Der neue Personalausweis ist zu teuer. Er stellt keinen nennenswerten Sicherheitsgewinn dar. Besonders gefährlich ist seine Maschinenlesbarkeit, die es in bisher unbekanntem Ausmaß ermöglichen wird, bei jeder sich bietenden Gelegenheit Identitätskontrollen durchzuführen und damit Bewegungsbilder der Ausweisinhaber anzufertigen. Kurz: Der neue Ausweis stößt das Tor in den Überwachungsstaat auf.
Das war 1983. Damals wetterten wir Datenschützer gegen die für den 1.4.1987 geplante Einführung des heute üblichen bundesdeutschen Personalausweises in Form einer kunststofflaminierten Karte mit Papierinlett im ID-2-Format (74 × 105 mm). Der hier verlinkte Spiegel-Artikel sollte Sie übrigens nicht täuschen. Obwohl die erste Kritik am neuen Ausweis bereits vier Jahre vor dessen Einführung geäußert wurde, kam es zu ernsthaften Diskussionen darüber erst wenige Monate vor dem Start.
Seither hat sich im Detail zwar einiges geändert, im Wesentlichen blieb es aber beim allseits bekannten Modell. Was unsere damalige Kritik angeht, müssen wir heute zugeben, dass sie überzogen war. Viele von uns sahen sich im Kreuzzug gegen die allgegenwärtige Computerisierung, und alles, was auch nur entfernt Anklänge an Orwells Roman "1984" zeigte, löste unter Strickpulliträgern entsetztes Zittern aus, das bis in die tiefsten Ecke der stets mitgeführten Jutetasche wirkte. Die allgegenwärtigen Ausweiskontrollen sind ausgeblieben. Selbst die Terrorhysterie nach dem 11.9.2001 führte zwar zu einer erheblichen Ausweitung von Überwachungsmaßnahmen, aber es ist bei weitem nicht so, dass wir bei jeder Busfahrt unseren Personalausweis durch ein Lesegerät führen müssen. Was bleibt, ist eines der sichersten Ausweisdokumente der Welt. Wer unbedingt seine Identität fälschen will, sucht sich leichter zu imitierende Papiere.
Jetzt ist für November wieder ein grundlegend neuer Personalausweis geplant, und die Geschichte scheint sich zu wiederholen. Wieder einmal reagieren wir Datenschützer viel zu spät, wieder einmal bemängeln wir, dass streng genommen niemand den neuen Ausweis braucht, dass er zu teuer ist, und dass er ein großes Missbrauchspotenzial bietet. In der öffentlichen Wahrnehmung wirkt die ganze Aufregung wie bei der Geschichte des Jungen, der einmal aus Spaß "Hilfe" gerufen hat. Beim zweiten Mal glaubt man ihm nicht mehr. Auf die Gefahr hin, mich jetzt vollends der Lächerlichkeit preiszugeben, will ich dennoch beschreiben, was mich am geplanten "E-Perso" stört.
Erzwungene Freiwilligkeit
Fangen wir beim Preis an. Ich finde es offen gesagt eine Frechheit, für etwas, das zu besitzen alle Staatsbürger ab 16 Jahren gezwungen sind, überhaupt Geld zu verlangen. Wenn es sich um eine Dienstleistung handelte, die von den Behörden zusätzlich zu den Standarddienstleistungen angeboten wird, könnte ich es verstehen, aber in der jetzigen Form erinnert mich der Vorgang stark an Schutzgelderpressung. Ich kann ja verstehen, dass die Herstellung dieser Ausweise teuer ist und irgendwie bezahlt werden muss, andererseits hat bereits das kostenlose, kleine graue Ausweisheftchen offenbar gereicht, meine Mitmenschen von meiner Identität zu überzeugen. Wenn die Behörden unbedingt die Sicherheitsstandards erhöhen wollen, sind die entstehenden Kosten deren Problem, nicht meins. Das gilt insbesondere dann, wenn die ohnehin fast hundertprozentige Sicherheit des bisherigen Ausweises in kaum messbarem Maß verbessert wird und dazu noch ein paar neckische technische Spielereien kommen, die ich nicht haben wollte, die aber den Preis nebenher um den Faktor drei nach oben treiben. Wenn ich mein Auto zur Werkstatt bringe, damit es neue Reifen bekommt, will ich ja auch nicht, dass ein übereifriger Mechaniker ungefragt den Motorblock auswechselt, nur weil er mutmaßt, ich könnte das vielleicht ganz toll finden. Ich weiß nicht, wie es Ihnen geht, aber ich mag es nicht, wenn andere mir vorschreiben, was ich zu wollen habe.
