gegen Trickdiebe und Trickbetrüger außer Haus

Elektronischer Personalausweis

Elektronischer Personalausweis ab 01.11.10

elektronischer Ausweis

Ab 1. November 2010 wird der bisherige Personalausweis durch den elektronischen Personalausweis abgelöst. Der alte Ausweis gilt aber bis zum Ende des auf dem Ausweis vermerkten Ablaufdatums weiter.

Der neue Ausweis hat nur noch die Größe einer Scheckkarte Der elektronische Personalausweis ist weiterhin zehn Jahre lang gültig. Bei Personen unter 24 Jahren beträgt die Gültigkeit sechs Jahre.

Gemäß § 1 des Gesetzes Über Personalausweise und den elektronischen Identitätsnachweis darf vom Ausweisinhaber nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben. Im Geschäftsleben wurde der Ausweis manchmal als Pfand eingesetzt. Vom Inhaber des neuen Ausweises darf das nicht mehr verlangt werden.

Fotokopieren, Fotografieren und Einscannen von Personalausweisen

Fotokopieren, Fotografieren und Einscannen – werden im Personalausweisgesetz unter dem Begriff des Ablichtens zusammengefasst Zum 15.07.2017 wurde § 20 des Personalausweisgesetzes geändert. Neu: Nur der Ausweisinhaber (oder eine andere Person mit der Zustimmung des Ausweisinhabers) darf die Ablichtung (Fotokopieren, Fotografieren und Einscannen ) vornehmen.

Ausnahme: Nach neuer Rechtslage müssen Sie es dulden, dass Kreditinstitute bei Kontoeröffnung zur Geldwäscheprävention ( §8 Geldwäschegesetz) Ihren Personalausweis kopieren. Mehr

Bei freiwilligen Kopien z.B. für Mietvertrag oder Schufa-Auskunft, können Sie aber alles außer Namen und Adresse schwärzen oder schwärzen lassen.

Auf dem Ausweis sind Daten zur Freischaltung der elektronischen Signatur aufgedruckt. Wer weiß, ob es nicht eines Tages möglich sein wird, diese Daten missbräuchlich zu nutzen. Betrüger schlafen nicht.

Die Daten auf dem elektronischen Reisepass sind mit Zertifikaten der ausstellenden Behörden gesichert.

Die deutsche eID-Funktion kann nun europaweit eingesetzt werden.

nach oben

Gebühren

Die Gebühren für den Ausweis werden durch die Verordnung über Gebühren für Personalausweise und den elektronischen Identitätsnachweis - kurz: Personalausweisgebührenverordnung - festgesetzt:
Statt bisher 8 Euro soll der neue Ausweis 28,80 Euro kosten. Wer unter 24 Jahre alt ist, zahlt 22,80 Euro. Ausweispflichtige zwischen 16 und 18 Jahren, die erstmals einen Personalausweis beantragen, müssen ebenfalls 22,80 Euro entrichten.

Bei Bedürftigen ist Gebührenreduzierung oder -befreiung durch die Länder möglich

Erstmaliges Aktivieren der Online-Ausweisfunktion durch die Meldestelle bei der Ausgabe ist gebührenfrei.

PIN vergessen? Für die neue PIN werden 6,- Euro kassiert

Die Gebühr für das nachträgliche Aktivieren der Online-Ausweisfunktion, das ändern der PIN im Bürgeramt und das Entsperren der Online-Ausweisfunktion beträgt nun für alle Bürgerinnen und Bürger 6 Euro.

nach oben

AusweisApp

Haben Sie die App auf Ihrem Computer installiert, können Sie sich mit Ihrem Personalausweis bzw. Ihrem elektronischen Aufenthaltstitel online ausweisen und so Ihre Identität im Internet und an Bürgerterminals sicher und zweifelsfrei nachweisen. Außerdem lässt sich mit der Online-Ausweisfunktion die Identität von Diensteanbietern zuverlässig feststellen. Die AusweisApp2 ist für die am häufigsten genutzten Betriebssysteme Windows 7 SP1, 8.1 und 10 sowie OS X (10.9, 10.10, 10.11) verfügbar und läuft mit allen gängigen Webbrowsern.Sie steht hier [https://www.ausweisapp.bund.de/download/] kostenlos zum Download zur Verfügung.

