfachen Kartendrucker erfolgen kann und daher kostengünstig ist.
4.1.3 Strichcodes und 2D-Codes Neben maschinenlesbarer Schrift sind Strichcodes (Barcodes) ein weit verbreitetes Mittel, um kleinere Informationsmengen maschinenlesbar auf eine Karte zu bringen. Strichcodes sind vor allem bekannt, weil sie auf nahezu allen Produkten aufgedruckt sind, die man im Supermarkt kaufen kann. Wie bei der maschinenlesbaren Schrift liegt ein Vorteil der Strichcodes darin, dass die Herstellung kostengünstig ist und von einem einfachen Drucker erledigt werden kann. Im Gegensatz zu OCR-Schriften wächst die Verwendung von Strichcodes nach wie vor weiter an. Strichcodes gibt es in mehreren, teilweise inkompatiblen Formen. Alle gängigen Varianten verwenden schwarze Striche und weiße Lücken dazwischen, wobei die Breite der Striche und der Lücken Buchstaben oder sonstige Zeichen kodieren. Die Höhe der Striche spielt für die Kodierung keine Rolle, ist jedoch trotzdem teilweise genormt. Die Idee eines Strichcodes ist, dass der Kontrast zwischen Schwarz und Weiß sowie die Breite von Strichen zu den einfachsten Größen gehört, die sich mit einem Scanner und einer geeigneten Software verarbeiten lassen. Diese Aufgabe stellt geringere Anforderungen als etwa das Interpretieren einer gedruckten Schrift. Neben den klassischen, eindimensionalen Strichcodes gibt es auch eine zweidimensionale Variante. Dabei von zweidimensionalen Strichcodes zu sprechen, ist irreführend, da hier keine Striche, sondern Quadrate die kleinsten Einheiten bilden. Sachgemäßer spricht man daher von 2D-Codes. 2D-Codes können aus nahe liegenden Gründen größere Informationsmengen speichern als Strichcodes. In der Regel sind sie so gestaltet, dass eine Fehlertoleranz gegeben ist.
Abbildung 4.3: Ein 2D-Code kann eine größere Datenmenge speichern als ein Strichcode.
Sowohl Strichcodes als auch 2D-Codes lassen sich sehr gut auf Plastikkarten einsetzen. Im Gegensatz zu maschinenlesbarer Schrift kommt dies bei elektronischen Ausweisen jedoch weniger häufig vor. Dies liegt vor allem daran, dass ein Strich- bzw. 2D-Code nicht menschenlesbar ist.
47
4 Karten- und Mikrochiptechnik
4.1.4 Magnetstreifen Das wohl bekannteste Speichermedium auf einer Plastikkarte ist der Magnetstreifen. Ein solcher ist beispielsweise seit Jahrzehnten ein gängiger Bestandteil von Bank- und Kreditkarten. Ein Magnetstreifen ist ein etwa ein Zentimeter breiter dunkler Streifen, der mit einem magnetischen Metalloxid überzogen ist. Die Speichertechnik ähnelt der einer Musikkassette. Ein Magnetstreifen kommt meist auf der Rückseite einer Karte zur Anwendung. Üblich ist der Aufbau des Magnetstreifens nach der Norm ISO/IEC 7810. Diese sieht eine Speicherkapazität von etwa 1.024 Bit auf drei Spuren vor. Die Spuren 1 und 2 sind nur für den Lesebetrieb gedacht, die dritte Spur lässt sich auch beschreiben. Das Lesen des Magnetstreifens erfolgt meist, indem man die Karte durch einen geeigneten Leser zieht. Für elektronische Ausweise spielen Magnetstreifen nur eine untergeordnete Rolle, da sie leicht zu verändern sind.
Abbildung 4.4: Auf dem Magnetstreifen einer Plastikkarte lassen sich etwa 1.024 Bit an Informationen speichern.
4.1.5 Optischer Speicherstreifen Eine vergleichsweise neue Möglichkeit, Daten auf einer Plastikkarte zu speichern, sind optische Speicherstreifen. Dabei handelt es sich um ein optisches Speichermedium, das von der Funktionsweise her mit einer CD-ROM vergleichbar ist, allerdings eine rechteckige Form hat. Marktführer für optische Speicherstreifen ist die US-Firma Lasercard, auf deren Produkte sich die folgenden Ausführungen beziehen. Ein optischer Speicherstreifen befindet sich meist auf der Rückseite einer Karte. Kleinere Ausführungen ähneln einem Magnetstreifen, haben allerdings eine hellere Farbe. Größere optische Speicherstreifen decken mehr als die Hälfte der Kartenfläche ab. Die Speicherkapazität eines optischen Speicherstreifens liegt zwischen einem und drei MByte. Dies ist um das Zehnfache mehr als bei einem Magnetstreifen. Auf einem optischen Speicherstreifen lassen sich daher problemlos Informationen wie eine Fotodatei oder eine ganze Krankenakte unterbringen. Ähnlich wie ein Magnetstreifen ist auch ein optischer Speicherstreifen kein reines Lesemedium, sondern lässt sich auch beschreiben. Damit dies nur von einer autorisierten Stelle durchgeführt werden kann, ist ein Speicherstreifen mit mehreren physikalischen Sicherheitsmerkmalen ausgestattet, deren genaue Funktionsweise nicht öffentlich bekannt ist. Der Schreibzugriff auf den Streifen ist nur mit einem speziellen Lesegerät möglich, das die physikalischen Sicherheitsmerkmale auswertet. Natürlich ist auch die genaue Funktionsweise des Lesegeräts geheim.
48
4.2 Mikrochips und Mikrocontroller Optische Speicherstreifen werden auch auf elektronischen Ausweisen eingesetzt und erfreuen sich hierbei steigender Beliebtheit. Allerdings dienen sie in manchen Fällen nicht als Speichermedium, sondern sollen mit ihren physikalischen Sicherheitsmerkmalen Fälschungen erschweren.
4.1.6 Speicherchips Speicherchips sind ein weiteres gebräuchliches Speichermedium auf Plastikkarten. Ein Speicherchip ist ein Vertreter aus der Familie der Mikrochips, die in Abschnitt 4.2 ausführlich behandelt werden. Es gibt sie kontaktlos und kontaktbehaftet. Die mögliche Speicherkapazität kann theoretisch im GByte-Bereich liegen. Strebt man jedoch größere Stückzahlen und niedrige Preise an (dies ist bei Ausweisdokumenten der Fall), dann werden meist nicht mehr als einige Dutzend KByte verwendet. Ein Speicherchip bietet dennoch um eine Größenordnung mehr Speicher als ein Magnetstreifen.
4.2
Mikrochips und Mikrocontroller Das Objekt, um das sich in diesem Buch letztendlich alles dreht, ist der Mikrochip. Technisch gesehen handelt es sich dabei um ein elektronisches Bauelement, das meist nur die Fläche eines Bruchteils eines Quadratzentimeters einnimmt. Ein Mikrochip ist aus einer Platte (Chip) aufgebaut, auf der die vorhandenen Bauteile (meist Halbleiterkomponenten) und elektrische Leitungen angebracht sind. Man spricht daher auch von einem integrierten Schaltkreis (IC). Mikrochips gibt es in verschiedenen Ausprägungen. Die einfacheren Varianten können im Wesentlichen nur Daten speichern und werden daher als Speicherchips bezeichnet (siehe Abschnitt 4.1.6). Von einem Speicherchip spricht man auch dann noch, wenn ein Chip zusätzlich zur Speicherfunktion einfache Rechenoperationen durchführen kann, die festverdrahtet implementiert und daher nicht programmierbar sind. Auch die Abfrage einer PIN als Zugriffsschutz für den Speicherinhalt zählt zum Funktionsumfang einiger Speicherchips. Interessanter als Speicherchips sind an dieser Stelle solche Mikrochips, die eine programmierbare Rechenlogik besitzen. Diese werden Mikrocontroller genannt. Ein Mikrocontroller ist ein Computer im Kleinformat. Er besitzt einen Prozessor, Arbeitsspeicher (RAM), Lesespeicher (ROM) sowie nichtflüchtigen Speicher, der mit einer Festplatte vergleichbar ist (z. B. EEPROM). Zudem gibt es Anschlüsse für die Ein- und Ausgabe von Informationen. Auf dem Chip läuft ein spezielles Mikrocontroller-Betriebssystem. Mikrochips gehören zweifellos zu den wichtigsten Entwicklungen in der Informationstechnik überhaupt. Sie besitzen heutzutage eine große Leistungsfähigkeit und sind recht kostengünstig herzustellen. Die günstigsten Mikrocontroller-Modelle kosten etwa einen Euro. Mikrochips werden häufig auch für sicherheitsrelevante Anwendungen eingesetzt – beispielsweise für das Speichern kryptografischer Schlüssel. Derartige Chips werden meist durch zahlreiche konstruktive Maßnahmen manipulations- und auslesesicher gemacht.
49
4 Karten- und Mikrochiptechnik
4.3
Chipkarten und Smartcards Bereits Ende der sechziger Jahre kam die Idee auf, einen Mikrochip auf eine Plastikkarte zu bringen. Diese Kombination bezeichnet man als Chipkarte. Zunächst waren Chipkarten eher ein theoretisches Konstrukt, denn die verfügbare Hardware war zu teuer und zu anfällig für einen Einsatz in der Praxis. Im Verlauf der achtziger Jahre änderte sich dies jedoch. Es gelang erstmals, praxistaugliche Chipkarten zu bauen, die sich – beispielsweise als Telefonkarten – schnell etablierten. Seitdem werden Chipkarten in Milliardenstückzahlen produziert und sind zu einer wichtigen Säule der Computertechnik geworden. Eine wichtige Frage bei jeder Chipkarte ist, ob es sich beim Mikrochip auf der Karte um einen Speicherchip oder einen Mikrocontroller handelt. Im ersteren Fall spricht man von einer Speicherkarte, im letzteren von einer Mikrocontrollerkarte. Für Mikrocontrollerkarten hat sich auch der Name Smartcard eingebürgert, den ich in diesem Buch verwenden werde. Eine Smartcard ist wörtlich genommen eine „schlaue Karte“. Smartcards spielen in diesem Buch eine deutlich wichtigere Rolle als Speicherkarten. Sie sind zwar teurer, dafür aber deutlich leistungsfähiger. Viele Anwendungszwecke elektronischer Ausweise lassen sich nur mit einer Smartcard realisieren. Um ihren Daseinszweck zu erfüllen, benötigt eine Smartcard eine geeignete Gegenstelle, mit der sie kommunizieren kann und von der sie mit Strom versorgt wird. Ein solches Gerät wird häufig als „Smartcard-Leser“ bezeichnet. Da eine Smartcard jedoch nicht nur Lese-, sondern auch Schreibzugriffe erlaubt, ist die Bezeichnung „Leser“ nicht sachgerecht. In den letzten Jahren wird daher der Ausdruck Terminal (bzw. „Kartenterminal“ oder „Smartcard-Terminal“) immer populärer. Diesen Begriff werde ich in diesem Buch verwenden. Eine gleichbedeutende Bezeichnung ist IFD (Interface Device). Chipkarten haben meist den Zweck, dass ihr Besitzer sie in seiner Brieftasche mittragen oder sie beispielsweise in der Schublade wegschließen kann. Traditionell haben Chipkarten die Größe ID-1 (Kreditkartenformat), es gibt jedoch auch andere Formen. In praktisch allen Fällen erfüllen Chipkarten eine Sicherheitsfunktion, indem sie Informationen (etwa ein Guthaben oder einen kryptografischen Schlüssel) speichern, die nicht ausgelesen oder manipuliert werden dürfen. Meist handelt es sich dabei um vergleichsweise kleine Datenmengen, beispielsweise um einige Tausend Byte. Die Stückzahlen von Chipkarten sind so hoch, dass die diversen Hersteller längst spezielle Mikrochips für diesen Einsatzbereich entwickelt haben. Meist sind diese nach folgenden Kriterien optimiert: Kostengünstige Herstellung: Der Preis einer Karte muss möglichst niedrig sein, da sich selbst kleine Euro-Beträge bei Millionenstückzahlen zu beträchtlichen Summen addieren. Da der typische Einsatzzweck einer Chipkarte (sicheres Speichern und Verarbeiten kleinerer Informationsmengen) keine allzu hohen Anforderungen an die Performanz stellt, statten die Chipkarten-Hersteller ihre Produkte meist mit einer vergleichsweise simplen Technik aus.
50
4.3 Chipkarten und Smartcards Robustheit: Im Gegensatz zu vielen anderen Mikrochips sind die Chips auf Chipkarten schlecht geschützt und müssen dennoch mechanische und chemische Belastungen ertragen können. Ein Karten-Mikrochip muss daher möglichst robust sein. Sicherheit: Da eine Chipkarte meist für Sicherheitsanwendungen genutzt wird, muss deren Inhalt vor unbefugtem Auslesen und vor Manipulationen geschützt sein. Diese Anforderung wirkt sich auf das Chipdesign aus. So sind die Bauteile von KartenMikrochips meist bewusst unübersichtlich platziert, um eine Analyse der Hardware zu erschweren. Aus demselben Grund gibt es Attrappen, die von echten Bauteilen nicht zu unterscheiden sind, sowie Leiterbahnen, die Umwege nehmen. Weitere Sicherheitsvorkehrungen sehen vor, dass der Speicherinhalt bei äußeren Einwirkungen automatisch gelöscht wird. Die Details solcher Konstruktionsmaßnahmen halten die Hersteller in der Regel geheim. Die Herstellung von Chipkarten ist längst ein Milliardenmarkt. Interessanterweise haben viele Anbieter in diesem Segment europäische Wurzeln, während die ansonsten in der Computer-Branche dominierenden US-Firmen nur eine geringe Bedeutung haben. Auch Unternehmen aus dem deutschsprachigen Raum – beispielsweise Austria Card, Deutsche Telekom, Giesecke & Devrient, Sagem Orga, Siemens und Trüb – sind in der ChipkartenBranche erfolgreich. Ein weiterer bedeutender Anbieter ist Gemalto aus den Niederlanden Wie andere Mikrocontroller benötigt auch der Chip auf einer Smartcard ein Betriebssystem (siehe Abschnitt 4.5). Smartcard-Betriebssysteme können – wie bei einem Betriebssystem üblich – Anwendungsprogramme ausführen. Die Entwicklung eines Programms erfolgt meistens auf einem PC, wobei anschließend nur der Maschinencode auf den Chip übertragen wird. Dabei können auf einer Smartcard prinzipiell mehrere Anwendungsprogramme gleichzeitig installiert sein. Dadurch ist es technisch kein Problem, beispielsweise auf einer zum Bezahlen gedachten Karte zusätzlich eine Verschlüsselungsfunktion unterzubringen. Es ist auch möglich, auf einer bereits im Einsatz befindliche Karte eine neue Anwendung aufzubringen. Die gängigen Smartcard-Betriebssysteme unterstützen das Abspeichern von Informationen, die anschließend nicht mehr ausgelesen oder von außen manipuliert werden können. Ein Anwendungsprogramm auf dem Chip kann jedoch mit diesen Daten arbeiten. Diese Funktion ist für sicherheitstechnische Anwendungen besonders wichtig, denn dadurch lassen sich etwa geheime Schlüssel oder Kontostände sicher auf der Karte nutzen. Möglich ist es zudem, bestimmte Funktionen einer Anwendung mit der Abfrage eines Passworts (meist PIN genannt, was für Personal Identification Number steht) zu verknüpfen. Nur wenn der Anwender diese PIN vorher eingegeben hat, führt der Chip die entsprechende Funktion aus (nach drei falsch eingegebenen PINs sehen viele Anwendungen eine Sperrung vor). Die meisten Smartcard-Betriebssysteme ermöglichen es, mehrere unterschiedliche PINs für unterschiedliche Zwecke zu vergeben. Anstatt einer PIN kann ein Kartenchip auch ein biometrisches Merkmal abfragen. Meist handelt es sich dabei um einen Fingerabdruck. Zu diesem Zweck gibt es spezielle Kartenterminals mit eingebautem Fingerabdruckleser.
51
4 Karten- und Mikrochiptechnik
4.3.1 Kontaktbehaftete Chipkarten Chipkarten gibt es kontaktbehaftet und kontaktlos. Erstere können nur aktiv werden, wenn der Karten-Mikrochip über eine Kontaktfläche mit einem Terminal verbunden ist (wenn also die Karte im Terminal steckt). Letztere kommen dagegen ohne physikalischen Kontakt aus und kommunizieren per Funk mit dem Terminal. Kontaktbehaftete Karten benötigen demnach andere Terminals als kontaktlose. Beide Chipkarten-Realisierungsformen kommen im Zusammenhang mit elektronischen Ausweisdokumenten häufig vor. In diesem Unterkapitel interessieren uns die kontaktbehafteten Chipkarten, wie sie im Standard ISO/IEC 7816 genormt sind. Der Standard ist eine Erweiterung zu ISO/IEC 7810, der die wichtigsten physikalischen Eigenschaften von Plastikkarten spezifiziert.
Abbildung 4.5: Eine kontaktbehaftete Chipkarte ist am Metallkontakt zu erkennen.
Eine kontaktbehaftete Chipkarte erkennt man an der daran angebrachten Metallkontaktfläche (siehe Abbildung 4.5). Steckt der Nutzer die Karte in ein geeignetes Terminal, dann trifft die Kontaktfläche auf ein Gegenstück. Über diese Verbindung laufen die Stromversorgung und die Kommunikation der Karte mit der Außenwelt. In unkontaktiertem Zustand ist eine kontaktbehaftete Chipkarte nicht funktionsfähig. Kontaktbehaftete Smartcards sind für kryptografische Anwendungen weiter verbreitet als kontaktlose. Dies liegt daran, dass kontaktbehaftete Karten kostengünstiger und leistungsfähiger sind. Terminals für kontaktbehaftete Karten gibt es in unterschiedlichen Ausführungen. Einfachere Modelle bestehen im Wesentlichen aus einer Kontaktiermechanik, einer Elektronikkomponente und einem Anschlusskabel. Zudem werden Terminals mit eigener Tastatur angeboten. Diese lassen sich auch in Einsatzumgebungen nutzen, in denen dem Anwender keine PC-Tastatur zur Verfügung steht. Außerdem ist die Eingabe einer PIN über die Terminal-Tastatur sicherer als über eine PC-Tastatur, denn ein PC kann alle Eingaben protokollieren. Ein weiterer Bestandteil einiger Terminals ist ein Fingerabdruckleser, der die Eingabe eines Fingerabdrucks als PIN-Ersatz zulässt. Der Anschluss eines Kartenterminals an einen PC oder einen anderen Rechner erfolgt heute meist über die USB-Schnittstelle. Für Laptops sind auch PCMCIA-Terminals gebräuchlich. Zudem gibt es Terminals, die in eine PC-Tastatur eingebaut sind. Früher wurde für
52
4.3 Chipkarten und Smartcards den Anschluss eines Terminals vor allem die Schnittstelle EIA-232 (ursprünglich als RS232 bezeichnet) verwendet, die ähnlich aufgebaut ist wie die Kontakte auf einer Chipkarte. In den letzten Jahren ist zu beobachten, dass an die Stelle von kontaktbehafteten Chipkarten im ID-1-Format immer häufiger andere Gegenstände mit gleicher Funktion treten. Man bezeichnet die jeweilige Erscheinungsform als Formfaktor. Die klassische Chipkartenform ist ein solcher Formfaktor, folgende weitere Formfaktoren sind erwähnenswert: USB-Tokens: Diese sehen aus wie USB-Sticks, enthalten jedoch statt eines Speicherbausteins einen Karten-Mikrochip. USB-Tokens haben den Vorteil, dass sie ohne Terminal auskommen, weil sie direkt in den USB-Port gesteckt werden. MicroSD-Karten: Diese werden mit der von vielen PDAs und Mobiltelefonen unterstützten MicroSD-Schnittstelle verbunden. Auf diese Weise lässt sich ein KartenMikrochip in einem mobilen Gerät nutzen, ohne dass ein Terminal notwendig ist. ID-000-Karten: Dieser Formfaktor ist vor allem in Form von SIM-Karten (Subscriber Identity Module) im Mobilfunk verbreitet, lässt sich jedoch auch für andere Zwecke verwenden. Besonders interessant sind ID-000-Karten, die einerseits als SIM-Karten dienen, andererseits aber auch die Funktionen einer normalen Smartcard zur Verfügung stellen. Neuere Mobiltelefone unterstützen solche Karten und ermöglichen es dadurch beispielsweise, eine Bankkarte ins Handy zu integrieren.
Abbildung 4.7: Der Formfaktor ID-000 ist vor allem in Form von SIM-Karten im Mobilfunk verbreitet. Er lässt sich jedoch auch für andere Chipkarten-Anwendungen nutzen.
Diese neuen Formfaktoren führen zu dem Trend, dass Chipkarten häufig gar nicht mehr als solche erkennbar sind. Mehr dazu gibt es im folgenden Unterkapitel, wenn es um kontaktlose Chipkarten geht.
4.3.2 Kontaktlose Chipkarten Kontaktlose Chipkarten haben keine Kontaktfläche. Der Nutzer muss sie daher nicht in ein Terminal stecken, sondern lediglich in dessen Nähe bringen. Die Stromversorgung und die Kommunikation erfolgen hierbei über elektrische Induktion. Damit sind kontaktlose Smartcards ein Spezialfall der RFID-Technik. Als RFID (Radio Frequency Identification) bezeichnet man die Identifizierung und Lokalisierung von Objekten über Funkwellen. RFID-Geräte werden unter anderem in der Industrie eingesetzt, wo sie zunehmend die bisher üblichen Strichcodes verdrängen. Einen guten Überblick gibt das „RFID-Handbuch“ von Klaus Finkenzeller [Fink08].
53
4 Karten- und Mikrochiptechnik Kontaktlose Chipkarten haben für den Anwender erhebliche Vorteile. Sie sind relativ unempfindlich gegenüber Schmutz und mechanischen Einflüssen. Der Nutzer muss sie zum Auslesen oft nicht einmal aus der Brieftasche holen. Dadurch unterliegen kontaktlose Karten keinem Verschleiß und haben oft eine längere Lebensdauer als kontaktbehaftete. Ähnliches gilt für die kontaktlosen Kartenterminals, die häufig sogar hinter einer dünnen Wand angebracht werden und dadurch gut geschützt sind. Andererseits sind kontaktlose Chipkarten technisch aufwendiger und weniger leistungsfähig als kontaktbehaftete. Für asymmetrische kryptografische Verfahren (diese sind vergleichsweise rechenaufwendig) werden kontaktlose Karten daher bisher nur selten eingesetzt, auch wenn sich dies durch den technischen Fortschritt in den nächsten Jahren ändern könnte.
Abbildung 4.6: Kartenterminal für kontaktlose Chipkarten
Uns sollen in diesem Zusammenhang vor allem solche kontaktlosen Chipkarten interessieren, die dem Standard ISO/IEC 14443 folgen. Dieser Standard beschreibt kontaktlose Chips, die eine Reichweite von etwa 10 Zentimetern haben. Man spricht hierbei von einer Proximity-Coupling-Chipkarte oder schlicht von einer Proximity-Karte. Diese ProximityTechnik gilt als ideal für elektronische Ausweise. Weniger geeignet für diesen Zweck sind (aus Sicherheitsgründen) Chips, die aus einer Entfernung von maximal einem Meter ansprechbar sind. Diese werden Remote-Coupling-Chipkarten genannt, der zugehörige Standard ist ISO/IEC 10536. Als dritte Variante sind noch sogenannte Vicinity-CouplingChipkarten (standardisiert in ISO/IEC 15693) zu nennen, die nur einen Zentimeter Reichweite haben. Diese maximale Entfernung gilt für elektronische Ausweise als zu knapp, außerdem sind die technischen Voraussetzungen für diesen Standard inzwischen veraltet. Der Standard ISO/IEC 14443, der für uns von besonderem Interesse ist, ist an ISO/IEC 7816 angelehnt und sieht dieselben Schnittstellen vor. Dadurch ist es für eine Anwendung unerheblich, ob die verbundene Chipkarte kontaktlos oder kontaktbehaftet ist, solange ein geeigneter Treiber vor diese geschaltet ist. Die kontaktlose Datenübertragungsrate liegt zwischen 106 kBit/s und 847 kBit/s, was unterhalb der Möglichkeiten einer kontaktbehafteten Karte liegt. Da in einer Chipkarte meist nur kleine Datenmengen gespeichert sind
54
4.3 Chipkarten und Smartcards bzw. übertragen werden, reicht dies für die meisten Anwendungen aus. Dabei ist jedoch zu beachten, dass bei kontaktlosen Karten eine kurze Dauer der Kommunikation äußerst wichtig ist, da man einem Anwender meist nicht zumuten will, seine Karte mehrere Sekunden lang an einen Leser zu halten, der maximal 10 Zentimeter entfernt sein darf. Auch kontaktlose Karten gibt es inzwischen in zahlreichen Varianten (Formfaktoren). Nahezu jeder kleine Gegenstand kann mit einem Karten-Mikrochip ausgestattet werden und anschließend die Funktion einer kontaktlosen Chipkarte übernehmen. Da eine kontaktlose Chipkarte (im Vergleich zu einer kontaktbehafteten) kaum einer Einschränkung bezüglich der Form unterworfen ist, sind der Fantasie keine Grenzen gesetzt. Hier einige Beispiele für verbreitete kontaktlose Formfaktoren: Schlüsselanhänger: Da eine Chipkarte oft eine ähnliche Funktion wie ein Schlüssel hat, bietet es sich an, eine solche als Schlüsselanhänger zu realisieren. Ausweise: Neben den bekannten Plastikkarten im ID-1-Format eignen sich auch andere Ausweise beliebiger Größe für das Aufbringen eines kontaktlosen Chips. Armbanduhr: Auch in einer Armbanduhr lässt sich ein kontaktloser Chip unterbringen. Eine Alternative dazu wäre ein Manschettenknopf. Implantat: Kontaktlose Smartcard-Chips, die unter der Haut implantiert werden, sind bereits in Verwendung. In Abschnitt 7.2 erfahren Sie mehr darüber. Da man eine Armbanduhr oder einen Schlüsselanhänger nur schwerlich als Karte bezeichnen kann, ist es heute kaum noch sachgerecht, das Wort „Chipkarte“ als Überbegriff für alle genannten Formfaktoren zu verwenden. Passender sind sicherlich Begriffe wie ChipToken oder Smart Token, die tatsächlich immer populärer werden. Allerdings behalten viele Experten den Ausdruck Chipkarte trotz allem bei. So heißt die wichtigste Messe zu diesem Thema nach wie vor „Cartes“, die wichtigste Fachzeitschrift nach wie vor „Card Forum“ und das wichtigste Buch nach wie vor „Das Handbuch der Chipkarten“. Und das, obwohl in allen Fällen auch Formfaktoren wie Armbanduhren oder Schlüsselanhänger behandelt werden. Ich werde diese Praxis in diesem Buch übernehmen und von Karten reden, auch wenn in manchen Fällen keine Karten im eigentlichen Sinne gemeint sind. Bei den meisten Formfaktoren ist es möglich, dass eine Karte sowohl eine kontaktlose als auch eine kontaktbehaftete Ansprache unterstützt. Dies bezeichnet man als Dual-Interface-Karte. Eine Dual-Interface-Karte kann einerseits mit zwei voneinander getrennten Chips ausgestattet sein, von denen einer kontaktlos und der andere kontaktbehaftet realisiert ist. Andererseits gibt es jedoch auch Chips, die über beide Schnittstellen ansprechbar sind.
55
4 Karten- und Mikrochiptechnik
4.4
Kryptografische Nutzung von Chipkarten Für uns sind Chipkarten besonders deshalb interessant, weil sie in Form elektronischer Ausweise für kryptografische Zwecke eingesetzt werden können. Derartige Anwendungen folgen meist einem einfachen Prinzip: Auf der Karte ist ein Schlüssel gespeichert, der für eine kryptografische Operation (beispielsweise eine Verschlüsselung) verwendet wird. Dieser Schlüssel ist nicht auslesbar, kann jedoch von Programmen oder festverdrahteten Modulen auf der Karte verwendet werden. Oft ist eine solche Verwendung durch eine PINAbfrage geschützt. Manche Smartcards sind mit einem zweiten Prozessor ausgestattet, der speziell für kryptografische Verfahren genutzt wird und für diese optimiert ist (kryptografischer Koprozessor). Mithilfe eines solchen Prozessors kann ein Chip deutlich schneller verschlüsseln, entschlüsseln und signieren. Vor allem bei asymmetrischen Verfahren, die bekanntlich recht rechenintensiv sind, lohnt sich ein kryptografischer Koprozessor häufig. Eine interessante Alternative dazu sind Verfahren auf Basis elliptischer Kurven (ECC-Verfahren). Diese sind zwar asymmetrisch, allerdings deutlich performanter als das bisher hauptsächlich eingesetzte RSA-Verfahren. Daher kann der Betreiber eines Kartensystems meist auf einen kryptografischen Koprozessor verzichten, wenn er ECC-Verfahren einsetzt.
4.4.1 Wichtige kryptografische Abläufe Folgende kryptografische Abläufe, die auf einer Chipkarte zur Anwendung kommen können, sind für uns besonders interessant: die Authentifizierung mit einem symmetrischen oder einem asymmetrischen Verfahren, die symmetrische Verschlüsselung und die digitale Signatur. Wie Sie sehen werden, gibt es teilweise erhebliche Unterschiede in der Umsetzung dieser Abläufe. 4.4.1.1
Authentifizierung mit einem symmetrischen Verfahren
Die wohl einfachste Möglichkeit, eine Chipkarte kryptografisch zu nutzen, ist eine Challenge-Response-Authentifizierung mit einem symmetrischen Verschlüsselungsverfahren oder einer MAC-Funktion. Eine Prüfeinheit (z. B. ein Türschloss) sendet hierbei eine Challenge an den Kartenchip, die dieser mithilfe eines geheimen Schlüssels in eine Response umwandelt. Eine solche Operation kommt beispielsweise innerhalb von Zutrittskontrollanlagen oder beim Öffnen einer Autotür zum Einsatz. Da die Prüfeinheit und der Chip hierbei einen geheimen Schlüssel gemeinsam haben müssen, eignet sich dieses Verfahren vor allem für Anwendungen, in denen Prüfeinheit und Chip von derselben Stelle verwaltet werden. Eine Authentifizierung mit einem symmetrischen Verfahren erfordert vergleichsweise wenig Rechenkapazität. In vielen Fällen kommt daher für diesen Zweck kein Programmcode auf einer Smartcard, sondern lediglich eine festverdrahtete Logik auf einer Speicherkarte zum Einsatz. Aufgrund des geringen Energiebedarfs sind kontaktlose Karten für diese Anwendung weit verbreitet. Besonders populär sind kontaktlose Speicherchips, die spe-
56
4.4 Kryptografische Nutzung von Chipkarten ziell für diesen Zweck gefertigt werden und die neben der festverdrahteten ChallengeResponse-Funktion sowie der Angabe einer Nummer keine weitere Anwendung unterstützen. Solche kontaktlosen Chips will ich als Challenge-Response-Chips bezeichnen. Challenge-Response-Chips gibt es von mehreren Herstellern. Zwei Produkte, die einen Großteil des Markts abdecken, sind Mifare (von NXP Semiconductors) und Legic (von LEGIC Identsystems). Leider sind diese Chips sowie vergleichbare Lösungen anderer Hersteller proprietär, und die Funktionsweise der jeweils verwendeten symmetrischen Verfahren ist nicht veröffentlicht. Da Challenge-Response-Chips nur eine einzige Funktion erfüllen und dadurch sehr simpel aufgebaut sind, sind sie vergleichsweise kostengünstig. Die Verbreitung solcher Chips ist ausgesprochen hoch. Sie werden weltweit in unzähligen Zutrittskontrollanlagen, Zeiterfassungssystemen, Bezahlsystemen, Autoschließsystemen, Mautstationen und ähnlichem genutzt. Anstatt einen der weit verbreiteten Challenge-Response-Chips zu nutzen, lässt sich ein funktionsgleiches Challenge-Response-Verfahren durchaus auch als Anwendung auf einer Smartcard realisieren. Die Smartcard emuliert hierbei quasi den Challenge-Response-Chip. Auf dieselbe Karte kann der Betreiber hierbei noch andere Anwendungen aufbringen. Der Nachteil hierbei ist, dass ein Smartcard-Chip teurer ist als ein Challenge-Response-Chip. 4.4.1.2
Authentifizierung mit einem asymmetrischen Verfahren
Auch für die Authentifizierung mit einem asymmetrischen Verfahren (und damit auch für eine zertifikatsbasierte Authentifizierung) sind Chipkarten bestens geeignet. Allerdings kann man in diesem Fall nicht auf eine Smartcard verzichten, da eine Speicherkarte mit festverdrahteter Logik für asymmetrische Verfahren nicht leistungsfähig genug ist. Eine Authentifizierung mit einem asymmetrischen Verfahren ist aufwendiger als der analoge Vorgang mit einem symmetrischen Verfahren. Allerdings hat erstere Variante den Vorteil, dass der Server keinen geheimen Schlüssel kennen muss, sondern mit dem öffentlichen Schlüssel der Karte arbeiten kann. Eine Authentifizierung mit einem asymmetrischen Verfahren kommt häufig im Internet zum Einsatz, da die sichere Übergabe eines geheimen Schlüssels dort deutlich schwieriger ist als beispielsweise innerhalb einer Zutrittskontrollanlage. Das für eine Authentifizierung verwendete asymmetrische Verfahren ist meist RSA oder ein ECC-Algorithmus. Zusammen mit der Authentifizierung wird häufig ein Schlüsselaustausch durchgeführt, um die anschließende Kommunikation mit einem symmetrischen Verfahren verschlüsseln zu können. Proprietäre Verfahren sind in diesem Zusammenhang unüblich (im Gegensatz zu den gängigen Challenge-Response-Chips). Meist befinden sich auf derselben Karte noch andere Anwendungen. Bisher werden für diesen Zweck meist kontaktbehaftete Chips eingesetzt, eine kontaktlose Realisierung über ISO/IEC 14443 ist jedoch stark im Kommen.
57
4 Karten- und Mikrochiptechnik 4.4.1.3
Verschlüsselung mit einem symmetrischen Verfahren
Die Kommunikation zwischen einer Smartcard und einem Anwendungsprogramm wird häufig verschlüsselt. Hierbei kommt ein symmetrisches Verschlüsselungsverfahren wie der AES zum Einsatz. Eine Voraussetzung hierfür ist, dass der Chip und das Anwendungsprogramm einen gemeinsamen geheimen Schlüssel besitzen. Dieser wird häufig im Rahmen der Authentifizierung ausgetauscht, was sowohl mit einem symmetrischen als auch einem asymmetrischen Verfahren durchgeführt werden kann. Meist ist die symmetrische Verschlüsselung als Anwendung auf einer Smartcard realisiert. Die weit verbreiteten Challenge-Response-Chips unterstützen in ihrer üblichen Form dagegen keine Verschlüsselung außerhalb der Authentifizierung. 4.4.1.4
Digitale Signatur
Eine Chipkarte kann eine digitale Signatur erstellen. Die Voraussetzungen dafür sind ähnlich wie bei der Authentifizierung mit einem asymmetrischen Verfahren. Meist wird RSA oder ein ECC-Verfahren verwendet, das als Anwendungsprogramm auf einer Smartcard implementiert ist. Da Signaturverfahren asymmetrisch und damit rechenzeitintensiv sind, muss der Chip vergleichsweise leistungsfähig sein. Ein Challenge-Response-Chip ist daher nicht für diesen Zweck geeignet. 4.4.1.5
Kombination verschiedener Anwendungen
Wie Ihnen in den vorhergehenden Unterkapiteln sicherlich klar geworden ist, spielen für uns zwei verschiedene Chipkarten-Welten eine wichtige Rolle. Auf der einen Seite stehen günstige, proprietäre und kontaktlose Challenge-Response-Chips wie Mifare oder Legic. Diese werden vor allem für die Zutrittskontrolle und für Bezahlanwendungen verwendet. Auf der anderen Seite finden sich die leistungsfähigeren und teureren Smartcard-Chips, die programmierbar sind und auch für asymmetrische Verfahren verwendet werden können. Durch die unterschiedlichen technischen Voraussetzungen ist es schwierig, diese beiden Welten miteinander zu vereinen. Viele Hersteller bieten dennoch entsprechende Lösungen an. Den bedeutendsten Ansatz hierfür bilden Dual-Interface-Karten, die sowohl eine kontaktlose Challenge-Response-Schnittstelle als auch eine kontaktbehaftete Schnittstelle für eine Smartcard zur Verfügung stellen. Solche Karten gibt es in verschiedenen Ausführungen. Teilweise sind sie mit zwei getrennten Chips ausgestattet, teilweise handelt es sich um einen Chip mit zwei Schnittstellen. Es ist auch möglich, einen Challenge-Response-Chip mithilfe eines Programms auf einer Smartcard zu emulieren.
4.4.2 Kryptografische Schnittstellen Die Schnittstellen ISO/IEC 7816 (für kontaktbehaftete Chips) und ISO/IEC 14443 (für kontaktlose Chips) erlauben die Ansprache einer Smartcard auf einer vergleichsweise maschinennahen Ebene. Für kryptografische Anwendungen sind die hierbei zur Verfügung stehenden Befehle zu primitiv. Deshalb ist es notwendig, über diese elementaren Schnittstellen eine zusätzliche kryptografische Schicht mit einer geeigneten kryptografischen
58
4.4 Kryptografische Nutzung von Chipkarten Schnittstelle zu legen. Leider gibt es gleich mehrere inkompatible Krypto-Schnittstellen dieser Art, wobei deren Zahl in jüngerer Zeit sogar noch gewachsen ist. Die zusätzliche Schicht, die kryptografische Befehle (z. B. die Aufforderung zur Verschlüsselung) in maschinennahe Befehle umsetzt, wird typischerweise von einer sogenannten Smartcard-Middleware bereitgestellt. Eine Smartcard-Middleware ist eine Software, die neben dieser Schnittstellenumsetzung oft auch eine Benutzeroberfläche zur Verfügung stellt, über die sich beispielsweise die PIN ändern lässt. Smartcard-Middleware-Produkte gibt es von mehreren Herstellern (z. B. Smartcard Connector von Aloaha, cv act sc/interface von Cryptovision und Nexus Personal von Nexus). Die meisten Lösungen laufen auf Windows-PCs, es gibt jedoch neuerdings auch Produkte für PDAs, Linux und andere Umgebungen. Durch die verschiedenen Plattformen und die wachsende Anzahl der kryptografischen Schnittstellen werden Smartcard-Middleware-Produkte immer komplexer, aber auch immer wichtiger. Smartcard-Middleware Anwendung skjhfksjhfkshfk lskflksjf slkfj n slkfjg slkfj slkf slkfl slkfj n slkfjg slkfj slkfj n slkfjg slkfj
%*#%*#lmolmo %*#lm o
Treiber
KartenSchnittstelle
Datei Bearbeiten Ansicht Einfügen Format Fenster * # % * # lm o l m o % * # l m o
AnwendungsSchnittstelle
Mosofot Program %
Smartcard
Administration Abbildung 4.8: Eine Smartcard-Middleware ist das Bindeglied zwischen einer Smartcard und einem Anwendungsprogramm.
4.4.2.1
PKCS#11
Die wichtigste Schnittstelle für die kryptografische Ansprache von Smartcards heißt PKCS#11 [PKCS11]. Eine oder mehrere Anwendungen können über PKCS#11 per Funktionsaufruf kryptografische Operationen starten. Diese Operationen werden von der jeweiligen Middleware gesteuert und finden innerhalb des Smartcard-Chips statt. Das Ergebnis der jeweiligen Operation wird als Funktionsergebnis zurückgegeben. PKCS#11 spezifiziert die Verwendung nahezu aller praxisrelevanter kryptografischer Verfahren. Der Standard macht jedoch keine Vorschriften, welche dieser Funktionen implementiert werden müssen und welche man weglassen kann. Schon allein aufgrund der beschränkten Ressourcen auf einem Smartcard-Chip kann ein solcher nur eine kleine Untermenge umsetzen. PKCS#11 ist eine weit verbreitete Schnittstelle, die von vielen Softwareprodukten angesprochen wird (etwa von Mozilla Firefox und zahlreichen VPN-Lösungen). Dementsprechend gehört PKCS#11 zum Standardumfang einer Smartcard-Middleware. Auch für elektronische Ausweise spielt PKCS#11 eine wichtige Rolle.
59
4 Karten- und Mikrochiptechnik 4.4.2.2
MS-CAPI
Die Microsoft Cryptographic API (MS-CAPI) ist eine von Microsoft entwickelte Schnittstelle, die in den Windows-Betriebssystemen eingesetzt wird [Cole96]. Die MS-CAPI ermöglicht die Anbindung kryptografischer Module, die in diesem Zusammenhang als Cryptographic Service Provider (CSP) bezeichnet werden, an ein Anwendungsprogramm. Ein CSP kann vollständig als Software realisiert sein. Für uns ist jedoch nur der Fall interessant, in dem ein CSP eine Smartcard-Middleware enthält, die alle kryptografischen Funktionen an einen Chip weitergibt. Da die MS-CAPI von Microsoft stammt und daher von den Produkten dieses Unternehmens unterstützt wird (etwa von Windows und dem Internet Explorer), ist diese Schnittstelle weit verbreitet. Auch elektronische Ausweise werden darüber angesprochen. Außerhalb der Microsoft-Welt werden jedoch andere Schnittstellen verwendet. 4.4.2.3
CNG
Die Cryptography API Next Generation (CNG) ist der Nachfolger der MS-CAPI [CNG]. Microsoft hat die CNG zusammen mit dem Betriebssystem Windows Vista eingeführt. Auch Windows Server 2008 unterstützt die neue Schnittstelle. Vermutlich wird uns die CNG auch in den kommenden Windows-Versionen begegnen und die MS-CAPI nach und nach verdrängen. Die CNG ist im Grundsatz ähnlich aufgebaut wie die MS-CAPI, hat jedoch in vielen Details ein verbessertes Design. Die beiden Krypto-APIs von Microsoft sind nicht miteinander kompatibel. Nach über zehn Jahren der Kontinuität müssen sich die Krypto-Hersteller damit auf eine neue Schnittstelle für die Microsoft-Welt einstellen. Die CNG unterstützt alle kryptografischen Funktionen, die bereits in der MS-CAPI vorhanden waren. Zusätzlich wurde die Unterstützung von Verfahren auf Basis elliptischer Kurven (ECC-Verfahren) erweitert. Eine wichtige Neuerung ist zudem die geänderte Behandlung von Smartcards. Während die MS-CAPI eine Smartcard nur unterstützt, wenn es einen speziell dafür entwickelten CSP gibt, stellt die CNG einen generischen SmartcardCSP (Base CSP) zur Verfügung. Dieser spricht über eine definierte Schnittstelle mit dem Treiber der Karte (dieser Treiber wird als Smart Card Minidriver bezeichnet). Eine Smartcard-Middleware muss daher keinen kompletten CSP mehr beinhalten, sondern kann stattdessen einen (deutlich einfacheren) Smart Card Minidriver zur Verfügung stellen. 4.4.2.4
ISO/IEC 24727
Der Standard ISO/IEC 24727 beschreibt eine weitere Schnittstelle für den kryptografischen Zugriff auf eine Smartcard. Es handelt sich dabei um einen vergleichsweise neuen Standard, dessen vier Teile in den Jahren 2007 und 2008 erschienen sind [ISO24727-1, ISO24727-2, ISO24727-3, ISO24727-4]. Um sich eine Übersicht zu verschaffen, sollten Sie den ersten Teil des Standards lesen. Der geplante Einsatzbereich von ISO/IEC 24727 sind vor allem elektronische Ausweise. Da ISO/IEC 24727 noch recht neu ist, gibt es bisher nur wenige Implementierungen.
60
4.5 Smartcard-Betriebssysteme
4.5
Smartcard-Betriebssysteme Ein Smartcard-Betriebssystem hat eine ähnliche Aufgabe wie das Betriebssystem eines PCs. Es verwaltet die im Chip verfügbaren Ressourcen (z. B. Prozessor und Speicher) und stellt den jeweiligen Anwendungsprogrammen eine Schnittstelle für die Kommunikation nach außen zur Verfügung. Im Gegensatz zu einem PC-Betriebssystem benötigt ein Smartcard-Betriebssystem keine Benutzeroberfläche (erst recht keine grafische), da ein Benutzer nie direkt auf eine Smartcard zugreift. Stattdessen übernimmt ein Anwendungsprogramm auf dem angeschlossenen Computer oder eine Smartcard-Middleware diese Aufgabe. Ein Smartcard-Betriebssystem ist deutlich einfacher als ein PC-Betriebssystem, da an eine Smartcard weder eine Tastatur noch ein Monitor noch eine Maus angeschlossen ist. Dafür muss ein Smartcard-Betriebssystem mit sehr beschränkten Ressourcen auskommen.
4.5.1 Proprietäre Betriebssysteme Leider gibt es im Bereich der Smartcard-Betriebssysteme mehr Vielfalt, als einem recht sein kann. Praktisch jeder Smartcard-Hersteller hat traditionell sein eigenes Betriebssystem im Programm (oft handelt es sich sogar um eine ganze Familie von Betriebssystemen für unterschiedliche Anwendungszwecke). Die wichtigsten Produkte dieser Art sind folgende: ACOS: Dieses Betriebssystem stammt vom österreichischen Anbieter Austria Card, der mehrheitlich dem Staat Österreich gehört. CardOS: Das Smartcard-Betriebssystem CardOS ist ein Produkt von Siemens. Cryptoflex: Der Hersteller dieses Betriebssystems heiß Gemalto und stammt aus den Niederlanden. Gemalto ist aus einer Fusion der früheren Konkurrenten Gemplus und Axalto entstanden. Micardo: Dieses Produkt wird von der deutsch-französischen Firma Sagem Orga angeboten. STARCOS: Der Hersteller von STARCOS ist die deutsche Firma Giesecke & Devrient, die unter anderem auch im Banknotendruck aktiv ist. TCOS: Dieses Betriebssystem stammt von der Deutschen Telekom. Jedes dieser Betriebssysteme hat seine eigene Architektur und sein eigenes Dateisystem. Ursprünglich waren auch die Befehlssätze völlig unterschiedlich. Immerhin sind inzwischen alle für unser Thema relevanten Betriebssysteme über die Schnittstelle ISO/IEC 7816-4 ansprechbar, wodurch wenigstens ansatzweise Einheitlichkeit herrscht [ISO78164]. Allerdings haben alle Implementierungen proprietäre Bestandteile. Außerdem bringt die einheitliche Zugriffsschnittstelle alleine noch nicht die gewünschte Interoperabilität, da die Dateisysteme der diversen Smartcard-Betriebssysteme unterschiedlich aufgebaut sind.
4.5.2 Java Card Java Card ist eine vereinfachte Variante der Programmiersprache Java, die für die Programmierung von Smartcards entwickelt wurde. Die Idee ist, dass ein Smartcard-Hersteller
61
4 Karten- und Mikrochiptechnik seine Karten mit einem Chip ausstattet, der über Java Card ansprechbar ist, wobei Anwendungsprogramme in Form von Java-Applets auf die Karte gebracht werden. Dabei muss es sich um Applets handeln, die speziell für Karten programmiert wurden. Damit eine JavaCard-Nutzung möglich ist, muss der Hersteller seine Karte mit einer Komponente (Java Virtual Machine) ausstatten, die aus Java-Code generierte Befehle entgegennimmt und in die Sprache des Prozessors übersetzt. Zu den Wirkungsprinzipien von Java Card gehört, dass eine Karte mehrere Applets mit unterschiedlichen Verwendungszwecken gleichzeitig unterstützen kann, die sich beliebig kombinieren lassen. So ist es auch problemlos möglich, ein Applet zu einem späteren Zeitpunkt nachzurüsten oder ein vorhandenes Applet zu löschen. Das Sicherheitsmodell von Java Card sieht vor, dass die einzelnen Applets auf einer Karte voneinander unabhängig sind und keine Möglichkeit haben, sich gegenseitig zu beeinflussen (falls dies nicht ausdrücklich erwünscht ist). Eine große Verbreitung hat Java Card im Mobilfunkbereich. Die Zahl der im Umlauf befindlichen Java-Karten hat inzwischen die Fünf-Milliarden-Grenze überschritten. Ein entscheidender Vorteil von Java Card ist die Plattformunabhängigkeit. Da mehrere Hersteller inzwischen Java-Card-Karten im Programm haben, ist es (zumindest theoretisch) möglich, Anwendungen unabhängig vom Kartenhersteller zu entwickeln. Die JavaCard-Spezifikationen sind (im Gegensatz zu MULTOS) öffentlich zugänglich. Ein offener Standard ist Java Card jedoch nicht. So liegen die Patentrechte bei der Firma Sun Microsystems, die für eine Java-Card-Nutzung Lizenzgebühren verlangt. Auch die Entwicklung der Java-Card-Spezifikation liegt in der Hand von Sun. Allerdings gibt es als Gegengewicht ein Konsortium namens Java Card Forum. Diesem gehören Unternehmen an, die die Java-Card-Technik in ihren Produkten umsetzen.
4.5.3 MULTOS MULTOS ist ein standardisiertes Smartcard-Betriebssystem, das von verschiedenen Herstellern für ihre jeweiligen Chips angeboten wird. Der Name ist eine Abkürzung für Multiapplication Operating System. MULTOS wurde vom Maosco-Konsortium entwickelt, dem knapp 20 Firmen aus der Smartcard-Branche angehören. Nach Angaben des Konsortiums sind derzeit etwa 70 Millionen MULTOS-Karten in Umlauf, was angesichts der großen Stückzahlen in der Smartcard-Welt zwar beachtlich, aber nicht überwältigend ist. Die höchste Verbreitung hat MULTOS im Bereich des elektronischen Bezahlens, wo es auch seine historischen Wurzeln hat. Allerdings wird es auch für elektronische Ausweise genutzt. Die Befehle für den Zugriff auf eine MULTOS-Karte orientieren sich an ISO/IEC 7816-4. Man kann MULTOS daher als herstellerunabhängige Implementierung dieses Standards betrachten. Große Teile der MULTOS-Spezifikation sind nicht öffentlich. Die Maosco-Mitglieder wollen damit vermeiden, dass es Nachahmer gibt, die dem Konsortium nicht angehören. So gesehen ist MULTOS kein offener Standard, der mit Linux oder ähnlichen OpenSource-Projekten vergleichbar wäre. Dies zeigt sich auch daran, dass eine MULTOS-Karte
62
4.6 Karten-Management nur Anwendungscode akzeptiert, der von einem vom Maosco-Konsortium lizenzierten Dienst digital signiert wurde. Immerhin hat diese restriktive Vorgehensweise den Vorteil, dass die Qualität von MULTOS-Implementierungen und MULTOS-Anwendungen durchweg hoch ist, da das Niveau nicht durch irgendwelche Hobby-Programmierer oder Garagenfirmen gesenkt wird.
4.6
Karten-Management Eine Organisation, die eine größere Zahl von Chipkarten ausgibt, benötigt eine geeignete Infrastruktur, um diese zu verwalten. Im Mittelpunkt einer solchen Infrastruktur steht in der Regel eine Software, die alle kartenrelevanten Vorgänge steuert. Eine solche Software wird als Karten-Management-System (CMS) bezeichnet. Ein CMS speichert typischerweise den Namen jedes Karteninhabers und dessen Kartennummer. Ein wichtiger Prozess, den ein CMS unterstützen muss, ist die Ausgabe einer Smartcard an den Inhaber. Dieser Vorgang läuft normalerweise so ab, dass ein Administrator eine vorbereitete Karte (Kartenrohling) mit den gewünschten Daten des Inhabers versieht. Man nennt dies auch Personalisierung der Karte. Die Betreiber größerer Chipkarten-Umgebungen verwenden für die Personalisierung oft eine spezielle Karten-Personalisierungsmaschine, die vom CMS gesteuert wird. Solche Maschinen gibt es in unterschiedlichen Ausführungen. Meist enthalten sie ein spezielles Kartenterminal, in das eine spezielle Mechanik den Kartenrohling zur Personalisierung steckt. In weiteren Arbeitsschritten kann die Karte bedruckt, auf einen Brief geklebt und kuvertiert werden. Einfachere Geräte schaffen einige Dutzend Karten pro Stunde und sind für einen gelegentlichen Betrieb ausgelegt. Es gibt jedoch auch Hochleistungsgeräte, die nahezu rund um die Uhr laufen können, und bei Bedarf pro Jahr Millionen von Karten verarbeiten. Neben der Personalisierung und der Ansteuerung einer Personalisierungsmaschine muss ein CMS meist weitere Managementaufgaben unterstützen. Beispielsweise kann ein CMS für jede ausgegebene Karte ein Masterpasswort speichern, mit der ein Administrator die jeweilige Karte zurücksetzen kann, wenn ein Anwender diese durch drei falsch eingegebene PINs in einen Sperrzustand gesetzt hat. Wenn die verwendeten Chipkarten Teil einer PKI sind, dann sollte das CMS zudem eine Schnittstelle zur Zertifizierungsstelle besitzen, um über diese die Schlüssel- und Zertifikatsgenerierung anstoßen zu können. Bekannte Hersteller von CMS-Produkten sind die Firmen ActivIdentity, A.E.T. und VPS. Deren Lösungen sind auch für elektronische Ausweise von großer Bedeutung.
63
II Teil II: Elektronische Ausweisdokumente
65
5 5 Elektronische Ausweise im Überblick Ausweisdokumente haben in den letzten Jahrzehnten und Jahrhunderten eine interessante Geschichte durchlebt (siehe Abschnitt 2.2). Dabei hat sich zwar die Technik zur Herstellung der jeweiligen Dokumente ständig weiterentwickelt, doch der grundsätzliche Umgang mit Ausweisen hat sich nicht wesentlich verändert. Durch das Aufkommen elektronischer Ausweise ist derzeit jedoch eine Revolution im Gange, wie sie das Ausweiswesen noch nie erlebt hat. Durch die neue Technik ist es möglich, Ausweise auf völlig andere Art zu nutzen als bisher und damit komplett neue Anwendungsbereiche zu erschließen. Wir stehen also am Anfang einer neuen Ära. Als elektronischen Ausweis bezeichne ich in diesem Buch (wie in Abschnitt 1.1 erwähnt) einen Ausweis, der mit einem Mikrochip ausgestattet ist. Mit Ausweis ist dabei – wie in diesem Buch üblich – ein Dokument gemeint, das geeignet ist, den Inhaber zu identifizieren (meist mithilfe eines aufgedruckten Passfotos). Eine beliebige Chipkarte, auf der der Name des Inhabers steht, ist daher im Sinne dieses Buchs kein elektronischer Ausweis. Oder anders formuliert: Nur eine Karte, die sich auch ohne Nutzung des Chips (als visueller Ausweis) verwenden lässt, fällt unter die beschriebene Definition.
5.1
Die Technik elektronischer Ausweise Optisch gesehen unterscheidet sich ein elektronischer Ausweis meist nicht wesentlich von seinen nichtelektronischen Verwandten (er soll ja auch als visueller Ausweis nutzbar sein). Auf dem Dokument sind meist Angaben wie der Name, die Adresse oder das Geburtsdatum des Inhabers vermerkt. Zudem ist ein Passfoto aufgedruckt (ohne ein solches handelt es sich in der Regel nicht um einen Ausweis im Sinne dieses Buchs). Aufwendigere elektronische Ausweise sind zudem mit physikalischen Sicherheitsmerkmalen (z. B. einem Hologramm) ausgestattet.
67
5 Elektronische Ausweise im Überblick
5.1.1 Vor- und Nachteile elektronischer Ausweise Durch den Mikrochip haben elektronische Ausweisdokumente gegenüber visuellen Ausweisen einige klare Vorteile. Insbesondere ist die Sicherheit höher, wie folgende Argumente belegen: Ein Mikrochip ist schwer zu fälschen. Kryptografische Verfahren, die auf dem Ausweis zum Einsatz kommen, verstärken die Fälschungssicherheit. Die vom Mikrochip gespeicherten Daten sind nicht ohne Weiteres auslesbar. Bei einem nichtelektronischen Ausweis kann dagegen jeder, der das Dokument in die Hand bekommt, die aufgedruckten Informationen ablesen. Wenn ein elektronischer Ausweis Biometrie unterstützt, dann ist eine Fremdnutzung deutlich schwieriger als bei einem visuellen Ausweis. Elektronische Ausweise sind nicht nur sicherer als nichtelektronische, sondern haben einige weitere Vorteile. Hier sind die wichtigsten: Ein elektronischer Ausweis kann deutlich mehr Daten speichern, als sich auf einen visuellen Ausweis aufdrucken lassen. Ein elektronischer Ausweis ist bei vielen Online-Anwendungen eine benutzerfreundliche und sichere Alternative zu Passwörtern. An die Stelle der Passwortabfrage tritt hierbei eine Challenge-Response-Authentifizierung. Mit einem elektronischen Ausweis kann der Inhaber digitale Signaturen anfertigen. Ein elektronischer Ausweis ist als Schlüsselersatz in der Zutrittskontrolle geeignet. Auf einen elektronischen Ausweis lässt sich eine Bezahlfunktion aufbringen. Der Ausweis kann hierbei als Kreditkarte dienen oder ein einfaches Bezahlen kleiner Beträge erlauben (ähnlich wie die deutsche Geldkarte, die österreichische Quick oder die schweizerische CASH). Diesen Vorteilen stehen natürlich auch Nachteile gegenüber. So ist beispielsweise nicht zu bestreiten, dass elektronische Ausweise teurer sind als nichtelektronische. Es gibt zudem Möglichkeiten, einen elektronischen Ausweis (genauer gesagt den darauf angebrachten Chip) zu zerstören, ohne dass es unmittelbar auffällt. Außerdem besteht bei digitalen Daten immer die Gefahr, dass ein Unbefugter sie kopiert oder ausspäht. Allerdings gibt es zu derartigen Bedrohungen wirksame Gegenmaßnahmen, beispielsweise die in Abschnitt 3.2 beschriebenen kryptografischen Verfahren. Deutlich gravierender sind daher die gesellschaftlichen und datenschutztechnischen Nachteile elektronischer Ausweise. Viele Menschen befürchten, dass der Staat die neue Technik zu Eingriffen in die Intimsphäre seiner Bürger oder gar zu einer totalen Überwachung missbrauchen wird. Wie Sie im vierten Teil dieses Buchs erfahren werden, gibt es aus diesem Grund in vielen Staaten heftigen Widerstand gegen E-Ausweis-Projekte. Derartige Vorbehalte sind sicherlich nicht völlig aus der Luft gegriffen, denn in der Tat kann der Betreiber ein E-Ausweis-System für eine Kontrolle der Ausweisinhaber nutzen. Allerdings sind diese Missbrauchsmöglichkeiten meiner Meinung nach kein Grund dafür, elektronische Ausweise gänzlich abzulehnen. Vielmehr sollten solche Bedenken zur Folge haben,
68
5.1 Die Technik elektronischer Ausweise dass E-Ausweis-Systeme in einer Form realisiert werden, die keinen größeren Missbrauch zulässt. In diesem Buch werden Sie einige Möglichkeiten dazu kennenlernen.
5.1.2 Technische Grundlagen Einen elektronischen Ausweis kann man als Spezialfall einer Chipkarte betrachten. Viele der im Kapitel über Karten- und Mikrochiptechnik (Kapitel 4) behandelten Aspekte gelten daher auch für elektronische Ausweisdokumente. So gibt es elektronische Ausweise sowohl kontaktlos als auch kontaktbehaftet. Die ersten E-Ausweis-Systeme, die in den neunziger Jahren eingeführt wurden, arbeiteten fast ausnahmslos mit kontaktbehafteten Chips. Auch heute noch sind kontaktbehaftete E-Ausweise weit verbreitet. Nahezu alle davon haben ID-1-Format. Dies hat den Vorteil, dass man dafür die bereits etablierten SmartcardTerminals nutzen kann. In den letzten Jahren haben sich jedoch auch kontaktlose elektronische Ausweise etabliert. Unter anderem sind weltweit alle elektronischen Reisepässe auf diese Weise realisiert (siehe Kapitel 8). Zudem haben Dual-Interface-Chips, die sowohl kontaktlos als auch kontaktbehaftet ansprechbar sind, inzwischen eine gewisse Verbreitung. Ein Vorteil der kontaktlosen Technik ist, dass elektronische Ausweise damit jedes beliebige Format annehmen können. So lassen sich auch ID-2- und ID-3-Ausweise, die bekanntlich nicht in ein übliches Einsteck-Kartenterminal passen, problemlos mit einem kontaktlosen Chip bestücken. Theoretisch sind sogar kontaktlose E-Ausweise denkbar, die nicht die Gestalt einer Karte haben, sondern beispielsweise als Schlüsselanhänger realisiert sind. Allerdings ist es in diesem Fall oft schwierig, ein Passfoto und persönliche Daten auf den jeweiligen Gegenstand zu drucken (nur wenn solche Informationen vorhanden sind, handelt es sich um einen Ausweis im Sinne dieses Buchs). Einige Gedanken zu diesem Thema finden Sie im Kapitel über alternative Ausweisformen (Kapitel 7). Trotz aller Alternativen haben allerdings auch kontaktlose elektronische Ausweise häufig ID-1-Format. Oft gibt es schlichtweg keinen Grund, eine andere Größe zu wählen. Wie eine Chipkarte ist auch ein elektronischer Ausweis entweder mit einem Speicherchip oder mit einem Mikrocontroller ausgestattet. Im einfacheren Fall wird nur ein Speicherchip verwendet, dessen Inhalte manchmal mit einer PIN gesichert sind. Viele frühen EAusweise in den neunziger Jahren waren auf diese Weise realisiert. In der Regel speichert ein solcher Speicherausweis auf dem Chip diejenigen Daten, die auch aufgedruckt sind. Manchmal kommen weitere Informationen dazu. Elektronische Ausweise mit einem Speicherchip haben zwar immer noch eine gewisse Verbreitung (beispielsweise im Gesundheitswesen), gelten aber aufgrund ihres eingeschränkten Nutzens inzwischen als veraltet. Vor allem durch die Fortschritte in der Mikrochiptechnik sind Mikrocontroller-Ausweise in den letzten Jahren zum Standard geworden. Sie spielen deshalb in diesem Buch eine deutlich wichtigere Rolle als Ausweise mit Speicherchips. Auch Mikrocontroller-Ausweise haben meist die aufgedruckten Informationen gespeichert. Darüber hinaus kann der Ausweischip kryptografische Verfahren ausführen. Dies ist meist der wichtigste Grund, warum überhaupt ein Chip mit programmierbarer Rechenlogik auf einem Ausweis ver-
69
5 Elektronische Ausweise im Überblick wendet wird. Die benötigten Schlüssel kann der Chip im eigenen Dateisystem unauslesbar speichern. Ein Spezialfall der Mikrocontroller-Ausweise sind Dual-Interface-Ausweise, die über eine kontaktlose Schnittstelle eine Challenge-Response-Funktion anbieten (beispielsweise kompatibel mit Mifare oder Legic), während alle anderen Anwendungen kontaktbehaftet angesprochen werden. Eine solche Doppelschnittstelle ist vor allem interessant, wenn ein Ausweis eine Bezahlfunktion unterstützen oder für die Zutrittskontrolle genutzt werden soll. Da für solche Anwendungen Challenge-Response-Chips eine große Verbreitung haben, liegt es nahe, einen elektronischen Ausweis mit einer entsprechenden Funktion auszustatten, die sich innerhalb vorhandener Infrastrukturen nutzen lässt. Wie in Abschnitt 4.3 beschrieben, sind Chipkarten auf eine kostengünstige Herstellung, Robustheit und Sicherheit ausgelegt. Diese drei Ziele gelten auch für elektronische Ausweise und ihre Mikrochips. Wie man sich leicht vorstellen kann, muss eine Ausweiskarte sicherer sein als etwa eine Telefonkarte, da der damit mögliche Missbrauch deutlich schwerwiegender ist. Auch an die Robustheit eines elektronischen Ausweises werden hohe Anforderungen gestellt, da ein solcher oft jahrelang funktionieren muss und zahlreichen Belastungen ausgesetzt ist. Eine kostengünstige Herstellung ist bei elektronischen Ausweisen zwar ebenfalls wichtig, hat jedoch häufig nicht die allerhöchste Priorität. Dies liegt daran, dass der Betreiber eines Ausweissystems meist eine Monopolstellung hat und daher keinen Unterbietungswettbewerb fürchten muss. Wie ich bereits in Abschnitt 4.3 erwähnt habe, sind Chipkarten eine Technik, in der europäische Anbieter weltweit führend sind. Dies ist auch bei elektronischen Ausweisen der Fall, in der sich Chipkarten-Firmen wie Austria Card, Deutsche Telekom, Gemalto, Giesecke & Devrient, Sagem Orga, Siemens und Trüb etabliert haben. Offenbar betreiben diese Unternehmen in ihrer Heimat eine gute Lobbyarbeit, denn in Europa laufen derzeit auffällig viele E-Ausweis-Projekte. Daneben sind europäische Anbieter auch in Asien am Markt präsent, wo es ebenfalls zahlreiche E-Ausweis-Projekte gibt. Selbst in den USA machen europäische Firmen gute Geschäfte mit elektronischen Ausweissystemen.
5.1.3 Elektronische Ausweise und Biometrie Ein Ausweis ist per Definition dazu geeignet, den Inhaber zu identifizieren. Die Biometrie kann dazu einen wichtigen Beitrag leisten. Viele E-Ausweis-Systeme nutzen daher biometrische Merkmale. In der Regel wird hierbei ein biometrisches Referenzmuster auf dem Ausweischip gespeichert, das bei Bedarf für einen Vergleich mit einem aktuell eingelesenen Bild zur Verfügung steht. Prinzipiell ist es auch möglich, den Referenzwert nicht auf dem Chip, sondern in einer Datenbank zu speichern, auf die das Prüfgerät Zugriff hat (auf dem Chip wird hierbei meist ein Verweis auf den Datenbankeintrag abgelegt). Letztere Variante ist jedoch im Zusammenhang mit elektronischen Ausweisen unüblich, da die Nutzung des Chips für diesen Zweck einfacher und eleganter ist. Ein biometrisches Merkmal auf dem Ausweischip bringt vor allem zwei Vorteile mit sich. Zum einen bietet die Biometrie eine deutlich höhere Sicherheit bei der Identifizierung ei-
70
5.1 Die Technik elektronischer Ausweise ner Person als ein Passfoto. Selbst eineiige Zwillinge unterscheiden sich in ihrem Fingerabdruck und ihrer Iris. Daher lässt sich vor allem die Fremdnutzung eines Ausweises mithilfe der Biometrie wirksam verhindern. Zum anderen können die Abfrage eines biometrischen Merkmals und der anschließende Referenzmustervergleich maschinell (also beispielsweise ohne Beisein eines Polizisten) durchgeführt werden. Dies senkt den Personalaufwand an der Grenze oder am Flughafen beträchtlich. Die Biometrie ist daher vor allem für elektronische Reisedokumente ein beliebtes Werkzeug. Die für elektronische Ausweise wichtigste Biometrievariante ist die Fingerabdruckerkennung. Diese gilt als relativ sicher und praktikabel. Vorteilhaft daran ist nicht zuletzt die Tatsache, dass ein Fingerabdruckleser klein und handlich ist und sich dadurch einfach in PC-Tastaturen und Kartenterminals integrieren lässt. Neben der Fingerabdruckerkennung spielen auch die Gesichtserkennung, die Iriserkennung sowie die Hand- und Fingervenenerkennung eine gewisse Rolle im E-Ausweis-Wesen. Andere Spielarten der Biometrie treten in diesem Zusammenhang dagegen sehr selten auf. Beim Vergleich des Referenzmusters mit einem aktuell eingelesenen Muster gibt es zwei Varianten. Zum einen kann ein Prüfgerät diese Prüfung vornehmen, nachdem es das Referenzmuster von der Karte gelesen hat. Dies wird als Match-on-System bezeichnet. Alternativ dazu kann das Prüfgerät das gemessene Muster an den Chip weitergeben, woraufhin dieser den Vergleich selbst berechnet (Match-on-Card). Das Referenzmuster kann in diesem Fall unauslesbar auf dem Chip gespeichert sein, was aus Datenschutzgründen durchaus sinnvoll ist. Der wichtigste Vorteil des Match-on-Card besteht darin, dass der Ausweischip das biometrische Merkmal als Ersatz für eine PIN verwenden kann. Der Chip gibt hierbei bestimmte Funktionen erst frei, wenn der Anwender den richtigen Fingerabdruck bzw. die richtige Gesichtsgeometrie bzw. das richtige Irismuster eingegeben hat. Durch Match-on-Card lässt sich eine Fremdnutzung besonders wirksam verhindern, denn hierbei kann nur der Inhaber selbst die Karte mithilfe seines biometrischen Merkmals in Betrieb setzen. Allerdings hat Match-on-Card auch Nachteile. So benötigt man dafür eine komplexe Vergleichslogik auf dem Ausweischip und daher einen vergleichsweise rechenstarken Prozessor. Dies wirkt sich nachteilig auf die Kosten des Ausweissystems aus. Der Fortschritt in der Mikrochiptechnik hat in den letzten Jahren jedoch dafür gesorgt, dass Match-on-Card immer attraktiver wird.
5.1.4 Kryptografische Sicherheitsmerkmale Wie in Abschnitt 3.2 beschrieben, gibt es zwischen der Kryptografie und elektronischen Ausweisen eine gegenseitige Abhängigkeit. In diesem Unterkapitel geht es um den Nutzen, den die Kryptografie für elektronische Ausweise hat. Genauer gesagt wollen wir uns fragen, wie kryptografische Sicherheitsmerkmale elektronische Ausweise fälschungssicher machen können. Das folgende Unterkapitel betrachtet dann die Frage, wie elektronische Ausweise in der Kryptografie von Nutzen sein können.
71
5 Elektronische Ausweise im Überblick Um Fälschungen zu verhindern, werden die Daten auf einem Ausweischip häufig vom Herausgeber digital signiert. Dies bezeichnet man als statische Datenauthentifizierung (Static Data Authentication, SDA). Die SDA ist sowohl für Speicherchips als auch für Smartcard-Chips geeignet. Sie stellt sicher, dass die Daten in einem Ausweischip nicht manipuliert sind, kann jedoch nicht verhindern, dass Ausweisdaten kopiert werden. Die SDA bietet daher keinen Schutz vor dem Kopieren (Klonen) eines E-Ausweises. Ein weiteres kryptografisches Sicherheitsmerkmal vieler elektronischer Ausweise ist die dynamische Datenauthentifizierung (Dynamic Data Authentication, DDA). Als DDA bezeichnet man ein Challenge-Response-Verfahren mit einem asymmetrischen Algorithmus, dessen privater Schlüssel unauslesbar auf dem Ausweischip gespeichert ist. Hierbei sendet ein Prüfgerät eine Challenge, die der Chip signiert und anschließend zurückschickt. Mithilfe des zugehörigen öffentlichen Schlüssels (der meist Bestandteil eines digitalen Zertifikats ist) kann das Prüfgerät die Korrektheit der Response kontrollieren. Wenn man voraussetzt, dass jeder Ausweis einen anderen privaten Schlüssel gespeichert hat und es zudem keine Möglichkeit gibt, an diesen Schlüssel heranzukommen, dann lässt sich auf diese Weise sicherstellen, dass der Ausweis echt (und nicht etwa kopiert) ist. Anders als die SDA macht die DDA also das Kopieren eines Ausweises unmöglich, kann jedoch die Veränderung von Daten auf dem Ausweis nicht verhindern. Im Gegensatz zur SDA setzt die DDA einen Smartcard-Chip voraus, da ein Speicherchip nicht in der Lage ist, die Response zu berechnen. SDA und DDA lassen sich sehr gut miteinander kombinieren. Viele elektronische Ausweise verwenden daher beide Merkmale. Eine interessante Frage lautet, was passiert, wenn man auf eines der beiden Prinzipien (oder sogar auf beide) verzichtet. Hier sind die Antworten: Nur SDA: Auf DDA zu verzichten, ist insbesondere dann notwendig, wenn es sich um einen reinen Speicherausweis handelt. Dieser Verzicht hat zur Folge, dass ein Angreifer den Karteninhalt kopieren und auf eine andere Karte bringen kann. Dies ist durchaus tolerierbar, wenn die physikalischen Sicherheitsmerkmale des Ausweises ausreichen, um eine Fälschung zu verhindern. Nur DDA: SDA hat die Eigenschaft, dass praktisch jeder den Inhalt eines Ausweises auf seine Richtigkeit prüfen kann. Dies hat durchaus seine Nachteile. Man stelle sich einmal vor, der signierte Inhalt eines Ausweises tauche im Internet auf. Dies hätte zur Folge, dass zahlreiche Unbefugte diese Daten einsehen könnten und in Form der digitalen Signatur gleichzeitig noch ein Echtheitszertifikat mitgeliefert bekämen (Fremdprüfungsproblem). Manche E-Ausweis-Herausgeber verzichten daher aus Datenschutzgründen auf SDA und setzen ausschließlich DDA ein. In diesem Fall muss die Korrektheit der Ausweisdaten durch einen zuverlässigen Schreibschutz auf dem Chip sichergestellt werden Weder DDA noch SDA: Wenn der Betreiber eines Ausweissystems mit Speicherkarten arbeitet und obendrein den Aufwand für digitale Signaturen scheut, kann er durchaus auch auf DDA und auf SDA verzichten. In diesem Fall müssen wiederum die physika-
72
5.1 Die Technik elektronischer Ausweise lischen Sicherheitsmerkmale und ein geeigneter Schreibschutz die gewünschte Sicherheit bringen. Anstatt eines asymmetrischen Verfahrens kann auch ein symmetrischer Algorithmus Fälschungen verhindern. An die Stelle der SDA kann hierbei ein MAC-Verfahren treten, und die DDA kann durch ein symmetrisches Challenge-Response-Verfahren ersetzt werden. Allerdings stellt sich nun die Frage, wie Chip und Prüfgerät zu einem gemeinsamen geheimen Schlüssel gelangen. In kleineren Umgebungen ist es durchaus möglich, dass das Prüfgerät die geheimen Schlüssel aller Chips kennt. In großen E-Ausweis-Systemen (wenn es beispielsweise um Reisepässe oder Identitätsausweise geht) funktioniert dies jedoch nur schlecht. Deshalb wollen wird den symmetrischen Fall in diesem Buch nicht näher betrachten. Übrigens kann Kryptografie nicht nur dazu beitragen, einen elektronischen Ausweis fälschungssicher zu machen, sondern beispielsweise auch ein unbefugtes Auslesen verhindern. Mehr dazu gibt es in Abschnitt 8.2.
