Feb
14
2012

Mein Bauch rebelliert: eine Personalausweis-Anwendung mit dem Smartphone

Es ist selten, dass ich beim Lesen heftige Gefühlswallungen habe, aber gerade hatte ich das Erlebnis gleich mehrfach. Ich hatte ja schon einige Male rund um die neuen Personalausweis-Funktionen geschrieben. Darunter befindet sich auch der meistgelesene Artikel auf unserem Blog. Aufgrund mangelnder Konzeptionierung und schlechter Einführungsplanung tut es sich mit der Verbreitung des Ausweises, speziell der neuen eID-Funktion schwer. Von den inzwischen 10 Millionen ausgebenen neuen Ausweisen sind nur 30% mit einer freigeschalteten eID-Funktion dabei. Grund ist u.a. die geringe Anzahl von angebotenen Anwendungen, aber auch ein ungutes Gefühl der Sicherheit bei weniger Technik-affinene Menschen.

Jetzt ist man auf die Idee gekommen, die eID-Funktion auch im Zusammenspiel mit einem Smartphone zu bringen. Die erste Reaktion war, warum nicht? Dann brauche ich kein Kartenlesegerät und könnte mich überall elektronisch ausweisen. Aber es dauerte nur ein Bruchteil einer Sekunde, der mich an die Unsicherheit von Smartphones durch die aufgespielten Apps erinnert. Es gibt derzeit keine Sicherheit, ob Apps sicher sind, sprich ob sie nicht mehr machen, als sie vordergründig auszuweisen scheinen. Und noch viel gruseliger ist es für mich, auch noch die eID dauerhaft auf meinem Smartphone herumzutragen. Denn Smartphones sind relativ leicht über Funk auszuspähen.

Besonders gruselig war dann die Beschreibung, wie das mit der Übertragung und Nutzung der eID aussehen soll. Hier der Text:

Auf diesem Smartphone läuft eine App, die mittels des Tokens einen privaten Schlüssel erzeugt und in einem besonders sicheren Speicher des Smartphones speichert (Secure Element). Solch ein Bereich kann ein besonders sicherer Teil des Speichers im Smartphone, eine embedded SIM oder eine Micro-SD-Karte sein. … Will sich der Bürger danach über das Smartphone elektronisch identifizieren, schickt er einen mit seinem Schlüssel verschlüsselten Befehl zum TSM, der wiederum die abgefragten eID-Daten des nPA an den eID-Server des Abfragenden übermittelt. Dabei garantiert der TSM gegenüber den Abfragenden, dass der Benutzer des mobilen Endgerätes derjenige ist, dessen nPA-Daten angefragt wurden. (Quelle)

Ist also ganz einfach oder?

Einfach wäre für mich ein Ablauf, wo ich auf dem Bildschirm die folgende Anzeige bekomme: “Halten sie den Personalausweis an das Smartphone und geben Sie Ihre PIN ein”.  Fertig. Und kein vorheriges Aufspielen der eID auf das Smartphone. Dann muss ich zwar den Ausweis immer bei mir haben, was im Übrigen keine Pflicht ist, aber ich wäre mir sicherer. Denn in dem beschriebenen Ablauf, gibt es dann nur das kurze Zeitfenster, wo die eID im Smartphone bewegt wurde.

Was dann aber noch wichtig wäre: Die Anwendung, die zu dem Dialog mit der PIN-Eingabe gehört, müsste bzgl. Sicherheit zertifiziert sein und sich entsprechend ausweisen. Denn die Daten gehen ja über den Äther, und das hoffentlich verschlüsselt. oder?

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF
Written by Dr. Martin Bartonitz in: general |

1 Comment »

  • Hallo Martin,

    Deine Gedankengänge sind sehr verständlich.

    Wenn man mal den Markt in den letzten Jahren beobachtet hat ergibt sich IMHO folgendes Bild: Deutsche Firmen können einfach keine einfach zu habdhabenden und sicheren Applikationen entwerfen. Entweder sind die Dinger nicht sicher oder nicht einfach zu handhaben oder beides.

    Abgesehen davon: Die Bundesdruckerei entwickelt ne Android-App, die auf Microsoft-Technologie aufsetzt… Bin ich der Einzige, der mitbekommen hat, das M$ hier mittlerweile in direkter Konkurrenz zu Android steht? Wie lange wirds da wohl Support für Android seitens M$ geben?

    Comment | 28 February 2012

RSS feed for comments on this post. TrackBack URL

Leave a comment


one × 9 =

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions