Elektronische Identität (eID): Sicher online

Experten sind sich einig: Die elektronische Identität (eID) ist gut. Risiken gibts dennoch. test.de erklärt, was Sie wissen müssen.

Was Sie dazu brauchen

  • Ihren neuen Personal­ausweis mit aktiver eID-Funk­tion.
  • Einen Computer mit Wind­ows XP, Vista oder Wind­ows 7. Software für verschiedene Linux-Varianten und MacOS ab 10.5 soll demnächst verfügbar sein.
  • Software. Zunächst ist nur die Ausweis­App verfügbar. Das ist ein im Auftrag der Bundes­regierung entwickeltes Computer­programm. Sie können es unter: www.ausweisapp.bund.de kostenlos herunter­laden und müssen es installieren. Das Programm ist knapp 50 Megabyte groß. Später sollen auch andere Programme die elektronische Identifikation ermöglichen.
  • Einen Kartenleser. Bisher gibts vor allem Basislesegeräte ohne eigene Tastatur. Bei solchen können Hacker die Pin erbeuten. Sicher sind Stan­dard- und Komfort-Lesegerät. Bisher ist jeweils nur ein einziges Stan­dard- und Komfortlesegerät zugelassen. Für weitere Geräte wird die Zulassung geprüft. Eine Liste aller derzeit zugelassenen Kartenleser gibts beim Bundesamt für Sicherheit in der Informationstechnologie (BSI). Rund eine Million Basis-Kartenlesegeräte hat das Bundes­innen­ministerium verschenkt. Viele davon sind inzwischen bei ebay zu haben. Kosten­punkt sonst: 20 bis 35 Euro.
  • Ihre persönliche Identifikations­nummer (Pin). Sie legen die sechs­stel­lige Zahl bei Abholung des Ausweises oder auch mit der speziellen Geheim­nummer aus dem Brief von der Bundes­druckerei („Trans­port-Pin“) vom eigenen Computer zuhause aus selbst fest. Sie können Ihre Geheim­nummer jeder­zeit ändern.

Wie es geht

  • Sie wollen sich bei einem Onlineportal anmelden oder eine Bestellung aufgeben.
  • Sie starten die Ausweis­App.
  • Sie surfen zur Website des Anbieters und starten die Anmelde­prozedur.
  • Sobald die Identifikation ansteht, öffnet sich auto­matisch ein Fenster der Ausweis­App.
  • Sie legen Ihren Ausweis ins Lesegerät.
  • Die Ausweis­App zeigt die Angaben des Anbieters an, der Ihre Daten abfragen will.
  • Die Ausweis­App zeigt die Daten an, die über­tragen werden sollen.
  • Sie können jedes Daten­feld wie Vorname, Geburts­datum oder Wohn­ort einzeln abwählen.
  • Sie geben Ihre Pin ein.
  • Die von Ihnen freigegebenen Daten werden über­tragen.
  • Sie nehmen den Ausweis sofort wieder aus dem Lesegerät.

Was Sie damit machen können

  • Einen aktuellen Über­blick über Online-Angebote, die mit dem neuen Personal­ausweis zu nutzen sind, liefert das www.npa-in-aktion.de.

Was Sie sonst noch tun müssen

  • Bei Verlust oder Diebstahl Ihres Ausweises müssen Sie so schnell wie möglich Ihre eID sperren lassen. Das geht über die Sperr­hotline 0 180 1/33 33 33 (3,9 Cent/Minute aus dem deutschen Fest­netz, auch aus dem Ausland erreich­bar) oder den allgemeinen Sperr­notruf 116 116. Dazu brauchen Sie Ihr Sperr­kenn­wort. Es steht im Brief, den Ihnen die Bundes­druckerei nach Herstellung des Ausweises schickt.