5.1.5 Elektronische Ausweise als kryptografische Werkzeuge Ein elektronischer Ausweis profitiert nicht nur von der Kryptografie, sondern ist auch ein interessantes Hilfsmittel für den Kryptografieeinsatz in Umgebungen, die normalerweise nichts mit der Ausweistechnik zu tun haben. Diesen Gedanken kann man auf einen kurzen Nenner bringen: Ein elektronischer Ausweis kann in einem Kryptografiesystem die Aufgabe einer gewöhnlichen Smartcard übernehmen. Interessant sind vor allem die in Abschnitt 4.4 genannten Anwendungen: die Authentifizierung mit einem symmetrischen oder einem asymmetrischen Verfahren, die symmetrische Verschlüsselung sowie die digitale Signatur. In allen Fällen speichert der Ausweischip einen geheimen bzw. privaten Schlüssel und führt damit die jeweiligen kryptografischen Operationen aus. Ausweise als Smartcards für beliebige kryptografische Anwendungen zu nutzen, hat erhebliche Vorteile. Anstatt zwei unterschiedliche Dokumente (einen Ausweis und eine Smartcard) mit sich herumzutragen, kann sich ein Anwender in diesem Fall auf eines (einen elektronischen Ausweis) beschränken. Anstatt sich bei einem öffentlichen Trust Center eine Signaturkarte zu holen, kann ein Anwender seinen Ausweis mit integrierter Signaturfunktion dazu nutzen. Viele Herausgeber von E-Ausweisen (vor allem staatliche Stellen) verfolgen mit ihren Projekten ausdrücklich den Zweck, digitale Signaturen, zertifikatsbasierte Authentifizierung und ähnliche Anwendungen populärer zu machen. Das Kalkül hierbei ist offensichtlich: Hat ein Anwender erst einmal die Möglichkeit, seinen Ausweis kryptografisch zu nutzen, dann tut er das in vielen Fällen auch. Benötigt ein Anwender dagegen für solche Zwecke eine eigene Smartcard, die er womöglich erst beantragen muss, dann ist die Hemmschwelle deutlich höher. Vor allem elektronische Identitätsausweise haben oft die Aufgabe, ihren Inhabern den Umgang mit kryptografischen Anwendungen schmackhaft zu machen.
73
5 Elektronische Ausweise im Überblick
5.1.6 Infrastruktur Praktisch alle elektronischen Ausweisdokumente haben eines gemein: Der Ausweis inklusive Chip ist stets nur eines von mehreren Bestandteilen eines größeren Gesamtsystems. Oder anders ausgedrückt: Ein elektronisches Ausweisdokument benötigt eine geeignete Infrastruktur, um einen Nutzen zu haben. Diese Infrastruktur lässt sich meist in zwei Teile aufteilen: Zum einen gibt es Komponenten, mit denen der elektronische Ausweis seinen Zweck (das sichere Identifizieren des Inhabers) erfüllen kann (Ausweisinfrastruktur); zum anderen ermöglichen es Komponenten, dass ein elektronischer Ausweis zusätzliche Funktionen bereitstellen kann, die nichts mit den traditionellen Anwendungsgebieten von Ausweisen zu tun haben (Anwendungsinfrastruktur). Die Ausweisinfrastruktur und die Anwendungsinfrastruktur fasst man unter dem Begriff Hintergrundsystem zusammen. Ausweisinfrastruktur
Anwendungsinfrastruktur
Hintergrundsystem
elektronischer Ausweis Abbildung 5.1: Ein elektronischer Ausweis ist stets nur ein kleiner Teil in einem größeren Gesamtsystem.
Zur Ausweisinfrastruktur gehören zunächst einmal Geräte, die in der Lage sind, einen Ausweis zu prüfen (im Gegensatz zu einem visuellen Ausweis kann ein elektronischer Ausweis nur maschinell geprüft werden). Je nach Ausprägung des Ausweises muss ein solches Prüfgerät eine statische und dynamische Datenauthentifizierung sowie eine biometrische Prüfung durchführen können. Manche Ausweissysteme sehen zudem vor, dass ein Prüfgerät die Daten eines Ausweises mit einer zentralen Datenbank abgleicht, um damit beispielsweise feststellen zu können, ob der Ausweis gesperrt ist. Wie die Anwendungsinfrastruktur aufgebaut ist, hängt stark von den Anwendungen ab. In vielen Fällen bietet ein Web-Portal oder ein Client-Programm auf dem PC Zugriff auf verschiedene Server-Anwendungen, die ein Teil der Infrastruktur sind. Zu deren Nutzung benötigt der Ausweisinhaber meist ein Kartenterminal und eine geeignete SmartcardMiddleware. Davon abgesehen können auch öffentliche Computer-Terminals (Kiosk-PCs) zur Anwendungsinfrastruktur gehören. Es gibt zudem viele Komponenten, die sowohl zur Ausweis- als auch zur Anwendungsinfrastruktur zählen. Dazu gehören in vielen Fällen eine PKI (manchmal ist die PKI auch Teil der Ausweisinfrastruktur, jedoch von der PKI der Anwendungsinfrastruktur getrennt). Auch die zur Personalisierung und für das Kartenmanagement benötigten Komponenten dienen meist sowohl der Ausweisfunktion als auch zusätzlichen Anwendungen elektronischer Ausweise.
74
5.2 Elektronische Ausweisdokumente im Überblick
5.2
Elektronische Ausweisdokumente im Überblick Jede Art von Ausweis, die wir in Kapitel 2 betrachtet haben, lässt sich mit einem Chip bestücken und dadurch zu einem elektronischen Ausweis machen. In den folgenden Unterkapiteln sehen wir uns die verschiedenen Möglichkeiten genauer an.
5.2.1 Elektronischer Reisepass Für Reisepässe gibt es seit Jahrzehnten die weltweit anerkannten Richtlinien der Luftfahrtorganisation ICAO. Eine große Bedeutung erlangte insbesondere der in den achtziger Jahren eingeführte maschinenlesbare Reisepass (MRP). Bereits in der Anfangszeit des MRP beschäftigte sich die ICAO zudem mit der Idee, einen Chip auf den Reisepass zu bringen, doch zunächst blieb es bei theoretischen Überlegungen. Erst Ende der neunziger Jahre machte die ICAO schließlich ernst und begann mit der Entwicklung eines Standards für elektronische Reisepässe. Schnell war klar, dass die geplanten Dokumente biometrische Merkmale speichern sollten, da dies eine automatische Passkontrolle ermöglichte und Missbrauch erschwerte. 2001 gab die ICAO bekannt, dass sie die Gesichtserkennung als diesbezüglich wichtigste Technologie ansah. Danach folgten die Fingerabdruck- und die Iriserkennung. Andere Biometrievarianten spielen in den ICAO-Überlegungen bis heute keine Rolle. Im Jahre 2003 veröffentlichte die ICAO eine unter der Bezeichnung „Blueprint“ (engl. für „Blaupause“) bekannt gewordene Empfehlung. Diese gab erstmals einen Rahmen für elektronische Reisepässe vor. Der Blueprint sah die Verwendung kontaktloser Chips vor, auf denen die genannten biometrischen Merkmale gespeichert werden sollten. Als weitere Punkte nannte das Dokument die Verwendung einer genau definierten Datenstruktur (Logical Data Structure) und die Nutzung von Public-Key-Infrastrukturen. Diese Vorgaben flossen in die Weiterentwicklung des Standards DOC 9303 der ICAO ein und erhielten den Namen MRTD (Machine Readable Travel Document). Um den MRTD-Standard geht es in Kapitel 8. Da sich der MRP nach seiner Einführung in den achtziger Jahren nur recht langsam verbreitet hatte, fürchteten viele, dass dies auch beim MRTD so kommen würde. Diese Befürchtungen erfüllten sich jedoch nicht. Nicht zuletzt die Terroranschläge vom 11. September 2001 sorgten dafür, dass viele Staaten elektronische Reisepässe als Werkzeug für die Terrorbekämpfung wahrnahmen und auf eine schnelle Einführung setzten. Als fördernd für die Akzeptanz hat sich insbesondere der zunehmende Flugverkehr erwiesen, in dem der elektronische Reisepass schnelle und unkomplizierte Kontrollen ermöglicht. Zur Verbreitung elektronischer Reisepässe hat nicht zuletzt das sogenannte Visa-WaiverProgramm der USA beigetragen. Dabei handelt es sich um eine seit 1986 existierende Regelung, die es den Bürgern bestimmter Staaten erlaubt, ohne Visum in die Vereinigten Staaten einzureisen (maximal 90 Tage lang). Bisher stehen 34 Staaten auf der Liste (Stand Ende 2008), voraussichtlich werden weitere dazu kommen. Deutschland, Österreich, die Schweiz und Liechtenstein sind bereits dabei. Im Visa-Waiver-Programms finden Länder
75
5 Elektronische Ausweise im Überblick Berücksichtigung, aus denen aufgrund eines relativ hohen Wohlstands kaum illegale Einwanderer zu erwarten sind und die für ein zuverlässiges Ausweiswesen bekannt sind. Nach den Terroranschlägen von 2001 verschärften die USA die Anforderungen an die Visa-Waiver-Staaten. Reisepässe, die seit dem 26. Oktober 2006 ausgestellt werden, müssen MRTD-konform sein und ein (biometrisch nutzbares) Passfoto enthalten, ansonsten gilt Visumspflicht. Fingerabdrücke auf dem Chip werden dagegen bisher nicht gefordert. Neben den USA sorgte die Europäische Union durch eine entsprechende Richtlinie für eine Verbreitung des elektronischen Reisepasses. Am 13. Dezember 2004 beschloss der Rat der Europäischen Union – nicht zuletzt durch die Vorgaben der USA –, die Pässe der Mitgliedsstaaten entsprechend umzustellen. Demnach mussten die nationalen Ausweisbehörden in einer Frist von 18 Monaten (ab dem 28. Februar 2005) elektronische Reisepässe mit Gesichtsbild sowie innerhalb von 36 Monaten (ab dem 28. Juni 2006) zusätzlich mit Fingerabdrücken ausstellen. Diese Entwicklungen sorgten dafür, dass Ende 2008 bereits über 50 Staaten weltweit elektronische Reisepässe ausgestellt hatten. Bereits jeder zweite ausgestellte Reisepass war zu diesem Zeitpunkt ein elektronischer. Eine solche Verbreitung gibt es bei keinem anderen elektronischen Ausweisdokument. Im Vergleich zu anderen elektronischen Ausweisdokumenten sind elektronische Reisepässe damit gut standardisiert. Für diesen Vorteil kann man sicher in Kauf nehmen, dass diese die derzeitigen Möglichkeiten der E-AusweisTechnik nicht wirklich ausschöpfen. So sieht die MRTD-Vorgabe der ICAO keine für beliebige Zwecke nutzbare Verschlüsselungs-, Authentifizierungs- oder Signaturanwendung auf einem elektronischen Reisepass vor. Derweil gibt es jedoch auch Kritik an den elektronischen Reisepässen. Vor allem das unbefugte Auslesen (Skimming) des Ausweischips erscheint problematisch. In den USA wurden diesbezüglich Horrorszenarien diskutiert, die beispielsweise Terroranschläge auf Basis des Reisepasses zum Inhalt hatten. So könnte eine Bombe so konstruiert sein, dass sie genau in dem Moment explodiert, in dem ein US-Bürger daran vorbeigeht. Der für Reisepässe verwendete MRTD-Standard verhindert solche Angriffe jedoch zuverlässig.
5.2.2 Elektronischer Identitätsausweis Die ersten Länder, die einen elektronischen Identitätsausweis einführten, waren im Jahr 1999 Finnland und Brunei. Belgien, Malaysia, Hongkong und einige andere folgten in den Jahren danach. Inzwischen haben etwa 25 Nationen einen elektronischen Identitätsausweis eingeführt, und es kommen ständig weitere dazu. Derzeit sind drei Weltregionen erkennbar, in denen sich fast alle diesbezüglichen Projekte konzentrieren: Europa: In Europa machte Finnland den Anfang. Inzwischen haben Belgien, Spanien, Estland und einige weitere Staaten mit elektronischen Identitätskarten nachgezogen. Ostasien: Mit Malaysia, China (Volksrepublik), Hongkong, Brunei und einigen anderen Staaten bzw. Regionen ist der östliche Teil Asiens gut mit elektronischen Identitätskarten versorgt.
76
5.2 Elektronische Ausweisdokumente im Überblick
Abbildung 5.2: Beispiel für eine elektronische Identitätskarte (mit kontaktbehafteten Chip)
Arabien: Von Saudi-Arabien über Katar bis Oman haben alle reichen Ölstaaten Arabiens inzwischen eine elektronische Identitätskarte eingeführt oder stehen kurz davor. In Amerika gibt es dagegen bisher nur sehr wenige E-Identitätskarten-Projekte. Die USA haben bisher keine konkreten Pläne für einen nationalen elektronischen Identitätsausweis, und die meisten anderen Staaten des amerikanischen Kontinents halten sich ebenfalls zurück. Während elektronische Reisepässe durch die internationale Standardisierung den kleinsten gemeinsamen Nenner verkörpern und daher nur eine eingeschränkte Funktionalität besitzen, bieten elektronische Identitätsausweise meist deutlich mehr. Die unterschiedlichen Staaten nutzen ihre elektronischen Identitätskarten beispielweise, um private Schlüssel für unterschiedliche Anwendungen auf den Chip aufzubringen. Der Inhaber des Ausweises kann sich damit beispielsweise im Internet authentifizieren und auf diese Weise Online-Angebote von Behörden und privaten Unternehmen nutzen. Außerdem gehören digitale Signaturen zu den gängigen Anwendungsmöglichkeiten einer elektronischen Identitätskarte. Darüber hinaus sind der Fantasie kaum Grenzen gesetzt. Unter anderen gibt es elektronische Identitätsausweise, die sich für den Gebäudezutritt, als Bibliotheksausweis, für das Bezahlen in öffentlichen Verkehrsmitteln, für den Altersnachweis, als Kreditkarte oder für medizinische Anwendungen nutzen lassen. Im Gegensatz zum elektronischen Reisepass sind viele elektronische Identitätskarten echte Multifunktionsdokumente. Ein Vorteil hierbei liegt auf der Hand: Je mehr Anwendungen es für ein solches Dokument gibt, desto rentabler ist der Betrieb eines Ausweissystems. Da es elektronische Identitätsausweise schon vor dem elektronischen Reisepass gab, hielten sich die frühen Systeme nicht an den MRTD-Standard, der damals noch gar nicht existierte. Erst Mitte dieses Jahrzehnts wurde es populär, elektronische Identitätsausweise MRTD-konform zu gestalten. Leider herrscht bei den elektronischen Identitätsausweisen aus diesem Grund alles andere als internationale Einheitlichkeit (anders als beim Reisepass). Alle frühen Projekte sind nationale Alleingänge. Die neueren Vorhaben orientieren sich meist am MRTD-Standard, bringen aber zusätzlich eigene Aspekte mit ein. Welche Initiativen derzeit laufen, um diesem Wildwuchs zu begegnen, erfahren Sie in Kapitel 9.
77
5 Elektronische Ausweise im Überblick
5.2.3 Elektronische Ausweise im Gesundheitswesen Chipkarten für Krankenversicherte und Heilberufler gab es bereits in den frühen neunziger Jahren (beispielsweise in Deutschland). Die meisten derartigen Dokumente waren keine E-Ausweise im Sinne dieses Buchs, da sie kein Passfoto trugen und daher nicht für eine sichere Identifizierung des Inhabers geeignet waren. Vor allem die weit verbreitete Fremdnutzung solcher Karten veranlasste einige Herausgeber jedoch, Passfotos auf die Karten aufzubringen. Krankenversicherten-Chipkarten entwickelten sich dadurch in den letzten Jahren zunehmend zu Krankenversichertenausweisen. Zählt man die frühen Kartensysteme ohne Passfoto dazu, dann haben elektronische Ausweise im Gesundheitswesen eine längere Geschichte als elektronische Reisepässe und Identitätskarten. Der Grund für diese Innovationsfreudigkeit ist leicht einzusehen. Im Gesundheitswesen muss sich der Durchschnittsbürger besonders oft mit einem geeigneten Dokument legitimieren. Je nach Staat und Art der Krankenversicherung hat ein Patient teilweise bei jedem Arztbesuch eine Bescheinigung (z. B. Krankenschein oder Patientenausweis) vorzulegen. Wer einen Arzt oder ein Krankenhaus zum ersten Mal aufsucht, muss zudem seine gesamten Personalien übermitteln. Es leuchtet ein, dass es sich lohnt, derartige Vorgänge mit Chipkarten zu beschleunigen. Die erste Generation der Krankenversichertenkarten, die in den neunziger Jahren aufkam, diente genau diesem Zweck. Es handelte sich dabei um reine Speicherkarten, die es beispielsweise einer Arzthelferin ermöglichten, die Daten eines Patienten automatisch, schnell und fehlerfrei in einen PC zu übertragen. Mehr war mit diesen Karten nicht möglich. Um den Datenschutz zu wahren, speicherten die Versichertenkarten keine medizinischen Daten. Für eine Online-Anwendung waren die Chips noch nicht geeignet, da diese keine Rechenlogik besaßen. Auch wenn elektronische Krankenversichertenkarten in einigen Ländern gute Dienste leisteten, fanden sie international nur eine geringe Verbreitung. Den Verantwortlichen erschien in den meisten Fällen wohl der Aufwand eines Kartensystems zu groß, das vor allem dazu diente, die Schreibarbeit in der Arztpraxis etwas zu verringern. Ebenfalls Mitte der neunziger Jahre kam erstmals die Idee auf, Ärzte, Apotheker und andere Heilberufler mit elektronischen Ausweisdokumenten auszustatten. In den meisten Ländern verlief diese Entwicklung unabhängig von den Krankenversichertenkarten. Allerdings blieb es in den meisten Fällen bei der Idee, denn die Vorteile eines solchen Ausweises waren beim damaligen Stand der Technik noch nicht wirklich überzeugend. Erst seit einigen Jahren gibt es in einigen Ländern ernsthafte Bestrebungen, Smartcards im Gesundheitswesen in einer Art und Weise zu einzusetzen, die die gesamten Möglichkeiten der E-Ausweis-Technik nutzt. Die entsprechenden Projekte beinhalten meist sowohl Patienten- als auch Heilberuflerkarten. Man spricht in diesem Zusammenhang meist allgemein von elektronischen Gesundheitskarten. Fast alle elektronischen Gesundheitskarten sind elektronische Ausweise im Sinne dieses Buchs, da sie mit einem Passfoto ausgestattet sind. Die Anwendungen einer elektronischen Gesundheitskarte sind vielfältig. Das Spektrum reicht von Notfalldaten über den Arztbrief bis zum elektronischen Rezept. Praktisch alle elektronischen Gesundheitskarten sehen darüber hinaus umfangreiche Online-Angebote vor.
78
5.2 Elektronische Ausweisdokumente im Überblick So kann die Karte beispielsweise zur Authentifizierung für eine Online-Krankenakte genutzt werden. Eine solche ermöglicht es, dass mehrere Ärzte auf die Krankenakte eines Patienten zugreifen können, ohne dass dafür Papierdokumente transportiert werden müssen. Durch die zahlreichen Anwendungsmöglichkeiten sind Gesundheitskartensysteme oft äußerst komplex. Die Infrastruktur ist in vielen Fällen deutlich umfangreicher als bei anderen elektronischen Ausweisen. Kompliziert sind solche Systeme nicht zuletzt auch durch die hohen Anforderungen an den Datenschutz. So muss sichergestellt werden, dass nur Befugte an entsprechende Daten herankommen und dass der Patient selbst bestimmen kann, was mit seinen Daten geschieht. Die technischen Anforderungen an eine elektronische Gesundheitskarte sind oftmals andere als etwa bei einer elektronischen Identitätskarte. So müssen elektronische Gesundheitskarten meist nicht absolut fälschungssicher sein, da eine falsche Karte in der Regel nicht mehr als ein paar kostenlose Arztbesuche einbringt. Physikalische Sicherheitsmerkmale wie Hologramme findet man auf Gesundheitskarten daher kaum. Dafür haben viele Gesundheitskarten mehr Speicher als ein elektronischer Identitätsausweis. Dies liegt daran, dass auf einer Gesundheitskarte oft Daten wie elektronische Rezepte oder Notfallinformationen gespeichert werden. Eine charakteristische Eigenschaft von Gesundheitskarten ist leider auch, dass die Lösungen international recht unterschiedlich ausfallen. Die Unterschiede sind noch größer als bei den ebenfalls nicht gerade einheitlichen Identitätsausweisen. Die Gründe hierfür liegen vor allem in den unterschiedlichen Gesundheitssystemen der einzelnen Staaten. Eine internationale Standardisierung gibt es praktisch nicht und wird es aufgrund der unterschiedlichen Gesundheitswesen wohl auch vorerst nicht geben. Alle bisherigen Lösungen sind daher Insellösungen. Dies gilt auch für die deutsche elektronische Gesundheitskarte (eGK), die österreichische e-Card und die schweizerische elektronische Versichertenkarte. Elektronische Gesundheitskarten sind bisher deutlich seltener als elektronische Personalausweise. Als Vorreiter gilt Österreich mit der seit Jahren im Einsatz befindlichen e-Card. Die deutsche elektronische Gesundheitskarte könnte in den nächsten Jahren Deutschland an die Spitze der Entwicklung katapultieren. Andere Länder könnten diesen Beispielen folgen. Interessant ist die Frage, ob sich eine elektronische Gesundheitskarte mit einer elektronischen Identitätskarte zu einem Dokument vereinigen lässt. In einigen Staaten (z. B. in Malaysia und den Vereinigten Arabischen Emiraten) gibt es diesen Ansatz bereits. Die Vorteile einer solchen Praxis liegen auf der Hand: Der Aufwand für eine GesundheitsIdentitätskarte ist kleiner als für zwei verschiedene Systeme. Allerdings stehen einem solchen Vorgehen eine größere Komplexität sowie einige Datenschutzprobleme entgegen. In den datenschutzsensiblen europäischen Staaten wird sich diese Idee meiner Meinung nach so schnell nicht durchsetzen.
79
5 Elektronische Ausweise im Überblick
5.2.4 Elektronische Behördenausweise Auch Ausweise, die von Behörden für spezielle Zwecke ausgestellt werden, können als elektronische Ausweise realisiert werden. Zwar ist von elektronischen Jagdscheinen und elektronischen Pilotenscheinen bisher noch keine Rede, doch elektronische Führerscheine gibt es bereits. Auf diese will ich mich daher im Folgenden beschränken. Im Vergleich zu elektronischen Personalausweisen, Reisepässen und Krankenversichertenkarten ist der elektronische Führerschein bisher erst in wenigen Staaten Realität. Ein Beispiel ist der indische Bundesstaat Gujarat, in dem bereits seit 1996 Führerscheine auf Chipkarten-Basis ausgegeben werden. Ein weiteres Land mit E-Führerschein ist El Salvador. Da praktisch überall auf der Welt die Fremdnutzung von Führerscheinen ein Problem ist, sind elektronische Führerscheine sehr oft mit einem biometrischen Merkmal (meist einem Fingerabdruck-Referenzmuster) ausgestattet. Die Möglichkeit, auf diese Weise das Verleihen und Stehlen von Führerscheinen zu verhindern, war in vielen Fällen der Anlass, überhaupt ein E-Führerschein-System einzuführen. Davon abgesehen bietet es sich an, auf einem elektronischen Führerschein einen privaten Schlüssel unterzubringen, der sich für Online-Anwendungen nutzen lässt – beispielsweise für das Buchen eines Mietwagens. Interessant ist auch der Gedanke, einen elektronischen Führerschein als Ersatz für den Zündschlüssel eines Autos zu verwenden. Innerhalb der EU gibt es zwar Überlegungen für einen elektronischen Führerschein, doch diese sind noch nicht weit fortgeschritten. Bereits 1996 schrieb die EU-Führerschein-Richtlinie vor, auf dem seitdem im ID-1-Format ausgestellten Ausweis einen Platz für einen kontaktbehafteten Chip vorzusehen. Dieser Platz blieb jedoch vorläufig leer, denn den EUStaaten wurde vorläufig untersagt, einen Chip aufzubringen (man wollte das Entstehen von nationalen Alleingängen verhindern). Seit Dezember 2006 gibt es die inzwischen dritte EU-Führerscheinrichtlinie. In dieser heißt es, dass die EU-Staaten einen Mikrochip in das neue Plastikkarten-Führerscheinmuster einbauen können (aber nicht müssen). Die technischen Vorschriften für den Mikrochip sollen von der Kommission mit Unterstützung des Ausschusses für Führerscheine festgelegt werden. Es wird also noch einige Jahre dauern, bevor der elektronische EU-Führerschein Realität wird. Für ein gewisses Medieninteresse hat in der Zwischenzeit der schwedische Tüftler Fred Goldberg gesorgt. Dieser entwickelte einen elektronischen Führerschein als Prototypen [Gold05]. Dieser besteht aus einer Smartcard, auf der alle relevanten Führerscheindaten und andere technische Informationen gespeichert sind. Die Karte ersetzt im Auto den Zündschlüssel, wobei es sogar einen Online-Abgleich mit einer Polizeileitstelle gibt. Auch ein auf dem Chip vorhandenes Notrufsystem, das bei einem Unfall automatisch einen Hilferuf versendet, ist denkbar. Allerdings hat die schwedische Regierung bisher kein Interesse gezeigt, den elektronischen Führerschein in die Praxis umzusetzen.
5.2.5 Elektronische Dienstausweise Die zunehmende Popularität elektronischer Ausweisdokumente hat dazu geführt, dass in den letzten Jahren auch elektronische Dienstausweise an Bedeutung gewonnen haben. In
80
5.2 Elektronische Ausweisdokumente im Überblick Deutschland, Österreich sowie in einigen weiteren Ländern gibt es derzeit entsprechende Projekte. Diese haben oft zum Ziel, den bisherigen Wildwuchs innerhalb des Behördenapparats einzudämmen und einheitliche Dokumente für alle Behörden einzuführen. Die größere Fälschungssicherheit elektronischer Ausweise spielt dagegen eine eher geringere Rolle. Dafür gibt es jedoch sehr interessante Online-Anwendungen für elektronische Dienstausweise. Im dritten Teil dieses Buchs werden wir mit dem deutschen und dem österreichischen Dienstausweis zwei Projekte näher betrachten.
5.2.6 Elektronische Ausweise im Bildungswesen Wie bereits in Abschnitt 2.2.5 beschrieben, haben Schüler- und Studentenausweise meist keinen hoheitlichen Charakter. Praktisch jede Lehreinrichtung stellt andere Ausweisdokumente aus, und der weltweit verbreitete Studentenausweis ISIC stammt von einer privaten Organisation. Immerhin haben einige Universitäten inzwischen auf elektronische Studentenausweise umgestellt (die ISIC gibt es dagegen nicht als elektronisches Dokument). Die Vorteile einer solchen Lösung liegen auf der Hand: Studenten können mit ihrem elektronischen Ausweis Online-Angebote der Universität nutzen (z. B. Anmeldung zur Klausur), ihr Essen in der Mensa bezahlen und sich an Universitätsrechnern einloggen. Elektronische Studentenausweise ähneln somit elektronischen Mitarbeiterausweisen in Unternehmen. Für uns sind solche Einzelprojekte jedoch weniger interessant. Von größerer Bedeutung sind in diesem Buch dagegen Initiativen, die einheitliche elektronische Ausweise im Bildungswesen einer Region oder in einem ganzen Staat zum Ziel haben. Solche standardisierten E-Ausweise sind nicht nur billiger (wegen der größeren Stückzahlen), sondern ermöglichen auch zahlreiche interessante Anwendungen. So kann beispielsweise eine zentrale Schulbehörde Online-Angebote zur Verfügung stellen, die über einen elektronischen Schülerausweis nutzbar sind. So könnten die Schüler auf diese Weise Schulbücher bestellen, sich für überregionale Veranstaltungen anmelden oder zentrale Prüfungen online ablegen. Sinnvollerweise sollte man ähnliche Ausweise auch für Lehrer und Dozenten zur Verfügung stellen. Trotz der genannten Vorteile gibt es bisher erst wenige konkrete Aktivitäten, die standardisierte elektronische Ausweise im Bildungswesen zum Inhalt haben. Vorreiter ist derzeit Österreich, wo es seit einigen Jahren die Educard gibt. Details zu diesem Projekt erfahren Sie in Abschnitt 12.4.
5.2.7 Elektronische Mitgliedsausweise Auch Mitgliedsausweise gibt es in elektronischer Form. Attraktiv sind solche Lösungen beispielsweise für Berufsorganisationen. So können etwa Rechtsanwaltskammern, Notarkammern oder Journalistenverbände elektronische Ausweise für ihre Mitglieder ausgeben und zusätzlich geeignete Online-Angebote zur Verfügung stellen. Interessant sind derartige E-Ausweise auch für digitale Signaturen, die beispielsweise für Rechtsanwälte und Notare eine wichtige Rolle spielen.
81
5 Elektronische Ausweise im Überblick Die größte Bedeutung unter den Mitgliedsausweisen haben bisher Ärzteausweise bzw. Heilberufsausweise. Diese werde ich in diesem Buch im Zusammenhang mit elektronischen Gesundheitskarten behandeln. Darüber hinaus gibt es beispielsweise in Österreich einen elektronischen Rechtsanwaltsausweis. Um diesen geht es in Abschnitt 12.6.
5.2.8 Elektronische Mitarbeiterausweise Elektronische Mitarbeiterausweise gibt es bereits in zahlreichen Unternehmen und Organisationen. Dies liegt sicherlich daran, dass die Zusatzfunktionen, die sich mit einem Chip auf einem Ausweis realisieren lassen, für viele Arbeitgeber klare Vorteile bieten. In Kapitel 6 gehe ich ausführlich auf dieses Thema ein.
5.2.9 Elektronische Kundenausweise Auch Kundenausweise werden in den letzten Jahren immer häufiger mit einem Mikrochip ausgestattet. Es gibt sogar Fälle, in denen ein elektronischer Kundenausweis eine offizielle Funktion erfüllt. Dies ist beispielsweise in Schweden der Fall, wo die von Banken ausgestellte BankID-Chipkarte eine ähnlich hohe Akzeptanz hat wie anderswo der Personalausweis oder der Führerschein. Zudem bieten sich von privaten Organisationen ausgestellte elektronische Dokumente oft als Übergangslösung an. So dient in Deutschland die Geldkarte an Zigarettenautomaten als Altersnachweis. Diese Aufgabe dürfte in den nächsten Jahren der elektronische Personalausweis übernehmen. Elektronische Kundenausweise sind jedoch nicht nur in der Finanzbranche von Interesse. Besonders attraktiv ist diese Technik auch für große Mobilitätsanbieter. So könnte etwa die Deutsche Bahn ihre BahnCard mit einem Chip ausstatten, und Fluggesellschaften könnten mit ihren Vielfliegerkarten ähnlich vorgehen. Die möglichen Anwendungen liegen auf der Hand: Von der Online-Buchung über das Online-Einchecken bis zur OnlineVerwaltung des Bonuspunkte-Kontos gibt es zahlreiche Möglichkeiten.
5.3
Angriffe auf elektronische Ausweise Angriffe auf elektronische Ausweise lassen sich in die gleichen Klassen einteilen wie die in Abschnitt 2.3 aufgeführten Angriffe auf herkömmliche Ausweise. Allerdings ist die Vorgehensweise des Angreifers teilweise eine völlig andere. Die Details wollen wir uns in den folgenden Unterkapiteln genauer anschauen. Dabei geht es stets nur um Angriffe auf den Ausweischip. Gelingt es einem Angreifer, diesen Chip in der gewünschten Form zu manipulieren, dann ist das zwar nur die halbe Miete, da er anschließend auch die physikalischen Sicherheitsmerkmale überlisten muss. Diesen zweiten Teil will ich jedoch an dieser Stelle übergehen, da er den Überlegungen in Abschnitt 2.3 entspricht.
82
5.3 Angriffe auf elektronische Ausweise
5.3.1 Totalfälschung Totalfälschungen gibt es bei elektronischen Ausweisen in zwei Varianten. Die einfachere davon sieht vor, dass ein vorhandener Ausweis kopiert wird (dies bezeichnet man auch als Klonen). Beim Klonen hat der Angreifer keinen Einfluss auf die Ausweisinhalte, da diese mit dem Original übereinstimmen. Schwieriger wird es, wenn der Angreifer einen elektronischen Ausweis mit beliebigem Inhalt (beispielsweise mit seinem eigenen Namen) erstellen will. Die Totalfälschung eines elektronischen Ausweises mit beliebigem Inhalt ist nahezu unmöglich, wenn dieser mit statischer Datenauthentifizierung (SDA) – also mit einer digitalen Signatur – gesichert ist. Um eine derartige Nachahmung zu bewerkstelligen, müsste der Angreifer die Signatur fälschen, die im Chip gespeichert ist. Beim heutigen Stand der Technik sind digitale Signaturen jedoch so sicher, dass dies auf mathematischem Wege kaum gelingen wird. Wenn überhaupt, dann müsste der Fälscher an den privaten Signaturschlüssel der Ausgabestelle herankommen. Wenn der Betreiber des Ausweissystems allerdings die üblichen Sicherheitsvorkehrungen beachtet, dann dürfte dies nicht funktionieren. Statische Datenauthentifizierung verhindert jedoch nicht, dass ein Angreifer einen elektronischen Ausweis klont. Ein guter elektronischer Ausweis nutzt deswegen zusätzlich oder alternativ zur statischen auch die dynamische Datenauthentifizierung (DDA). Diese verhindert das Kopieren eines Ausweises mithilfe eines privaten Schlüssels, den der Chip unauslesbar speichert. Dieser private Schlüssel wird für ein Challenge-Response-Verfahren verwendet. Auch bei der dynamischen Datenauthentifizierung hat ein Angreifer nur sehr geringe Chancen, das Sicherheitsmerkmal mit mathematischen Mitteln zu überlisten. Ein Fälscher kann jedoch versuchen, an den privaten Schlüssel auf dem Chip heranzukommen. Die Hersteller von Chipkarten haben zwar einiges unternommen, um ihre Chips gegenüber unbefugtem Auslesen zu schützen, doch ein Restrisiko bleibt. Mit einer geeigneten Ausrüstung (Elektronenmikroskop, Mikrowerkzeuge) hat ein Angreifer mit entsprechendem Know-how daher eine gewisse Chance. Allerdings handelt es sich hierbei um ein äußerst schwieriges Unterfangen.
5.3.2 Verfälschung Wenn ein elektronischer Ausweis eine statische Datenauthentifizierung unterstützt, dann ist es für einen Angreifer nahezu unmöglich, die Ausweisdaten zu verfälschen.
5.3.3 Fantasieausweise Das Herstellen eines Chips für einen Fantasieausweis ist ausgesprochen einfach. Jeder Hobby-Computeranwender kann einen Datensatz mit Informationen zu einer beliebigen Person zusammenstellen, diesen mit einem selbsterstellten privaten Schlüssel signieren und das Ganze zusammen mit einem passenden Fantasiezertifikat inklusive privatem Schlüssel auf einen Chip bringen. Dieser Chip kann Bestandteil eines beliebig bedruckten Ausweises sein. Allerdings sind solche elektronischen Fantasieausweise weitgehend wirkungslos. Denn während ein ansprechend gestalteter visueller Ausweis durch seine Optik
83
5 Elektronische Ausweise im Überblick äußerst beeindruckend wirken kann, lässt sich ein Prüfgerät normalerweise nicht von einem Fantasiezertifikat überlisten. Auch hier gilt also: Ein elektronischer Ausweis ist deutlich sicherer als ein herkömmliches Ausweisdokument.
5.3.4 Fremdnutzung Der Inhaber eines elektronischen Ausweises kann diesen – wie jeden anderen Ausweis – an eine andere Person verleihen. Wie wirksam dieser Angriff ist, hängt von den verwendeten Sicherheitsmerkmalen ab. Unterstützt der Ausweischip eine Challenge-ResponseAuthentifizierung (also eine dynamische Datenauthentifizierung), die mit einer PIN abgesichert ist, dann funktioniert der Betrug nur, wenn der Betrüger die PIN kennt. Will der Betreiber eines Ausweissystems eine Fremdnutzung komplett verhindern, dann hilft nur ein biometrisches Merkmal, das im Ausweischip gespeichert ist. Ein solches verhindert eine Fremdnutzung zuverlässiger als das Passfoto auf einem visuellen Ausweis.
5.3.5 Unrechtmäßiges Erlangen Wenn es um das unrechtmäßige Erlangen eines elektronischen Ausweises geht, dann gilt dasselbe wie bei nichtelektronischen Ausweisen: Die Sicherheit eines Ausweisdokuments geht gegen Null, wenn es für einen Unbefugten möglich ist, ein solches zu erlangen. Die Chipkartentechnik inklusive Biometrie und Kryptografie kann daran nicht viel ändern. Eine spezielle Gefahr zeigte Anfang 2009 der ehemalige Hacker Gunnar Porada auf [Pora09]. Ihm gelang es, das Aufbringen eines Fingerabdrucks auf einen Reisepass (wie es in den Meldestellen routinemäßig durchgeführt wird) von außen so zu manipulieren, dass ein falscher Fingerabdruck auf den Chip gelangte. In der Praxis hätte ein solcher Angriff erhebliche Folgen.
5.3.6 Unbefugtes Auslesen Das unbefugte Auslesen eines elektronischen Ausweises wird als Skimming bezeichnet. Vor allem bei kontaktlosen Chips ist Skimming ein Problem, denn ein Angreifer kann in diesem Fall sogar einen Ausweischip ansprechen, den der Inhaber gerade in seiner Tasche trägt. Die Missbrauchsmöglichkeiten sind vielfältig. Am bekanntesten ist das Szenario, in dem eine Bombe genau dann zündet, wenn eine Person mit einem bestimmten Ausweis (z. B. mit einem US-Reisepass) vorbeigeht. Die einzige wirksame Maßnahme gegen Skimming bei kontaktlosen Ausweisen besteht darin, das Auslesen des Chips mit einer PINAbfrage (oder der Abfrage eines biometrischen Merkmals) zu verknüpfen. Die PIN muss in diesem Fall nicht geheim sein; es ist sogar möglich, sie auf den Ausweis aufzudrucken. Elektronische Reisepässe nutzen dieses Prinzip (siehe Abschnitt 8.1.2).
5.3.7 Zerstören Ein elektronischer Ausweis lässt sich genauso wie jeder andere Ausweis zerstören. Ein Hammerschlag reicht dafür völlig aus. Es gibt jedoch auch subtilere Methoden. Der Chaos Computer Club wies beispielsweise darauf hin, dass ein paar Sekunden Wärmebehandlung
84
5.3 Angriffe auf elektronische Ausweise im Mikrowellenherd einen elektronischen Reisepass unbrauchbar machen [CCC08]. Dies ist eine wichtige Information für alle, die trotz entsprechender Vorschriften ihren Fingerabdruck nicht auf ihrem Ausweis gespeichert haben wollen. Wer auf diese Weise zivilen Ungehorsam praktizieren will, findet zweifellos noch weitere Methoden, den Chip auf seinem E-Ausweis zu zerstören, ohne optische Spuren zu hinterlassen.
5.3.8 Markieren Für einen Außenstehenden ist es meist schwierig, einen elektronischen Ausweis mit Markierungen zu versehen. Dies liegt daran, dass Ausweischips in aller Regel nur bestimmten Personen Schreibrechte gewähren. Es gibt jedoch eine Reihe interessanter Szenarien, in denen ein Insider versteckte Daten auf einen Ausweis aufbringen kann. Dabei handelt es sich jeweils um Beispiele für einen Covert Channel. Die folgende Liste nennt ein paar Möglichkeiten: Elektronische Gesundheitskarten ermöglichen es oft, medizinisch relevante Daten darauf zu speichern. Ein Arzt oder eine sonstige Person mit den entsprechenden Schreibrechten kann dies nutzen, um beliebige weitere Informationen versteckt abzulegen. So könnte der Name eines fiktiven Medikaments ein Erkennungszeichen für den Arzt sein, dass er den jeweiligen Patienten schon einmal in einer bestimmten Form behandelt hat. Ein biometrisches Referenzmuster auf einem Ausweischip lässt ebenfalls Raum für versteckte Daten. So könnte ein Angreifer mit den entsprechenden Schreibrechten im Referenzmuster einzelne Bits so setzen, dass sich diese zu einer bestimmten Nachricht zusammenfügen. Da das Referenzmuster meist nicht vom Ausweishersteller, sondern in einer lokalen Ausgabestelle auf den Ausweis gebracht wird, kann man sich durchaus Missbrauchsszenarien vorstellen. So könnte eine kommunale Verwaltung auf diese Weise missliebige Bürger mit einer entsprechenden Markierung im Ausweis versehen. Eine digitale Signatur lässt sich manchmal als Covert Channel nutzen. Je nach Signaturverfahren ist es möglich, die Signatur so zu gestalten, dass darin für einen Außenstehenden nicht erkennbare Informationen enthalten sind. Ein solcher Covert Channel lässt sich beispielsweise missbrauchen, um einen Teil des privaten Signaturschlüssels in die Signatur einzukodieren. Für Eingeweihte erleichtert dies das Fälschen einer Signatur. Es gibt sicherlich noch weitere Möglichkeiten für Covert Channel auf elektronischen Ausweisen. Unabhängig davon kann der Betreiber eines E-Ausweis-Systems auch undokumentierte Funktionen in einen Chip aufnehmen und diese entsprechend missbrauchen. Da die Designdetails vieler Ausweissysteme geheim sind, bieten sich diesbezüglich zahlreiche Möglichkeiten. Vielleicht werden wir in den nächsten Jahren noch das eine oder andere zu diesen Themen hören.
85
5 Elektronische Ausweise im Überblick
5.4
Betriebssysteme für elektronische Ausweise In Abschnitt 4.5 haben Sie erfahren, dass es drei Varianten von Smartcard-Betriebssystemen gibt, die für uns relevant sind: proprietäre Betriebssysteme, Java Card und MULTOS. Im Folgenden kümmern wir uns um die Frage, wie sich die jeweilige Variante für elektronische Ausweise eignet. Informationen dazu gibt es auch in [GuD08].
5.4.1 Elektronische Ausweise mit proprietären Betriebssystemen Die meisten elektronischen Ausweise basieren bisher auf proprietären Betriebssystemen. Nahezu alle MRTD-Reisepässe der Welt sind auf diese Weise realisiert. Einige SmartcardHersteller haben sogar spezielle MRTD-Betriebssysteme auf den Markt gebracht (siehe Abschnitt 8.4). Auch nationale Identitätskarten und elektronische Ausweise im Gesundheitswesen sind meist mit einem proprietären Betriebssystem ausgestattet. Zweifellos bietet dieser Ansatz den direktesten Weg zu einem digitalen Ausweisdokument. Im Gegensatz zu den standardisierten Betriebssystemen Java Card und MULTOS kann der Betreiber die gewünschten Anwendungen hierbei speziell auf die jeweilige Hardware zuschneiden, was oft weniger Speicherbedarf und eine höhere Performanz mit sich bringt. Vor allem, wenn nur eine Anwendung gefragt ist (dies ist trotz des Trends zu Multifunktionsausweisen immer noch häufig der Fall), ist ein proprietäres Betriebssystem oft die beste Lösung. Auf der Negativseite stehen Argumente, wie man sie immer antrifft, wenn es um proprietäre Technik geht. So ist der Betreiber eines E-Ausweis-Systems mit proprietärem Betriebssystem stets vom Anbieter abhängig. Er muss Anwendungen in dessen Programmierumgebungen entwickeln (oder entwickeln lassen) und muss spezielles Know-how aufbauen. Zwar haben sich die verschiedenen Anbieter in den letzten Jahren aufeinander zu bewegt. Beispielsweise hat der Standard ISO/IEC 7816-4 dafür gesorgt, dass die Ansprache verschiedener Karten recht ähnlich verläuft. Es gibt jedoch nach wie vor so viele Unterschiede, dass von Interoperabilität keine Rede sein kann. Ein weiterer Nachteil: Durch die tiefe Integration des Betriebssystems in die Hardware ist das Nachrüsten zusätzlicher Anwendungen bei proprietären Betriebssystemen meist nicht so einfach wie bei MULTOS oder Java Card. Was die Sicherheit anbelangt, bieten proprietäre Betriebssysteme sowohl Vor- als auch Nachteile. Einerseits hat der Hersteller einer proprietären Technik mehr Freiheiten bei der Umsetzung von Sicherheitsmaßnahmen. Andererseits sind jedoch standardisierte Lösungen oft gut untersucht, was die Wahrscheinlichkeit von Sicherheitslücken geringer macht.
5.4.2 Elektronische Ausweise mit Java Card Java Card ist im Zusammenhang mit elektronischen Ausweisen nicht ganz so weit verbreitet wie die proprietären Betriebssysteme. Allerdings sind mehrere elektronische Identitätskarten (vor allem in Asien, aber beispielsweise auch in Belgien und Portugal) sowie elektronische Gesundheitskarten auf diese Weise realisiert. Auch MRTD-Ausweise lassen sich
86
5.4 Betriebssysteme für elektronische Ausweise mit Java Card umsetzen, indem Funktionen wie Extended Access Control, Basic Access Control, PACE, aktive Authentifizierung und passive Authentifizierung als Applets aufgebracht werden. Dies ist allerdings weniger für Reisepässe, sondern eher für MRTD-konforme Identitätsausweise von Bedeutung. Ein Vorteil der Java-Card-Nutzung für elektronische Ausweise ist die Herstellerunabhängigkeit. Der Betreiber eines E-Ausweis-Systems kann dadurch mit Java Card die benötigten Applikationen meist selbst entwickeln und muss kein herstellerspezifisches Know-how aufbauen. Ein weiterer Vorteil von Java Card besteht darin, dass nachträglich neue Anwendungen aufgebracht werden können. Allerdings muss der Betreiber in diesem Fall besondere Sicherheitsrisiken beachten, die unter anderem einen Evaluierungsprozess deutlich erschweren. Bisher gibt es daher kaum Ausweissysteme, die ein Nachrüsten von Anwendungen vorsehen. Natürlich hat Java Card auch Nachteile. So sind Java-Karten aufgrund des höheren Speicherbedarfs meist teurer als andere Smartcards. Dies ist ein wesentlicher Faktor, den der Betreiber bei der Kalkulation berücksichtigen muss. Teilweise werden die Mehrkosten durch die einfache (und damit kostengünstigere) Handhabung, einen günstigeren Entwicklungsprozess und einen größeren Wettbewerbsdruck unter den verschiedenen Java-CardHerstellern ausgeglichen. Es kommt hierbei stets auf den Einzelfall an. Ein weiterer möglicher Nachteil von Java Card ist die geringere Performanz. Allerdings sind kryptografische Operationen – meist sind nur diese zeitkritisch – auf Java-Karten in der Regel hardwarenah realisiert und arbeiten daher genauso schnell wie in anderen Umgebungen. Es gibt zwar Messungen, die eine geringere Performanz von Java-Karten belegen, doch auf verbesserten Implementierungen beruhende neuere Untersuchungen zeigen nur minimale Unterschiede. Bezüglich der Sicherheit von Java Card sind vor allem Wechselwirkungen zwischen verschiedenen Java-Applets ein Thema (dies gilt vor allem beim nachträglichen Aufbringen von Applets). Theoretisch dürfte es diese Beeinflussungen innerhalb der Java-Sicherheitsarchitektur zwar nicht geben (zumal es Common-Criteria-Evaluierungen von Java-Karten gibt), doch die grundsätzliche Gefahr bleibt bestehen. Java Card ist vor allem für elektronische Ausweise interessant, die mit vielen unterschiedlichen Anwendungen ausgestattet sind. Insbesondere bei elektronischen Identitätskarten und im Gesundheitswesen kann Java Card aus diesem Grund seine Vorteile ausspielen. Für kleinere Staaten und Schwellenländer, die nicht über einen großen Apparat von Experten verfügen, ist Java Card besonders attraktiv. Elektronische Reisepässe sind dagegen durch ihre Einfachheit weniger interessant für eine Java-Card-Nutzung.
5.4.3 MULTOS MULTOS fristet als Smartcard-Betriebssystem für elektronische Ausweise derweil nur ein Nischendasein. Für Reisepässe wird es nicht verwendet. Trotzdem ist MULTOS eine Option, die es zu beachten gilt. Ähnlich wie Java Card ermöglicht MULTOS auf einfache Weise ein späteres Nachrüsten zusätzlicher Anwendungen. Für diesen Zweck gibt es sogar
87
5 Elektronische Ausweise im Überblick eine spezielle Funktionalität. Die Frage ist allerdings auch hier, ob der Betreiber eines Ausweissystems von dieser Möglichkeit überhaupt Gebrauch machen will. Ist dies der Fall, dann bietet MULTOS dafür eine sehr sichere Umgebung.
88
6 6 Elektronische Mitarbeiterausweise Unternehmen, die Karten oder Ausweise an ihre Mitarbeiter ausgeben, gibt es viele. Als elektronischen Mitarbeiterausweis im engeren Sinne bezeichnet man ein Dokument jedoch nur dann, wenn es als visueller Ausweis nutzbar ist (dazu muss es den Namen und ein Passfoto des Inhabers tragen) und wenn es einen Mikrochip enthält. Vor allem in größeren Unternehmen sind elektronische Mitarbeiterausweise weit verbreitet. Leider ist es schwierig, sich einen Überblick zu verschaffen, denn die existierenden Systeme sind oft recht unterschiedlich realisiert, und es gibt keinen Standard speziell für elektronische Mitarbeiterausweise. Darüber hinaus sind die meisten Unternehmen nicht besonders mitteilsam, was dieses Thema betrifft.
6.1
Elektronische Mitarbeiterausweise im Überblick Ein Unternehmen ist bei der Herausgabe eines elektronischen Ausweises naturgemäß flexibler als eine staatliche Behörde. Zudem sind die Stückzahlen deutlich geringer, denn selbst große Unternehmen haben meist nicht mehr als einige zehntausend Mitarbeiter, während Identitätsausweise oft für Millionen ausgestellt werden. Erste Mitarbeiterkarten, die man als elektronische Ausweise bezeichnen kann, gab es daher schon Anfang der neunziger Jahre – also zu einem für E-Ausweis-Verhältnisse sehr frühen Zeitpunkt. Zu den wenigen Gemeinsamkeiten praktisch aller Systeme dieser Art gehört das ID-1-Format (Kreditkartengröße). Neben dem Foto und dem Namen sind auf die Karte meist noch der Name der Firma sowie eventuell die Funktion oder die Abteilung des Mitarbeiters aufgedruckt. Der Geburtstag, der Wohnort und andere private Informationen haben dagegen auf einem Unternehmensausweis nichts zu suchen. Logischerweise gelten für elektronische Mitarbeiterausweise andere Voraussetzungen als für hoheitliche E-Ausweise. Beispielsweise ist die durchschnittliche Lebensdauer eines elektronischen Mitarbeiterausweises meist deutlich kürzer als die eines staatlichen Ausweisdokuments. Dies liegt daran, dass es in jedem Unternehmen eine gewisse Mitarbeiterfluktuation gibt. Dafür wird ein elektronischer Mitarbeiterausweis deutlich häufiger ver-
89
6 Elektronische Mitarbeiterausweise wendet – in vielen Fällen mehrfach am Tag. Letztendlich müssen daher beide Dokumententypen möglichst robust sein. Physikalische Sicherheitsmerkmale wie Hologramme oder Lasergravuren findet man nur selten auf elektronischen Mitarbeiterausweisen. Aufgrund der kleinen Stückzahlen sind solche Bestandteile meist zu teuer. Mit dem daraus resultierenden geringeren Sicherheitsniveau kann der Herausgeber eines solchen Dokuments meist leben, da der Anreiz, einen elektronischen Mitarbeiterausweis zu fälschen, nicht ganz so hoch ist wie etwa bei einem Identitätsausweis. Auch digitale Sicherheitsmerkmale sind aus diesen Gründen bei einem elektronischen Mitarbeiterausweis meist nur spärlich vorhanden. Die meisten Systeme unterstützen weder eine statische noch eine dynamische Datenauthentifizierung. Darüber hinaus kommt auch die Biometrie im Zusammenhang mit elektronischen Mitarbeiterausweisen nur selten zum Einsatz. Wenn doch (einige wenige Beispiele sind mir bereits begegnet), dann geht es dem jeweiligen Unternehmen vor allem darum, das weit verbreitete Verleihen von Ausweisen zu unterbinden.
6.2
Anwendungen elektronischer Mitarbeiterausweise Da Unternehmen beim Betrieb von E-Ausweis-Systemen recht flexibel sind, nutzen viele ihre Dokumente für eine Vielzahl unterschiedlicher Anwendungen [Piet07]. Im Gegensatz zu elektronischen Identitätskarten, deren Funktionen oft nur sehr zögerlich genutzt werden, können Unternehmen die Anwendungen ihrer E-Ausweise oft schnell etablieren.
6.2.1 Zeiterfassung, Zutrittskontrolle, Bezahlen Die wichtigsten Anwendungen elektronischer Mitarbeiterausweise sind meist die folgenden drei: Zeiterfassung: Wo man früher Stempelkarten einsetzte, sind heute elektronische Zeiterfassungslösungen üblich. Ein elektronischer Mitarbeiterausweis lässt sich in ein solches System integrieren. Zutrittskontrolle: Im Idealfall kann ein Mitarbeiter schon die Schranke vor dem Unternehmensparkplatz mit seinem Ausweischip öffnen. Anschließend dient der Ausweis als Türöffner im Firmengebäude. Bezahlen: Viele elektronische Mitarbeiterausweise bieten eine Bezahlfunktion, die sich vor allem in der Kantine oder in der Cafeteria sinnvoll nutzen lässt. In vielen Großunternehmen ist das Bezahlen mit Bargeld auf dem Firmengelände inzwischen abgeschafft. Alle drei Nutzungsweisen haben mit alltäglichen Arbeitsabläufen in Unternehmen zu tun, die es bei hoheitlichen Dokumenten nur selten gibt. Diese Anwendungen dürften dazu beigetragen haben, dass sich elektronische Firmenausweise längst etabliert haben. Sowohl die Zeiterfassung als auch die Zutrittskontrolle als auch das Bezahlen werden im Unternehmen meist mit einem Challenge-Response-Chip realisiert. Während elektronische
90
6.2 Anwendungen elektronischer Mitarbeiterausweise Identitätsausweise typischerweise mit einem Smartcard-Chip ausgestattet sind und elektronische Ausweise im Gesundheitswesen häufig einen Speicherchip tragen, sind elektronische Mitarbeiterausweise daher in der Regel mit einem Challenge-Response-Chip bestückt. Ein solcher zählt auch zu den Speicherchips, besitzt jedoch eine festverdrahtete Rechenlogik, die eine Challenge in eine Response umwandeln kann. Vor allem die marktführenden Produkte Mifare und Legic werden für diesen Zweck eingesetzt. Da diese Chips in ihren gängigsten Versionen keine Daten bearbeiten können, liegt die Intelligenz normalerweise in der Anwendungsinfrastruktur. Diese erfasst die Arbeitszeiten, verwaltet die Zutrittsrechte und führt Konten für die Bezahlfunktion, während die Chips selbst stets nur eine Identität angeben und bestätigen.
6.2.2 PKI und elektronische Mitarbeiterausweise Seit einigen Jahren bestücken immer mehr Unternehmen ihre elektronischen Mitarbeiterausweise mit privaten Schlüsseln. Meist handelt es sich dabei um Schlüssel aus einer unternehmensinternen PKI, zu denen jeweils auch ein digitales Zertifikat existiert. Anwendungen dafür gibt es viele. So lassen sich private Schlüssel im Unternehmen für die EMail-Verschlüsselung, das digitale Signieren, die Authentifizierung im VPN, den Zugriff auf Web-Portale, das Einloggen am PC und vieles mehr nutzen. Es liegt auf der Hand, dass die Integration eines elektronischen Mitarbeiterausweises in die Unternehmens-PKI erhebliche Vorteile hat. Allerdings ist zu berücksichtigen, dass in nahezu keiner unternehmensinternen PKI alle privaten Schlüssel auf elektronischen Ausweisen gespeichert werden können, da viele Schlüssel auch von Komponenten (Server, PCs) genutzt werden. Leider sind die in vielen Unternehmen auf den Karten vorhandenen Challenge-ResponseChips nicht dazu geeignet, asymmetrische Verfahren auszuführen. Die betroffenen Firmen müssen daher auf Dual-Interface-Karten umstellen – also auf Karten, die sowohl einen Smartcard-Chip als auch einen Challenge-Response-Chip erhalten. Dies bedeutet, dass jedes einzelne Kartenexemplar im Unternehmen durch ein neues ersetzt werden muss, denn das Aufbringen eines zusätzlichen Chips in eine vorhandene Karte ist nicht praktikabel.
6.2.3 Mitarbeiterausweise als Multiapplikations-Werkzeuge Ein elektronischer Mitarbeiterausweis, der für die beschriebenen Challenge-Response- und PKI-Anwendungen genutzt wird, ist ein Multiapplikations-Werkzeug. Es ersetzt oft bereits vorhandene Teillösungen wie einen Transponder für die Zutrittskontrolle oder das Passwort für das PC-Login. Die Vorteile dieses Multiapplikations-Ansatzes liegen auf der Hand: Der Mitarbeiter kann viele unterschiedliche Vorgänge mit demselben Ausweis abwickeln, und der Administrator hat deutlich weniger Aufwand. Allerdings gibt es einige Einschränkungen, die ein Unternehmen beim Aufbau einer solchen Lösung beachten muss: Ersatzlösung: Wenn ein Mitarbeiter seinen multifunktionalen Ausweis vergisst oder verliert, dann hat dies unangenehme Konsequenzen. Der Betroffene kommt oft nicht einmal ins Firmengebäude und kann sich nicht an seinem PC einloggen. Ein Unter-
91
6 Elektronische Mitarbeiterausweise nehmen, das einen elektronischen Mitarbeiterausweis mit den entsprechenden Anwendungen betreibt, muss daher geeignete Ersatzlösungen bereithalten. So ist es beispielsweise möglich, für einen Mitarbeiter einen Ersatzausweis auszustellen, der nach einem Tag seine Gültigkeit verliert. Signaturgesetz: Elektronische Unternehmensausweise sind für qualifizierte digitale Signaturen nach dem deutschen Signaturgesetz bzw. der EU-Signaturverordnung nicht wirklich geeignet. Das liegt an den hohen Sicherheitsvorkehrungen, die die gültigen Ausführungsbestimmungen vorschreiben. Diese machen es für ein Unternehmen unpraktikabel, selbst eine PKI aufzubauen, die qualifizierte Zertifikate ausstellt. Wenn überhaupt, dann müssen die qualifizierten Zertifikate daher von einem externen Trust Center kommen. Allerdings ist das in aller Regel unnötig, da meist nur einige wenige Mitarbeiter eines Unternehmens ein qualifiziertes Zertifikat benötigen. Lokale Besonderheiten: In vielen Unternehmen haben die verschiedenen Niederlassungen unterschiedliche Challenge-Response-Systeme im Einsatz. Daher kommt es nicht gerade selten vor, dass ein Unternehmen den Aufwand scheut, verschiedene lokale Challenge-Response-Lösungen in einen elektronischen Mitarbeiterausweis zu integrieren, und stattdessen lieber eigene PKI-Karten ausgibt. Manche Unternehmen verzichten auch ganz auf PKI-Karten und speichern die privaten Schlüssel lieber in einer Software. Ein für viele Betreiber wichtiger Vorteil multifunktionaler elektronischer Ausweise besteht darin, dass ein Mitarbeiter seine Karte ständig bei sich tragen muss. Wenn er sein Büro verlässt, muss er die Karte aus dem Terminal am PC ziehen, da er ansonsten keine Tür öffnen und nicht bezahlen kann. Geht man davon aus, dass der PC so konfiguriert ist, dass er sich nach Entfernen der Karte automatisch sperrt, dann ergibt sich auf diese Weise ein deutlicher Sicherheitsgewinn. Dieser besteht zum einen darin, dass der Mitarbeiter seinen PC nicht ungesperrt zurücklässt (dies ist eine weit verbreitete Unsitte). Zum anderen kann niemand eine herrenlose Karte stehlen, wenn deren Inhaber nicht im Büro ist.
6.3
Administration elektronischer Mitarbeiterausweise Multifunktionale elektronische Mitarbeiterausweise sind bei Administratoren in der Regel durchaus beliebt. Schließlich ist es einfacher, eine Multifunktionskarte zu administrieren, als sich gleichzeitig um mehrere unterschiedliche Lösungen für unterschiedliche Anwendungen zu kümmern. Dennoch hat die Administration eines elektronischen Mitarbeiterausweises durchaus ihre Tücken. Dies vor allem dann der Fall, wenn es um Karten geht, die sowohl mit einem Challenge-Response-Chip als auch mit einem Smartcard-Chip ausgestattet sind. In den meisten Unternehmen ist für den Challenge-Response-Chip der Werksschutz zuständig. Die für den Smartcard-Chip relevante PKI wird dagegen meist von der IT-Abteilung betrieben. Die Sache wird oft noch dadurch komplizierter, dass unterschiedliche Niederlassungen desselben Unternehmens häufig unterschiedliche ChallengeResponse-Systeme nutzen.
92
6.3 Administration elektronischer Mitarbeiterausweise Angesichts dieser Voraussetzungen ist vor allem die Personalisierung eines elektronischen Mitarbeiterausweises oftmals komplexer, als man auf den ersten Blick vermuten würde. Ein Mitarbeiter muss im Laufe dieses Vorgangs meist zwei unterschiedliche Stellen aufsuchen. Beispielsweise bekommt er zunächst vom Werksschutz seinen Ausweis ausgehändigt, und anschließend muss er mit diesem zu einer Registrierungsstelle der PKI gehen, um dort eine Zertifikatsgenerierung vornehmen zu lassen. In vielen Unternehmen gibt es für die beiden Anwendungsbereiche unterschiedliche Datenbanken, die nicht miteinander verbunden sind. Allerdings profitieren elektronische Mitarbeiterausweise davon, dass immer mehr Unternehmen ein professionelles Identity Management betreiben. Als Identity Management bezeichnet man Maßnahmen, mit denen man dieselbe Person (also dieselbe Identität) in unterschiedlichen IT-Systemen gleichzeitig administrieren kann. Durch ein Identity-Management-System braucht ein Administrator die Daten eines neuen Mitarbeiters nur einmal einzugeben. Anschließend trägt das Identity-Management-System diese Daten beispielsweise in den E-Mail-Server, die Telefonanlage und das Ressourcenverwaltungssystem (z. B. SAP R/3) ein. Der Anwender erhält dadurch automatisch eine Telefonnummer, eine E-Mail-Adresse und eine Personalnummer zugewiesen. Es liegt auf der Hand, dass ein Unternehmen auch seine Zutrittskontrollanlage, seine Zeiterfassung, sein Bezahlsystem sowie seine PKI in das Identity Management einbinden kann. Die Personalisierung des elektronischen Mitarbeiterausweises wird dadurch erheblich einfacher. Anstatt einem Mitarbeiter seinen elektronischen Mitarbeiterausweis persönlich auszuhändigen, ist prinzipiell es auch möglich, diesen per Hauspost zu verschicken. Die PIN für die PKI-Anwendung sollte dabei in einem getrennten Brief versendet werden. Viele Unternehmen verwenden einen solchen Prozess als Alternative für Mitarbeiter, die in kleinen Niederlassungen arbeiten. In diesem Fall muss der Mitarbeiter meist ein Foto digital zuschicken. Bei einem hoheitlichen Ausweis kommt es selten vor, dass der Inhaber ihn zurückgeben muss. Bei einem elektronischen Mitarbeiterausweisen ist dies dagegen ein häufiger Vorgang, der jedes Mal anfällt, wenn ein Mitarbeiter das Unternehmen verlässt. Viele Unternehmensausweise tragen daher kein Gültigkeitsdatum, sondern sind so lange gültig, bis der Inhaber aus dem Unternehmen ausscheidet oder bis das Unternehmen auf andere Ausweise umstellt. Ein Challenge-Response-Chip kann hierbei beliebig lange gültig sein. Digitale Zertifikate tragen dagegen in der Regel ein Verfallsdatum. Ist dieses erreicht, dann muss der Mitarbeiter sein Zertifikat erneuern, was jedoch nicht unbedingt eine Erneuerung der Karte erfordert. Durch die Mitarbeiterfluktuation ist das Sperren eines elektronischen Mitarbeiterausweises ebenfalls ein Routinevorgang. Bei der Zutrittskontrolle, der Zeiterfassung und dem Bezahlen ist dieser Vorgang meist einfach umzusetzen. Da die Intelligenz hierbei in der Anwendungsinfrastruktur liegt, muss man dieser lediglich mitteilen, dass eine Karte nicht mehr gültig ist. Bei der PKI müssen die jeweiligen Zertifikate gesperrt und die zugehörigen Nummern auf eine Sperrliste genommen werden.
93
6 Elektronische Mitarbeiterausweise
6.4
Kombinierte Mitarbeiter- und Identitätsausweise Eine für dieses Buch interessante Frage lautet, ob man elektronische Mitarbeiterausweise und elektronische Identitätsausweise zu einem Dokument verschmelzen kann. Gelänge dies, dann hätte dies für viele Unternehmen erhebliche Vorteile, denn die Nutzung einer nationalen Identitätskarte ist einfacher und kostengünstiger als die Ausgabe eines eigenen Dokuments. Für den Mitarbeiter eines Unternehmens ist es zweifellos ebenfalls von Vorteil, wenn er nur eine Karte bei sich tragen muss. Leider ist es technisch und aus Sicht der Sicherheit kaum denkbar, dass ein Unternehmen die physikalischen Eigenschaften eines Identitätsausweises (also beispielsweise die aufgedruckten Informationen) verändern kann. Wenn eine elektronische Identitätskarte mit einem elektronischen Mitarbeiterausweis kombiniert werden soll, dann muss sich dies daher auf den elektronischen Teil beschränken. In vielen Fällen ist es jedoch für ein Unternehmen nicht besonders attraktiv, auf dem Mitarbeiterausweis keine als visueller Ausweis nutzbaren Daten zu haben. Entscheidet sich ein Unternehmen dennoch für die Nutzung einer Identitätskarte, dann sollte diese sinnvollerweise einen Challenge-Response-Chip besitzen, den das Unternehmen für die üblichen Anwendungen Zutrittskontrolle, Zeiterfassung und Bezahlen nutzen kann. Darüber hinaus sollte der ebenfalls vorhandene Smartcard-Chip sowohl für das Unternehmen als auch für den Staat nutzbar sein. Dies setzt eine komplette logische Trennung der beiden Bereiche auf dem Chip voraus. Die Personalisierung müsste bei einem solchen Kombinationsausweis zweigeteilt ablaufen. Zunächst bringt die staatliche Ausgabestelle ihre Daten auf und übergibt den Ausweis an den Inhaber. Dieser übergibt das Dokument anschließend an seinen Arbeitgeber, der wiederum eine eigene Personalisierung vornimmt. Diese kann in zwei Schritten ablaufen: Zum einen wird der Challenge-Response-Chip personalisiert, zum anderen erfolgt eine PKIPersonalisierung des Smartcard-Chips. Eine interessante Frage hierbei ist, ob das Unternehmen private Schlüssel und digitale Zertifikate aus der eigenen PKI aufbringt oder die bereits vorhandenen Schlüssel der staatlichen PKI nutzt. Für die meisten Unternehmen dürfte es einfacher und unkomplizierter sein, eigene Zertifikate einzusetzen, weshalb man auf die PKI-Personalisierung nicht verzichten kann. Da ein Unternehmen die physikalischen Eigenschaften eines staatlichen Identitätsausweises nicht ändern kann, wird es wohl nie kombinierte Ausweislösungen geben, die man guten Gewissens als elektronische Mitarbeiterausweise bezeichnen kann. Die Idee, dass ein Unternehmen den elektronischen Teil einer elektronischen Identitätskarte nutzt, ist dennoch durchaus interessant. Ein wesentliches Problem besteht allerdings darin, dass in einem größeren Unternehmen normalerweise Personen aus unterschiedlichen Staaten arbeiten. Es müsste also einen internationalen Standard für die private Nutzung von elektronischen Identitätskarten geben, doch davon sind wir noch weit entfernt.
94
7 7 Alternative Ansätze Praktisch alle in diesem Buch beschriebenen elektronischen Ausweise haben zwei Eigenschaften gemeinsam. Zum einen handelt es sich um Ausweisdokumente in Karten- oder Papierform – also um zweidimensionale Objekte. Dies ist sicherlich darauf zurückzuführen, dass Ausweise vor Aufkommen des Kunststoffs ausschließlich aus Papier gefertigt wurden. Zum anderen tritt als Aussteller des Ausweises stets eine übergeordnete Instanz (Behörde, Berufsverband, Unternehmensleitung o.Ä.) auf. Beide Eigenschaften sind uns zwar vertraut, doch sie sind keineswegs alternativlos. In diesem Kapitel betrachten wir daher ein paar Ansätze für elektronische Ausweise, die nicht dem gewohnten Erscheinungsbild entsprechen. Allerdings wird diese Betrachtung ergeben, dass keine der Alternativen wirklich praktikabel ist.
7.1
Token-Ausweise Wie in Abschnitt 4.3 beschrieben, bekommen Chipkarten seit einigen Jahren Konkurrenz von Schlüsselanhängern, Armbanduhren, Handys und ähnlichen Gegenständen, die einen Mikrochip integriert haben. Diese Entwicklung hat elektronische Ausweise zwar bisher kaum betroffen, doch das muss nicht immer so bleiben. Gerade bei kontaktlosen Chips, wie sie für MRTD-Reisepässe eingesetzt werden, spielt das Format des Chipträgers auf den ersten Blick keine große Rolle. Werden wir also demnächst Identitätsausweise und Gesundheitskarten in Form von Schlüsselanhängern, Handys oder Armbanduhren erleben? Dagegen sprechen einige Vorbehalte. Zunächst einmal ist ein Ausweis (gemäß der in diesem Buch verwendeten Definition) ein Dokument, das auch als visueller Ausweis nutzbar ist. Der Ausweisgegenstand muss also die Möglichkeit bieten, ein Passfoto und schriftliche Informationen darzustellen. Dies ist bei einer Armbanduhr oder einem Handy nur schwer durchführbar – zumal es sich um individuell verschiedene Geräte handelt. Bei einem speziell für diesen Zweck gefertigten Schlüsselanhänger sind aufgedruckte Informationen schon eher möglich. Allerdings gibt es bisher kein einheitliches Format, für
95
7 Alternative Ansätze das es sich lohnen würde, entsprechende Produktions- und Druckmaschinen herzustellen. Durch einen geeigneten Standard könnte man die Idee eines Schlüsselanhängerausweises daher möglicherweise mit Leben füllen. Allerdings hätte das entsprechende Format vermutlich zweidimensionalen Charakter und würde dadurch wiederum den bisher bekannten Ausweisen ähneln. Es gibt zweifellos weitere Möglichkeiten. So ließen sich ein Passfoto und einige schriftliche Daten zweifellos auch auf die Rückseite eines Handys oder einer Armbanduhr bringen. Denkbar wären für diesen Zweck kleine Plastikkarten (eventuell mit physikalischen Sicherheitsmerkmalen), für die ein Handy oder eine Uhr eine Halterung zur Verfügung stellen könnte. Man darf gespannt sein, auf welche Ideen Designer und Smartcard-Experten in den nächsten Jahren noch kommen werden.
7.2
Implantierte Chips Zugegeben, jetzt kommen wir in einen Bereich, in dem es etwas gruselig wird. Der Stand der Technik macht es nämlich ohne Weiteres möglich, einen Computerchip, wie er auf Smartcards üblich ist, in den menschlichen Körper zu implantieren. Sinnvollerweise sollte es sich dabei um einen kontaktlosen Chip handeln. Was sich anhört wie der Stoff eines Science-Fiction-Romans, ist teilweise schon Realität. Die US-Firma VeriChip bietet bereits seit Jahren einen implementierbaren Chip gleichen Namens an. Dieser befindet sich in einer Glashülle, die kaum größer ist als ein Reiskorn. Meist wird der Chip oberhalb des Trizepses unter die Haut des Oberarms eingepflanzt. Ebenfalls möglich ist eine Einpflanzung in die Hautfalte zwischen Daumen und Zeigefinger (dadurch kann der Implantierte den Chip bequemer an ein Terminal heranbringen). Das Implantieren ist ein Routine-Eingriff und geschieht meist ambulant unter lokaler Betäubung. Ein implantierter Chip ist von außen nicht sichtbar. Nach Angaben von VeriChip gibt es bereits mehrere Tausend Menschen, die sich einen solchen Chip (freiwillig) haben implantieren lassen. Ein implantierter Chip ist per Definition kein Ausweisdokument, da er sich nicht als visueller Ausweis eignet (es sei denn, man nutzt eine Tätowierung für diesen Zweck). Allerdings ist ein solches Implantat in manchen Bereichen als Ausweisalternative vorstellbar. So wäre es beispielsweise kein Problem, einem Menschen einen MRTD-Chip einzupflanzen, den er anstelle eines Reisepasses nutzen kann. Damit kein unbefugtes Auslesen möglich ist, müsste der Träger des implantierten Chips bei der Kontrolle eine PIN eingeben. Zweifellos hätte ein implantierter Ausweisersatz gewisse Vorteile. So ist die Fremdnutzung eines eingepflanzten Chips äußerst schwierig – niemand kann einen implantierten Chip mal eben an einen Bekannten verleihen. Darüber hinaus hätte ein Ausweisimplantat den Vorteil, dass der Inhaber sein Dokument ständig bei sich trägt. Dies kann sowohl dem Prüfer als auch dem Inhaber Ärger ersparen.
96
7.3 Virtuelle Ausweise Allerdings hat ein Ausweisimplantat auch Nachteile. So ist ein implantierter Chip grundsätzlich übertragbar – auch wenn dazu ein operativer Eingriff notwendig ist. Welche Formen ein Identitätsdiebstahl in diesem Zusammenhang annehmen kann, möchte ich an dieser Stelle gar nicht erörtern. Um eine Fremdnutzung zuverlässig zu verhindern, muss der Betreiber eines Ausweisimplantatsystems daher Biometrie nutzen – dabei liegt einer der vermeintlichen Vorteile des VeriChip darin, dass er die Nutzung von Biometrie überflüssig macht. Letztendlich sind die Vorteile eines implantierten Ausweisersatzes also eher gering. Sie bestehen vor allem darin, dass der Inhaber seinen Ausweis nicht mehr vergessen oder verlieren kann. Dieser Vorzug wird sicherlich nicht ausreichen, um den größten Vorbehalt gegenüber implantierten Ausweischips auszuräumen: die mangelnde Akzeptanz. Verständlicherweise dürfte kaum jemand Lust haben, einen implantierten Chip mit sich herumzutragen, auch wenn die Missbrauchsmöglichkeiten bei einer vernünftigen Realisierung nicht besonders hoch sind. Eine Pflicht für implantierte Ausweise wäre zudem rechtlich problematisch, da es mit dem Menschenrecht auf körperliche Unversehrtheit in Konflikt geraten würde. Aus diesem Grund sind Ausweisimplantate derzeit kein Thema, das ernsthaft diskutiert wird. Die Firma VeriChip positioniert ihr Produkt daher nicht als Ausweisalternative, sondern als Alternative zur Biometrie. In der Tat sind die Fehlerkennungs- und Fehlabweisungsrate bei einem solchen Chip nahezu gleich Null. So kann ein implantierter Chip beispielsweise einen Polizisten schützen, wenn seine mit einem Terminal ausgestattete Dienstwaffe in falsche Hände gerät (beispielsweise in die eines Festzunehmenden), oder der Abrechnung in einer Diskothek dienen. Darüber hinaus sind implantierte Chips eine interessante Technik für die Tierhaltung, und genau dort werden sie auch häufig verwendet. Wenigstens einen Zusammenhang zwischen Chipimplantaten und Ausweisen gibt es allerdings dann doch. So hat ein implantierter Chip für die Speicherung medizinischer Notfallund Organspendedaten sicherlich gewisse Vorteile gegenüber einer elektronischen Gesundheitskarte. Mit dem besagten VeriChip wird diese Anwendung bereits praktiziert. In den USA sind bereits über 200 Krankenhäuser mit den passenden Terminals ausgestattet.