Mehr Wissenswertes rund um das Thema AusweisApp und elektronische Ausweise finden Sie auf der Seite des BSI [https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/ElektronischeAusweise/Personalausweis/AusweisApp/AusweisApp_node.html].(Quelle: Newsletter buerger-cert.de v. 09.06.16)

nach oben

Was ist neu? Epa-Speicherdaten auslesen

Der neue Personalausweis kennt keine Rufnamen mehr

Das Erste Monitor berichtete am 18.11.10: Die Bundesdrucker haben nämlich die Software für sämtliche Ausweispapiere umgestellt - mit weitreichenden Folgen. Eine Beeinflussung des in der maschinenlesbaren Zone abgedruckten Namens ist nicht mehr möglich. In diesem Zusammenhang kann auch der Rufname nicht mehr festgelegt werden.. In der maschinenlesbaren, der hoheitlichen Zone steht nur der erste Name, der nicht unbedibgt der Rufname ist. Die Vornamen werden in Reihenfolge der Geburtsurkunde vermerkt. Probleme z.B. beim Flugschein, der Kfz-Zulassung, bei Banken, der bahn usw. sind vorprogrammiert


Mit dem Personalausweis kann man sich per Kartenlesegerät und PIN im Internet gegenüber Firmen und Behörden ausweisen. Z.B kann man bei der Deutschen Rentenversicherung den Stand der eigenen Rente abfragen, beim Kraftfahrtbundesamt in Flensburg den Punktestand in der Verkehrssünderkartei.

In zwei getrennten Chips befinden sich die persönlichen und biometrischen Daten der Ausweisinhaber, beispielsweise die Fingerabdrücke auf freiwilliger Basis.

Lesegerät, Identitätsnachweis.

Die Ausweisinhaber können sich im Internet elektronisch mit einem besonderen Lesegerät, das kostenlos abgegeben werden soll, ausweisen, sowohl gegenüber Behörden als auch beim Online-Shopping, Online-Banking oder beim Online-Kauf von Tickets. Biometrische Angaben werden dabei nicht übertragen. Das Lesegerät hat keine eigene abhörsichere Tastatur. Datenschützer raten zu teueren Kartenlesegeräten mit eigener Tastatur

Dazu erhält er noch eine Software ("Bürger-Client) zur Installation an seinem PC. Die Software soll von den Webportalen der Einwohnermeldeämter zu erhalten sein. Man braucht sie, um, eine verschlüsselte Kommunikation zu ermöglichen. Imzwischen wurde eine Sicherheitslücke in dieser Software zur Nutzung des neuen Personalausweis am Computer entdeckt.

Der Inhaber kann sich im Internet an Online-Portalen ausweisen. Das Gegenbüber muss mit einem speziellen Zertifikat zum Auslesen berechtigt sein. Unternehmen, die den neuen Personalausweis im Internet nutzen wollen, müssen sich zum Beispiel bei den entsprechenden Behörden registrieren. Die Behörden prüfen dann, welche Daten von den Unternehmen aus dem ePA ausgelesen werden dürfen. Eine Chipabfrage ersetzt die Passworteingabe. Nur berechtigte Anbieter von Dienstleistungen dürfen die Daten des Ausweises abfragen.

Online-Dienste, die eine Identifizierung mittels ePA anbieten, können Surfern ermöglichen, dies per Pseudonym zu tun. Dabei wird aus einer Nummer des Online-Dienstes und einer einer Nummer des ePA eine Zeichenfolge erzeugt, die das Pseudonym liefert. Ein Rückschluss auf die reale Person ist dabei angeblich nicht möglich. Man kann demnach einkaufen, ohne dass der Anbieter den Namen des Käufers und dessen Postadresse erfährt, z.B.bei kostenpflichtigen Download-Angeboten.

Im zweiten Chip kann noch ein sogenanntes Zertifikat gespeichert werden, eine rechtsverbindliche digitale Unterschrift (ersetzt online die Unterschrift). Damit sollen auch Dienste, die eine eigenhändige Unterschrift erfordern, sicher und preiswert auf dem elektronischen Wege in Anspruch genommen werden. Diese Funktion muss vom Meldeamt freigeschaltet werden und kann grundsätzlich erst ab 16 Jahre verwendet werden.

Was machen die Leute ohne Computer? Das Innenminsterium will die Bürger vor Einführung des ePA noch ausführlich informieren.(Bildquelle: www.wikipedia.de)

Eine Broschüre (PDF) des Bundesinnenministeriums gibt dazu Informationen.

