Vom 8. November 2010
Deutscher Bundestag Drucksache 17/3637
17. Wahlperiode 08. 11. 2010
Kleine Anfrage
der Abgeordneten Jan Korte, Petra Pau, Jens Petermann, Frank Tempel
und der Fraktion DIE LINKE.
Sicherheitsrisiken und Kosten des neuen Personalausweises
Am 1. November 2010 wurde, trotz vielfacher Kritik, der maschinenlesbare
neue Personalausweis eingeführt. Obwohl Verbraucherschützer die Kosten be-
mängeln, Datenschützer und Computerexperten massive Sicherheitsbedenken
äußerten und der neue Personalausweis insgesamt nicht ausgereift erscheint,
soll der neue Personalausweis nach Ansicht der Bundesregierung auch Ge-
schäfte im Internet sicherer machen.
Der neue Personalausweis wird mit regulär 28,80 Euro mehr als das Dreifache
des jetzigen Personalausweises kosten. Er hat die Maße einer Scheckkarte, be-
nötigt ein Lichtbild mit neutralem Gesichtsausdruck und wird mit einem RFID-
Chip (RFID: Identifizierung mit Hilfe von elektromagnetischen Wellen) ausge-
stattet sein.
Dieser Funkchip soll biometrische Daten wie eine Kopie des Bildes mit Ge-
sichtsbiometrie und – vorläufig freiwillig – auch die Fingerabdrücke der Zeige-
finger des betroffenen Bundesbürgers enthalten.
Für Online-Angebote gibt es zusätzliche Optionen, eine elektronische Identi-
tätsbestätigung (eID), eine kostenpflichtige, qualifizierte elektronische Signatur
(QES) zum elektronischen Unterschreiben und eine Pseudonymfunktion zur
Bestätigung der Person, ohne persönliche Informationen von sich preisgeben zu
müssen.
Um diese Funktionen nutzen zu können, braucht man spezielle Lesegeräte,
über die der Ausweis mit einem Computer verbunden wird. Dies birgt jedoch
ein großes Sicherheitsproblem, da viele Computer ungenügend geschützt sind.
Deutschland befand sich Anfang des Jahres auf der Rangliste der Länder mit
den meisten infizierten Rechnern auf Platz drei. Nach Schätzungen von IT-
Sicherheitsexperten sollen mehrere hunderttausend Rechner in Deutschland
von sogenannten illegalen Botnetzen genutzt werden (vgl. taz vom 25. August
2010). Auf den infizierten und gekaperten Rechnern befinden sich ohne Wissen
der Benutzerinnen und Benutzer Schadprogramme, mit deren Hilfe die Res-
sourcen des PCs von Kriminellen unbemerkt genutzt und auch PINs von Bank-
konten ausgeforscht werden können.
Will man also schon durch die Hardware einem Missbrauch möglichst gut vor-
beugen, sollte man laut dem Bundesministerium des Innern (BMI) einen vom
Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten Stan-
dard- oder besser einen Komfortleser der höchsten Sicherheitsklasse benutzen.
Doch neben den erwähnten Sicherheitsproblemen sind die derzeit zur Verfügung
stehenden Lesegeräte nach Angaben „DER SPIEGEL“ Mangelware. Bislang
seien nur drei Modelle offiziell zertifiziert, von deren Benutzung das BMI selbst
Drucksache 17/3637 – 2 – Deutscher Bundestag – 17. Wahlperiode
aus Sicherheitsgründen aber abrät, da alle drei Geräte nur Basisleser sind, deren
Sicherheitsprobleme der Chaos Computer Club e. V. erst kürzlich nachweisen
konnte (vgl. SPIEGEL ONLINE vom 15. Oktober 2010). Bei der Billigvariante
kann Schadsoftware, etwa ein sogenannter Trojaner, die sechsstellige PIN mit-
lesen. Von den zehn beim Fraunhofer-Institut für Offene Kommunikationssys-
teme FOKUS gelisteten Herstellern stellen nur zwei auch die sicherste Variante,
den Komfortleser her. Dabei braucht man dieses Gerät der höchsten Sicherheits-
klasse, will man alle angepriesenen Fähigkeiten des neuen Personalausweises
nutzen: Die Unterschriftsfunktion, mit der man online Dokumente rechtsver-
bindlich unterzeichnen kann, wird nur mit einem Komfortleser für mehr als
150 Euro möglich sein. Am 3. November 2010 waren nach Angaben des ‚Kom-
petenzzentrum neuer Personalausweis‘ beim Fraunhofer-Institut für Offene
Kommunikationssysteme FOKUS (vgl. www.ccepa.de) weder ein Standardleser
noch ein Komfortlesegerät, sondern nur die drei vom „DER SPIEGEL“ erwähn-
ten unsicheren Basislesegeräte durch das BSI zertifiziert.
Trotz der unbestrittenen Sicherheitsprobleme sollen auch die derzeitigen Haf-
tungsregelungen – im Falle des Missbrauchs von digitalen Identitäten – weiter
gelten, die schon jetzt von Verbraucherschützern als unzureichend bezeichnet
werden. Angesichts der Fülle von Daten aus unterschiedlichsten Bereichen, die
in der Vollversion des ePerso dort gespeichert bzw. mit ihm abzurufen sind,
kann ein Verweis auf Sicherheitsmaßnahmen, die jeder Bürger selbst zu treffen
hat, nicht ausreichend sein bei Dokumenten, die jeder Bürger haben muss. Ist
hier kein akzeptabler Sicherheitsstandard für alle zu gewährleisten, darf eine
solche Technik oder ein solches Instrument nicht obligatorisch eingeführt wer-
den. Die Bundesregierung ist für die Sicherheit, die sie verspricht, verantwort-
lich.
Wir fragen die Bundesregierung:
1. Wie hoch wurden die Kosten für das Projekt neuer Personalausweis zu Be-
ginn geschätzt (Planung, Entwicklung, Sicherheit etc.)?
2. Wie hoch sind die bisherigen Kosten (bitte nach Jahren auflisten)?
3. Wie hoch werden sich die Kosten insgesamt belaufen, bis der neue Personal-
ausweis vollständig ausgegeben worden ist?
4. Welche Kosten kamen bereits und werden noch im Zusammenhang mit dem
neuen Personalausweis nach Kenntnis der Bundesregierung auf die Gemein-
den und Kommunen zukommen (bitte aufschlüsseln nach Beantragung/
Erstellung, künftig anzubietende online-Dienste im Rahmen von E-Govern-
ment und einschließlich Berechtigungszertifikate, ID-Service, IT-System-,
Software- und IT-Integrationskosten)?
5. Welche Schlüsse zieht die Bundesregierung aus den vier Gutachten zu Rest-
risiken (Dietrich, Rossow, Pohlmann. „Restrisiken beim Einsatz der Aus-
weisApp auf dem Bürger PC …“. FH Gelsenkirchen, Fachbereich Infor-
matik. Institut für Internet-Sicherheit. Oktober 2010), Rechtsfragen (Prof.
Dr. G. Borges. „Rechtsfragen der Haftung im Zusammenhang mit dem
eIdentitätsnachweis …“. Ruhr Universität Bochum), Software (Grote,
Keizer u. a. „Vom Client zur APP“. Hasso Plattner Institut. 30. September
2010) und Sicherheitsanalyse (Dagdelen, Fischlin. „Sicherheitsanalyse des
EAC-Protokolls“. TU Darmstadt) (bitte jeweils getrennt aufführen)?
6. Wie gedenkt die Bundesregierung die derzeitige Situation bei den offiziell
zertifizierten Lesegeräten, von deren Gebrauch das BMI aus Sicherheits-
gründen abrät, zu ändern?
7. Welche vom BSI zertifizierten Lesegeräte (Basis-, Standard- oder Komfort-
lesegerät) stehen ab wann, und zu welchem Preis zur Verfügung?
Deutscher Bundestag – 17. Wahlperiode – 3 – Drucksache 17/3637
8. Welche anderen zertifizierten Lesegeräte stehen ab wann, und zu welchem
Preis zur Verfügung?
9. Hat die Bundesregierung mögliche Schadensersatzansprüche gegen die
Hersteller der unsicheren Basislesegeräte geprüft?
Wenn ja, mit welchem Ergebnis, und wenn nein, warum nicht?
10. Hält die Bundesregierung einen Rückruf der unsicheren Basislesegeräte für
notwendig?
Wenn ja, wann wird dieser erfolgen?
Wenn nein, warum nicht?
11. Wie sah der ursprüngliche Zeitplan der Implementierung des neuen Perso-
nalausweises aus (bitte nach Entwicklung, Testphasen, Zertifizierung, Aus-
gabe und Verbreitung der Lesegeräte aufschlüsseln)?
12. Um wie viele Monate hinkt die Entwicklung, Zertifizierung und Verteilung
der nach bisherigem Stand sicheren Lesegeräte hinter dem ursprünglichen
Zeitplan her?
13. Wird die Bundesregierung an ihrem Vorhaben festhalten und die Verbrei-
tung der Kartenleser mit 24 Mio. Euro aus dem Konjunkturpaket II
finanziell unterstützen?
Wenn ja, auf welche Gerätemodelle verteilen sich die finanziellen Mittel im
Detail (bitte aufschlüsseln)?
14. Welche Beträge der aus dem IT-Sonderprogramm im Haushalt eingeplanten
24 Mio. Euro sind bereits für welche Maßnahmen ausgegeben worden, und
wofür ist der Rest verbindlich vergeben?
15. Wurden Firmen für die Entwicklung und Erprobung von Lesegeräten finan-
zielle Unterstützungen aus dem Bundeshaushalt gewährt (bitte nach Firma,
Modell, Höhe der Förderung und Zeitrahmen aufschlüsseln)?
16. Rechnet die Bundesregierung mit zusätzlichen Kosten bei der Entwicklung,
Zertifizierung und Verteilung von sicheren Lesegeräten, und wenn ja, in
welcher Höhe?
17. Wann werden nach Einschätzung der Bundesregierung wie viele Bundes-
bürger bis 2020 den neuen Personalausweis besitzen und nutzen (bitte nach
Anzahl und Monaten/Jahren aufschlüsseln)?
18. Wann werden die sicheren Lesegeräte der höchsten Sicherheitsklasse frei
erhältlich sein, und mit welchen Kosten pro Stück rechnet derzeit die Bun-
desregierung?
19. Hält die Bundesregierung daran fest, dass eine Änderung der Haftungsrege-
lungen nicht erforderlich sei, weil ja jeder Einzelne selbst entscheide, wel-
che Dienste er in welchem Umfang in Anspruch nehmen wolle?
20. Erfüllt nach Auffassung der Bundesregierung die am 1. November 2010
bereitgestellte Technik die Anforderungen und Versprechungen nach mehr
Sicherheit für die Bürgerinnen und Bürger, die einen neuen Personalaus-
weis erhalten und nutzen?
Berlin, den 8. November 2010
Dr. Gregor Gysi und Fraktion