7.3
Virtuelle Ausweise Eine interessante Frage im Zusammenhang mit elektronischen Ausweisdokumenten lautet: Benötigt man überhaupt einen Ausweis aus Papier oder Plastik, den man in die Hand nehmen kann? Prinzipiell ist es durchaus möglich, auf einen solchen Gegenstand zu verzichten und die Ausweisdaten stattdessen in einer Datei zu speichern. In diesem Fall spricht man von einem digitalen Ausweis oder einem virtuellen Ausweis. Damit ein virtueller Ausweis einen Sinn hat, muss er fälschungssicher sein. Dies lässt sich zunächst durch eine statische Datenauthentifizierung (also mit einer digitalen Signatur) gewährleisten. Dieses Vorgehen ist relativ einfach umsetzbar – die Ausweisbehörde muss
97
7 Alternative Ansätze lediglich die Daten in der Ausweisdatei signieren. Ein digitaler Ausweis ist also eine Datenstruktur, die den Namen des Inhabers sowie weitere Angaben wie das Geburtsdatum, den Wohnort oder biometrische Merkmale enthält und von der Ausgabestelle digital signiert ist. Ein wesentliches Problem bei virtuellen Ausweisen besteht darin, dass sich ein solcher einfach kopieren lässt. Dies ist nicht weiter schlimm, wenn die signierten Daten lediglich eine Aussage über eine bestimmte Person machen (z. B. „Fritz Müller ist Rechtsanwalt“). Gemäß der in diesem Buch verwendeten Definition muss ein Ausweis jedoch auch für eine Identitätsprüfung verwendbar sein – dies ist jedoch bei einer signierten Datenstruktur ohne weitere Sicherheitsmaßnahmen nicht der Fall. Die Aussage „Fritz Müller ist Rechtsanwalt“ sagt noch nichts darüber aus, dass der Besitzer der signierten Daten auch wirklich Fritz Müller ist. Als Gegenmaßnahme bietet es sich zunächst an, ein Foto oder ein biometrisches Merkmal des Inhabers in den virtuellen Ausweis zu nehmen. Dies verhindert zwar das Kopieren des virtuellen Ausweises nicht. Wenn man allerdings davon ausgeht, dass das Foto oder das biometrische Merkmal bei einer Ausweiskontrolle geprüft wird, kann ein Angreifer mit einem kopierten Ausweis nichts anfangen. Wenn jedoch eine Prüfung des Fotos oder des biometrischen Merkmals zu aufwendig ist, dann ist eine dynamische Datenauthentifizierung (also ein Challenge-Response-Verfahren) notwendig. Der Inhaber eines Ausweises erhält in diesem Fall einen privaten Schlüssel, dessen öffentliches Gegenstück im virtuellen Ausweis abgelegt und mitsigniert ist. Das Ergebnis entspricht einem digitalen Zertifikat. Wo der Inhaber seinen privaten Schlüssel speichert, wird hierbei offen gelassen. Dies kann auf einem PC erfolgen, was aber nicht wirklich sicher ist. Oder der Schlüssel wird auf einer Karte gespeichert, wodurch jedoch der eigentliche Vorteil eines virtuellen Ausweises verloren geht. Das Thema Schlüsselspeicherung gehört somit zu den eindeutigen Nachteilen virtueller Ausweise. Besonders interessant ist folgender Gedanke: Der Inhaber des Ausweises druckt diesen auf ein Stück Papier und trägt ihn wie einen herkömmlichen Ausweis bei sich. Wenn der Inhaber seinen Papierausweis verliert oder vergisst, druckt er sich einen neuen aus (vorausgesetzt, er hat die Datei irgendwo gespeichert). Er kann sich auch gleich mehrere Exemplare ausdrucken, um etwa eines in der Brieftasche und ein weiteres im Handschuhfach des Autos aufzubewahren. Voraussetzung hierfür ist, dass der Ausweis eine digitale Signatur trägt (etwa als Strichcode oder 2D-Code). Dadurch ist sichergestellt, dass der Ausweis nicht gefälscht ist. Der Nachteil dieses Ansatzes ist die Überprüfung. Diese ist nur möglich, wenn der Prüfer ein Gerät hat, das den Inhalt des Ausweises inklusive Signatur einliest und auf Korrektheit überprüft. Besonders schwierig ist hierbei das Einlesen des Fotos, das pixelgenau ins Gerät übertragen werden muss – ansonsten ist die Signatur falsch. Angesichts dieser Betrachtungen dürfte klar sein, dass virtuelle Ausweise nicht besonders praktikabel sind. Dies gilt zumindest dann, wenn es sich um einen elektronischen Ausweis gemäß der Definition dieses Buchs handelt – also um ein Dokument, das auch als visueller Ausweis nutzbar ist und das die Identifizierung einer Person ermöglicht.
98
7.4 Web of Trust
7.4
Web of Trust Ein Ausweis wird (nahezu per Definition) von einer Behörde oder einer sonstigen übergeordneten Instanz ausgestellt. Eine interessante Frage lautet nun, ob es zu dieser jahrhundertealten Grundregel eine Alternative gibt. Prinzipiell gibt es eine solche, denn statt einer übergeordneten Instanz kann durchaus auch eine gleichgeordnete Person für die Identität einer Person bürgen. Man denke beispielsweise an die Identifizierung einer Leiche, die meist ein Angehöriger vornehmen muss. Handelt es sich um einen verkohlten Leichnam, dann sind häufig die Zähne das letzte Identifizierungsmerkmal, weshalb ein Zahnarzt als Bürge auftritt. In Österreich und einigen anderen Ländern ist mangels Ausweispflicht auch bei lebenden Personen eine Identifizierung durch Angehörige oder Bekannte möglich. In allen genannten Fällen ist es wünschenswert, dass mehrere Personen die Identifizierung vornehmen, da dies die Sicherheit erhöht. Angesichts dieser Vorüberlegungen müssen wir uns nun Folgendes fragen: Kann ein elektronischer Ausweis statt von einer zentralen Instanz von Personen ausgestellt werden, die keine übergeordnete Stellung haben? Interessanterweise gibt es bereits seit Jahren eine Umsetzung dieser Idee – wenn auch nur in Form digitaler Zertifikate ohne zugehörige Ausweise. Man bezeichnet dies als Web of Trust. Entstanden ist das Web of Trust im Zusammenhang mit der Verschlüsselungssoftware PGP (Pretty Good Privacy), die mit digitalen Zertifikaten arbeitet (diese entsprechen nicht dem X.509-Standard, sondern haben ein proprietäres Format). Phil Zimmermann, der Erfinder von PGP, misstraute der Obrigkeit und wollte daher vermeiden, dass digitale Zertifikate nur von Behörden ausgestellt werden. Deshalb entwickelte er sein Programm nach der Prämisse, dass jeder Anwender ein digitales Zertifikat für jeden anderen signieren können soll. Das PGP-Zertifikatsformat erlaubt daher Signaturen beliebiger Herkunft und sieht zudem vor, dass ein digitales Zertifikat mehrere Signaturen tragen kann. Dies erhöht für den Prüfer die Sicherheit, dass mit den Zertifikatsinhalten alles seine Richtigkeit hat. Zudem liegt dem Web of Trust folgendes Kalkül zugrunde: Kennt ein Prüfer keine der Personen, die ein bestimmtes Zertifikat signiert haben, dann prüft er zunächst die Zertifikate der Signierer. Falls auch dies keinen Erfolg bringt, folgt als Nächstes eine Prüfung der Signierer der Signierer-Zertifikate und so weiter. Irgendwann stößt der Prüfer – so die Idee – auf ein Zertifikat, das er selbst signiert hat. Dadurch entsteht eine sichere Kette vom Zertifikatsinhaber zum Zertifikatsprüfer, die für eine Korrektheit des Zertifikats bürgt. Das Web of Trust profitiert vom sogenannten Small-World-Phänomen. Dieses beschreibt die Beobachtung, dass ein Mensch über meist erstaunlich wenige Zwischenstationen mit praktisch jedem anderen Menschen auf der Welt bekannt ist. Hier ein Beispiel: Nehmen wir an, Sie kennen den Bundestagsabgeordneten Ihres Wahlkreises. Dieser kennt vielleicht den Bundeskanzler, der wiederum den US-Präsidenten kennt. Der US-Präsident kennt den Staatspräsidenten von Peru, der wiederum zahlreiche Lokalpolitiker seines Landes kennt. Wenn wir nun noch annehmen, dass jeder Peruaner über ein bis zwei Stationen einen der genannten Lokalpolitiker kennt, dann stellen wir Folgendes fest: Sie sind über maximal sechs bis sieben Stationen mit jedem beliebigen peruanischen Bauern bekannt. Ähnliche
99
7 Alternative Ansätze Überlegungen lassen sich für jede andere Person der Weltbevölkerung anstellen. Auf das Web of Trust übertragen bedeutet das, dass ein Prüfer über etwa ein halbes Dutzend Zertifikate praktisch jede Person überprüfen kann. Da das Web of Trust nur einen vergleichsweise kleinen Teil der Welt umfasst, sind die entsprechenden Ketten sogar meist deutlich kürzer. Theoretisch lässt sich die Idee des Web of Trust auch auf elektronische Ausweise übertragen. Ein Web-of-Trust-Ausweis trägt für die statische Datenauthentifizierung nicht die digitale Signatur einer Ausweisbehörde, sondern ist mit den Signaturen beliebiger Personen versehen. Je mehr Personen auf diese Weise für den Inhaber bürgen, desto zuverlässiger ist der Ausweis. Sofern der öffentliche Schlüssel des Ausweisinhabers Teil des signierten Inhalts ist, funktioniert auch die dynamische Datenauthentifizierung. Die Vorteile von Web-of-Trust-Ausweisen sind offensichtlich. Zum einen benötigt der Betreiber des Ausweissystems keine aufwendige Infrastruktur, da er auf eine Passbehörde und Ausgabestellen verzichten kann. Zum anderen gibt es kaum Missbrauchsmöglichkeiten für den Staat, zumal ein Web of Trust ohne zentrales Personenregister auskommt. Beim Bürger kommt nicht das Gefühl auf, vom Staat überwacht und gegängelt zu werden, was die Akzeptanz sicherlich erhöht. Doch so schön sich das Web of Trust in der Theorie auch anhört, in der Praxis hat es erhebliche Nachteile, die auch und gerade für elektronische Ausweise von Bedeutung sind. Hier eine Auswahl: Ein Web of Trust ist für visuelle Ausweise nicht geeignet. Einen elektronischen Ausweis im Sinne dieses Buchs (also einen solchen, der auch nichtelektronisch nutzbar ist) lässt sich daher mit diesem Ansatz nicht realisieren. Die Situation, dass der Prüfer eine Kette vom Ausweisinhaber zu sich selbst bilden kann, ist trotz des Small-World-Phänomens nicht immer gegeben. Wenn doch, dann ist es für den Prüfer oft umständlich, diese Kette zu ermitteln. Es ist daher im Allgemeinen nicht praktikabel, einen Web-of-Trust-Ausweis zu prüfen. In einem Web of Trust ist es schwierig, einen Ausweis zu sperren. Da es keine zentrale Ausweisbehörde gibt, gibt es auch keine zentrale Instanz, die einen Ausweis für ungültig erklären kann. Daher kann nur der Inhaber selbst seinen Ausweis sperren, wobei sich dann jedoch die Frage stellt, wie die Sperrung bekannt gemacht wird. Besonders schwierig wird es, wenn ein Ausweis gegen den Willen des Inhabers gesperrt werden soll. Letztendlich bleibt nichts anderes übrig, als eine Infrastruktur für das Sperren von Ausweisen aufzubauen – dabei ist es gerade der Sinn des Web of Trust, den damit verbundenen Aufwand zu vermeiden. Ein Web of Trust ist mit zahlreichen rechtlichen Fragen verbunden. Welchen Beweiswert hat ein Ausweisdokument, das jeder signieren kann? Was passiert, wenn jemand (versehentlich oder absichtlich) einen Ausweis mit falschen Inhalten signiert? Was passiert, wenn sich ein Signierer als unzuverlässig herausstellt, nachdem er zahlreiche Zertifikate signiert hat?
100
7.5 Fazit Als Phil Zimmermann das Web of Trust erfand, wollte er einen bewussten Gegensatz zu einem zentralistischen Ausweissystem setzen. Für kleinere Nutzergruppen mag ihm dies durchaus gelungen sein. Für größere Organisationen oder gar für ganze Staaten ist das Web of Trust dagegen denkbar ungeeignet.
7.5
Fazit Die Abschnitte dieses Kapitels dürften deutlich gemacht haben, dass es durchaus Alternativen zum herkömmlichen Ausweisdokument gibt. Allerdings wirkt keine davon wirklich überzeugend. An den wichtigsten Grundlagen des Ausweiswesens wird sich daher auch mit dem Aufkommen elektronischer Ausweise nichts ändern.
101
III Teil III: Standardisierung elektronischer Ausweisdokumente
103
8 8 Der MRTD-Standard der ICAO Der ohne Zweifel wichtigste Standard für elektronische Ausweisdokumente hat den Namen MRTD (Machine Readable Travel Documents). Es handelt sich dabei um eine Spezifikation, die in erster Linie für elektronische Reisepässe gedacht ist und diese weltweit vereinheitlichen soll. Inzwischen entsprechen auch einige andere Ausweisdokumente (beispielsweise der elektronische Personalausweis in Deutschland) dem MRTD-Standard, was zu zahlreichen Synergieeffekten führt. MRTD wurde von der internationalen Luftfahrtorganisation ICAO (International Civil Aviation Organization) entwickelt, die bereits seit Mitte des 20. Jahrhunderts Reisepässe standardisiert. Dass ausgerechnet eine Luftfahrtorganisation für einen Reisepassstandard verantwortlich zeichnet, ist kein Zufall, denn Fluggesellschaften haben ein existenzielles Interesse an einheitlichen Reisedokumenten, da deren Prüfung am Flughafen ein zeitaufwendiger und teurer Vorgang sein kann. Praktisch alle Staaten der Welt halten sich an den MRTD-Standard. Viele stellen ihre Reisepässe bereits jetzt nach den MRTD-Vorgaben aus, andere Länder befinden sich noch in der Aufbauphase. Teil 1 Band 1 maschinenlesbarer Reisepass (MRP), ID-3-Format
Teil 2 Band 2 MRTD-Chip für den MRP
maschinenlesbare Visa
Teil 3 Band 1 maschinenlesbare Zone für Ausweise im ID-1- und ID-2Format
Band 2 MRTD-Chip für Ausweise im ID-1- und ID-2Format
Abbildung 8.1: Die MRTD-Spezifikation (DOC 9303) besteht aus drei Teilen.
105
8 Der MRTD-Standard der ICAO
8.1
Aufbau des Standards Die MRTD-Spezifikation ist Bestandteil des ICAO-Reisepass-Standards DOC 9303. Die erste Ausgabe von DOC 9303 erschien bereits 1980 und beschrieb zunächst nur den maschinenlesbaren Reisepass ohne Chip. Inzwischen ist aus DOC 9303 – vor allem durch die Hinzunahme von MRTD – ein dreiteiliger Standard gewachsen, der folgenden Aufbau hat: Teil 1: Dieser Teil umfasst zwei Bände. Im ersten Band wird der maschinenlesbare Reisepass (MRP) im ID-3-Format beschrieben, wie es ihn seit fast 30 Jahren gibt (siehe Abschnitt 2.2.1) [DOC9303/1-1]. Der zweite Band spezifiziert den (kontaktlosen) Chip, der auf einen MRP aufgebracht wird und diesen dadurch zum MRTD-Dokument macht, sowie die Kommunikation mit diesem [DOC9303/1-2]. Die Bezeichnung MRP bleibt auch nach Hinzunahme des Chips bestehen. Dadurch dürfte klar sein, was der Unterschied zwischen MRP und MRTD ist. Ein MRP entspricht Band 1 des ersten Teils, während ein MRTD Band 2 des ersten Teils entspricht. Ein elektronischer Reisepass ist sowohl ein MRP als auch ein MRTD. Elektronische Ausweise, die der MRTDSpezifikation entsprechen, werden meist als „MRTD-konform“ oder „ICAO-konform“ bezeichnet. Erstere Bezeichnung ist zwar sachgerechter, wird jedoch seltener verwendet. Teil 2: In diesem Teil geht es um maschinenlesbare Visa [DOC9303/2]. Dieses Thema ist für uns nicht weiter interessant. Teil 3: Der dritte Teil von DOC 9303 beschreibt (in zwei Bänden) Ausweise, die als Reisedokumente verwendet werden können, jedoch nicht das klassische Reisepassformat (ID-3) haben. Vor allem für elektronische Identitätsausweise ist dieser Teil gedacht. Statt ID-3-Format besitzt ein diesen Vorgaben entsprechendes Dokument ID-1oder ID-2-Format. Die jeweiligen Varianten werden als TD-1 und TD-2 bezeichnet. TD-1 (also die Kreditkartengröße) kommt deutlich häufiger vor. Die beiden Bände von Teil 3 sind wie folgt aufgeteilt: Der erste Band befasst sich mit einer maschinenlesbaren Zone von TD-1- und TD-2-Ausweisen [DOC9303/3-1]. Er ist auch auf nichtelektronische Ausweise anwendbar. Band 2 spezifiziert den Chip, der auf einem TD-1- oder TD-2-Dokument vorhanden sein kann [DOC9303/1-2]. Dieser Chip kann – im Gegensatz zu dem in Teil 1 beschriebenen Chip auf einem elektronischen Reisepass – auch kontaktbehaftet sein.
Abbildung 8.2: Der erste Band von Teil 3 beschreibt eine maschinenlesbare Zone (unter anderem) für ID-1-Karten. Zahlreiche Ausweise und andere Plastikkarten entsprechen diesem Standard.
106
8.1 Aufbau des Standards Band 2 des ersten Teils von DOC 9303 schreibt vor, dass ein Mikrochip in der Plastikkarte zur Ausstattung eines MRTD-Reisepasses gehört. Dieser wird über eine kontaktlose Schnittstelle gemäß ISO/IEC 14443 angesprochen. Reisepässe, die diesen Vorgaben entsprechen, sind an einem Symbol (siehe Abbildung 8.2) gekennzeichnet. Eine wichtige Rolle im MRTD-Standard spielt die Biometrie. Diese soll sicherstellen, dass ein Reisedokument nur vom Inhaber selbst verwendet wird und nicht verliehen werden kann. Drei Biometrievarianten kann ein MRTD-Dokument laut Standard unterstützen: Gesichtserkennung, Fingerabdruckerkennung und Iriserkennung. Ein Prüfgerät kann ein gespeichertes Referenzmuster auslesen und mit einem gemessenen Wert vergleichen. Es gibt jedoch kein Match-on-Card. Es ist daher nicht vorgesehen, dass der Inhaber eine bestimmte Funktion des Ausweischips per Biometrie freischalten kann.
Abbildung 8.3: Dieses Symbol kennzeichnet weltweit MRTDReisepässe.
Auf dem Chip eines MRTD-Dokuments sind Daten gespeichert (Logical Data Structure, abgekürzt LDS). Zur LDS gehören 16 Datengruppen (zukünftig können weitere dazukommen). Die folgende Liste gibt einen Überblick über die für uns relevanten LDS-Datengruppen: DG1 (verpflichtend): In dieser Datengruppe sind dieselben Informationen gespeichert, die auch in der maschinenlesbaren Zone des Ausweisdokuments aufgedruckt sind. DG2 (verpflichtend): Hier ist ein Passfoto des Gesichts abgelegt, das auch als biometrisches Referenzmuster verwendet werden kann. DG3: Hier lassen sich (bei Bedarf mehrere) Fingerabdruckreferenzbilder speichern. DG4: Hier lassen sich (bei Bedarf mehrere) Referenzbilder der Iris speichern. DG5: Hier wird das Passfoto des Inhabers in Dateiform abgelegt. DG6: freigehalten für zukünftige Verwendung DG7: Hier lässt sich die eingescannte Unterschrift ablegen. DG14: freigehalten für zukünftige Verwendung (wird innerhalb der EU für das weiter unten beschriebene Extended Access Control verwendet) DG15: Dieses Feld enthält einen öffentlichen Schlüssel des Chips. Zusätzlich zu DG1 bis DG16 gehören sogenannte Security Object Data (SOD) zur LDS. In diesen ist eine Liste von Hashwerten aller Datengruppen untergebracht. Diese Liste ist vom Herausgeber des Ausweises digital signiert. Der MRTD-Standard schreibt nur die SOD sowie DG1 und DG2 zwingend vor. Alle anderen Datengruppen sind optional. Unabhängig von den auslesbaren Daten gibt es einen unauslesbaren Teil. Dort sind unter anderem ein zum öffentlichen Schlüssel in DG15 passender privater Schlüssel sowie ein geheimer Schlüssel für ein symmetrisches Verfahren gespeichert.
107
8 Der MRTD-Standard der ICAO
8.2
Kryptografische Schutzmaßnahmen Die MRTD-Spezifikation sieht eine Reihe von kryptografischen Werkzeugen vor, die die in Abschnitt 5.3 beschriebenen Angriffe (z. B. Fälschung, Veränderung oder unerlaubtes Auslesen eines Ausweises) verhindern sollen (eine Übersicht gibt beispielsweise [Ecke08]). Als Ergänzung dazu haben verschiedene Gremien außerhalb der ICAO weitere kryptografische Werkzeuge für MRTD-Dokumente entwickelt. In den folgenden Unterkapiteln schauen wir uns diese Werkzeuge genauer an. Anschließend geht es um die Frage, wie sich aus diesen Einzelbausteinen Protokolle zur Überprüfung eines MRTD-Dokuments zusammenbauen lassen.
8.2.1 Basic Access Control (BAC) Basic Access Control (BAC) ist ein kryptografisches Werkzeug, das typischerweise am Anfang der Kommunikation zwischen einem MRTD-Chip und einem Prüfgerät zum Einsatz kommt. Es soll sicherstellen, dass es nur mit Einverständnis des Inhabers möglich ist, den Ausweisinhalt (also die Datengruppen der Logical Data Structure) auszulesen. Oder anders ausgedrückt: BAC soll Skimming verhindern, das bei kontaktlosen Chips ohne zusätzliche Absicherung besonders einfach ist. Mit BAC lässt sich dagegen nicht erkennen, ob das jeweilige MRTD-Dokument echt ist. BAC ist daher kein Werkzeug zur Verhinderung von Fälschungen oder Klonen, sondern lediglich ein Anti-Skimming-Protokoll. BAC ist eine Erfindung des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Idee der Behörde war es, ein Protokoll zu schaffen, das dem Aufklappen eines visuellen Ausweises entspricht. Das Aufklappen eines Ausweises ist mit Einverständnis des Inhabers ohne Weiteres möglich, und ein aufgeklapptes Dokument ist leicht zu lesen. Als Alternative zu BAC wurde eine Metallhülle diskutiert, die auf physikalischem Weg einen kontaktlosen Zugriff verhindert. Dieser Ansatz, der auch als Shielding) bezeichnet wird, hat sich jedoch nicht durchgesetzt. BAC wird in Teil 1 (Band 2) von DOC 9303 beschrieben [DOC9393/1-2]. Es handelt sich dabei um ein kryptografisches Protokoll, dessen Grundlage ein geheimer Schlüssel bildet, der mit einer kryptografischen Hashfunktion aus dem Inhalt (Dokumentennummer, Geburtsdatum, und Ablaufdatum inklusive Prüfziffern) der maschinenlesbaren Zone (MRZ) eines MRTD-Dokuments abgeleitet wird. Genau genommen sind dabei zwei Schlüssel im Spiel, aber der Einfachheit halber will ich jedoch von einem Schlüssel reden, der aus zwei Teilen besteht. Der MRTD-Chip hat diesen geheimen Schlüssel unauslesbar gespeichert. Allerdings kann jeder, der die MRZ lesen kann, den Schlüssel berechnen (das Verfahren, das auf einer kryptografischen Hashfunktion basiert, ist öffentlich bekannt und nicht schlüsselabhängig). Auf diese Weise kann insbesondere ein Prüfgerät, das über eine optische Einheit die MRZ ausliest (alternativ kann ein Bediener diese Daten auch von Hand eingegeben) den Schlüssel erzeugen. Das Gerät und der Chip führen mit dem Schlüssel eine gegenseitige Challenge-ResponseAuthentifizierung durch, wobei sie ein symmetrisches Verfahren nutzen. Dies hat folgenden Ablauf:
108
8.2 Kryptografische Schutzmaßnahmen 1. Der Chip schickt eine Challenge an das Prüfgerät. 2. Das Prüfgerät bildet mit einem symmetrischen Verfahren die zugehörige Response und schickt diese mit einer neuen Challenge zurück. 3. Der Chip antwortet mit einer zur neuen Challenge gehörenden Response. Ist die gegenseitige Authentifizierung erfolgreich, dann weiß der Chip, dass das Lesegerät tatsächlich die MRZ des Ausweises gelesen hat. Dadurch ist sichergestellt, dass der Inhaber den Ausweis an das Gerät übergeben hat und der Ausweis nicht etwa in einer Jackentasche steckt. Das Lesegerät weiß, dass der Chip tatsächlich derjenige ist, dessen MRZ es gelesen hat. Mit dem Schlüssel können der Chip und das Prüfgerät nun auf sichere Weise kommunizieren (mit Secure Messaging, das weiter unten beschrieben wird), wobei von den beiden Schlüsselteilen einer zur Verschlüsselung und der andere für eine MAC-Funktion verwendet wird. BAC ist kein Protokoll für Hochsicherheitsanforderungen. Wenn ein Angreifer die MRZ des Ausweises kennt, dann kann er den Chipinhalt auch ohne Einverständnis des Inhabers auslesen. Es ist außerdem kein Problem, einen Ausweis zu fälschen, der einen korrekten BAC-Ablauf liefert. BAC verhindert lediglich, dass ein Ausweis ausgelesen wird, solange er noch in der Tasche des Besitzers steckt. Interessant ist die Frage, ob man BAC auch ohne Kenntnis der Dokumentennummer knacken kann. Dies ist theoretisch möglich, da der verwendete Schlüssel nur 56 Bit lang ist. Schlüssel dieser Länge wurden bereits durch Durchprobieren aller möglichen Kombinationen geknackt. Allerdings ist der Aufwand dafür so absurd hoch, dass kein Mensch ihn treiben würde, nur um an Daten wie den Namen, das Geburtsdatum und ein Foto des Ausweisinhabers heranzukommen. Allerdings werden beispielsweise in den Niederlanden Dokumentennummern nach einem System vergeben, das die effektive Schlüssellänge auf etwa 35 Bit reduziert. Die niederländische Sicherheitsfirma Riscure zeigte einen Angriff, bei dem sie die Aufzeichnung einer abgehörten BAC-Kommunikation aufgrund der schwachen Verschlüsselung innerhalb einiger Stunden entschlüsselte [Risc06]. Auch hier stellt sich jedoch die Frage: Lohnt sich der Aufwand für die vergleichsweise trivialen Informationen, die auf einem Reisepass-Chip gespeichert sind.
8.2.2 PACE BAC hat zwei Nachteile. Zum einen bietet die Verschlüsselung keine optimale Sicherheit, da der aus der MRZ berechnete Schlüssel in manchen Fällen zu erraten ist. Zum anderen kann ein Angreifer den Ausweisinhalt auslesen, sofern er die Daten der MRZ kennt – dies wäre nicht der Fall, wenn der Inhaber den Zugriff durch eine Passworteingabe freigeben müsste. Um diese beiden Schwächen zu korrigieren, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Protokoll namens PACE (Password Authenticated Connection Establishment) entwickelt, das alternativ zu BAC eingesetzt werden kann. Die korrekte Aussprache lautet „pahtsche“. PACE ist kein Bestandteil des MRTD-Standards, sondern eine deutsche Ergänzung dazu [BSI09]. Es ist jedoch denkbar, dass PACE irgendwann in DOC 9303 aufgenommen wird.
109
8 Der MRTD-Standard der ICAO PACE führt eine gegenseitige Authentifizierung zwischen Chip und Prüfgerät durch. Das Ergebnis ist ähnlich wie bei BAC: Dem Chip und dem Gerät steht nach Abarbeitung des Protokolls ein gemeinsamer (zweiteiliger) Schlüssel zur Verfügung, den sie für eine sichere Kommunikation nutzen können. Im Vergleich zu BAC ist es für einen Angreifer deutlich schwieriger, an den Schlüssel zu kommen. Die gegenseitige Authentifizierung basiert auf einem Passwort, das beide kennen müssen. Dem Chip ist das Passwort bekannt, da er es im unauslesbaren Teil des Speichers aufbewahrt. Das Prüfgerät erfährt das Passwort, indem es der Inhaber des Ausweises eintippt. PACE macht zwar keine Angaben zur Länge und zur Beschaffenheit des Passworts. Die geplanten Implementierungen werden aber voraussichtlich eine sechsstellige Zahl vorsehen, die auf den elektronischen Ausweis aufgedruckt werden kann oder die sich der Inhaber merkt. Sicherer als diese sechsstellige Geheimnummer (PIN) wäre zweifellos eine längere Zahl oder die Hinzunahme von Buchstaben, doch das würde für viele Anwender zu kompliziert werden. Eine sechsstellige Zahl hat allerdings den Nachteil, dass ein Angreifer sie in maximal 100.000 Versuchen erraten kann. Das bedeutet, dass der Angreifer eine aufgezeichnete Kommunikation zwischen Chip und Prüfgerät innerhalb von Minuten dechiffrieren und dabei die PIN ermitteln kann. Dieses Problem ist in der Kryptografie seit langem bekannt. Selbst das sicherste Verschlüsselungssystem taugt meist wenig, wenn der Schlüssel direkt von einer PIN abgeleitet ist. Allerdings gibt es für dieses Szenario einen interessanten Lösungsansatz. Dieser sieht vor, die Verschlüsselung nicht direkt von einer PIN abhängig zu machen, sondern einen Diffie-Hellman-Schlüsselaustausch durchzuführen. Die PIN kommt hierbei nicht als Ausgangsbasis des Schlüssels zum Einsatz, sondern nur zu einer Prüfsummen-Absicherung des Diffie-Hellman-Verfahrens. Ein entsprechendes Verfahren mit dem Namen SRP (Secure Remote Password Protocol) wird in RFC 2945 beschrieben [Wu00]. Der Standard PACE verwendet ein SRP-ähnliches Verfahren. Man kann den Zweck von PACE daher wie folgt zusammenfassen: Es ermöglicht eine Abfrage des Ausweischips mit einer PIN und ist dadurch eine Alternative zu BAC, wobei es eine Absicherung verwendet, die SRP ähnelt. Am Anfang eines PACE-Ablaufs steht die Eingabe einer PIN am Prüfgerät. Ein Angreifer, der die Kommunikation abhört, kann aus diesem Ablauf weder den geheimen Schlüssel noch die PIN berechnen.
8.2.3
Secure Messaging
Das Secure Messaging ermöglicht eine kryptografisch gesicherte Kommunikation zwischen dem Mikrochip auf einem MRTD-Ausweis und einem Prüfgerät. Kryptografisch abgesichert heißt hierbei, dass die Kommunikation mit einem symmetrischen Verschlüsselungsverfahren verschlüsselt und zusätzlich mit einer MAC-Funktion vor Veränderung geschützt ist. Chip und Ausweis benötigen für das Secure Messaging somit zwei Schlüssel: einen für die Verschlüsselung und einen für die MAC-Funktion. Man kann auch von einem Schlüssel sprechen, der aus zwei Teilen besteht (dies will ich im Folgenden tun). Der Zweck des Secure Messaging ist offensichtlich: Es soll verhindern, dass beim rechtmäßigen Auslesen des Ausweisinhalts ein Angreifer unrechtmäßig mithört.
110
8.2 Kryptografische Schutzmaßnahmen Wie die beiden Komponenten in Besitz des gemeinsamen Schlüssels gelangen, ist nicht Gegenstand der Secure-Messaging-Spezifikation. Im Regelfall arbeiten Chip und Prüfgerät vor dem Secure Messaging das BAC-Protokoll ab und verwenden den dabei generierten zweiteiligen Schlüssel. Alternativ können sie auch PACE verwenden, welches das gleiche Ergebnis liefert.
8.2.4 Passive Authentifizierung Der MRTD-Standard sieht vor, dass das Data Security Object digital signiert ist. Dies schützt den Chipinhalt vor Veränderung. Diese Schutzmaßnahme wird auch als statische Datenauthentifizierung bezeichnet (siehe Abschnitt 5.1.4). Die Überprüfung dieser Signatur wird passive Authentifizierung genannt. Die passive Authentifizierung kann jedoch ein Klonen des Chips nicht verhindern und macht zudem keine Aussage darüber, wer berechtigt ist, auf die Daten zuzugreifen. Die passive Authentifizierung setzt eine PKI voraus. Diese PKI sieht für jeden ausgebenden Staat eine CSCA (Country Signing Certificate Authority) genannte Zertifizierungsstelle vor, die meist von der nationalen Sicherheitsbehörde (etwa dem deutschen BSI) betrieben wird. Die CSCA stellt digitale Zertifikate für Document Signer aus (DS-Zertifikat). Ein Document Signer ist eine Ausweisausgabestelle, also etwa die deutsche Bundesdruckerei. Bei der Ausgabe des Chips signiert der DS die Security Object Data. Das Prüfgerät muss das CSCA-Zertifikat des jeweiligen Staats kennen und kann damit die Echtheit des DS-Zertifikats und der Signatur überprüfen. Das DS-Zertifikat kann auf dem Chip mitgeliefert oder von einem Verzeichnisdienst der ICAO bezogen werden. Leider gibt es aus politischen Gründen innerhalb dieser Reisepass-PKI keine Wurzel-Zertifizierungsstelle, die Zertifikate für CSCAs ausstellt. Ein Prüfgerät muss daher die CSCA-Zertifikate aller betreffenden Staaten kennen.
8.2.5 Aktive Authentifizierung Die aktive Authentifizierung ist ein kryptografisches Protokoll, das das Kopieren (Klonen) eines MRTD-Ausweises verhindern soll. Es basiert auf dem privaten Schlüssel eines asymmetrischen Krypto-Verfahrens, der auf dem Chip unauslesbar gespeichert und für jedes Chipexemplar unterschiedlich ist. Dieser Schlüssel wird für ein Challenge-ResponseVerfahren verwendet, was einer dynamischen Datenauthentifizierung entspricht (siehe Abschnitt 5.1.4). Der benötigte öffentliche Schlüssel ist in DG15 gespeichert. Die aktive Authentifizierung hat folgenden Ablauf: 1. Das Prüfgerät generiert eine Zufallszahl und schickt diese als Challenge zum Chip. 2. Der Chip signiert die Challenge und schickt diese inklusive der Signatur als Response an den Chip zurück. 3. Das Prüfgerät überprüft die Signatur. Ist sie korrekt, dann ist sichergestellt, dass der Chip im Besitz des privaten Schlüssels ist. Wenn man voraussetzt, dass es nicht möglich ist, den privaten Schlüssel aus dem Chip auszulesen oder eine Kopie davon zu erstellen, dann ist durch diesen Ablauf bewiesen,
111
8 Der MRTD-Standard der ICAO dass der Ausweis echt ist. Eine eigene PKI ist für die aktive Authentifizierung nicht notwendig. Anstatt ein digitales Zertifikat zu verwenden, nutzt das Prüfgerät die passive Authentifizierung, um die Echtheit des öffentlichen Schlüssels zu prüfen. Wie Sie aus Abschnitt 3.2.5 wissen, kann das Design eines kryptografischen Protokolls eine äußerst komplizierte Aufgabe sein. Dies ist vor allem dann der Fall, wenn ein Protokoll auch gegen ausgefallene Angriffe geschützt sein soll. Diese Tatsache fällt auch bei der aktiven Authentifizierung ins Gewicht. Eine mögliche Schwachstelle des Protokolls ergibt sich aus der Tatsache, dass das Prüfgerät die Challenge frei wählen kann. Dadurch kann das Prüfgerät beispielsweise statt einer Zufallszahl eine Bitfolge schicken, in der das aktuelle Datum und der Ort enthalten sind. Diese Information signiert der Chip dann, ohne es zu wissen. Dies ist zunächst einmal nicht schlimm, da eine als Challenge signierte Nachricht keine rechtliche Bedeutung hat. Allerdings könnte der Datenschutz beeinträchtigt werden, wenn beispielsweise ein Staat signierte Challenges sammelt, die jeweils den Aufenthaltsort einer Person zu einem bestimmten Zeitpunkt bestätigen. Dies ist ein Beispiel für einen Covert Channel (siehe Abschnitt 3.2.5). Ob eine solche Sammlung einen konkreten Nutzen hat (ein Staat kann ja schließlich auch unsignierte Informationen dieser Art sammeln), ist fraglich, aber immerhin besteht eine grundsätzliche Gefahr. Es gibt einen weiteren Nachteil der aktiven Authentifizierung. Dieser besteht darin, dass das Protokoll zwar eine Authentifizierung, dafür aber keinen Schlüsselaustausch vorsieht. Dabei wäre es nicht besonders aufwendig, die Authentifizierung um einen Schlüsselaustausch zu ergänzen. Da ein solcher Schritt nicht Bestandteil der aktiven Authentifizierung ist, arbeiten Chip und Prüfgerät auch nach erfolgter Authentifizierung mit dem (zweiteiligen) Schlüssel, den sie über BAC oder PACE erhalten haben. Insbesondere BAC ist jedoch kein wirklich sicheres Protokoll, weshalb ein Angreifer möglicherweise den Schlüssel ermitteln und mithören kann. Schlimmer noch: Hat ein Angreifer den Schlüssel erst einmal ermittelt, dann kann er auch zukünftig mithören, da sich der Schlüssel nicht (oder nur selten) ändert.
8.2.6 Chip-Authentifizierung Da die aktive Authentifizierung – wie beschrieben – verschiedene Sicherheitsziele nicht erfüllt, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Alternative dazu entwickelt. Diese wird Chip-Authentifizierung genannt und dient wie die aktive Authentifizierung der dynamischen Datenauthentifizierung (also dem Überprüfen der Echtheit des Chips zum Schutz vor einem Klonen) [BSI09]. Die Chip-Authentifizierung gehört nicht zum MRTD-Standard, sondern ist eine Ergänzung dazu, deren Umsetzung optional ist. Die Chip-Authentifizierung verwendet nicht RSA, sondern den Diffie-Hellman-Schlüsselaustausch. Der Chip nutzt hierbei ein Diffie-Hellman-Schlüsselpaar, dessen öffentlicher Schlüssel in DG14 gespeichert ist (DG14 ist im MRTD-Standard für zukünftige Anwendungen freigelassen). Das Prüfgerät generiert für jeden Vorgang ein neues Diffie-HellmanSchlüsselpaar.
112
8.2 Kryptografische Schutzmaßnahmen Im Gegensatz zur aktiven Authentifizierung sieht die Chip-Authentifizierung kein Challenge-Response-Verfahren vor. Stattdessen führen der Chip und das Prüfgerät einen Diffie-Hellman-Schlüsselaustausch durch, an dessen Ende beide Parteien einen geheimen Schlüssel gemeinsam haben. Aus diesem Schlüssel werden mit einer kryptografischen Hashfunktion zwei weitere Schlüssel (bzw. ein zweiteiliger Schlüssel) abgeleitet, die anschließend für die Nutzung im Secure Messaging zur Verfügung stehen (der eine Schlüssel für die Verschlüsselung, der zweite für die MAC-Funktion). Die aktive Authentifizierung sieht dagegen – wie erwähnt – keinen Schlüsselaustausch vor. Die Chip-Authentifizierung hat zwei Vorteile gegenüber der aktiven Authentifizierung: Sie lässt zum einen keinen Covert Channel zu und bietet zum anderen durch den Schlüsselaustausch eine höhere Sicherheit vor Mithörern. Dabei ist insbesondere Forward Security gegeben. Man kann sich allerdings darüber streiten, ob diese Vorteile wirklich ins Gewicht fallen und ob sie es rechtfertigen, ein neues kryptografisches Werkzeug einzuführen, das den Umgang mit dem MRTD-Standard komplizierter macht. Wie die aktive Authentifizierung benötigt auch die Chip-Authentifizierung keine PKIUnterstützung. Stattdessen kontrolliert das Prüfgerät die Echtheit des öffentlichen DiffieHellman-Schlüssels des Chips über die passive Datenauthentifizierung. Für diese wiederum ist, wie beschrieben, eine PKI notwendig.
8.2.7 Terminal-Authentifizierung Die aktive Authentifizierung sowie die Chip-Authentifizierung ermöglichen es einem Prüfgerät, die Echtheit eines MRTD-Dokuments zu überprüfen. Beide Werkzeuge sehen jedoch nicht vor, dass der Ausweis die Identität eines Prüfgeräts kontrolliert. Dabei ist dies durchaus sinnvoll, denn ein Ausweischip sollte nicht jedem Prüfer alle Inhalte zur Verfügung stellen. Um diesen Mangel zu beheben, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein weiteres kryptografisches Werkzeug entwickelt [BSI09]: die Terminal-Authentifizierung. Die Terminal-Authentifizierung ist ein einfaches Challenge-Response-Protokoll. Der Chip sendet eine Challenge an das Prüfgerät, woraufhin dieses die signierte Version davon als Response zurücksendet. Um die Signatur des Prüfgeräts zu überprüfen, verwendet der Chip ein digitales Zertifikat des Prüfgeräts. Dabei handelt es sich um ein CV-Zertifikat. Der erste Schritt der Terminal-Authentifizierung (noch vor dem Challenge-Response) sieht daher vor, dass das Prüfgerät sein Zertifikat sowie das Zertifikat seiner Zertifizierungsstelle schickt. Der Chip kann diese Zertifikate mit dem Zertifikat einer Wurzel-Zertifizierungsstelle überprüfen, das er gespeichert hat (auch dieses ist ein CV-Zertifikat). Wie Sie aus Abschnitt 3.2.6 wissen, sind CV-Zertifikate besonders ressourcenschonend und daher gut für die Verarbeitung auf einem Chip geeignet. Wie man sich leicht vorstellen kann, bringt die Terminal-Authentifizierung einen enormen Aufwand mit sich. Soll das Verfahren funktionieren, dann muss weltweit jedes Lesegerät von einer zuständigen Behörde registriert und mit einem Schlüsselpaar inklusive digitalem Zertifikat ausgestattet werden. Zudem muss jeder Chip die Möglichkeit haben, diese Be-
113
8 Der MRTD-Standard der ICAO rechtigung zu überprüfen. Dieses aufwendige Verfahren setzt eine komplette Online-Infrastruktur voraus, bei der Lesegerät und Ausweis Zugriff auf Verzeichnisdienste und Sperrlisten (für gestohlene Pässe) haben müssen.
8.2.8 Restricted Identification (RI) Restricted Identification ist ein weiteres kryptografisches Protokoll für MRTD-Ausweise, das vom BSI entwickelt wurde [BSI09]. Es sieht einen Diffie-Hellman-Schlüsselaustausch zwischen dem MRTD-Chip und dem Prüfgerät vor. Die Anwendung des DiffieHellmann-Verfahrens dient in diesem Fall jedoch nicht (wie sonst üblich) der Generierung eines gemeinsamen Schlüssels, sondern der Bildung eines Pseudonyms. Dieses Pseudonym ist von einer Information abhängig, die im Zertifikat des Prüfgeräts steht. Restricted Identification darf daher nur verwendet werden, wenn zuvor eine Terminal-Authentifizierung inklusive der Überprüfung des Zertifikats stattgefunden hat. Eine Chip-Authentifizierung ist ebenfalls vorgeschrieben. Die Information zur Bildung des Pseudonyms wird innerhalb einer Gruppe von Prüfgeräten einheitlich vergeben (z. B. für alle Geräte an einer Grenze). Dadurch entsteht innerhalb dieser Zone stets das gleiche Pseudonym. Auf diese Weise kann ein Prüfsystem ein Ausweisdokument wiedererkennen, ohne dass es den Namen des Inhabers erfährt.
8.2.9 EAC Die Extended Access Control (EAC) ist ein kryptografisches Werkzeug, das eine gegenseitige Authentifizierung von Chip und Prüfgerät vorsieht. Der Name legt nahe, dass es sich dabei um eine Alternative zu BAC handelt – dies ist jedoch nicht der Fall. Stattdessen versteht man unter EAC die Kombination der beiden bereits beschriebenen Werkzeuge Chip-Authentifizierung und Terminal-Authentifizierung. Diese beiden wurden vom BSI speziell für EAC entwickelt [BSI09]. Die Europäische Union hat EAC im EU-Ratsbeschluss vom 28. Juni 2006 als verbindlichen Standard übernommen. EAC stellt sicher, dass nicht jedes Prüfgerät auf die Daten eines MRTD-Chips zugreifen kann. Diese Eigenschaft wird dadurch erreicht, dass das Prüfgerät ein digitales Zertifikat übermittelt und sich per Challenge-Response authentifiziert. Der Nachteil hierbei ist, dass EAC eine PKI benötigt, die diese Zertifikate zur Verfügung stellt. Jeder Staat, der EACAbfragen durchführen will, muss eine eigene Zertifizierungsstelle aufbauen. Diese wird als Country Verifying CA (CVCA) bezeichnet. Die CVCA legt fest, welche Zugriffsrechte es für Prüfgeräte auf die Ausweischips eines Landes gibt. Diese Zugriffsrechte sind weitgehend frei definierbar. Sie stehen in den Zertifikaten, die die CVCA ausgibt. EAC setzt voraus, dass ein Prüfgerät ein eigenes digitales Zertifikat besitzt. Dabei handelt es sich um ein CV-Zertifikat, das von einer Zertifizierungsstelle kommt, die von einem sogenannten Document Verifier (DV) betrieben wird (man spricht von der Document Verifier Certification Authority, abgekürzt DVCA). Ein DV ist eine organisatorische Einheit, die innerhalb eines Staats die Prüfgeräte eines bestimmten Typs betreibt (beispielsweise alle Prüfgeräte, die an der Grenze zum Einsatz kommen). Die DVCA erhält wiederum ein
114
8.3 Kombination der kryptografischen Werkzeuge Zertifikat, das von einer CVCA (Country Verifying Certification Authority) ausgestellt wird, die vom jeweiligen Staat betrieben wird. Hierbei ist keine weltweite WurzelZertifizierungsstelle vorgesehen. Der Chip auf dem Reisepass muss daher die öffentlichen CVCA-Schlüssel derjenigen Staaten gespeichert haben, in denen ein EAC-Zugriff möglich sein soll.
8.2.10 mEAC Modular Extended Access Control (mEAC) ist ein kryptografisches Werkzeug für MRTD-Ausweise, das im Zusammenhang mit dem European-Citizen-Card-Standard entstanden ist [MeDa07]. Es ist an EAC angelehnt und vor allem für die Online-Anwendung geeignet. Im Vergleich zu EAC enthält mEAC einen zusätzlichen Bestandteil, außerdem kommen die von EAC bekannten Protokollschritte in einer anderen Reihenfolge zum Einsatz. Der zusätzliche Bestandteil hat den Zweck, das Einverständnis des Passinhabers zu einer bestimmten Aktion abzufragen. Dies kann beispielsweise die Bestätigung einer Online-Bestellung oder einer Online-Überweisung sein. Bei einem kontaktbehafteten Chip besteht dieser Schritt aus einer PIN-Abfrage, im kontaktlosen Fall kommt PACE zum Einsatz.
8.3
Kombination der kryptografischen Werkzeuge Die bisher beschriebenen kryptografischen Werkzeuge sind Bausteine, aus denen sich verschiedene Protokolle zur Überprüfung eines MRTD-Dokuments zusammensetzen lassen. Im einfachsten Fall führt ein Prüfgerät lediglich eine passive Authentifizierung durch (nur diese ist laut MRTD-Standard verpflichtend), bevor es die Inhalte der Logical Data Structure ausliest und verarbeitet. Ein etwas anspruchsvolleres Beispiel (aus der EAC/PACE/ RI-Spezifikation des BSI) sieht wie folgt aus [BSI09]: 1. BAC: Der Chip stellt über BAC sicher, dass das Prüfgerät Zugriff auf die MRZ des MRTD-Dokuments hat. Dadurch ist gewährleistet, dass das nun folgende Auslesen rechtmäßig ist. 2. Secure Messaging: Secure Messaging wird gestartet. Es verwendet den zweiteiligen Schlüssel von BAC. 3. Passive Authentifizierung: Das Prüfgerät prüft über eine passive Authentifizierung, ob die Inhalte des Ausweises echt und unverändert sind. 4. Aktive Authentifizierung (optional): Das Prüfgerät prüft mittels aktiver Authentifizierung, ob der Ausweis ein Original ist. 5. Auslesen: Nun kann das Prüfgerät auf bestimmte Datengruppen lesend zugreifen. Das Auslesen der Personalien ist hierbei immer möglich. Welche zusätzlichen Informationen der Chip freigibt, ist Sache der Implementierung.
115
8 Der MRTD-Standard der ICAO Alle an diesem Ablauf beteiligten Sicherheitswerkzeuge (BAC, Secure Messaging, passive und aktive Authentifizierung) sind Bestandteil des MRTD-Standards. Die vom BSI und anderen Organisationen entwickelten Ergänzungen kommen hierbei nicht zum Einsatz. Es gibt jedoch Alternativen zu diesem Standardverfahren. In der der EAC/PACE/RI-Spezifikation des BSI ist beispielsweise folgender Ablauf beschrieben [BSI09]: 1. PACE: Der Chip stellt mit PACE sicher, dass das Prüfgerät berechtigt ist, auf den Chip zuzugreifen, nachdem der Inhaber seine PIN eingegeben hat. 2. Secure Messaging: Das Secure Messaging wird gestartet. Es verwendet den zweiteiligen Schlüssel von PACE. 3. Terminal-Authentifizierung: Der Chip prüft über eine Terminal-Authentifizierung, ob das Prüfgerät berechtigt ist, auf die im Chip gespeicherten Daten zuzugreifen. 4. Passive Authentifizierung: Das Prüfgerät prüft mit passiver Authentifizierung, ob die Daten auf dem Ausweis echt und unverändert sind. 5. Chip-Authentifizierung: Das Prüfgerät stellt über eine Chip-Authentifizierung sicher, dass der Ausweischip nicht geklont ist. 6. Secure Messaging: Das Secure Messaging wird mit dem zweiteiligen Schlüssel der Chip-Authentifizierung neu gestartet. 7. Auslesen: Nun kann das Prüfgerät auf bestimmte Datengruppen lesend zugreifen. Das Auslesen der Personalien ist hierbei immer möglich. Welche zusätzlichen Informationen der Chip freigibt, ist Sache der Implementierung. Dieser Ablauf ist sicherer als der Standardablauf. Er setzt jedoch voraus, dass ein Ausweischip die Werkzeuge PACE und EAC (inklusive Chip-Authentifizierung und TerminalAuthentifizierung) unterstützt. Diese sind (bisher) nicht Bestandteil der MRTD-Spezifikation.
8.4
MRTD-Implementierungen Aufgrund der großen Bedeutung des MRTD-Standards gibt es inzwischen eine ganze Reihe von Produkten, die diesen in die Praxis umsetzen. So bietet Giesecke & Devrient eine Smartcard-Lösung namens STARCOS Passport Edition an. Von Gemalto gibt es ein ähnliches Produkt namens „Sealys etravel“. Das Software-Paket cv act ePasslet von Cryptovision ermöglicht es, MRTD-Funktionen mithilfe des Java-Card-Standards auf einen Kartenchip zu bringen. Neben diesen Smartcard-Produkten gibt es auch verschiedene kostenlose Implementierungen des MRTD-Standards, die zum Testen und Analysieren verwendet werden. Zwei davon schauen wir uns nun an.
8.4.1 Golden Reader Tool Die bekannteste kostenlose Implementierung des MRTD-Standards ist das Golden Reader Tool (GRT) [GRT]. Dabei handelt es sich um eine für Windows-Betriebssysteme verfüg-
116
8.4 MRTD-Implementierungen bare Software zum Lesen von MRTD-konformen Ausweisdokumenten. Sie dient ausschließlich zu Testzwecken. Gegenüber dem Mikrochip auf einem MRTD-Ausweis emuliert das GRT ein Prüfgerät, wie es beispielsweise an der Grenze zum Einsatz kommt. Im Gegensatz zu einem echten Prüfgerät steht beim GRT jedoch nicht die Prüfung des Ausweises im Mittelpunkt, sondern die Frage, ob die einzelnen Bestandteile des MRTD-Standards richtig implementiert sind. Das Golden Reader Tool wurde 2004 im Auftrag des BSI von der deutschen Firma Secunet entwickelt. Es ist (nach einer Registrierung) kostenlos erhältlich. Durch eine grafische Benutzeroberfläche ist es einfach zu bedienen. Das Golden Reader Tool wurde bereits mehrfach bei internationalen Interoperabilitätstests eingesetzt und gilt als wichtige Referenzimplementierung. Der Funktionsumfang wird derzeit deutlich erweitert. Die neue Version soll „Platin Edition“ heißen.
Abbildung 8.4: Das Golden Reader Tool ist eine Software zum Lesen und Testen von MRTD-konformen Ausweisen.
117
8 Der MRTD-Standard der ICAO
8.4.2 GlobalTester Der GlobalTester ist eine Open-Source-Software, mit der man MRTD-Dokumente und einige andere Smartcards testen und analysieren kann [GT]. Es handelt sich um eine Entwicklung der deutschen Firma HJP Consulting. Der GlobalTester ist als Plug-in für die Entwicklungsplattform Eclipse realisiert. Die Software ermöglicht es, mithilfe von JavaScript- und XML-Dateien Tests zu definieren und zu konfigurieren. Insbesondere lassen sich auf diese Weise zahlreiche Tests durchführen, die vom BSI und von der ICAO spezifiziert worden sind. Die Verwaltung der Tests erfolgt über eine Komponente, die TestManager genannt wird.
8.5
Bewertung des MRTD-Standards Der MRTD-Standard ist nicht unumstritten. Seit der Veröffentlichung der Spezifikation gab es vor allem immer wieder Diskussionen über die Sicherheit von MRTD-Dokumenten. So machte im Jahr 2007 der britische IT-Security-Experte Adam Laurie Schlagzeilen, als er Basic Access Control durch Erraten des Schlüssels überlistete [Laur07]. Allerdings hatte Laurie damit nur gezeigt, dass es mit großem Aufwand möglich ist, einen MRTD-Reisepass unbefugt auszulesen. Dies war bereits vorher bekannt gewesen und ist nach Ansicht der meisten Fachleute hinnehmbar (viel mehr als den Namen und die Nationalität des Inhabers kann ein Angreifer auf diese Weise nicht erfahren). Auch ein Angriff, den Lauries deutscher Kollege Lukas Grunwald demonstrierte, lieferte zwar interessante Informationen, stellte die MRTD-Sicherheit jedoch nicht grundsätzlich infrage. Grunwald zeigte, dass sich ein MRTD-Chip klonen lässt, wenn er nicht durch eine dynamische Datenauthentifizierung geschützt ist [Grun06]. Dies war im Grundsatz schon vorher bekannt. Immerhin zeigte sich durch diesen Angriff einmal mehr, dass die dynamische Datenauthentifizierung ein wichtiges Werkzeug ist, wenn man Fälschungen verhindern will. Neben Sicherheitsbedenken gibt es noch eine andere Form der Kritik am MRTD-Standard. Diese bezieht sich auf die Tatsache, dass die MRTD-Spezifikation unnötig komplex ist, zahlreiche Details offen lässt und dennoch im Vergleich zu anderen E-Ausweis-Systemen nur wenige Anwendungsmöglichkeiten bietet. Der Grund für diese unerfreuliche Situation ist offensichtlich: An der Entstehung des Standards waren zu viele Beteiligte mit unterschiedlichen Interessen involviert. Die E-Ausweis-Experten Lukas Grunwald und Christian Böttger kommentieren dies wie folgt: „Jeder Teilnehmer wollte sein Lieblingsspielzeug dabei haben“ [GrBö08]. Ein einfacher und eleganter MRTD-Standard war angesichts der Ausgangssituation allerdings auch nicht zu erwarten. Ein Ausweisdokument, das in allen Staaten der Welt anerkannt werden soll, kann nun einmal nicht mehr als den kleinsten gemeinsamen Nenner verkörpern.
118
9 9 Initiativen für interoperable elektronische Ausweise Betrachtet man die wichtigsten elektronischen Ausweissysteme, die derzeit in verschiedenen Ländern betrieben werden oder entstehen, dann ist eines nicht zu übersehen: Nahezu jeder Staat kocht sein eigenes Süppchen. Elektronische Identitätsausweise, soweit vorhanden, sehen in jedem Staat anders aus. Im Bereich der Gesundheitskarten und Dienstausweise ist die Lage sogar noch unübersichtlicher. Eine Ausnahme bilden lediglich die elektronischen Reisepässe, die dank der ICAO-Normung international halbwegs einheitlich sind. Ohne Zweifel ist die mangelnde Interoperabilität eines der größten Probleme, mit dem wir es im elektronischen Ausweiswesen zu tun haben. Zum Glück gibt es inzwischen einige ernsthafte Aktivitäten, die eine internationale Standardisierung zum Ziel haben und dadurch wenigstens ansatzweise Ordnung ins Ausweischaos bringen. Diese Bestrebungen kommen zwar reichlich spät – immerhin sind elektronische Ausweise schon längst Realität. Doch ein später Versuch, Interoperabilität zu schaffen, ist immer noch besser als gar keiner. Leider gibt es bisher kaum weltweite Standardisierungsbestrebungen. Stattdessen spielen sich entsprechende Überlegungen hauptsächlich in Ostasien, Arabien und Europa ab und sind meist auf die jeweilige Region begrenzt. In diesem Kapitel wollen wir uns die wichtigsten Standardisierungsinitiativen für elektronische Ausweise anschauen.
9.1
Elektronische Reisepässe in der EU Der MRTD-Standard der ICAO (siehe Kapitel 8) gilt auch für die Mitglieder der Europäischen Union. Allerdings strebten die EU-Staaten nach einem höheren Sicherheitsstandard, weshalb sie sich im Jahr 2004 auf zusätzliche Richtlinien einigten, nach denen MRTDReisepässe innerhalb der Mitgliedsländer ausgestellt werden sollen. Die maßgebliche Vorschrift ist die EG-Verordnung Nr. 2252/2004 [EG04], Details finden sich in der „Spezifikation für EU-Pässe“ [EUPS05]. Die Vorgaben der EU an die elektronischen Reisepässe
119
9 Initiativen für interoperable elektronische Ausweise ihrer Mitgliedsstaaten gehen deutlich über die Mindestanforderungen im MRTD-Standard hinaus. So sehen die Anforderungen neben der Speicherung eines Gesichtsbilds (ein solches ist laut MRTD-Standard Pflicht) zwei Fingerabdruckreferenzmuster (von den beiden Zeigefingern) auf dem Chip vor. Als Option ist die Iriserkennung zulässig. Während die ICAO im MRTD-Standard nur eine passive Authentifizierung zwingend vorschreibt, verlangt die Europäische Union Basic Access Control als verpflichtende Funktion. Auch Extended Access Control ist vorgeschrieben, und zwar für den Zugriff auf die Fingerabdruckdaten. Die aktive Authentifizierung ist dagegen optional.
9.2
Die European Citizen Card (ECC) Besonders wichtig ist eine Standardisierung im Bereich der elektronischen Identitätsausweise. Da EU-Staaten wie Finnland und Belgien diesbezüglich eine weltweite Vorreiterrolle übernommen haben, ist in der EU vergleichsweise früh das Bewusstsein dafür erwacht, dass ein einheitliches Rahmenwerk notwendig ist. Diese Prämisse gilt insbesondere deshalb, weil ein Identitätsausweis innerhalb der EU als Reisedokument gültig ist und daher auch im Ausland nutzbar sein muss. Leider hinkt in der EU – wie anderswo auch – die Standardisierung elektronischer Identitätsausweise der Realität hinterher. Gerade die frühen Projekte in Finnland und Belgien entstanden ohne Abstimmung mit anderen Staaten und stellten die EU damit vor vollendete Tatsachen. Die Standardisierung elektronischer Identitätsausweise ist jedoch nicht nur aus historischen Gründen schwierig. Denn, wie in Abschnitt 5.2.2 erwähnt, statten viele Regierungen ihre Personalausweise mit Zusatzfunktionen (z. B. digitales Signieren, Online-Authentifizierung) aus. Es genügt also nicht, dass sich beispielsweise ein Österreicher in London maschinell ausweisen kann. Vielmehr sollte auch die österreichische Signatur in London nutzbar sein. Derartige Anforderungen machen eine Standardisierung äußerst komplex.
9.2.1 Der ECC-Standard Um die unterschiedlichen elektronischen Identitätsausweise innerhalb der EU-Mitgliedsstaaten unter einen Hut zu bringen, beschloss der Rat der Europäischen Union am 10. Dezember 2004 ein Standardisierungsvorhaben namens European Citizen Card (ECC). Leider ist die European Citizen Card leicht mit der Elliptic Curve Cryptography zu verwechseln, die ebenfalls ECC abgekürzt wird. Die Sache wird nicht zuletzt dadurch kompliziert, dass es zwischen der ECC (Karte) und der ECC (Kryptografie) zahlreiche Berührungspunkte gibt. Einige Fachleute reden deshalb von EuCC und ElCC, auch wenn es sich dabei nicht um offizielle Abkürzungen handelt. Die Entwicklung des European-Citizen-Card-Standards läuft derzeit in der Arbeitsgruppe WG 15 des Bereichs TC224 der europäischen Normungsbehörde CEN. Der offizielle Name des Standards ist CEN/TS 15480. Die Arbeitsgruppe WG 15 wurde auf Initiative verschiedener Kartenhersteller gegründet, die derzeit auch die Standardisierung vorantreiben.
120
9.2 Die European Citizen Card (ECC) Das TS im Namen steht für Technical Specification und weist darauf hin, dass es sich um einen Standard handelt, der (noch) nicht als verbindlich gilt. Die 15480-Serie befindet sich damit in einem Versuchsstadium. Eine Überführung der TS in eine European Norm (EN) ist zu einem späteren Zeitpunkt möglich, wobei dann aber strengere Abstimmungsregularien gelten. Ein Problem hierbei ist, dass es für die Arbeit der ECC-Standardisierer keinen gesetzlichen Auftrag der EU gibt. Der ECC-Standard ist daher bisher lediglich eine Empfehlung ohne verbindlichen Charakter. Zwar laufen derzeit Bestrebungen, den ECC-Standard in ein rechtsverbindliches Rahmenwerk umzuwandeln, doch Staaten wie Belgien und Finnland, die bereits funktionsfähige Karten in Umlauf haben, werden sich sicherlich genau überlegen, ob und wann sie einem Standard zustimmen, der ihren eigenen Projekten nicht entspricht. Die Entwickler des ECC-Standards haben daher eine schwierige Aufgabe. Sie müssen einerseits mit den erheblichen Unterschieden zwischen den bereits existierenden elektronischen Identitätsausweisen innerhalb der EU zurechtkommen. Andererseits darf das ECC-Rahmenwerk nicht zu komplex werden, da es sich sonst nicht durchsetzen wird. Die Standardentwickler mussten daher einige Kompromisse schließen.
9.2.2 Inhalt des Standards Da man in Brüssel das Rad nicht neu erfinden wollte, basiert die European Citizen Card auf dem MRTD-Standard der ICAO [HüBO07]. Der unberechtigte Zugriff auf sensible Daten wird mittels Extended Access Control (EAC) verhindert. Auf dem Ausweischip kann der Herausgeber neben den persönlichen Daten (Name, Geburtsdatum, Größe, Augenfarbe usw.) ein biometrisch nutzbares Passfoto und zwei Fingerabdrücke abspeichern. Sowohl kontaktlose als auch kontaktbehaftete Karten sind zulässig. Die Ansprache einer Karte erfolgt über eine leicht abgewandelte Version von ISO/IEC 24727. Der ECCStandard (CEN/TS 15480) hat vier Bestandteile: Teil 1 (Physikalische, elektrische und transportprotokollbezogene Merkmale): Dieser Teil enthält Vorgaben zur kontaktbehafteten bzw. kontaktlosen Schnittstelle, zu den Datenübertragungsprotokollen, zum Kartenlayout, zur Haltbarkeit des Kartenmaterials und zu Testmethoden. Teil 2 (Logische Datenstrukturen und Kartendienste): Dieser Teil behandelt Komponenten und Werkzeuge, die für eine Verständigung zwischen einem ECC-Chip und dem Prüfgerät auf Anwendungsebene notwendig sind. Dazu gehören eine an die Logical Data Structure des MRTD-Standards angelehnte Datenstruktur, eine Festlegung der Protokollnachrichten sowie zahlreiche Details, die die Nutzung des Chips zur Identifikation, Authentifizierung und Signatur regeln. Teil 3 (Anwendungsschnittstelle): In diesem Teil wird die (normalerweise von einer Smartcard-Middleware bereitgestellte) Schnittstelle spezifiziert, über die ein Anwendungsprogramm einen ECC-Chip ansprechen kann. Diese Schnittstelle ist an ISO/IEC 24727 angelehnt.
121
9 Initiativen für interoperable elektronische Ausweise Teil 4 (Nutzungsprofile): Dieser Teil enthält eine Sammlung von Nutzungsprofilen, also von Einschränkungen des Standards für bestimmte Anwendungen. Beispielsweise kann ein Staat ein Nutzungsprofil für die von ihm herausgegebenen Ausweise festlegen. Während die beiden ersten Teile Anfang 2007 dem Publikationsverfahren des CEN übergeben worden sind, befinden sich die Teile 3 und 4 noch in der Entwicklung – ihre Fertigstellung und Übergabe in das erste Abstimmungsverfahren wird für Ende des Jahres 2009 erwartet. Besonders interessant ist für uns der vierte Teil der ECC-Spezifikation. Darin werden Nutzungsprofile für ECC-konforme E-Ausweise beschrieben. Folgende Profile gibt es bisher: Profil 1: Dieses Profil beschreibt verschiedene Vorgaben für die Nutzung einer ECCKarte als elektronischen Identitätsausweis (also für den eigentlichen Zweck einer ECCKarte). Das Profil wurde speziell für den deutschen elektronischen Personalausweis entwickelt und wird von diesem verwendet. Andere Staaten werden das Profil voraussichtlich nicht übernehmen, sondern jeweils ein eigenes definieren. Das Profil sieht eine kontaktlose Karte vor, die über ISO/IEC 14443 angesprochen wird. Es gibt drei Anwendungsbereiche: eID (elektronische Identitätskarte), ICAO (MRTD-Funktionen inklusive passiver Authentifizierung, Basic Access Control, Extended Access Control und Secure Messaging) und SIG (digitales Signieren). Profil 2: Dieses Profil beschreibt Rahmenbedingungen für die Nutzung einer ECCKarte für digitales Signieren mit einer kontaktbehafteten Karte. Das Profil orientiert sich an der deutschen elektronischen Gesundheitskarte. Weitere Profile sollen in den nächsten Jahren hinzukommen. Beispielsweise plant die slowenische Regierung ein solches für ihre elektronische Identitätskarte.
9.2.3 Bewertung des ECC-Standards Der ECC-Standard ist noch in der Entstehung. Zu den bereits abgeschlossenen Teilen gibt es bisher nur wenige Erfahrungen. Immerhin hat die Firma Giesecke & Devrient 2008 zusammen mit der Wirecard Bank eine erste Implementierung vorgestellt. Die beiden Unternehmen präsentierten eine Online-Banking-Anwendung, die Teile von Profil 1 der ECCSpezifikation nutzt. Die Anwendung sieht vor, dass sich der Anwender mit einer ECCKarte bei der Bank registrieren kann. Dazu muss er keine Informationen selbst eingeben, da alle Informationen von der Karte kommen. Ist der Anwender erst einmal registriert, dann kann er jederzeit auf sein Konto zugreifen. Von dieser eher experimentellen Umsetzung abgesehen, ist der ECC-Standard bisher noch ein theoretisches Konstrukt. Zweifellos handelt es sich dabei um einen äußerst wichtigen Beitrag zur Schaffung einheitlicher Ausweisdokumente. Allerdings bietet der Standard kaum mehr als einen Schritt in die richtige Richtung, denn für eine wirkungsvolle Standardisierung ist es inzwischen zu spät. Es wird daher trotz European Citizen Card in absehbarer Zeit keine einheitlichen elektronischen Identitätskarten in Europa geben.
122
9.3 Die STORK-Initiative
9.3
Die STORK-Initiative Neben der European Citizen Card (ECC) gibt es auf europäischer Ebene noch eine weitere Initiative, die für Einheitlichkeit im Bereich der elektronischen Identitätsausweise sorgen soll. Diese nennt sich STORK [STOR09]. Der Name ist eine (etwas kuriose) Abkürzung von Secure Identity Across Borders Linked. Bei Redaktionsschluss dieses Buchs gehörten 29 Organisationen dem STORK-Konsortium an, darunter 14 Regierungsbehörden einschließlich des deutschen BSI. Die Industrie ist unter anderem durch die Unternehmen T-Systems, Capgemini und Atos Origin vertreten. Im Mittelpunkt von STORK stehen verschiedene Online-Angebote, deren Nutzung mithilfe elektronischer Identitätsausweise möglich ist. Unter den Angeboten finden sich das UK Government Gateway, das belgische Behördenportal LIMOSA, das deutsche Portal service-bw, das österreichische help.gv und das estnische Bürgerportal. Ziel des Projektes ist, dass ein Anwender aus einem beliebigen beteiligten Land auf ein beliebiges beteiligtes Portal zugreifen kann, auch wenn beispielsweise der deutsche elektronische Personalausweis nur sehr bedingt mit der belgischen oder estnischen Identitätskarte interoperabel ist. Die STORK-Initiative lief am 1. Juni 2008 an und soll drei Jahre dauern. Für die Kosten des Vorhabens sind 20 Millionen Euro veranschlagt. Im Rahmen des Projekts werden mehrere Pilotsysteme aufgesetzt, darunter eine grenzüberschreitende Authentifizierungsplattform. Im Gegensatz zur European Citizen Card ist STORK nicht auf die Schaffung eines konkreten Standards angelegt, sondern dient vor allem dem Sammeln von Erfahrungen bei der Verarbeitung von Identitätskarten unterschiedlicher Herkunft. Bei Redaktionsschluss dieses Buchs gab es noch keine veröffentlichten Ergebnisse.
9.4
Die Porvoo-Gruppe Die Porvoo-Gruppe ist eine europäische Vereinigung von Personen aus Industrie und Verwaltung, die ein Interesse an elektronischen Identitätsausweisen haben [Porv09]. Gegründet wurde die Gruppe 2002 in der finnischen Stadt Porvoo. Seitdem finden zweimal jährlich an wechselnden europäischen Orten Gruppentreffen statt. Zweck der Porvoo-Gruppe ist es nicht, Standards oder konkrete Projekte ins Leben zu rufen. Stattdessen bilden die Treffen der Gruppe eine Plattform für den Erfahrungsaustausch, für die Entwicklung neuer Ideen, für Lobbyarbeit und für das Erstellen von Empfehlungen. Die Porvoo-Gruppe propagiert eine internationale Vereinheitlichung von elektronischen Identitätskarten.
123
9 Initiativen für interoperable elektronische Ausweise
9.5
Die NETC@RDS-Initiative Elektronische Krankenversicherungskarten sind zwar noch nicht so weit verbreitet wie elektronische Identitätsausweise, einen unschönen Wildwuchs gibt es aber dennoch. So sind die deutsche elektronische Gesundheitskarte, die österreichische e-Card und die schweizerische elektronische Versichertenkarte nicht miteinander kompatibel. Ähnliche Kartensysteme in Frankreich, Slowenien und Italien sind ebenfalls Insellösungen. Die Unterschiede zwischen den einzelnen Kartensystemen sind sogar noch größer als bei den elektronischen Identitätskarten, da mit den elektronischen Gesundheitskarten meist diverse Online-Anwendungen verknüpft sind, die sich nicht von einem Land auf das andere übertragen lassen. Hinzu kommt, dass die nationalen Unterschiede im Gesundheitswesen meist deutlich größer sind als im Bereich der Identitätsausweise. Angesichts dieser Situation ist eine Harmonisierung der nationalen Gesundheitskarten einerseits notwendig, aber andererseits äußerst schwierig. Ein wichtiges Vorhaben in diesem Bereich ist die Initiative NETC@RDS, die 2002 gegründet wurde [NETC09]. Es handelt sich dabei um ein von der EU ins Leben gerufenes Projekt, an dem zurzeit Partner aus 15 europäischen Ländern beteiligt sind. Ziel von NETC@RDS ist es, eine Infrastruktur zu schaffen, die es einem Krankenversicherten ermöglicht, seine Karte auch im europäischen Ausland zu nutzen. Dieses Ziel wollen die NETC@RDS-Verantwortlichen dadurch erreichen, dass nationale Krankenversichertenkarten auch im jeweiligen Ausland gelesen und akzeptiert werden. Man kann NETC@RDS daher einerseits als Gegenstück zu STORK in der Welt der Gesundheitskarten betrachten. Andererseits konkurriert NETC@RDS jedoch auch mit der eEHIC, um die es im nächsten Unterkapitel geht. Während Letztere eine international einheitliche Karte vorsieht, gehen die NETC@RDS-Verantwortlichen von verschiedenen Karten aus, die es zu berücksichtigen gilt. Vom erklärten Ziel ist NETC@RDS noch weit entfernt. Es gibt zwar bereits einige erfolgreiche Tests, doch zu einem flächendeckenden Einsatz unterschiedlicher Karten in unterschiedlichen Ländern wird es wohl noch einige Jahre dauern.
9.6
Elektronische EHIC Die europäische Krankenversicherungskarte EHIC (siehe Abschnitt 2.2.3) ist mit über 150 Millionen ausgegebenen Exemplaren zwar weit verbreitet, allerdings noch nicht mit einem Chip ausgestattet. Die Idee, daran etwas zu ändern und damit eine elektronische EHIC (eEHIC) zu schaffen, wird bereits seit Jahren diskutiert [Bick08]. Seit 2002 kümmert sich die EU-Verwaltungskommission CA.SS.TM, die eigentlich für die soziale Sicherheit von Wanderarbeitnehmern zuständig ist, um die Entwicklung einer eEHIC. Im Jahr 2006 gründete die CA.SS.TM eine eEHIC-Ad-hoc-Gruppe, die sich ausschließlich mit diesem Thema befasst. 2007 veröffentlichte diese Gruppe einen ersten Bericht und nahm anschließend in Zusammenarbeit mit der europäischen Normungsbehörde CEN die Entwicklung eines
124
9.7 epSOS eEHIC-Standards in Angriff. Dieser war bei Redaktionsschluss dieses Buchs noch nicht veröffentlicht. Die eEHIC soll auf ihrem Chip die Personalien des Inhabers sowie einige administrative Daten speichern. Medizinische Informationen finden sich dagegen nicht auf der Karte. Die Chipinhalte werden von der im jeweiligen Staat zuständigen Behörde digital signiert (statische Datenauthentifizierung). Zweck der eEHIC ist es, dass der Inhaber sie im Ausland verwenden kann, um gegenüber einer medizinischen Einrichtung (z. B. einer Arztpraxis) seinen Versicherungsschutz zu belegen und um seine Daten maschinell an diese zu übermitteln. Für die medizinische Einrichtung und das jeweilige nationale Gesundheitswesen soll die eEHIC die grenzüberschreitende Abrechnung erleichtern. Die Pläne der eEHIC-Ad-hoc-Gruppe sehen vor, dass jeder EU-Staat die eEHIC in Eigenregie umsetzen und dabei auch die Umsetzungsgeschwindigkeit bestimmen kann. Dies schließt mit ein, dass ein Land auf unbestimmte Zeit auf eine Einführung der Karte verzichten kann. Die eEHIC soll zunächst die verschiedenen nationalen Abrechnungsinfrastrukturen unter einen Hut bringen und später eine Angleichung dieser unterschiedlichen Systeme bewirken. Wie man sich leicht vorstellen kann, liegt die Herausforderung weniger in der Karte selbst als vielmehr in den nationalen Hintergrundsystemen. Es ist möglich und erwünscht, dass die beteiligten Staaten die eEHIC als zusätzliche Anwendung auf eine nationale Gesundheitskarte bringen. Die eEHIC verfolgt damit einen ähnlichen Zweck wie NETC@RDS, allerdings mit einem anderen Ansatz. Während die eEHIC eine Vereinheitlichung der nationalen Kartensysteme anstrebt, versucht NETC@RDS, die jeweiligen Infrastrukturen an die Verarbeitung unterschiedlicher Karten anzupassen. Angesichts der schwierigen Voraussetzungen verwundert es kaum, dass die eEHIC bisher nicht so recht vorankommt. Die Gesundheitssysteme der beteiligten Staaten sind schlichtweg zu unterschiedlich, um überall die gleiche Karte einzuführen und dabei auch noch ein positives Kosten-Nutzen-Verhältnis zu erreichen. Einige Staaten (z. B. Dänemark) haben ihr Sozialversicherungswesen bereits auf die elektronische Datenverarbeitung ohne Karte umgestellt und sehen derzeit keine Veranlassung, die eEHIC einzuführen. In anderen Ländern (z. B. Großbritannien) passen die Abrechnungsprozesse schlichtweg nicht zu einer Chipkarte. Manche Experten stellen sogar generell die Frage, ob eine eEHIC sinnvoll ist. Eine mögliche Alternative wäre die Nutzung von Biometrie mit einem geeigneten Hintergrundsystem. In jedem Fall müssen wir mit einer langsamen Entwicklung in den nächsten Jahren rechnen.
9.7
epSOS epSOS ist ein Projekt, in dem Experten untersuchen, wie sich die Zusammenarbeit der nationalen elektronischen Medizinsysteme innerhalb von Europa verbessern lässt [epSO09]. Die Abkürzung epSOS steht für Smart Open Services for European Patients. 27 Organisationen aus 12 EU-Ländern sind an dem Vorhaben beteiligt. Im Mittelpunkt der Untersuchungen stehen Szenarien wie die Behandlung eines Patienten außerhalb seines Heimat-
125
9 Initiativen für interoperable elektronische Ausweise lands und der grenzüberschreitende Austausch medizinischer Daten. epSOS soll den Anstoß für eine Infrastruktur geben, die den Einsatz von E-Health-Maßnahmen grenzüberschreitend ermöglicht. Der wesentliche Unterschied zwischen epSOS und NETC@RDS besteht darin, dass Ersteres das Thema Online-Medizin betrachtet, während Letzteres die Online-Abrechnung von medizinischen Leistungen abdeckt. Diese beiden Themen werden innerhalb der Europäischen Union seit Jahren getrennt voneinander bearbeitet. Elektronische Patientenkarten stehen im epSOS-Projekt nicht im Mittelpunkt, spielen jedoch eine Rolle. epSOS startete am 1. Juli 2008 ist auf drei Jahre angelegt. Bisher gibt es keine konkreten Ergebnisse.
9.8
E-Ausweis-Abkommen des Golf-Kooperationsrats Der 1981 gegründete Golf-Kooperationsrat, dem die arabischen Staaten Bahrain, Katar, Kuwait, Oman, Saudi-Arabien und Vereinigte Arabische Emirate angehören, beschäftigte sich von Anfang an auch mit Themen der inneren Sicherheit und des Grenzschutzes. Bei einem Treffen des Golf-Kooperationsrats im Jahr 2004 verständigten sich die Delegierten darauf, die damals größtenteils noch in der Entstehung befindlichen elektronischen Identitätskarten der sechs Staaten aufeinander abzustimmen. Sie einigten sich auf verschiedene zu befolgende Standards und legten Sicherheitsmerkmale sowie Chipinhalte fest. Inzwischen haben (außer Kuwait) alle Staaten des Golf-Kooperationsrats elektronische Identitätsausweise ausgegeben, die dieser Vorgabe entsprechen. Diese Karten werden innerhalb der beteiligten Länder auch als Reisedokumente anerkannt. Leider verhalten sich die Staaten des Golf-Kooperationsrats nicht besonders mitteilsam, wenn es um Details ihres EAusweis-Abkommens geht. In der gängigen Literatur ist daher kaum etwas darüber zu erfahren.
9.9
Asia IC Card Forum Das Asia IC Card Forum (AICF) ist eine nichtkommerzielle Organisation, die sich um die Förderung der Chipkartentechnik in Ostasien kümmert. Derzeit sind die fünf Nationen China (Volksrepublik), Singapur, Korea, Thailand und Japan Mitglied des AICF (jedes Land wird durch eine nationale Behörde vertreten). Weitere Staaten könnten in den nächsten Jahren dazu kommen. Die AICF betreibt vier Arbeitsgruppen, die sich mit verschiedenen Fragen der Chipkartenwelt beschäftigen. Für uns ist an dieser Stelle lediglich die 2006 gegründete eID-Arbeitsgruppe von Interesse [AICF09]. Diese beschäftigt sich mit den elektronischen Identitätskarten und elektronischen Reisepässen der beteiligten Staaten. Wie in anderen Weltregionen ist es jedoch auch in Ostasien schwierig, die E-Ausweis-Systeme der verschiedenen Länder auf einen gemeinsamen Nenner zu bringen. Bisher ist noch unklar, wie die elektronischen Identitätskarten der ostasiatischen Nationen zusammenarbeiten sollen.
126
9.10 Fazit
9.10
Fazit Die in diesem Kapitel erwähnten Initiativen und Organisationen sind um ihre Aufgaben nicht zu beneiden. Sie haben das Ziel, Einheitlichkeit in einem Bereich zu schaffen, in dem ein internationaler Wildwuchs herrscht. Eine schnelle Harmonisierung ist daher nicht zu erwarten. Allerdings gibt es zu den in diesem Kapitel genannten Initiativen kaum eine Alternative. Man kann European Citizen Card, STORK, NETC@RDS und den anderen Aktivitäten daher nur viel Glück bei ihrer schwierigen Arbeit wünschen.
127
10 10 Die eCard-Strategie der Bundesregierung In Deutschland entsteht derzeit eine verwirrende Vielfalt von elektronischen Ausweisdokumenten. Man denke etwa an die elektronische Gesundheitskarte (eGK), den elektronischen Personalausweis (ePA), den elektronischen Reisepass (ePass) und einige andere Projekte. Angesichts dieser unübersichtlichen Situation liegt eine Frage auf der Hand: Wie kann man verhindern, dass aus jedem Vorhaben eine Insellösung wird, die mit den anderen nicht zusammenarbeitet? Wie die Antwort auf diese drängende Frage aussehen soll, hat die Bundesregierung am 9. März 2005 beschlossen. Demnach soll eine „eCard-Strategie“ genannte Initiative für Einheitlichkeit unter den elektronischen Ausweisen in Deutschland sorgen. Im Mittelpunkt der eCard-Strategie steht ein umfassender Standard, der als eCardRahmenwerk bezeichnet wird. Um das eCard-Rahmenwerk geht es in diesem Kapitel.
10.1
Das eCard-Rahmenwerk Entwickelt wurde das eCard-Rahmenwerk vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Behörde bezog folgende Kartenprojekte in die Spezifikation ein: Elektronische Gesundheitskarte (eGK): Die elektronische Gesundheitskarte (siehe Abschnitt 11.3) ist derzeit das komplexeste E-Ausweis-Projekt in Deutschland (und sogar eines der komplexesten weltweit). Sie stellt dadurch die umfangreichsten Anforderungen an das eCard-Rahmenwerk. So muss dieses unter anderem mit den verschiedenen digitalen Zertifikaten umgehen können, mit denen die elektronische Gesundheitskarte arbeitet. Außerdem muss das Rahmenwerk Funktionen wie die Authentifizierung eines Heilberufsausweises gegenüber einer Patientenkarte, das Verwalten von Kartenapplikationen und das Aktivieren und Deaktivieren von Einträgen unterstützen. Elektronischer Reisepass (ePass): Der Umgang mit dem deutschen elektronischen Reisepass, der dem MRTD-Standard folgt, ist ebenfalls in das eCard-Rahmenwerk integriert.
129
10 Die eCard-Strategie der Bundesregierung Elektronischer Personalausweis (ePA): Im Vergleich zur elektronischen Gesundheitskarte ist der elektronische Personalausweis weniger komplex und enthält weniger proprietäre Bestandteile. Um seine Ansprache zu unterstützen, enthält das eCard-Rahmenwerk unter anderem Schnittstellen für den kontaktlosen Zugriff, für die Speicherung biometrischer Merkmale und für die diversen kryptografischen Sicherheitsmerkmale inklusive der Nutzung elliptischer Kurven. Elektronische Steuererklärung (ELSTER): ELSTER sieht das digitale Signieren von Steuerunterlagen vor, wobei eine Smartcard oder der ELSTER-Sicherheitsstick verwendet werden kann. Elektronischer Einkommensnachweis (ELENA): Auch ELENA arbeitet mit digitalen Signaturen. Diese werden mit einer als JobCard bezeichneten Karte angefertigt (die JobCard ist allerdings keine bestimmte Karte, sondern steht für eine beliebige Karte, die bestimmte Anforderungen erfüllt). Das eCard-Rahmenwerk soll auf möglichst vielen Entwicklungsplattformen (insbesondere C, C++, C# und Java) und Betriebssystemen (Windows, Linux, andere Derivate) umsetzbar sein. Die verschiedenen Komponenten des Rahmenwerks sind voneinander getrennt funktionsfähig und können über ein Netzwerk miteinander verbunden sein. Bereits in der Designphase achtete man darauf, dass Implementierungen des Standards möglichst einfach nach den Common Criteria evaluierbar sind. Das eCard-Rahmenwerk soll sowohl für einen Einzelplatzrechner als auch für ein (gegebenenfalls verteiltes) Serversystem nutzbar sein.
10.2
Aufbau des eCard-Rahmenwerks Das eCard-Rahmenwerk sieht eine aus vier Schichten bestehende Architektur vor. Die Entwickler verwendeten, wo immer möglich, international anerkannte Standards. Insbesondere nutzten sie die Schnittstelle ISO/IEC 24727 (siehe Abschnitt 4.4) als Basis. An zwei Stellen enthält das eCard-Rahmenwerk Neuerungen, die bisher in keinem Standard enthalten sind (aber zu Standards werden sollen): Webservice-Schnittstellen für die Kommunikation zwischen den Schichten und sogenannte CardInfo Files zur Angabe der Eigenschaften einer bestimmten Karte. Die Funktionsweise der Webservice-Schnittstellen lässt sich wie folgt erklären. Ein Webservice ist ein Dienst, der über eine Web-Adresse (URI) angesprochen wird. Die Kommunikation mit einem Webservice erfolgt über Daten im XML-Format, die häufig (aber nicht immer) mit dem Protokoll HTTP übertragen werden. Im Wesentlichen kann man sich einen Webservice als einen Web-Server vorstellen, der auf eine Anfrage eine Antwort liefert, die nicht für eine optische Darstellung, sondern für eine maschinelle Weiterverarbeitung gedacht ist. Die Verwendung von Webservices für die Kommunikation zwischen den Schichten des eCard-Rahmenwerks hat den Vorteil, dass es von jeder Schicht verschiedene Instanzen geben kann (beispielsweise eine Instanz auf dem eigenen Rechner und eine weitere auf
130
10.2 Aufbau des eCard-Rahmenwerks einem entfernten Server), die sich anhand ihrer jeweiligen Web- oder IP-Adresse auseinanderhalten lassen. Dadurch ist es recht einfach möglich, die verschiedenen Bestandteile des Rahmenwerks in beliebig vielen Instanzen über verschiedene Standorte verteilt zu nutzen. Die Verwendung von Webservices hat jedoch Auswirkungen auf die Sicherheit des eCardRahmenwerks. Beispielsweise ist es nicht der Sinn der Sache, dass ein Unbefugter eine eCard-Instanz über das Internet anspricht und über sie unautorisierte Befehle an eine Smartcard schickt. Zwar kann ein Unbefugter ohne PIN bzw. biometrisches Merkmal nicht direkt auf die Karte zugreifen, doch er kann eine Karte mit sinnlosen Befehlen überschwemmen und sie so unbrauchbar machen. Ebenso kann der Angreifer mehrfach eine falsche PIN oder ein falsches biometrisches Merkmal an die Karte senden, damit diese sich sperrt und ebenfalls (bis zum Entsperren) unbrauchbar wird. Davon abgesehen sollte eine PIN nicht im Klartext von einer Instanz zur anderen über das Netz geschickt werden. Wenn eine Implementierung des eCard-Rahmenwerks also die Webservice-Eigenschaft nutzt, um diese über das Internet anzuwenden, dann muss die Verbindung auf geeignete Weise geschützt werden. Dies kann beispielsweise mit dem SSL-Protokoll erfolgen, das eine HTTP-Verbindung kryptografisch absichert. Die erste Version der Spezifikation des Rahmenwerks ist im März 2008 erschienen. Sie enthält sieben Bestandteile: 1. BSI TR-03112-1: Dieser Teil hat keinen weiteren Titel. Er gibt einen Überblick über das eCard-Rahmenwerk. Außerdem sind in diesem Dokument die Rahmenbedingungen für die Verwendung von Webservices festgelegt [eCar108]. 2. BSI TR-03112-2 (eCard-Interface): Dieser zweite Teil beschreibt das zur zweitobersten Schicht (Schicht 2) gehörende eCard-Interface. [eCar108] 3. BSI TR-03112-3 (Management-Interface): Das in diesem dritten Teil beschriebene Management-Interface gehört ebenfalls zu Schicht 2 des eCard-Rahmenwerks [eCar308]. 4. BSI TR-03112-4 (ISO24727-3-Interface): Der vierte Teil spezifiziert das zu Schicht 3 gehörende ISO24727-3-Interface [eCar408]. 5. BSI TR-03112-5 (Support-Interface): Das in diesem fünften Teil beschriebene Management-Interface gehört ebenfalls zu Schicht 3 des Rahmenwerks [eCar508]. 6. BSI TR-03112-6 (IFD-Interface): Teil 6 beschreibt das IFD-Interface (Schicht 4) [eCar608]. 7. BSI TR-03112-7 (Protokolle): Im siebten und letzten Teil geht es um verschiedene Protokolle, die innerhalb des Rahmenwerks eingesetzt werden können [eCar708]. Man kann davon ausgehen, dass diese Reihe in den nächsten Versionen des Standards noch Zuwachs bekommen wird (beispielsweise durch ein Dokument, das Schicht 1 beschreibt).
131
10 Die eCard-Strategie der Bundesregierung
10.3
Die vier Schichten des eCard-Rahmenwerks Gehen wir nun die vier Schichten des eCard-Rahmenwerks von oben nach unten durch. Eine Übersicht sehen Sie in Abbildung 10.1.
Application-Layer
Identity-Layer
Management
Prüfgerät
ePAAnwendung
eHealthAnwendung
JobCard
ELSTER
…
Management Covenience
ePassport Convenience
ePA Convenience
eHealth Convenience
JobCard Convenience
ELSTER Convenience
…
ManagementInterface
eCard-Interface
Service-Access-Layer
Signature Services
Identity Services
ManagementServices
Encryption Services
ISO24727-3-Interface ePassport CardInfo
ePA CardInfo
eGK/HBA CardInfo
Terminal-Layer
Support-Interface SupportServices
…
IFD-Interface SICCT-Interface
CT-API-Interface
IFD SICCT
MKT, B1, …
SCARD-Interface IFDHandler
IFDHandler
Abbildung 10.1: Das eCard-Rahmenwerks sieht vier Schichten vor.
10.3.1 Schicht 1: Application-Layer Der Application-Layer ist die oberste Schicht des eCard-Rahmenwerks. In ihr sind die Anwendungen angesiedelt, die auf die oben genannten Kartensysteme zugreifen. Zu diesen Anwendungen gehören beispielsweise Prüfsysteme für den elektronischen Reisepass sowie Programme, die den elektronischen Personalausweis, die elektronische Gesundheitskarte, den Heilberufsausweis, den ELSTER-Sicherheitsstick oder die JobCard (ELENA) nutzen. Für jedes der fünf berücksichtigten Kartenprojekte gibt es eine eigene Zwischenschicht, die als Convenience bezeichnet wird. Eine zusätzliche Convenience ermöglicht den Zugriff für Managementaufgaben. Weitere Conveniences sind möglich, aber bisher nicht spezifiziert.
132
10.3 Die vier Schichten des eCard-Rahmenwerks Die Spezifikation des eCard-Rahmenwerks macht über die Anwendungen im Application Layer keine genaueren Aussagen. Daher gehört jedes Softwareprogramm, das die Schnittstelle der darunter liegenden Schicht (eCard-Schnittstelle) nutzt, zum Application Layer. So gesehen wäre es möglich, die Application Layer aus dem Rahmenwerk zu streichen und stattdessen ein Drei-Schichten-Modell vorzusehen. Darauf haben die Entwickler des Rahmenwerks jedoch verzichtet, da der Application-Layer in zukünftigen Versionen des Standards genauer definierte Inhalte haben könnte.
10.3.2 Schicht 2: Identity-Layer Die zweite der vier eCard-Schichten heißt Identity-Layer. Sie ist in zwei getrennte, nebeneinander liegende Teile gegliedert. Diese beiden Teilkomponenten werden wir uns in den folgenden Unterkapiteln genauer ansehen. 10.3.2.1 eCard-Interface Über das eCard-Interface greifen die darüber liegenden Anwendungen mithilfe der verschiedenen Conveniences auf die Funktionen des eCard-Rahmenwerks zu. Lediglich Management-Aufgaben werden nicht über diese Schnittstelle abgewickelt. Nach unten kommuniziert das eCard-Interface mit dem ISO24727-3-Interface und mit dem SupportInterface. Das eCard-Interface bietet folgende Funktionsgruppen: Funktionen für das Identitätsmanagement: Diese Funktionsgruppe stellt eine Funktion namens GetCertificate zur Verfügung. Diese ermöglicht es, Zertifizierungsanträge an eine Zertifizierungsstelle zu übermitteln und von dort Zertifikate zu beziehen. Weitere Funktionen gibt es nicht. Signaturfunktionen: Diese Funktionsgruppe umfasst verschiedene Funktionen zum Erstellen und Prüfen von digitalen Signaturen. Verschlüsselungsfunktionen: Diese Funktionsgruppe sieht zwei Funktionen vor, und zwar EncryptRequest für das Verschlüsseln und DecryptRequest für das Entschlüsseln von Daten. Die beiden Funktionen unterstützen zwei Formate für verschlüsselte Daten: zum einen das (vergleichsweise neue) XML-basierte Format XML Encrypt sowie die Cryptographic Message Syntax, die im RFC 3369 [Hous02] standardisiert ist und auf dem schon recht alten Format PKCS#7 basiert [PKCS7]. 10.3.2.2 Management-Interface Das Management-Interface ermöglicht das Verwalten einer Implementierung des eCardRahmenwerks und der damit verbundenen Komponenten. Es verfügt über eine eigenständige Logik und greift nicht auf eine Karte zu. Das Management-Interface unterstützt sechs Funktionsgruppen: Verwaltung des eCard-API-Rahmenwerks: In dieser Funktionsgruppe sind Funktionen für die Verwaltung der eCard-API-Implementierung selbst enthalten. Insbesondere lässt sich eine Implementierung damit starten, beenden und aktualisieren. Darüber hin-
133
10 Die eCard-Strategie der Bundesregierung aus ist über diese Funktion ein (lesender und schreibender) Zugriff auf Konfigurationseinstellungen und Berechtigungslisten möglich. Kartenverwaltung: Zu jedem unterstützten Kartentyp gibt es im eCard-Rahmenwerk eine CardInfo-Datei. Das Verwalten der CardInfo-Dateien erfolgt über diese Funktionsgruppe. Kartenterminalverwaltung: Diese Funktionsgruppe ermöglicht die Verwaltung von Kartenterminals. Für Kartenterminals wird im eCard-Rahmenwerk der Begriff IFD (Interface Device) verwendet. Trusted Viewer Verwaltung: Diese Funktionsgruppe ermöglicht die Verwaltung von vertrauenswürdigen Anzeigekomponenten (Trusted Viewer). Eine vertrauenswürdige Anzeigekomponente ist eine Komponente, die sicherstellt, dass bei einer digitalen Signatur diejenigen Daten signiert werden, die dem Anwender am Bildschirm angezeigt werden (und nicht etwa Daten mit einem für den Signierer unvorteilhaften Inhalt). Identitätsverwaltung: Über diese Funktionsgruppe werden die verwendeten digitalen Zertifikate verwaltet. Dienstverwaltung: Hier werden verschiedene Dienste verwaltet, die für das Überprüfen von digitalen Signaturen verwendet werden.
10.3.3 Schicht 3: Service-Access-Layer Der Service-Access-Layer ist die dritte Schicht innerhalb des eCard-Rahmenwerks. Sie ermöglicht den Aufruf kryptografischer und biometrischer Funktionen auf niedriger Ebene. Der Service-Access-Layer ist in zwei nebeneinander stehende Schichten aufgeteilt: das ISO24727-3-Interface und das Support-Interface. 10.3.3.1 ISO24727-3-Interface Das ISO24727-3-Interface greift auf die im eCard-Rahmenwerk vorgesehenen Karten zu und bietet nach oben hin die von diesen unterstützen Funktionen an. Es handelt sich um eine webservicebasierte Umsetzung des in Abschnitt 4.4 beschriebenen Standards ISO/IEC 24727. Sechs Funktionsgruppen sind vorhanden: Card-Application-Service Access: Diese Gruppe dient dem Initialisieren und Beenden einer Instanz des ISO24727-3-Interface. Connection Service: Mit diesen Funktionen lassen sich Verbindungen vom KartenChip zur Kartenapplikation aufbauen. Card-Application Service: Hier werden Applikationen auf einer Karte generiert und gelöscht. Named Data Service: Mit den Funktionen dieser Gruppe werden Daten auf die Karte geschrieben und dort verändert. Cryptographic Service: Über diese Funktionen werden kryptografische Mechanismen aufgerufen.
134
10.3 Die vier Schichten des eCard-Rahmenwerks Differential-Identities: Eine Differential-Identity ist im eCard-Rahmenwerk eine Sammlung von Schlüsseln, die einer bestimmten Person gehören. Differential-Identities lassen sich mit den Funktionen dieser Gruppe verwalten. Authorization Service: Die Funktionen dieser Gruppe regeln die Zugriffsrechte für eine bestimmte Kartenapplikation. 10.3.3.2 Support-Interface Das Support-Interface ist neben dem ISO24727-3-Interface angesiedelt. Hierbei gibt es eine klare Rollenteilung: Während das ISO24727-3-Interface für den Zugriff auf die verwendeten Karten zuständig ist, bietet das Support-Interface einige zusätzliche Funktionen, die unabhängig von einer angeschlossenen Karte ausgeführt werden. Eine Funktionsgruppe mit folgenden Funktionen wird unterstützt: Encode: Diese Funktion kodiert Daten, ohne dabei auf eine Karte zuzugreifen. Ein Beispiel dafür ist das Komprimieren von Daten. Decode: Diese Funktion dekodiert Daten. Ein Beispiel dafür ist das Dekomprimieren von Daten. ValidateXMLDocument: Diese Funktion überprüft, ob ein digital signiertes Dokument, das als Argument übergeben wird, gültig ist (dieser Vorgang wird Validierung genannt). Es muss sich dabei um ein XML-Dokument handeln, das einem im Standard OASIS-DSS beschriebenen Format für signierte Daten entspricht. Die für die Validierung benötigten digitalen Zertifikate und Verzeichnisdienste lassen sich über die Funktionsgruppen Identitätsverwaltung und Dienstverwaltung des Management-Interface (Identity-Layer) festlegen. GetCardInfo: Die Funktion GetCardInfo liefert Informationen über eine Karte und ermöglicht es, eine neue CardInfo-Datei bei einem dafür vorgesehenen CardInfoRepository-Server anzufordern.
10.3.4 Schicht 4: Terminal-Layer In der untersten Schicht (Terminal-Layer) der eCard-Architektur sind die verwendeten Smartcard-Terminals (hier als IFD bezeichnet) angesiedelt. Zweck dieser Schicht ist es, die technischen Details der verwendeten Smartcard-Terminals nach oben hin zu verbergen, damit der Zugriff auf eine Smartcard davon unabhängig erfolgen kann. Die gesamte Kommunikation mit dieser Schicht läuft über eine Schnittstelle (IFD-Interface), die einen geräteunabhängigen Zugriff zulässt. Der Terminal-Layer verbirgt insbesondere gegenüber den oberen Schichten, ob die angesprochene Smartcard kontaktlos oder kontaktbehaftet realisiert ist. Es gibt vier Funktionsgruppen: Kartenterminalfunktionen: Diese Funktionen dienen der Kommunikation mit den Kartenterminals. Damit kann beispielsweise eine Kommunikationsverbindung aufgestellt werden. Zudem kann eine Liste der verfügbaren Terminals angefordert werden. Kartenfunktionen: Mit diesen Funktionen werden die Karten angesprochen.
135
10 Die eCard-Strategie der Bundesregierung Benutzerinteraktionsfunktionen: Über diese Funktionen werden PIN-Abfragen und PIN-Änderungen sowie analoge biometrische Funktionen durchgeführt. IFD-Callback-Interface: Über diese Funktionen kann ein Terminal hinzugefügt oder gelöscht werden.
10.4
Bewertung der eCard-API Angesichts der zahlreichen unterschiedlichen Kartensysteme, die es unterstützen soll, ist das eCard-Rahmenwerk eine recht komplexe Angelegenheit. Wie man sich leicht vorstellen kann, macht das weder die Implementierung noch die Nutzung der Architektur besonders einfach. Allerdings gibt es zum eCard-API keine nennenswerte Alternative, sofern man verhindern will, dass jedes deutsche E-Ausweis-Projekt eine Insellösung darstellt.
136
IV Teil IV: Beispielprojekte
137
11 11 E-Ausweis-Projekte in Deutschland Was elektronische Ausweisdokumente anbelangt, können sich die Deutschen bisher nicht zur Weltspitze zählen. Sowohl elektronische Identitätskarten als auch elektronische Gesundheitskarten gibt es in anderen Ländern bereits seit Jahren, während die Bundesrepublik noch mit Techniken aus den neunziger Jahren arbeitet. Allerdings dürfte sich an dieser Situation in naher Zukunft einiges ändern, denn derzeit laufen mehrere äußerst interessante E-Ausweis-Projekte, die Deutschland zu einem internationalen Technologieführer machen könnten. In den folgenden Unterkapiteln schauen wir uns die wichtigsten elektronischen Ausweise Made in Germany genauer an.
11.1
Elektronischer Personalausweis (ePA) Während zahlreiche andere europäische Länder (beispielsweise Belgien, Finnland und Spanien) längst eine elektronische Identitätskarte eingeführt haben, befindet sich der deutsche elektronische Personalausweis (ePA) noch in der Planungsphase. Im November 2010 soll es mit der Ausgabe endlich losgehen.
11.1.1 Hintergrund des ePA Die deutsche Identitätskarte heißt bekanntlich Personalausweis. Ein vergleichbares Dokument gab es in Deutschland erstmals im Jahr 1938, als es die damalige Nazi-Regierung unter dem Namen „Kennkarte“ einführte. Eine Kennkarte bestand aus grauem Papier und trug ein Passfoto des Inhabers. Jeder Deutsche, der im Inland lebte und das 15. Lebensjahr überschritten hatte, musste ein solches Dokument besitzen (es herrschte also Ausweispflicht). Die Einführung der Kennkarte war einerseits eine Maßnahme zur Kriegsvorbereitung, da die Behörden für die Einberufung von Soldaten, die Verteilung von Lebensmitteln und ähnliche Aufgaben ein Mittel zur Identifizierung der Bürger benötigten. Und auch bei der Diskriminierung der Juden spielte die Kennkarte eine wichtige Rolle: Kennkarten für Juden waren zusätzlich mit dem Buchstaben J und einem Fingerabdruck versehen.
139
11 E-Ausweis-Projekte in Deutschland
Abbildung 11.1: Die Kennkarte war der erste deutsche Identitätsausweis. Dieses Exemplar stammt von einer Jüdin. Es ist (in der linken Hälfte) mit einem J gekennzeichnet und rechts mit Fingerabdrücken versehen.
Nach dem Krieg behielten die Kennkarten vorläufig ihre Gültigkeit, wobei das nationalsozialistische Symbol überklebt wurde. Mit Gründung der Bundesrepublik entstand schließlich der Personalausweis, der bis heute für die Deutschen das mit Abstand bedeutendste Dokument ist, um sich auszuweisen. Allerdings gibt es keinen Zwang, einen Personalausweis zu besitzen. Dennoch gilt in Deutschland Ausweispflicht, denn wer keinen Personalausweis hat, muss dafür einen Reisepass vorweisen können. Dabei ist man jedoch nicht verpflichtet, einen Ausweis ständig bei sich zu tragen – außer bei Überschreitung der Staatsgrenzen. In den letzten Jahrzehnten ist der deutsche Personalausweis zu einem wichtigen Reisedokument geworden. Er ist innerhalb der EU sowie in einigen anderen Staaten für die Einreise ausreichend. Nachdem andere europäische Länder wie Belgien und Portugal in den letzten Jahren mit ihren elektronischen Identitätskarten vorgelegt haben, beschloss das Bundeskabinett im Juli 2008 die Einführung des elektronischen Personalausweises (ePA). Nach aktueller Planung soll dieser ab dem 1. November 2010 den bisherigen nichtelektronischen Personalausweis ablösen. Ab diesem Stichtag werden die Behörden nur noch die elektronische Variante ausstellen, wodurch der alte Personalausweises im Laufe der Jahre verschwinden wird. Parallel zur Einführung des elektronischen Personalausweises plant die Bundesregierung den Aufbau von Online-Diensten, die mit diesem nutzbar sind. Diese Dienste gehören zur Initiative E-Government 2.0, für die das Bundesministerium des Innern federführend ist. Die Initiative sieht vor, dass Behörden E-Government-Angebote betreiben, die über spezielle Bürgerportale zugänglich sind. Als Betreiber solcher Portale sollen private Anbieter
140
11.1 Elektronischer Personalausweis (ePA) auftreten. Online-Shops oder Suchmaschinen könnten diese Möglichkeit nutzen, um ihr Angebot um Behördendienste zu erweitern. Zu den Diensten, die auf diese Weise zugänglich sind, soll insbesondere die sichere Kommunikationsplattform De-Mail gehören. Dabei handelt es sich um eine Server-Architektur, die für den sicheren Austausch von Nachrichten gedacht ist. Der Zugriff darauf kann per Webschnittstelle oder per E-Mail erfolgen. Ein mögliches Nutzungsszenario sieht wie folgt aus: Der Absender lädt eine Nachricht über die Webschnittstelle auf die De-Mail-Plattform. Dort gibt er die Identität des Empfängers an. Der Empfänger kann sich nun ebenfalls über die Webschnittstelle seine Nachricht abholen. Der wichtigste Zweck von De-Mail ist es, die Nachrichtenübertragung sicher zu machen. Da der Webzugriff eine Authentifizierung erfordert und verschlüsselt erfolgt, ist kein Mitleser zu befürchten. Durch Logdaten lässt sich nachweisen, dass eine bestimmte Mail verschickt und ausgeliefert wurde. In der höchsten Sicherheitsstufe ist der elektronische Personalausweis als Mittel der Authentifizierung vorgesehen.
Abbildung 11.2: Der elektronische Personalausweis soll 2011 eingeführt werden.
11.1.2 Technik des ePA Eine Spezifikation des deutschen elektronischen Personalausweises lag bei Redaktionsschluss dieses Buchs noch nicht vor. Viele Details sind jedoch bereits in Form eines Grobkonzepts bekannt, das 2008 erschienen ist [ePA08]. So soll der elektronische Personalausweis die Größe einer Kreditkarte (ID-1-Format) haben und mit einem kontaktlosen Chip nach ISO/IEC 14443 ausgestattet sein (wie der elektronische Reisepass). Der elektronische Personalausweis zählt zu den ersten Ausweisen, die dem European-Citizen-Card-Standard entsprechen (siehe Abschnitt 9.2). Das Profil 2 in Teil 4 dieses Standards wurde speziell für den elektronischen Personalausweis entwickelt. Das besagte Grobkonzept enthält keine genaue Beschreibung der Daten, die auf den elektronischen Personalausweis gedruckt werden. Allerdings dürfte sich der Aufdruck am bisherigen Personalausweis orientieren. Auf dessen Vorderseite finden sich Ausweistyp (IDD entspricht dem Personalausweis, P dem deutschen Reisepass), Name, Geburtstag, Geburtsort, Staatsangehörigkeit, Gültigkeitsdatum, Unterschrift des Inhabers und ein Passfoto. Hinzu kommt eine dreizeilige maschinenlesbare Zone, die dem MRTD-Standard entspricht. Die Rückseite enthält Adresse, Körpergröße, Augenfarbe, Ordens- oder Künstler-
141
11 E-Ausweis-Projekte in Deutschland name (nur bei Personalausweisen, die bis zum 31. Oktober 2007 ausgestellt wurden), die ausstellende Behörde, das Ausstellungsdatum sowie Name und Vorname. Drei Anwendungsbereiche sind für den elektronischen Personalausweis geplant: Reisedokument: Die Reisedokumentfunktion stellt sicher, dass der Inhaber seinen elektronischen Personalausweis innerhalb der entsprechenden Länder als Reisedokument (anstelle eines Reisepasses) verwenden kann. Die Details dieser Anwendung sind an den MRTD-Standard angelehnt und nur für die Nutzung durch hoheitliche Stellen gedacht. Als biometrische Merkmale speichert der Chip neben einem Gesichtsbild die Fingerabdrücke des rechten und linken Zeigefingers, wobei der Bürger die Möglichkeit haben soll, dies abzulehnen. Damit unterscheidet sich der elektronische Personalausweis vom deutschen elektronischen Reisepass, in dem die Speicherung des Fingerabdrucks Pflicht ist. Im Gegensatz zum elektronischen Reisepass unterstützt der elektronische Personalausweis zudem kein Basic Access Control. Aktive Authentifizierung ist ebenfalls nicht vorgesehen. Stattdessen kommen die Chipauthentifizierung, die passive Authentifizierung, PACE und die Terminal-Authentifizierung zum Einsatz. Mittels Terminal-Authentifizierung stellt der Chip sicher, dass nur die Prüfgeräte hoheitlicher Stellen Zugriff auf die biometrischen Daten haben. Für die Nutzung von PACE erhält der Inhaber eine PIN. Signatur: Mit dem elektronischen Personalausweis ist es möglich, digitale Signaturen anzufertigen. Diese Anwendung ist als sogenanntes „opt-in“ realisiert. Das bedeutet, dass die Funktion bei Auslieferung des Ausweises nicht vorhanden ist, der Inhaber sie jedoch jederzeit nachrüsten kann. Dazu muss er sich an ein öffentliches Trust Center wenden. Dieses stattet den Chip mit einem Schlüssel aus und generiert ein zugehöriges digitales Zertifikat gemäß dem X.509-Standard. Aus Sicherheitsgründen muss sich ein Trust Center beim Ausstellen eines Zertifikats über ein CV-Zertifikat gegenüber dem Chip authentifizieren. Identitätsausweis: Die Identitätsausweisfunktion ist die wichtigste und vielseitigste Anwendung des elektronischen Personalausweises. Es handelt sich dabei um eine Funktion, die deaktivierbar ist („opt-out“), wobei nach einer Deaktivierung eine Reaktivierung möglich ist. Der Chip speichert dafür Informationen wie Inhabername, Wohnadresse und Ablaufdatum. Biometrische Daten werden dagegen für diese Funktion nicht gespeichert. Die Zugriffsrechte auf die abgelegten Daten sind für jeden Datensatz einzeln festlegbar. Ein Dienstanbieter, der darauf zugreifen will, muss sich mit einem digitalen Zertifikat authentifizieren, wobei im Zertifikat die Zugriffsrechte vermerkt sind. Die Daten der Identitätsausweisfunktion sind nicht digital signiert (es wird an dieser Stelle also keine statische Datenauthentifizierung betrieben). Dies hat zwei Gründe: Zum einen will man auf diese Weise das Fremdprüfungsproblem (siehe Abschnitt 5.1.4) umgehen; zum anderen wäre eine Änderung der Wohnadresse auf dem Ausweischip nicht ohne Weiteres möglich, wenn diese signiert wäre. Die Identitätsausweisfunktion umfasst insbesondere die folgenden drei speziellen Abfragen:
142
11.1 Elektronischer Personalausweis (ePA) Altersverifikation: Hierbei handelt es sich um die Abfrage, ob der Inhaber vor einem bestimmten Datum geboren ist. Auf diese Weise kann ein Prüfgerät insbesondere feststellen, ob der Inhaber volljährig ist. Die Altersverifikation bietet den größtmöglichen Datenschutz, der in diesem Zusammenhang denkbar ist. So muss der Inhaber die Abfrage mit einer PIN freigeben, und pro PIN-Eingabe ist nur eine Anfrage möglich. Die Abfrage liefert zudem nicht das Alter des Besitzers, sondern lediglich die Information, ob dieser ein bestimmtes Alter überschritten hat. Gültigkeitsabfrage: Diese Funktion ermöglicht die Abfrage, ob der elektronische Personalausweis zu einem bestimmten Datum gültig ist. Auch diese Abfrage erfordert eine PIN-Eingabe und ist nur einmal pro PIN möglich. Restricted Identity: Diese Funktion realisiert das MRTD-Sicherheitsmerkmal Restricted Identification (siehe Abschnitt 8.2.8). Damit ist es für den Inhaber möglich, gegenüber einem Prüfgerät mit einem Pseudonym aufzutreten, ohne den richtigen Namen preiszugeben. Das Pseudonym ist innerhalb einer vorgegebenen Gruppe von Prüfgeräten einheitlich. Auf diese Weise kann ein Prüfsystem ein Ausweisdokument wiedererkennen, ohne dass es den Namen des Inhabers erfährt. Alle drei genannten Zusatzfunktionen haben einen starken Bezug zum Datenschutz. Das zeigt, dass der Datenschutz im Zusammenhang mit dem elektronischen Personalausweis einen hohen Stellenwert hat.
11.1.3 Bewertung des ePA Der elektronische Personalausweis ist zweifellos ein ambitioniertes Projekt, mit dem Deutschland gegenüber den anderen Nationen mit elektronischer Identitätskarte einiges an Boden gut machen wird. Es gibt mehrere interessante Aspekte an diesem Vorhaben. So sind der Verzicht auf eine kontaktbehaftete Schnittstelle und die Nähe zum MRTD-Standard Merkmale, die man durchaus als innovativ bezeichnen kann. Auch innerhalb des European-Citizen-Card-Standards übernimmt der elektronische Personalausweis eine Vorreiterrolle. Experten aus aller Welt sind daher gespannt, wie sich diese Designentscheidungen in der Praxis bewähren werden. Zwar gibt es auch Kritik am elektronischen Personalausweis – beispielsweise an der Entscheidung, den Ausweischip kontaktlos und damit möglicherweise weniger sicher zu gestalten. Allerdings ist der Widerstand gegen dieses Projekt bisher vergleichsweise gering. In Frankreich und Großbritannien gibt es deutlich mehr Opposition gegenüber vergleichbaren Vorhaben. Auch der elektronische Reisepass und die elektronische Gesundheitskarte (um diese geht es in den folgenden Kapiteln) standen bisher deutlich heftiger in der Kritik als der elektronische Personalausweis. Bleibt zu hoffen, dass das neue Dokument die hochgestellten Erwartungen erfüllen wird.
143
11 E-Ausweis-Projekte in Deutschland
11.2
Elektronischer Reisepass (ePass) Reisepässe kamen in Deutschland im 17. Jahrhundert auf. Schon bald spielten die neuen Dokumente eine wichtige Rolle, da Deutschland damals in zahlreiche Kleinstaaten zerfallen war, an deren Grenzen entsprechende Kontrollen stattfanden [Hege07]. Die zunehmende Mobilität der Bürger (nicht zuletzt durch das Aufkommen der Eisenbahn) sowie die immer populärer werdenden Bestrebungen, Deutschland zu einer Nation zu einen, führten schließlich 1867 dazu, dass die deutschen Bundesstaaten die Passpflicht abschafften. Auch andere europäische Länder lockerten ihre Reisepassbestimmungen. Erst mit dem Ausbruch des Ersten Weltkrieges gewannen Reisepässe wieder an Bedeutung. Die Regierungen benötigten die Dokumente für die Aus- bzw. Einwanderungskontrolle und für die Spionagebekämpfung. Auch die Deutschen mussten auf diese internationale Entwicklung reagieren. So entstanden die Anfänge des heutigen Ausweiswesens, und der Reisepass wurde zum wichtigen Begleiter der Deutschen bei Reisen ins Ausland. Daran hat sich bis heute nichts geändert – außer dass in einigen Ländern inzwischen der Personalausweis als Reisedokument ausreicht. Wie andere Staaten führte auch die Bundesrepublik Deutschland in den achtziger Jahren den maschinenlesbaren Personalausweis (MRP) ein. Die Ausgabe erfolgte ab 1988, womit die Deutschen zwar den USA um sieben Jahre hinterherhinkten, aber dennoch zu den weltweit ersten MRP-Staaten gehörten. Auf große Gegenliebe stieß die neue Technik bei den Deutschen nicht. Der Terrorismus durch die RAF, der in den siebziger Jahren zu neuen Gesetzen zugunsten einer stärkeren Staatsgewalt geführt hatte, hatte seinen Höhepunkt bereits überschritten. Dafür rückte in dieser Zeit der Datenschutz immer mehr in den Blickpunkt. Das Jahr 1984 galt für viele als Jahr des großen Bruders (nach dem Roman „1984“ von George Orwell), und 1987 gab es lautstarken Widerstand gegen die damals stattfindende Volkszählung. Den maschinenlesbaren Personalausweis sahen daher viele als einen Schritt in die totale Überwachung. Dennoch verlief die Ausgabe des neuen Dokuments in den Folgejahren ohne größere Probleme.
11.2.1 MRTD-Reisepass in Deutschland Das von den USA betriebene Visa-Waiver-Programm (siehe Abschnitt 5.2.1), das als Folge der Terroranschläge von 2001 MRTD-Reisepässe verlangt, hatte auch auf die Entwicklung in Deutschland maßgeblichen Einfluss. Als EU-Mitglied musste sich die Bundesrepublik zudem an die Vorgaben der EU halten, die – nach etwas großzügigeren Fristen – ebenfalls eine MRTD-Einführung forderten (zunächst noch ohne Fingerabdruckmuster). Deutschland setzte diese Vorgaben um, indem es am 1. November 2005 die Ausgabe von MRTD-Reisepässen startete. Diese hatten ein Gesichtsbild als biometrisches Merkmal gespeichert. Ab dem 1. November 2007 wurden zusätzlich die Abdrücke von zwei Fingern aufgenommen. Im deutschen Reisepass kommen Chips der Firmen NXP Semiconductors (72 KByte) und Infineon (64 KByte) zum Einsatz. Die Daten sind MRTD-konform durch passive Authenti-
144
11.3 Elektronische Gesundheitskarte (eGK) fizierung gegen Veränderung geschützt. Der Zugriff auf die auch optisch auslesbaren Daten erfolgt über Basic Access Control, während der Zugriff auf sensiblere Daten (bisher nur Fingerabdrücke) mittels Extended Access Control geschützt ist.
11.2.2 Kritik Wie in einigen anderen Ländern gibt es auch in Deutschland Kritik am elektronischen Reisepass. Kritiker argumentieren unter anderem, dass der deutsche Reisepass auch ohne Chip einer der fälschungssichersten seiner Art weltweit war. Tatsächlich ist bisher kein Terrorakt bekannt, in dem ein gefälschter deutscher Reisepass zum Einsatz kam. Allerdings ist auch bei Reisepässen die Fremdnutzung ein bekanntes Problem, das sich nur mit Biometrie zuverlässig lösen lässt. Einige Gegner des elektronischen Reisepasses beschäftigen inzwischen die Gerichte. So klagte ein Bochumer Rechtsanwalt gegen die Stadt Bochum, von der er einen Reisepass forderte, auf dem seine Fingerabdrücke nicht gespeichert sind [Schw07]. Die Juristin und Schriftstellerin Juli Zeh legte zusammen mit dem Rechtsanwalt Frank Selbmann im Januar 2008 Verfassungsbeschwerde gegen die Einführung biometrischer Merkmale in Reisepässen ein [ZeSe08]. Die endgültigen Entscheidungen der Gerichte stehen noch aus. Trotz des (ohnehin nur moderaten Widerstands) verlief die Einführung des elektronischen Reispasses in Deutschland ohne größere Zwischenfälle. Für die Ausgabestellen ist die Erhebung von Fingerabdrücken längst Routine. Vor allem Flugreisende werden das neue Dokument vermutlich sogar zu schätzen lernen, da sie bei der Einreise dank der Biometrie eine automatisierte Reisepassprüfung durchlaufen können. Diese geht meist ohne eine größere Wartezeit über die Bühne, während die Passagiere ohne biometrischen Reisepass oftmals Schlange stehen müssen.
11.3
Elektronische Gesundheitskarte (eGK) Das derzeit mit Abstand größte E-Ausweisprojekt in Deutschland spielt sich im Gesundheitswesen ab. Mittelpunkt und Namensgeber dieses Vorhabens ist die elektronische Gesundheitskarte (eGK), die an alle Krankenversicherten des Landes ausgegeben werden soll. Ein umfangreiches Hintergrundsystem von Clients, Diensten, Konnektoren und zahlreichen weiteren Komponenten soll dafür sorgen, dass die elektronische Gesundheitskarte zu einem nützlichen Mehrzweckwerkzeug wird. Das Projekt hat inzwischen Ausmaße angenommen, gegen die der elektronische Reisepass oder der elektronische Personalausweis geradezu bescheiden wirken. Kein Wunder also, dass sich die Ausgabe der Karte bereits mehrfach verzögert hat und die Beteiligen wohl auch in den nächsten Jahren noch einiges zu tun haben werden.
145
11 E-Ausweis-Projekte in Deutschland
11.3.1 Hintergrund Eine gesetzliche Krankenversicherung gibt es in Deutschland seit Otto von Bismarcks Zeiten. Für einen großen Teil der Bevölkerung ist der Abschluss einer solchen Versicherung verpflichtend. Ursprünglich erhielten die Versicherten von ihrem Versicherungsanbieter (der Krankenkasse) einen Krankenschein, der als Nachweis für das Bestehen der Versicherung diente. Der Krankenschein war jedoch kein Ausweis, sondern eine Art Gutschein. Er galt jeweils drei Monate lang, und der Versicherte musste ihn jeweils beim Hausarzt abgeben. Der Verwaltungsaufwand für dieses System war groß, da die Krankenkassen jedes Quartal große Mengen an Krankenscheinen erstellen mussten. Auch die Einführung von Krankenscheinheften, die jeweils vier Krankenscheine (einen pro Vierteljahr) enthielten, brachte keine entscheidende Verbesserung. In den siebziger Jahren entstand in der Bundesrepublik die Idee, Krankenversicherte mit einem ausweisähnlichen Dokument auszustatten. Dieses sollte einige Jahre lang gültig sein, um damit die kurzlebigen Krankenscheine abzulösen. 1977 präsentierte das Bundesarbeitsministerium einen Prototyp, der in einem Pilotversuch getestet wurde. Es handelte sich um ein Dokument im Scheckkartenformat (ID-1-Format), das jedoch nicht mit einem Mikrochip ausgestattet war. Die persönlichen Daten auf der Karte waren als Hochprägung aufgebracht, was eine Weiterverarbeitung mit einem geeigneten Gerät ermöglichte (siehe Abschnitt 4.1.1). Das Dokument enthielt keine medizinischen Daten. Obwohl es durchaus positive Reaktionen gab, wurde die Idee schließlich nicht umgesetzt. Anders verlief die Entwicklung in der DDR. Dort waren Krankenversichertenausweise anstelle von Krankenscheinen üblich. Im Gegensatz zum Prototyp im Westen Deutschlands enthielten die DDR-Dokumente auch Einträge über medizinische Behandlungen (meist mit der behandelnden medizinischen Einrichtung und dem Datum). Mit der Wiedervereinigung fiel diese Regelung weg.
11.3.2 Der Vorläufer: Die Versichertenkarte Das Zeitalter der Chipkarten im Gesundheitswesen der Bundesrepublik begann im Jahr 1994. Die Mitglieder der gesetzlichen Krankenversicherungen erhalten seit damals eine Karte, die als Krankenversichertenkarte (KVK) bezeichnet wird. Die gesetzlichen Grundlagen hierfür sind in § 291 des Sozialgesetzbuchs festgelegt. Die Krankenversichertenkarte, die jeweils sechs Jahre lang gültig ist, löste den zuvor üblichen Krankenschein ab. Es gibt auch einige private Krankenversicherungen, die auf freiwilliger Basis ähnliche Karten ausgegeben, die mit der offiziellen Variante kompatibel sind. Die Krankenversichertenkarte ist im Sinne dieses Buchs kein Ausweis, da auf ihr kein Passfoto aufgedruckt ist. Trotzdem will ich sie im Folgenden etwas ausführlicher behandeln, da sie die Vorstufe zur elektronischen Gesundheitskarte darstellt. Die Krankenversichertenkarte ist eine Plastikkarte im ID-1-Format (also in der Größe einer Kreditkarte), die mit einem kontaktbehafteten Chip ausgestattet ist. Der Aufdruck der Karte ist genau festgelegt. Neben dem Namen, der Versichertennummer und einer Kennung der Krankenkasse ist auf jedem Exemplar ein Erkennungssymbol abgebildet, das der be-
146
11.3 Elektronische Gesundheitskarte (eGK) rühmten Zeichnung „Der vitruvianische Mensch“ von Leonardo da Vinci nachempfunden ist. Die Anschrift des Versicherten ist nicht aufgedruckt. Die ausgebenden Krankenkassen haben die Möglichkeit, die europäische Krankenversicherungskarte (EHIC) auf der Rückseite der Krankenversichertenkarte abzubilden.
Abbildung 11.3: Die deutsche Krankenversichertenkarte ist eine kontaktbehaftete Chipkarte ohne Rechenlogik. Sie soll durch die deutlich leistungsfähigere elektronische Gesundheitskarte abgelöst werden.
Die technischen Fähigkeiten der Krankenversichertenkarte sind vergleichsweise gering. So bietet der Chip auf der Karte lediglich eine Speicherfunktion ohne Rechenlogik. Der Speicherplatz auf dem Chip beträgt nur 256 Byte, wovon etwa 30 Byte für interne Zwecke genutzt werden. Der Rest steht für die personenbezogenen Daten zur Verfügung, die größtenteils mit den aufgedruckten Informationen identisch sind. Zusätzlich ist die Anschrift des Inhabers im Chip gespeichert. Da diese nicht aufgedruckt ist, genügt es bei einem Adresswechsel, den Inhalt des Chips zu verändern, ohne die Karte austauschen zu müssen. Medizinische Daten werden auf dem Chip der Krankenversichertenkarte nicht gespeichert – also auch keine für Notfälle relevanten Daten und keine Rezepte. Es ist auch nicht vorgesehen, dass ein Patient mit seiner Krankenversichertenkarte auf eine Online-Anwendung zugreift. Vielmehr besteht der einzige Zweck der Krankenversichertenkarte darin, dem Personal im Krankenhaus oder beim Arzt das schnelle Einlesen der Patientendaten zu ermöglichen (früher musste man dafür ein Formular von Hand ausfüllen). Zu diesem Zweck ist lediglich ein PC mit geeignetem Kartenterminal notwendig. Der Zugriff auf den Chip der Krankenversichertenkarte ist nicht durch eine PIN geschützt. Es ist sogar recht einfach möglich, die Daten auf der Karte zu ändern. Der einzige Schutz gegen eine solche Manipulation besteht darin, dass die an Arztpraxen und Krankenhäuser gelieferten Terminals keine Schreibfunktion besitzen. Lediglich für die Krankenkassen sind erweiterte Terminals vorgesehen, die auch einen schreibenden Zugriff ermöglichen. Dieser lässt sich beispielsweise für eine Adressänderung nutzen. Allerdings verzichten viele Krankenkassen auf die Nutzung dieser Funktion und stellen stattdessen bei einem Umzug des Patienten eine neue Karte aus.
147
11 E-Ausweis-Projekte in Deutschland
11.3.3 Ein weiterer Vorläufer: Die QuaSi-Niere-Karte Unabhängig von der Krankenversichertenkarte gibt es in Deutschland bereits seit 1996 eine weitere Chipkarte im Gesundheitswesen: die QuaSi-Niere-Karte. Diese wird in der Nierenersatztherapie (also vor allem in der Dialyse) eingesetzt. Es handelt sich dabei um eine kontaktbehaftete Smartcard (ID-1-Format). Es gibt sie in zwei Varianten: als Patientenkarte und als Arztkarte. Etwa 60.000 Patientenkarten und 3.000 Arztkarten sind im Umlauf. Die QuaSi-Niere-Karte ist zwar kein Ausweis, da sie nicht mit einem Passfoto versehen ist. Sie setzt jedoch bereits seit über zehn Jahren einige wesentliche Ideen elektronischer Patientenausweise in die Praxis um und kann daher für viele Ausweisprojekte im Gesundheitswesen als Vorbild gelten. Insbesondere sieht das QuaSi-Niere-Projekt eine OnlineAnwendung vor, die mithilfe der Karte zugänglich ist. Die Idee dahinter ist zum einen, dass beispielsweise die Daten eines Dialyse-Patienten online verfügbar sind, wenn dieser das Behandlungszentrum wechselt oder auf Reisen vorübergehend in einer fremden Klinik behandelt wird. Zum anderen gehört auch eine (anonyme) Auswertung der online gesammelten Daten zum Konzept. Das Kalkül hierbei: Wenn die Therapiedaten tausender Patienten sowie Informationen über den jeweiligen Behandlungserfolg in einer zentralen Datenbank gesammelt werden, dann können Wissenschaftler wichtige Schlüsse daraus ziehen. Wie man sich leicht vorstellen kann, ergeben sich bei einem Vorhaben wie dem QuaSiNiere-Projekt zahlreiche Datenschutz- und Sicherheitsfragen. Die Projektverantwortlichen waren sich dessen natürlich bewusst und entwickelten eine Architektur, die durch die Verwendung von Pseudonymen und anderen Schutzmaßnahmen Missbrauch verhindern soll. Der Einsatz von Smartcards für Patienten und Ärzte sollte hierbei zur Erhöhung der Datensicherheit beitragen. Auf der QuaSi-Niere-Patientenkarte sind Name, Geburtsdatum, Geschlecht und eine Nummer des Patienten aufgedruckt. Im Gegensatz zur Krankenversichertenkarte sieht die QuaSi-Niere-Patientenkarte die Möglichkeit vor, medizinische Daten im Chip zu speichern. Diese Informationen sind durch eine PIN geschützt, die nur dem Patienten ausgehändigt wird. Zudem sind auf der Patientenkarte vier geheime Schlüssel für symmetrische Verfahren gespeichert, die beispielsweise den sicheren Zugriff auf die Online-Anwendung ermöglichen. Schlüssel für asymmetrische Verfahren sind dagegen auf der Karte nicht vorhanden. Die QuaSi-Niere-Arztkarte ist mit einem Passfoto ausgestattet und dient daher unter anderem als visueller Ausweis, mit dem sich der Arzt gegenüber dem Patienten legitimieren kann. Zudem kann der Arzt mit seiner Karte eine symmetrisch verschlüsselte und authentifizierte Verbindung zur Patientenkarte herstellen und auf diese Weise Daten auf die Patientenkarte schreiben. Die Arztkarte enthält zwei private RSA-Schlüssel mit zugehörigen digitalen Zertifikaten. Einer davon dient dem Signieren von medizinischen Daten, die andere der Authentifizierung bei der Kommunikation mit der zentralen Datenbank. Die QuaSi-Niere-Karte hat zwar wichtige Pionierarbeit im Bereich der elektronischen Ausweise geleistet, doch über ein Jahrzehnt nach ihrer Einführung sind ihre Tage nun ge-
148
11.3 Elektronische Gesundheitskarte (eGK) zählt. Sie soll in den kommenden Jahren von der elektronischen Gesundheitskarte abgelöst werden.
11.3.4 Die elektronische Gesundheitskarte entsteht Ende der neunziger Jahre kamen in Deutschland erstmals konkrete Pläne auf, die Krankenversichertenkarte durch einen leistungsfähigen elektronischen Ausweis zu ersetzen. 2003 startete das Bundesgesundheitsministerium ein Projekt, das dieses Vorhaben in die Praxis umsetzen sollte. Die neue Karte wurde elektronische Gesundheitskarte (eGK) getauft und sollte innerhalb einiger Jahre an die Stelle der Krankenversichertenkarte treten. Die gesetzliche Grundlage schuf der Bundestag im Oktober 2003 in Form von § 291a des Sozialgesetzbuchs. Anders als bei der Krankenversichertenkarte beteiligen sich an der elektronischen Gesundheitskarte auch die privaten Krankenversicherungen, weshalb auch deren Kunden eine Karte erhalten werden. Ebenfalls 2003 ermittelte das Bundesgesundheitsministerium im Rahmen einer Ausschreibung eine Reihe von Anbieter, die für die Umsetzung der elektronischen Gesundheitskarte verantwortlich sein sollten. Diese Firmen schlossen sich im Konsortium bIT4health (better IT for better health) zusammen. Im Jahr 2005 wurde zudem (wie im Gesetz vorgesehen) die Firma Gematik gegründet, die die Koordination des Projekts übernahm. Die Gesellschafter der Gematik sind die Spitzenverbände des deutschen Gesundheitswesens, wobei sowohl die Leistungserbringer (Ärzte, Apotheker, Krankenhäuser usw.) als auch die Kostenträger (gesetzliche und private Krankenversicherungen) vertreten sind. Mit deutscher Gründlichkeit entwickelten die Beteiligten in den Folgejahren ein Konzept für die elektronische Gesundheitskarte, das schnell epische Ausmaße annahm. Die Anforderungen waren vielfältig: Die Karte sollte für alle Beteiligten Vereinfachungen bringen, mehrere unterschiedliche Anwendungsmöglichkeiten zulassen, für gesetzliche und private Krankenversicherungen gleichermaßen nutzbar sein, zahlreiche Spezialfälle abdecken, bereits vorhandene Systeme (z. B. die QuaSi-Niere-Karte) ablösen und gleichzeitig ein hohes Maß an Sicherheit bieten. So entwickelte sich aus der scheinbar simplen Karte eines der umfangreichsten IT-Projekte aller Zeiten. Die Spezifikationen füllen inzwischen über 7.000 Seiten, dabei sind längst noch nicht alle notwendigen Details festgelegt. Neben der
Abbildung 11.4: Die elektronische Gesundheitskarte steht im Mittelpunkt eines der aufwendigsten IT-Projekte der Geschichte.
149
11 E-Ausweis-Projekte in Deutschland Karte für den Versicherten (Patientenkarte) gibt es auch eine Karte für Ausübende eines Heilberufs (Heilberufsausweis). Äußerlich ähnelt die elektronische Gesundheitskarte der Krankenversichertenkarte. Auch die vertraute Zeichnung von Leonardo da Vinci („Der vitruvianische Mensch“) ist weiterhin vorhanden. Auf der Rückseite ist die europäische Krankenversicherungskarte (EHIC) abgebildet. Im Gegensatz zur Krankenversichertenkarte ist auf der elektronischen Gesundheitskarte ein Passfoto aufgedruckt, was den Missbrauch erschweren soll (fremdgenutzte Krankenversichertenkarten sind durchaus ein Problem, wie Ärzte immer wieder berichten). Die elektronische Gesundheitskarte soll zwar wichtige Daten im eigenen Chip speichern. Der wichtigere Anwendungsbereich ist jedoch der Zugriff auf Online-Angebote, für die Ärzte und Patienten ihre Karten nutzen können. Angesichts der sensiblen Daten, die hierbei verarbeitet werden, versteht es sich von selbst, dass der Datenschutz im Konzept der elektronischen Gesundheitskarte eine zentrale Rolle spielt. Hierbei gilt das Prinzip der Datenhoheit für den Versicherten. Dieser darf entscheiden, welche Daten auf der Karte oder online gespeichert werden und wer darauf Zugriff hat. Er darf zudem auf Wunsch alle Daten einsehen und bei Bedarf eine Löschung veranlassen. Einige Online-Anwendungen sehen ein Pseudonym vor, damit in der zugehörigen Datenbank der Name des Patienten erst gar nicht auftaucht. Leider ist die Einführung der elektronischen Gesundheitskarte bisher alles andere als reibungslos verlaufen. Das im Gesetz angestrebte Ziel, die Karte bis zum 1. Januar 2006 unters Volk zu bringen, wurde verfehlt. Daran war zum einen die Komplexität des Vorhabens schuld. Zum anderen gab es immer wieder Meinungsverschiedenheiten zwischen den Gematik-Gesellschaftern, die naturgemäß recht unterschiedliche Interessen durchsetzen wollen. Proteste von Medizinern und Datenschützern trugen ebenfalls nicht zum schnellen Gelingen bei. Manche Beobachter vergleichen die elektronische Gesundheitskarte daher inzwischen mit Pannenprojekten wie der LKW-Maut oder dem Dosenpfand. Bei Redaktionsschluss dieses Buchs (im Frühjahr 2009) war die elektronische Gesundheitskarte noch immer keine Realität, auch wenn eine baldige Einführung angeblich in Aussicht steht.
11.3.5 Anwendungen der elektronischen Gesundheitskarte Ein Arzt oder eine Arzthelferin kann die elektronische Gesundheitskarte nutzen, um am Computer die Personalien (Stammdaten) des Patienten auszulesen. Diesen Vorgang, der in der Spezifikation als „Versichertenstammdatenmanagement“ bezeichnet wird, kennen Sie bereits von der Krankenversichertenkarte. Für diese Anwendung hat die Patientenkarte als Stammdaten Information wie das Geburtsdatum, Krankenkasse, Adresse und Zuzahlungsstatus des Karteninhabers gespeichert. Ein Teil der Stammdaten ist nur nach einer Authentifizierung (beispielsweise durch die Eingabe der PIN oder mit einem Heilberufsausweis) zugänglich. Das Versichertenstammdatenmanagement ist eine Pflichtanwendung – der Patient hat weder technisch noch rechtlich die Möglichkeit, diese Funktion zu verhindern. Eine Pflichtanwendung ist auch die Nutzung der Patientenkarte für das elektronische Rezept (in der Spezifikation als „Verordnungsdatenmanagement“ bezeichnet). Das elektroni-
150
11.3 Elektronische Gesundheitskarte (eGK) sche Rezept soll das bisher übliche Rezept auf Papier ersetzen. Letzteres wird bekanntlich vom Arzt unterschrieben und anschließend von der Apotheke zur Abrechnung an die Krankenkasse weitergeleitet. Bei derzeit 700 Millionen Rezepten pro Jahr entsteht dadurch ein beträchtlicher bürokratischer Aufwand. Mit der elektronischen Gesundheitskarte soll dieses veraltete System durch einen vollständig digitalen Prozess ersetzt werden. Das Konzept sieht vor, dass der Arzt das Rezept auf seinem PC erstellt und mit seinem Heilberufsausweis digital signiert. Anschließend speichert er das Rezept entweder auf der Karte des Patienten oder auf einem Online-Server. Der Apotheker bestätigt mit seinem Heilberufsausweis die Auslieferung des Medikaments und überlässt das elektronische Rezept anschließend der Krankenkasse zur Bezahlung. An keiner Stelle dieses Vorgangs ist Papier im Spiel. Alle weiteren Nutzungsarten der elektronischen Gesundheitskarte sind freiwillig, um die Datenhoheit des Versicherten zu wahren. Die Verantwortlichen hoffen, dass möglichst viele Patienten diese Möglichkeiten nutzen werden, denn nur durch die freiwilligen Anwendungen kann die elektronische Gesundheitskarte ihre Möglichkeiten ausspielen. Folgende Nutzungsarten sind vorgesehen, werden aber sicherlich erst nach und nach in die Praxis umgesetzt: Elektronischer Notfallausweis: Die einzigen medizinischen Daten, die (bei Einverständnis des Patienten) auf jeden Fall auf der Karte – und nicht etwa online – gespeichert werden, sind die Angaben zur Notfallversorgung. Diese Daten sollen Rettungskräften Informationen an die Hand geben, die für eine Notfallversorgung von Belang sind. Bestandteil der Notfalldaten ist auch eine Erklärung zur Organspende. Es versteht sich von selbst, dass solche Daten auf der Karte selbst gespeichert werden müssen – und nicht auf einem Server, der bei einem Rettungseinsatz mangels Netzzugang möglicherweise nicht verfügbar ist. Ebenso selbstverständlich ist, dass für das Auslesen dieser Daten keine PIN-Eingabe durch den Patienten notwendig sein darf. Trotzdem sind diese Daten nicht frei zugänglich. Nur Ärzte dürfen sie mit ihrem Heilberufsausweis abrufen. Wenn dagegen ein anderer Beteiligter (etwa der Hausarzt) auf die Daten zugreifen will, muss der Patient zuvor die PIN eingeben. Elektronische Patientenakte: In dieser finden sich Untersuchungsergebnisse, Röntgenbilder und ähnliche Daten über den Gesundheitszustand des Patienten. Da diese Informationen zu umfangreich für die Speicherung auf der Patientenkarte sind, ist die elektronische Patientenakte als Online-Anwendung realisiert. Der Zweck der elektronischen Krankenakte liegt auf der Hand: Mit ihrer Hilfe muss nicht jeder Arzt eine eigene Krankenakte anlegen, und die Übertragung wichtiger Informationen von einem Arzt zum anderen wird einfacher. Schreibenden Zugriff auf die elektronische Krankenakte hat nur der Arzt mit seinem Heilberufsausweis. Der Patient muss mit seiner Karte sein Einverständnis geben und hat außerdem lesenden Zugriff. Elektronischer Arztbrief: Über diese Online-Anwendung können sich Ärzte, die denselben Patienten behandeln, gegenseitig Nachrichten zuschicken – so wie es bereits jetzt per Post üblich ist.
151
11 E-Ausweis-Projekte in Deutschland Elektronisches Patientenfach: Diese Anwendung sieht vor, dass der Patient selbst Daten in einen Online-Speicher schreiben kann (die elektronische Krankenakte und der elektronische Arztbrief sind dagegen nur für Ärzte schreibend zugänglich). Dies können zum Beispiel selbst gemessene Blutzucker- oder Blutdruckwerte sein. Elektronische Patientenquittungen: Diese ebenfalls online abgelegten Daten informieren den Patienten über die vom Arzt erbrachten Leistungen und deren Kosten. Digitale Signatur: Unabhängig von den medizinisch relevanten Informationen soll die elektronische Gesundheitskarte auch die Möglichkeit bieten, digital zu signieren. Diese Funktion können die Krankenversicherungen (in Zusammenarbeit mit einem Trust Center) als zusätzlichen Service anbieten.
11.3.6 Technik der elektronischen Gesundheitskarte Die elektronische Gesundheitskarte ist eine kontaktbehaftete Smartcard. Während der deutsche elektronische Personalausweis und der elektronische Reisepass kontaktlos arbeiten, muss man die elektronische Gesundheitskarte daher in ein Kartenterminal stecken. Die Karte basiert auf einem ISO/IEC-7816-4-kompatiblen Betriebssystem. Der Speicherplatz auf dem Chip beträgt 32 KByte. Das ist zwar nicht gerade viel, reicht aber aus, da der überwiegende Teil der Nutzdaten ohnehin online gespeichert ist. Für die Vorgänge, die online ablaufen, gibt es ein umfangreiches Hintergrundsystem (Telematikinfrastruktur), auf das ich weiter unten noch näher eingehen werde. Die Karte dient der Authentifizierung und der Verbindungsverschlüsselung beim Zugang zu den jeweiligen Daten. Von den zahlreichen Spezifikationsdokumenten ist für uns zunächst das Dokument „Gesamtarchitektur“ von Interesse, das – obwohl es nur einen Überblick geben soll – einen beträchtlichen Umfang von 320 Seiten hat [Gesa08]. Die Patientenkarte (ohne die Infrastruktur) findet sich in einer weiteren Spezifikation. Diese setzt sich aus drei Teilen zusammen. Im ersten Teil („Spezifikation der elektrischen Schnittstelle“) geht es um die Ansprache der Karte auf niedriger Ebene [eGK108], im zweiten („Anwendungen und anwendungsspezifische Strukturen“) um die Anwendungen auf der Karte [eGK208]. Nur am Rande interessant ist für uns Teil 3 („ Äußere Gestaltung“), da dieser nicht die Elektronik betrifft [eGK308]. Für den Heilberufsausweis gibt es eine eigene Spezifikation. Für die sichere Kommunikation und die Verschlüsselung gespeicherter Daten ist die elektronische Gesundheitskarte mit mehreren Kryptografiefunktionen ausgestattet. Die Spezifikation gibt für diesen Zweck nicht weniger als sieben private Schlüssel vor, zu denen jeweils auch ein digitales Zertifikat existiert. Einer dieser Schlüssel dient der Authentifizierung gegenüber einer Online-Anwendung mit Pseudonym, ein anderer für denselben Zweck mit Klarnamen. Für die Kommunikation mit dem Heilberufsausweis gibt es einen weiteren privaten Schlüssel. Dieser wird benötigt, wenn ein Arzt auf die Karte zugreifen will. Auch das verschlüsselte Ablegen von Informationen online ist mit privaten Schlüsseln gesichert – es gibt wiederum einen mit Pseudonym und einen mit Klarnamen. Ein weiterer Schlüssel dient der Authentifizierung gegenüber einem Trust Center. Dieser spielt eine Rolle, wenn die Karte für (qualifizierte) Signaturen einsetzbar sein soll. Ist dies der
152
11.3 Elektronische Gesundheitskarte (eGK) Fall, dann erfolgt dies mithilfe eines weiteren privaten Schlüssels (dies ist die Nummer sieben unter den privaten Schlüsseln auf der Karte). Das Verfahren, mit dem die genannten privaten Schlüssel verwendet werden sollen, ist zunächst RSA. Die Schlüssellänge beträgt 2.048 Bit. Die Spezifikation nennt jedoch auch Verfahren auf Basis elliptischer Kurven (ECC-Verfahren), die in einem späteren Stadium eingeführt werden können. Darüber hinaus unterstützt die Patientenkarte für die symmetrische Verschlüsselung das Verfahren Triple-DES und als kryptografische Hashfunktion SHA-2.
11.3.7 Der Heilberufsausweis und die Sicherheitsmodulkarte Der Heilberufsausweis, der heute fest zum Konzept der elektronischen Gesundheitskarte gehört, war ursprünglich ein eigenständiges Konstrukt. 1996 gründete die Bundesärztekammer zusammen mit der Kassenärztlichen Bundesvereinigung eine Arbeitsgruppe namens „Elektronischer Arztausweis“, die sich mit diesem Thema beschäftigte. Schnell wurde jedoch klar, dass sich der zunächst als Health Professional Card (HPC) bezeichnete Ausweis kaum ohne Abstimmung mit der elektronischen Gesundheitskarte einführen ließ. Trotz dieser Integration hat der Heilberufsausweis, wie er inzwischen genannt wird, auch eine eigenständige Bedeutung. So können die jeweiligen Ärzte- und Apothekerkammern, die für die Ausgabe der Karten zuständig sind, eigene Anwendungen anbieten. Beispielsweise kann eine Ärztekammer eine Datenbank mit medizinischen Informationen im Netz bereitstellen, wobei statt eines Passworts der Heilberufsausweis der Absicherung des Zugangs dient. Neben der Patientenkarte und dem Heilberufsausweis gibt es noch einen dritten Kartentyp, der zum Komplex der elektronischen Gesundheitskarte gehört. Es handelt sich dabei um die sogenannte Sicherheitsmodulkarte (SMC). Diese gibt es in drei Varianten: SMC-A, SMC-B und SMC-K. Die beiden erstgenannten kann man als eingeschränkte Ausgaben des Heilberufsausweises betrachten. Sie ermöglichen es Arzthelferinnen, Pflegekräften und ähnlichen Personen, verschiedene Aktionen zu starten, was Ärzte und Apotheker entlasten soll. Die SMC-A hat den Zweck, einen Heilberufsausweis zur Anfertigung einer digitalen Signatur zu veranlassen, sofern der Arzt dies vorher entsprechend eingerichtet hat. Diesen Mechanismus kann etwa eine Arzthelferin nutzen, um ein Rezept zu signieren. Die SMC-B wird für eine Institution (beispielsweise ein Krankenhaus) ausgestellt, die sich damit gegenüber der Infrastruktur oder einer elektronischen Gesundheitskarte authentifizieren und digitale Signaturen erstellen kann. Die SMC-K ist in den Konnektor (siehe unten) integriert. Sie sichert die Kommunikation des Konnektors mit dem Broker, mit dem Kartenterminal und mit dem Heilberufsausweis. Die SMC-K ist vor allem für kleinere und mittlere Institutionen gedacht. Größere Kliniken können für diese Zwecke andere Lösungen einsetzen, die statt einer Karte ein größeres Hardware-Modul zur Schlüsselspeicherung verwenden. Für den Heilberufsausweis und die Sicherheitsmodulkarte gibt es eine dreigeteilte Spezifikation. Deren Aufbau sieht etwas anders aus als bei der (ebenfalls dreiteiligen) Spezifika-
153
11 E-Ausweis-Projekte in Deutschland tion der Patientenkarte. Teil 1 („Kommandos, Algorithmen und Funktionen der Betriebssystemplattform“) behandelt betriebssystemtechnische Grundlagen [HBA108], Teil 2 („HBA: Anwendungen und Funktionen“) betrifft den Heilberufsausweis [HBA208], und Teil 3 („SMC: Anwendungen und Funktionen“) geht auf die Sicherheitsmodulkarte ein [HBA308]. Das äußere Erscheinungsbild und die Betriebssystembefehle entsprechen größtenteils den Vorgaben für die Patientenkarte. Für den Heilberufsausweis sind laut Spezifikation sechs unterschiedliche private Schlüssel vorgesehen. Alle sind durch ein digitales Zertifikat beglaubigt. So gibt es einen Schlüssel speziell für die Kommunikation mit der Patientenkarte sowie einen weiteren für die Kommunikation mit der Sicherheitsmodulkarte. Für die Verschlüsselung von medizinischen Daten steht ein weiterer privater Schlüssel zur Verfügung. Zudem gibt es zwei Schlüssel für die Authentifizierung: einen für Anwendungen im Zusammenhang mit der Patientenkarte, den zweiten für etwaige Online-Angebote der zuständigen Kammer. Schlüssel Nummer sechs ist für die (qualifizierte) digitale Signatur vorgesehen. Diese ist für den Heilberufsausweis verpflichtend, da ein Arzt bzw. Apotheker Signaturen anfertigen können muss.
11.3.8 Die Telematikinfrastruktur Für die elektronische Gesundheitskarte gilt noch mehr als für jeden anderen elektronischen Ausweis: Die Karte ist nur ein kleiner Teil einer größeren Infrastruktur. Vor allem die diversen Online-Anwendungen sorgen dafür, dass um die Karte herum eine gigantische Maschinerie (Telematikinfrastruktur) von Rechnern, Diensten und Kommunikationsverbindungen entsteht, die deutlich komplexer ist als die Karte selbst. Man kann sich die Telematikinfrastruktur (wenn auch etwas vereinfacht) als eine ClientMiddleware-Server-Architektur vorstellen. Um dies richtig einordnen zu können, ist ein kurzer Ausflug in das Thema Systemarchitektur notwendig. Wie Ihnen vielleicht bekannt ist, folgen die meisten verteilten Computeranwendungen dem Client-Server-Prinzip. Dieses sieht einen Diensteanbieter (Server) sowie mehrere Dienstenutzer (Clients) vor, die über ein Rechnernetz kommunizieren. Der Server erbringt für die Clients Dienste, indem er beispielsweise Daten oder Rechenzeit zur Verfügung stellt. Typische Server in einer solchen Architektur sind Webserver, Datenbanken oder Verzeichnisdienste. Als Beispiele für Clients kann man entsprechend Web-Browser, SQL-Clients oder LDAP-Clients aufführen. Wenn mehrere Server und unterschiedliche Dienste im Spiel sind, dann lohnt es sich manchmal, eine Zwischenschicht (Middleware) zwischen Client und Server einzuführen. Die Middleware nimmt die Anfragen der Clients entgegen und verteilt sie an die jeweils zuständigen Server. Eine solche Client-Middleware-Server-Architektur ist zwar etwas aufwendiger als ein reiner Client-Server-Aufbau, dafür aber auch leistungsfähiger und besser skalierbar. Da schon früh klar war, dass die Telematikinfrastruktur der elektronischen Gesundheitskarte äußerst umfangreich werden würde, gab es zu einer Client-Middleware-Server-Architektur kaum eine Alternative. Die Client-Komponenten sind in diesem Zusammenhang die
154
11.3 Elektronische Gesundheitskarte (eGK) Client-Komponenten
Middleware
Server-Komponenten
Konnektor
Backend der Krankenversicherung
Primärsystem eGK/HBA/SMC
Elektronische Krankenakte
Konnektor
VPNKonzentrator
Primärsystem eGK/HBA/SMC
Broker Elektronisches Rezept
Konnektor
Primärsystem eGK/HBA/SMC
Abbildung 11.5: Die Telematikinfrastruktur, die um die elektronische Gesundheitskarte herum entsteht, ist leistungsfähig, aber auch äußerst komplex.
Rechner, die direkt mit der Karte zu tun haben, während die Server Online-Dienste wie elektronische Krankenakte zur Verfügung stellen. Die Rolle der Middleware übernimmt eine Komponente, die Broker genannt wird. Die Server-Komponenten und der Broker werden zusammen auch als Telematikplattform bezeichnet. 11.3.8.1 Client-Komponenten Die Rolle der Client-Komponenten in der Telematikinfrastruktur übernehmen in erster Linie die Computeranlagen der Ärzte, Krankenhäuser und Apotheker mit den darauf laufenden Programmen. Meist handelt es sich dabei um gewöhnliche PCs, die untereinander vernetzt sind. Eine solche Umgebung wird auch als Primärsystem bezeichnet. Bei einem flächendeckenden Einsatz der elektronischen Gesundheitskarte werden etwa 100.000 Arztpraxen, 2.000 Krankenhäuser und 20.000 Apotheken ein Primärsystem betreiben. Jedes Primärsystem ist an einen sogenannten Konnektor angeschlossen. Der Konnektor ist eine Hardware-Komponente, mit der die Kartenterminals für die Nutzung der elektronischen Gesundheitskarte verbunden sind. Der Konnektor ist zudem mit dem Internet verbunden. Über ihn läuft die gesamte Kommunikation des Primärsystems mit dem Broker.
155
11 E-Ausweis-Projekte in Deutschland Der Konnektor hat hierbei die Aufgabe eines VPN-Clients. Er sorgt für eine Verschlüsselung des Datenaustausches mit einem VPN-Konzentrator, der dem Broker vorgeschaltet ist. Konnektoren verwenden für diesen Zweck SMC-K-Karten. 11.3.8.2 Broker Der Broker steht zwischen den Client- und den Server-Komponenten. Er nimmt die Anfragen der Primärsysteme entgegen und leitet sie an die zuständigen Anwendungsdienste weiter. Wenn beispielsweise lediglich die Stammdaten eines Patienten übermittelt werden, dann leitet der Broker diese an die Backendsysteme der zuständigen Krankenkasse weiter. Handelt es sich dagegen um Informationen für die elektronische Krankenakte oder andere Online-Angebote, dann übergibt sie der Broker an den entsprechenden Server. Soll eine Anfrage über ein Pseudonym erfolgen, dann ist der Broker dafür verantwortlich, dass der Klarname nicht an den jeweiligen Server übermittelt wird. Vor dem Broker steht ein VPN-Konzentrator, der das Gegenstück zum Konnektor bildet. Die Kommunikation zwischen Primärsystem und Broker ist verschlüsselt und verläuft dadurch durch einen sicheren Tunnel, dessen Endpunkte der Konnektor und der VPN-Konzentrator bilden. Der VPN-Konzentrator verwendet im Gegensatz zum Konnektor keine Sicherheitsmodulkarte, da eine solche für diesen Zweck zu langsam wäre. Stattdessen ist der private Schlüssel des Konnektors auf einer performanten Hardware gespeichert. 11.3.8.3 Server-Komponenten Die Server-Komponenten der Telematikinfrastruktur umfassen sämtliche Server, die die Online-Anwendungen der elektronischen Gesundheitskarte bereitstellen. Dazu gehören einerseits die Backend-Systeme der Krankenkassen, aber andererseits auch die Server, die die elektronische Krankenakte oder das elektronische Patientenfach realisieren. Diese Dienste kommunizieren nie direkt mit dem Primärsystem. Stattdessen ist stets der Broker zwischengeschaltet.
11.3.9 Die PKI der elektronischen Gesundheitskarte Innerhalb der Telematikinfrastruktur kommen an mehreren Stellen private Schlüssel und dazugehörende digitale Zertifikate zum Einsatz. Um diese Zertifikate ausstellen und verwalten zu können, gehört eine Public-Key-Infrastruktur (PKI) zu den festen Bestandteilen im Gesundheitskarten-Konzept (siehe Abbildung 11.6). Angesichts der komplexen Architektur versteht es sich fast von selbst, dass auch die PKI ein äußerst umfangreiches Gebilde ist und sogar zu den ambitioniertesten PKI-Vorhaben weltweit gehört. Es werden sechs unterschiedliche Zertifikatstypen unterschieden, für die es jeweils eigene Zertifizierungsstellen gibt (nicht aufgeführt sind Zertifikate für qualifizierte Signaturen, da diese von einem Trust Center ausgegeben werden und daher nicht zur Telematikinfrastruktur gerechnet werden):
156
11.3 Elektronische Gesundheitskarte (eGK) Dienst-Zertifikate
eGK-Zertifikate
Netz-Zertifikate
CV-Zertifikate Trustservice Status List
GeräteZertifikate
Gematik Bridge CA
Trustservice Status List
HBA-SMCZertifikate
Abbildung 11.6: Die PKI für die elektronische Gesundheitskarte sieht sechs Typen von Zertifizierungsstellen vor.
Netz-Zertifikate: Diese Zertifikate dienen der Herstellung einer VPN-Verbindung zwischen einem Konnektor und dem VPN-Konzentrator. Dienst-Zertifikate: Diese Zertifikate werden unter anderem für die gesicherte Kommunikation der Komponenten untereinander verwendet. Das eingesetzte Protokoll ist SSL oder TLS. eGK-Zertifikate: Diese Zertifikate gehören zu den privaten Schlüsseln, die auf der Patientenkarte gespeichert sind und dort vom Inhaber zum Authentifizieren und Verschlüsseln genutzt werden. CV-Zertifikate: Diese Zertifikate dienen der Authentifizierung der Karten untereinander. Sie werden beispielsweise benötigt, wenn ein Arzt mit seinem Heilberufsausweis auf eine Patientenkarte zugreift. HBA-SMC-Zertifikate: Diese Zertifikate gehören zu den privaten Schlüsseln, die auf dem Heilberufsausweis und der Sicherheitsmodulkarte für das Verschlüsseln und Authentifizieren genutzt werden. Geräte-Zertifikate: Verschiedene Komponenten in der Telematikinfrastruktur erhalten eine eigene Identität und damit eigene Zertifikate. Für jeden der sechs Typen gibt es eigene Zertifizierungsstellen [NaFS08]. Für alle Zertifikate außer für die CV-Zertifikate gilt: Es sind keine übergeordneten Zertifizierungsstellen vorgesehen. Stattdessen wird jede Zertifizierungsstelle in eine von zwei Listen (Trustservice Status Lists) eingetragen, die von einer zentralen Zertifizierungsstelle (Gematik Bridge CA) signiert werden. Eine Ausnahme sind CV-Zertifikate, für die eine übergeordnete Zertifizierungsstelle existiert. Nur diese wird in die zugehörige Trust-List aufgenommen. Der Grund für diese Sonderstellung besteht darin, dass CV-Zertifikate auf dem Kartenchip verarbeitet werden. Dort ist Speicherplatz knapp, und daher ist es von Vorteil, wenn der Chip statt mehrerer öffentlicher Schlüssel von unterschiedlichen Zertifizierungsstellen nur einen kennen muss.
157
11 E-Ausweis-Projekte in Deutschland
11.3.10 Perspektiven der elektronischen Gesundheitskarte Es wird sicherlich noch etliche Jahre dauern, bevor die zahlreichen Anwendungsmöglichkeiten der elektronischen Gesundheitskarte zum Alltag gehören. Dennoch gibt es bereits jetzt einige Ideen, die über die aktuellen Spezifikationen hinausgehen. Als Beispiel hierfür sei ein Vorschlag des Mobilfunkanbieters Vodafone genannt. Dieser sieht vor, die elektronische Gesundheitskarte in einem Mobiltelefon zu nutzen („eGK mobil“). Die Patientenkarte hat in diesem Fall die Form einer ID-000-Karte (SIM-Karten-Format) und ist in die SIMKarte eines Handys integriert (neuere SIM-Karten lassen eine solche Doppelnutzung zu). An der Funktionalität der Gesundheitskarte ändert sich nichts. Das Mobiltelefon bietet über seine Benutzeroberfläche Zugriffsmöglichkeiten auf die Karte, wozu sonst der PC verwendet wird. Ein drahtloses Übertragungssystem sorgt dafür, dass das Handy mit einem Konnektor kommunizieren und eine Verbindung zu den Online-Anwendungen aufbauen kann. Die Vorteile der eGK mobil liegen auf der Hand. Das Handy gehört zu den Gegenständen, die viele Menschen ohnehin ständig bei sich tragen – man kann es also auch als Ausweis nutzen. Die Nutzung von Smartcards über das Handy wird ohnehin immer populärer. Außerdem bietet das Handy zum Ausweis auch gleich das Lese- und Zugriffsgerät dazu, was die Sache äußerst praktikabel macht.
11.3.11 Bewertung der elektronischen Gesundheitskarte Wie anfangs erwähnt, hat die elektronische Gesundheitskarte die gesteckten Ziele bisher nicht erreicht. Die ungeheure Komplexität des Projekts und die unterschiedlichen Interessen der Beteiligten haben sich als Hemmschuh erwiesen. Angesichts dieser Entwicklung muss man sich die Frage stellen, ob das gesamte Vorhaben nicht zu ambitioniert ist und ein etwas bescheideneres Unterfangen nicht besser gewesen wäre. Letztendlich wird man diese Frage wohl erst in ein paar Jahren beantworten können, wenn die elektronische Gesundheitskarte in Verwendung ist (oder auch nicht). Bis Ende 2008 wurden erst etwa 60.000 Versicherte im Rahmen von Pilotprojekten mit der Karte ausgestattet. Die produktive Einführung könnte 2009 erfolgen. Vorher müssen jedoch noch einige weitere Tests durchgeführt werden. Längst haben sich auch die Kritiker der elektronischen Gesundheitskarte formiert. Dazu gehört vor allem der NAV-Virchow-Bund, der die niedergelassenen Mediziner in Deutschland vertritt. Der Bund spricht von einem „Prestigeprojekt des Bundesgesundheitsministeriums“, einem „chaotischen Projektmanagement“ und „unausgegorener Technik“ [Virc08]. Die Mittel, die zum Aufbau der elektronischen Gesundheitskarte verwendet werden, sollten nach Ansicht des Bundes besser „in unterversorgte Gebiete fließen, um dort einem bestehenden und dem drohenden Ärztemangel entgegenzuwirken“. Auch der Chaos Computer Club macht seit Jahren gegen die elektronische Gesundheitskarte Stimmung. Auf der Website des Hacker-Clubs heißt es [CCC06]: „In bester Tradition staatlicher Software-Großprojekte wird hier sehenden Auges ein weiteres extrem kostenträchtiges Prestigeprojekt angegangen, dessen Nutzen in keinem sinnvollen Verhältnis zu den Risiken und absehbaren Problemen steht. Eine erste Sichtung der Daten deutet auf
158
11.4 Elektronischer Dienstausweis (Deutschland) eine massive Kostenexplosion bei der Einführung der Gesundheitskarte und ein weiteres Technologie-Desaster hin.“ 2006 spielte ein Unbekannter dem Chaos Computer Club die vertrauliche Analyse einer Unternehmensberatung zu, die von der Gematik beauftragt worden war. Seitdem gibt es diese Studie auf der CCC-Web-Seite als Download. Der Tenor der Analyse ist nicht gerade euphorisch. Der wirkliche Nutzen der elektronischen Gesundheitskarte liegt nach Ansicht der Verfasser in den freiwilligen Anwendungen, und diese waren zum damaligen Zeitpunkt noch nicht genau festgelegt. So bleibt zu hoffen, dass die elektronische Gesundheitskarte nach den zahlreichen Verzögerungen nun zügig eingeführt wird und dass sich die Befürchtungen der Kritiker nicht bestätigen. Sollte sich diese Hoffnung erfüllen, dann könnte die elektronische Gesundheitskarte eine weltweite Vorbildfunktion einnehmen.
11.4
Elektronischer Dienstausweis (Deutschland) Neben den Ausweisprojekten, die nahezu die gesamte Bevölkerung betreffen (elektronischer Reisepass, Personalausweis und Gesundheitskarte), gibt es in Deutschland ein etwas kleineres Vorhaben, das einen ähnlichen Inhalt hat: den elektronischen Dienstausweis (eDA). Dieser soll innerhalb der nächsten Jahre an die Mitarbeiter möglichst aller Bundesbehörden ausgegeben werden und dadurch die bisherigen Papierausweise ersetzen. An der Umsetzung des elektronischen Dienstausweises sind die Bundesdruckerei, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt (BKA) beteiligt. Auch die Bundeswehr ist involviert.
Abbildung 11.7: Der deutsche elektronische Dienstausweis wird bereits von der Bundeswehr genutzt. Andere Behörden sollen ihn in den nächsten Jahren übernehmen.
11.4.1 Hintergrund Erste Entwürfe für einen elektronischen Dienstausweis entwickelte 1999 die Arbeitsgruppe „Einsatz multifunktionaler Chipkarten als Haus- und Dienstausweis“ im Bundesinnenministerium. Im November 2001 startete ein sieben Monate dauerndes Pilotvorhaben, in dem 100 Personen eine Vorversion des elektronischen Dienstausweises erhielten [Wiem03].
159
11 E-Ausweis-Projekte in Deutschland Zusätzlich führte die Bundesdruckerei im Auftrag der Bundeswehr das von 2003 bis 2005 dauernde Pilotprojekt „Persönliche Schlüsselkarte Bundeswehr“ (PSKBw) durch. Nachdem diese Testläufe positive Ergebnisse erbracht hatten, setzten die beteiligten Organisationen ihre Pläne in die Praxis um. Seit dem Sommer 2007 steht der elektronische Dienstausweis für alle Bundesbehörden zur Verfügung. Es besteht jedoch kein Zwang, ihn einzuführen. Stattdessen kann jede Behörde selbst entscheiden, ob sie den elektronischen Dienstausweis nutzt. Entscheidet sich eine Behörde dafür, dann muss sie das Dokument bei der Bundesdruckerei einkaufen. Die Bundesdruckerei hat für diesen Zweck eine Liste von Angeboten und Preisen erstellt. Der Preis für einen Dienstausweis beträgt etwa 15 Euro, für die zugehörige Smartcard-Middleware sind etwa 4 Euro fällig. Bisher nutzt nur die Bundeswehr den elektronischen Dienstausweis. Als Nächstes soll im Jahr 2009 das Bundesinnenministerium folgen. Ziel ist es, bis 2015 den elektronischen Dienstausweises in der gesamten Bundesverwaltung zu etablieren. Der elektronische Dienstausweis soll einerseits als visueller Ausweis dienen. Der Ausweischip unterstützt zudem asymmetrische Verfahren für die Authentifizierung und digitale Signaturen (auch qualifiziertes Signieren ist möglich). Darüber hinaus soll es mit dem Dienstausweis möglich sein, Türen zu öffnen, die Arbeitszeit zu erfassen und kleinere Beträge zu bezahlen. Die drei letztgenannten Anwendungen sind typisch für einen elektronischen Mitarbeiterausweis (siehe Kapitel 6).
11.4.2 Technik des eDA Der deutsche elektronische Dienstausweis enthält zwei Mikrochips: einen kontaktbehafteten für das Signieren, Authentifizieren und Verschlüsseln sowie einen kontaktlosen für die Zutrittskontrolle, die Zeiterfassung und das Bezahlen. Insgesamt werden sechs Varianten des Dienstausweises unterschieden [Rüdi08]. Der kontaktbehaftete Chip ist in allen Fällen gleich, während es für den kontaktlosen Chip mehrere Möglichkeiten gibt (entweder Legic oder Mifare oder Hitag). Diese Unterscheidung kommt zustande, da bei den Bundesbehörden bereits Kartenlösungen des genannten Typs für den Zutritt, die Zeiterfassung und das Bezahlen in Verwendung sind. Jede Behörde kann sich daher den passenden Chip aussuchen. Abgesehen vom kontaktlosen Chip erforderte noch die Unterscheidung zwischen Bundesverwaltung, Bundespolizei und Bundeswehr unterschiedliche Varianten. Folgende sechs Varianten gibt es: Dienstausweis für die Bundesverwaltung mit Legic-Chip Dienstausweis für die Bundesverwaltung mit Mifare-Chip Dienstausweis für die Bundespolizei mit Legic-Chip Dienstausweis für die Bundespolizei mit Mifare-Chip Dienstausweis für zivile Angestellte der Bundeswehr mit Hitag-Chip Dienstausweis für Soldaten der Bundeswehr (Truppenausweis) mit Hitag-Chip
160
11.5 JobCard (ELENA) Das Layout der Ausweise ist jeweils ähnlich aufgebaut. Auf der Vorderseite stehen Gültigkeitsdatum, Name und Ausweisnummer. Außerdem ist dort ein Passfoto aufgedruckt. Der kontaktbehaftete Chip ist auf der Rückseite angebracht. Dort sind auch das Geburtsdatum und ein Kürzel der jeweiligen Behörde notiert. Zusätzlich findet sich hier die Unterschrift des Inhabers. Den unteren Teil der Rückseite bildet eine maschinenlesbare Zone nach MRTD-Spezifikation. Die Karte weist zudem einige physikalische Sicherheitsmerkmale auf, darunter kopierresistente Druckfarbe und ein Laserbild. Die Ausweisvarianten für die Polizei und die Bundeswehr haben einige zusätzliche Aufdrucke. Beispielsweise trägt die Polizeiversion auf der Vorderseite deutlich sichtbar das Wort POLIZEI sowie einen Polizeistern anstatt eines Bundesadlers.
11.4.3 Bewertung des eDA Der elektronische Dienstausweis ist eine Mischung aus hoheitlichem Dokument und Mitarbeiterausweis. Die interessanteste Frage lautet derzeit, wie die diversen Bundesbehörden dieses Ausweissystem akzeptieren werden. Sollte sich der elektronische Dienstausweis in der Praxis bewähren, dann kann er durchaus auch für elektronische Mitarbeiterausweise in der Industrie als Vorbild dienen.
11.5
JobCard (ELENA) Neben den bisher in diesem Kapitel betrachteten elektronischen Ausweisen gibt es mit der sogenannten JobCard ein weiteres deutsches Kartenprojekt, das für uns interessant ist. Die JobCard ist keine genau festgelegte Karte, sondern steht für ein Konzept. Demnach lässt sich jede Smartcard, die für qualifizierte digitale Signaturen geeignet ist, als JobCard nutzen. Eine JobCard-konforme Karte muss kein elektronischer Ausweis sein (es muss sich also nicht um einen visuellen Ausweis handeln). So gesehen gehört die JobCard nicht in dieses Buch. Aus zwei Gründen habe ich sie dennoch aufgenommen: Zum einen ist der elektronische Personalausweis als JobCard nutzbar; zum anderen wurde die JobCard im eCard-Rahmenwerk der Bundesregierung berücksichtigt, das im E-Ausweis-Wesen eine wichtige Rolle spielt. Die JobCard ist ein geistiges Kind der Hartz-Kommission. Letztere wurde bekanntlich 2002 vom damaligen Bundeskanzler Gerhard Schröder ins Leben gerufen, um Vorschläge für die Bekämpfung der Arbeitslosigkeit auszuarbeiten. Bekannt sind heute vor allem die als Hartz IV bezeichneten Sozialleistungen, die auf diese Kommission zurückgehen. Einer der weniger bekannten Vorschläge der Hartz-Kommission sieht vor, einen Server einzurichten, auf dem für jeden Arbeitnehmer festgehalten wird, für welche Arbeitgeber er bisher gearbeitet hat und wie hoch sein jeweiliges Einkommen war. Dieser Vorschlag soll im Laufe der nächsten Jahre umgesetzt werden. Man spricht hierbei vom elektronischen Entgeltnachweis (ELENA). Der besagte Server soll in erster Linie der Bundesanstalt für Arbeit zur Verfügung stehen, wenn diese die Höhe des Arbeitslosengelds für eine bestimmte Person berechnet (die Höhe
161
11 E-Ausweis-Projekte in Deutschland des Arbeitslosengelds hängt bekanntlich von der bisherigen Arbeitsdauer und der Höhe der Vergütung ab). Bisher arbeitet die Bundesanstalt mit entsprechenden Bescheinigungen auf Papier, die sie von den Arbeitgebern umständlich einsammeln muss. Durch ELENA soll dies deutlich effektiver werden. Jeder Arbeitgeber soll verpflichtet werden, die entsprechenden Angaben über seine Arbeitnehmer auf dem Server zu speichern. Neben der Bundesanstalt können prinzipiell auch andere Behörden ELENA nutzen. Mit der JobCard kann ein Arbeitnehmer sein Einverständnis für den Zugriff auf seine ELENA-Daten geben. Wie bei vielen anderen Kartensystemen ist auch bei der JobCard die dahinterstehende Infrastruktur (insbesondere der zentrale Server) wichtiger als die Karte selbst. Der Aufbau der ELENA-Infrastruktur läuft bereits. Ab dem 1. Januar 2010 sollen Arbeitgeber die entsprechenden Daten melden. Ab 2012 werden verpflichtend die Bescheinigungsabrufe starten.
11.6
ELSTER-Sicherheitsstick ELSTER, die elektronische Steuererklärung, hat in Deutschland inzwischen einen recht hohen Bekanntheitsgrad. Bereits seit 1999 kann man mit ELSTER Steuererklärungen über das Internet abgeben. Nachdem dies zunächst nur für die Einkommensteuererklärung möglich war, kann der Steuerzahler inzwischen auch mehrere andere Steuererklärungen und -voranmeldungen online einreichen. Seit 2002 unterstützt ELSTER digitale Signaturen, wodurch das gesamte Prozedere papierlos abgewickelt werden kann, während früher stets der Ausdruck eines Formulars notwendig war. Anstatt eine Steuererklärung zu unterschreiben, kann ein Anwender seine Unterlagen digital signieren. ELSTER bietet hierfür drei verschiedene Varianten: Mit ElsterBASIS bekommt der Anwender ein kostenloses digitales Zertifikat und den zugehörigen privaten Schlüssel als Datei für die Festplatte oder den USB-Stick. ElsterSPEZIAL stellt ebenfalls ein kostenloses digitales Zertifikat zur Verfügung. Der Anwender muss für diesen Zweck allerdings ein USB-Token kaufen, das als Sicherheitsstick (früher ELSTER-Stick) bezeichnet wird. Um Verwechslungen zu vermeiden, werde ich dieses Token als ELSTER-Sicherheitsstick bezeichnen. Mit ElsterPLUS kann der Anwender eine marktübliche Signaturkarte zur Authentifizierung verwenden. An dieser Stelle ist der ELSTER-Sicherheitsstick von Interesse. Dies ist ein USB-Token, das der Anwender erwerben kann und online initialisieren muss. Das ELSTER-Sicherheitstoken ermöglicht es, digitale Signaturen anzufertigen. Es handelt sich dabei nicht um einen elektronischen Ausweis, da keine Daten aufgedruckt sind und keine Verwendung als visueller Ausweis möglich ist. Allerdings wird der ELSTER-Sicherheitsstick im eCardRahmenwerk der Bundesregierung berücksichtigt.
162
12 12 E-Ausweis-Projekte in Österreich In Österreich gibt es derzeit eine ganze Reihe interessanter E-Ausweis-Projekte. Das Wichtigste davon ist zweifellos die e-Card, die man als österreichisches Gegenstück zur deutschen elektronischen Gesundheitskarte betrachten kann. Darüber hinaus hat auch Österreich den elektronischen Reisepass eingeführt. Anstelle einer elektronischen Identitätskarte wurde ein Konzept mit dem Namen Bürgerkarte ins Leben gerufen. Weitere österreichische E-Ausweise findet man im Bildungswesen (Educard), in der Justiz (elektronischer Rechtsanwaltsausweis) und in der öffentlichen Verwaltung (elektronischer Dienstausweis).
12.1
Der österreichische elektronische Reisepass Als Mitglied der Europäischen Union ist Österreich verpflichtet, MRTD-konforme Reisepässe mit biometrischen Daten auszugeben. Seit Juni 2006 stellen die österreichischen Behörden derartige Pässe (sogenannte „Sicherheitspässe“) aus. Als biometrisches Referenzmuster wurde zunächst nur ein Foto des Gesichts verwendet. Im März 2009 startete die zusätzliche Aufnahme von Fingerabdrücken (die entsprechende EU-Verordnung forderte diesen Schritt bis zum 28.06.2009). Österreich zählt zu den Visa-Waiver-Staaten (siehe Abschnitt 5.2.1). Allerdings kam die Einführung des MRTD-Reisepasses zu spät, um die Vorgaben der USA zu erfüllen, die bis zum 26. Oktober 2005 eine Umstellung verlangten. Mit einem Reisepass, der zwischen dem 26. Oktober 2005 und dem 15. Juni 2006 ausgestellt wurde, können Österreicher daher nur dann visumfrei in die USA einreisen, wenn dieser nachträglich mit einem Aufkleber („Fotovignette“) ausgestattet wurde.
163
12 E-Ausweis-Projekte in Österreich
12.2
Die e-Card Die österreichische e-Card (auch „SV-Chipkarte“ genannt) ist eine Smartcard, die an Krankenversicherte in Österreich ausgegeben wird. Die e-Card ist damit das österreichische Gegenstück zur elektronischen Gesundheitskarte in Deutschland. Wie diese dient auch die e-Card nicht allein als Datenspeicher, sondern bietet zusätzlich die Möglichkeit, auf Online-Anwendungen zuzugreifen. Zudem lässt sich die e-Card auch für Zwecke einsetzen, die in anderen Ländern mit einem elektronischen Identitätsausweis erledigt werden (einen solchen gibt es dagegen in Österreich nicht). Anders als die elektronische Gesundheitskarte ist die e-Card bereits in Verwendung und zudem bereits an alle Versicherten ausgegeben.
12.2.1 Hintergrund In Österreich nutzten die Patienten früher Krankenscheine, um gegenüber dem Arzt den Versicherungsschutz zu belegen. Da es immer wieder Fälle von Abrechnungen ohne Gegenleistung gab, führten die Behörden den Krankenkassenscheck ein, auf dem der Patient bestätigen musste, dass er eine bestimmte ärztliche Leistung in Anspruch genommen hatte. Dieses System blieb bis zum Jahr 2005 bestehen, während man in Deutschland bereits 1994 auf die Krankenversichertenkarte umgestellt hatte (dabei handelt es sich um eine Speicherkarte). In Österreich überging man dagegen die Nutzung einer Speicherkarte und führte stattdessen 2005 mit der e-Card gleich eine Smartcard ein.
Abbildung 12.1: Die österreichische e-Card ist bereits seit Jahren im Einsatz. Sie zählt zu den modernsten Gesundheitskarten weltweit.
Die Idee zur e-Card ist schon recht alt. Bereits von 1993 bis 1994 lief in Österreich ein Feldversuch mit 4.000 Chipkarten, an dem drei Arztpraxen beteiligt waren. Auf Basis der Erfahrungen aus diesem Projekt startete das Sozialministerium 1996 eine Initiative zur Einführung einer Karte für Krankenversicherte, die 1999 zu einem entsprechenden Gesetz führte. Es folgten einige Jahre der Entwicklung sowie eine Testphase. 2005 war es dann soweit: Alle sozialversicherten Menschen in Österreich wurden mit der nunmehr als eCard bezeichneten Karte ausgestattet. Damit zählte Österreich weltweit zu den Vorreitern in Sachen elektronische Gesundheitskarte.
164
12.2 Die e-Card Die e-Card gilt für alle gesetzlichen Krankenkassen, darüber hinaus auch für eine Reihe von Beamten-Krankenversicherungen. Die Karte ersetzte neben dem Krankenkassenscheck einige weitere Papierdokumente wie den Arzthilfeschein, den Patientenschein, den Behandlungsschein und den Zahnschein. Der Versicherte erhält die e-Card von seiner Versicherung, die sie ihm per Post zuschickt.
12.2.2 Technik der e-Card Die e-Card ist eine kontaktbehaftete Smartcard. Im Gegensatz zur deutschen elektronischen Gesundheitskarte findet sich auf der e-Card kein Passfoto. Es handelt sich also nicht um einen Ausweis im engeren Sinne. Auch der Name der Krankenversicherung ist nicht auf der Karte vermerkt. Auf der Vorderseite sind dagegen Name, Titel und Sozialversicherungsnummer des Karteninhabers sowie die Kartenfolgenummer aufgedruckt (Geburtsdatum und Adresse fehlen). Die dreistellige Kartenfolgenummer wird jeweils um eins hochgezählt, wenn ein Versicherter eine neue Karte erhält. Zusätzlich sind auf der Kartenoberfläche eine Service-Telefonnummer sowie die Webadresse der österreichischen Sozialversicherung notiert. Auf der Rückseite ist die europäische Krankenversicherungskarte (EHIC) aufgedruckt. Auf dem Chip sind neben den persönlichen Daten, die auch aufgedruckt sind, einige weitere Informationen gespeichert, insbesondere das Geburtsdatum des Inhabers und das Ablaufdatum. Die Adresse des Versicherten ist dagegen nicht gespeichert. Auch der Versichertenstatus oder die Versicherung wird nicht festgehalten. All diese Informationen finden sich stattdessen online. Wenn ein Patient umzieht, dann ist keine Änderung auf der Karte notwendig. Selbst ein Versicherungswechsel führt nicht zum Neuausstellen einer Karte. Neben der e-Card gibt es die o-Card, die in etwa dem deutschen Heilberufsausweis entspricht (O steht hierbei für Ordination). Weitere Spezialkarten (etwa die a-card für Apotheker) könnten in den nächsten Jahren kommen. Auf dem Chip der e-Card werden bisher keine medizinischen Daten gespeichert. In einer weiteren Ausbaustufe könnte sich dies jedoch (auf freiwilliger Basis) ändern. Dies gilt insbesondere für die Speicherung von Notfalldaten auf dem Kartenchip, für die es bereits eine gesetzliche Grundlage gibt. Weitere Anwendungen (z. B. elektronischer Impfpass) sind in Planung. Hinter der e-Card steht ein Hintergrundsystem, das deutlich weniger komplex ist als die Telematikinfrastruktur der deutschen elektronischen Gesundheitskarte. Folgende Komponenten gehören dazu: Ordinations-Client: Dies ist die Software des Arztes oder Krankenhauses. Administrations-Client: Ein solcher wird für Verwaltungsaufgaben im Zentralsystem genutzt. Online-Kommunikationskanal: Dies ist der Anschluss des Arztes oder Krankenhauses an das Zentralsystem. Zentralsystem: Dieses besteht aus dem Konsultationssystem und dem Kartensystem. Das Konsultationssystem ist für die Online-Anwendungen und den Datenverkehr mit
165
12 E-Ausweis-Projekte in Österreich den Ordinations-Clients zuständig. Das Kartensystem wird für das Management der Karten verwendet. Rechenzentrum: Dieses liefert unter anderem die Personendaten für die Personalisierung der Karten das Zentralsystem. Zum Konzept der e-Card gehört, dass der Inhaber sie nicht nur für die Kranken- bzw. Sozialversicherung, sondern auch für andere Zwecke nutzen kann. So unterstützt die e-Card beispielsweise qualifizierte Signaturen und ist auch für den Zugriff auf Online-Angebote außerhalb des Sozialwesens einsetzbar. Da die Karte kein Passbild trägt, ist sie jedoch nicht für die Verwendung als visueller Ausweis geeignet. Auf jedem e-Card-Chip befindet sich ein privater Schlüssel für die Authentifizierung gegenüber dem Zentralsystem. Diese auch als SV-Signatur bezeichnete Funktion stellt sicher, dass die online gespeicherten Daten eines Patienten nicht für Unbefugte zugänglich sind. Analog ist auch auf der o-Card ein privater Schlüssel gespeichert. Diesen nutzt der Arzt für Online-Zugriffe sowie zur Absicherung der Kommunikation mit anderen Ärzten und den Krankenversicherungen. Die entsprechende Funktion heißt Vertragspartner-Signatur. Zusätzlich speichert der e-Card-Chip zwei private Schlüssel, die sich unabhängig von der e-Card-Infrastruktur für digitale Signaturen nutzen lassen. Einer der beiden Schlüssel ist für qualifizierte digitale Signaturen nach dem österreichischen Signaturgesetz geeignet (Verwaltungssignatur). Diese Anwendung ist bei Auslieferung der e-Card allerdings nur vorbereitet und muss vor der Verwendung von einer geeigneten Zertifizierungsstelle aktiviert werden. Gleiches gilt für die gewöhnliche Signatur. Diese ist für alle weiteren elektronischen Geschäftsfälle mit niedrigem bis mittlerem Sicherheitsbedarf vorgesehen. Der private Schlüssel kann dabei sowohl zur Erstellung digitaler Signaturen als auch zur Authentifizierung, Schlüsselvereinbarung und Datenverschlüsselung genutzt werden. Eine Besonderheit der e-Card besteht darin, dass die digitalen Signaturen nicht mit dem RSA-Algorithmus, sondern mit Verfahren auf Basis elliptischer Kurven (ECC-Verfahren) angefertigt werden. Da ECC-Verfahren besonders performant sind und dadurch mit kurzen Schlüsseln auskommen, werden sie seit Jahren immer beliebter. Es war daher zweifellos eine zukunftsorientierte Designentscheidung, im Zusammenhang mit der e-Card auf diese Verfahren zu setzen. Allerdings sind die meisten Kryptografieprogramme, Zertifizierungsstellen und Smartcard-Chips bisher noch auf RSA ausgerichtet, wodurch die Nutzung der e-Card in vielen Fällen eine Anpassung der Infrastruktur erfordert. Beispielsweise gab es in den Anfangsjahren der e-Card nicht einmal eine Smartcard-Middleware, die mit ECCVerfahren umgehen konnte. Trotz dieser Startschwierigkeiten gibt es kaum Kritik an der Entscheidung für ECC-Verfahren, da deren Akzeptanz ständig steigt und sich deren Vorteile dadurch immer mehr bemerkbar machen.
12.2.3 Bewertung der e-Card Im Vergleich zur elektronischen Gesundheitskarte in Deutschland wirkt das österreichische e-Card-Projekt eine Nummer kleiner. Auf der Karte sind weniger Daten gespeichert, es gibt weniger Anwendungsmöglichkeiten, es werden weniger Spezialfälle berücksichtigt,
166
12.3 Österreichische Bürgerkarte und die Infrastruktur ist weniger komplex. Der Erfolg gibt den Österreichern bisher Recht. Im Gegensatz zum deutschen Gegenstück ist die e-Card inzwischen eingeführt. Zwar wird die e-Card bisher kaum anders genutzt als die deutsche Krankenversichertenkarte, die bereits seit 1994 im Einsatz ist. Die Bedeutung der Zusatzanwendungen dürfte jedoch in den kommenden Jahren deutlich steigen. Der Widerstand gegen die e-Card in Österreich ist geringer als der Widerstand gegen die elektronische Gesundheitskarte in Deutschland. Kritik gibt es dennoch. So beschwerten sich Ärzte und Ärztekammern über Fehler in der Einführungsphase. Der österreichische Rechnungshof kritisierte hohe Projektnebenkosten und Fehler im Projektmanagement. Trotzdem kann man die Einführung der österreichischen e-Card bisher als geglückt bezeichnen. Der Rechnungshof stellte fest, dass sich das Projekt „innerhalb weniger Jahre amortisiert“ haben würde [Rauc06]. Die Behörde ging von einer Effizienzsteigerung und einer Qualitätsverbesserung aus, die zwischen 6 Mio. und 50,5 Mio. Euro jährlich liegt. Der Start der e-Card ist also geglückt. Bleibt zu hoffen, dass nun zügig weitere Anwendungen eingeführt werden und andere Nationen dem österreichischen Beispiel folgen.
12.3
Österreichische Bürgerkarte In Österreich gibt es zwei unterschiedliche Identitätskarten: den Personalausweis und den Identitätsausweis. Beide haben Scheckkartenformat (ID-1) und erfüllen einen ähnlichen Zweck. Allerdings wird nur der Personalausweis innerhalb der EU und einigen anderen Staaten als Reisedokument anerkannt. Der wesentliche Unterschied zwischen den beiden Ausweisen besteht darin, dass die österreichischen Behörden die Ausstellung eines Personalausweises verweigern können (Gleiches gilt für den Führerschein und den Reisepass), während jeder Bürger einen Anspruch auf einen Identitätsausweis hat. Ein möglicher Grund für das Verweigern eines Personalausweises ist ein fehlender fester Wohnsitz. Daher ist der Identitätsausweis vor allem unter Obdachlosen verbreitet. In Österreich gibt es keine Ausweispflicht. Gesetzlich vorgeschrieben ist es lediglich, seine Identität belegen zu können. Dies kann bei Bedarf sogar ohne Ausweisdokument durch ei-
Abbildung 12.2: Der österreichische Personalausweis ist deutlich weniger verbreitet als das Gegenstück in Deutschland.
167
12 E-Ausweis-Projekte in Österreich nen Identitätszeugen erfolgen. In der Praxis verwenden die Bürger jedoch meist den Führerschein, um sich auszuweisen. Darüber hinaus ist in Österreich der Reisepass ein gängiges Mittel für den Identitätsnachweis. Reisepässe sind in der Bevölkerung weit verbreitet, da die österreichischen Bürger früher ein solches Dokument für die Einreise in die benachbarten Ostblockländer (z. B. nach Ungarn) benötigten. Die beiden österreichischen Identitätskarten sind dagegen nicht besonders populär. Nur ein Bruchteil der Staatbürger besitzt einen Personalausweis, und die Zahl der bisher ausgestellten Identitätsausweise liegt gerade einmal bei einigen Tausend.
12.3.1 Hintergrund der Bürgerkarte Während andere Staaten derzeit eine elektronische Identitätskarte planen oder bereits eingeführt haben, entschieden sich die Österreicher im Rahmen ihrer E-Government-Strategie im Jahr 2003 für eine andere Lösung. Sie riefen die österreichische Bürgerkarte ins Leben [Bürg09]. Dahinter verbirgt sich ein Konzept, das den österreichischen Bürgern ein elektronisches Dokument in die Hand geben soll, das sich teilweise wie eine elektronische Identitätskarte nutzen lässt. Die Bürgerkarte ist jedoch nicht als ein bestimmtes Ausweisdokument zu verstehen, sondern als eine Reihe von Vorgaben. Diese muss eine Smartcard erfüllen, um als Bürgerkarte anerkannt zu werden. Es ist ausdrücklich vorgesehen, dass es verschiedene Ausprägungen der Bürgerkarte gibt und dass ein Bürger mehrere elektronische Dokumente besitzen kann, die er als Bürgerkarte nutzt. Die Vorgaben fordern, dass der verwendete Chip geschützt ist und dass darauf ein privater Schlüssel inklusive Zertifikat für qualifizierte digitale Signaturen gespeichert ist. Insbesondere kann ein Bürger seine e-Card als Bürgerkarte nutzen. Andere Möglichkeiten sind ein elektronischer Dienstausweis, die Signaturkarte einer Zertifizierungsstelle, eine Bankkarte oder die SIM-Karte einer Telefongesellschaft. Eine Bürgerkarte muss kein Passfoto aufgedruckt haben, weshalb ein solches Dokument nicht als visueller Ausweis nutzbar ist (es handelt sich also nicht um einen Ausweis im Sinne dieses Buchs). Dies schränkt den Nutzen einer Bürgerkarte zwar ein. Dafür ist es möglich, dass Geräte des täglichen Gebrauchs wie Mobiltelefone oder USB-Token zur Bürgerkarte werden. Die Anwendungen der Bürgerkarte entsprechen den typischen Anwendungen elektronischer Identitätskarten in anderen Ländern. So kann man mithilfe der Bürgerkarte OnlineBehördenangebote nutzen und digital signieren. Allerdings sind viele der geplanten Nutzungsmöglichkeiten noch im Aufbau.
12.3.2 Technik der Bürgerkarte Die technischen Details der Bürgerkarte sind in der Spezifikation nicht festgelegt, da diese dem jeweiligen Anbieter überlassen werden. Stattdessen steht im Mittelpunkt der Bürgerkartenvorgaben eine proprietäre Schnittstelle (Security Layer), die typischerweise von einer Smartcard-Middleware bereitgestellt wird. Die Smartcard-Middleware nimmt von einem Anwendungsprogramm standardisierte Befehle entgegen und setzt diese in Anweisungen für die jeweilige Karte um. Zum Befehlssatz gehören Funktionen wie Verschlüsseln, Entschlüsseln, Signieren und Verifizieren.
168
12.4 Die Educard Um ein hohes Maß an Datenschutz zu gewährleisten, ließen sich die Entwickler der österreichischen Bürgerkarte einen speziellen Umgang mit Identitäten einfallen. Sie definierten zwei Arten von Identitäten: Einzigartige Identität: Eine solche Identität ist einzigartig und kann von jeder anderen unterschieden werden. Wiederkehrende Identität: Eine solche Identität kann mehrfach verwendet werden, ohne dass ein Zusammenhang erkennbar ist. Nur auf Wunsch des Inhabers lässt sich dieser Zusammenhang feststellen. Die wiederkehrende Identität erhöht den Datenschutz. Wenn ein Anwender sich zweimal einloggt oder zweimal signiert, kann niemand feststellen, ob es sich um dieselbe Person handelt.
12.3.3 Bewertung der Bürgerkarte Karten, die die Vorgaben des Bürgerkartenstandards erfüllen, sind bereits seit einigen Jahren verfügbar. Am weitesten verbreitet ist bisher die e-Card. Die Akzeptanz der Bürgerkarte ist bisher jedoch recht bescheiden. Zusätzliche Anwendungsmöglichkeiten sollen die Karte in den nächsten Jahren noch attraktiver machen. Bleibt zu hoffen, dass die österreichischen Bürger nun so langsam auf den Geschmack kommen.
12.4
Die Educard Die Educard (offiziell „edu.card“) ist ein weiteres österreichisches E-Ausweis-Projekt – und gleichzeitig der Name der Karte, um die sich das Projekt dreht. Es handelt sich dabei um einen elektronischen Ausweis für Schüler, Studenten, Lehrkräfte und Angestellte im österreichischen Bildungswesen. Die Karte ist für Schüler und Studenten orange, für Lehrer und anderes Personal ist sie blau. Auf der Educard ist ein Passfoto abgebildet, wodurch sie nicht ohne Weiteres übertragbar ist.
12.4.1 Hintergrund Die Educard wurde vom österreichischen Bundesministerium für Bildung, Wissenschaft und Kultur ins Leben gerufen. Sie entstand im Rahmen des Projekts eFit, das von 2001 bis 2006 lief. Ziel des Projekts war es, innovative IT-Projekte im österreichischen Bildungswesen zu fördern. Unter anderem ging es um E-Learning und um den Online-Zugang zu bildungsrelevanten Informationen. Dabei sollten insbesondere die über 50 unterschiedlichen Online-Plattformen im österreichischen Bildungssystem vereinheitlicht werden. Mit dem „e-Learning Bildungspool Austria“ schufen die Projektverantwortlichen eine Plattform, die dafür als Ausgangsbasis dienen sollte. Die Educard wurde in diesem Zusammenhang als Zugangssicherung zu den Online-Angeboten geschaffen. Nachdem sich die Educard im Rahmen von eFit im kleinen Rahmen bewährt hatte, veröffentlichte das zuständige Ministerium 2005 das Dokument „Richtlinien für die edu.card“,
169
12 E-Ausweis-Projekte in Österreich
Abbildung 12.3: Die österreichische Educard gibt es in einer Schüler-/Studenten- (oben) sowie in einer Lehrerversion (unten).
in dem Vorgaben für eine flächendeckende Nutzung der Karte aufgeführt sind [Educ05]. Auf dieser Basis haben in den letzten Jahren zahlreiche Lehranstalten in Österreich die Educard eingeführt. Jede Schule bzw. Hochschule kann selbst entscheiden, ob sie die Educard an ihre Schüler ausgibt, und dabei zahlreiche Details selbst festlegen. Zudem hat jeder einzelne Schüler das Recht, die elektronischen Funktionen der Educard abzulehnen. Schulnoten und ähnliche Informationen dürfen auf der Karte generell nicht gespeichert werden. Neben der Nutzung als visueller Ausweis ermöglicht die Educard vor allem den Zugang zu Online-Anwendungen. Diese werden teilweise von den zuständigen Behörden zentral angeboten, zudem nutzen auch die viele Schulen diese Möglichkeit. Darüber hinaus kann jede Schule zusätzliche Anwendungen anbieten, die vom Gebäudezutritt über die Abrechnung in der Cafeteria bis zum Bezahlen von Fotokopien reichen. Abgesehen davon lassen die Educard-Richtlinien auch eine Nutzung als Bürgerkarte zu. Die Educard-Richtlinien sehen drei Ausprägungen der Karte vor: Karte ohne Chip (oder mit deaktivierter Chipfunktionalität): Diese Variante der Educard ist für Schüler gedacht, die sich gegen eine Educard mit Chip entschieden haben. Es handelt sich dabei um einen rein visuellen Ausweis. Chipkarte ohne Bürgerkartenfunktionalität: Diese Karte stellt die üblichen Anwendungen bereit, ist jedoch nicht als Bürgerkarte nutzbar. Chipkarte mit Bürgerkartenfunktionalität: Dies ist die als Bürgerkarte nutzbare Variante.
170
12.5 Elektronischer Dienstausweis (Österreich)
12.4.2 Technik der Educard Die Educard ist eine kontaktbehaftete Smartcard. Auf dem Chip sind zwei private Schlüssel mit digitalen Zertifikaten gespeichert. Diese dienen dem Signieren und Authentifizieren. Wird die Karte als Bürgerkarte genutzt, kommen zwei weitere Schlüssel hinzu, die von einem Trust Center kommen müssen, das qualifizierte Zertifikate ausstellen darf. In den qualifizierten Zertifikaten Minderjähriger muss das Geburtsdatum enthalten sein. Neben dem Schlüsselmaterial sind auf dem Chip Angaben wie die Schulkennzahl, eine Kennzahl des Schülers, das Ausstellungsdatum, die Personalien und einige weitere Informationen gespeichert. Die ausgebende Schule hat die Möglichkeit, auf den Kartenchip weitere Anwendungen zu aufbringen. Beispielsweise kann sie als Quick-Karte zum Bezahlen genutzt werden. Außerdem kann eine Educard mit einem Challenge-Response-Chip ausgestattet werden, der für zusätzliche Anwendungen (beispielsweise Gebäudezutritt) verwendet wird.
12.4.3 Bewertung der Educard Die österreichische Educard ist zweifellos ein interessantes und richtungsweisendes Projekt. Da elektronische Ausweise im Bildungswesen bisher noch recht selten sind, aber ein großes Potenzial haben, dürfte es in den nächsten Jahren ein deutliches Wachstum in diesem Segment geben. Die Educard könnte daher ein Vorbild für ähnliche Vorhaben in anderen Ländern werden.
12.5
Elektronischer Dienstausweis (Österreich) Den österreichischen elektronischen Dienstausweis gibt es schon länger als den deutschen. Bereits im Jahr 2002 schuf das Pilotprojekt „elektronische Dienstkarte“ die Basis für die weitere Entwicklung. 2005 trat ein Gesetz in Kraft, das die Umsetzung des elektronischen Dienstausweises in die Praxis vorschrieb [MoMa08]. Laut diesem Gesetz muss das Dokument auch für die Nutzung als Bürgerkarte geeignet sein. Der österreichische elektronische Dienstausweis ist mit einem Passbild ausgestattet und wird daher auch als visueller Ausweis verwendet. Der österreichische elektronische Dienstausweis ist eine Dual-Interface-Karte. Über die kontaktbehaftete Schnittstelle kann der Inhaber sich mit PKI-Unterstützung authentifizieren und digitale Signaturen anfertigen. Auch die Bürgerkartenfunktion ist auf diese Weise nutzbar. Die kontaktlose Schnittstelle bietet eine Challenge-Response-Funktionalität für Anwendungen wie Zutrittskontrolle, Zeiterfassung und Bezahlen. Eine Behörde, die den elektronischen Dienstausweis nutzt, ist für die Verwaltung dieser Funktionen selbst zuständig. Als erste Behörde führte im Jahr 2006 das Bundesministerium für Finanzen (BMF) den neuen elektronischen Dienstausweis ein. Das Dokument löst dort mehrere andere Kartenlösungen ab. Bisher kommt der elektronische Dienstausweis beim BMF für die Authentifi-
171
12 E-Ausweis-Projekte in Österreich
Abbildung 12.4: Den österreichischen elektronischen Dienstausweis gibt es schon länger als den deutschen.
zierung und das digitale Signieren am PC sowie für die Zutrittskontrolle (auch in Fahrstühlen) zum Einsatz. Die Mitarbeiter können das Dokument außerdem als Bürgerkarte verwenden. Bezahlen, Zeiterfassung und Verschlüsselung werden dagegen noch nicht unterstützt.
12.6
Elektronischer Rechtsanwaltsausweis In Österreich gibt es seit 2004 einen elektronischen Rechtsanwaltsausweis. Dieser wurde vom Österreichischen Rechtsanwaltskammertag (ÖRAK) zusammen mit Telekom Austria entwickelt. Es handelt sich dabei um eine kontaktbehaftete Smartcard, auf deren Vorderseite ein Passfoto abgebildet ist. Der Chip ist auf der Kartenrückseite angebracht. Auf der Kartenoberfläche sowie auf dem Chip sind neben dem Namen und dem Geburtsdatum des Inhabers verschiedene, für die Anwaltstätigkeit relevante Informationen (z. B. ausstellende Rechtsanwaltskammer, genaue Berufsbezeichnung) festgehalten. Der österreichische elektronische Rechtsanwaltsausweis ist als visueller Ausweis nutzbar, wobei er sowohl als Beleg für die berufliche Legitimation und auch als Identitätsdokument (anstatt des Personalausweises oder des Führerscheins) verwendet werden kann. Auf dem Chip sind zwei private Schlüssel inklusive digitaler Zertifikate gespeichert. Der eine Schlüssel wird für qualifizierte digitale Signaturen, der andere für Authentifizierungszwecke genutzt. Der elektronische Rechtsanwaltsausweis ist auch als Bürgerkarte verwendbar.
172
13 13 E-Ausweis-Projekte in der Schweiz Was elektronische Ausweisdokumente anbelangt, zählt die Schweiz nicht gerade zur Weltspitze. Insbesondere haben die Eidgenossen in dieser Sparte einen deutlichen Rückstand gegenüber den Nachbarn Österreich und Deutschland. So laufen in der Schweiz derzeit zwar Vorbereitungen für eine elektronische Identitätskarte und eine elektronische Krankenversichertenkarte, doch bis zu deren Einführung wird noch einige Zeit vergehen.
13.1
Der schweizerische elektronische Reisepass Das derzeit am weitesten fortgeschrittene E-Ausweis-Vorhaben in der Schweiz ist der elektronische Reisepass. Seit 2006 werden in mehreren Städten des Landes MRTD-konforme Reisepässe ausgestellt – bisher allerdings nur in Form eines Pilotprojekts. Nach aktueller Planung wird der schweizerische Reisepass erst 2010 flächendeckend elektronisch sein (und dabei ein Gesichtsbild und zwei Fingerabdrücke enthalten). Mit diesem Termin erfüllt die Schweiz eine Vorgabe für die Schengen-Staaten (die wiederum an die Vorgaben der EU angelehnt ist). Für das Visa-Waiver-Programm der USA kommt der schweizerische elektronische Reisepass jedoch zu spät. Schweizer, die nach dem 25. Oktober 2006 einen nichtelektronischen Pass erhalten haben, benötigen daher für die USA ein Visum.
13.2
Elektronische Identitätskarte Der Schweizer Identitätsausweis heißt Identitätskarte und wird IDK abgekürzt. Es handelt sich dabei gegenwärtig um eine Plastikkarte (ohne Chip) im ID-1-Format. In der Schweiz gibt es keine Ausweispflicht. Neben der Identitätskarte ist daher auch der Führerausweis (Führerschein) ein gängiges Dokument, um sich auszuweisen. Innerhalb der EU und einigen anderen Ländern wird die Identitätskarte auch als Reisedokument (anstelle eines Reisepasses) anerkannt.
173
13 E-Ausweis-Projekte in der Schweiz
Abbildung 13.1: Die schweizerische Identitätskarte ist bisher nicht mit einem Chip ausgestattet.
In der Schweiz gibt es Pläne für eine elektronische Identitätskarte [Baum]. Diese kamen bereits früh auf. Den Grundstein legte der Schweizer Bundesrat, der ein solches Dokument im Jahr 1998 in seine strategischen Planungen aufnahm. Im Jahr 2000 beauftragte der Bundesrat das Justiz- und Polizeidepartement, das Thema elektronische Identität genauer zu prüfen und ab 2002 mit den Vorarbeiten zur Einführung einer elektronischen Identitätskarte zu beginnen. Die entsprechenden Aktivitäten wurden jedoch 2004 aus Kostengründen eingestellt. Erst die geplante Einführung des elektronischen Reisepasses brachte das Thema elektronische Identitätskarte wieder auf die Tagesordnung. Als der Bundesrat 2008 als Datum für die Einführung des elektronischen Reisepasses den März 2010 beschloss, legte er fest, dass ab diesem Zeitpunkt auch die Einführung einer elektronischen Identitätskarte zulässig ist. Diese Entscheidung enthält jedoch weder einen Zeitplan noch konkrete Vorgaben für die Umsetzung. Klar ist lediglich, dass ein kontaktloser Chip verwendet werden soll, der auch biometrische Daten speichert. Zusätzlich sollen die Ausweisdaten in einer zentralen Datenbank gespeichert werden. Allerdings regte sich schnell Widerstand gegen die Schweizer E-Ausweis-Pläne. Nach dem Bundesratsbeschluss formierte sich ein „Überparteiliches Komitee gegen biometrische Schweizer Pässe und Identitätskarten“, das unter anderem die Webseite www.freiheitskampagne.ch ins Netz stellte. Das Komitee sammelte ausreichend viele Unterschriften, um eine Volksabstimmung gegen das Gesetz stattfinden zu lassen. Diese fand am 17. Mai 2009 statt und brachte eine knappe Mehrheit für den E-Ausweis. Die Abstimmung bezog sich sowohl auf die elektronische Identitätskarte als auch auf den elektronischen Reisepass und die zentrale Datenbank. Allerdings lehnte das Komitee elektronische bzw. biometrische Ausweise nicht grundsätzlich ab, sondern störte sich lediglich am Zwang, diese zu nutzen. Wie sich eine Ablehnung des elektronischen Reisepasses auf die Position der Schweiz im Schengen-Abkommen ausgewirkt hätte, ist nicht ganz klar. Die Schweiz wäre nicht der einzige Schengen-Staat gewesen, der die entsprechenden Vorgaben nicht umsetzt. Die anderen Staaten dieser Art (z. B. Großbritannien und Irland) sind jedoch EU-Mitglieder, die für sich eine Ausnahmeregelung ausgehandelt haben. Für die Schweiz gibt es eine solche Regelung nicht. Weniger kritisch wäre dagegen die Einreise in die USA gewesen. Da die
174
13.3 Elektronische Versichertenkarte Volksabstimmung nur den Zwang zum biometrischen Reisepass, nicht aber den biometrischen Reisepass an sich in Frage stellte, kann man davon ausgehen, dass Interessierte früher oder später ein solches Dokument erhalten hätten und damit ohne Visum hätten einreisen können. Ohne elektronischen Reisepass müsste man ein Visum in Kauf nehmen.
13.3
Elektronische Versichertenkarte Während die schweizerische elektronische Identitätskarte bisher nur ein theoretisches Konstrukt ist, ist man im Schweizer Gesundheitswesen schon deutlich weiter. Derzeit entsteht dort ein elektronischer Ausweis, der als elektronische Versichertenkarte bezeichnet wird.
Abbildung 13.2: Für die schweizerische elektronische Versichertenkarte gibt es noch keinen verbindlichen Standard.
13.3.1 Hintergrund der elektronischen Versichertenkarte Die rechtliche Grundlage für die elektronische Versichertenkarte hat das Schweizer Parlament 2004 in einer Neufassung des Krankenversicherungsgesetzes beschlossen. Bereits 2006 führten die ersten schweizerischen Krankenversicherungen elektronische Versichertenkarten ein – allerdings erfolgte dies noch ohne einen einheitlichen Standard. Nach aktueller Planung sollen bis Ende 2009 alle 6,5 Millionen Krankenversicherten in der Schweiz mit einer entsprechenden Karte versorgt sein. Der Termin wird sich jedoch wohl noch verschieben. Die elektronische Versichertenkarte ist vor allem für die Speicherung von Daten gedacht und ähnelt daher der deutschen Krankenversichertenkarte. Im Gegensatz zur deutschen elektronischen Gesundheitskarte und zur österreichischen e-Card ist die Schweizer Versichertenkarte deutlich weniger komplex und weniger leistungsfähig. Insbesondere speichert die Karte keinen privaten Schlüssel, der zum Zugang zu einer Online-Infrastruktur berechtigt. Dementsprechend sind auch keine Online-Anwendungen wie eine elektronische Patientenakte geplant.
175
13 E-Ausweis-Projekte in der Schweiz Wichtigster Zweck der Versichertenkarte ist es, den Aufwand bei der Abrechnung von medizinischen Leistungen zu reduzieren. Wie in anderen Ländern (etwa Deutschland) hofft man auf eine geringere Fehlerrate beim Übertragen von Patientendaten und auf schnellere Arbeitsabläufe. Entsprechend dieser Anwendungen handelt es sich bei den Daten auf der Karte größtenteils um administrative Informationen. Darüber hinaus kann ein Versicherter (anders als in Deutschland) auf Wunsch auch medizinische Daten auf dem Kartenchip speichern lassen.
13.3.2 Technik der elektronischen Versichertenkarte Seit Anfang 2008 gibt es genaue technische Vorgaben für die elektronische Versichertenkarte, und zwar in Form des Dokuments eCH-0064, das den Titel „Spezifikation für das System Versichertenkarte“ trägt [eCH08]. Die Namensgebung ist allerdings etwas irreführend, da die Beschreibungen noch nicht detailliert genug für eine Implementierung sind. Daher werden voraussichtlich weitere Dokumente mit genaueren Angaben folgen, bevor es an die Umsetzung geht. Die elektronische Versichertenkarte hat zwar fast ausschließlich den Zweck, Daten zu speichern. Trotzdem handelt es sich nicht um eine Speicherkarte. Dies liegt daran, dass die Zugriffsrechte für den Kartenchip genau geregelt sind und von der Karte selbst mithilfe digitaler Zertifikate geprüft werden. Für diese Prüfung sind eine Rechenlogik und damit ein Smartcard-Chip notwendig. Die Versichertenkarte ist dadurch technisch anspruchsvoller als die deutsche Krankenversichertenkarte, auch wenn sie einen ähnlichen Zweck erfüllt. Technisch gesehen ist die Versichertenkarte eine kontaktbehaftete Smartcard. Das Betriebssystem ist in der Spezifikation nicht vorgegeben, allerdings muss der Chip bestimmte Befehle des Standards ISO/IEC 7816-4 unterstützen. Die Autoren des Standards haben hierbei eine möglichst herstellerunabhängige Auswahl an Befehlen getroffen, um sich nicht auf einen bestimmten Anbieter festzulegen. Die Speichergröße des Chips ist nicht vorgegeben. Folgende administrative Daten werden auf die Versichertenkarte gedruckt und zusätzlich auf dem Chip gespeichert: Nachname, Vorname, Versichertennummer, Geburtsdatum und Geschlecht. Auf der Kartenrückseite können die Versicherer die europäische Krankenversicherungskarte EHIC abbilden, wie es in anderen Ländern gängige Praxis ist. Auf dem Chip werden zusätzlich (teilweise freiwillig) Daten gespeichert, die nicht aufgedruckt sind. Dazu gehören die Adresse des Versicherten, Angaben zur Versicherungsform und zum Versicherungsstatus, die Daten der EHIC, Name und Kennnummer des Versicherers, Kennnummer der Versichertenkarte, Ablaufdatum der Versichertenkarte und Rechnungsadresse des Versicherers. Sofern die versicherte Person dies wünscht, können auch medizinische Daten auf der Versichertenkarte gespeichert werden. Dazu gehören beispielsweise die Blutgruppe, Impfdaten, Transplantationsdaten, Allergien, Krankheiten und Unfallfolgen. Auch Kontaktadressen für den Notfall, ein Hinweis auf bestehende Patientenverfügungen und Ähnliches lassen sich ablegen.
176
13.3 Elektronische Versichertenkarte Zusätzlich zur Versichertenkarte gibt es auch eine Karte für Heilberufler, also eine Health Professional Card (HPC). Im Gegensatz zu den Versichertenkarten sind die HPCs mit einem privaten Schlüssel ausgestattet. Mithilfe eines solchen Schlüssels, zu dem jeweils ein CV-Zertifikat existiert, kann sich ein Heilberufler gegenüber einer Versichertenkarte authentifizieren. Ärzte, Zahnärzte und Chiropraktoren können nach erfolgter Authentifizierung medizinische Daten schreiben und löschen. Apothekern ist es erlaubt, Daten zu Medikamenten aufzubringen und zu entfernen. Kontaktadressen für den Notfall und der Hinweis auf bestehende Patientenverfügungen können von allen HPC-Inhabern geschrieben und gelöscht werden. Die Versichertenkarte unterstützt laut Spezifikation eine PIN, die den unbefugten Zugriff auf die Karte verhindern soll (nur die Notfalldaten sind davon nicht betroffen). Diese PIN muss jedoch vom Betreiber des Kartensystems aktiviert werden. Es ist daher möglich, die Karte ohne PIN zu betreiben. Für die HPC ist eine PIN dagegen Pflicht.
13.3.3 Bewertung der elektronischen Versichertenkarte Die Schweizer Versichertenkarte gehört sicherlich nicht zu den spektakulärsten ihrer Art. Langfristig könnte es auch in der Schweiz eine leistungsfähigere Karte im Gesundheitswesen geben, also eine elektronische Gesundheitskarte. Diese würde – nach deutschem und österreichischem Vorbild – auch private Schlüssel für Signatur und Authentifizierung enthalten und sich zum Zugriff auf Online-Informationen nutzen lassen. Eine solche Schweizer Gesundheitskarte wird zwar schon seit Jahren diskutiert, es gibt jedoch noch keine konkreten Pläne.
177
14 14 Andere europäische Länder Europa ist diejenige Weltregion, in der es die meisten E-Ausweis-Projekte gibt. Es lohnt sich daher, einen Streifzug durch die wichtigsten europäischen Länder zu machen und sich die jeweiligen Ausweissysteme anzusehen.
14.1
Europäische Union Die Europäische Union hat einen großen Einfluss auf die E-Ausweis-Aktivitäten ihrer Mitgliedsstaaten. Unter anderem gibt es EU-Vorgaben für elektronische Reisepässe (siehe Abschnitt 9.1) sowie mehrere EU-Projekte, die die Interoperabilität zwischen elektronischen Ausweisen innerhalb der Europäischen Union fördern sollen (siehe Kapitel 9). Auch die European Citizen Card (ECC) entsteht derzeit in Zusammenarbeit mit EU-Gremien. Die EU kümmert sich jedoch nicht nur um Standards und Forschungsprojekte, sondern will zukünftig auch einen eigenen elektronischen Ausweis einführen: die EU Residence Permit (auch als „elektronischer Aufenthaltstitel“ oder „Ausländerkarte“ bezeichnet). Dabei handelt es sich um eine Smartcard, die für Nicht-EU-Bürger mit Wohnsitz in der EU ausgestellt werden soll. Etwa 20 Millionen EU-Bewohner sind davon betroffen. Der EU-Beschluss, die EU Residence Permit einzuführen, stammt aus dem Jahr 2007. Eine ursprünglich für 2008 angekündigte Spezifikation ist bisher noch nicht erschienen. Innerhalb von zwei Jahren nach Veröffentlichung der Spezifikation soll die Einführung erfolgen. Klar ist, dass die Karte biometrische Daten speichern soll, und zwar (wie der elektronische Reisepass) ein Gesichtsbild sowie zwei Fingerabdrücke. Technische Details des EU Residence Permit sind bisher nicht bekannt. Der Smartcard-Hersteller Giesecke & Devrient hat einen detaillierten Vorschlag für die Umsetzung dieses Dokuments veröffentlicht, der jedoch nicht bindend ist. Bleibt zu hoffen, dass die offizielle Spezifikation bald veröffentlicht wird.
179
14 Andere europäische Länder
14.2
Albanien In Albanien gab es zurzeit des Kommunismus Identitätsausweise. Nach der Wende im Jahr 1990 stellten die Behörden diese Dokumente jedoch vorläufig nicht mehr aus, da die chaotischen Zustände in der Verwaltung des Landes ein funktionierendes Ausweiswesen nahezu unmöglich machten. Zum wichtigsten Identifikationsdokument entwickelte sich dadurch die Geburtsurkunde, die ein Bürger beispielsweise vor der Stimmabgabe bei einer Wahl vorzeigen musste. Erst 2005 verabschiedete das Parlament schließlich ein Gesetz, das die Wiedereinführung eines Identitätsausweises zum Inhalt hatte. Dieser Ausweis sollte elektronisch sein, und die Ausgabe sollte in enger Abstimmung mit der Einführung eines elektronischen Reisepasses erfolgen. Im März 2008 wurde bekannt, dass die französische Firma Sagem den Zuschlag für die Herstellung der neuen albanischen Identitätskarten und Reisepässe erhalten hatte [IRBC08]. Leider war bei Redaktionsschluss dieses Buchs kaum etwas über das geplante Projekt öffentlich bekannt. Offensichtlich soll die Karte dem MRTD-Standard entsprechen und kontaktlos ansprechbar sein. Von einer PKI-Unterstützung ist in den wenigen Quellen nicht die Rede. Die Ausgabe sollte Anfang 2009 starten.
14.3
Belgien Belgien zählt zu den weltweiten Vorreitern im Bereich der elektronischen Identitätskarten. Das dort verwendete Dokument heißt BELPIC (Belgian Personal Identity Card) oder einfach eID [Ster04]. Es ist bereits seit Jahren in Verwendung.
Abbildung 14.1: Die belgische BELPIC gibt es seit 2003. So früh führten nur wenige andere Staaten eine elektronische Identitätskarte ein.
14.3.1 Hintergrund der BELPIC In Belgien gibt es eine strenge Ausweispflicht. Jeder Bürger ist verpflichtet, seinen Identitätsausweis bei sich zu tragen, wenn er sich mehr als 200 Meter von seiner Wohnstätte
180
14.3 Belgien entfernt. Schon vor der BELPIC hatten die belgischen Identitätsausweise ID-1-Format (also die Größe einer Kreditkarte). Ab dem 12. Lebensjahr erhält ein belgischer Staatsbürger ein solches Dokument.
Abbildung 14.2: Die belgische BELPIC in der Version für Jugendliche ab 12 Jahren
2001 beschloss der Ministerrat, eine elektronische Identitätskarte einzuführen. Die BELPIC war geboren. Bereits 2003 gab der belgische Staat die ersten Exemplare aus und machte Belgien damit (nach Finnland und Estland) zum dritten europäischen Staat, der eine elektronische Identitätskarte einführte. Jeder belgische Bürger kann kostenlos eine BELPIC beantragen. Es gibt spezielle Varianten der Karte für Personen, die in Belgien leben, aber nicht die dortige Staatsbürgerschaft besitzen, sowie für Jugendliche ab 12 Jahren. Zur Verwaltung der Ausweisdokumente richteten die belgischen Behörden eine neue Organisation namens FedICT ein und bauten eine Public-Key-Infrastruktur (FedPKI) sowie weitere Ausweis- und Anwendungsinfrastruktur auf. Um die Akzeptanz der Karte zu erhöhen, investierte der belgische Staat in verschiedene Marketingmaßnahmen sowie in eine Support-Infrastruktur inklusive einer Website (www.eid.belgium.be) und einer rund um die Uhr besetzten Telefon-Hotline. Bei Redaktionsschluss dieses Buchs im Frühjahr 2009 besaß bereits über die Hälfte der 10,5 Millionen Belgier eine elektronische Identitätskarte. Zu den wichtigsten Zielen, die die belgische Regierung mit der BELPIC verfolgt, gehört eine Ausweitung des E-Government. Tatsächlich gibt es inzwischen zahlreiche Behörden, die unterschiedliche Verwaltungsvorgänge online über eine BELPIC-Authentifizierung anbieten. Hierbei kommen teilweise auch digitale Signaturen zur Anwendung. Die belgische Regierung hat zudem mit Unternehmen wie CertiPost (ein Joint Venture der belgischen Post und dem Telekommunikationsanbieter Belgacom), Microsoft und Adobe verschiedene Abkommen geschlossen, um eine reibungslose Anwendung digitaler Signaturen in deren Produkten zu ermöglichen. Zudem gibt es eine recht ungewöhnliche Anwendung namens Safer Chat, bei der die BELPIC für Jugendliche als Zugangsvoraussetzung für Chatforen dient. Dies soll für einen verbesserten Jugendschutz im Internet sorgen.
181
14 Andere europäische Länder
14.3.2 Technik der BELPIC Die BELPIC wird von der Firma Gemalto geliefert und basiert auf dem Java-CardStandard. Es handelt sich um eine kontaktbehaftete Smartcard im ID-1-Format. Äußerlich ähnelt die BELPIC den bisher in Belgien üblichen Identitätsausweisen – abgesehen natürlich von der Chip-Kontaktfläche. Aufgedruckt sind Name, Nationalität, Geburtsort, Geburtsdatum, Ausstellungsort, Gültigkeitszeitraum, Kartennummer, Passfoto, Unterschrift und eine Identifikationsnummer des Inhabers. Die BELPIC ist zudem mit mehreren physikalischen Sicherheitsmerkmalen ausgestattet. Auf dem Chip der BELPIC sind neben den Informationen, die sich auch in gedruckter Form auf der Karte befinden, die Adresse des Inhabers, das Passbild in Dateiform und eine digitale Signatur (für die statische Datenauthentifizierung) gespeichert. Der Inhalt und die Funktionsweise des Chips wurden festgelegt, als es den MRTD-Standard noch nicht gab. Die BELPIC verfügt daher zwar über einen maschinenlesbaren Aufdruck, der MRTDkonform ist. Der Chip unterstützt jedoch bisher keine MRTD-Zugriffe. Auf der Karte sind keine biometrischen Merkmale gespeichert. Die BELPIC arbeitet mit zwei privaten Schlüsseln. Einer davon ist für das digitale Signieren, der andere für die Authentifizierung vorgesehen. Ein dritter Schlüssel, der zur Verschlüsselung verwendet werden soll, ist für die Zukunft geplant. Ein weiterer privater Schlüssel dient der Überprüfung der Echtheit der Karte in Form einer dynamischen Datenauthentifizierung. Zu den ersten beiden privaten Schlüsseln gibt es digitale Zertifikate, die dem X.509-Standard entsprechen. Diese werden von einer Zertifizierungsstelle ausgestellt, die von der belgischen Regierung betrieben wird. Diese Zertifizierungsstelle stellt auch Sperrlisten aus, damit gesperrte Zertifikate erkannt werden können.
14.3.3 Bewertung der BELPIC Die Belgier haben mit der BELPIC zweifellos Pionierarbeit geleistet. Die Ausgabe der elektronischen Identitätskarten startete zu einem Zeitpunkt, als kaum ein anderes Land der Erde ein vergleichbares Projekt vorweisen konnte. Wie alle E-Ausweis-Pioniere konnten die Belgier ihre Karte jedoch nicht MRTD-konform machen, da dieser Standard erst später entwickelt wurde. Die BELPIC macht eine Harmonisierung der E-Ausweis-Bemühungen in Europa daher nicht unbedingt einfacher.
14.4
Bulgarien In Bulgarien gab es bereits im Jahr 2003 ein Projekt, in dem die Machbarkeit einer elektronischen Identitätskarte untersucht wurde [Bulg04]. Diese Untersuchung hat jedoch bisher nicht zu konkreten Plänen geführt, und so wird es in Bulgarien vorläufig keine elektronische Identitätskarte geben. Den elektronischen Reisepass muss das Land nach Vorgabe der EU an die neuen Mitgliedsstaaten bis September 2009 einführen.
182
14.5 Estland Deutlich weiter fortgeschritten als die elektronische Identitätskarte ist in Bulgarien ein Konzept zur Einführung einer elektronischen Gesundheitskarte [Beau07]. 2007 fand ein entsprechender Pilotversuch statt. An der Entwicklung sind mehrere deutsche und österreichische Experten beteiligt, wodurch die bulgarische Karte sicherlich einige Gemeinsamkeiten mit der elektronischen Gesundheitskarte und der e-Card haben wird. Der erste Verwendungszweck wird die einfache Übertragung der Patientenpersonalien in den Computer des Arztes sein. Außerdem gehören elektronische Rezepte zum Konzept. In einem späteren Stadium könnte die Karte auch der Authentifizierung für Online-Anwendungen dienen. Abgesehen vom elektronischen Rezept soll die Karte jedoch keine medizinischen Daten speichern. Viel mehr ist bisher nicht über dieses Projekt bekannt.
14.5
Estland Estland führte bereits 2002 eine elektronische Identitätskarte ein. Diese wird als EstEID bezeichnet [CiAJ06]. Damit gehörte der baltische Staat zu den ersten Ländern weltweit, die ihre Identitätsausweise mit einem Chip bestückten [Horn05].
14.5.1 Hintergrund Das estnische Parlament beschloss die Einführung der EstEID im Jahr 1999. Als die Einwohner- und Migrationsbehörde Anfang 2002 die ersten Exemplare ausstellte, waren dies gleichzeitig die ersten estnischen Identitätsausweise überhaupt. Bis dahin hatten die Esten auch im Inland meist den Reisepass genutzt, um sich auszuweisen. Es gibt zwar keine Ausweispflicht in Estland, dennoch hat inzwischen nahezu jeder Bürger des Landes eine EstEID. Es ist sicherlich kein Zufall, dass der kleine Staat im Baltikum zu den E-Ausweis-Pionieren zählte. Die Nutzung von Computertechnik wird in Estland schon seit Jahren in einzigartiger Weise staatlich gefördert. So garantiert ein Gesetz den estnischen Bürgern den kostenlosen Zugang zum Internet. In nahezu allen Wohngebieten des Landes gibt es kostenlose WLAN-Zugangspunkte und öffentliche Computer-Terminals. Die Einführung eines elektro-
Abbildung 14.3: Die EstEID ist nach der finnischen FINEID die dienstälteste elektronische Identitätskarte in Europa.
183
14 Andere europäische Länder nischen Identitätsausweises war somit eine naheliegende Erweiterung der vorhandenen Infrastruktur. Wie bei einem elektronischen Identitätsausweis üblich, bedient die estnische Identitätskarte neben der Identifizierung des Inhabers auch andere Anwendungsbereiche. So kann ein Este mit der EstEID beispielsweise am eigenen PC rechtskräftige Verträge digital signieren. Der Ausweis gilt zudem als Nachweis der Krankenversicherung, wofür es in anderen Ländern häufig eigene Karten gibt. Des Weiteren dient der Ausweischip in einigen Großstädten in öffentlichen Verkehrsmitteln als Fahrkarte. Abgesehen davon ist die EstEID auch ein Reisedokument. Estnische Staatsbürger können sie anstelle eines Reisepasses verwenden, um in die übrigen EU-Länder sowie in einige weitere Staaten zu reisen. Parallel zur Ausgabe der EstEID baute der estnische Staat eine umfangreiche Infrastruktur von Server-Systemen auf und entwickelte standardisierte Datenformaten, um die Nutzung der Karte zu fördern. Dazu gehört insbesondere eine Website (www.eesti.ee), über die die estnische Regierung zahlreiche E-Government-Dienste zugänglich macht. Estland führte zudem als erster Staat der Welt die Internet-Stimmabgabe bei Wahlen ein (I-Voting). Im Oktober 2005 konnten estnische Bürger diesen Service erstmals nutzen und ihre Stimme über ein Webportal abgeben. Zusätzlich gab es in einigen Wahllokalen ComputerTerminals für diesen Zweck. In beiden Fällen diente die EstEID der Authentifizierung der Wahlberechtigten.
14.5.2 Technik Der estnische Identitätsausweis ist eine kontaktbehaftete Smartcard im ID-1-Format. Der ursprüngliche Chip war mit einem 16-Bit-Prozessor und 16 KByte EEPROM ausgestattet. Da dieser Chip vom Hersteller Sagem Orga inzwischen nicht mehr hergestellt wird, stellte man 2007 auf ein 8/16-Bit-Modell mit 68 KByte EEPROM um. Der neue Chip bietet unter anderem eine schnellere RSA-Berechnung. Das verwendete Kartenbetriebssystem ist MICARDO. Beide Chips unterstützen neben RSA das symmetrische Verschlüsselungsverfahren Triple-DES. Mit dem alten Chip wurden 1,1 Millionen Ausweise ausgestellt, was der Gesamtzahl der Bürger des Landes entspricht. Mit der EstEID führte Estland auch eine persönliche Identifikationsnummer ein, die jeder Bürger ein Leben lang behält und die auf der Karte notiert ist. Neben dieser sind auf der Vorderseite ein Passfoto, eine Unterschrift, der Name, Geburtstag, Geschlecht, Staatsangehörigkeit, eine Kartennummer und das Ende der Gültigkeit angegeben. Auf der Rückseite finden sich der Geburtsort, das Ausgabedatum und eventuelle Informationen zum Aufenthaltsstatus. Ein Teil dieser Informationen wird zusätzlich in einem MRTD-konformen maschinenlesbaren Feld wiederholt. Der Chip der Karte enthält zwei private RSA-Schlüssel mit zugehörigen Zertifikaten. Die Schlüssel sind durch jeweils eine PIN geschützt. Zusätzlich sind alle aufgedruckten Informationen auf dem Chip gespeichert. Der Chip entspricht nicht den MRTD-Vorgaben, da der MRTD-Standard zur Entstehungszeit der EstEID noch nicht existierte. Es kommt keine Biometrie zum Einsatz.
184
14.6 Finnland Die Zertifikate, die im Zusammenhang mit der EstEID genutzt werden, kommen von einer privaten Zertifizierungsstelle namens Sertifitseerimiskeskus (SK). Diese wurde 2001 von zwei großen estnischen Banken und zwei Telekommunikationsunternehmen des Landes als Joint Venture gegründet. Die Personalisierung der Karten erfolgt durch die Schweizer Firma Trüb. Neben der eigentlichen elektronischen Identitätskarte kann jeder Bürger zusätzlich eine als SIM-Karte realisierte Zusatzkarte erhalten. Diese wird als Mobiil-ID bezeichnet und ist für die Integration in ein Mobiltelefon gedacht. Dadurch lassen sich E-Government-Vorgänge und ähnliche Abläufe auch mit dem Handy erledigen.
14.5.3 Bewertung der EstEID Die estnische Identitätskarte EstEID gilt weltweit als Vorzeigeprojekt. Das baltische Land startete früh mit der Einführung eines elektronischen Identitätsausweises und konnte seinen Vorsprung bis heute halten. Die neue Karte verbreitete sich in vergleichsweise kurzer Zeit, und nach einer längeren Durststrecke haben sich inzwischen auch einige Anwendungen etabliert. Schade nur, dass die EstEID zu früh kam, um den MRTD-Standard zu beachten.
14.6
Finnland Finnland war (nach Brunei) der zweite Staat der Welt, der einen elektronischen Identitätsausweis einführte. Dieser wird als FINEID (sprich „fin-i-ai-di“) bezeichnet [Vert02]. Der Staat im Norden Europas wurde dadurch für viele andere zum Vorbild. Allerdings haben andere Länder die Finnen in Sachen E-Ausweis inzwischen überholt.
14.6.1 Hintergrund der FINEID In Finnland gibt es keine Ausweispflicht. Statt des Identitätsausweises (henkilökortti) nutzen daher viele Bürger ihren Reisepass oder Führerschein, um sich auszuweisen. Die Idee, eine Identitätskarte mit Chip auszugeben, kam in Finnland bereits Mitte der neunziger Jahre auf. Das FINEID-Projekt startete im Jahr 1998 mit einem Pilotversuch. Im Jahr darauf wurde die erste Karte als Prototyp präsentiert, woraufhin im Dezember 1999 die Ausgabe an die Bürger begann. So früh konnte (außer Brunei) kein anderer Staat der Welt ein vergleichbares Ausweisdokument vorweisen. Allerdings wollten die Verantwortlichen den Bürgern die FINEID nicht aufzwingen, und so gibt es bis heute als Alternative eine finnische Identitätskarte ohne Chip. In den ersten Jahren ging die Ausgabe der FINEID nur schleppend voran. Bis Mitte 2003 hatten gerade einmal 16.000 der 5 Millionen Finnen eine elektronische Karte erhalten, 2005 waren es 53.000. Entsprechend gering war auch das Interesse an den Anwendungen. Inzwischen ist die Zahl der FINEID-Besitzer jedoch deutlich angestiegen, und es gibt ein wachsendes Angebot an Anwendungsmöglichkeiten. So existieren inzwischen mehrere Hun-
185
14 Andere europäische Länder
Abbildung 14.4: Die FINEID war die erste europäische elektronische Identitätskarte. Inzwischen haben jedoch andere Länder die Finnen in dieser Sparte überholt.
dert Möglichkeiten, über die FINEID Online-Angebote und andere Dienste der öffentlichen Verwaltung zu nutzen. Man kann sich beispielsweise an Kartenautomaten zu jeder Tagesund Nachtzeit ummelden, ohne dass ein Gang zum Einwohnermeldeamt notwendig wäre. Alternativ geht es auch mit einem Kartenlesegerät am heimischen PC über das Internet. Im Gegensatz zu einigen anderen europäischen Ländern gab es in Finnland keinen größeren Widerstand gegen den elektronischen Ausweis. Dies könnte daran liegen, dass es keinen Zwang gibt, ein solches Dokument zu besitzen, und dass das Konzept nur wenige persönliche Daten auf den Ausweisen vorsieht.
14.6.2 Technik der FINEID Die FINEID ist eine kontaktbehaftete Smartcard in der üblichen ID-1-Größe (Kreditkartenformat). Der auf der Karte angebrachte Chip stammt von Siemens. Die EEPROM-Größe liegt bei 16 KByte, was für heutige Verhältnisse nicht besonders viel ist. Auf dem Chip werden nur der Vor- und der Nachname des Inhabers gespeichert. Daher ist über eine Chip-Abfrage beispielsweise keine Ermittlung des Geburtsdatums oder der Adresse möglich. Die Spezifikation der FINEID ist (anders als bei vielen anderen Ausweisen) über das Internet zugänglich. Sie gliedert sich in folgende Bestandteile: FINEID S1: Rahmenwerk für die eID-Anwendung auf der Smartcard FINEID S2: Zertifizierungsstellenkonzept und Inhalt der digitalen Zertifikate FINEID S4-1: Implementierungsprofil 1 der FINEID-S1-Spezifikation FINEID S4-2: Implementierungsprofil 2 der FINEID-S1-Spezifikation FINEID S5: Spezifikation des PKI-Verzeichnisdiensts Die auf die Karte gedruckten Daten sind durchnummeriert: Nachname (1), Vorname (2), Geschlecht (3), Ausweisnummer (4), Nationalität (5), Geburtsdatum (6), Sozialversicherungsnummer – diese ist nur zusammen mit dem Geburtsdatum aussagekräftig – (7), Beginn der Gültigkeitsdauer (8), Ende der Gültigkeitsdauer (9) und Unterschrift (10). Zusätzlich ist auf die Karte ein Passfoto aufgedruckt. Dieses findet sich ein zweites Mal (in verkleinerter Form) zusammen mit dem Geburtsdatum in einem Hologramm. Die Angaben
186
14.7 Frankreich auf der Karte sind zweisprachig (Finnisch und Schwedisch) notiert, da es in Finnland eine schwedisch sprechende Bevölkerungsgruppe gibt. Auf der Rückseite sind die ausstellende Dienststelle sowie eine Erklärung der durchnummerierten Einträge auf Englisch vermerkt. Der untere Teil der Rückseite enthält einen maschinenlesbaren Code nach MRTD-Standard. Hersteller der Karte ist die finnische Firma Setec, die früher als staatliche Banknotendruckerei aktiv war und inzwischen privatisiert wurde. Wie viele andere elektronische Identitätskarten dient auch die FINEID als Schlüsselspeicher innerhalb einer PKI. Auf der Karte sind zwei private Schlüssel inklusive zugehörigem Zertifikat gespeichert. Das verwendete Verfahren ist RSA, die Schlüssellänge beträgt 1.024 Bit. Der erste Schlüssel dient der Authentifizierung und Verschlüsselung, der zweite der digitalen Signatur. Es werden zwei getrennte PINs benötigt, um die Schlüssel zu nutzen. In den Zertifikaten sind der Vorname, der Familienname sowie eine eindeutige Kennung (SATU) aufgeführt. Die Kennung vermeidet Verwechslungen bei Namensgleichheiten. Die Zertifikate für die FINEID werden von mehreren Zertifizierungsstellen ausgestellt, die von der finnischen Einwohnerbehörde betrieben werden. Ursprünglich waren die einzelnen Zertifizierungsstellen nicht durch eine Wurzel-Zertifizierungsstelle verbunden und ließen zudem keine qualifizierten Signaturen nach EU-Richtlinie zu. Zum 31. März 2003 führte man komplett neugestaltete Zertifizierungsstellen ein, die nun unter einer gemeinsamen Wurzel stehen und zudem qualifizierte Zertifikate ausstellen.
14.6.3 Bewertung der FINEID Finnland war der erste größere Staat, der elektronische Identitätskarten ausgab. Inzwischen haben jedoch andere Länder Finnland in dieser Hinsicht überholt. So gibt es Staaten mit einer deutlich größeren Verbreitung der Karte innerhalb der Bevölkerung – beispielsweise Belgien und Estland. Auch die technischen Daten und das Angebot an Anwendungen ist nicht mehr Weltspitze. Dennoch liegt Finnland in der Rubrik elektronische Identitätskarte nach wie vor deutlich vor Staaten wie Deutschland, Österreich, der Schweiz, Großbritannien und den USA.
14.7
Frankreich In Frankreich gibt es derzeit zwei interessante E-Ausweis-Projekte. Dabei handelt es sich zum einen um die geplante Identitätskarte CNIE und zum anderen um die bereits im Umlauf befindliche Krankenversichertenkarte Carte Vitale. Beide Systeme werden wir im Folgenden betrachten.
14.7.1 Die elektronische Identitätskarte CNIE Wie in einigen anderen europäischen Ländern gibt es auch in Frankreich Bestrebungen, eine elektronische Identitätskarte einzuführen. Allerdings haben Proteste von unterschied-
187
14 Andere europäische Länder lichen Seiten dazu geführt, dass die Regierung die ursprünglichen E-Ausweis-Pläne erst einmal fallen gelassen hat. Derzeit wird das Thema noch einmal überdacht, und es ist ungewiss, wie und wann es in Frankreich eine elektronische Identitätskarte geben wird. 14.7.1.1 Hintergrund der CNIE Identitätsausweise gab es in Frankreich erstmals im Kriegsjahr 1940. Damals herrschte die von den Deutschen eingesetzte Vichy-Regierung, und diese machte nicht nur Ausweise zur Pflicht, sondern richtete zusätzlich auch ein zentrales Einwohnerregister ein. Diese Maßnahmen nutzte das Regime für die üblichen Verwaltungsvorgänge und organisierte damit außerdem die Deportation von Juden, deren Ausweise einen entsprechenden Vermerk enthielten. Im kollektiven Gedächtnis der Franzosen wecken Identitätsausweise daher nicht gerade positive Assoziationen. 1955 beseitigte die Regierung schließlich diese Altlast aus dem Krieg und führte einen neuen Ausweis ein. Gleichzeitig wurde das zentrale Register abgeschafft. Die französische Identitätskarte hieß nun CNI (carte nationale d’identité) und war freiwillig. Bis heute gibt es in Frankreich keine Ausweispflicht, dennoch ist die Identitätskarte weit verbreitet. 1988 wurde der bis dahin aus Papier bestehende Ausweis durch eine Kunststoffkarte im ID-2-Format ersetzt. Diese war mit zusätzlichen Sicherheitsmerkmalen versehen und wurde nun CNIS (carte nationale d’identité sécurisée) genannt. 1995 erhielten die Karten ein maschinenlesbares Feld nach MRTD-Standard. Auf der CNIS sind Name, Adresse, Geburtsdatum, Geburtsort, Körpergröße, Geschlecht sowie eine Ausweisnummer und ein Passfoto aufgedruckt. Zudem muss jeder Karteninhaber einen Fingerabdruck abgeben, der zentral (allerdings nur auf Papier) gespeichert wird. Der Zugriff auf den Fingerabdruck ist nur für bestimmte Behörden zulässig und muss von einem Richter genehmigt werden. Zusätzlich gibt es eine zentrale Datenbank, in der alle Inhalte des jeweiligen Ausweises festgehalten sind. Der Zugang zu diesen Informationen ist ebenfalls streng reglementiert. Erste Überlegungen für einen elektronischen Identitätsausweis gab es in Frankreich bereits in den achtziger Jahren. Konkret wurden diese Pläne jedoch erst durch eine Studie zu diesem Thema, die im Jahr 2001 im Auftrag des französischen Innenministeriums durchgeführt wurde. 2003 startete der damalige Innenminister Nicolas Sarkozy ein Projekt namens INES (identité nationale électronique sécurisée), das die Entwicklung eines Konzepts zum Inhalt hatte [INES05]. 2005 stellte das Ministerium die INES-Rahmendaten vor, um eine öffentliche Diskussion anzuregen. 14.7.1.2 Technik der CNIE Im Mittelpunkt von INES stand eine elektronische Identitätskarte namens CNIE. Diese sollte mit einem kontaktlosen Chip versehen sein. Die aufgedruckten Daten sollten dieselben wie bei der CNIS bleiben. Auf dem Chip sollten Informationen in den folgenden fünf Blocks gespeichert werden: Identität: Hier werden die Personalien des Inhabers vermerkt, die auch auf der Karte aufgedruckt sind. Zusätzlich finden sich hier ein digitalisiertes Foto sowie zwei Finge-
188
14.7 Frankreich rabdrücke. Alle Daten in dieser Sektion sind kryptografisch geschützt und nur für bestimmte Behörden auslesbar. Authentifizierung der Karte: Hier liegt ein privater Schlüssel. Zusammen mit einem zugehörigen Zertifikat soll dieser eine dynamische Datenauthentifizierung erlauben. Authentifizierung des Inhabers: Hier liegt ein privater Schlüssel, der zur Authentifizierung genutzt wird und beispielsweise den Zugriff auf Online-Angebote erlaubt. Digitales Signieren: Hier liegt ein weiterer privater Schlüssel. Der Inhaber kann mit diesem digital signieren. Persönlicher Bereich: Hier lassen sich weitere Angaben zum Inhaber unterbringen. Für diese Daten war eine kryptografische Absicherung geplant, also beispielsweise eine digitale Signatur zwecks statischer Datenauthentifizierung. Zusätzlich zur Karte sah das Konzept eine Datenbank vor. Diese sollte jedoch nicht zentral, sondern für jeden Bundesstaat (Department) einzeln betrieben werden. Mit seinem Bericht gab das Innenministerium auch einige Garantien für den Datenschutz ab. 14.7.1.3 Bewertung der CNIE Die elektronische Identitätskarte CNIE stieß auf heftige Kritik. Unter dem Motto „Non à INES“ formierte sich eine Organisation, in der sich Menschenrechtler, Bürgerrechtler, Juristen und weitere Personen gegen die CNIE wandten. Diese Initiative erstellte eine kritische Stellungnahme und sammelte knapp 8.000 Unterschriften für eine Petition beim französischen Parlament. Der Bericht bezweifelte, dass die Karte fälschungssicherer als der Vorgänger war und dass sie im Kampf gegen den Terrorismus hilfreich sein würde. Darüber hinaus hatten die Verfasser Bedenken bezüglich des Datenschutzes. Eine abschließende Empfehlung lautete, das Projekt aufzugeben. Die Identitätskartengegner konnten zwar zunächst nur einen kleinen Teil der Bevölkerung mobilisieren, doch die Proteste zeigten Wirkung. Die Regierung verzichtete vorläufig auf eine Umsetzung der CNIE und startete stattdessen ein Projekt, in dem ein neues Konzept entwickelt werden sollte. Seitdem ist es um die französische Identitätskarte merklich still geworden. Das neue Projekt hat bisher zu keinem konkreten Vorschlag geführt.
14.7.2 Die Carte Vitale Die französische Krankenversichertenkarte heißt Carte Vitale. Es gibt sie in zwei Versionen [Asl06]. Die ältere Version wird Carte Vitale 1 genannt, die neuere Carte Vitale 2. 14.7.2.1 Carte Vitale 1 Die Carte Vitale 1 ersetzte 1998 die bis dahin übliche Sozialversicherungskarte aus Papier. Ihre Eigenschaften sind vergleichbar mit der seit 1994 existierenden Krankenversichertenkarte in Deutschland. Es handelt sich um eine Speicherkarte mit nur 4 KByte Speicherplatz. Auf der Karte sind keine medizinischen Daten gespeichert, sondern nur die Personalien des Inhabers sowie Informationen zum Versicherungsstatus. Auf der Kartenoberfläche
189
14 Andere europäische Länder
Abbildung 14.5: Die Carte Vitale 1 ist eine Speicherkarte. Sie wird derzeit von der Carte Vitale 2 abgelöst.
ist kein Passfoto abgebildet. Zweck der Carte Vitale 1 ist es, die früher langsame, papiergebundene Abrechnung zwischen Ärzten, Versicherungen und Patienten durch eine elektronische Lösung zu vereinfachen. Für Ausübende eines Heilberufs gibt es in Frankreich einen elektronischen Heilberufsausweis, die Carte de Professionnel de Santé (CPS). Der Zugriff auf die Carte Vitale 1 ist nur mit einer CPS möglich. Für diesen Zweck gibt es spezielle Kartenterminals mit zwei Einsteckplätzen. Insgesamt sind in Frankreich etwa 55 Millionen Patientenkarten und 600.000 CPSs im Umlauf. An etwa 20.000 Computer-Terminals können die Franzosen ihre Karten aktualisieren. 14.7.2.2 Carte Vitale 2 Die Carte Vitale 2 entspricht etwa der elektronischen Gesundheitskarte in Deutschland. Im Gegensatz zur deutschen Karte ist sie jedoch bereits im Einsatz. Im Jahr 2007 begannen die ersten französischen Krankenversicherungen mit der Ausgabe. Derzeit werden die Ausgabestellen landesweit nach und nach auf die Carte Vitale 2 umgerüstet, um anschließend nur noch die neue Version auszustellen. Bis 2013 sollen alle Krankenversicherten mit einer Carte Vitale 2 versorgt sein. Auf der Karte sind die üblichen Personalien vermerkt (Name, Sozialversicherungsnummer, Ausgabedatum, Ablaufdatum und Kartennummer). Im Gegensatz zur Vorgängerin ist die Carte Vitale 2 mit einem Passfoto ausgestattet. Dies soll eine Fremdnutzung erschweren, die im französischen Gesundheitswesen durchaus als Problem gilt.
Abbildung 14.6: Die Carte Vitale 2 ist eine moderne elektronische Gesundheitskarte. Bisher werden jedoch nur wenige der möglichen Anwendungen genutzt.
190
14.8 Großbritannien Die Carte Vitale 2 ist eine kontaktbehaftete Smartcard mit 32 KByte EEPROM. Auf dem Chip ist ein biometrisch nutzbares Gesichtsbild gespeichert, was ebenfalls dem Schutz vor einer Fremdnutzung dient. Zudem lässt sich die Karte auch für das digitale Signieren und die Challenge-Response-Authentifizierung nutzen, wozu die Karte private Schlüssel bereitstellt. Diese Funktion ist jedoch bisher noch nicht aktiviert. Die Carte Vitale 2 bietet zahlreiche Anwendungsmöglichkeiten, wie man sie von anderen Gesundheitskarten kennt. Bisher werden jedoch nur wenige davon genutzt. Als erste Anwendung werden auf der Karte derzeit Notfalldaten (z. B. die Blutgruppe) vermerkt. Das elektronische Rezept ist eine weitere Anwendung. Bereits mit der Carte Vitale 1 stellten die Franzosen das Rezeptwesen auf eine zentralisierte Online-Lösung um, bei der Ärzte, Apotheker und Krankenversicherung auf dieselbe Datenbank zugreifen. Mit der Carte Vitale 2 soll dieses System verbessert und sicherer gemacht werden. Weitere Anwendungen für die nahe Zukunft sind eine elektronische Krankenakte sowie Organspendedaten auf der Karte.
14.8
Großbritannien Im Vereinigten Königreich beschloss die Regierung 2006 ein Gesetz, das einen elektronischen Identitätsausweis (Identity Card) ins Leben rief. Das Projekt befindet sich noch im Planungsstadium. Bürgerrechtler, Datenschützer und andere Gruppierungen leisten derzeit beträchtlichen Widerstand gegen die Identity Card – bisher allerdings vergeblich. Großbritannien könnte daher in den nächsten Jahren zu den Nationen mit einer elektronischen Identitätskarte gehören.
14.8.1 Hintergrund der Identity Card Die Idee zur britischen Identity Card stammt bereits aus der Regierungszeit des Konservativen John Major. Nachdem 1994 Tony Blair von der Labour-Partei das Amt des Premierministers übernommen hatte, ließ die Regierung entsprechende Pläne jedoch aus Kostengründen erst einmal auf Eis legen. Erst die Terroranschläge vom 11. September 2001 brachten wieder Bewegung in die britischen E-Ausweis-Pläne und führten 2006 schließlich zum Beschluss, diese in die Tat umzusetzen. Zuständig ist das britische Innenministerium (Home Office). Der Unmut in der Bevölkerung blieb jedoch nicht ohne Folgen, und so gibt es inzwischen auch bei den Konservativen Identity-Card-Gegner, zu denen insbesondere Oppositionsführer David Cameron zählt. Dieser wird angesichts der aktuellen Umfragewerte als nächster Premierminister gehandelt. Mehrere hochrangige Parteigenossen Camerons gelten dagegen als Befürworter der Identity Card. Einige Beteiligte berichten, dass die Labour-Regierung die Identity Card nun besonders schnell einführen will, damit es bei einem einkalkulierten Regierungswechsel im Jahr 2010 keinen Weg zurück mehr gibt. Noch im Jahr 2009 soll die Einführung erfolgen.
191
14 Andere europäische Länder Die britische Identity Card unterscheidet sich gleich in mehreren Aspekten von vergleichbaren Projekten in anderen Staaten [Whit05]. So ist nicht vorgesehen, dass Bürger die Karte für E-Government-Anwendungen nutzen. Deshalb wird die Identity Card auch keinen privaten Schlüssel für das digitale Signieren enthalten. Qualifizierte Signaturen sind damit erst recht nicht möglich. Der Einsatzzweck der britischen Identitätskarte besteht dagegen darin, den Bürger möglichst einfach identifizieren und verschiedene persönliche Daten von ihm zuverlässig ermitteln zu können. Allerdings sind die jeweiligen Daten größtenteils nicht auf der Karte selbst, sondern in einer Online-Datenbank (National Identity Register bzw. NIR) gespeichert. Im NIR soll jeder Bürger einen Eintrag erhalten, der folgende Informationen umfasst: Persönliche Informationen (personal information): Dazu gehören Name, Geburtsdatum, Adresse, frühere Wohnorte und Ähnliches. Identifizierungsinformationen (identifying information): Hier sind Passfoto, Unterschrift, Fingerabdruck und eventuell weitere biometrische Merkmale abgelegt. Aufenthaltsstatus (residential status): Zu diesen Informationen gehören die Staatsangehörigkeit und eine eventuelle Aufenthaltsgenehmigung. Kennnummern (personal reference numbers): Hier steht eine eindeutige Kennnummer des jeweiligen Bürgers. Zusätzlich können die Nummern anderer Ausweise und Dokumente aufgeführt werden. Eintragshistorie (record history): Hier stehen alte Inhalte der oben genannten Einträge. Auch das Todesdatum wird hier gegebenenfalls festgehalten. Karten- und Registrierungshistorie (registration and ID card history): Hier werden Informationen zu Anträgen, Änderungen oder Sperrungen festgehalten, die im Zusammenhang mit der Karte gemacht wurden. Überprüfungsinformationen (validation information): Dies sind Informationen, die zur Überprüfung der Zuverlässigkeit des Eintrags verwendet werden können. Sicherheitsinformationen (security information): Hier stehen Informationen wie ein Passwort oder eine PIN, die zum Zugriff auf die jeweiligen Informationen benötigt werden. Logdaten (records of provision of information): Dies sind Logdaten, die angeben, wer wann auf die Daten zugegriffen hat. Der Zugriff auf das NIR ist natürlich eingeschränkt. Jeder Bürger soll mithilfe seiner Identity Card über eine Online-Verbindung auf das NIR zugreifen und seine Daten einsehen können. Änderungen im NIR-Eintrag sind dagegen nur für die zuständigen Behörden möglich. Die Polizei und andere staatliche Einrichtungen sollen nur in genau definierten Fällen Zugang erhalten. In der Regel muss der jeweilige Bürger für einen Zugriff auf seinen NIREintrag sein Einverständnis geben, indem er seine Karte bereitstellt und die PIN eingibt. Auch private Organisationen sollen diesen Dienst nutzen können. Wenn ein Bürger beispielsweise auf einer Bank ein Konto eröffnen will, dann könnte die Bank zuvor auf diese Weise dessen Personalien überprüfen. Ähnliche Anwendungen sind beispielsweise beim Abschluss eines Mietvertrags oder bei Vereinbarung einer Ratenzahlung möglich. Das bri-
192
14.8 Großbritannien tische Innenministerium will für diesen Service Gebühren verlangen, die für zusätzliche Staatseinnahmen sorgen sollen. Während die Identity Card noch nicht ausgegeben ist, hat der Aufbau des NIR bereits begonnen. Einige Reisepassausgabestellen stellen Bürgern, die einen neuen Pass beantragen, eine Reihe von Fragen, deren Antwort in das NIR eingehen. Biometrische Daten werden bisher jedoch nicht erhoben.
14.8.2 Technik der Identity Card Über die Technik der Identity Card ist bisher erstaunlich wenig bekannt. Vieles ist noch im Fluss, und angesichts des beträchtlichen Widerstands hält das britische Innenministerium viele Details geheim. Insbesondere gibt es bisher keine öffentlich zugängliche Spezifikation. Es ist nicht einmal bekannt, wie die Identity Card aussehen wird. Aus den bisher veröffentlichten Dokumenten ist immerhin ersichtlich, dass die britische Identity Card eine kontaktbehaftete Smartcard sein wird (ID-1-Format). Die Karte wird einen privaten Schlüssel (vermutlich einen RSA-Schlüssel) enthalten, der nur mit einer PIN nutzbar ist. Der private Schlüssel dient der Authentifizierung und der Verschlüsselung bei der Kommunikation mit dem NIR. Auf die Karte werden Personalien aufgedruckt sein, allerdings nicht die Kennnummer des Bürgers. Die Funktionsweise dürfte in einigen Punkten den Vorgaben des MRTD-Standards entsprechen, da die Karte innerhalb der EU und einigen anderen Staaten auch als Reisepassersatz nutzbar sein soll. Darüber hinaus ist zu hoffen, dass die Identity Card die Anforderungen einer European Citizen Card erfüllen wird. Eine wichtige Rolle wird voraussichtlich die Biometrie spielen. Das NIR sieht ausdrücklich das Speichern biometrischer Daten vor. Da eine Ausweisprüfung bei der Identity Card in vielen Fällen eine Online-Abfrage erfordern wird, könnten bei diesem Vorgang mehrere Merkmale zur Verfügung stehen, die eine eindeutige Identifizierung erlauben.
14.8.3 Bewertung der Identity Card In Großbritannien gibt es mehr Widerstand gegen die Identity Card als in irgendeinem anderen Land gegen ein vergleichbares Ausweisprojekt. Nachdem die Idee eines elektronischen Identitätsausweises nach den Terroranschlägen von 2001 konkret wurde, bildete sich schnell eine beträchtliche Szene von Einzelpersonen und Organisationen, die gegen diese Pläne opponierten. In diesem Zusammenhang gründeten sich mehrere Gruppierungen, die sich dem Widerstand gegen die Identity Card widmeten. Zusätzlich entstand mit Defy-ID eine Organisation, die sich als Dach der verschiedenen Gruppen und Personen verstand. Aus dem ursprünglich recht zersplitterten Anti-Identity-Card-Spektrum hat sich inzwischen eine Organisation namens NO2ID gegenüber den anderen durchgesetzt und gilt daher momentan als Lobby-Organisation der Identity-Card-Gegner. NO2ID existiert seit 2004 als offizielle Organisation. Die Mitgliederzahl liegt inzwischen bei über 40.000. NO2ID war in den letzten Jahren äußerst aktiv. Die Organisation setzt unter anderem auf ein möglichst großes Netz lokaler Gruppen, die an den neu eingerichteten Befragungsstel-
193
14 Andere europäische Länder len aktiv werden sollen. Seit 2006 gibt es zudem eine NO2ID-Jugendsektion mit dem Namen „Youth Against ID“. Nicht zuletzt aufgrund solcher Aktivitäten ist der Rückhalt für die Identity Card in der Bevölkerung in den letzten Jahren deutlich zurückgegangen. Die Ablehnung der zentralen Datenbank ist dabei deutlich größer als der Widerstand gegen die Ausweise an sich. Mehrere Prominente unterstützen NO2ID, darunter auch die beiden Mitglieder der international bekannten Popband Pet Shop Boys. Die Ablehnung der Identity Card kommt aus praktisch allen politischen Lagern. Sowohl Abgeordnete der Labour-Partei als auch der Konservativen und der Liberalen bekennen sich zu NO2ID. Da es jedoch in den beiden großen Parteien (Labour und Konservative) auch zahlreiche Unterstützer der Identity Card gibt, steht das Projekt bisher noch nicht vor dem Aus. Eine interessante Frage lautet, warum gerade die Briten einen solchen Widerstand leisten. Folgende Gründe werden meist angeführt: Da das britische Projekt eine zentrale Datenbank beinhaltet, ist die Beeinträchtigung der Informationsfreiheit deutlich größer als in anderen Ländern. In Großbritannien gibt es eine lange Tradition von Bürgerinitiativen gegen staatliche Projekte. Identitätsausweise sind den Briten generell suspekt. Sie erinnern die Bürger an Kriegszeiten und wecken Assoziationen mit dem Großen Bruder. Bis zu den Wahlen 2010 scheint der Bestand des Projekts gesichert. Was danach passiert, hängt zum einen vom Wahlergebnis und zum anderen vom weiteren Verlauf des Vorhabens bis dahin ab. Eine Einstellung der Identity Card wäre für mehrere Behörden und Industriezweige sicherlich eine herbe Enttäuschung, die sich auch international auswirken würde.
14.9
Italien In Italien gibt es sowohl elektronische Identitätskarten als auch elektronische Gesundheitskarten. Erstere werden bisher kaum genutzt, Letztere sind bisher nur regional in Verwendung.
14.9.1 Elektronische Identitätskarte Die elektronische Identitätskarte Italiens heißt Carta d’Identità Elettronica (CIE). Es gibt sie bereits seit einigen Jahren, doch sie ist bisher kaum sinnvoll nutzbar und wird deshalb nur in geringem Maße angenommen. 14.9.1.1 Hintergrund der CIE In Italien gilt Ausweispflicht ab dem 18. Lebensjahr. Da der bisherige Identitätsausweis noch aus Papier besteht, kam schon früh die Idee auf, bei der Umstellung auf eine moder-
194
14.9 Italien nere Form gleich einen Chip aufzubringen. 2005 beschloss das italienische Parlament ein entsprechendes Gesetz, das eine Einführung der CIE für das Jahr 2006 vorsah. Tatsächlich werden seit 2006 CIEs ausgegeben – auf freiwilliger Basis und nur von Ausgabestellen mit einer geeigneten technischen Ausrüstung. Allerdings gibt es von diesen Ausgabestellen bisher nur sehr wenige. Auch die sonstige Infrastruktur für die Nutzung der CIE steckt noch in den Kinderschuhen, und der Staat betreibt kaum Öffentlichkeitsarbeit. Diese Misere, die vor allem auf Budgetprobleme zurückzuführen ist, hat dazu geführt, dass die CIE bisher keine nennenswerte Verbreitung gefunden hat.
Abbildung 14.7: Für die italienische elektronische Identitätskarte gibt es bisher kaum Anwendungen.
14.9.1.2 Technik der CIE Die CIE ist eine kontaktbehaftete Smartcard mit einem EEPROM von 64 KByte. Eine Besonderheit der Karte ist ein optischer Speicherstreifen auf der Rückseite, auf dem sich 1,8 Megabyte an Daten speichern lassen. Dieser wird jedoch vorläufig nicht zum Speichern verwendet. Stattdessen sollen die physikalischen Sicherheitsmerkmale dieses Streifens die Fälschungssicherheit erhöhen. Auf der Vorderseite der CIE befinden sich neben einem Passfoto durchnummeriert die ausstellende Kommune (1), der Nachname (2), der Vorname (3), Geburtsort (4), Geburtsdatum (5), Geschlecht (6), ein Code für das Personenregister im Geburtsort (7), Größe und (8) Geburtsort. Der untere Teil der Vorderseite ist nach MRTD-Standard maschinenlesbar gestaltet. Auf der Rückseite sind weitere Angaben sowie der Chip und der Speicherstreifen angebracht. Die CIE lässt sich zum digitalen Signieren sowie zum Authentifizieren nutzen. Die dazu notwendige Infrastruktur existiert jedoch noch nicht. Um dennoch eine Echtheitsprüfung der Karte zu erlauben, werden möglicherweise demnächst als vorübergehende Alternative Fingerabdruck-Referenzmuster auf dem Chip gespeichert. Unabhängig davon ist es möglich, medizinische Notfalldaten auf die Karte zu bringen. Auch dafür müssen jedoch zunächst die technischen Voraussetzungen geschaffen werden.
195
14 Andere europäische Länder 14.9.1.3 Bewertung der CIE Die italienische elektronische Identitätskarte ist bisher ein Flop. Da nahezu die komplette Infrastruktur zur Nutzung einer solchen Karte fehlt und kaum Karten im Umlauf sind, hat der aktuelle Status eher den Charakter einer Vorbereitungsphase.
14.9.2 Elektronische Gesundheitskarten in Italien In Italien gibt es mehrere regionale Gesundheitskarten-Systeme [Asl06]. Als Vorzeigeprojekt gilt die CRS-SISS (Carta Regionale Dei Servizi – Sistema Informativo Socio Sanitario) der Lombardei. Dabei handelt es sich um eine kontaktbehaftete Smartcard, die ab 2005 an etwa 9 Millionen Bürger ausgegeben wurde. An der Umsetzung sind die Firmen Siemens und Telecom Italia beteiligt. Die Karte speichert neben Personalien auch medizinische Daten auf dem Chip. Zudem gibt es Online-Anwendungen, zu denen unter anderem ein elektronisches Rezept gehört. Es gibt auch einen Heilberufsausweis, der als Carta SISS bezeichnet wird.
Abbildung 14.8: Die CRS-SISS ist eine von mehreren regionalen elektronischen Gesundheitskarten in Italien.
14.10 Kroatien Der kroatische Identitätsausweis heißt Osobna iskaznica. Er hat ID-1-Format und wird von der Polizei (diese untersteht dem Innenministerium) ausgegeben. Die Karte wird für Personen ab 14 Jahren ausgestellt. Ab dem 16. Lebensjahr gilt Ausweispflicht. Angeblich plant Kroatien eine elektronische Identitätskarte, die ab 2011 ausgegeben werden soll [PARC08]. Details sind bisher nicht bekannt.
196
14.11 Liechtenstein
14.11 Liechtenstein Der Kleinstaat zwischen der Schweiz und Österreich stellt seine eigenen Ausweisdokumente aus. Von einer elektronischen Identitätskarte oder einer elektronischen Gesundheitskarte ist bisher nicht die Rede. Als Visa-Waiver-Staat musste das Land jedoch bis zum 26. Oktober 2006 einen MRTD-Reisepass einführen, was es auch fristgerecht tat [HaWa08]. Als bevölkerungsarmes Land hatte Liechtenstein wenig Raum für Experimente und hielt sich deshalb möglichst eng an die MRTD-Spezifikation. Die Herstellung übernahm die Österreichische Staatsdruckerei (OeST). Das Einführungsprojekt verlief ohne größere Verzögerungen, es gab so gut wie keinen Widerstand in der Bevölkerung. Immerhin zeigten die Liechtensteiner ein Herz für Grenzkontrolleure: Da viele von diesen nur äußerst selten mit Liechtensteiner Bürgern in Kontakt kommen und daher nicht wissen, wo das Land liegt, enthält der neue Reisepass eine Karte, auf der die Lage des Staats erkennbar ist.
14.12 Litauen In Litauen gibt es ein Projekt zur Einführung einer elektronischen Identitätskarte. Leider war bei Redaktionsschluss dieses Buchs zu diesem Thema nur wenig öffentlich bekannt. Identitätsausweise wurden in Litauen bereits 1915 von den damaligen deutschen Besatzern eingeführt [Paul04]. Nach der Unabhängigkeit des Landes im Jahr 1918 gab die Regierung neue Ausweise aus. 1919 erhielten alle Bürger ab 17 Jahren ein entsprechendes Dokument. Nach dem Zweiten Weltkrieg übernahm die Sowjetunion die Herrschaft in Litauen und führte anschließend sowjetische Ausweisdokumente ein. In dieser Zeit existierte zudem eine Schattenregierung im Ausland, die ebenfalls Ausweise ausgab, ohne jedoch große Beachtung zu finden. Erst nach der erneuten Unabhängigkeit im Jahr 1991 stellte Litauen wieder international anerkannte Identitätsausweise aus. Dabei handelte es sich zunächst um vergleichsweise primitive Dokumente, die häufig gefälscht wurden. Erst 2002 führte die Regierung neue Ausweise ein, die nun dem Stand der Technik entsprachen, jedoch noch nicht mit einem Chip ausgestattet waren. Die dritte Generation der litauischen Identitätsausweise, die gerade in der Planung ist, soll dagegen elektronisch realisiert werden. Es ist bereits möglich, ein derartiges Dokument zu beantragen. Der Ausgabebeginn war ursprünglich für den Januar 2009 geplant, verschob sich jedoch. Die litauische Identitätskarte soll sowohl kontaktlos als auch kontaktbehaftet ansprechbar sein, wobei die kontaktlose Schnittstelle offensichtlich dem MRTD-Standard entsprechen und daher biometrische Merkmale speichern soll. Leider ist über die litauische elektronische Identitätskarte bisher noch zu wenig bekannt, um eine Beurteilung abgeben zu können. Nachdem das nicht weit entfernt gelegene Estland seit einigen Jahren ein erfolgreiches E-Identitätsausweis-Projekt am Laufen hat, bleibt zu hoffen, dass die Litauer diesem Beispiel folgen.
197
14 Andere europäische Länder
14.13 Montenegro Der kleine Staat Montenegro ist erst seit 2006 unabhängig. Zuvor gehörte das 620.000Einwohner-Land zu Serbien. Als Serbien 2008 die ersten elektronischen Identitätsausweise ausgab, soll auch Montenegro ein ähnliches Dokument eingeführt haben [PARC08]. Details über dieses Ausweissystem sind bisher nicht öffentlich bekannt. An der Entwicklung des montenegrinischen Identitätsausweises waren offensichtlich serbische Experten und Unternehmen beteiligt. Da sich die Serben über ihr Ausweissystem äußerst bedeckt halten, wird man wohl auch über die montenegrinische elektronische Identitätskarte nicht allzu viel an technischen Details erfahren.
14.14 Niederlande In den Niederlanden gilt seit 2005 Ausweispflicht (für Personen ab 14 Jahren). Diese Pflicht ist durch eine Identitätskarte (Identiteitskaart), einen Reisepass oder einen Führerschein erfüllt. Man muss das jeweilige Dokument nicht ständig bei sich tragen. Die niederländische Identitätskarte hat ID-1-Format, ist jedoch bisher nicht mit einem Chip bestückt. Schon für das Jahr 2006 war eine elektronische Identitätskarte geplant, die nach MRTDVorgaben kontaktlos ansprechbar sein und biometrische Daten speichern sollte. Diese Pläne liegen jedoch derzeit auf Eis.
14.15 Polen In Polen gilt Ausweispflicht ab dem 18. Lebensjahr. Die aktuelle polnische Identitätskarte hat ID-1-Format, ist jedoch noch nicht mit einem Chip ausgestattet. Dies könnte sich in den nächsten Jahren ändern, denn es gibt Pläne für einen elektronischen Identitätsausweis [BaBa08]. Konkrete Details sind bisher nicht bekannt. Klar ist jedoch, dass die neue Karte in verschiedenen Bereichen einsetzbar sein soll, beispielsweise für Bankgeschäfte, im Gesundheitswesen und für Steuerzwecke. Darüber hinaus soll sie auch als Reisedokument nutzbar sein. Diskutiert wird derzeit ein Chip, der sowohl kontaktbehaftet als auch kontaktlos ansprechbar ist. Die Größe des EEPROM könnte bei 256 KByte liegen. Auf dem Chip sollen auch biometrische Daten gespeichert werden, darüber hinaus soll die Karte in der üblichen Form für digitale Signaturen und für eine Online-Authentifizierung nutzbar sein. Die Pläne der Polen klingen durchaus ambitioniert, stecken jedoch noch in einem frühen Stadium. Man darf also gespannt sein.
198
14.16 Portugal
Abbildung 14.9: Der polnische Identitätsausweis ist bisher noch nicht mit einem Chip ausgestattet. Dies soll sich jedoch ändern.
14.16 Portugal Seit dem Jahr 2007 gehört auch Portugal zu den Staaten, die elektronische Identitätskarten ausgeben. Das 10,5-Millionen-Einwohner-Land schließt damit zum Nachbarn Spanien auf, der diesen Schritt bereits 2006 vollzogen hat. Die portugiesische elektronische Identitätskarte heißt Cartão de cidadão (Bürgerkarte).
14.16.1 Hintergrund der Cartão de cidadão Identitätsausweise gibt es in Portugal seit Beginn des 20. Jahrhunderts. Als zusätzliche Dokumente sind dort eine Steuerkarte, eine Sozialversicherungskarte, eine Wählerkarte und eine Krankenversichertenkarte üblich. Der bisher verwendete Identitätsausweis der Portugiesen heißt Bilhete de identidade (BI). Die Größe der BI entspricht dem ID-2-Format, ist also so groß wie ein deutscher Personalausweis. Seit dem Jahr 2001 gilt in Portugal Ausweispflicht (für Personen ab 10 Jahren). Es ist jedoch nicht vorgeschrieben, das Dokument ständig bei sich zu tragen. Die BI trägt nicht nur ein Passfoto, sondern zusätzlich auch den Fingerabdruck des rechten Zeigefingers. 2001 beschloss die portugiesische Regierung eine Empfehlung für die Einführung einer elektronischen Identitätskarte. Anschließend wurde eine Arbeitsgruppe gegründet, die Details zu diesem Plan entwarf. Es folgte eine prototypische Implementierung (Proof of Concept) der wichtigsten Ideen unter dem Projektnamen Pegasus. Nach dem Abschluss des
199
14 Andere europäische Länder
Abbildung 14.10: Die portugiesische elektronische Identitätskarte heißt Cartão de cidadão. Sie wird seit 2007 ausgegeben.
Proof of Concept im Jahr 2006 führte ein einstimmiger Parlamentsbeschluss zur Umsetzung der Pläne. 2007 wurden auf den Azoren die ersten Karten ausgegeben. Bis 2012 sollen alle Bürger Portugals mit einer Cartão de cidadão versorgt sein. Die Cartão de cidadão dient sowohl als Identitätsdokument als auch als Reisepassersatz innerhalb der Schengen-Staaten. Es gibt die Karte schon für Kinder ab sechs Jahren. Für Portugiesen und Ausländer existieren unterschiedliche Ausführungen der Cartão de cidadão, wobei in der Ausländervariante zwischen Personen aus Brasilien und Personen aus anderen Staaten unterschieden wird. Die Cartão de cidadão ersetzt gleich mehrere bisherige Ausweise. Neben der Identitätskarte BI werden durch die Cartão de cidadão auch die Steuerkarte, die Sozialversicherungskarte, die Wählerkarte und die Krankenversichertenkarte obsolet (alle genannten Dokumente sind nicht elektronisch realisiert). Es gibt vier unterschiedliche nationale Personenregister, aus denen die Daten für die Karte genommen werden. Diese Register werden von der Ausweisbehörde, von der Finanzbehörde, vom Gesundheitsministerium und von der Sozialversicherung betrieben. Es ist aus datenschutzrechtlichen Gründen nicht geplant, diese Register zusammenzulegen. Stattdessen sieht der Produktionsprozess vor, dass Informationen aus allen Registern zusammengetragen werden. Die Cartão de cidadão ist Teil des Bestrebens, die portugiesischen Behörden bürgernäher und effektiver zu gestalten. Dementsprechend entsteht in Portugal seit einigen Jahren ein umfangreiches Angebot an E-Government-Angeboten. Unter anderem können die Portugiesen ihre Steuererklärungen mit der Cartão de cidadão online abgeben, sich für ein Studium an einer Universität bewerben und Arbeitslosengeld beantragen. Zudem ist es in Portugal möglich, eine Firma zu gründen, ohne dabei eine Behörde aufzusuchen. Stattdessen erfolgen die gesamten Formalien online. Die Anzahl der Unternehmen, die auf diese Weise gegründet wurde, liegt inzwischen bei über 1.000.
14.16.2 Technik der Cartão de cidadão Die Cartão de cidadão ist eine kontaktbehaftete Smartcard. Sie ist mithilfe der Java-CardTechnologie realisiert, hat 64 KByte EEPROM und einen 16-Bit-Mikrocontroller (Infineon SLE66CX322P) sowie einen kryptografischen Koprozessor für RSA und DES. Auf der Karte sind vier Nummern aufgedruckt, was auf die vier unterschiedlichen Personenregister
200
14.17 Schweden zurückzuführen ist. Bei diesen Nummern handelt es sich um die ID-Nummer, die Steuernummer, die Krankenversicherungsnummer und die Sozialversicherungsnummer. Auf der Vorderseite der Karte sind Geschlecht, Name, Größe, Geburtsdatum und Gültigkeitsdauer vermerkt, außerdem sind dort eine Unterschrift und ein Foto abgebildet. Der Chip befindet sich auf der Rückseite, wo zusätzlich eine maschinenlesbare Zone nach MRTD-Standard aufgebracht ist. Auf dem Chip sind die aufgedruckten Daten enthalten. Interessant ist, dass die Cartão de cidadão die Abfrage eines Fingerabdrucks als PIN-Ersatz unterstützt (Match-on-Card). Andere elektronische Ausweise speichern zwar ebenfalls biometrische Daten, jedoch meist nicht zum Freischalten der Karte, sondern lediglich für die Ausweisprüfung durch eine befugte Person. Als Alternative zum Fingerabdruck steht jedoch stets auch eine PIN zur Verfügung. Auf der Karte sind zunächst zwei private Schlüssel untergebracht. Der eine dient dem digitalen Signieren (qualifizierte Signatur), der andere der Authentifizierung. Auch die zugehörigen Zertifikate sind auf der Karte gespeichert. Zudem gibt es einen dritten privaten Schlüssel, der für die dynamische Datenauthentifizierung verwendet wird und für den kein Zertifikat existiert (seine Echtheit wird durch eine statische Datenauthentifizierung gewährleistet). Zusätzlich speichert die Karte einen öffentlichen Schlüssel für die Prüfung von CV-Zertifikaten, mit deren Hilfe ein Zugriff auf die Karte möglich ist.
14.16.3 Bewertung der Cartão de cidadão Die Cartão de cidadão wirkt (wie auch die spanische DNIe) zwar nicht besonders spektakulär, folgt jedoch einem soliden Konzept. Die Verwendung von Match-on-Card ist ein Novum in Europa, die Verwendung von vier unterschiedlichen Nummern auf einer Karte allerdings auch. Für eine genauere Beurteilung sollte man noch ein paar Jahre abwarten.
14.17 Schweden Das Ausweiswesen in Schweden weist einige Besonderheiten auf. So gesehen ist es kein Wunder, dass sich auch die 2005 eingeführte elektronische Identitätskarte des Landes von vergleichbaren Dokumenten in anderen Ländern unterscheidet.
14.17.1 Hintergrund der nationellt id-kort Bis 2005 gehörte Schweden zu den Staaten ohne Identitätsausweis. Es gab jedoch Ausweiskarten, die von Banken oder der Post ausgestellt wurden und die einem von der schwedischen Normierungsorganisation SIS vorgegebenen Standard entsprachen. Diese Karten entwickelten sich zu einem De-facto-Identitätsausweis, der teilweise auch beim Grenzübertritt anerkannt wird. Auch Ausländer können einen solchen Bankausweis erhalten, in vielen Fällen benötigen sie ihn sogar. Anstatt die SIS-Karte zu nutzen, ist es in Schweden auch möglich, sich mit dem Führerschein auszuweisen.
201
14 Andere europäische Länder
Abbildung 14.11: Die schwedische elektronische Identitätskarte konkurriert mit der privaten BankID.
Seit dem Jahr 2003 gibt es die SIS-Karten auch mit einem elektronischen Chip inklusive PKI-Unterstützung. Das entsprechende Dokument wird als BankID bezeichnet [Tess08]. Hinter der BankID steckt ein speziell für diesen Zweck gegründetes Bankenkonsortium. Die Ausgabe erfolgt hauptsächlich über Bankfilialen. Die BankID hat in Schweden inzwischen eine ähnliche Stellung wie in anderen Ländern eine elektronische Identitätskarte. Die Zahl der ausgegebenen Karten liegt bei über 1,5 Millionen (Schweden hat 7,3 Millionen erwachsene Einwohner), und die Akzeptanz ist hoch. Mehr als 100 Organisationen bieten Dienste an, die mit der BankID nutzbar sind, darunter auch viele Behörden. Beispielsweise kann ein schwedischer Bürger seine BankID für eine elektronische Steuererklärung nutzen. Trotz der weiten Verbreitung der BankID wollte die schwedische Regierung nicht auf eine elektronische Identitätskarte verzichten und hat daher inzwischen eine solche eingeführt – jedoch ohne dies an die große Glocke zu hängen. Die Karte wird als „nationellt id-kort“ bezeichnet und ist seit Oktober 2005 in schwedischen Polizeistationen erhältlich. Bisher wird sie nur an schwedische Staatsbürger ausgegeben, was sich jedoch ändern soll. Die nationellt id-kort gilt auch als Reisedokument in den Schengen-Staaten. Die neu eingeführten Karten werden erwartungsgemäß nur sehr zögerlich angenommen, da für sie bislang keinerlei Öffentlichkeitsarbeit gemacht wurde und es kaum Anwendungen gibt. Daher waren Ende 2007 gerade einmal 100.000 Exemplare im Umlauf.
14.17.2 Technik der nationellt id-kort Die nationellt id-kort ist eine Dual-Interface-Karte im ID-1-Format. Sie ist also sowohl kontaktlos als auch kontaktbehaftet ansprechbar. Die kontaktlose Schnittstelle ermöglicht eine Abfrage gemäß dem MRTD-Standard und ist für die Nutzung als Reisedokument gedacht. Es ist jedoch bisher keine Biometrie im Einsatz. Die kontaktlose Abfrage des Chips erfolgt über Basic Access Control. Über die kontaktbehaftete Schnittstelle kann der Inhaber zukünftig Zusatzfunktionen wie digitales Signieren und Authentifizieren mit privatem Schlüssel nutzen, doch dies wird bisher noch nicht umgesetzt. Auf der Kartenvorderseite sind der Name des Inhabers, eine Kartennummer, eine Personennummer, die Körpergröße, das Geburtsdatum, die ausgebende Behörde, das Ausgabe-
202
14.18 Serbien datum und das Ablaufdatum vermerkt. Die Karte trägt eine Unterschrift und ein Passfoto. Die Chipkontaktfläche ist ebenfalls auf der Vorderseite angebracht. Auf der Rückseite findet sich eine maschinenlesbare Zone nach MRTD-Standard.
14.17.3 Bewertung der nationellt id-kort Die schwedische elektronische Identitätskarte ermöglicht zwar MRTD-konforme Abfragen, bietet jedoch ansonsten bisher keine Anwendungen. Die nationellt id-kort ist daher derzeit nicht mit einem vollwertigen elektronischen Ausweis zu vergleichen. Dies kann sich jedoch in den kommenden Jahren ändern. Da der entsprechende Chip bereits vorhanden ist, ist eine Umstellung schnell möglich.
14.18 Serbien Die serbische Identitätskarte heißt Lična karta. Personen ab zehn Jahren können sich eine solche ausstellen lassen. Ab dem 16. Lebensjahr gilt Ausweispflicht, wobei der Inhaber sein Dokument stets bei sich tragen muss. 2006 beschloss das serbische Parlament die Einführung einer elektronischen Identitätskarte, die auch Fingerabdruckreferenzmuster speichern sollte. Gegen dieses Vorhaben gab es erhebliche Proteste, wobei insbesondere die Nutzung der Biometrie heftig kritisiert wurde [Pavi07]. Dies zwang die serbische Regierung dazu, die Fingerabdruckreferenzmuster zu einem freiwilligen Bestandteil des E-Ausweises zu machen. Seit 2008 werden in Serbien elektronische Identitätskarten ausgegeben, die jedoch bisher nur die auf die Karte gedruckten Informationen speichern [PARC08]. Die Einführung weiterer Nutzungsmöglichkeiten ist für die nahe Zukunft geplant. Es gibt in Serbien bereits eine seit Jahren eingeführte Public-Key-Infrastruktur, die sich auch für die elektronische Identitätskarte nutzen lässt. Das digitale Signieren und das Authentifizieren mit privatem Schlüssel dürfte daher mit vergleichsweise wenig Aufwand umsetzbar sein. Auch die geplante Biometrienutzung, die angesichts der Proteste freiwillig sein wird, ist bisher noch nicht umgesetzt.
Abbildung 14.12: Die serbische elektronische Identitätskarte wird seit 2008 ausgegeben.
203
14 Andere europäische Länder Die alten Identitätskarten Serbiens verlieren mit der Einführung der neuen ihre Gültigkeit nicht. Die neue Karte wird nur für Bürger ausgestellt, die ohnehin eine neue Karte beantragen (weil die alte ausläuft oder unbrauchbar ist). Der Bürger kann sich hierbei entscheiden, ob er eine Karte mit oder ohne Chip haben möchte. Immerhin etwa 70 Prozent der Bürger entscheiden sich für die Chipversion. Bei der Umsetzung ihrer elektronischen Identitätskarte setzten die Serben fast ausschließlich auf Technik aus dem eigenen Land. Die benötigten Softwarekomponenten wurden von serbischen Unternehmen entwickelt, auch bei der Hardware bezog man nur das Notwendigste aus dem Ausland. Leider betrachten die serbischen Behörden die technischen Details ihres elektronischen Identitätsausweises als Staatsgeheimnis. Daher ist kaum etwas darüber bekannt.
14.19 Slowakei Der slowakische Identitätsausweis hat bereits ID-1-Format, ist jedoch noch nicht mit einem Chip ausgestattet. In den nächsten Jahren soll es jedoch einen elektronischen Identitätsausweis geben. Es wird sich dabei voraussichtlich um eine kontaktbehaftete Smartcard handeln, die PKI-Funktionen unterstützt. Wahrscheinlich wird das Dokument dem ECCStandard entsprechen. Es ist noch unklar, ob Biometrie unterstützt wird.
Abbildung 14.13: Die slowakische Identitätskarte ist noch nicht mit einem Chip ausgestattet, was sich jedoch ändern soll.
14.20 Slowenien Das kleine Land Slowenien, das 2004 der EU beitrat, hat gleich mehrere interessante E-Ausweis-Projekte zu bieten. Insbesondere war die ehemalige Teilrepublik Jugoslawiens die erste Nation weltweit, in der die gesamte Bevölkerung eine elektronische Krankenversichertenkarte mit Mikrocontroller (also eine Smartcard) besaß. Darüber hinaus sind der slowenische elektronische Dienstausweis sowie die slowenische elektronische Identitätskarte zu beachten.
204
14.20 Slowenien
14.20.1 Die slowenische Health Insurance Card (HIC) Nach der Unabhängigkeit im Jahr 1991 stand die slowenische Regierung vor der Aufgabe, ein eigenständiges Gesundheitswesen aufzubauen. Sie entschied sich für ein System, das einen staatlichen Krankenversicherer (HIIS) vorsieht, bei dem jeder Bürger Sloweniens versichert ist. Zusätzlich zur HIIS, die nur die notwendigste medizinische Versorgung abdeckt, gibt es mehrere freiwillige Krankenversicherungen, die verschiedene Zusatzleistungen anbieten. Fast die gesamte Bevölkerung hat eine solche Zusatzversicherung abgeschlossen. Die slowenische Regierung setzte beim Aufbau des neuen Gesundheitswesens von Anfang an auf den Einsatz moderner Computertechnik. Vor diesem Hintergrund verwundert es nicht, dass die HIIS schon früh eine elektronische Krankenversichertenkarte auf Smartcard-Basis einsetzte. Diese Karte wird international meist schlicht als HIC (Health Insurance Card) bezeichnet. Um sie von anderen Karten abzugrenzen, werde ich den Begriff slowenische HIC verwenden [Asl06, Žlen08]. Die slowenische HIC ersetzte ein bis dahin verwendetes Papierdokument. 14.20.1.1 Hintergrund der slowenischen HIC Das Projekt zur Einführung der Krankenversichertenkarte in Slowenien begann 1995. 1998 erfolgte ein erfolgreiches Pilotprojekt mit 70.000 Teilnehmern. Im Jahr 2000 begann das HIIS mit der Ausgabe der slowenischen HIC an alle Bürger des Landes. Dieser Vorgang war 2001 abgeschlossen, wodurch heute 2 Millionen Karten im Umlauf sind. Zusätzlich zur slowenischen HIC gibt es einen Heilberufsausweis, der als HPC (Health Professional Card) bezeichnet wird (ich werde den Begriff slowenischer HPC verwenden). Vom slowenischen HPC sind über 20.000 Exemplare im Umlauf, wobei es 14 unterschiedliche Varianten gibt – für nahezu jede Tätigkeit im slowenischen Gesundheitswesen eine eigene. In der ersten Betriebsphase speicherte die slowenische HIC nur administrative Daten. Dazu gehörten die Personalien des Inhabers sowie einige Informationen zu dessen gesetzlicher Krankenversicherung und zu eventuellen freiwilligen Zusatzpolicen. Außerdem wurde der Hausarzt vermerkt. Ab 2003 kamen in mehreren Schritten weitere Karteninhalte dazu. Hierzu gehörten die Ausgabe technischer medizinischer Hilfen, die Bereitschaft zur Organspende und die Ausgabe von Medikamenten. Die Speicherung von privaten Schlüsseln für eine PKI sah die slowenische HIC in der ersten Generation nicht vor. Es gab auch keine PIN. Derzeit ist jedoch eine Änderung im Gange. Im Jahr 2005 startete die Regierung das Projekt eHealth 2010, in dessen Verlauf die Entwicklung einer neuen HIC-Variante angestoßen wurde. Deren Spezifikation ist inzwischen abgeschlossen. Im Oktober 2008 wurden die ersten Exemplare ausgegeben. Die neue slowenische HIC unterstützt auch asymmetrische Krypto-Verfahren, was den Aufbau einer zugehörigen PKI notwendig machte. Die Einführung der neuen slowenischen HIC erfolgt, indem bei ohnehin notwendigen Neuausstellungen nur noch neue Karten ausgegeben werden. Die alten slowenischen Karten werden also nicht ihre Gültigkeit verlieren, sondern nach und nach auslaufen. Im Gegensatz dazu soll die slowenische HPC 2009 innerhalb kurzer Zeit komplett ausgetauscht
205
14 Andere europäische Länder werden. Die slowenische Regierung betreibt derzeit einen großen Werbeaufwand, um die Bevölkerung mit der neuen Karte vertraut zu machen. 14.20.1.2 Technik der slowenischen HIC Die alte slowenische HIC ist eine kontaktbehaftete Smartcard mit 16 KByte EEPROM und einem 16-Bit-Prozessor. Der Zugriff auf die meisten der darauf gespeicherten Daten ist nur mit einer slowenischen HPC möglich (Ausnahmen sind Name, Kartennummer, Versicherungsnummer und Kartenfolgennummer). Zu diesem Zweck gibt es spezielle Terminals mit zwei Steckplätzen – einen für die HPC und einen für die HIC. Die Absicherung des Zugriffs erfolgt mit symmetrischer Kryptografie (Triple-DES), also mit geheimen Schlüsseln, die sowohl auf der HPC als auch auf der HIC gespeichert sind. Für jede der 14 HPCVarianten gibt es unterschiedliche Zugriffsrechte. Jede Datei auf der Karte enthält eine Liste, die dies regelt. Die alte slowenische HPC hat im Gegensatz zur alten HIC nur 8 KByte EEPROM. Sie ist durch eine vierstellige PIN geschützt. Der Bürger kann nur über Selbstbedienungs-Terminals auf seine HIC zugreifen. Von diesen Apparaten sind landesweit inzwischen fast 300 aufgestellt. Die SelbstbedienungsTerminals ermöglichen es dem Versicherten, seine Karte zu aktualisieren und neue Anwendungen aufzuspielen. Zusätzlich bieten sie recht umfangreiche und benutzerfreundlich aufbereitete Informationen zur Gesundheit und zum slowenischen Gesundheitswesen. Außerdem ist es möglich, über ein Selbstbedienungs-Terminal eine europäische Krankenversichertenkarte (EHIC) zu beantragen. Im Gegensatz zu anderen Krankenversichertenkarten wird die slowenische HIC bisher nicht genutzt, um die EHIC auf der Rückseite abzubilden. Die zur Karte gehörende Infrastruktur sieht einen zentralen Anwendungsserver vor, der in der Hauptstadt Ljubljana lokalisiert ist. Auf diesen greifen sowohl die SelbstbedienungsTerminals als auch die Computersysteme der Ärzte und anderer Leistungserbringer zu. An den zentralen Server sind unter anderem Server des HIIS und der freiwilligen Versicherungen angeschlossen. Die neue slowenische HIC ist mit einem Chip des Typs Samsung S3CC91C mit 72 KByte EEPROM und einem 16/8-Bit-Prozessor realisiert. Sie ist EAL-4+-evaluiert und bringt zahlreiche technische Neuerungen mit sich. Dazu gehört vor allem eine PKI-Unterstützung (das verwendete Verfahren ist RSA). Auf der HIC sind zwei private Schlüssel gespeichert. Der erste ermöglicht den Zugriff auf ein Online-System zusammen mit einer slowenischen HPC und ist daher vor allem für die Nutzung beim Arzt von Interesse. Er ist nicht durch eine PIN geschützt. Der zweite Schlüssel ist für einen Zugang vom heimischen PC aus gedacht. Er muss mit einer PIN aktiviert werden. Es gibt zudem Platz für vier weitere private Schlüssel inklusive Zertifikat, die sich für beliebige andere Zwecke nutzen lassen. Auf der HPC ist ebenfalls ein privater Schlüssel vorhanden, der dem Inhaber den Zugang zum Online-System gewährt. Ärzte und Apotheker erhalten zusätzlich einen zweiten Schlüssel, den sie für qualifizierte digitale Signaturen nutzen können. Die neue slowenische HIC ist abwärtskompatibel und kann daher wie die alte verwendet werden. Die Implementierung erfolgt auf einer Java-Card-Plattform mit zwei Applets. Das
206
14.20 Slowenien Compatibility-Applet emuliert die alte HIC und dient damit der Abwärtskompatibilität. Das deutlich umfangreichere IASE-Applet realisiert die Funktion der neuen Karte. Die neue slowenische HPC, die den gleichen Chip wie die HIC verwendet, wird auch mit Java Card realisiert. Es gibt dort ebenfalls ein Compatibility-Applet und ein IASE-Applet, allerdings jeweils mit anderem Aufbau. Die Chiplösung hat (wie bei der HPC) eine EAL-4+Evaluierung nach Common Criteria. Die PKI-Unterstützung hat vor allem den Zweck, die Online-Anwendungen der slowenischen HPC deutlich zu erweitern. Nach Aussage der Werbeunterlagen soll die Karte vom Datenträger zum Zugangsschlüssel werden. Unter anderem sind ein elektronisches Rezept und eine elektronische Krankenakte vorgesehen. Darüber hinaus ist die neue slowenische HIC auch für Bereiche außerhalb des Medizinwesens nutzbar, beispielsweise für das digitale Signieren. Allerdings stehen all diese Entwicklungen noch am Anfang. 14.20.1.3 Bewertung der slowenischen HIC Man kann die slowenische HIC bisher durchaus als gelungene E-Ausweis-Lösung bezeichnen. Die Einführung verlief ohne größere Probleme, und es gab kaum Widerstand gegen das Vorhaben. Fast alle Beteiligten zeigten sich zufrieden. Ärzte und deren Personal freuen sich über einfachere Verwaltungsabläufe, den Patienten kommen die Vereinfachungen ebenfalls zugute. Zudem profitiert das HIIS von der reibungsloseren Zahlungsabwicklung. Von Nachteil ist jedoch, dass nach wie vor viele Ärzte mangels geeigneter Computersysteme die HIC nicht unterstützen. Zudem beklagten sich einige Bürger über eine zu geringe Zahl von Selbstbedienungs-Terminals. Betrachtet man die slowenische HIC im internationalen Vergleich, dann stellt man fest, dass Slowenien zwar ein weltweiter Vorreiter war. Allerdings haben einige Nationen Slowenien diesbezüglich inzwischen überholt. Insbesondere sind Krankenversichertenkarten mit PKI-Unterstützung in einigen anderen Ländern (beispielsweise in Österreich) längst Realität. Trotzdem ist die slowenische HIC ein Projekt mit Vorbildcharakter, das zahlreiche andere Staaten genau beobachten.
14.20.2 Die slowenische eID Im Vergleich zur slowenischen HIC ist die slowenische elektronische Identitätskarte (eID) das deutlich jüngere Projekt. Bei Redaktionsschluss dieses Buchs waren noch keine Karten im Umlauf. Bisher werden in Slowenien daher noch jene Identitätsausweise verwendet, die die Regierung nach der Unabhängigkeit im Jahr 1991 einführte. Diese Ausweise werden als „osebna izkaznica“ (Identitätskarte) bezeichnet und haben ID-1-Format. Zuständig ist das Ministerium für öffentliche Verwaltung. Es gibt keine Ausweispflicht in Slowenien. Die Entwicklung einer elektronischen Variante der slowenischen Identitätskarte begann im Jahr 2003. Bereits 2005 sollte die Ausgabe starten, sie verzögerte sich jedoch und könnte nach aktueller Planung 2009 beginnen. Geplant ist eine Karte mit PKI-Unterstützung, die sowohl für das E-Government als auch für private Anbieter nutzbar ist. Die Karte soll dem European-Citizen-Card-Standard entsprechen, wobei es ein eigenes Profil gemäß Teil 4
207
14 Andere europäische Länder des Standards geben soll. Auch Ausländer können eine Karte sowie digitale Zertifikate erhalten, sofern sie in Slowenien registriert sind. Auf der Vorderseite der Karte sind Daten zur Person sowie ein Passfoto abgedruckt. Auf dem Chip werden neben den Personalien zwei Schlüsselpaare mit digitalem Zertifikat gespeichert. Eines dient der Authentifizierung, das andere dem digitalen Signieren. Es ist möglich, mit der Karte qualifizierte Signaturen anzufertigen. Die Zertifikate dazu kommen von einem slowenischen Trust Center. Biometrische Daten werden vorläufig nicht verwendet. Da sich die slowenische eID noch im Planungsstadium befindet, gibt es bisher nur wenige öffentlich verfügbare Informationen.
14.20.3 Der slowenischer elektronische Dienstausweis Ein weiteres interessantes Projekt ist der slowenische elektronische Dienstausweis. Dieser wird an die Mitarbeiter von Behörden ausgegeben und hat damit eine ähnliche Funktion wie die elektronischen Dienstausweise in Deutschland und Österreich. Es handelt sich um eine Smartcard im ID-1-Format, auf die ein Passfoto aufgebracht ist. Die Karte lässt sich für digitale Signaturen und eine PKI-basierte Authentifizierung nutzen. Qualifizierte digitale Signaturen sind damit möglich. Es gibt verschiedene staatliche Anwendungen für den elektronischen Dienstausweis, er lässt sich jedoch auch außerhalb des Behördenbereichs nutzen.
14.21 Spanien In Spanien heißt der Identitätsausweis DNI (documento nacional de identidad). Seit 2006 gibt es dieses Dokument in elektronischer Ausführung.
14.21.1 Hintergrund der DNIe Der DNI wurde 1946 von Diktator Francisco Franco eingeführt, der sich später selbst die Ausweisnummer 1 und seiner Frau die Nummer 2 zuwies. Der DNI ist in Spanien das gängigste Mittel, um sich auszuweisen. Es herrscht Ausweispflicht für alle Personen ab dem 14. Lebensjahr. Die DNI wird nur an Staatsbürger ausgegeben, während es für Ausländer eine andere Karte gibt. Die Ausweisnummer, die ein Leben lang gleich bleibt, ist eine wichtige Information, die in vielen Verwaltungsvorgängen verwendet wird. Sie besteht aus acht Zahlen und einem zusätzlichen Buchstaben, der als Prüfsumme dient. Bei der Beantragung eines DNI werden zwei Fingerabdrücke erfasst. Auf älteren Versionen des DNI waren diese noch auf dem Ausweis abgedruckt. Auf der neueren Karte, die ID-1-Format hat, ist dies nicht mehr der Fall. Auf der Vorderseite des DNI sind Name, Geburtsdatum, Geschlecht, Nationalität sowie die Ausweisnummer und eine Seriennummer (diese ändert sich bei der Erneuerung eines Ausweises) abgedruckt. Außerdem sind ein Foto und eine Unterschrift abgebildet. Auf der Rückseite des DNI finden sich einige weitere Personalien: Geburtsort, Geburtsprovinz (oder Staat, wenn es sich um einen Ort im Ausland handelt), Name der Eltern, Wohnort,
208
14.21 Spanien Wohnprovinz, Nation und die Kennung des Ausgabebüros. Der untere Teil der Rückseite enthält eine Wiederholung einiger dieser Informationen in maschinenlesbarem Format nach Vorgabe des MRTD-Standards. Die elektronische Version des DNI heißt DNIe [CEHR06]. Zuständig für deren Ausstellung ist die spanische Polizei, die dem Innenministerium untersteht, unter enger Zusammenarbeit mit dem Finanzministerium. Die Herstellung übernimmt die Fábrica Nacional de Moneda y Timbre. Am 16. März 2006 erhielt der erste spanische Bürger eine derartige Karte. Die Ausgabe startete in der Stadt Burgos. Begleitend dazu investierte die spanische Regierung etwa 50 Millionen Euro in Maßnahmen zur Öffentlichkeitsarbeit, um die Akzeptanz der Karte in der Bevölkerung zu erhöhen. So überreichte der Innenminister die erste Karte im Rahmen einer PR-Veranstaltung persönlich an den Inhaber, worüber die Medien ausführlich berichteten. Für die Bürger gibt es eine DNIe-Web-Seite mit ausführlichen Informationen sowie eine Telefon-Hotline für Fragen aller Art. Bis zum Februar 2008 hatte die spanische Polizei 2,7 Millionen DNIe-Dokumente ausgegeben. Insgesamt sollen 40 Millionen Personen eine solche Karte erhalten.
Abbildung 14.14: Die spanische Identitätskarte DNI trug früher zwei Fingerabdrücke des Inhabers.
14.21.2 Technik der DNIe Die DNIe ist eine kontaktbehaftete Smartcard im ID-1-Format [DNIe]. Auf ihr läuft ein eigens entwickeltes Smartcard-Betriebssystem namens DNIe v1.1, das von mehreren Herstellern geliefert werden kann. Das Betriebssystem hat eine CC-Evaluierung der Stufe EAL 4+. Dieselbe Evaluierung wird für Anwendungen auf der Karte verlangt. Der Chip hat 34 KByte EEPROM. Auf dem DNIe sind dieselben Informationen wie auf der alten DNI aufgedruckt, allerdings in einem neuen Design. Auf dem Chip sind die Daten gespeichert, die auch aufgedruckt sind, inklusive der eingescannten Unterschrift und des Passfotos. Zusätzlich sind die Abdrücke der Zeigefinger beider Hände gespeichert. Darüber hinaus enthält der Chip zwei private RSA-Schlüssel inklusive digitaler Zertifikate (einen für die digitale Signatur, den anderen für die Authentifizierung). Diese Schlüssel werden bereits bei der Ausgabe des DNIe aufgebracht.
209
14 Andere europäische Länder Die auslesbaren Daten auf dem Chip sind digital signiert (statische Datenauthentifizierung) und in drei Zonen gegliedert. Die erste Zone ist die öffentliche Zone (zona pública). Die darin enthaltenen Informationen sind ohne Einschränkungen auslesbar: CA-Zertifikat Öffentliche Diffie-Hellman-Schlüssel X.509-Komponenten-Zertifikat Die private Zone (zona privada) ist für den Karteninhaber über eine PIN auslesbar. Sie enthält folgende Informationen: Signatur-Zertifikat des Inhabers Authentifizierungszertifikat des Inhabers Schließlich gibt es noch die Sicherheitszone (zona de seguridad). Deren Inhalte sind nur mit einem speziellen Gerät auslesbar. Folgende Informationen sind enthalten: Personalien Foto eingescannte Unterschrift Zusätzlich gibt es einen Chipbereich, der nicht auslesbar ist. Dieser enthält folgende Informationen: Öffentlicher RSA-Schlüssel für die Authentifizierung Öffentlicher RSA-Schlüssel für die Signatur Privater RSA-Schlüssel für die Authentifizierung Privater RSA-Schlüssel für die Signatur Fingerabdruckreferenzmuster Öffentlicher Schlüssel der Zertifizierungsstelle für CV-Zertifikate Private Diffie-Hellman-Schlüssel Die Anwendung der DNIe erfolgt bisher vor allem im eGovernment. Auf der Website zur DNI ist eine Liste zugänglich, auf der lokale, regionale und nationale Behörden aufgeführt sind, die eGovernment-Vorgänge über die Karte anbieten. Es ist jedoch geplant, dass auch kommerzielle Anbieter die Karte nutzen. Die PKI der DNIe sieht zwei getrennte Hierarchien vor. Die eine Hierarchie ist nur für die Personalisierung der Karten in den jeweiligen Ausgabestellen relevant. Die Zertifikate dieser Hierarchie, die bereits während der Kartenherstellung generiert werden, haben die Aufgabe, die Personalisierung sicher zu machen. Dabei spielt eine spezielle Smartcard (TIPKarte) eine Rolle, die vom Personal in den Ausgabestellen verwendet wird. Die zweite Hierarchie stellt die bereits erwähnten Signatur- und Authentifizierungszertifikate aus. Dieser Vorgang erfolgt während der Personalisierung. Die Wurzel-Zertifizierungsstelle der Initialisierungshierarchie wird von der spanischen Polizeibehörde DGP betrieben. Sie stellt Zertifikate für zwei Zertifizierungsstellen aus. Eine davon ist für die Ausgabe von X.509-Zertifikaten, eine weitere für die Ausgabe von
210
14.21 Spanien CV-Zertifikaten zuständig. Die X.509-Zertifizierungsstelle versorgt jede DNIe und jede TIP-Karte während des Herstellungsprozesses mit je einem X.509-Zertifikat. Die CVZertifizierungsstelle stellt für jede TIP-Karte zwei CV-Zertifikate aus. Ihr Zertifikat wird zudem auf jeder DNIe gespeichert, damit diese eine Prüfung von CV-Zertifikaten vornehmen kann. Schrift in veränderlicher Farbe
Mikroschrift
Personalien
Sicherheitsdruck
Chip
Kinegramm
Kennnummer
Passfoto Laser-Bild Kartennummer
Gültigkeit
Unterschrift
Relief
Abbildung 14.15: Die spanische elektronische Identitätskarte heißt DNIe. In der Abbildung sind die einzelnen Bestandteile der Vorderseite beschriftet.
Wenn sich ein Bürger eine Karte ausstellen lässt, dann nimmt der Mitarbeiter der Ausgabestelle eine TIP-Karte sowie eine noch nicht personalisierte DNIe. Mithilfe der vier Zertifikate (eines auf der DNIe, drei auf der TIP-Karte) wird nun ein spezielles Protokoll abgearbeitet, mit dem der Mitarbeiter die notwendigen Daten des Bürgers in sicherer Form auf die DNIe bringt (also die DNIe personalisiert). Hierbei nutzt die DNIe das Zertifikat der CV-Zertifizierungsstelle. Im Rahmen des Vorgangs stellt der Mitarbeiter eine sichere Online-Verbindung zu einer Zertifizierungsstelle her (diese gehört zur Hierarchie für die Signatur- und Authentifizierungszertifikate), um dort die beiden Zertifikate generieren zu lassen. Die Hierarchie für die Signatur- und Authentifizierungszertifikate sieht an der Spitze ein Wurzelzertifikat vor. Darunter gibt es mehrere Zertifizierungsstellen, die im Rahmen der Personalisierung die Zertifikate für die Karten ausstellen. Hierbei haben die Behörden darauf Wert gelegt, zwei austauschbare PKI-Anbieter einzusetzen. So werden einige Zertifizierungsstellen mit Produkten der kanadischen Firma Entrust, andere mit Produkten der spanischen Firma SafeLayer betrieben.
211
14 Andere europäische Länder
14.21.3 Bewertung der DNIe Die spanische DNIe zählt zu den vergleichsweise unspektakulären E-Ausweis-Systemen. Die Verantwortlichen haben auf ein allzu großes Anwendungsspektrum verzichtet, und die Ausgabe der Karten erfolgt in einem gemächlichen Tempo. Dafür wirkt das gesamte DNIe-Projekt – inklusive des begleitenden Marketings – stimmig und durchdacht.
Ausgabenummer
Maschinenlesbare Zone
Abbildung 14.16: Die Rückseite der DNIe
14.22 Tschechien Identitätsausweise gibt es in Tschechien (bzw. in der Tschechoslowakei) seit 1939. Damals führten die deutschen Besatzer derartige Dokumente ein. Diese ähnelten den zu dieser Zeit in Deutschland gebräuchlichen Kennkarten (siehe Abschnitt 11.1.1). Als 1948 die Kommunisten die Macht in der Tschechoslowakei übernahmen, gaben sie neue Identitätsausweise aus. Diese hatten die Form eines Büchleins, dienten gleichzeitig als Impfpass und enthielten Informationen zum Beschäftigungsverhältnis des Inhabers. Im Jahr 1990 endete die kommunistische Herrschaft in der Tschechoslowakei, und 1993 spaltete sich die Slowakei als eigenständiger Staat ab. Tschechien stellte nun auf deutlich modernere Identitätsausweise um. Im Jahr 2000 folgte schließlich eine erneute Überarbeitung der Ausweispapiere. Seitdem hat der tschechische Identitätsausweis ID-1-Format. Es gilt Ausweispflicht ab dem 15. Lebensjahr. Anfang 2009 beschloss die tschechische Regierung nach mehrjähriger Vorbereitung die Einführung einer elektronischen Identitätskarte [e-ID09]. Die Ausgabe soll am 1. Juli 2010 beginnen. Geplant ist eine Karte im ID-1-Format mit einem kontaktbehafteten Chip. Es wird für den Bürger jedoch keinen Zwang zur elektronischen Identitätskarte geben. Stattdessen wird sich jeder Antragssteller alternativ für eine ähnlich aussehende Karte ohne Chip entscheiden können. Beide Formen des Dokuments tragen eine maschinenlesbare Zone nach MRTD-Standard und einen 2D-Code. In Ausnahmefällen werden die Behörden auch Identitätsausweise ganz ohne maschinenlesbare Daten ausstellen.
212
14.23 Türkei
14.23 Türkei In der Türkei soll 2010 eine elektronische Identitätskarte eingeführt werden. Aktuell befindet sich diese noch in der Testphase [Türk09].
Abbildung 14.17: Die türkische elektronische Identitätskarte zählt zu den ambitioniertesten Systemen ihrer Art.
Das türkische E-Identitätsausweis-Projekt ist eines der ambitioniertesten überhaupt. Die Karte soll gleichzeitig als Identitätsausweis, Führerschein, Steuerkarte und Gesundheitskarte inklusive Krankenakte dienen. Auf der Kartenoberfläche sind neben den Personalien ein Foto (Vorderseite) und eine maschinenlesbare Zone nach MRTD-Standard (Rückseite) angebracht. Die türkische Identitätskarte ist eine kontaktbehaftete Smartcard, auf der ein eigens entwickeltes Smartcard-Betriebssystem namens AKIS läuft. Betriebssystem und Anwendungen sind Common-Criteria-evaluiert. Die Karte unterstützt neben einer PIN die Abfrage eines biometrischen Merkmals zur Freischaltung der Anwendungen (Match-on-Card). Neben Fingerabdruckerkennung kommt hier die für solche Zwecke bisher selten verwendete Hand- bzw. Fingervenenerkennung zum Einsatz. Die Karte unterstützt sowohl digitale Sig-
Abbildung 14.18: Mit diesem Terminal ist ein Zugriff auf die türkische Identitätskarte möglich.
213
14 Andere europäische Länder naturen als auch eine Authentifizierung auf PKI-Basis (beides auf Basis des RSA-Verfahrens). Speziell für die Karte wurde ein Terminal mit Tastatur, Display und Fingerabdruckleser entwickelt.
14.24 Ungarn In Ungarn gibt es Pläne für die Einführung einer elektronischen Identitätskarte. Die aktuellen ungarischen Identitätskarten haben bereits ID-1-Format, sind jedoch noch nicht mit einem Chip ausgestattet. Neben dem Plastikkartenausweis trifft man in Ungarn oft auch noch auf Papierausweise. Die älteren davon wurden vor 1989 ausgestellt, also noch zur Zeit des Kommunismus. Es gibt keine Ausweispflicht in Ungarn. Dennoch ist die Identitätskarte weit verbreitet und gilt als Standard. Es ist jedoch auch möglich, sich mit dem Reisepass oder Führerschein auszuweisen. Gerne würde ich Ihnen an dieser Stelle weitere Informationen zur ungarischen elektronischen Identitätskarte vorstellen. Diese befindet sich jedoch noch im Planungsstadium, und es sind bisher keine Details bekannt.
214
15 15 Ostasien Neben Europa zählt Ostasien zu den Weltregionen, in denen sich bereits mehrere nationale elektronische Ausweise etabliert haben. Auch in Ostasien stehen vor allem elektronische Identitätskarten im Blickpunkt, während beispielsweise Krankenversichertenkarten eine deutlich geringere Rolle spielen. Blickt man auf die entsprechenden Projekte, so fallen schnell einige Unterschiede zwischen der europäischen und der asiatischen e-AusweisKultur auf. So haben die Asiaten spürbar weniger Berührungsängste mit der neuen Technologie. Themen wie Datenschutz und informationelle Selbstbestimmung sieht man dort deutlich gelassener, weshalb es kaum Widerstand gegen entsprechende Projekte gibt. Unter diesen Voraussetzungen verwundert es kaum, dass asiatische Ausweisprojekte oft schneller und geradliniger verlaufen als in Europa. Zwischen dem Projektstart und der Einführung liegen oft nur wenige Jahre. Auch die Zeit, bis die komplette Bevölkerung mit einer Ausweiskarte ausgestattet ist, ist meist vergleichsweise kurz. Auffällig sind zudem die recht vielfältigen Zusatzanwendungen, die asiatische Staaten für ihre elektronischen Identitätskarten vorsehen. Diese reichen vom Bibliotheksausweis über den Führerschein bis zur Gesundheitskarte. Von Technikfeindlichkeit ist in Asien diesbezüglich wenig zu spüren.
15.1
Bangladesch Bangladesch gehört zu den ärmsten Ländern der Erde. So gesehen überrascht es, dass in dem an Indien grenzenden Staat derzeit ein elektronisches Identitätsausweissystem entsteht [Ahme08]. Angesichts der 153 Millionen Einwohner, die das Land zum siebtgrößten der Welt machen, handelt es sich dabei um ein äußerst umfangreiches Unterfangen. Grundlage für die Ausgabe der Karte ist eine Datenbank, in der die Personalien inklusive Foto und Fingerabdrücken der 80 Millionen Wahlberechtigten des Landes gespeichert sind. Diese Datensammlung entstand im Jahr 2008 innerhalb von 11 Monaten und gilt als größte biometrische Datenbank der Welt. Der Zweck der Datenerhebung waren zwar Wahlen, doch die Regierung nutzte die Gelegenheit, um elektronische Identitätskarten an die registrierten Personen auszugeben. Details dazu sind mir leider nicht bekannt.
215
15 Ostasien
15.2
Brunei Der Staat Brunei im südchinesischen Meer hat nur 380.000 Einwohner. Dank lukrativer Erdgas- und Ölvorkommen ist das kleine Land jedoch vergleichsweise wohlhabend. Etwa 12 Prozent der Bevölkerung besteht aus Gastarbeitern. Die dadurch wichtige Einwanderungskontrolle führte dazu, dass man in Brunei bereits im Jahr 1999 eine elektronische Identitätskarte einführte. Damit war das asiatische Land noch vor Finnland das weltweit erste, das diesen Schritt vollzog. Allerdings dient der Chip auf der bruneiischen Identitätskarte nur zum Speichern biometrischer Merkmale (diese werden vor allem für die Einwanderungskontrolle verwendet). Da der Ausweischip nicht zum Signieren oder OnlineAuthentifizieren geeignet ist, bietet die bruneiische Identitätskarte nur einen sehr eingeschränkten Funktionsumfang. Manche Literaturquellen zählen dieses Dokument daher gar nicht zu den elektronischen Identitätskarten und betrachten stattdessen Finnland als weltweit erste Nation mit E-Identitätsausweis. An der Einführung der bruneiischen Identitätskarte war der deutsche Biometrie-Anbieter Dermalog maßgeblich beteiligt. Die verwendeten biometrischen Merkmale sind das Gesichtsbild sowie Fingerabdrücke. Die Karte ist nicht nur ein Identitätsdokument, sondern gleichzeitig auch Führerschein, Rentenversicherungskarte und Ausweis für die Steuerbehörde. Neben den biometrischen Daten befinden sich auf dem Chip ein Foto des Inhabers sowie persönliche Angaben. Die wichtigste Infrastrukturkomponente ist ein zentraler Server, der vom Innenministerium betrieben wird. Leider ist über die Technik der bruneiischen Identitätskarte nur wenig öffentlich bekannt. Nachdem in den letzten Jahren zahlreiche andere Staaten deutlich leistungsfähigere E-Ausweis-Systeme eingeführt haben, findet das bruneiische System inzwischen nur noch wenig Beachtung.
15.3
China Die Volksrepublik China ist nicht nur das bevölkerungsreichste Land der Erde, sondern auch dasjenige mit den meisten elektronischen Identitätskarten [Chen03]. Etwa eine Milliarde Exemplare sollen bereits im Umlauf sein. Leider gibt es zur chinesischen elektronischen Identitätskarte kaum öffentlich verfügbare Informationen, obwohl es sich dabei – schon allein der Größe wegen – um ein sehr interessantes Projekt handelt. In China (gemeint ist im Folgenden immer die Volksrepublik) gilt ab 16 Jahren Ausweispflicht. 1985 wurde dort erstmals ein Identitätsausweis eingeführt, inklusive einer 18stelligen Identifikationsnummer. 2002 gelangten erste Meldungen an die Öffentlichkeit, wonach die chinesische Regierung eine elektronische Identitätskarte plante. 2003 beschloss das Parlament ein E-Ausweis-Gesetz, woraufhin im Jahr 2004 die ersten Pilotprojekte begannen. Ab 2007 wurden die elektronischen Ausweise ausgegeben. Innerhalb von zwei Jahren sollen etwa eine Milliarde Karten ausgegeben worden sein.
216
15.4 Hongkong Bei der Realisierung der elektronischen Identitätskarte verwendete man in China ausschließlich Technik aus dem eigenen Land. Die Karte arbeitet mit einem kontaktlosen Chip, der einem Mifare-Chip entspricht, jedoch in China in Lizenz produziert wird. Die chinesische elektronische Identitätskarte ist in ihrer ursprünglichen Version nicht zum Signieren oder zur Authentifizierung mit einem privaten Schlüssel geeignet. Diese Funktionen werden jedoch derzeit nachgerüstet Die chinesische elektronische Identitätskarte speichert eine im Vergleich zu europäischen Projekten große Zahl von persönlichen Informationen, darunter Angaben zur Adresse, zum Arbeitsverhältnis, zur Religion und zur ethnischen Herkunft. Auch für das Gesundheitswesen relevante Daten finden sich auf der Karte, darunter Informationen, die zur Kontrolle der chinesischen Ein-Kind-Politik dienen. Mehr konnte ich über die chinesische elektronische Identitätskarte leider nicht in Erfahrung bringen.
15.4
Hongkong Die ehemalige britische Kolonie Hongkong gehört zwar seit 1997 zu China, genießt jedoch immer noch ein großes Maß an Unabhängigkeit. Insbesondere gibt Hongkong nach wie vor eigene Identitätsausweise aus, die als Hong Kong Identity Card (HKID) bezeichnet werden. Nach Malaysia und Brunei war Hongkong die dritte ostasiatische Region, die elektronische Identitätskarten einführte. Die elektronische Form der HKID wird Smart ID Card genannt [Hong09].
15.4.1 Hintergrund der Smart ID Card Hongkong, dessen Fläche und Bevölkerung eher einer Großstadt als einem Staat entsprechen, ist bekanntlich vom ungleich größeren China umgeben. Durch Zuwanderung aus dem Nachbarland wuchs Hongkong innerhalb weniger Generationen von einem unbedeutenden Landstrich zu einer Metropole mit Weltbedeutung. Im Vergleich zu China hatte die kleine Kolonie eine wirtschaftlich erfreuliche Entwicklung zu verzeichnen. Nachdem 1949 die kommunistische Volksrepublik China gegründet und die Immigration aus dem Nachbarland zunehmend zum Problem wurde, führte die Regierung erstmals Identitätskarten ein. Bis heute ist die Einwanderungsproblematik die wichtigste Treibkraft im Ausweiswesen von Hongkong. Aus diesem Grund ist das Einwanderungsministerium der Herausgeber der Identitätskarten. 1951 waren alle Bürger Hongkongs mit den neu eingeführten Identitätskarten versorgt. Diese bestanden aus Pappe und trugen ein Passfoto sowie einen Daumenabdruck. Es galt zwar Ausweispflicht, man musste das Dokument jedoch nicht ständig bei sich tragen. 1960 führte das Einwanderungsministerium neue, laminierte Ausweise ein, auf denen weiterhin ein Foto und ein Fingerabdruck aufgebracht waren. 1973 wurde der Fingerabdruck von der HKID verbannt. Seit 1980 ist es in Hongkong vorgeschrieben, seinen Ausweis ständig bei sich zu tragen. Grund für diese Verschärfung waren die anhaltenden Ströme illegaler Einwanderer, denen die Regierung mit einer rigorosen Abschiebepraxis begegnete. 1983 gab
217
15 Ostasien es neue Ausweise, die nun ID-1-Format hatten und mit ein paar neuen Sicherheitsmerkmalen ausgestattet waren. Nach der Übernahme Hongkongs durch China im Jahr 1997 blieben die Identitätskarten gültig und die Grenzkontrollen bestehen. Auch an der Einwanderungsproblematik änderte sich nichts.
Abbildung 15.1: Mit diesem Plakat informiert die Regierung Hongkongs über die Smart Identity Card.
Die Smart ID Card wurde im Juni 2003 eingeführt. Grund für die Neuerung war erneut das Thema Einwanderung [Hong02]. Das Einwanderungsministerium sah sich immer wieder mit gefälschten Ausweisen konfrontiert, mit denen vor allem Chinesen illegal die Grenze überquerten. Durch die peniblen Kontrollen bildeten sich an den Grenzübergängen regelmäßig lange Schlangen, was vor allem für die zahlreichen Pendler zum Ärgernis wurde. Zunächst erhielten nur Personen eine Smart ID Card, die ohnehin eine neue Karte brauchten (wegen Verlust oder weil sie zuvor keine hatten). Im Gegensatz zu anderen Nationen
218
15.4 Hongkong begnügte sich Hongkong jedoch nicht mit dieser Praxis, sondern tauschte bis 2007 alle in Umlauf befindlichen Karten aus, auch wenn diese noch gültig waren. Hongkong zählt damit zu den wenigen Staaten bzw. Regionen, in denen jeder Bürger eine elektronische Identitätskarte besitzt. Bereits vor Einführung der Smart ID Card wurden folgende noch heute gültige Bestimmungen eingeführt: Die HKID ist für alle Personen ab 11 Jahren verpflichtend, die sich über 180 Tage in Hongkong aufhalten. Es wird zwischen Karten für Volljährige (über 18 Jahre) und Minderjährige (11 bis 18 Jahre) unterschieden. Zusätzlich gibt es Karten für Kinder, die jedoch nicht verpflichtend sind und kein Foto tragen. Die Kinderausweise gibt es nicht als Smart ID Card. Unterscheiden muss man zudem zwischen Karten für Personen mit einem permanenten Aufenthaltsrecht und Personen ohne diesen Status. Es gibt also sechs unterschiedliche Kartentypen (Karten für Kinder, Jugendliche und Erwachsene, jeweils mit permanenter und nichtpermanenter Aufenthaltserlaubnis). Die Regierung Hongkongs hatte bei der Planung der Smart ID Card offensichtlich aus den Erfahrungen in Malaysia gelernt. Im Gegensatz zu dort plante man weniger Anwendungen, und weniger Daten wurden auf der Karte gespeichert. So wurde die Einführung einer Gesundheitskartenfunktion, einer Bankkartenfunktion und einer Führerscheinfunktion zwar diskutiert, aber am Ende weggelassen. Die tatsächlichen Zusatzanwendungen wurden freiwillig gemacht. Wie ihre Vorgängerinnen ist auch die Smart ID Card in erster Linie ein Dokument gegen die illegale Einwanderung. Die Anwendungen der Karte lassen sich dadurch in eine Immigrationsanwendung und in sonstige Anwendungen aufteilen. Die auf jeder Karte vorhandene Immigrationsanwendung ermöglicht es, nach Eingabe eines Fingerabdrucks ohne zusätzliche Prüfung durch den Zoll zu kommen. Die sonstigen Anwendungen sind dagegen freiwillig. Drei Anwendungen sind derzeit aktuell: e-Cert: Die Smart ID Card lässt sich für digitales Signieren und die Authentifizierung mit einem privaten Schlüssel verwenden. Bibliothek: Die Smart ID Card lässt sich als Bibliotheksausweis nutzen. Freizeitaktivitäten: Das Ministerium für Freizeit und Kultur bietet Kiosk-PCs an, die sich mit der Smart ID Card nutzen lassen.
15.4.2 Technik der Smart ID Card Die Smart ID Card ist eine kontaktbehaftete Smartcard. Als Betriebssystem wird MULTOS verwendet. Die Speicherkapazität des Chips beträgt 32 KByte. Auf der Karte ist der Name des Inhabers in chinesischen Schriftzeichen (falls sinnvoll), auf Englisch sowie im chinesischen Telegrafiecode (falls sinnvoll) abgedruckt. Der Telegrafiecode ordnet jedem chinesischen Schriftzeichen eine vierstellige Zahl zu. Er wurde ursprünglich entwickelt, um chinesische Schrift telegrafisch übertragen zu können. Darüber hinaus sind auf der Kartenvorderseite das Geschlecht des Inhabers, das Geburtsdatum, Angaben zum Aufenthaltsrecht, ein Passfoto, das Datum der Erstregistrierung, das Datum der Registrierung sowie eine siebenstellige Kartennummer angegeben. Auf der Rückseite der Karte ist fest-
219
15 Ostasien gehalten, ob der Inhaber ein permanentes Aufenthaltsrecht genießt und ob er voll- oder minderjährig ist. Auf dem Chip sind alle Daten der Kartenoberfläche enthalten (inklusive Passfoto). Zusätzlich sind der rechte und der linke Zeigefinger-Abdruck gespeichert. Der Bürger kann den Inhalt seiner Karte über ein öffentliches Terminal einsehen. Es gibt eine zentrale Datenbank, in der alle Karteninhaber, jedoch keine Fingerabdrücke gespeichert werden. Die PKI-Funktion (e-Cert) wird vom Trust Center der Hong Kong Post zur Verfügung gestellt. Der Bürger erhält die Karte ohne diese Daten, kann die PKI-Funktion jedoch in einer Postfiliale nachladen. Auch die Bibliotheksfunktion ist nur vorbereitet. Um diese Funktion zu nutzen, muss der Inhaber die Karte in einer öffentlichen Bibliothek initialisieren lassen. Die bisher eingesetzten Bibliotheksausweise verlieren ihre Gültigkeit nicht, und es gibt keinen Zwang, die neue Karte für diesen Zweck zu nutzen. Auf der Smart ID Card selbst werden keine Bibliotheksdaten gespeichert. In ähnlicher Form wie die Bibliotheksfunktion muss auch die Freizeitkartenfunktion initialisiert werden. Parallel zur Ausgabe der Smart ID Card entstand eine Public-Key-Infrastruktur, die sich mit der neuen Karte nutzen lässt. Diese PKI ist relativ unabhängig von der Smart ID. Es ist auch möglich, Zertifikate zu privaten Schlüsseln zu erhalten, die auf einer anderen Karte als der Smart ID Card gespeichert sind. Die PKI der Smart ID Card sieht vier Typen von Zertifikaten vor: Personenzertifikate: Diese werden für Personen ausgestellt, die eine Smart ID Card besitzen. Sie sind laut CPS für „kommerzielle Vorgänge“ gedacht, also beispielsweise für das Signieren einer Bestellung. Organisationszertifikate: Diese werden für Behörden und Firmen ausgestellt, werden jedoch von einer Person verantwortet. Der Nutzungszweck ist ansonsten derselbe wie bei den Personenzertifikaten. Server-Zertifikate: Ein Server-Zertifikat wird für eine Behörde oder ein Unternehmen ausgestellt und einem Server zugeordnet. Verschlüsselungszertifikate: Auch diese werden für Organisationen ausgestellt. Sie sind jedoch nicht für kommerzielle Vorgänge vorgesehen, sondern für weniger wichtige Angelegenheiten wie beispielweise das Signieren einer Empfangsbestätigung. Hauptsächlich werden sie (wie der Name andeutet) für das Verschlüsseln verwendet. Das verwendete Verfahren ist RSA. Die Schlüssellänge beträgt in allen Fällen 1.024 Bit. Das CA-Zertifikat hat eine Schlüssellänge von 2.048 Bit.
15.4.3 Bewertung der Smart ID Card Hongkong hatte bei der Einführung einer elektronischen Identitätskarte zweifellos einige Vorteile. So ist das Land mit 6 Millionen Einwohnern vergleichsweise klein und besteht praktisch nur aus einer Großstadt ohne ländliche Regionen. Darüber hinaus hat man in Hongkong von den Erfahrungen der Malaysier profitiert. Im Gegensatz zu deren MyKad hat die Smart ID Card deutlich weniger Anwendungen.
220
15.5 Indien Es gab in Hongkong jedoch mehr Widerstand gegen die elektronische Identitätskarte als in Malaysia [Gree02]. Vor allem der Datenschutz sorgte für Diskussionen. Offensichtlich war die Bevölkerung Hongkongs für dieses Thema sensibilisiert, nachdem einige Jahre zuvor die bereits damals verwendete ID-Nummer für Datenschutzbedenken gesorgt und zu einer verschärfen Gesetzgebung geführt hatte. Im Jahr 2003 gingen sogar etwa 500.000 Personen auf die Straße, um gegen ein geplantes Sicherheitsgesetz zu demonstrieren (es kam schließlich nicht zustande). Dieses Gesetz hatte zwar nichts mit der Identitätskarte zu tun, sorgte jedoch nicht gerade für ein günstiges Umfeld. Trotzdem verlief die Einführung der Smart ID Card im selben Jahr ohne nennenswerte Proteste.
15.5
Indien Auch in Indien wird es voraussichtlich in den nächsten Jahren eine elektronische Identitätskarte geben. Diese wird als MNIC (Multipurpose National Identity Card) bezeichnet [MNIC09]. Schon allein die zu erwartenden Stückzahlen (Indien hat fast 1,2 Milliarden Einwohner) machen das Projekt zu einem der interessantesten E-Ausweis-Vorhaben der Gegenwart. Die indische Regierung startete 2002 ein Projekt, das den Ausbau eines elektronischen Identitätsausweissystems zum Inhalt hatte. Dieses führte in den Folgejahren zu mehreren Pilotprojekten, die ohne größere Öffentlichkeitsarbeit durchgeführt wurden und daher nicht allzu viel Beachtung fanden. Erst im Jahr 2008 wurde das zuständige Ministerium für Informationstechnik etwas offensiver und veröffentlichte Details zur Umsetzung der MNIC. Demnach soll bis 2012 jeder indische Bürger mit einer Karte ausgestattet sein. Durch die derzeit laufenden Piloten sind bereits mehrere Millionen Inder mit einer Karte versorgt, die jedoch nicht notwendigerweise der endgültigen Version entspricht. Geplant sind zwei Kartenvarianten: eine kostenlose (India Basic Card) sowie eine kostenpflichtige (India Premium Card) mit zusätzlichen Funktionen. Die MNIC ist nach aktueller Planung eine kontaktbehaftete Smartcard mit 16 KByte EEPROM. Sie unterstützt asymmetrische Kryptografie für Authentifizierung und digitales
Abbildung 15.2: Die indische elektronische Identitätskarte MNIC (hier ein Prototyp) soll bis 2012 an alle Bürger des Landes ausgegeben werden.
221
15 Ostasien Signieren. Auf der Karte soll ein Fingerabdruckmuster gespeichert werden. Leider sind bisher keine weiteren Details öffentlich bekannt. Auch das Aussehen der Karte steht noch nicht fest. Ich gehe jedoch davon aus, dass man von der MNIC in den nächsten Jahren noch einiges hören wird.
15.6
Japan Einen Identitätsausweis für japanische Bürger gibt es nicht. Stattdessen verwenden die Japaner meist den Führerschein, die Krankenversichertenkarte oder ein sonstiges amtliches Dokument, um sich auszuweisen. Ausländer, die dauerhaft in Japan leben, erhalten dagegen einen speziellen Identitätsausweis, der auf Englisch als Alien Registration Card (Ausländerregistrierungskarte) bezeichnet wird. Seit 2003 geben die japanischen Behörden eine als Resident Registration Card bezeichnete Smartcard aus, die an eine PKI angeschlossen ist und vor allem für die Nutzung von EGovernment-Angeboten gedacht ist. Das Dokument war zunächst nicht mit einem Passfoto versehen und hatte damit eher den Charakter einer Signaturkarte als eines elektronischen Identitätsausweises. In den ersten Jahren beantragten nur einige Hunderttausend Japaner eine Resident Registration Card, doch da der Staat sein E-Government-Angebot ausbaute, stiegen die Nutzungszahlen mit der Zeit an. Derzeit gibt es Bestrebungen, die Resident Registration Card zu einer vollwertigen elektronischen Identitätskarte auszubauen. Details sind noch nicht bekannt. Etwas weiter fortgeschritten ist in Japan die Entwicklung eines elektronischen Führerscheins. Dieser ist mit einem kontaktlosen Chip ausgestattet. Das Projekt befindet sich noch in einer frühen Phase.
Abbildung 15.3: Die japanische Resident Registration Card ist kein vollwertiger Identitätsausweis, da auf ihr kein Passfoto angebracht ist.
222
15.7 Macao
15.7
Macao Macao (auf Portugiesisch auch als Macau bezeichnet) ist neben Hongkong die zweite Sonderverwaltungszone Chinas. Mit 500.000 Einwohnern und einer Fläche von nur 28 Quadratkilometern ist Macao allerdings deutlich kleiner als das etwa 40 Kilometer entfernte Hongkong (7 Millionen Einwohner, 1.100 Quadratkilometer). Trotz der geringen Größe führte Macao schon früh eine elektronische Identitätskarte ein. Diese wird als Macau Smart Identity Card bezeichnet [Fan]. Bis Anfang der achtziger Jahre gab es in Macao gleich zwei Identitätsausweise. Der eine war für Personen mit portugiesischer Staatsbürgerschaft gedacht, der andere für Bürger ohne diese Eigenschaft. Viele Bürger besaßen beide Dokumente gleichzeitig, was zu einiger Verwirrung führte, zumal der Inhalt oftmals nicht übereinstimmte. 1983 begann die Regierung Macaos mit einer Reform des Ausweiswesens. Diese führte zu einem neuen, einheitlichen Identitätsausweis, der ab 1992 ausgegeben wurde. 1999 waren alle Bürger des Landes mit dem neuen Dokument versorgt. Die Macau Smart Identity Card gibt es seit 2002. An der Umsetzung waren unter anderem die Unternehmen Siemens und Giesecke & Devrient beteiligt. Es handelt sich um eine kontaktbehaftete Smart Card mit PKI-Unterstützung. Die Karte soll nicht nur als Ausweis dienen, sondern ist grundsätzlich auch als Führerschein, Krankenversicherungskarte, Studentenausweis, Sozialversicherungsausweis und elektronische Geldbörse nutzbar.
15.8
Malaysia Malaysia betreibt eines der ältesten und am weitesten fortgeschrittenen E-Identitätsausweis-Projekte der Welt. Die malaysische elektronische Identitätskarte wird als MyKad oder Government Multipurpose Card (GMPC) bezeichnet [Bala01]. Die MyKad unterscheidet sich in mehreren Punkten von den Systemen in Europa. So wählten die Malaysier einen äußerst umfassenden Ansatz, indem sie unter anderem eine Gesundheitskarten-, eine Bezahl- und eine Führerscheinfunktion in die Karte integrierten. Die MyKad zählt damit zu den umfangreichsten und leistungsfähigsten Identitätsausweisen der Welt. Kein Weltniveau hat dagegen nach Ansicht einiger Kritiker der Datenschutz im MyKad-Projekt.
15.8.1 Hintergrund der MyKad Identitätsausweise gibt es in Malaysia seit 1949. Damals war das Land noch eine britische Kolonie. Auch nach der Unabhängigkeit im Jahr 1957 behielt Malaysia diese Ausweise bei und ersetzte sie 1990 durch (chiplose) Karten im ID-1-Format. Seit 2001 gibt es die MyKad. Bereits vor deren Einführung wurden die Daten aller Karteninhaber (und damit aller Bürger des Landes) in einem zentralen Verzeichnis gespeichert, wobei der Zugriff streng reguliert war. Zu den aufbewahrten Daten gehörten auch die beiden Daumenabdrücke jedes Bürgers. Malaysia zählte damals wie heute zu den Staaten mit Ausweispflicht, wobei
223
15 Ostasien diese recht rigide gehandhabt wird. Wen die Polizei ohne seine Ausweiskarte antrifft, muss eine empfindliche Strafe bezahlen. Die Ausweise aus der Zeit vor MyKad wurden für Personen ab dem 12. Lebensjahr ausgestellt. Dass ausgerechnet Malaysia eine der weltweit ersten elektronischen Identitätskarten einführte, ist kein Zufall. Die malaysische Regierung hat in den letzten Jahrzehnten enorme Anstrengungen unternommen, um aus dem einstigen Agrarstaat ein modernes Industrieland zu machen. 1991 rief die Regierung die Initiative „Vision 2020“ ins Leben, die Malaysia mit Staaten wie den USA oder Deutschland bis zum Jahr 2020 wirtschaftlich auf Augenhöhe bringen soll. Vor allem die IT- und Telekommunikationsbranche kann auf eine starke staatliche Unterstützung bauen. Das Aushängeschild der Vision-2020-Initiative ist das als Multimedia Super Corridor (MSC Malaysia) bezeichnete Vorhaben, das nach einer Sonderwirtschaftszone in der Region Kuala Lumpur benannt ist. In diese Zone lockt die Regierung Hitec-Unternehmen aus aller Welt mit günstigen wirtschaftlichen Rahmenbedingungen. Im Rahmen des MSC startete die Regierung zudem sieben Projekte (Flagship Applications), die unter anderem das Gesundheitswesen, das eGovernment und das Bildungssystem auf den neuesten technischen Stand bringen sollen. Zu den sieben Flagship Applications gehört auch das MyKad-Projekt. Der Name MyKad ist ein doppeltes Wortspiel. Die Buchstaben „My” stehen einerseits für „mein”, bilden andererseits jedoch auch den ISO-Ländercode von Malaysia. „Kad” ist zum einen das malaysische Wort für Karte (abgeleitet vom englischen „card”) und zum anderen eine Abkürzung von „Kad Akuan Diri“, was „persönliche Identifikationskarte“ heißt. Das MyKad-Projekt lief im Jahr 1997 an. Nach einer für ein Vorhaben dieser Größe kurzen Zeit von vier Jahren wurde die Karte 2001 eingeführt. Parallel zur Einführung gestaltete die Regierung das Namensrecht etwas restriktiver, da die unterschiedlichen Namenskonventionen im Mehr-Völker-Staat immer wieder zu Problemen in der Verwaltung geführt hatten. Bis Ende 2005 konnten die Malaysier eine MyKad kostenlos beantragen, seitdem ist für die Erstausstellung eine Gebühr fällig. Das Alter, ab dem die MyKad ausgestellt wird, liegt nach wie vor bei 12 Jahren. Zusätzlich gibt es eine als MyKid bezeichnete Karte für Kinder, die bereits ab der Geburt ausgestellt wird und bis zum 12. Lebensjahr gültig ist. Malaysische Bürger erhalten eine blaue MyKad, während Personen mit einer Aufenthaltsgenehmigung eine rote erhalten. Die MyKid ist rosafarben. Die restriktiven Ausweisbestimmungen sind unter anderem darauf zurückzuführen, dass Malaysia als wirtschaftlich stabiles und vergleichsweise wohlhabendes Land mit zahlreichen illegalen Einwanderern konfrontiert ist. Wie nicht anders zu erwarten, hat die malaysische Regierung im Zusammenhang mit der MyKad nicht gekleckert, sondern geklotzt. So entwickelte man nicht weniger als acht unterschiedliche Anwendungen für die Identitätskarte. Vier davon spielten schon in der Planungsphase eine Rolle: Identitätskarte: Dies ist die normale Ausweisfunktion. Führerschein: Auf der MyKad lassen sich Informationen zur Fahrerlaubnis speichern. Dadurch ersetzt die MyKad den malaysischen Führerschein, der bisher nach dem Ausweis als zweitwichtigstes Ausweisdokument des Landes galt.
224
15.8 Malaysia Reisedokument: Ähnlich wie in Europa, wo die Mitglieder der europäischen Union ihre Identitätsausweise gegenseitig als Reisepassersatz anerkennen, haben auch die Staaten des Verbands Südostasiatischer Nationen (ASEAN) teilweise eine entsprechende Anerkennung vereinbart. Die MyKad hat dadurch auch den Status eines Reisedokuments. Gesundheitskarte: Das malaysische Gesundheitswesen erfordert zwar keine Krankenversichertenkarten wie in vielen anderen Ländern. Dafür sieht die malaysische Regierung die MyKad zum Speichern von Gesundheitsdaten vor. Die verbleibenden vier Anwendungen entstanden etwa zurzeit der Ausgabe der ersten Karten: Bezahlkarte: Diese Bezahlfunktion der MyKad ist für Beträge bis zu 500 US-Dollar nutzbar. Der Karteninhaber muss die Karte vor der Verwendung an einem Bankterminal aufladen. Diese Funktion entspricht etwa der deutschen Geldkarte, der österreichischen Quick oder der schweizerischen CASH. Bankkarte: Die MyKad lässt sich als Bankkarte (z. B. zum Abheben von Geld am Geldautomaten) nutzen. Mobilitätskarte: Die MyKad unterstützt noch eine zweite Bezahlfunktion. Diese ist für kleinere Beträge gedacht und wird vor allem für Mautgebühren und Fahrkarten verwendet. Diese Funktion ist über eine kontaktlose Schnittstelle realisiert und daher besonders benutzerfreundlich. PKI-Karte: Die MyKad unterstützt die Nutzung privater Schlüssel zum Signieren, Authentifizieren und Verschlüsseln. Die MyKid ist im Vergleich dazu deutlich weniger leistungsfähig. Sie hat folgende Funktionen: Ausweis: Neben Informationen zum Kind sind Informationen über die Eltern enthalten. Gesundheitskarte: Die Karte kann ähnliche Informationen zum Gesundheitszustand des Inhabers enthalten wie die MyKad. Schulausweis: Der Ausweis enthält Informationen für die Schule.
Abbildung 15.4: Die malaysische MyKad zählt zu den aufwendigsten elektronische Identitätskartensystemen der Welt.
225
15 Ostasien
15.8.2 Technik der MyKad Die MyKad ist eine Smartcard im ID-1-Format. Sie ist mit einem kontaktbehafteten Chip mit kryptografischem Koprozessor und ISO/IEC-7816-4-Schnittstelle ausgestattet. Ursprünglich hatte die Karte 32 KByte EEPROM. 2002 wurde die Kapazität auf 64 KByte erhöht. Auf dem Chip läuft ein eigens entwickeltes Betriebssystem namens M-COS (MyKad Chip Operating System). Eine spezielle Ausführung der MyKad hat einen zweiten, kontaktlosen Chip eingebaut, der für die kontaktlose Bezahlfunktion genutzt wird. Es handelt sich dabei um einen Mifare-Classic-Chip. Auf eine MyKad sind Name, Adresse, Foto und eine Kennnummer des Inhabers aufgedruckt. Die Kennnummer ist zwölfstellig. Die ersten sechs Stellen geben das Geburtsdatum des Inhabers an, an den verbleibenden Stellen kann man dessen Geschlecht und Geburtsort ablesen (es gibt für jeden malaysischen Bundesstaat sowie für alle Staaten bzw. Regionen der Erde jeweils einen Zahlencode). Kennnummern dieser Art gab es auf den malaysischen Ausweisen bereits vor Einführung der MyKad. Auf der Rückseite der Karte ist die Kennnummer ein zweites Mal abgedruckt, wobei zusätzlich eine zweistellige Nummer aufgeführt ist, die angibt, um die wievielte Karte der jeweiligen Person es sich handelt (die erste hat die Nummer 0). Die MyKid trägt ebenfalls einen kontaktbehafteten Chip. Es ist jedoch kein Foto aufgedruckt. Die aufgedruckte Nummer folgt demselben Schema wie bei der Karte für die Erwachsenen. Im kontaktbehafteten Chip der MyKad sind die aufgedruckten Informationen gespeichert. Zusätzlich sind dort die beiden Daumenabdrucke festgehalten. Sie werden nicht als PINErsatz genutzt, sondern ermöglichen es der Polizei oder bestimmten Behörden, den Ausweis auf sichere Weise dem Inhaber zuzuordnen. Überall im Land gibt es Kiosk-PCs, über die ein Bürger die Daten auf seinem Chip einsehen kann. Die MyKad enthält auch – für Europa unvorstellbar – Informationen zur Religionszugehörigkeit des Inhabers. Ursprünglich sollte diese sowohl auf dem Chip als auch auf der Karte vermerkt sein. Diese Regelung kam vor allem den islamischen Religionsgemeinschaften entgegen, da diese verschiedene Verwaltungsvorgänge über die MyKad durchführen. Einige Nicht-Moslems protestierten jedoch gegen diese Praxis. So einigte man sich schließlich auf einen Kompromiss: Der Status als Moslem ist auf der Karte aufgedruckt, während andere Religionen nicht erkennbar sind. Auf dem Chip ist die Religion dagegen in jedem Fall vermerkt. Nach wie vor gibt es ein zentrales Register aller Karteninhaber, das vom National Registration Department (NRD) betrieben wird. Diese Behörde ist für den Betrieb des MyKad-Systems verantwortlich, sie kümmert sich allerdings nicht um alle Anwendungen. So gibt es für die Führerscheinfunktion der MyKad eine eigene Datenbank, die nicht mit dem NRD verbunden ist. Für die Polizei wurden spezielle, mobile Terminals eingeführt, die ein Auslesen der entsprechenden Karteninhalte sowie einen Zugriff auf diese Datenbank erlauben. Dies hat insbesondere zur Folge, dass ein Polizist bei einer Kontrolle Einträge im Verkehrsregister prüfen und sogar an Ort und Stelle Strafen kassieren kann. Auch die PKI der MyKad wird nicht vom NRD betrieben. Stattdessen haben staatlich anerkannte Trust Center die Möglichkeit, zwei private Schlüssel auf die Karte zu bringen.
226
15.8 Malaysia Allerdings unterstützt nur die 64-KByte-Version der MyKad diese Funktion. Auch die Bankfunktion und die Bezahlfunktionen werden vom Staat nur vorbereitet. Die Idee ist, dass private Anbieter diese Möglichkeiten nutzen und mit entsprechenden Funktionen bestücken. Für die einfachere der beiden Bezahlfunktionen ist ein kontaktloser Chip auf der MyKad notwendig. Die Gesundheitskartenfunktion ermöglicht es, dass sich auf der MyKad ein ganze Reihe medizinischer Daten speichern lassen. Dazu gehören etwa medizinische Behandlungen, Allergien und Versicherungsnummern. Diese Daten sind nur für medizinisches Personal nach entsprechender Authentifizierung zugänglich. Eine medizinische Online-Anwendung existiert bisher nicht.
15.8.3 Bewertung von MyKad Bis Ende 2008 hat das NRD 24 Millionen MyKad-Exemplare ausgestellt. Damit ist praktisch die gesamte malaysische Bevölkerung mit einem elektronischen Identitätsausweis versorgt, und es gibt nur noch einen kleinen Rest an herkömmlichen Identitätskarten. Da die MyKad nicht nur zu den dienstältesten, sondern auch zu den ambitioniertesten Systemen ihrer Art zählt, interessieren sich zahlreiche andere Staaten für das Projekt. Wie nicht anders zu erwarten, liegen inzwischen eine ganze Reihe interessanter Erfahrungen vor, die andere Nationen bei der Einführung von Identitätskarten nutzen können. Ein Problem im Zusammenhang mit der MyKad ist acht Jahre nach deren Einführung nicht mehr zu leugnen: Die insgesamt acht MyKad-Anwendungen werden bisher nur sehr spärlich genutzt. Laut einer Veröffentlichung aus dem Jahr 2007 verwendeten bis zum damaligen Zeitpunkt nur 1,3 Millionen der 10 Millionen malaysischen Führerscheinbesitzer die MyKad-Führerscheinfunktion [DIF07]. Die zum Zugriff auf diese Funktion notwendigen Terminals hatten bei der Polizei noch keine allzu große Verbreitung. Nur eine halbe Million Malaysier nutzten bis 2007 die MyKad als Reisedokument, während zur gleichen Zeit sechs Millionen Reisepässe im Umlauf waren. Die Zahl der mit kontaktlosem Chip ausgestatteten Ausweise – nur diese sind für das kontaktlose Bezahlen geeignet – war mit 450.000 auch nicht gerade überwältigend, zumal längst nicht alle Inhaber solcher Karten diese Möglichkeit nutzen. Noch weniger populär ist die Gesundheitsfunktion der MyKad. Die bisherigen Versuche, die Karte für medizinische Daten zu nutzen, haben den Charakter von Testprojekten und sind von einem flächendeckenden Einsatz weit entfernt. Auch die Bezahl- und Bankfunktion hat bisher nur wenige Anhänger gefunden. Offensichtlich bevorzugen es viele Banken, ihre eigenen Karten auszugeben, anstatt sich in die MyKad einzuklinken. Und schließlich hält sich bisher auch die Nachfrage nach digitalen Zertifikaten für die MyKad in Grenzen. Diese schleppende Entwicklung ist offensichtlich darauf zurückzuführen, dass die MyKad zwar hervorragende technische Möglichkeiten bietet, das Angebot an Anwendungen jedoch noch nicht attraktiv genug ist. Als problematisch hat sich zudem erwiesen, dass viele Bürger befürchten, kaum noch handlungsfähig zu sein, wenn sie ihre Karte verlieren.
227
15 Ostasien [DIF07] berichtet, dass innerhalb von drei Jahren immerhin 2,3 Millionen Karten als verloren gemeldet wurden. Viele Beobachter ziehen aus diesen Überlegungen den Schluss, dass derart viele Anwendungen auf einem elektronischen Ausweis mehr schaden als nutzen können. Es gibt einige weitere Erfahrungen, die das MyKad-Projekt liefert. So hatte die malaysische Regierung auch mit verschiedenen technischen Problemen zu kämpfen. 2008 räumte der zuständige malaysische Minister ein, dass etwa 10 Prozent der bis dahin ausgestellten Karten technische Fehler enthielten, was zahlreiche Neuausstellungen notwendig machte [Hami08]. Als besonders ärgerlich für die Betroffenen erwies sich, dass in den ersten Jahren viele Nicht-Muslime irrtümlich eine Moslem-Markierung auf ihrer Karte hatten. Zunächst mussten die Betroffenen sogar eine Gebühr bezahlen, um eine korrigierte Karte zu erhalten. Dies wurde später geändert, und das Problem gilt inzwischen als gelöst. Auch MyKad-Fälschungen sind durchaus eine Bedrohung. 2008 verhaftete die malaysische Polizei beispielsweise zwei Männer aus Sri Lanka, die offensichtlich MyKads gefälscht und zu einem Preise von etwa 3.000 Euro verkauft hatten (hauptsächlich an Personen aus Sri Lanka) [Atan08]. Die zuständige Behörde bezeichnete die Fälschungen als „zu 99 Prozent authentisch“. Kritik kam zudem von Datenschützern. So schrieb die Fachzeitschrift CARDTECH im Jahr 2001: „Einige Beobachter, auch wenn sie von der Technik beeindruckt sind, sagen, dass Malaysias Mehrzweck-Identitätskarte im Westen so schnell keine Nachahmer finden wird. Das Projekt ist nicht nur teuer – 90 Millionen Dollar sind bis zur Ausgabe der ersten 2 Millionen Karten vorgesehen. Zudem meinen die Kritiker, nur eine autoritäre Regierung wie die malaysische könne eine solche verpflichtende Karte herausgeben, ohne den breiten Protest von Bürgern zu befürchten, die sich um den Schutz ihrer Daten sorgen.“ [Bala01]
15.9
Singapur Der kleine asiatische Staat Singapur (4,5 Millionen Einwohner, 700 Quadratkilometer Fläche) zählt bisher nicht zu den Staaten, die eine elektronische Identitätskarte ausgeben. Es gibt jedoch einen Standard namens SS-ID (Singapore Standard for ID), nach dessen Vorgaben ein solches Dokument entstehen könnte. Es ist auch denkbar, dass man in Singapur auf eine elektronische Identitätskarte verzichtet und stattdessen – ähnlich dem Konzept der österreichischen Bürgerkarte – andere Smartcards als Ersatz verwendet.
15.9.1 Hintergrund des SS-ID Die bisher in Singapur verwendete (nichtelektronische) Identitätskarte wird als National Registration Identity Card (NRIC) bezeichnet. Sie wurde 1965 eingeführt und ist für alle Staatsbürger und sonstige Einwohner verpflichtend. Es gibt jedoch keine Pflicht, die NRIC ständig bei sich zu tragen. Die Karte für Bürger ist rosa, für andere Einwohner Singapurs ist sie blau.
228
15.9 Singapur Ähnlich wie das benachbarte Malaysia unternimmt auch Singapur große Anstrengungen, um das Land durch den Einsatz neuer Technologien zu modernisieren. Der Standard SS-ID ist als Teil dieser Anstrengungen zu begreifen. Es handelt sich dabei um einen 2006 fertiggestellten Standard, zu dem es inzwischen erste Implementierungen gibt (wenn auch nicht in Form eines elektronischen Identitätsausweises). Der SS-ID gibt Formate und Protokolle für Smartcards vor, die als elektronisches Ausweisdokument genutzt werden. Der Standard soll beispielsweise für Behördenausweise, Kundenausweise, Studentenausweise und Mitarbeiterausweise nutzbar sein. Da der SS-ID im Gegensatz zu den Spezifikationen anderer asiatischer Ausweise öffentlich ist, können wir ihn im Folgenden etwas genauer betrachten. SS-ID erlaubt sowohl kontaktlose als auch kontaktbehaftete Chips. Der Inhalt des Standards basiert auf bestehenden Standards wie MRTD, um eine möglichst große Interoperabilität mit anderen Systemen zu ermöglichen. Der Inhalt eines SS-ID-Chips ist an den MRTD-Standard der ICAO angelehnt. SS-ID-konforme Karten sollen dadurch mit denselben Prüfgeräten wie Reisepässe ausgelesen werden können. Für das digitale Signieren und das Verschlüsseln sind neben RSA auch ECC-Verfahren zulässig. Nur digitale Aspekte werden standardisiert, nicht die physikalischen Eigenschaften der Karte. Die Daten auf dem Chip sind (in Anlehnung an die MRTD-Spezifikation) in elf Datengruppen aufgeteilt. Vier davon sind vorgeschrieben, die anderen optional. Der Inhalt der Datengruppen ist (wie im MRTD-Standard) signiert, damit es nicht möglich ist, den digitalen Teil eines Ausweises zu fälschen (statische Datenauthentifizierung). Die folgende Liste nennt die Datengruppen: Allgemeine Daten (vorgeschrieben): Diese Datengruppe enthält Metainformationen und entspricht der analogen Datengruppe des MRTD-Standards. Maschinenlesbare Daten (vorgeschrieben): Hier sind die Daten gespeichert, die sich maschinenlesbar auf der Karte befinden. Auch diese Datengruppe entspricht der des MRTD-Standards, allerdings ist der Inhalt des Felds Dokumentennummer im Gegensatz zu MRTD nicht festgelegt. Beispielsweise kann die Nummer des NRIC-Dokuments des Inhabers darin stehen. Passfoto (optional): Dieses wird im JPEG-2000-Format gespeichert und entspricht dem MRTD-Standard. Fingerabdruck (optional): Diese Datengruppe enthält ein Fingerabdruckreferenzmuster. Es kann dem MRTD-Standard entsprechen, aber auch proprietär sein. Diese Datengruppe muss verschlüsselt werden. Die Abfrage inklusive Entschlüsselung kann über Extended Access Control (EAC) erfolgen. Wird EAC nicht verwendet, dann muss der Betreiber des Ausweissystems auf eine andere Weise sicherstellen, dass das Prüfgerät den benötigten Schlüssel besitzt. Personalien (vorgeschrieben): Hier stehen Name, Adresse, Geschlecht und einige weitere Daten. Optionale Details (optional): In dieser Datengruppe werden verschlüsselte Schlüssel für den EAC-Zugriff gespeichert.
229
15 Ostasien Authentifizierungsschlüssel (optional): Die Karte hat die Möglichkeit, sich gegenüber einem Prüfgerät zu authentifizieren. Dies erfolgt entweder mit einem symmetrischen Schlüssel, der in dieser Datengruppe lesegeschützt abgelegt ist, oder mit einem privaten Schlüssel (RSA oder ECC), der außerhalb der hier beschriebenen Datengruppen auf dem Chip gespeichert wird (SS-ID lässt offen, an welcher Stelle). In letzterem Fall wird in dieser Datengruppe der zugehörige öffentliche Schlüssel gespeichert. Zugriffskontrollliste (optional): Diese lässt sich beispielsweise für eine Zutrittskontrollanlage in einem Gebäude nutzen. Security-Datenobjekt (vorgeschrieben): Diese Datengruppe enthält Hashwerte und digitale Signaturen (RSA oder ECDSA) der anderen Datengruppen kompatibel zum MRTD-Standard. Der SS-ID-Standard gibt nicht vor, wer die Signaturen anfertigt. Persönlicher Ordner (optional): Diese Datengruppe ist für zukünftige und proprietäre Anwendungen gedacht. Sie wird nicht signiert. Für einen Standard dieser Tragweite ist SS-ID mit etwa 40 Seiten erstaunlich kurz. Allerdings lässt der Inhalt dem Implementierer zahlreiche Freiheiten, wodurch die daraus resultierenden Ausweissysteme in vielen Bereichen nicht notwendigerweise interoperabel sind.
15.9.2 Bewertung des SS-ID Von der Idee her ist SS-ID sowohl mit der e-Card-Strategie in Deutschland als auch mit der Bürgerkarte in Österreich zu vergleichen. Im Gegensatz zur e-Card-Strategie muss der SS-ID jedoch nicht mehrere bestehende Ausweissysteme unter einen Hut bringen, sondern kann einen Rahmen für zukünftige Ausweissysteme setzen. Im Vergleich zur Bürgerkarte ist eine SS-ID-Karte nicht notwendigerweise ein hoheitliches Dokument, sondern kann beispielsweise auch ein Firmenausweis sein. Es gibt bereits Implementierungen des SS-ID. So stellte die zivile Luftfahrtbehörde CAAS 70.000 Karten für das gesamte Personal des Flughafens Changi aus (dies ist der bedeutendste Flughafen des Landes). Die Hafenbehörde PSA versorgte etwa 100.000 Hafenarbeiter mit einer Karte. Beide Implementierungen basieren auf Dual-Interface-Karten. Sie werden vor allem für die Authentifizierung und die Zutrittskontrolle verwendet. Wie diese Betrachtungen zeigen, verfolgt Singapur in Sachen elektronischer Identitätsausweis eine etwas andere Strategie als die meisten anderen in diesem Buch betrachtete Staaten. Während andere Länder eine Ausweiskarte einführten, schuf man in Singapur ein Rahmenwerk, das verschiedene Ausweiskarten zulässt. Die Zukunft wird zeigen, welcher Ansatz besser ist.
230
15.10 Südkorea
15.10 Südkorea In Südkorea gibt es Pläne für eine elektronische Identitätskarte, die als National ID Card bezeichnet wird. Nachdem in Südkorea 1968 erstmals Identitätskarten ausgegeben worden waren, kam bereits 1995 die Idee auf, diese mit einem Chip zu versehen. Die Karte sollte zunächst mit einer Führerschein-, Gesundheitskarten- und Rentenversicherungskartenfunktion ausgestattet werden. Später fielen diese zusätzlichen Anwendungen jedoch aus dem Konzept. Die Ausgabe der koreanischen elektronischen Identitätskarte wurde für 1999 angekündigt, wodurch diese die erste ihrer Art weltweit gewesen wäre. Das Projekt scheiterte jedoch schließlich am Widerstand in der Bevölkerung und an den hohen Kosten. 2006 kündigte die südkoreanische Regierung einen neuen Anlauf in Sachen elektronischer Identitätskarte an. Leider sind bisher nur wenige Details bekannt geworden. Eine im Internet verfügbare Präsentation nennt immerhin einige Details zum äußeren Erscheinungsbild [KATS06]. Auf der Vorderseite der Karte finden sich demnach lediglich der Name des Inhabers sowie der Ort und das Datum der Ausstellung. Auf der Rückseite ist die Kartennummer abgedruckt. Die aufgedruckten Angaben sind aus Datenschutzgründen möglichst knapp gehalten. Der Inhalt des Chips der National ID Card ist nach Vorbild des MRTD-Standards in Form einer Logical Data Structure aufgebaut. Hier finden sich deutlich mehr Informationen als auf der Kartenoberfläche. So sind an dieser Stelle auch die Adresse und das Geburtsdatum festgehalten. Auch ein Fingerabdruck soll verwendet werden. Die Ausgabe der Karte sollte 2008 beginnen, hat sich jedoch erst einmal verzögert. Mehr ist mir derzeit nicht bekannt.
15.11 Thailand In Thailand gibt es seit 2006 eine elektronische Identitätskarte. Sie wird schlicht als Smart Card ID bezeichnet. Die Karte löste den bis dahin aus Papier bestehenden thailändischen Identitätsausweis ab. In Thailand gilt die Ausweispflicht für Personen ab 15 Jahre. Die Smart Card ID ist eine kontaktbehaftete Smartcard, auf deren Vorderseite neben der ChipKontaktfläche ein Passfoto und ein Strichcode angebracht sind. Zudem sind verschiedene Informationen zur Person auf der Vorderseite aufgedruckt. Auf der Rückseite finden sich ein Magnetstreifen sowie eine maschinenlesbare Zone nach MRTD-Standard. Auf dem Chip der Smart Card ID sind das Gesichtsbild sowie ein Fingerabdruckreferenzmuster (Match-on-Card) gespeichert. Die Anwendungen auf dem Chip wurden mit Java Card realisiert. Die Karte soll auch als Führerschein und Gesundheitskarte nutzbar sein. Parallel zur Karteneinführung baute die Regierung mehrere zentrale Datenbanken auf, mit deren Hilfe auch Online-Anwendungen möglich sind. Zum Konzept gehören zudem öffentliche Terminals, die auch in kleinen Dörfern zugänglich sein sollen.
231
15 Ostasien
15.12 Taiwan In Taiwan wurde im Jahr 2003 flächendeckend für ca. 23 Mio. Versicherte eine elektronische Gesundheitskarte eingeführt. Es handelt sich um eine kontaktbehaftete Smartcard, deren Anwendungen mit Java Card realisiert sind. Ärzte und Apotheker haben mit einer Health Professional Card Zugriff auf die Patientendaten. Bisher wird die taiwanesische Gesundheitskarte jedoch (ähnlich wie die in Deutschland die Krankenversichertenkarte) hauptsächlich für administrative Daten (Name, Geburtsdatum etc.) genutzt.
232
16 16 Arabien Neben Europa und Ostasien ist die arabische Halbinsel die dritte Weltregion, in der elektronische Ausweisdokumente eine wichtige Rolle spielen. Entsprechende Projekte gibt es vor allem in den sechs Staaten des Golf-Kooperationsrats, also in Bahrain, Katar, Kuwait, Oman, Saudi-Arabien und in den Vereinigten Arabischen Emiraten. Dies sind gleichzeitig die reichsten Länder Arabiens, was bekanntlich auf die dortigen Erdölvorkommen zurückzuführen ist. Abgesehen von Kuwait setzen alle Mitgliedsstaaten des Golf-Kooperationsrates bereits seit Jahren elektronische Identitätskarten ein. Ein Abkommen zwischen den sechs Ländern sorgt dafür, dass diese Dokumente wechselseitig anerkannt werden und interoperabel sind (siehe Abschnitt 9.8). Die Motive für die Einführung einer elektronischen Identitätskarte sind innerhalb des GolfKooperationsrats stets ähnlich. Da die Zahl der Gastarbeiter in den Mitgliedsstaaten ausgesprochen hoch ist (teilweise über 50 Prozent der Bevölkerung), legen die dortigen Regierungen großen Wert auf eine wirksame Einwanderungskontrolle. Elektronische Identitätsausweise dienen dabei als wichtiges Hilfsmittel. Da gerade unter Einwanderungswilligen die Fremdnutzung von Identitätsausweisen weit verbreitet ist, unterstützen alle elektronischen Identitätsausweise innerhalb des Golf-Kooperationsrats Biometrie. Darüber hinaus lassen sich die verwendeten Ausweischips meist für einige weitere Anwendungen nutzen. So unterstützen einige der arabischen E-Identitätsausweise Gesundheitskartenfunktionen, lassen sich als Führerschein verwenden, können als Bankkarte eingesetzt werden oder bieten eine Bezahlfunktion. Die Staaten des Golf-Kooperationsrats bemühen sich zudem um ein reichhaltiges Angebot an E-Government-Diensten, die mithilfe der jeweiligen Karte zugänglich sind. Datenschutzbedenken spielen eine deutlich geringere Rolle als in Europa. Leider sind die Behörden in den genannten Staaten äußerst zurückhaltend, was genauere Informationen zu ihren E-Ausweis-Projekten anbelangt. In den einschlägigen Fachzeitschriften und auf Fachkonferenzen war daher bisher kaum etwas über die diversen arabischen Ausweissysteme zu erfahren. Auch im Internet ist wenig zu finden, und einige direkte Anfragen von mir waren ebenfalls wenig ergiebig. Offenbar haben die arabischen Staaten kein Interesse daran, dass ihre Ausweissysteme in der Öffentlichkeit diskutiert werden.
233
16 Arabien Die Betrachtungen in diesem Kapitel fallen angesichts der unerfreulichen Quellenlage etwas spärlicher aus als beispielsweise bei den europäischen E-Ausweis-Projekten. Einen Eindruck von den elektronischen Identitätskarten in Arabien sollten die folgenden Unterkapitel dennoch vermitteln.
16.1
Bahrain Der Inselstaat Bahrain gehört mit etwa einer Million Einwohnern zu den kleinsten arabischen Ländern. Wie alle arabischen Staaten, die durch Erdöl zu Reichtum gelangt sind, hat auch Bahrain einen hohen Anteil an Gastarbeitern in der Bevölkerung. Etwa jeder zweite Einwohner ist Ausländer. Dadurch spielt in Bahrain die Einwanderungskontrolle eine wichtige Rolle. Dies war der Hauptgrund dafür, dass die Regierung eine elektronische Identitätskarte einführte.
16.1.1 Hintergrund der bahrainischen Identitätskarte Im Jahr 2004 wählten die bahrainischen Behörden nach zwei Ausschreibungen verschiedene Technologie-Anbieter aus, die das geplante E-Ausweis-Projekt in die Praxis umsetzen sollten. Die Ausgabe der elektronischen Identitätsausweise startete 2005. In einer Pilotphase erhielten zunächst ranghohe Regierungsvertreter sowie andere bedeutende Persönlichkeiten eine elektronische Identitätskarte, danach wurde die gesamte Bevölkerung mit einem solchen Dokument versorgt. Bereits bei den Parlamentswahlen im Jahr 2006 wurden die neuen Karten flächendeckend eingesetzt. Die bahrainische Identitätskarte gibt es in zwei Varianten: für Staatsbürger und für Ausländer. Neben der Verwendung als Identitätsdokument für die Zuwanderungskontrolle bietet die Karte ein breites Spektrum an zusätzlichen Anwendungen. So ist sie als Bankkarte, zur Authentifizierung gegenüber Online-Angeboten, zum Bezahlen kleinerer Beträge und als Führerschein nutzbar. Zudem lassen sich auf ihr medizinische Daten und Informationen zur Ausbildung des Inhabers speichern.
16.1.2 Technik der bahrainischen Identitätskarte Die Identitätskarte Bahrains ist eine Dual-Interface-Karte im ID-1-Format [Bahr09]. Auf ihr ist zum einen ein kontaktbehafteter Chip mit 64 KByte EEPROM angebracht, der mit Java Card realisiert und nach den Common Criteria evaluiert ist (EAL 4). Zum anderen verfügt sie über einen kontaktlosen Mifare-Chip mit 1 KByte EEPROM. Dieser ist vor allem für das Bezahlen kleinerer Beträge gedacht. Auf dem Chip sind ein Passfoto sowie Fingerabdruckreferenzmuster gespeichert. Mithilfe seines Fingerabdrucks kann der Inhaber die Karte freischalten (Match-on-Card). Auf der Kartenrückseite ist eine maschinenlesbare Zone nach MRTD-Standard abgebildet.
234
16.2 Jemen
16.1.3 Bewertung der bahrainischen Identitätskarte Die elektronische Identitätskarte Bahrains gilt allgemein als gelungen, auch wenn die zahlreichen Anwendungen erst langsam in die Praxis umgesetzt werden. 2006 wurde das Projekt auf einer Smartcard-Fachkonferenz als beste elektronische Identitätskarte der MiddleEast-Region (im deutschen Sprachgebrauch entspricht dies dem Nahen Osten) ausgezeichnet.
Abbildung 16.1: Die elektronische Identitätskarte Bahrains gilt allgemein als gelungen.
16.2
Jemen Die Republik Jemen hat im Vergleich zu ihren arabischen Nachbarn deutlich geringere Erdölvorkommen. Das Land im Süden der arabischen Halbinsel zählt zu den 50 ärmsten Staaten der Erde und hat folgerichtig bisher nur wenige Gastarbeiter ins Land geholt. Der Jemen ist nicht Mitglied des Golf-Kooperationsrats, hat jedoch die Aufnahme beantragt. Nachdem die reichen Nachbarn Oman und Saudi-Arabien bereits seit Jahren elektronische Identitätsausweise ausgegeben hatten, führte der Jemen 2008 ebenfalls ein solches Dokument ein. Zuständig ist das jemenitische Innenministerium. Bei über 22 Millionen Einwohnern zählt das Projekt zu den größeren seiner Art. Bereits im Laufe des Jahres 2009 sollen die Karten vollständig ausgegeben sein und im Rahmen der im gleichen Jahr stattfindenden Parlamentswahlen ihre erste Bewährungsprobe bestehen. Während die Nachbarländer großen Wert auf die Einwanderungskontrolle legen, steht dieses Thema im Jemen nicht im Vordergrund. Die jemenitische Identitätskarte hat in erster Linie den Zweck, das Land zu modernisieren.
235
16 Arabien Über die Technik der jemenitischen elektronischen Identitätskarte ist bisher wenig bekannt. Das Dokument hat ID-1-Format und arbeitet mit einem kontaktbehafteten Chip. Die Funktionsweise orientiert sich an den Identitätskarten der anderen Golfstaaten. Auf dem Chip sind persönliche Angaben wie der Name, die Adresse und ein Passfoto des Inhabers gespeichert. Zudem unterstützt das Dokument Biometrie in Form von Fingerabdruckreferenzmustern, die im Chip abgelegt sind. Die Karte soll den Inhabern den Zugang zu E-Government-Diensten ermöglichen, die jedoch bisher noch nicht existieren. Die jemenitische elektronische Identitätskarte befindet sich noch in einer frühen Phase. Man darf also gespannt sein, wie das nicht gerade als Hightech-Staat bekannte Land dieses Projekt meistern wird.
16.3
Katar Katar ist mit knapp einer Million Einwohnern ähnlich groß wie Bahrain und zählt damit zu den kleinsten arabischen Staaten. Der Ausländeranteil ist mit 80 Prozent selbst für arabische Verhältnisse sehr hoch, nachdem reichhaltige Erdöl- und Erdgas-Vorkommen das Land zu einem der reichsten der Welt gemacht haben. Die Einwanderungskontrolle hat dementsprechend einen hohen Stellenwert.
16.3.1 Hintergrund der ID Card 2005 entschied das Innenministerium von Katar, die bis dahin verwendeten chiplosen Identitätskarten durch elektronische Ausweise zu ersetzen. Der auf die Karten aufgedruckte englische Name dieses Dokuments ist ID Card. Die ID Card sollte ursprünglich neben der Ausweisfunktion auch eine Anwendung als Gesundheitskarte und als Führerschein erlauben [Gema07]. Zudem wurde die ID Card mit privaten Schlüsseln bestückt, um sie als Authentifizierungsmedium für E-Government-Angebote nutzbar zu machen. Zu diesem Zeitpunkt gab es bereits umfangreiche E-Government-Dienste in Katar, die mit einer PKI abgesichert waren und die seit Einführung der ID Card auch mit dieser zugänglich sind. Die Ausgabe der ID Card begann im Jahr 2007. Zunächst erhielten nur Staatsbürger eine Karte, aber seit 2008 werden auch Ausländer damit ausgestattet. Ab 16 Jahren herrscht Ausweispflicht. Die Einführung des Dokuments erfolgte, indem neue Ausweise als ID Card ausgegeben wurden, es gab also keinen abrupten Austausch. Inzwischen wird die Karte ausgiebig für Einwanderungsanwendungen genutzt, und auch für das E-Government kommt sie häufig zum Einsatz. Die Führerschein- und die Gesundheitskartenfunktion werden dagegen bisher nicht verwendet.