Der Ausweis trägt einen kontaktlosen RFiD-Chip und eine PIN. Mit Eingabe der PIN kann der Ausweisinhaber nachweisen, dass er der rechtmäßige Besitzer ist. Ein RFID-CHIP kann berührungslos ausgelesen werden. Die Entfernung zwischen Lesegerät und Ausweis ist auf wenige Zentimeter beschränkt. Angeblich prüft der Chip die Berechtigung zum Auslesen.

Der Datenschutzbeauftragte von Schleswig-Holstein, sagt, dass der Chip im Ausweis per Funk ausgelesen werden könne. Er rät, den Ausweis in einer Aluminiumhülle zu verwahren.

Der Chip erlaubt viele Anwendungen: Denkbar ist die Nutzung als Büchereiausweis, als Bankkarte, Krankenversicherungskarte, Führerschein. In anderen Ländern hat der ePass bereits diese Funktionen übernommen.

Am Geldautomat Konten eröffnen und Bargeld abheben mit dem Personalausweis. Das ist keine Utopie: zum Bericht

Der ePA gilt innerhalb der EU als Reisedokument.

Die "eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste" enthält verbindliche europaweit geltende Regelungen in den Bereichen "Elektronische Identifizierung" und "Elektronische Vertrauensdienste". Mit der Verordnung werden einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste geschaffen. Die eIDAS-Verordnung sieht vor, dass die künftige Identifizierung auf der gegenseitigen Anerkennung der in den Mitgliedstaaten bereits vorhandenen oder künftig in den Mitgliedstaaten noch einzuführenden Identifizierungsmittel basiert. Ferner müssten elektronische Identifizierungssysteme von anderen Mitgliedstaaten ab 29.09.2018 verbindlich anerkannt werden,

Nach dem 1. Januar 2015 zugelassene Fahrzeuge können mit dem Ausweis online abgemeldet werden. Statt die Plaketten durch Zerkratzen ungültig zu machen, wird nur noch gerubbelt. Dann erscheint ein Sicherheitscode. Mit diesem Sicherheitscode und den Daten des Personalausweises kann künftig die KFZ-Abmeldung über das Internet erfolgen.

Die Altersverifikation ist möglich, z.B. am Zigarettenautomat. Hier muss der Ausweisinhaber die Abfrage mit seiner PIN freigeben. Also mal wieder eine neue PIN zu merken.

Was wird auf dem Chip gespeichert?

Gespeichert werden Name, Adresse Geburtsdatum Ablaufdatum.

Als biometrisches Merkmal wird das Gesichtsbild gespeichert. Anders als beim elektronischen Reisepass ist der Fingerabdruck nicht Pflicht. Nur wenn der Ausweisinhaber einverstanden ist, werden die Abdrücke des rechten und linken Zeigefingers digital gespeichert.

Die EU schreibt die Hinterlegung biometrischer Daten in Reisepässen vor. Der Europäische Gerichtshof hat mit Urteil vom 17.10.2013 - C-291/12 entschieden, dass die Aufnahme digitaler Fingerabdrücke in Reisepässe rechtmäßig ist.

Ausweis-Auskunft

Epa-Speicherdaten auslesen

Mit der Ausweis-Auskunft können Bürgerinnen und Bürger sich bundesweit die auf dem Chip gespeicherten persönlichen Daten einfach und bequem anzeigen lassen. Eine Weiterverarbeitung oder Weiterleitung der Daten findet dabei nicht statt. Der Nutzer hat jederzeit einen Überblick über seine persönlichen Daten, die beispielsweise bei der Nutzung von Online-Verwaltungsdiensten und kommerziellen Internet-Anwendungen verwendet werden. Dadurch wird das Vertrauen in den Online-Ausweis gestärkt und der elektronische Identitätsnachweis transparent. Die Ausweis-Auskunft steht ab sofort auf dem AusweisApp-Portal www.ausweisapp.bund.de kostenfrei zur Verfügung. (Quelle:Pressemitteilung Bundesamt für Sicherheit in der Informationstechnik v- 12.03.14)

Anhand der biometrischen Merkmale kann geprüft werden, ob die den Ausweis vorlegende Person auch tatsächlich der Inhaber ist (Identitätsnachweis). Die biometrischen Angaben dienen ausschließlich für zur Identitätsfeststellung berechtigte Behörden, z.B. Polizei und Grenzkontrolle

Die Zerstörung des im Ausweis eingearbeiteten Mikrochips ist eine Straftat.

nach oben

Verpflichtung zur Nutzung der Online-Ausweisfunktion (eID-Funktion)?

Bislang war die Freischaltung der eID-Funktion freiwillig. Die Nutzung und die Verbreitung der eID-Funktion blieben allerdings hinter den Erwartungen zurück. Da haben die Bundesregierung und Bundestag mit einem Gesetz zur Förderung des elektronischen Identitätsnachweises nachgeholfen. Jeder neue Personalausweis wird künftig bereits mit der einsatzbereiten Funktion zum elektronischen Identitätsnachweis ausgegeben.Das Gesetz ist ab 17.07.17 in Kraft. Die Verpflichtung der Personalausweis- und Passbehörden, den automatisierten Lichtbildabruf gewährleisten zu können, gilt ab dem 15.05.2018.

Zum Auslesen der Daten sind Behörden, Banken, Hotels oder Alkoholverkäufer berechtigt. Sie dürfen Anwesenheit des Ausweisinhabers ohne dessen PIN-Eingabe die eID-Daten auslesen. Polizei, Bundes- und Landesämter für Verfassungsschutz, der Militärische Abschirmdienst und der Bundesnachrichtendienst dürfen im automatisierten Verfahren biometrische Passbilder abrufen.

Der Chaos Computerclub sagt dazu am 23.04.17: "Denn biometrische Verfahren und die eingesetzten Funkchips (RFID) bieten mannigfaltige Möglichkeiten zur Überwachung von Menschen. Und dass einmal installierte Technologien zur Identifizierung und Überwachung die Begehrlichkeiten von Geheimdiensten, Ermittlungsbehörden, aber auch kommerziellen Unternehmen wecken werden, ist kein neues Phänomen."

Das Bundesministerium des Innern hat eine Broschüre herausgegeben, in der alle wichtigen Informationen und Fragen zur Sicherheit rund um den Personalausweis mit Online-Ausweisfunktion enthalten sind. Die Broschüre "Der Personalausweis mit Online-Ausweisfunktion" des Bundesministerium des Innern steht kostenlos zum Download zur Verfügung: Download

nach oben

Ausweis verloren oder gestohlen, Ausweissperre

Um einen Missbrauch des Personalausweises bei Diebstahl oder Verlust auszuschließen, sollten Sie die Online-Ausweisfunktion unverzüglich sperren lassen. Kostenfreie Sperrnummer ab 01.01.2014: 116 116 . Aus dem Ausland: (+49 116 116). Da die Sperrhotline aus wenigen Ländern nicht über die + 49 116 116 erreichbar sei, steht zusätzlich die +49 (0)30 40 50 40 50 als Rufnummer zur Verfügung. Die Sperrhotline ist rund um die Uhr erreichbar. Sie können den Ausweis aber auch persönlich oder telefonisch beim Bürgeramt sperren lassen.

Bei dem Sperr- Anruf wird Ihr Sperrkennwort abgefragt, das Ihnen im PIN-Brief mitgeteilt wurde.

Für den Fall, dass Sie den Personalausweis auch für die elektronische Signatur nutzen, müssen Sie die Unterschriftsfunktion separat sperren lassen. Wenden Sie sich diesbezüglich bitte an den Anbieter, bei dem Sie das Signaturzertifikat erworben haben.

Beim elektronischen Personalausweis gilt wie bei Kredit- und Girokarten: Niemals die PIN auf dem Ausweis notieren, PIN und Ausweis getrennt aufbewahren. Wenn der Ausweis gestohlen wird und die PIN dazu oder man ihn mitsamt der PIN verliert, können Betrüger sich per elektronischer Signatur für den bestohlenen Bürger ausgeben und Geschäfte abschließen.

Wenn ein Ausweis z.B. wegen Verlust oder Diebstahl gesperrt wird, kann man ihn nicht mehr missbräuchlich benutzen. Jeder Diensteanbeiter erhält eigene Sperrlisten. Aber: im Jahr 2006 hat ein Informatiker einen Reisepasss-Funkchip gefälscht, den Funkchip ausgelesen und auf einen neuen übertragen. Daraufhin soll zwar die Sicherheit beim Auslesen des neuen Ausweischips erhöht worden sein, aber Kriminelle werden vermutlich einen Weg finden, um den Chip dennoch zu knacken. Bei dem angeblich so sicheren EMV-Chip auf EC-und Kreditkarten ist ihnen das schon gelungen.

nach oben

Verlorenen Ausweis wiedergefunden, Wiederauffindung unbedingt melden

Wer mit als verloren oder gestohlen gemeldeten Ausweispapieren reist, kann in nicht EU-Ländern festgehalten werden, bis die vermeintlich missbräuchliche Benutzung des Ausweispapiers aufgeklärt ist und das dauert Stunden! Ebenfalls ist eine sofortige Zurückweisung möglich, was bedeutet, dass der Urlaub oder die Dienstreise zu Ende sind, bevor sie angefangen haben.

Tausende Ausweispapiere werden jährlich in den polizeilichen Fahndungscomputern gespeichert. Um Missbrauch mit abhanden gekommenen Ausweispapieren zu verhindern, werden nicht nur als gestohlen gemeldete Dokumente zur Fahndung ausgeschrieben, sondern auch die als verloren gemeldeten Papiere werden von den Städten und Gemeinden an die Polizeibehörde gemeldet, wo sie ins Fahndungssystem eingespeichert werden.

Oft tauchen die außer Kontrolle geratenen Ausweispapiere nach kurzer Zeit wieder auf und wandern zurück in die Hände ihrer Eigentümer. Leider versäumen die es diese häufig genug, die Wiederauffindung an Stadt oder Polizei zu melden. Mit dem im Polizeicomputer gespeicherten Ausweis reisen sie in alle Welt und erleben unter Umständen zum Beispiel das, was einer Willicher Bürgerin in der letzten Woche in einem Nachfolgestaats Jugoslawiens passierte: Sie durfte nicht ausreisen, weil ihr Pass zur Fahndung ausgeschrieben war.

Noch unangenehmer wird es, wenn man erst gar nicht einreisen darf, weil zum Beispiel bei der Sicherheitsüberprüfung bei Einreisen in die USA festgestellt wird, dass der Flugpassagier mit einem ausgeschriebenen Ausweis landen wird. Mögliche Konsequenzen: Stellt sich nicht bereits vor der Landung heraus, dass das Ausweisdokument nur noch versehentlich in der Fahndung ist, wird der Passagier so lange festgehalten, bis die missbräuchliche Benutzung des Passes widerlegt ist. Dies ist in 99% der Fälle in der Vergangenheit gelungen, weil die Passinhaber nur vergessen hatten, die Wiederauffindung zu melden. So verlief es auch in einem Fall im vergangenen Monat, als die Kreispolizei die Rechercheanfrage des BKA erhielt.

Ein Nettetaler Bürger, der bereits auf dem Flug in die Staaten war, wollte mit einem als verlustig gemeldeten Ausweis in die USA einreisen. Bis zur Landung blieben vier Stunden Zeit, die vermutete missbräuchliche Passbenutzung mit den folgenden möglichen Konsequenzen zu widerlegen. Denn auch eine sofortige Zurückweisung ist möglich.

Zudem drohen strafprozessuale Maßnahmen, wie z.B. eine erkennungsdienstliche Behandlung. Eine Löschung dieses Datensatzes in den USA ist vor Ablauf von 40 Jahren nicht vorgesehen, was bedeutet, dass eine erneute Einreise in die Staaten unter Umständen nicht möglich ist. Diese Folgen sind nicht nur unangenehm, sondern unter Umständen auch finanziell belastend.

Die Polizei rät, wiederaufgefundene Ausweise ohne Zeitverzug bei der Polizei oder der Stadt zurückzumelden. Beachten Sie bei anstehenden Auslandsreisen auch die Bearbeitungszeiten Ihrer Meldung. In Eilfällen wegen anstehender Reisen in Länder außerhalb der EG sollten Sie sich persönlich bei einer Polizeidienststelle melden, um Ihren ausgeschriebenen Ausweis wieder löschen zu lasse

Quelle: Polizeipresse Viersen, news aktuell gmbh v. 12.11.10

nach oben

Ist der Ausweis sicher?

Die Verantwortung bei der Nutzung im Internet wird auf den Ausweisinhaber abgewälzt. Die fehlende Tastatur der Basis-Geräte ermöglicht es Hackern, die PIN eines Personalausweises während der Eingabe über die Computertastatur mitzulesen. Nutzer sollen darauf achten, ihren Rechner durch einen aktualisierten Virenscanner, eine Firewall und aktuelle Betriebssystemsoftware zu schützen, damit ihre PIN nicht durch eingeschleuste Schadsoftware ausgespäht oder manipuliert werden kann. Doch nicht jeder ist sio versiert im Umgang mit dem PC.

Laut Bundesregierung ist das Verfahren für den Verbraucher aber sicher. Für den Betrieb reiche ein "einfaches Basislesegerät ohne eigene Tastatur und eigenes Display aus", heißt es dazu in den Broschüren des Bundesinnenministeriums. Nach Recherchen von "Plusminus" erleichtert aber gerade diese Technologie den Klau der Daten.

Bundesinnenminister Thomas de Maiziäre sieht im "Plusminus"-Interview keinen unmittelbaren Handlungsbedarf. Eine Million dieser Geräte sollen kostenlos als sogenannte "Starter Kits" an die Bürger verteilt werden. Die Mittel in Höhe von 24 Millionen Euro kommen dem Konjunkturpaket II. Die Lesegeröte werden unter anderem über Computer-Zeitschriften und ausgewählte Banken kostenlos verteilt.

Quelle: ARD-Magazin "Plusminus", www.tagesschau.de. v. 24.08.10

Bei einfachen Lesegeräten ohne eigene Tastatur wird die PIN an der PC-Tastatur oder per Maus auf dem Bildschirm eingegeben. Mit einem Trojaner auf dem PC lässt die PIN sich dann abfangen.

Ausweis auf keinen Fall auf dem Lesegerät liegenlassen

So lange der Ausweis auf dem Lesegerät liegen bleibt, könnten Hacker mit den Ausweisdaten im Internet unter Ihrem Namen Waren bestellen.

Das Bundesministerium des Inneren hält den elektronischen Personalausweis für sicher.

Beim neuen Personalausweis sieht der Berliner Landesdatenschutzbauftragte noch Nachbesserungsbedarf, da noch nicht das Problem gelöst sei, dass Mitarbeiter eines Meldeamtes die elektronische Identifizierungsfunktion unbefugt aktivieren können. Der Datenschützer rät, für die Internetanwendungen des Dokuments nur die teureren Komfortkartenleser einzusetzen, die über ein eigenes Eingabefeld für die Geheimnummer verfügen. Dazu gehöre ein aktueller Virenscanner, eine Firewall und das Einspielen aller verfügbaren Sicherheitsupdates des PC-Betriebssystems.

Ähnliche Empfehlungen gibt der hessische Datenschutzbeauftragte in seinem aktuellen Tätigkeitsbericht. Er kann zudem nicht erkennen, wozu es nützlich sein soll, Fingerabdrücke auf dem Ausweis speichern zu lassen.

Quelle: www.heise.de v. 30.03.11

nach oben

Der Bund Deutscher Kriminalbeamter sieht eine grobe Fahrlässigkeit bei der Anwendung des Ausweises am heimischen PC.

Der neue Personalausweis kommt mit einer Lesegeräte-Technik für Online-Geschäfte auf den Markt, bei der Kriminelle mit der Zunge schnalzen", sagte der Vorsitzende des Bundes Deutscher Kriminalbeamter, Klaus Jansen, der "Neuen Osnabrücker Zeitung". Er warf der Politik vor, "auf veralteten Elektroschrott zu setzen, um die Anschaffungskosten für die Geräte gering zu halten". (Quelle. www.ntv.de v. 30.10.10)

Das ARD-Magazin "Plusminus" hat im Sicherheitssystem des neuen Personalausweises, der am 1. November 2010 eingeführt wird, gravierende Mängel festgestellt.

In Zusammenarbeit mit dem Chaos Computerclub prüfte die Redaktion Testversionen der Basis-Lesegeräte. Für Betrüger ist es demnach problemlos möglich, geheime Daten abzufangen - inklusive der geheimen PIN-Nummer. Die Lesegeräte sind nötig, wenn man den neuen Personalausweis am heimischen Computer nutzen wolle und sich somit für die Abwicklung von Internet-Geschäften zu identifizieren.

Im NDR-Info Radio sprach sich der Bundesdatenschutzbeauftragte Peter Schaar gegen einen Einsatz dieser Basis-Kartenleser aus.

Der Verbraucherzentrale Bundesverband erklärt in seiner Pressemitteilung v. 15.10.10: Unsicher und teuer.

Die Zusatzfunktionen des neuen Personalausweises werden den Verbraucherschutz im Internet kaum verbessern. Das befürchtet der Verbraucherzentrale Bundesverband (vzbv). Zudem bemängelt der vzbv die von der Bundesregierung angekündigte Bereitstellung von Lesegeräten ohne eigene Tastatur und mit niedriger Sicherheitsstufe für die Erstantragssteller. Nicht nachvollziehbar ist es, dass dem für Konzeption und Einführung zuständigen Bundesinnenministerium vom Haushaltsausschuss des Deutschen Bundestages die Mittel für die umfassende Information der Bürger über den neuen Personalausweis offenbar nicht genehmigt wurden.

So wie er angelegt ist, wird der neue Personalausweis dem erklärten Ziel nicht gerecht, die Verbraucher im Online-Geschäftsverkehr besser zu schützen", kritisiert Billen.

Hauptkritikpunkt ist, dass Online-Anbieter sogenannte Berechtigungszertifikate erhalten können, ohne dass zuvor die Seriosität der Unternehmen geprüft wurde. Diese Berechtigungszertifikate dienen bei der Datenabfrage der Identifizierung eines Diensteanbieters gegenüüber dem Personalausweisinhaber.

Sicherheitslücke bei der Online-Identifizierung

Betroffen ist das Basislesegerät. Auf dem Rechner des potenziellen Opfers muss überdies das Plugin OWOK installiert sein - dies sei Teil vieler "Starterkits, die zum Start des neuen Personalausweises verteilt wurden, und er Perso muss auf dem Lesegerät liegen. Das Opfer wird auf eine Phishing-Seite gelock Über das Netzwerk war es möglich, über eine modifizierte Cyberflex-Shell Kommandos an den ePerso an einem anderen PC zu senden. Weitere Informatonen bei www.heise.de.

Quelle: Polizeipresse Bayern v. 08.08.11

Der Chaos Computer Club (CCC) hat in Zusammenarbeit mit Schweizer Sicherheitsexperten erhebliche Schwachstellen im neuen elektronischen Personalausweis und der in der Schweiz bereits im Einsatz befindlichen SuisseID praktisch demonstriert. Interessierte Tüftler, aber auch Kriminelle können beide Identitätsnachweise mit einfachen Mitteln ferngesteuert benutzen. Mit dem ePA ist der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich", sagt CCC-Sprecher Dirk Engling.

Der CCC weist alle zukünftigen Ausweisbesitzer darauf hin, dass nur höherwertige Lesegeräte mindestens der Klasse 2 verwendet werden sollten, um wenigstens einen Schutz vor den simplen Angriffen mittels leicht verfügbarer Spionagesoftware zu erreichen. Sie unterscheiden sich von den Billiggeräten durch ein eingebautes Pinpad. Dadurch muss die PIN nicht mehr am PC eingegeben werden, wo sie von der Schadsoftware abgefangen werden kann. Quelle: www.ccc.de v. 21.09.10

Der Chaos Computerclub hält den elektronischen Personalausweis auch deswegen für unsicher z.B. weil der Chip im Inneren des neuen Ausweises beschreibbar sein wird. Gleichzeitig existieren tausende Stellen, die diesen Chip beschreiben können. Von Meldeämtern bis hin zu Auslandsvertretungen kann der Chip in vielen Vertretungen der Bundesregierung neu beschrieben werden. Das gesamte Konzept des sicheren Einkaufs im Internet sei damit hinfällig, meint der Chaos Computerclub.

Im November 2010 wurde eine Sicherheitslücke in der AusweisApp (Software zur Nutzung des neuen Personalausweis am Computer, "Bürgerclient" ) der Anwendungssoftware des ePerso, aufgedeckt.

Ein Mitglied der Piratenpartei hatte entdeckt, dass durch eine Schwachstelle in der automatischen Update-Funktion Angreifer auf den Rechner des Nutzers Schadsoftware aufspielen und so die Kontrolle über das Gerät erlangen können. Die AusweisApp aktualisiert sich automatisch bei jedem Start per SSL-Verbindung zu dem Updateserver. Sie überprüft zwar, ob das Zertifikat gültig ist, aber nicht, ob es auch auf den Namen des regulären Update-Servers ausgestellt

(Quelle: http://janschejbal.wordpress.com/
2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf die aufgedeckte Sicherheitslücke bestätigt und empfiehlt:

Ausweisbesitzer, die bereits die AusweisApp heruntergeladen haben, werden ausdrücklich aufgefordert, nicht die Update-Funktion dieser Software zu benutzen.