Muss man wirklich?
An dieser Stelle entspinnt sich normalerweise die Diskussion, ob man einen Ausweis besitzen muss, und immer wieder bauen sich zwei Leute vor mir auf, von denen der Eine behauptet, man brauche unbedingt einen Ausweis, und der Andere sagt, man brauche keinen. Beides ist falsch und endet für gewöhnlich in Wortklaubereien. Wahr ist: Man braucht als Deutscher mindestens eines der beiden von der Bundesrepublik Deutschland ausgegebenen Ausweisdokumente, also entweder den Personalausweis oder den Reisepass. Der Deutlichkeit halber: Es reicht, einen Reisepass zu besitzen. Er ist sogar streng genommen das einzige Dokument, mit dem wir überhaupt die Grenze übertreten können. Dass sehr viele Länder auch den Personalausweis akzeptieren, ist Kulanz, kein Muss. Das weltweit völkerrechtlich anerkannte Ausweisdokument ist einzig der Reisepass.
Was uns zum nächsten Punkt führt: Man muss keinen dieser beiden Ausweise ständig mit sich führen. Es reicht, ihn an einem sicheren Ort herumliegen zu haben. In der Praxis nützt Ihnen das allerdings wenig, wenn Sie in Garmisch einem Polizisten erklären, Ihrem Ausweis in Ihrer Flensburger Schublade ginge es ganz fantastisch.
Selbst wenn man die Diskussion mit dem Polizisten noch geregelt bekäme, gibt es reichlich Situationen, in denen man faktisch auf einen Personalausweis angewiesen ist. Beispielsweise gelten viele Zeitfahrkarten örtlicher Verkehrsbetriebe nur zusammen mit einem, wie es so schön heißt, "amtlichen Lichtbildausweis". Zwar wird man, wenn man bei einer Fahrkartenkontrolle nur das Jobticket dabei hat, nicht achtkantig aus der Bahn geworfen, muss aber innerhalb der nächsten Tage in der Geschäftsstelle auftauchen, den Pass oder Personalausweis vorzeigen und eine geringe, aber höchst ärgerliche Verwaltungsgebühr bezahlen. Zumindest ich kann mir sinnvollere Methoden vorstellen, meine Zeit und mein Geld zu vergeuden.
Begriffsklärungen
Kurz: Ab dem 1. November wird man an dem neuen Ausweis nicht vorbei kommen. Im Vergleich zu seinem Vorgänger bietet er viel mehr Funktionen, die in den vielen dazu veröffentlichten Berichten teilweise nicht besonders schön getrennt werden und die ich aus diesem Grund noch einmal aufzählen möchte:
Den optischen Identitätsnachweis bieten Ausweise praktisch, seit es Fotografie als Massenprodukt gibt. Ein Bild im Zusammenhang mit dem Namen ermöglicht den Vergleich: "Ah, das Bild sieht ihm ähnlich, dann wird er wohl der sein, dessen Name da steht." Wenn man so will, ist das die Biometrie der Vor-Computer-Zeitalters.