16.3.2 Technik der ID Card Die katarische ID Card ist eine Dual-Interface-Smartcard im ID-1-Format mit 64 KByte EEPROM. Es gibt keine Trennung zwischen dem kontaktbehafteten und dem kontaktlosen Chip, stattdessen ist ein Zugriff auf beide Arten möglich. Der kontaktlose Zugriff soll vor
236
16.4 Kuwait allem eine Kompatibilität zum elektronischen Reisepass nach MRTD-Standard herstellen. Die Karte unterstützt Biometrie im Match-on-Card-Modus. Sowohl Fingerabdruck- (beide Daumen) als auch Gesichts- und Irisreferenzmuster können auf der Karte gespeichert werden. Auf der Karte sind eine Identifikationsnummer, ein Passfoto, die Nationalität des Inhabers, dessen Aufenthaltsstatus, die Gültigkeit, das Geburtsdatum sowie die Blutgruppe notiert. Auf der Rückseite findet sich die Unterschrift des Inhabers.
16.3.3 Bewertung der ID Card Im Vergleich zu seinen Nachbarländern hat Katar erst spät eine elektronische Identitätskarte eingeführt. Dafür nutzt die Karte neuere Technik in Form einer Dual-Interface-Karte und Iriserkennung. Leider gibt es über das Projekt nur wenige öffentliche Informationen.
16.4
Kuwait Kuwait zählt dank seiner reichen Ölvorkommen zu den 25 reichsten Staaten der Welt. Der Anteil an Gastarbeitern in der Bevölkerung liegt bei etwa 60 Prozent. Mit 2,8 Millionen Einwohnern (inklusive ausländischen Bürgern) ist Kuwait größer als Katar und Oman. Als einziger Staat des Golf-Kooperationsrats hat Kuwait bisher keine elektronische Identitätskarte eingeführt. Laut [Llew09] soll sich das im Laufe des Jahres 2009 ändern. Leider konnte ich über dieses Vorhaben keine weiteren Informationen in Erfahrung bringen.
16.5
Oman Mit seinen etwa drei Millionen Einwohnern zählt das Sultanat Oman zu den mittelgroßen Ländern auf der arabischen Halbinsel. Etwa ein Drittel der Bewohner sind Ausländer, die als Gastarbeiter im Oman leben. Dies ist zwar ein geringerer Anteil als beispielsweise in Saudi-Arabien oder in den Vereinigten Arabischen Emiraten. Dennoch spielt die Einwanderungskotrolle auch im Oman eine wichtige Rolle. Bei der Einführung einer elektronischen Identitätskarte war das Land das erste in Arabien.
16.5.1 Hintergrund der omanischen Identitätskarte Im Oman gilt Ausweispflicht für Personen ab 15 Jahren. Im Oktober 2002 startete die Regierung ein Projekt zur Einführung eines elektronischen Identitätsausweises. Nach Angaben der verantwortlichen Mitarbeiter hatten die Planungen für dieses Vorhaben bereits vor dem 11. September 2001 begonnen und standen daher nicht in Zusammenhang mit den damaligen Terroranschlägen. Wichtigster Zweck des neuen Ausweises war stattdessen die Einwanderungskontrolle. Gefälschte Ausweise und die Nutzung fremder Ausweisdokumente waren damals ein ernsthaftes Problem im Oman. Dementsprechend machte man die Karten auch für Gastarbeiter verbindlich.
237
16 Arabien Zusätzlich sollte der neue Ausweis Verwaltungsabläufe beschleunigen, den Stellenwert der Informationstechnik erhöhen und die nationale Sicherheit verbessern. Davon abgesehen war die Karte für einen späteren Zeitpunkt als Multifunktionskarte geplant, die als Führerschein dienen, medizinische Notfalldaten speichern und im arabischen Raum als Reisedokument nutzbar sein sollte. Auch eine Bankkarten- und eine Bezahlfunktion gehörten zum Konzept. Zur Authentifizierung und für digitale Signaturen wurden private Schlüssel vorgesehen. Die Verwaltung der Karten übernahm die Polizei von Oman. Die Regierung ließ parallel zum Aufbau der Infrastruktur ein zentrales Register einrichten, in dem alle Karteninhaber verzeichnet waren. Die Ausgabe der Karten begann 2004. Damit war der Oman das erste Land im Nahen Osten, das eine elektronische Identitätskarte einführte. Bereits 2006 gab es einige Änderungen, wodurch die heute noch verwendeten Karten entstanden.
16.5.2 Technik der omanischen Identitätskarte Die Identitätskarte des Oman ist eine kontaktbehaftete Smartcard mit 32 KByte EEPROM. Es wird der Java-Card-Standard verwendet. Auf der Karte ist neben dem Foto ein Fingerabdruck des Zeigefingers gespeichert. Polizisten haben die Möglichkeit, die Gültigkeit einer Karte mithilfe eines mobilen Fingerabdrucklesers zu prüfen. Von den möglichen Zusatzfunktionen ist bisher nur der elektronische Führerschein im Einsatz. Die Bezahlfunktion könnte ab 2009 verwendbar sein.
16.5.3 Bewertung der omanischen Identitätskarte Oman war das erste Land in Arabien, das eine elektronische Identitätskarte einführte. Dadurch ist das Projekt schon relativ weit fortgeschritten. Andere arabische Länder haben inzwischen jedoch aufgeholt.
16.6
Saudi-Arabien Saudi-Arabien ist das größte und mit über 27 Millionen Einwohnern bevölkerungsreichste Land im Golf-Kooperationsrat. Über ein Fünftel der Bevölkerung besteht aus Gastarbeitern. Wie in den anderen Ölstaaten der Golfregion dient auch in Saudi-Arabien das Ausweiswesen zu einem großen Teil der Einwanderungskontrolle.
16.6.1 Hintergrund der National ID Card Der Innenminister Saudi-Arabiens gab 2004 den Weg für eine elektronische Identitätskarte frei [QuJa05]. Diese wird als National ID Card bezeichnet (dieser Name ist auf Englisch aufgedruckt). Für die Karte ist das Innenministerium zuständig, die Ausgabe erfolgt über lokale Ausgabestellen. Sowohl die Staatsbürger als auch die ausländischen Einwohner Saudi-Arabiens erhalten eine Karte. Seit 2005 wird das Dokument auch für Frauen ausgestellt, wovon jedoch bisher erst etwa 6 Prozent der weiblichen Bevölkerung Gebrauch ge-
238
16.7 Vereinigte Arabische Emirate
Abbildung 16.2: Die National ID Card von Saudi-Arabien ist innerhalb Arabiens die elektronische Identitätskarte mit den höchsten Stückzahlen.
macht haben. Die Karte wird neben der Einwanderungskontrolle vor allem für E-Government-Anwendungen verwendet [Saud09]. Die National ID Card lässt sich auch als Gesundheitskarte nutzen.
16.6.2 Technik der National ID Card Die Identitätskarte Saudi-Arabiens ist eine kontaktbehaftete Smartcard, die auf Basis von MULTOS realisiert ist. Auf der Vorderseite befindet sich neben dem Chip ein optischer Speicherstreifen der Firma LaserCard. Auf der Rückseite ist ein Passfoto aufgebracht.
16.6.3 Bewertung der National ID Card Saudi-Arabien betreibt aufgrund seiner hohen Einwohnerzahl das größte E-AusweisSystem Arabiens. Der Einsatz von MULTOS ist zweifellos eine Besonderheit. Auch der optische Speicherstreifen gehört bisher noch zu den exotischen E-Ausweis-Bestandteilen. Gerne hätte ich Ihnen an dieser Stelle mehr zur National ID Card erzählt, doch mir ist nicht mehr darüber bekannt.
16.7
Vereinigte Arabische Emirate Kaum ein Land der Welt hatte in den letzten Jahrzehnten ein so starkes Bevölkerungswachstum zu verzeichnen wie die Vereinigten Arabischen Emirate. Die Zahl der Einwohner, die bei Gründung des Staates im Jahr 1971 gerade einmal bei 180.000 lag, beträgt heute etwa 5 Millionen. Ein Großteil des Zuwachses ist auf die zahlreichen Einwanderer zurückzuführen, die für die Nutzung der Ölvorkommen benötigt werden. Nur etwa ein Vier-
239
16 Arabien tel der Einwohner des Landes sind Staatsbürger. Aufgrund dieser Situation spielt das Ausweiswesen in den Emiraten eine wichtige Rolle in der Einwanderungskontrolle.
16.7.1 Hintergrund der VAE-Identitätskarte Elektronische Identitätsausweise wurden in den Vereinigten Arabischen Emiraten erstmals 2005 ausgegeben [AlKh06]. Zunächst erhielten nur Staatsbürger eine Karte. Seit 2007 gibt es auch für die zahlreichen Gastarbeiter solche Dokumente. Es gilt Ausweispflicht ab 15 Jahren (genauer gesagt muss jeder Bürger innerhalb von sechs Monaten nach dem 15. Geburtstag einen Antrag gestellt haben). Die Ausgabe der Ausweise erfolgt an 22 regionalen Standorten. Der elektronische Ausweis der Vereinigten Arabischen Emirate ist als Multifunktionsdokument konzipiert. Neben der Nutzung als Identitätsdokument und zum Beweis der Arbeitserlaubnis ist auch eine Verwendung als Gesundheitskarte, als Reisedokument (innerhalb des Golf-Kooperationsrats), als Bankkarte und als Bezahlkarte vorgesehen. Zudem werden derzeit zahlreiche E-Government-Angebote aufgebaut.
16.7.2 Technik der VAE-Identitätskarte Die elektronische Identitätskarte der Vereinigten Arabischen Emirate ist technisch relativ aufwendig realisiert. Sie unterstützt die üblichen PKI-Funktionen und ermöglicht neben der Fingerabdruck- auch die Irisscan-Nutzung, wobei Match-on-Card unterstützt wird. Das System basiert auf Java Card. Auf der Kartenvorderseite sind der Name des Inhabers, die Nationalität, ein Passfoto und eine 15-stellige Nummer untergebracht. Auf der Rückseite finden sich das Geburtsdatum, das Geschlecht, die Unterschrift des Inhabers und das Gültigkeitsdatum. Ergänzt wird die elektronische Identitätskarte durch ein modernes Einwohnermelde- und -verwaltungssystem sowie durch eine staatliche Website.
16.7.3 Bewertung der VAE-Identitätskarte Die elektronische Identitätskarte der Vereinigten Arabischen Emirate gilt als besonders ambitioniertes Projekt. Wie die anderen arabischen Ländern halten sich jedoch auch die Vereinigten Arabischen Emirate mit Informationen zu ihrem E-Ausweis-System zurück, weshalb man bisher kaum etwas über die Erfahrungen berichten kann, die das Land mit seiner elektronischen Identitätskarte gemacht hat.
240
17 17 Amerika und Afrika Elektronische Ausweisdokumente sind bisher eine Domäne der europäischen und asiatischen Staaten. Im Vergleich dazu sieht die E-Ausweis-Welt in Amerika und Afrika bisher deutlich bescheidener aus. Dennoch gibt es auch auf diesen Kontinenten inzwischen einige interessante Projekte. Die folgenden Seiten geben einen Überblick.
17.1
Brasilien Die brasilianische Identitätskarte heißt cédula de identidade. Es gilt Ausweispflicht ab dem 19. Lebensjahr. Innerhalb der nächsten Jahre will die Regierung auf einen elektronischen Identitätsausweis umstellen. Dabei wird es sich voraussichtlich um eine kontaktbehaftete Smartcard handeln. Ähnlich wie die portugiesische E-Identitätskarte soll auch die brasilianische mehrere existierende Ausweisdokumente ersetzen. Sie wird daher vier unterschiedliche Kennnummern tragen.
Chip
Persönliche Kennnummer
Weitere Nummern
Abbildung 17.1: Der elektronische Identitätsausweis Brasiliens ist noch in der Entstehung.
241
17 Amerika und Afrika
17.2
Ecuador In Ecuador ist bisher der Führerschein das gängigste Dokument, um sich auszuweisen. Anfang 2009 wurde bekannt, dass die ecuadorianische Regierung einen elektronischen Identitätsausweis einführen will und zu diesem Zweck die Durchführung eines Pilotprojekts plant [Ecua09]. Es soll Biometrie zum Einsatz kommen. Details zu diesem Projekt sind bisher nicht bekannt.
17.3
El Salvador Der mittelamerikanische Staat El Salvador zählt sicherlich nicht zu den Staaten, in denen man technische Innovationen erwarten würde. Interessanterweise ist jedoch ausgerechnet das lateinamerikanische Land Schauplatz eines spannenden E-Ausweis-Projektes. In dessen Mittelpunkt steht der weltweit erste landesweit eingeführte elektronische Führerschein [Gemp02]. Dieser wird zusammen mit einer Fahrzeugregistrierungskarte ausgegeben, die ebenfalls mit einem Chip bestückt ist und die man daher man als elektronischen Fahrzeugbrief bezeichnen kann. Die beiden elektronischen Dokumente wurden bereits 1998 eingeführt. Für einen Ausweis auf Smartcard-Basis war dies ein sehr früher Zeitpunkt. Grund für diese Entwicklung waren die Zustände im Straßenverkehr von El Salvador. Das Land hatte mit Fahrzeugdiebstählen, illegalen Importen, gefälschten Papieren und ähnlichen Problemen zu kämpfen. Dies sollte sich durch den elektronischen Führerschein und den elektronischen Fahrzeugbrief ändern. Leider hat die Regierung El Salvadors keine Details zu ihrem Führerscheinsystem veröffentlicht.
17.4
Guatemala Guatemala will in den nächsten Jahren eine elektronische Identitätskarte einführen. Details darüber sind mir leider nicht bekannt.
17.5
Marokko In Marokko wurden 2008 elektronische Identitätskarten mit Biometrie-Unterstützung eingeführt. Die zuständige Behörde will innerhalb von vier Jahren 20 Millionen Exemplare in Umlauf bringen. Details zu diesem Projekt sind mir leider nicht bekannt.
242
17.6 USA
17.6
USA In den Vereinigten Staaten gibt es keinen national einheitlichen Identitätsausweis. Das gängigste Dokument, um sich auszuweisen, ist stattdessen der Führerschein. Für diesen ist in den USA der jeweilige Bundesstaat zuständig, wodurch die entsprechenden Dokumente in jedem Staat anders aussehen und unterschiedlichen Bestimmungen unterliegen. Alle Bundesstaaten geben Führerscheine oder führerscheinähnliche Ausweise (meist als IDKarten bezeichnet) auch an Personen aus, die nicht Auto fahren. ID-Karten haben somit den Charakter eines Identitätsausweises. Abgesehen davon ist in den USA der Reisepass ein gängiges Mittel, um sich auszuweisen. Auch Militärausweise, Krankenversicherungskarten (diese werden von einigen Krankenversicherungen ausgegeben), die Sozialversicherungskarte und die Geburtsurkunde werden in der Regel akzeptiert. Insgesamt kann man das Ausweiswesen der Vereinigten Staaten damit als reichlich zersplittert und unübersichtlich bezeichnen. Wie in anderen Ländern gibt es derzeit auch in den USA verschiedene E-Ausweis-Aktivitäten. Angesichts des komplizierten Ausweiswesens der Vereinigten Staaten verwundert es kaum, dass hierbei gleich mehrere elektronische Ausweissysteme gleichzeitig betrieben bzw. geplant werden. Die treibende Kraft hinter diesen Projekten sind meist nicht irgendwelche E-Ausweis-Zusatzanwendungen (diese stehen in Europa und Ostasien im Vordergrund). Auch die Einwanderungskontrolle (diese ist der wichtigste Beweggrund in den arabischen Ländern) steht nicht im Mittelpunkt. Stattdessen ist es vor allem die Angst vor dem Terrorismus, die in den USA seit einigen Jahren die Entwicklung elektronischer Ausweise erheblich fördert. So sind als Folge der Terroranschläge vom 11. September 2001 gleich mehrere Gesetze und Vorschriften entstanden, die eine Verschärfung der US-Ausweisbestimmungen nach sich ziehen. Eine dieser Vorschriften habe ich bereit erwähnt: das Visa-Waiver-Programm, das von USA-Besuchern biometrische Reisepässe nach MRTDStandard verlangt, sofern diese ohne Visum einreisen wollen (siehe Abschnitt 5.2.1). Das Visa-Waiver-Programm betrifft allerdings nur ausländische Ausweise. An dieser Stelle sollen uns dagegen nur Rechtsvorschriften interessieren, die Auswirkungen auf USAusweise haben. Hierbei sind vor allem folgende Bestimmungen zu nennen: REAL-ID-Gesetz: Dieses soll die Führerscheine und ID-Karten in den USA vereinheitlichen und sicherer machen. Homeland Security Presidential Directive 12 (HSPD-12): Diese Verordnung schreibt die Verwendung von Smartcards in der öffentlichen Verwaltung vor. Western Hemisphere Travel Initiative (WHTI): Diese Initiative hat zusätzliche Sicherheitsvorkehrungen bei der Einreise in die USA zum Inhalt. Maritime Transportation Security Act (MTSA): Dieses Gesetz beinhaltet verschärfte Sicherheitsvorkehrungen für Schiffe und Hafenanlagen. Auf alle genannten Gesetze und Bestimmungen werde ich im Verlaufe dieses Kapitels noch genauer eingehen. Zunächst soll uns das REAL-ID-Gesetz interessieren. Dieses USBundesgesetz aus dem Jahr 2005 hat unter anderem den Zweck, die in den verschiedenen
243
17 Amerika und Afrika Bundesstaaten verwendeten Führerscheine und ID-Karten zu vereinheitlichen und auf ein hohes Sicherheitsniveau zu bringen. Das REAL-ID-Gesetz macht beispielsweise Vorschriften zu den physikalischen Sicherheitsmerkmalen der Ausweisdokumente, zur Prüfung der Antragssteller und zu den Datenbanken in den Hintergrundsystemen. Das Gesetz ist (wie in solchen Fällen üblich) recht allgemein gehalten und überlässt die Details den Ausführungsbestimmungen des Ministeriums für Heimatschutz. Dort arbeitet man derzeit noch an den Einzelheiten, die in den nächsten Jahren umgesetzt werden sollen. Schon jetzt zeichnet sich jedoch ab, dass das REAL-ID-Gesetz elektronische Ausweise nicht zur Pflicht machen wird. Das REAL-ID-Gesetz ist heftig umstritten. Zahlreiche Datenschützer und Bürgerrechtler befürchten, dass mit der REAL-ID quasi durch die Hintertür ein nationaler Identitätsausweis entsteht, auf den die USA bisher bewusst verzichtet haben. Mehr noch als die Karte selbst steht das Hintergrundsystem in der Kritik, das einen Abgleich der verschiedenen Führerscheindatenbanken vorsieht und nach Ansicht der Kritiker zahlreiche Missbrauchsmöglichkeiten zulässt. Am skurrilsten sind zweifellos die Einwände einiger fundamentalchristlicher Gruppierungen, die in der REAL-ID das Eintreffen einer Prophezeiung aus der Bibel (Offenbarung 13,16) sehen. Dort ist von einer Markierung die Rede, die „die Kleinen und die Großen, die Reichen und die Armen, die Freien und die Knechte“ auf ihrer Hand oder ihrer Stirn anbringen. Sollte sich diese Bibelstelle indirekt auf einen Ausweis beziehen? Einige bibeltreue Christen meinen ja und fordern daher eine Abschaffung des REALID-Gesetzes. Aus deutlich diesseitigeren Gründen sind auch zahlreiche US-Bundesstaaten nicht besonders glücklich mit dem REAL-ID-Gesetz. Dieses nimmt ihnen – von allen anderen Nachteilen abgesehen – einen Teil ihrer Unabhängigkeit. Einige Staaten haben daher bewusst Beschlüsse verabschiedet, die dem Gesetz zuwiderlaufen (da im Zweifelsfall Bundesrecht gilt, haben diese jedoch nur eine begrenzte Wirkung). Angesichts der derzeitigen Querelen ist es durchaus möglich, dass man das REAL-ID-Gesetz in Washington noch abändern wird, bevor die einzelnen Bestandteile vollständig umgesetzt sind.
17.6.1 PIV-Karte Neben dem REAL-ID-Gesetz hat derzeit vor allem die Homeland Security Presidential Directive 12 (HSPD-12) aus dem Jahr 2004 wichtige Auswirkungen auf elektronische Ausweise in den USA. Die HSPD-12 ist eine Verordnung des US-Handelsministeriums, die die Verwendung von Smartcards zur Authentifizierung innerhalb von US-Behörden vorschreibt und dazu genaue technische Vorgaben macht. Insbesondere schreibt die HSPD-12 vor, dass die verwendeten Karten eine kontaktlose Schnittstelle haben und biometrische Merkmale unterstützen. Details hierzu stehen im Standard FIPS 201, der speziell für die HSPD-12 entwickelt und 2005 fertiggestellt wurde. FIPS 201 sieht unter anderem die Verwendung von privaten Schlüsseln und zugehörigen digitalen Zertifikaten (PIV-Zertifikate) für die Authentifizierung vor. Diese werden sowohl für den logischen als auch für den physikalischen Zugang verwendet. Eine Karte, die dem FIPS-201-Standard entspricht, wird als PIV-Karte bezeichnet.
244
17.6 USA
17.6.2 WHTI-Ausweise Die Western Hemisphere Travel Initiative (WHTI) ist eine Initiative, die auf ein USAnti-Terror-Gesetz aus dem Jahr 2004 zurückgeht. Die WHTI schreibt verschärfte Sicherheitsbestimmungen bei der Einreise in die USA vor und soll dadurch verhindern, dass Terroristen unter einer falschen Identität das Land betreten. Die diversen WHTI-Bestimmungen werden teilweise bereits umgesetzt, die noch fehlenden sollen in den nächsten Jahren folgen. Für US-Bürger schränkt die WHTI die Art der Identifizierung bei der Einreise in ihr Heimatland ein. Ursprünglich akzeptierten die Grenzbehörden in diesem Zusammenhang nahezu jeden Identitätsnachweis. Ab Juni 2009 sind jedoch für diesen Zweck nur noch bestimmte Ausweisdokumente zulässig, die im WHTI-Text einzeln aufgeführt sind. Zu den anerkannten WHTI-Dokumenten zählt zunächst der Reisepass. Es gibt jedoch mehrere Alternativen, von denen wir in diesem Unterkapitel einige kennen lernen werden (Spezialfälle wie etwa die „Form I-872 American Indian Card“ will ich dabei weglassen). Unter den in der WHTI zugelassenen Ausweisen finden sich sowohl elektronische als auch nichtelektronische Dokumente. Die zugelassenen elektronischen Ausweise verwenden nicht notwendigerweise die vom elektronischen Reisepass bekannten MRTD-konformen Chips, sondern sind teilweise mit (kontaktlosen) Challenge-Response-Chips ausgestattet. 17.6.2.1 Passport Card Seit 2008 gibt es in den USA die so genannte Passport Card. Diese wurde speziell für die WHTI geschaffen und ist innerhalb der WHTI-Bestimmungen als Einreisedokument für US-Bürger zugelassen. Die Passport Card ist jedoch bisher nur für die Land- und Schiffseinreise innerhalb von Nordamerika und der Karibik nutzbar. Sie ist vor allem für die Bewohner grenznaher Orte gedacht, die häufig zwischen dem In- und Ausland pendeln. Spezielle Prüfstellen an den Grenzübergängen sorgen dafür, dass Passport-Card-Besitzer schnell und unkompliziert abgefertigt werden. Die Passport Card ist mit einem Challenge-Response-Chip ausgestattet (ein solcher ist deutlich simpler als ein MRTD-Chip). Im Gegensatz zu einem MRTD-Dokument speichert eine Passport Card keinen Namen und keine sonstigen persönlichen Daten, sondern ledig-
Abbildung 17.2: Die Passport Card ist in den USA als Einreisedokument zugelassen. Sie arbeitet mit einem einfachen Challenge-Response-Chip.
245
17 Amerika und Afrika lich eine Nummer. Es ist die Aufgabe der zugehörigen Anwendungsinfrastruktur, diese Nummer der richtigen Person zuzuordnen. Da jeder Karteninhaber bei der Ausgabe der Karte registriert wird und die Prüfsysteme Zugriff auf diese Daten haben, ist eine solche Zuordnung möglich. Bei einem weltweit verwendeten Reisepass würde ein solches System dagegen nicht funktionieren Im Vergleich zum Reisepass ist die Passport Card für den Inhaber billiger und hat außerdem ID-1-Format (Reisepässe werden dagegen im etwas unhandlicheren ID-3-Format ausgestellt). Dadurch sowie durch die schnelle Abfertigung ist die Karte für viele Bürger attraktiver als ein Reisepass. 17.6.2.2 Elektronischer Führerschein und elektronische ID-Karte Da der Führerschein und die führerscheinähnliche ID-Karte in den USA die gängigsten Mittel sind, um sich auszuweisen, führen einige Staaten derzeit Führerscheine und IDKarten ein, die zusätzlich die Funktion einer Passport Card erfüllen und dadurch den Vorgaben der WHTI entsprechen. Man spricht in diesem Zusammenhang von einer Enhanced Driving License oder einer Enhanced ID-Card. Die jeweiligen Dokumente entsprechen auch den REAL-ID-Vorgaben. Interessant sind diese Enhanced-Dokumente vor allem für Bundesstaaten, die an der Grenze liegen und daher einen regen Autoverkehr mit dem Ausland haben. Die Staaten Vermont, Michigan und Washington (diese liegen an der kanadischen Grenze) sind die ersten, die solche Dokumente eingeführt haben. Wie die Passport Card sind die Enhanced-Dokumente nur für Land- und Schiffsreisen innerhalb von Nordamerika und der Karibik nutzbar. Wie man sich leicht klar macht, ist die Enhanced Driving License zwar ein elektronischer Führerschein, jedoch nicht direkt mit Dokumenten dieser Art in anderen Staaten zu vergleichen. Zweck des Chips ist es in diesem Fall nicht, Online-Anwendungen für Autofahrer zu ermöglichen, die Fremdnutzung des Führerscheins im Straßenverkehr zu verhindern oder gar den Führerschein als Ersatz für den Autoschlüssel zu verwenden (all dies sind anderswo typische Gründe für die Einführung eines elektronischen Führerscheins). Stattdessen geht es darum, den Führerschein mithilfe eines Chips in einem Anwendungsbereich sicherer zu machen, in dem in anderen Ländern Identitätsausweise zum Einsatz kommen. 17.6.2.3 NEXUS-Karte Die NEXUS-Karte ist ein weiteres hoheitliches Dokument, das in den USA als WHTIAusweis anerkannt wird [NEXU]. Die Karte ist im Rahmen des NEXUS-Programms entstanden, das Personen, die häufig zwischen Kanada und den USA pendeln, einen schnellen Grenzübertritt ermöglichen soll. Wer eine NEXUS-Karte besitzt, kann bei der Grenzüberquerung spezielle Prüfsysteme nutzen und vermeidet dadurch meist lange Warteschlangen. Die Karte ist mit dem für WHTI-Karten üblichen kontaktlosen Chip ausgestattet. Wer eine NEXUS-Karte haben will, muss diese beantragen, wobei er verschiedene Prüfungen zu durchlaufen hat. Auch kanadische Bürger können eine NEXUS-Karte erhalten. Im Gegensatz zur Passport Card wird die NEXUS-Karte auch an vielen nordamerikanischen Flughäfen akzeptiert.
246
17.6 USA
Abbildung 17.3: Die NEXUS-Karte ist ein elektronischer Ausweis für Personen, die häufig zwischen Kanada und den USA pendeln.
17.6.3 Common Access Card (CAC) Die Common Access Card (CAC) ist ein in den USA verwendeter elektronischer Ausweis für Personen, die für die dortigen Streitkräfte arbeiten [CAC09]. Man kann dieses Dokument daher als elektronischen Militärausweis bezeichnen. Die Common Access Card gibt es in einer ursprünglichen Version sowie in einer Next-Generation-Version [Smit07]. 17.6.3.1 Hintergrund der Common Access Card Die Common Access Card wird vom US-Verteidigungsministerium herausgegeben. Etwa 3,5 Millionen Personen – in erster Linie Soldaten und zivile Militärangestellte – besitzen eine solche Karte. Das Projekt zur Einführung der Common Access Card startete 1999, bereits im Jahr 2000 wurden die ersten Karten ausgegeben. Bis 2003 waren nahezu alle vorgesehenen Nutzer mit einer Common Access Card versorgt, wodurch der bis dahin verwendete nichtelektronische Militärausweis aufhörte zu existieren. Die Common Access Card dient einerseits als visueller Ausweis. Sie erfüllt unter anderem die Genfer Konventionen (dies ist ein internationales Abkommen, das z.B. Regeln für die Behandlung von Kriegsgefangenen festschreibt), die fordern, dass ein Soldat über einen Ausweis identifizierbar ist. Der auf der Karte angebrachte Chip dient vor allem der Authentifizierung gegenüber Online-Systemen der US-Streitkräfte und teilweise auch der Zutrittskontrolle. Ein Zweck der Common Access Card besteht zudem darin, die digitale Signatur innerhalb des US-Militärwesens zu etablieren. Die Next-Generation-Version der Common Access Card wurde 2006 eingeführt. Sie löste die ursprüngliche Version ab. Grund für die Umstellung war vor allem die bereits erwähnte Homeland Security Presidential Directive 12 (HSPD-12) aus dem Jahr 2004. Bis zum Jahr 2008 wurden über 17 Millionen Common Access Cards ausgegeben. Diese angesichts von etwa 3,5 Millionen Inhabern hohe Zahl ist vor allem darauf zurückzuführen, dass jedes Mal eine neue Karte ausgestellt wird, wenn sich beispielsweise der Dienstgrad oder die Abteilung des Inhabers ändert.
247
17 Amerika und Afrika
Abbildung 17.4: Die Common Access Card ist der bedeutendste elektronische Ausweis in den USA
17.6.3.2 Technik der Common Access Card Die Common Access Card ist in ihrer ursprünglichen Version eine kontaktbehaftete Smartcard. Das US-Verteidigungsministerium zog zunächst in Erwägung, die Common Access Card mit proprietärer Technik aufzubauen, was im US-Militär aus Gründen der Sicherheit eine durchaus übliche Vorgehensweise ist. Letztendlich setzte sich jedoch die Ansicht durch, dass eine Lösung, die sich an gängigen Standards orientiert, deutlich kostengünstiger ist, ohne dass dies die Sicherheit zu sehr beeinträchtigt. Die Common Access Card basiert auf dem Java-Card-Standard. Die ursprüngliche Version hatte 32 KByte EEPROM. Der Chip verfügt über einen kryptografischen Koprozessor. Auf der Karte sind (mit einer PIN gesichert) private Schlüssel für Authentifizierung und Schlüsselaustausch sowie für das digitale Signieren gespeichert. Darüber hinaus sind einige Informationen zum Inhaber im Chip abgelegt. Obwohl die Common Access Card auch für den Gebäudezutritt verwendet wird, ist sie nicht mit einem Challenge-Response-Chip ausgestattet. Dafür gibt es einen Magnetstreifen, der auch für den physikalischen Zutritt nutzbar ist (wenn auch nicht in Hochsicherheitsbereichen). Die Common Access Card wird an über 1.000 Ausgabestellen in über 25 Ländern personalisiert und an die Inhaber übergeben. Das US-Verteidigungsministerium nutzt als Basis des Hintergrundsystems die militärische Datenbank DEERS (Defense Enrollment Eligibility Reporting System) und das Identifikationssystem RAPIDS (Real-time Automated Personnel Identification System). Beide wurden für die Common Access Card angepasst. Zusätzlich entstand eine PKI, die nur für die Common Access Card genutzt wird. Inzwischen bieten mehrere Hersteller Common-Access-Card-kompatible Smartcard-Middleware-Produkte an.
248
17.6 USA Die Next-Generation-Version der Common Access Card, die seit 2006 ausgestellt wird, unterscheidet sich optisch nur geringfügig von der ursprünglichen. Dafür ist die neue Version (nach Vorgabe der HSPD-12) auch kontaktlos ansprechbar (über ISO/IEC 14443) und speichert zudem biometrische Daten. Außerdem wurde das EEPROM des Chips auf 64 KByte erweitert. Auf dem Chip ist ein PIV-Zertifikat inklusive privatem Schlüssel gespeichert, wodurch die Common Access Card auch als PIV-Karte nutzbar ist. Auf der Vorderseite der Common Access Card ist ein Passfoto aufgedruckt. Darunter findet sich ein 2D-Code. Auf der Rückseite sind ein Strichcode und ein Magnetstreifen angebracht. Die beiden Codes lassen sich nutzen, um die aufgedruckten Angaben in einem maschinenlesbaren Format zu wiederholen. 17.6.3.3 Bewertung der Common Access Card Die Common Access Card zählt zu den dienstältesten E-Ausweis-Systemen, die auf einer Smartcard basieren. Da es sich zudem um Projekt handelt, das schon sehr früh Stückzahlen in Millionenhöhe erreichte, stieß die Common Access Card auf großes Interesse. Allerdings ist das Projekt nicht ohne Weiteres mit der Einführung einer elektronischen Identitätskarte oder einer elektronischen Gesundheitskarte zu vergleichen. Insbesondere ist das US-Militärwesen straffer organisiert und hat weniger mit Interessenkonflikten zu kämpfen als ein Staat oder ein staatliches Gesundheitswesen. So gesehen ist die Common Access Card vor allem ein Vorbild für elektronische Mitarbeiter- und Dienstausweise.
17.6.4 TWIC-Karte Die TWIC-Karte (TWIC steht für Transport Worker Identification Credential) ist ein elektronischer Ausweis, der in den USA für Personen ausgestellt wird, die in Hafenanlagen oder auf Schiffen arbeiten [TWIC]. Etwa 750.000 Personen fallen in diesen Bereich. Rechtliche Grundlage dafür ist der Maritime Transportation Security Act (MTSA). Dieses Gesetz aus dem Jahr 2002 schreibt zusätzliche Sicherheitsvorkehrungen für Schiffe und Hafenanlagen vor, um terroristische Angriffe zu verhindern. Die TWIC-Karte ist mit einem Chip ausgestattet, der sowohl kontaktlos als auch kontaktbehaftet ansprechbar ist. Der Chip speichert eine Datenstruktur, die an die Logical Data Structure des MRTD-Standards angelehnt ist, jedoch einen anderen Inhalt hat. Innerhalb der Datenstruktur ist eine eindeutige Nummer (CHUID) gespeichert, die durch eine digitale Signatur des Herausgebers (also durch passive Datenauthentifizierung) gesichert ist. Zusätzlich enthält der Chip einen privaten Schlüssel mit digitalem Zertifikat für die aktive Datenauthentifizierung. Innerhalb der Datenstruktur ist ein Fingerabdruck gespeichert, der eine Fremdnutzung verhindern soll (ohne Match-on-Card). Zusätzlich enthält die Karte einen Magnetstreifen. Der Fingerabdruck ist mit einem Schlüssel verschlüsselt, der sich aus Informationen ableiten lässt, die auf dem Ausweis festgehalten sind (es gibt mehrere Möglichkeiten, insbesondere lässt sich der Magnetstreifen dafür nutzen). Auf diese Weise ist sichergestellt, dass der Fingerabdruck nur auslesbar ist, wenn man Zugriff auf die Karte hat.
249
17 Amerika und Afrika
Abbildung 17.5: Die TWIC-Karte wird für Personen ausgestellt, die in den USA in Hafenanlagen oder auf Schiffen arbeiten. Sie soll unter anderem terroristische Anschläge erschweren.
17.6.5 Bewertung der elektronischen Ausweise in den USA Während andere Staaten derzeit an einer elektronischen Identitätskarte basteln oder eine solche bereits eingeführt haben, laufen in den USA gleich mehrere E-Ausweis-Projekte mit teilweise ähnlichen Anwendungsbereichen. Es versteht sich von selbst, dass diese Vorgehensweise nicht besonders glücklich ist. Allerdings liegt diese Entwicklung in den uneinheitlichen Ausweisvorschriften in den USA begründet und damit im US-Föderalismus. Die zahlreichen Ausweissysteme sollten zudem nicht darüber hinwegtäuschen, dass bisher nur ein kleiner Teil der US-Bevölkerung elektronische Ausweise nutzt (abgesehen vom elektronischen Reisepass). Die USA sind nun einmal kein Pionier in Sachen Smartcard- und E-Ausweis-Technik.
250
Anhang Literatur [Ahme08]
Ahmed, R.: Bangladesh: National ID Cards – The ‘largest biometric database in the world’. Bangladesh Open Source Intelligence Monitors vom 29.9.2008
[AICF09]
Website des Asia IC Card Forum: www.asiaiccardforum.org
[AlKh06]
Al-Khouri, A. M.: UAE National ID Programme Case Study. International Journal of Social Sciences 1;2, 2006
[Ande07]
Anderson, R.: Security Engineering. 2. Auflage. Wiley & Sons, Hoboken 2007
[Asl06]
Asl, R. F. N.: Die elektronische Patientenkarte in ausgewählten Ländern der Europäischen Union. 1. Auflage. GRIN Verlag, Norderstedt 2006
[Atan08]
Atan, H.: Fake MyKad syndicate broken, two arrested. The New Straits Times vom 12.11.2008
[BaBa08]
Bartecki, M.; Baginski, J.: Update on National Id-card in Poland. Vortrag beim 13. Porvoo-Meeting am 9./10.4.2008
[Bahr09]
Smartcard-Website der bahrainischen Regierung (http://www.smartcard.gov.bh)
[Bala01]
Balaban, D.: Getting Serious About Citizen ID. CARDTECH 2/2001
[Baum]
Baumann, T.: Elektronische Identität – Wo stehen wir in der Schweiz? Veröffentlichung von PricewaterhouseCoopers, ohne Jahr
[Beau07]
Beaudoin, J.: Bulgaria tests national electronic health card. Healthcare I.T. News EU vom 21.3.2007
[Bick08]
Bickenbach, H.: From EHIC to eEHIC. Vortrag beim 13. Porvoo-Meeting am 9./10.4.2008
[Bohl03]
Ein Opfer der Führerschein-Mafia. Spiegel Online vom 9.8.2003
[BSI09]
Advanced Security Mechanisms for Machine Readable Travel Documents – Extended Access Control (EAC), Password Authenticated Connection Establishment (PACE), and Restricted Identification (RI). Version 2.01. Bundesamt für Sicherheit in der Informationstechnik Technical Guideline TR-03110, 2009
251
Anhang [Bulg04]
Towards an electronic ID for the European Citizen, a strategic vision. CEN/ISSS Workshop eAuthentication in Brüssel am 3.10.2004
[Bürg09]
Informationen zur Bürgerkarte des Österreichischen Bundeskanzleramtes. www.cio.gv.at/identity
[CAC09]
Website der Common Access Card: www.cac.mil
[CCC06]
Befreites Dokument: Kosten-Nutzen-Analyse zur Gesundheitskarte. Mitteilung des Chaos Computer Club vom 24.11.2006
[CCC08]
25C3: CCC rät zum „Selbstschutz“ vor biometrischer Vollerfassung. Heise online vom 30.12.2008
[CEHR06]
Crespo, J.; Espinosa, J.; Hernández, L.; Rifá, H.; Torres, M.: Towards a new electronic identification of citizens: the DNI-e. RECSI-Konferenz 2006
[Chen03]
Chen, D.: China Readies Super ID Card, a Worry to Some. New York Times vom 19.8.2003
[CiAJ06]
Cimander, R,; Aarma, A.; Järv, A.: eID in Estonia. Case Study der eGovernment Unit, 2006
[CNG]
Cryptography API: Next Generation. Microsoft Developer Network, 2008
[Cole96]
Coleridge, R.: The Cryptography API, or How to Keep a Secret. Microsoft Developer Network Technology Group, 1996
[DIF07]
Lessons from Malaysia. Digital Identity Forum vom 2.6.2007
[DNIe]
DNI electrónico. Guía der Referencia Basicá. Comisión Técnica de Apoyo a la Implantación del DNI electrónico, ohne Jahr
[DOC9303/1-1] Part 1 – Machine Readable Passport – Volume 1. Passports with Machine Readable Data Stored in Optical Character Recognition Format. Sixth Edition 2006 [DOC9303/1-2] Part 1 – Machine Readable Passport – Volume 2. Specifications for Electronically Enabled Passports with Biometric Identification Capabilities. Sixth Edition 2006 [DOC9303-2] Part 2 – Machine Readable Visas. Third Edition 2005 [DOC9303/3-1] Part 3 – Machine Readable Official Travel Documents – Volume 1. MRtds with Machine Readable Data Stored in Optical Character Recognition Format. Third Edition 2008 [DOC9303/3-2] Part 3 – Machine Readable Official Travel Documents – Volume 2. Specifications for Electronically Enabled MRtds with Biometric Identification Capability. Third Edition 2008
252
[e-ID09]
Electronic identity card „e-ID“. Ministry of Interior, Department of Administrative Procedures (Tschechien), April 2009
[eCar108]
eCard-API-Framework. BSI TR-03112-1. Version 1.0. BSI – Technische Richtlinie, 03.03.2008
[eCar208]
eCard-API-Framework – eCard-Interface. BSI TR-03112-2. Version 1.0. BSI – Technische Richtlinie, 03.03.2008
Literatur [eCar308]
eCard-API-Framework – Management-Interface. BSI TR-03112-3. Version 1.0. BSI – Technische Richtlinie, 03.03.2008
[eCar408]
eCard-API-Framework – ISO24727-3-Interface. BSI TR-03112-4. Version 1.0. BSI – Technische Richtlinie, 03.03.2008
[eCar508]
eCard-API-Framework – Support-Interface. BSI TR-03112-5. Version 1.0. BSI – Technische Richtlinie, 03.03.2008
[eCar608]
eCard-API-Framework – IFD-Interface. BSI TR-03112-6. Version 1.0. BSI – Technische Richtlinie, 03.03.2008
[eCar708]
eCard-API-Framework – Protokolle. BSI TR-03112-7. Version 1.0. BSI – Technische Richtlinie, 03.03.2008
[eCH08]
Spezifikationen für das System Versichertenkarte. Schweizer E-GovernmentStandard eCH-0064 vom 4.2.2008
[Ecke08]
Eckert, C.: Elektronische Reise- und Ausweisdokumente. Fraunhofer-Institut für Sichere Informationstechnologie (FhI-SIT), 2008
[Ecua09]
OTI Awarded $4 Million Contract for a Limited Scale First Stage eID System for Ecuador. Pressemitteilung der Firma On Track Innovations vom 26.1.2009
[Educ05]
Richtlinien für die edu.card (Chipkarte als Schülerausweis). Version 1.1. Bundesministerium für Bildung, Wissenschaft und Kultur (BMBWK), 15.9.2005
[eGK108]
Spezifikation der elektronischen Gesundheitskarte. Teil 1: Spezifikation der elektrischen Schnittstelle. Version 2.2.2. Gematik 16.9.2008
[eGK208]
Spezifikation der elektronischen Gesundheitskarte. Teil 2: Anwendungen und anwendungsspezifische Strukturen. Version 2.2.1. Gematik 19.6.08
[eGK308]
Spezifikation der Gesundheitskarte. Teil 3: Äußere Gestaltung. Version 2.2.0. Gematik 19.7.2006
[EG04]
Verordnung (EG) Nr. 2252/2004 des Rates vom 13. Dezember 2004 über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten. Europäische Gemeinschaft, 2004
[ePA08]
Einführung des elektronischen Personalausweises in Deutschland. Grobkonzept – Version 2.0. Bundesministerium des Innern, Berlin 2008
[ePSO09]
epSOS-Website: www.epsos.eu
[EUPS05]
EU – Passport Specification. Working Document vom 28.6.2006
[Fan]
Fan, C. H.: Civil Identification System of Macao. Veröffentlichung des Service of Identification of Macao, ohne Jahr
[FAZ94]
Millionenbeute bei Postraub in Zürich. FAZ vom 10.2.94
[Fink08]
Finkenzeller, K.: RFID-Handbuch. Grundlagen und praktische Anwendungen von Transpondern, kontaktlosen Chipkarten und NFC. 5. Auflage. Hanser, München 2008
[Gema07]
Qatar – The national eID card project. Broschüre der Firma Gemalto, 2007
[Gemp02]
The El Salvador Smart Driver’s License and Registration Card. Mitteilung der Firma Gemplus vom Februar 2002
253
Anhang
254
[Gesa08]
Einführung der Gesundheitskarte – Gesamtarchitektur. Version 1.5.0. Gematik, 02.09.2008
[Goet07]
Goetz, C: Heilberufsausweise. In: Struif, B., Soltau, A.: Personal Identity. Fraunhofer-Institut für Sichere Informationstechnologie, Bonn 2007
[Gold05]
Führerschein bald als Zündschlüssel? Berliner Zeitung (online) vom 29.1.2005
[GrBö08]
Grundwald, L.; Böttger, C.: Der elektronische Reisepass; lobby driven security. Vortrag beim a-i3/BSI Symposium in Bochum am 22.4.2008
[Gree02]
Greenleaf, G.: Submission on the smart ID Card and the Registration of Persons (Amendment) Bill 2001. 28.10.2002
[GRT]
Golden Reader Tool. Faltblatt des BSI, ohne Jahr
[Grun06]
Sicherheitsexperte führt Klonen von RFID-Reisepässen vor. Heise online vom 3.8.2006
[GT]
GlobalTester TestManager. HJP Consulting, ohne Jahr
[GuD08]
Operating systems for secure ID documents. ICAO MRTD Report 3/2008
[Hami08]
Hamid, S.: Minister: 10pc of MyKad are faulty. The New Straits Times vom 21.11.2008
[HaWa08]
Hager, C; Walch, H. P.: Liechtenstein’s new e-passport. Keesing Journal of Documents & Identity, Ausgabe 25, 2008
[HBA108]
Spezifikation des elektronischen Heilberufsausweises – Teil I: Kommandos, Algorithmen und Funktionen der Betriebssystemplattform. Version: 2.3.0 vom 4.7.2008
[HBA208]
Spezifikation des elektronischen Heilberufsausweises – Teil II: HBA-Anwendungen und Funktionen. Version: 2.3.0 vom 04.07.2008
[HBA308]
Spezifikation des elektronischen Heilberufsausweises – Teil III: SMC-Anwendungen und Funktionen. Version: 2.3.0 vom 04.07.2008
[Hege07]
Hegenbarth, M.: Reisepässe & Visa. In: Struif, B., Soltau, A.: Personal Identity. Fraunhofer-Institut für Sichere Informationstechnologie, Bonn 2007
[Hong02]
‘Smart’ ID Card Worries Hong Kong. Associated Press vom 3.10.2002
[Hong09]
Website der Smart ID Card (Hongkong): www.smartid.gov.hk
[Horn05]
Hornung, G.: „Digitale“ Ausweise im Ausland. Zum Stand der internationalen Entwicklung bei Chipkartenausweisen. Datenschutz und Datensicherheit 2/2005
[Hous02]
Housley, R.: Cryptographic Message Syntax (CMS). RFC 3369, 2002
[HüBO07]
Hühnlein, D.; Bach, M.; Oberweis, R.: Das eCard-API-Framework. In: Tagungsband zum 10. Deutschen IT-Sicherheitskongress, SecuMedia Verlag, Gau-Algesheim 2007
[INES05]
Le programme INES (identité nationale électronique sécurisée). Französisches Innenministerium, 2005
[IRBC08]
Albania: Whether a new national identity card has been issued; whether the leternjoftim is a common identity document used in the country. Immigration and Refugee Board of Canada, 1.10.2008
Literatur [ISO24727-1] Identification cards – Integrated circuit card programming interfaces – Part 1: Architecture. ISO/IEC 24727-1:2007 [ISO24727-2] Identification cards – Integrated circuit card programming interfaces – Part 2: Generic card interface. ISO/IEC 24727-2:2008 [ISO24727-3] Identification cards – Integrated circuit card programming interfaces – Part 3: Application interface. ISO/IEC 24727-3:2008 [ISO24727-4] Identification cards – Integrated circuit card programming interfaces – Part 4: Application programming interface (API) administration. ISO/IEC 24727-4:2008 [ISO7816-4]
Identification cards – Integrated circuit card – Part 4: Interindustry commands for interchange. ISO/IEC 7816-4:2005. ISO, 2005
[ISO7816-8]
Identification cards – Integrated circuit card – Part 8: Commands for security operations. ISO/IEC 7816-8:2004. ISO, 2004
[KATS06]
Korea National Identification Card. Präsentation der Korean Agency for Technology Standards vom 26.3.2006
[Kolo03]
Kolokythas, P.: US-Sender: Gefälschte Papiere über‘s Internet problemlos für Terroristen erhältlich. PCWelt.de vom 13.2.2003
[Laur07]
Konservative britische Tageszeitung prangert unsichere RFID-Pässe an. Heise online vom 6.7.2007
[Llew09]
Llewellyn, G.: The smart route to Identity Assurance and Public Service Improvement. Veröffentlichung der Firma Gemalto, 2009
[MeBa07]
Meister, G; Bauer, M.: Personalausweise & Citizen Cards. In: Struif, B., Soltau, A.: Personal Identity. Fraunhofer-Institut für Sichere Informationstechnologie, Bonn 2007
[MeDa07]
Meister, G.; Daum, H.: Neue Sicherheitsmechanismen und Profile der European Citizen Card. Giesecke & Devrient, 2007
[MNIC09]
MNIC-Website: mnic.nic.in
[MoMa08]
Moser, L.; Makolm, J.: Der elektronische Dienstausweis im Bundesministerium für Finanzen. Vortrag des Bundesministeriums für Finanzen (Österreich) am 11.4.2008 in Potsdam
[NaFS08]
Naujokat, F.; Fiedler, A.; Schwab, W.: Akzeptanz von Vertrauensräumen in IT-Infrastrukturen. Datenschutz und Datensicherheit 9/2008
[NETC09]
NETC@RDS-Website: www.netcards-project.com
[NEXU]
NEXUS Fact Sheet. U.S. Customs and Border Protection, ohne Jahr
[Oate08]
Oates, J.: Want to get into 10 Downing Street? Get a Lithuanian ID card. The Register vom 28.3.2008
[PARC08]
Biometric Identification Cards by 2013. Pressemitteilung des Public Administration Reform Coordinator's Office in Bosnia and Herzegovina (PARCO) vom 12.8.2008
[Paul04]
Paulikas, S.: Passports Come of Age. Lithuania in the World 5/2004
[Pavi07]
Pavic, A.: Serbia rejects biometric ID cards. EDRI-gram 5.2, 31.1.2007
255
Anhang
256
[Piet07]
Pietig, A: Firmen- & Mitarbeiterausweise. In: Struif, B., Soltau, A.: Personal Identity. Fraunhofer-Institut für Sichere Informationstechnologie, Bonn 2007
[PKCS7]
PKCS#7: Cryptographic Message Syntax Standard – Version 1.5. RSA Laboratories, 1993
[PKCS11]
PKCS#11: Cryptographic Token Interface Standard – Version 2.10. RSA Laboratories, 1999
[Pora09]
Unsichere Verarbeitung der Fingerabdrücke in Meldebehörden. Heise Security vom 02.02.2009
[Porv09]
Website der Porvoo-Gruppe: porvoo15.a-sit.at
[QuJa05]
Qusti, R.; & Jabarti, S.: New Identity Cards: Saudi Women Find Their Feet – and Face Too. Arab News vom 13.3.2005
[RaEf06]
Rankl, W; Effing, W: Handbuch der Chipkarten. 6. Auflage. Hanser, München 2008
[Rauc06]
Rauch-Kallat, M: Parlamentarische Anfragebeantwortung Nr. 3918 vom 13.4.2006
[Risc06]
ePass-Hack im niederländischen TV demonstriert. Heise online vom 2.2.2006
[Rüdi08]
Rüdiger, M.: Elektronischer Dienstausweis eDA. Vortrag der Bundesdruckerei vom 30.1.2008
[Saud09]
Saudi National ID Card program moves forward. Global Identification vom 14.1.2009
[Schm07]
Schmeh, K.: Codeknacker gegen Codemacher. 2. Auflage. W3L Verlag, Bochum 2007
[Schm09/2]
Schmeh, K.: Versteckte Botschaften; Die faszinierende Geschichte der Steganografie. 1. Auflage. dpunkt-Verlag, Heidelberg 2009
[Schm09/1]
Schmeh, K.: Kryptografie; Verfahren, Protokolle, Infrastrukturen. 4. Auflage. dpunkt-Verlag, Heidelberg 2009
[Schw07]
Schwarz, M.: Klage des Rechtsanwalts Michael Schwarz gegen die Ordnungsbehörde der Stadt Bochum als Passbehörde vom 19.11.2007
[Smit07]
Smith, S.: Introducing the next-generation common access card. CHIPS April-Juni, 2007
[StAh07]
Stange, T.; Ahrens, H.: Krankenversichertenausweise. In: Struif, B., Soltau, A.: Personal Identity. Fraunhofer-Institut für Sichere Informationstechnologie, Bonn 2007
[Ster04]
Stern, M.: Belgian Electronic Identiy Card Content. CETES, 2004
[STOR09]
STORK-Website: www.eid-stork.eu
[Tess08]
Tessem, K.: BankID in Sweden an National Identity and Security Infrastructure. Vortrag beim 13. Porvoo Meeting am 9/10.4.2008
[Türk09]
Website der türkischen Regierung zur geplanten Identitätskarte: http://www.ekds.gov.tr
[TWIC]
TWIC Fact Sheet. Transportation Security Administration, ohne Jahr
[Vert02]
Vertanen, O.: FINEID – Finnish National Electronic Identification Card. Präsentation vom 30.10.2002
Bildnachweis [Virc08]
Prestige-Projekt aus Beitragsgeldern: e-Card belastet den Gesundheitsfonds in Millionenhöhe. Pressemitteilung des NAV-Virchow-Bunds vom 3.11.2008
[Wehn07]
Wehnert, J: Führerscheine. In: Struif, B., Soltau, A.: Personal Identity. FraunhoferInstitut für Sichere Informationstechnologie, Bonn 2007
[Whit05]
Whitley, E.: The Identity Project. An assessment of the UK Identity Cards Bill & its implications. The London School of Economics & Political Science, 2005
[Wiem03]
Wiemers, A.: Pilotprojekt „Digitaler Dienstausweis“. Vortrag des BSI vom 25./26.3.2003
[Wu00]
Wu, T.: The SRP Authentication and Key Exchange System. RFC 2945, 2000
[X.509]
Information Technology – Open Systems Interconnection – The Directory: Authentication Framework. ITU-T, 1993
[ZeSe08]
Zeh, J.: Verfassungsbeschwerde der Schriftstellerin und Rechtsassessorin Juli Zeh und des Rechtsanwalts Dr. Frank Selbmann vom 28.1.2008
[Ziem07]
Ziemke, F: Schüler- & Studierendenausweise. In: Struif, B., Soltau, A.: Personal Identity. Fraunhofer-Institut für Sichere Informationstechnologie, Bonn 2007
[Žlen08]
Žlender, A.: New Slovenian Health Insurance Card. Präsentation des Health Insurance Institute of Slovenia, 2008
Bildnachweis Urheber
Abbildung
Klaus Schmeh
2.1, 2.4, 3.1 bis 3.3, 4.8, 5.1, 8.1, 8.2, 10.1, 11.5, 11.6
Ausweis
1.1, 2.2, 2.3, 2.5 bis 2.9, 4.1, 4.4, 4.5, 4.7, 5.2, 8.3, 11.1, 11.3, 11.7, 12.1 bis 12.4, 13.1, 13.2, 14.1 bis 14.17, 15.1 bis 15.4, 16.1, 16.2, 17.1 bis 17.5
Ausweisentwurf
11.4
Ausweisentwurf des Bundesinnenministeriums
11.2
ekey biometric systems GmbH & CoKG
3.4
Giesecke & Devrient
4.6
Public Domain (Schrift)
4.2
Public Domain (Strichcode)
4.3
Screenshot
8.4
Türkische Regierung
14.18
Wikimedia (Public Domain)
3.5
257
Register 2 2D-Code 47, 98, 249
A A.E.T. 63 ACOS 61 ActivIdentity 63 Advanced Encryption Standard 29 AES 29, 58 AICF 126 AKIS 213, 214 Aktive Authentifizierung 111 Albanien 180 Alien Registration Card 222 Aloaha 59 Angriff 21 Anwendungsinfrastruktur 74, 91, 93, 181, 245, 246 Application-Layer 132 Armbanduhr 55 Artaxerxes 11 ASEAN 225 Asia IC Card Forum 126 asymmetrische Verschlüsselung 30 Atos Origin 123 Aufenthaltstitel, elektronischer 179 Ausländerkarte 179 Austria Card 51, 61, 70 Ausweis elektronischer 2, 67 visueller 67
Ausweisdokument, elektronisches 2 Ausweisinfrastruktur 74, 181 Ausweispflicht 16 Authentifizierung 36 aktive 111 durch Besitz 36 durch Eigenschaft 37 durch Wissen 36 passive 111, 122 zertifikatsbasierte 38, 57, 73 Authentizität 26 Autorisierung 37 Axalto 61
B BAC 108 BahnCard 20 Bahrain 234 Bangladesch 215 BankID 201, 202 Barcode 47 Base CSP 60 Basic Access Control 108 Belgian Personal Identity Card 180 Belgien 180 BELPIC 180, 182 Bibel 11 Bilhete de identidade 199 Biographic Data Page 14 Biometrie 39, 70 Blair, Tony 191
259
Register Blueprint 75 Bohlen, Dieter 21 Böttger, Christian 118 Broker 156 Brunei 185, 216 BSI 108, 129 Bulgarien 182 Bundesamt für Sicherheit in der Informationstechnik (BSI) 108, 129 Bundesdruckerei 159 Bürgerkarte, österreichische 168
C CA 34 CA.SS.TM 124 CAC 247 Capgemini 123 Card Forum 55 CardInfo File 130 CardOS 61 CARDTECH 228 Carta d'Identità Elettronica 194 Carta SISS 196 Cartão de cidadão 199 Carte de Professionnel de Sante 190 Carte Vitale 187, 189 Carte Vitale 1 189 Carte Vitale 2 190 Cartes 55 Cäsar-Chiffre 28 CASH 68, 225 Cédula de identidade 241 CEN 120 CEN/TS 15480 120, 121 Certification Authority 34 Challenge-Response-Authentifizierung 68 Challenge-Response-Chip 57, 70, 90 Challenge-Response-Verfahren 38 Chaos Computer Club 158, 159 China 216 Chip-Authentifizierung 112 Chip-Implantat 55 Chipkarte 45, 50, 55
260
kontaktbehaftete 52 kontaktlose 52, 53 Chip-Token 55 CIE 194 Client-Komponente 155 CMS 63 CNG 60 CNIE 187 CNIS 188 Common Access Card 247 Common Criteria 43, 87, 213, 214 Convenience 132 Country Signing Certificate Authority 111 Covert Channel 33, 85, 112, 113 CPS 190 CRS-SISS 196 Cryptoflex 61 Cryptographic Service Provider 60 Cryptography API Next Generation 60 Cryptovision 59, 116 CSCA 111 CSP 60 cv act sc/interface 59 CVCA 115 CV-Zertifikat 35, 157
D Datenauthentifizierung 90 dynamische 72, 83, 98 statische 72, 83, 90, 97, 125, 142, 229 DDA 72 DDR 146 Dermalog 216 Deutsche Telekom 51, 61, 70 Deutschland sucht den Superstar 22 Dienstausweis elektronischer 80, 159, 171 elektronischer (Slowenien) 208 Diffie-Hellman-Schlüsselaustausch 31 Digitale Signatur 31, 37 Digitales Zertifikat 34 DNI 208 DNIe 209
Register DOC 9303 75, 106 Document Verifier 114 documento nacional de identidad 208 Dual-Interface-Karte 55, 58, 91 DVCA 114 Dynamische Datenauthentifizierung 72, 83, 90, 98
E EAC 114 E-Ausweis 2 eCard Rahmenwerk 129, 162 Strategie 129 E-Card 79, 124, 164 ECC (European Citizen Card) 120 ECC-Verfahren 31, 32, 56, 57, 58, 60, 153, 229 Ecuador 242 eDA 159 Educard 81, 169 eEHIC 124 EEPROM 49 Effing, Wolfgang 45 eGK 79, 129, 145 eGK mobil 158 EHIC 17, 124, 147, 149, 150, 206 EIA-232 53 eID 122 Belgien 180 Slowenien 207 El Salvador 242 ElCC 120 elektronischer Aufenthaltstitel 179 elektronischer Ausweis 2 Definition 67 elektronisches Ausweisdokument 2 elektronischer Dienstausweis 80 Deutschland 159 Österreich 171 Slowenien 208 elektronische Gesundheitskarte 78, 79, 122, 124, 129, 145 Taiwan 232
elektronischer Führerschein 80, 222 elektronischer Mitarbeiterausweis 89 elektronischer Personalausweis 122, 129, 130, 139, 140 elektronischer Rechtsanwaltsausweis 172 elektronischer Reisepass 129 Deutschland 129 elektronische Versichertenkarte 175 Schweiz 79, 124 ELENA 130, 132, 161 ELSTER 130, 162 ElsterPLUS 162 ELSTER-Sicherheitsstick 130, 132, 162 Enigma 28 ePA 129, 130, 139 ePass 129 epSOS 125 EstEID 183 Estland 183 EU Residence Permit (Europäische Union) 179 EuCC 120 EU-Führerschein 18 Europäische Krankenversicherungskarte 124, 149, 150 European Citizen Card 120, 207 European Health Insurance Card 17 Evaluierung 42 Extended Access Control 114, 121, 122, 229
F Fantasieausweis 83 Fantasiezertifikat 83 FedICT 181 FINEID 185 Fingerabdruck 39 Finkenzeller, Klaus 53 Finnland 185 Formfaktor 53 Forward Security 33 Frankreich 187 Fremdnutzung 71, 80, 84 Fremdprüfungsproblem 72, 142 Führerschein, elektronischer 80, 222
261
Register
G
I
Geldkarte 68, 225 Geleitbrief 11 Gemalto 51, 61, 70, 116, 182 Gematik Bridge CA 157 Gemplus 61 Gesundheitskarte elektronische 78, 79, 122, 124, 129, 145, 232 taiwanesische 232 Giesecke & Devrient 51, 61, 70, 116, 122, 223 GlobalTester 118 GMPC 223 Goethe, Johann Wolfgang von 1 Goldberg, Fred 80 Golden Reader Tool 116 Golf-Kooperationsrat 126 Großbritannien 191 GRT 116 Grunwald, Lukas 118
ICAO 13, 75, 105 ID Card (Katar) 236 ID-000 53 ID-1 10, 45, 69 ID-2 10, 69 ID-3 10, 69 Identitätsausweis 15 Österreich 167 Identitätskarte 15 Schweiz 173 Identiteitskaart 198 Identity Card (Großbritannien) 191 Identity Management 93 Identity-Layer 133 IDK 173 IFD 50, 134, 135 Indien 221 INES 188 Insider-Angriff 33 Integrated Circuit (IC) 49 Integrierter Schaltkreis 49 Integrität 26 Interface Device 50, 134 International Student Identity Card 19 ISIC 19, 81 ISIC Association 19 ISO24727-3-Interface 134 ISO/IEC 7810 48, 52 ISO/IEC 7811 45 ISO/IEC 7816 52, 54, 58 ISO/IEC 7816-4 61, 62, 86, 152, 176, 226 ISO/IEC 7816-8 35 ISO/IEC 10536 54 ISO/IEC 14443 54, 57, 58, 122 ISO/IEC 15693 54 ISO/IEC 24727 60, 121, 130, 134 Italien 194 ITSEC 42 IT-Sicherheitsevaluierung 42 ITU-T X.509 34, 35
H Halbtax 20 Handbuch der Chipkarten 45, 55 Hartz IV 161 Hartz-Kommission 161 Hashfunktion, kryptografische 32 Health Professional Card 153 Slowenien 205 Taiwan 232 Heilberufsausweis 149, 150 help.gv 123 HIC, slowenische 205 HIIS 205 Hintergrundsystem 74, 125, 145, 152, 165, 244, 248 HJP Consulting 118 HKID 217 Hochprägung 45 Hogefeld, Birgit 23 Holland 198 Hongkong 217 HPC 153 slowenischer 205
262
Register
J Java Card 61, 86, 200, 231, 232 Java Virtual Machine 62 Java-Karte 62 Jemen 235 JobCard 130, 132, 161 Julius Cäsar 28 Junge, Ole 22
K Karten-Management-System 63 Karten-Personalisierungsmaschine 63 Kartenrohling 63 Kartenterminal 50, 51, 54, 63, 134, 152 Katar 236 Kennkarte 139, 212 Klonen 72, 83 Kontaktbehaftete Chipkarte 52 Kontaktiermechanik 52 kontaktlose Chipkarte 52, 53 Koprozessor, kryptografischer 56 Krankenversichertenkarte 146, 149, 150 Kreditkartenformat (ID-1) 10 Kriterienkatalog 42 Kroatien 196 Kryha-Maschine 28 Kryptografie 28 Kryptografische Hashfunktion 32 Kryptografischer Koprozessor 56 Kryptografisches Protokoll 33 Kuwait 237 KVK 146
L Lasercard 48 Laurie, Adam 118 LDS 107 Legic 57, 58, 70, 91 LEGIC Identsystems 57 Leonardo da Vinci 147, 149, 150 Lična karta 203 Liechtenstein 197 LIMOSA 123
Litauen 197 Logical Data Structure 75, 107, 108, 115, 121, 231, 249 Lombardei 196
M M-209 29 Macao 223 Macau Smart Identity Card 223 MAC-Funktion 29, 37, 56 MAC-Verfahren 73 Machine Readable Passport 14 Machine Readable Travel Documents (MRTD) 105 Magnetstreifen 48 Malaysia 223 Maosco-Konsortium 62 Maritime Transportation Security Act 249 Marokko 242 maschinenlesbare Zone 14, 106, 108 Match-on-Card 71, 201, 213, 214, 231, 234 Match-on-System 71 M-COS 226 mEAC 115 Micardo 61 MICARDO 184 Micropayment 3 Microsoft 60 Microsoft Cryptographic API 60 Mifare 57, 58, 70, 91, 217, 226 Mikrochip 38, 49 Mikrocontroller 49 Mikrocontrollerkarte 50 Mitarbeiterausweis, elektronischer 89 MNIC 221 Modular Extended Access Control (mEAC) 115 Montenegro 198 MRP 14, 75, 106 MRTD 15, 75, 77, 86, 105, 119, 121, 180, 198, 229, 231 MRZ 14 MSC Malaysia 224 MS-CAPI 60
263
Register MTSA 249 Multimedia Super Corridor 224 MULTOS 62, 86, 87 MyKad 223, 224 MyKid 224
N Nachrichtenauthentifizierung 37 National ID Card Saudi-Arabien 238, 239 Südkorea 231 National Registration Identity Card 228 NETC@RDS 124 Nexus 59 NEXUS-Karte 246 Nexus Personal 59 Niederlande 198 NO2ID 193 NRIC 228 NXP Semiconductors 57
O OCR 46 OCR-A 46 OCR-B 46 OeST 197 Oman 237 Optical Character Recognition 46 Optischer Speicherstreifen 48 osebna izkaznica 207 Österreichische Bürgerkarte 168 Österreichische Staatsdruckerei 197
P PACE 109, 142 Passive Authentifizierung 111, 122 Passport Card 245 Password Authenticated Connection Establishment (PACE) 109 Passwort 36, 38, 41 Patientenkarte 149, 150 Pegasus 199, 200
264
Personalausweis elektronischer 122, 129, 130, 139, 140 Österreich 167 Personalausweisformat (ID-2) 10 Personalisierung 63 PGP 99 Pimental, Edward 23 PIN 51, 59 PKCS#11 59 PKI 34 Polen 198 Porada, Gunnar 84 Portugal 199 Porvoo-Gruppe 123 Pretty Good Privacy 99 Protokoll, kryptografisches 33 Proximity-Coupling-Chipkarte 54 Proximity-Karte 54 Public-Key-Infrastruktur 34, 75
Q Qualifizierte Signatur 36 QuaSi-Niere-Karte 148 Quick 68, 225
R RAF 23 Rankl, Wolfgang 45 Rechtsanwaltsausweis, elektronischer 172 Reisepass, elektronischer 129 Reisepassformat (ID-3) 10 Remote-Coupling-Chipkarte 54 Resident Registration Card 222 Restricted Identification 114, 143 Retinaerkennung 39, 40 RFID-Handbuch 53 Riscure 109 RS-232 53 RSA 30, 32, 57, 58, 153, 184, 214
S Safety 25 Sagem Orga 51, 61, 70
Register Saudi-Arabien 238 Schaltkreis, integrierter 49 Schlüssel 28 Schlüsselanhänger 55 Schlüsselaustauschproblem 30 Schweden 201 Schweiz 173 SDA 72 Sealys etravel 116 Secunet 117 Secure Messaging 110, 122 Security 25 Security Engineering 25, 39 Security Layer 168 Security Object Data 107 Selbmann, Frank 145 Serbien 203 Sertifitseerimiskeskus 185 Server-Komponente 156 service-bw 123 SHA-2 153 Shielding 108 Sicherheitsmodulkarte 153 Sicherheitsstick 162 Sichtausweis 9 Siemens 51, 61, 70, 186, 196, 223 SIG 122 Signatur digitale 31, 37 qualifizierte 36 Signaturgesetz 36, 92 Singapore Standard for ID 228 Skimming 76, 84 Slowakei 204 Slowenien 204 Slowenische HIC 205 Slowenischer HPC 205 Smartcard 38, 41, 50, 57, 73 Betriebssystem 61 Connector 59 Middleware 59 Terminal 50 Smart Card ID (Thailand) 231
Smartcard-Middleware 74 Smart Card Minidriver 60 Smart ID Card (Hongkong) 217 Smart Token 55 SMC 153 SOD 107 Spanien 208 Speicherchip 49 Speicherkarte 50 Speicherstreifen, optischer 48 SS-ID 228 SSL-Protokoll 131 Stammdaten 150 STARCOS 61 STARCOS Passport Edition 116 statische Datenauthentifizierung 72, 83, 90, 97, 125, 142, 229 STORK 123 Strichcode 47, 53, 98, 231 Südkorea 231 Sultanat Oman 237 Sun Microsystems 62 SV-Chipkarte 164 symmetrische Verschlüsselung 28
T Taiwan 232 Taiwanesische Gesundheitskarte 232 Tanenbaum , Andrew S. 27 Tätowierung 96 TCOS 61 TD-1 106 TD-2 106 Telecom Italia 196 Telefonkarte 50 Telematikinfrastruktur 152 Terminal 50 Terminal-Authentifizierung 113, 142 Terminal-Layer 135 Terrorbekämpfung 75 TIP-Karte 210 Totalfälschung 21 Transport Worker Identification Credential 249
265
Register Triple-DES 153, 184 Trüb 51, 70 Trust Center 34, 73, 142 Trust-service Status List 157 Tschechien 212 T-Systems 123 Türkei 213 TWIC-Karte 249
U UNESCO 20 Ungarn 214 UNO 13 USA 243 USB-Token 53
V Vereinigte Arabische Emirate 239 Verfälschung 22 Verfügbarkeit 26 VeriChip 96 Verschlüsselung asymmetrische 30 symmetrische 28 Versichertenkarte, elektronische 175 Versichertenstammdatenmanagement 150 Vertraulichkeit 26 Vicinity-Coupling-Chipkarte 54 Visa-Waiver-Programm 75 Vision 2020 224
266
visuelle Zone 14 visueller Ausweis 9, 67 Vitruvianischer Mensch 147 VIZ 14 Völkerbund 13 VorteilsCARD 20 VPS 63
W Web of Trust 99 Webservice 130 Wirecard Bank 122 Wurzel-Zertifizierungsstelle 34
X X.509 34, 35, 99, 142
Y Youth Against ID 194
Z Zeh, Juli 145 Zertifikat, digitales 34 zertifikatsbasierte Authentifizierung 38, 57, 73 Zertifizierungsstelle 34 Zimmermann, Phil 99 Zone maschinenlesbare 14, 106, 108 visuelle 14
ELEKTRONISCHE AUSWEISDOKUMENTE // Elektronische Ausweise gehören zu den interessantesten Zukunftstechnologien überhaupt. Allein im deutschsprachigen Raum gibt es derzeit über ein Dutzend Großprojekte in diesem Bereich, z.B. den elektronischen Personalausweis, die elektronische Gesundheitskarte, die österreichische e-Card und den elektronischen Reisepass. In diesem Buch stellt der Sicherheitsexperte Klaus Schmeh vor, welche Technik elektronischen Ausweisen zugrunde liegt und wofür sie neben ihrer Ausweisfunktion noch genutzt werden können (z. B. zum digitalen Signieren, als Passwortersatz im Internet oder zur Speicherung medizinischer Notfalldaten). Neben der Mikrochip-Technik spielt auch die Biometrie hierbei eine wichtige Rolle. Zusätzlich kommen in diesem Buch auch gesellschaftliche Aspekte (z.B. Datenschutz) und rechtliche Fragen zur Sprache. Außerdem erhalten Sie Einblick in zahlreiche nationale und internationale Projekte zu elektronischen Ausweisen und finden dabei wichtige Informationen für Ihre eigenen IT-Projekte.
AUS DEM INHALT // Ausweisdokumente // Security Engineering // Karten- und Mikrochiptechnik // Elektronische Ausweise im Überblick // Elektronische Mitarbeiterausweise // Alternative Ansätze // Der MRTD-Standard der ICAO // Initiativen für interoperable elektronische Ausweise // Die eCard-Strategie der Bundesregierung // Beispielprojekte aus Deutschland, Österreich, Schweiz, weiteren europäischen Ländern, Ostasien, Arabien, Amerika und Afrika
Klaus SCHMEH ist Informatiker mit Schwerpunkt Verschlüsselungstechnik. Er arbeitet als Berater für die Gelsenkirchener Firma cryptovision. Klaus Schmeh ist zudem Journalist, der bereits 16 Bücher und über 140 Artikel veröffentlicht hat. www.hanser.de/computer
Hersteller und Anwender von elektronischen Ausweisen; Studenten und Dozenten der Informatik und Elektrotechnik
ISBN 978-3-446-41918-6
9
783446 419186
SCHMEH
ELEKTR AUSWEI DOKUME Systemvoraussetzungen für eBook-inside: Internet-Verbindung, Adobe Reader/Acrobat v6.0 oder höher für Windows (ab WIN98SE) oder MAC OSX. Am besten gleich online registrieren.
ELEKTRONISCHE AUSWEISE IM DETAIL // ■ Verschaffen Sie sich einen Überblick über die Technik elektronischer Ausweise. ■ Erfahren Sie, wie elektronische Ausweise unseren Alltag verändern. ■ Nutzen Sie die zahlreichen vorgestellten Beispielprojekte, um die Praxis elektronischer Ausweise kennen zu lernen. ■ Profitieren Sie vom Know-how des Sicherheitsexperten Klaus Schmeh.