Das Bundesamt für Sicherheit hat am 03.01.11 mitgeteilt: Die Software zur Nutzung der Online-Ausweisfunktion des neuen Personalausweises, die AusweisApp, steht ab sofort wieder zur Verfügung. Bürgerinnen und Bürger können die Software auf der Webseite https://www.ausweisapp.bund.de in der Version 1.0.2 für das Betriebssystem Microsoft Windows herunterladen. Versionen für Linux und Mac OS werden folgen.

Die Frankfurter Rundschau hat am 13.01.11 über Schwierigkeiten der Meldeämter, darunter auch das Berliner Bezirksamt Charlottenburg-Wilmersdorf, berichtet. Das Problem: Nicht alle Ausweise können über die sogenannten Änderungsterminals digital aangemeldet werden. Besonders Namen mit diakritischen Zeichen, z.B. André oder François, seien betroffen. Der eigentliche Vorteil des neuen Personalausweises, die digitale Registrierung, ist hinfällig. Die Bürger könnten ihren Ausweis zwar abholen, müssten aber ein weiteres Mal vorbeikommen, um auch die digitale Registrierung abzuschließen. Wie lange sie darauf warten müssen, ist noch unklar.

Personalausweis-PIN ausspähen

Das Mitglied der Piratenpartei Jan Schejbal, hat bereits im November des letzten Jahres eine Sicherheitslücke in der AusweisApp, der Anwendungssofware des neuen ePersos, aufgedeckt. Er zeigt auf seiner Seite http://FSK18.Piratenpartei.de , wie die Ausweis-PIN ausgespäht werden kann.

Fragt sich, was passiert, wenn jemand die Firewall hackt oder sich ein Virus auf dem PC eingenistet hat, kann dann die Identität übernommen werden? Der Ausweisinhaber ist dann der Dumme, denn er ist verpflichtet, seinen Computer sicherheitsmäßig auf den neuesten Stand der Technik zu halten.

nach oben

Ausweispflicht, Mitführpflicht ?

Paragraf 1 des Gesetzes über Personalausweise schreibt eine Ausweispflicht für Personen ab dem vollenden des 16. Lebensjahre vor. Sie müssen ihn auf Verlangen einer zur Feststellung der Identität berechtigten Behörde vorlegen und es ihr ermöglichen, ihr Gesicht mit dem Lichtbild des Ausweises abzugleichen. Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben. Dies gilt nicht für zur Identitätsfeststellung berechtigte Behörden sowie in den Fällen der Einziehung und Sicherstellung. Eine Mitführpflicht besteht in Deutschland grundsätzlich nicht.
Ausnahme: Im grenzüberschreitenden Verkehr stellt das Nichtmitführen eine Ordnungswidrigkeit nach § 25 Passgesetz dar, welche mit einer Geldbuße von 15,00 Euro geahndet wird.

Man ist nur verpflichtet, einen Personalausweis zu besitzen, muss diesen aber auf Verlangen einer zur Überprüfung berechtigten Person vorlegen. Die Ordnungsbehörden und die Polizei dürfen nach den Polizei- und Ordnungsgesetzen der Länder unter bestimmten Voraussetzungen eine Person festhalten und zur Dienststelle bringen, um die Identität zu überprüfen.

nach oben

Biometrische Daten verhindern keine gefälschten Ausweise

Anders als erhofft, konnten neue biometrische EU-Reisepässe Fälschungen bisher nicht verhindern. Kritisiert wird von den EU-Abgeorneten neben der Existenz "echter gefälschter Pässe" (infolge gefälschter Geburtsurkunden) auch die Qualität der biometrischen Daten. So testeten Behörden im niederländischen Roermond 448 biometrische Pässe. Mehr als ein Fünftel der untersuchten Pässe enthielt unbrauchbare Fingerabdrücke. Beanstandet wurde auch die geringe Verlässlichkeit der Fingerabdrücke von Kindern und älteren Menschen

Quelle: Europäisches Parlament v.19.04.12