Was zu beachten ist

  • Sicherheit. Alle Experten sind sich einig: Das Konzept ist im Grunde gut und von Hackern praktisch nicht angreif­bar. Aber Achtung: Das gilt nur bei Einsatz von Stan­dard- oder Komfort-Kartenleser mit eigener Tastatur für die Eingabe der Pin. Sonder­problem: Die Ausweis­App ist ein komplexes Computer­programm und kann gefähr­liche Sicher­heits­lücken haben. Die erste Version zog das Bundes­amt für Sicherheit in der Informations­technologie wegen einer solchen schon kurz nach Veröffent­lichung wieder zurück. Ihre eID und Pin ist durch eine solche Sicher­heits­lücke noch nicht unmittel­bar in Gefahr. Zusätzliche Sicherheit können Sie selbst schaffen: Ändern Sie über die Ausweis­App regel­mäßig Ihre Geheimzahl.
  • Basis-Kartenleser. Sie haben keine Tastatur. Die Pin wird über Tastatur oder mit der Maus übers Ankli­cken der Ziffern auf dem Bild­schirm einge­geben. Die Folge: Wenn der Computer mit einem Spiona­gepro­gramm infiziert ist, können Hacker die Pin abfangen. Möglich ist der Miss­brauch Ihrer Daten allerdings nur, so lange der Ausweis im Kartenleser steckt. Offizieller Rat: Verwenden Sie die eID mit Basiskartenleser ohne eigene Tastatur nur, wenn Ihr Computer mit aktuellem Viren­schutz, Firewall und allen verfügbaren Sicher­heits­updates ausgestattet ist. test.de ergänzt: Auch das bietet keine absolute Sicherheit. Allerdings: Den Aufwand für Angriffe auf Personal­ausweis-Pins werden kriminelle Hacker nur betreiben, wenn sie glauben, dass sich das für sie lohnt. Wie Gauner eine fremde Identität mit akzeptablem Aufwand und Risiko zu Geld machen können, ist derzeit nicht erkenn­bar.
  • Haftung. Auch wenn Ihr Ausweis samt Geheimzahl gestohlen wird oder verloren geht, haften Sie bei Miss­brauch nicht unbe­dingt. Allerdings: Bei Einsatz von Personal­ausweis mit Pin werden Gerichte zunächst davon ausgehen, dass Sie selbst den Ausweis einge­setzt haben. Sie müssen dann zumindest die ernst­hafte Möglich­keit eines Miss­brauchs darlegen und womöglich auch beweisen. Sie haften außerdem auf Schaden­ersatz, wenn Sie Ihre Pin notiert und mit Ausweis aufbewahrt haben oder Ihre eID nach Ausweis­verlust oder Diebstahl nicht unver­züglich gesperrt haben.
  • Daten-Empfänger. Unternehmen wie Onlineshops oder Dienst­leister, die eID-Daten empfangen und nutzen wollen, müssen das beantragen. Sie erhalten die Berechtigung, wenn sie ein legitimes Ziel damit verfolgen und nur, soweit das Ziel es recht­fertigt.
  • Abstufung. Die eID kann folgende Daten liefern: Vor- und Familien­name, Ordens- oder Künst­lername, Doktor­titel, Geburts­tag und -ort, Anschrift und Bestätigung eines Mindest­alters. Sie sehen vor Freigabe der Daten per Pin, was genau zum Empfänger über­tragen wird.
  • Pseudonym. Außerdem ermöglicht der Personal­ausweis die zuver­lässige Nutzung von Internet­angeboten - wie Foren oder sozialen Netz­werken - unter einem Pseudonym. Ihr Ausweis über­mittelt dann nur eine spezi­fische Kennung. Aus dieser und den Daten des Anbieters wird eine Zeichen­folge errechnet. Anhand dieser kann der Empfänger Sie stets sicher wieder­erkennen. Ihren Namen oder sons­tige Daten erfährt er dabei nicht.

Dieser Artikel ist hilfreich. 2389 Nutzer finden das hilfreich.