Darüber hinaus verfügt der Ausweis noch über einen drahtlos ansteuerbaren Chip, und auf dem gibt es gleich eine ganze Reihe von Funktionen:
Der hoheitliche Teil des Chips umfasst noch einmal die auf dem Ausweis aufgedruckten Daten. Der einzige Zweck dieses Teils besteht darin, die Daten schnell und zuverlässig auslesen zu können. Zugriff auf diesen Teil haben aber nur staatliche Behörden. Um das unbeabsichtigte Auslesen zu verhindern, muss eine auf den Ausweis aufgedruckte PIN eingegeben werden. Selbst der Ausweisinhaber selbst hat also keine Möglichkeit, diese Daten auszulesen, sondern muss sich erst an eine staatliche Stelle wenden. Mit einem gewissen Schuss Paranoia kann man sich jetzt überlegen, was passiert, wenn sich jemand diese PIN merkt und darüber hinaus über ein solches Lesegerät verfügt, aber für solche Szenarien interessiere ich mich an dieser Stelle nicht.
Auf freiwilliger Basis kann man auch noch seinen Fingerabdruck auf dem Ausweis speichern lassen. Das darf man sich aber nicht so vorstellen, als werde ein fotografisches Abbild einer Fingerkuppe auf dem Chip hinterlegt. Vielmehr werden nur einige charakteristische Merkmale gespeichert, anhand derer sich der Fingerabdruck prüfen lässt. Den Fingerabdruck auslesen, auf Folie drucken, eine Kopie anfertigen und damit Unfug treiben, geht mit diesen Daten nicht einmal theoretisch.
Ein weiterer Bereich dient dem elektronischen Identitätsnachweis und ist auf keinen Fall mit der elektronischen Signatur zu verwechseln. Der Identitätsnachweis ist praktisch nur das elektronische Pendant zur Vorlage meines Ausweises in der realen Welt. Das entsprechende, für einen begrenzten Zeitraum gültige, Zertifikat vorausgesetzt, kann man Anfragen gegen den Ausweis stellen, beispielsweise, ob der Inhaber volljährig ist. Aus Datenschutzsicht ist dieses System sogar erheblich besser als die derzeitige Praxis, in der man das komplette Geburtsdatum aufschreibt, obwohl man eigentlich nur wissen will, ob das Gegenüber den beabsichtigen Handel eingehen darf. Was auf diese Weise ausdrücklich nicht erfolgt, ist irgendeine Form von Willenserklärung, insbesondere keine rechtsgültige Unterschrift.
Die elektronische Signatur wiederum ist eine rechtsgültige Unterschrift, die in digitaler Form geleistet wird. Die nötigen Funktionen gehören nicht zum hoheitlichen Teil des neuen Ausweises. Er stellt gewissermaßen nur das Trägermedium.
Weiterhin gibt es drei verschiedene Klassen von Lesegeräten. Die erste und einfachste Kategorie der "Basisleser" sind die reinen Lesegeräte, die im Rahmen einer Werbemaßnahme in den kommenden Wochen den Besitzern der neuen Ausweise geschenkt werden. Sie stellen die einzigen zum Erstellungszeitpunkt dieses Artikels zertifizierten Geräte dar. Diese Geräte sind es auch, die der CCC so massiv kritisiert.
Bei dieser Gelegenheit eine Anmerkung zur Stärke und Schwäche des vom CCC durchgeführten Angriffs auf den E-Perso und die SuisseID: Der Angriff betrifft weder die Hardware des deutschen noch des schweizer Geräts, sondern zeigt nur, dass man mit relativ einfachen Mitteln den Rechner, an dem der unsichere Basisleser angeschlossen ist, angreifen kann, um die ganze ansonsten gut durchdachte Sicherheitsinfrastruktur auszuhebeln. Das sollte in Expertenkreisen niemanden überraschen. Vereinfacht lautet die Aussage: Der Rechner bleibt das schwächste Glied in der Kette, und so lange man den nicht im Griff hat, lässt sich selbst mit den teureren Lesegeräten nur schwer ein erträgliches Sicherheitsniveau aufbauen.
Die zweite Kategorie sind die mit einer Zahlentastatur ausgestatteten "Standardleser". Sie bieten wenigstens einen gewissen Schutz vor dem Mitlesen oder Manipulieren der Tastatureingaben. Hier hört die gesteigerte Sicherheit aber auch schon auf. Ob das auf dem Bildschirm angezeigte dem entspricht, was man mit seiner PIN absegnet, kann man nicht ohne erhebliche technische Fähigkeiten feststellen.
Erst bei der dritten Kategorie, den "Komfortlesern" hat man noch einen Bildschirm, auf dem wenigstens ansatzweise das dargestellt werden kann, was man durch seine PIN bestätigen soll. In der Regel handelt es sich hier aber um zweizeilige LCDs. Allzu komplex sollte es also nicht sein, worunter man seine Unterschrift setzt.
Frühere Generationen dieser Geräte waren auch als Klasse-1-, 2-, oder 3-Lesegeräte bekannt. Diese sehen den jetzigen Versionen zwar ähnlich, aber die neuen Modelle bieten unter anderem durch Maschinenzertifikate ein höheres Sicherheitsniveau.
Das schwächste Glied in der Kette
Unabhängig von der Fälschungssicherheit eines Ausweises ist so ein Dokument auch nur maximal so sicher wie die Leute, die es kontrollieren. Auf den vergangenen CeBITs konnte sich jeder Interessierte zum Spielen Vorabexemplare des ab November geplanten Ausweises anfertigen lassen. Dabei handelt es sich selbstverständlich nicht um amtliche Ausweisdokumente. Im Prinzip konnte man auf dieser Karte eintragen lassen, was man wollte. Deswegen steht in gut lesbaren roten Buchstaben das Wort "Muster" quer darüber gedruckt. Deutsche Polizisten sollten eigentlich wissen, wie ein gültiger deutscher Ausweis aussieht. Dennoch konnte sich ein Bekannter von mir bei einer Polizeikontrolle mit einem solchen CeBIT-Spielzeug erfolgreich ausweisen, mehr noch: Das Foto darauf war nicht einmal seins.
Geschlure bei der Ausweiskontrolle kann man freilich nicht dem Ausweis selbst anlasten, zumindest nicht, wenn er auf einem Niveau wie der bestehende oder der kommende gefertigt wird. Man könnte allenfalls auf die Idee kommen, dass die optischen Kontrollverfahren nicht ausreichen und dass sie durch elektronische wie einen Chip ergänzt werden sollten. Verstärkt wird diese Haltung durch Meldungen wie diese, die von Fälschern handeln, die im Internet damit werben, selbst die deutschen Personalausweise mit allen optischen Sicherheitsmerkmalen herstellen zu können.
Auf der anderen Seite: Warum sollte man sich das Leben unnötig erschweren? Wenn ich unbedingt einen Ausweis fälschen wollte, nähme ich beispielsweise einen der Insel Zypern. Ich habe auf der FrOSCon 2010 einen Mann getroffen, der mit einem Ausweis wie diesem die deutsche Grenze passiert hat. Ich habe das Zettelchen gesehen. Mit so einem Ding könnten Sie sich in Deutschland nicht einmal ein Video ausleihen.
Jahrzehntelanges Defizit
Dabei ist die generelle Idee hinter dem neuen Ausweis sehr klug. Seit Jahrzehnten gibt es verschiedene Versuche, im Internet eine vertrauenswürdige Infrastruktur herzustellen, die dreierlei bietet: Erstens soll man sicher sein, wirklich mit dem zu reden, der er zu sein vorgibt, zweitens soll niemand die Verbindung mitlesen und drittens niemand die Nachricht manipulieren können. Einfacher gesagt: Bei einer Überweisung sollen sowohl das belastete, als auch das Zielkonto sowie der überwiesene Betrag stimmen, und niemand außer den unmittelbar Beteiligten soll die Überweisung zu Gesicht bekommen.
Alle bisherigen Versuche, eine solche Infrastruktur zu etablieren, scheiterten bislang aus verschiedenen Gründen: Entweder waren sie einfach, aber nicht hinreichend sicher, oder sie waren sicher, dann aber entsetzlich teuer, umständlich und nicht allgemein standardisiert. Selbst mit dem neuen Personalausweis wird eine elektronische Unterschrift ca. 40 € pro Jahr kosten. Das vergleichen wir mit der einzigen bisher weltweit anerkannten und konkurrenzlos günstigen Signaturmethode, dem Kugelschreiber. Dessen Kosten belaufen sich, wenn man es darauf anlegt, auf 0 €. Ich jedenfalls habe mir Zeit meines Lebens noch nie einen gekauft, sondern immer einen Vorrat in Form von Werbegeschenken vorrätig. Gut, im Internet kann ich mit einem Kugelschreiber nichts anfangen, aber will ich das überhaupt?
Vorgaben an die Infrastruktur
Bleiben wir vor Behandlung dieser Grundsatzfrage noch einen Moment beim Wunsch, eine Signaturinfrastruktur zu schaffen. Im Wesentlichen gibt es zwei Ansätze: Entweder baut man ein Web of Trust, also ein Netz von Leuten, die sich alle gegenseitig beglaubigen und somit Vertrauen anarchisch verstreuen, oder eine zentrale Signaturinstanz, welche die alleinige Hoheit über Zertifikate, in diesem Fall Ausweisdokumente, hat. Ich will an dieser Stelle nicht die Vor- und Nachteile sowie die Kombinationsmöglichkeiten dieser Ansätze diskutieren, sondern stelle fest: In zentralistisch ausgerichteten Gesellschaftssystemen setzt man auf zentrale Ausgabestellen für Vertrauen. Wer immer also dafür sorgen will, dass man überprüfbare Unterschriften leisten kann, muss zunächst einmal Proben dieser Unterschriften einsammeln und dabei feststellen, zu welchem Individuum sie gehören. Wer diese Aufgabe einigermaßen kundenfreundlich erledigen will, braucht ein weit verzweigtes Filialnetz, die Möglichkeit, Dokumente sicher aufzubewahren und entsprechend geschultes Personal. In Frage kommen Kreditinstitute, die Post und Einwohnermeldeämter. Nimmt man jetzt noch hinzu, dass niemand Lust hat, seine Geldbörse mit noch einer weiteren Plastikkarte zu verzieren, man also optimalerweise etwas aufrüstet, das ohnehin jeder besitzt, drängt es sich geradezu auf, einfach den Personalausweis um einige Zusatzfunktionen zu bereichern. So weit die Theorie.
In der Praxis stellt sich wie bereits angedeutet die Frage, ob wirklich jeder so wild auf die erweiterten Möglichkeiten des neuen Ausweises ist, dass er den dreifachen Preis des bisherigen zahlen möchte - und damit wohlgemerkt auch nur das Trägermedium für die elektronische Unterschrift bekommt. Wer sie nutzen will, muss die bereits erwähnten 40 € pro Jahr zahlen.
Schwierigkeiten durch Beweislastumkehr
Darüber hinaus dürfte den wenigsten Anwendern klar sein, auf welches Vabanquespiel sie sich mit der elektronischen Signatur einlassen. Die eigentliche Schwachstelle ist dabei wohlgemerkt nicht der Ausweis selbst, sondern das Lesegerät und der angeschlossene Rechner. Die meisten Systeme sind so installiert, dass sie der Anwender möglichst mühelos benutzen kann. Das heißt in der Regel, dass sie relativ lax gesichert sind und in Kombination mit leichtsinnigem Nutzerverhalten ein aussichtsreiches Angriffsziel bilden. Hat sich erst einmal ein Schädling eingenistet, kann er prinzipiell alles: Angefangen vom Aufzeichnen von Tastatureingaben und damit der Ausweis-PIN bis hin zur Manipulation des Bildschirminhalts, so dass der Angegriffene etwas Anderes abnickt, als er zu sehen bekommt, ist alles möglich.
