Seit November 2010 wird in den deutschen Meldebehörden der neue Personalausweis (nPA) ausgegeben. Neben dem Scheckkartenformat ist auch der eingebundene RFID-Chip neu. So werden zu den bisher erhobenen Daten zur Person, ein biometrisches Passbild und auf Wunsch des Antragstellers zwei Fingerabdrücke in elektronischer Form auf einem Chip gespeichert; der sich über ein Lesegerät berührungslos auslesen lässt.
Während das Auslesen der biometrischen Daten, also des Passbildes und der Fingerabdrücke auf Polizei, Zoll und ähnliche Behörden beschränkt ist, können die anderen Informationen dazu benutzt werden auf elektronischem Wege die Identität einer Person (eID) zu überprüfen.
Des Weiteren ist der nPA in der Lage eine Qualifizierte Elektronische Signatur (QES) aufzunehmen. Mit dieser zusätzlichen Funktion kann ein Nutzer Dokumente mit einer Unterschrift versehen, welche rechtlich einer handschriftlichen Unterschrift gleichgestellt ist. Dazu muss jedoch ein weiteres kostenpflichtiges Zertifikat bei einem Trust-Center erworben und auf den nPA geladen werden.
Voraussetzungen für die eID-Funktion auf Nutzerseite sind:
- ein Web-Browser (z. B. auf einem PC),
- eine Internetverbindung,
- die sogenannte AusweisApp,
- ein Kartenlesegerät und
- ein neuer Personalausweis (nPA) mit der aktivierten eID-Funktion.
Browser und Internetverbindung stellen bei den meisten Nutzern keine Probleme dar. Die nötige Software (AusweisApp) wurde bisher nicht zertifiziert. Lediglich ein Zertifizierungsverfahren soll in diesem Jahr eingeleitet werden. Da das BSI darauf verweist, bei der Verwendung der eID-Funktion nur zertifizierte Programme zu nutzen besteht keine Klarheit, wer bei einem Missbrauch durch Dritte zur Verantwortung gezogen wird.
Die Hardware steht seit Anfang an in der Kritik. Die preiswertesten Basis-Geräte für etwa 30 Euro sind anfällig für Hackerangriffe, da sie über kein eigenes Nummernfeld verfügen und somit die PIN bei Eingabe am Computer ausgespäht werden kann. Die Bundesregierung hat 40.000 dieser Geräte an Empfänger der ersten Personalausweise verschenkt. Auch bei Zeitschriften waren diese Geräte eine beliebte Beilage. Die etwas besseren Standard-Geräte mit eigenem Tatenfeld gibt es schon ab ca. 50 Euro. Möchte der Nutzer gleichzeitig das System der Qualifizierten Elektronischen Signatur (QES) verwenden muss er zu einem Komfortgerät für deutlich mehr Geld greifen.
Ein Dienstanbieter muss folgende Voraussetzungen erfüllen:
- ein Dienst der Online für bereitgestellt wird (z. B. Onlineshop),
- eine einwandfrei funktionierende und den Sicherheitsvorschriften entsprechende Infrastruktur,
- ein bzw. mehrere Berechtigungszertifikate,
- einen eID-Server oder die Nutzung eines eID-Services sowie
- die Integration der eID-Funktion des nPAs in das eigene Angebot.
Die Berechtigungszertifikate werden vom Bundesverwaltungsamt und einem Berechtigungszertifikatanbieter vergeben. Dazu muss der Anbieter nachweisen, dass die
Anwendung ein berechtigtes Interesse hat, bestimmte personenbezogene Daten auszulesen. Durch die Verwendung von gängigen Schnittstellen sollte die Integration nur mit geringem zeitlichem Aufwand verbunden sein.
Bisher sind die angebotenen Anwendungen überschaubar. Zum Großteil sind es Versicherungen oder reine Online-Banken, die ihren Kunden neben dem üblichen Login mit Benutzername und Passwort ein Einloggen in das Unternehmensportal und den damit verbundenen Diensten via eID ermöglichen. Neben einigen kommunalen Angeboten wird angeboten, sich Daten für die Steuererklärung mit ELSTER übermitteln zu lassen.
Der potenzielle Nutzen für Unternehmen hält sich in Grenzen. Von den bereits ausgestellten Ausweisen wurde nur von gut einem Drittel der Antragsteller die eID-Funktion aktiviert. Diese Zahl kann man mit Sicherheit noch nach unten korrigieren, da nach Angaben des Bundesministeriums des Innern die Online-Ausweisfunktion bereits bei Vergabe eingeschaltet ist. Einige Menschen werden gar nicht wissen, dass die Funktion freigeschaltet wurde und durch zusätzliche Kosten für die nachträgliche Aktivierung haben sicher auch Einige die Aktivierung vorgenommen, ohne dass sie Planen die Funktion zu nutzen.
Durch die erwähnten Möglichkeiten der Nutzung durch Dritte wird auch die Sicherheit der eID nicht wesentlich höher zu bewerten sein als bei der weit verbreiteten Identifikation durch Benutzernamen und Kennwort.
Eine Anwendung der eID im business-to-business Bereich erscheint nicht sinnvoll. Bei kleinen Personengesellschaften wäre eine Identifizierung gut über die Inhaber möglich. Bei juristischen Personen wird es jedoch schwer eine Zugehörigkeit anhand des Personalausweises vorzunehmen, bzw. wird es schwer eine Begründung zu finden, die personengebundenen Daten zu erheben.