Viele dieser Szenarien ließen sich mit den Komfortlesern vielleicht nicht völlig verhindern, aber um Größenordnungen erschweren, aber die gratis mit den neuen Ausweisen verteilten "Starterkits" bestehen verständlicherweise nur aus den billigen und leicht angreifbaren Basislesern. Man muss keine seherischen Fähigkeiten besitzen, um sagen zu können, dass sich kaum jemand die teuren Geräte kaufen wird, wenn es die unsichere Alternative frei Haus gibt. "Wieso auch? Funktioniert doch."
Genau in dieser nur allzu menschlichen Haltung lauert die Gefahr. Bei einer klassischen, mit einem Stift geleisteten Unterschrift hat man es mit einem Unikat zu tun, das man auf individuelle Spuren untersuchen lassen kann. Jede von mir geleistete Unterschrift unterscheidet sich geringfügig von der anderen. Sie entwickelt sich im Lauf der Jahre. Wer eine manuell geleistete Unterschrift so fälschen will, dass sie ein gerichtliches Gutachten übersteht, darf sich also nicht nur auf das eine Exemplar auf dem Ausweis verlassen, sondern muss anhand mehrerer Proben zufällige Varianten von Charakteristika unterscheiden und herausfinden, welche Änderungen es seit dem Tag gab, an dem ich im Einwohnermeldeamt die Unterschriftenprobe abgab. Eine digitale Unterschrift ist erst einmal einfach da, und man sieht ihr nicht an, ob sie von ihrem rechtmäßigen Besitzer oder einem Schadprogramm geleistet wurde. Schlimmer noch: Es ist fast unmöglich zu beweisen, dass man nicht selbst unterschrieb, sondern hereingelegt wurde. Selbst wenn man in der Lage ist, den verseuchten Rechner einem Sachverständigen vorzulegen, bleibt man den Beweis schuldig, dass die Verseuchung zum Zeitpunkt der Unterschriftleistung wirksam war. Bereits jetzt hat man vor Gericht kaum Erfolgsaussichten gegen Anwälte eines Rechteinhabers, die Anhand irgendwelcher Serverprotokolle behaupten, man habe illegal kopiert - und hier geht es um vergleichsweise banale Beträge. Viel interessanter wird es, wenn ein Keylogger Ihre komplette Altersvorsorge ins Nirgendwo überweist.
Zum Glück sehen das die Verantwortlichen des neuen Personalausweises ähnlich und lassen digitale Signaturen mit Basislesern nicht zu. Dummerweise sind dies die einzigen zur Zeit erhältlichen Geräte. Die höherwertigen werden erst ab dem nächsten Jahr zu haben sein. Ob sie wirklich die geforderte Sicherheit bieten, wird sich zeigen. Immerhin lohnt sich bei entsprechend hohem Gewinn und vergleichsweise niedrigem Risiko auch ein höherer Aufwand beim Angriff auf ein Sicherungssystem. Wer in den Tresorraum einer Bank eindringen will, riskiert deutlich mehr. Ich wage hier aber keine Prognose und warte ab. Grundsätzlich sei angemerkt, dass jedes Verfahren, bei dem ein wesentlicher Teil der Sicherheit auf einem verhältnismäßig schwach gesichertem Gerät wie einem Durchschnitts-PC abspielt, riskant ist. Wie sicher kann ein Mobil-TAN-Verfahren sein, bei dem die TAN per SMS an ein potenziell mit Schadsoftware befallenes Telefon geschickt wird? Wie groß ist die Chance, das Ihrer Bank beizubringen?
Flucht ins Kleingedruckte
Erschwerend kommt hinzu, dass zumindest das BSI sich in meinen Augen die Sache zu leicht vorstellt. Der Ausweis selbst sei sicher, so wird argumentiert, einzig die Lesegeräte hätten Lücken und es sei Aufgabe des Endanwenders, seinen Rechner so abzusichern, dass nichts passiert. Ich kann diese Haltung in der Privatwirtschaft verstehen. Wer bei WMF ein teures Service kauft, kann schließlich den Hersteller nicht verklagen, wenn ihm beim Spülen eine Tasse auf den Boden fällt und zerbricht. Bei einem Ausweis sehe ich die Lage nicht genau so. Die Regierung hat in meinen Augen eine gewisse Verantwortung gegenüber den Bürgern. Sie kann nicht auf der einen Seite die wunderbare Welt der sicheren Onlinekommunikation verheißen, aber sich im Kleingedruckten aus der Verantwortung stehlen. Die meisten meiner Kunden haben nur sehr vage Vorstellungen davon, welchen Risiken ihre Rechner ausgesetzt sind. Solchen Leuten mit bunten Werbeversprechungen sichere Hardware hinzustellen und sich dann mit Wortklaubereien wie "Ja, die Hardware ist sicher, aber schließ sie um Himmels Willen nicht an deine unsichere Kiste an, das haben wir nicht geplant" aus der Affäre zu winden, kommt mir nicht aufrichtig vor. Wenigstens den von ihm bezahlten Behörden sollte der Bürger vertrauen können, dass sie ihn fair behandeln.
Kristallkugelschau
Zu guter Letzt wagen wir einen Blick in die nahe Zukunft - spekulativ, subjektiv und unwissenschaftlich. Nehmen wir an, der neue Ausweis hat in einigen Jahren seine schlimmsten Kinderkrankheiten hinter sich, was haben wir dann?
Mit etwas Pech und Nachlässigkeit unsererseits haben wir das Ende der anonymen Kommunikation im Internet. Grund dafür wird sein, dass aus der freiwilligen Möglichkeit, sich im Internet zu identifizieren, längst eine Pflicht geworden ist. Zu einfach ist wegen der inzwischen bundesweit verteilten Lesegeräte die technische Umsetzung, zu einleuchtend sind die Argumente, geht es doch darum, den internationalen Terrorismus zu bekämpfen, und wenn es der nicht ist, dann die organisierte Kriminalität, religiöse und politische Extremisten, illegale Software- oder Musikkopien, und wenn uns überhaupt nichts mehr einfällt, bleibt uns immer noch der Kampf gegen die Kinderpornografie. Welche Ausrede auch immer gerade herhalten muss, wir können uns sicher sein, dass der Weg ins Internet nur über eine ordentliche Identifikation laufen wird, und weil es sich geradezu aufdrängt, werden wir dann auch bestimmt nur mit Informationen versorgt, die speziell für unsere Altersgruppe zugeschnitten wurden und uns ganz bestimmt keine Unannehmlichkeiten bereiten. Bezahlen wird im Netz sehr viel einfacher werden, was endlich mit dieser Gratispest im Netz aufräumt und dem siechenden Qualitätsjournalismus neues Leben einhaucht. Digitales Rechtemanagement wird endlich richtig funktionieren. Lied anklicken, Ausweis auf's Lesegerät, und wenn es Sony beliebt, dürfen wir vielleicht hören, wofür wir bezahlt haben.
Aus der freiwilligen Abgabe des Fingerabdrucks wird auch inzwischen eine Pflicht geworden sein. Erstens kann es ja nicht angehen, dass der Personalausweis weniger zu bieten hat als der Reisepass, zweitens braucht man nur irgendein Verbrechen publizistisch etwas auszuschlachten, und das Volk wird seine Regierung auf Knien anbetteln, doch bitte die Freiheit weiter einzuschränken, weil alle Menschen so böse sind.
Was tun?
Was bringt es, jetzt noch schnell zum Einwohnermeldeamt zu gehen und sich einen alten Ausweis zu besorgen? Abgesehen von ein paar Jahren Aufschub: nichts. Ein Signal wäre es, wenn massenhaft Menschen ihre bisherigen Ausweise behalten und im Zweifelsfall einfach auslaufen lassen, aber das bedeutet ernsthaften Ärger, und ich rate von dieser Idee ausdrücklich ab. Wenn man nun, aus welchem Grund auch immer, den neuen Ausweis in der Tasche, aber keine Lust hat, den eingebauten Chip zu benutzen, wäre eine Schutzhülle eine lohnende Investition. Radikalere Naturen erwägen vielleicht, den Ausweis zufällig in der Nähe eines RFID-Zappers liegen zu lassen. Damit wäre der Chip zwar zerstört, der Ausweis bleibt aber weiterhin ein gültiges Dokument. Rechtlich sei man sich allerdings darüber im Klaren, dass der Personalausweis Eigentum der Bundesrepublik Deutschland, die Zerstörung des Chips also illegal und somit nicht ratsam ist.
Am Ende bleibt das, wozu ich bei allen strittigen Themen immer wieder aufrufe: Egal, welche Position Sie beziehen, nehmen Sie am politischen Diskurs teil. Warten Sie nicht ab, bis Andere Fakten geschaffen haben. Sorgen Sie dafür, dass die Staatsgewalt wieder vom Volke und nicht von parlamentarischen Hinterzimmern ausgeht.
Linkliste
Inzwischen ist sehr viel zum neuen Ausweis gesagt worden. Dieser Artikel kann und will gar nicht alle Details wiedergeben und sieht sich als Anregung zu weiteren Recherchen. Wer will, mag bei der hier stehenden Linkliste beginnen.
- http://flaschenpost.piratenpartei.de/2010/09/28/e-perso/
- http://de.wikipedia.org/wiki/HBCI
- http://www.usenix.org/event/leet08/tech/full_papers/king/king_html/
- http://www.cs.uiuc.edu/homes/kingst/Research_files/king08.pdf
- http://www.wirtschaft-regional.net/?p=10585
- http://www.presseportal.de/pm/7899/1685804/wdr_westdeutscher_rundfunk
- http://www.zeit.de/digital/datenschutz/2010-09/ccc-npa-ausweis?page=all
- http://www.netzpolitik.org/2010/interview-zum-eperso-kaufe-nie-die-version-1-0/
- http://www.n24.de/n/6339783
- ftp://ftp.ccc.de/congress/26c3/mp4/26c3-3510-de-technik_des_neuen_epa.mp4
- http://www.youtube.com/watch?v=3su5cwTZUr0
- http://www.heise.de/newsticker/meldung/ISSE-2010-Innovationspreis-fuer-Fraunhofer-Projekt-zum-neuen-Personalausweis-Update-1104004.html
- http://www.thelocal.de/sci-tech/20100824-29359.html
- http://www.schneier.com/blog/archives/2010/09/new_german_id_c.html?utm_source=twitterfeed&utm_medium=twitter
- http://www.n-tv.de/politik/Der-Personalausweis-ist-sicher-article1333971.html
- http://www.heise.de/security/meldung/Elektronischer-Personalausweis-Sicherheitsdefizite-bei-Lesegeraeten-Update-1064338.html
- https://www.foebud.org/datenschutz-buergerrechte/neuer-personalausweis/
- http://www.heise.de/newsticker/meldung/Datenschuetzer-gibt-bei-Personalausweis-Entwarnung-1126637.html
- http://www.netzpolitik.org/2010/elektronischer-personalausweis-was-kann-er-was-nicht/
- http://www.tagesschau.de/ausland/personalausweis160.html?utm_source=twitterfeed&utm_medium=laconi
- http://www.heise.de/ct/ct_artikel_rubrikindex_1128393.html
Keine Kommentare:
Kommentar veröffentlichen