Weitere Fragen und Antworten zur Sicherheit der Online-Ausweisfunktion
-
Seit 2017 werden alle Ausweise mit standardmäßig aktivierter Online-Ausweisfunktion ausgegeben. Im Auslieferungszustand ist die Online-Ausweisfunktion zwar aktiviert, aber noch nicht nutzbar. Erst durch Änderung der fünfstelligen Transport-PIN in eine sechsstellige PIN wird die Online-Ausweisfunktion zur Nutzung freigeschaltet.
Auch danach können die auf dem Ausweischip verschlüsselt gespeicherten persönlichen Daten nur unter folgenden Bedingungen ausgelesen werden:
- Der Ausweis muss mit einem geeigneten kontaktlosen Kartenlesegerät oder NFC-fähigen Smartphone/Tablet verbunden sein.
- Der ausgewählte Online-Dienst muss über ein gültiges Berechtigungszertifikat verfügen.
- Die Nutzerin bzw. der Nutzer muss die korrekte PIN eingeben und somit dem Auslesen der Daten aktiv zustimmen.
Die Hoheit zur Freischaltung und Nutzung der Online-Ausweisfunktion liegt somit exklusiv bei der Ausweisinhaberin bzw. dem Ausweisinhaber.
-
Wenn das Betriebssystem des Computers, Smartphones oder Tablets mit einer Schadsoftware infiziert wurde, kann die PIN-Eingabe über die Tastatur mitgelesen werden. Dies gilt ebenso für eine virtuelle Bildschirm-Tastatur.
Auch wenn die PIN ausgelesen wurde, haben Cyber-Kriminelle jedoch nur einen Faktor (Wissen), der für die Online-Ausweisfunktion notwendig ist. Bei der Online-Ausweisfunktion handelt es sich aber um ein Zwei-Faktor-Verfahren (Kombination aus Wissen und Besitz). Daher ist ein Missbrauch ohne zusätzlichen Besitz der physikalischen Ausweiskarte nur möglich, wenn die Schadsoftware auch Zugriff auf den Kartenleser bzw. die NFC-Schnittstelle besitzt und auch dann nur solange der Ausweis mit dem Kartenleser bzw. der NFC-Schnittstelle verbunden ist. Im Verdachtsfalle können Sie Ihre PIN jederzeit an einem vertrauenswürdigen System oder im Bürgeramt ändern.
Noch mehr Schutz bietet dagegen die Verwendung eines höherwertigen kontaktlosen Kartenlesers mit eigener Tastatur (Pinpad). Hier ist die PIN-Eingabe selbst auf infizierten Betriebssystemen vor unberechtigtem Mitlesen geschützt.
-
Auch wenn die PIN der Online-Ausweisfunktion unerlaubt ausgelesen wurde, ist ein Missbrauch ohne Besitz der physikalischen Ausweiskarte kaum möglich.
Eine solche spezielle Ausnahmesituation wäre unter folgenden Voraussetzungen konstruierbar:
- Der Angreifer hat vorher das Betriebssystem mit einer entsprechend präparierten Schadsoftware infiziert.
- Der Ausweis muss im Moment der Anmeldung bei einem Online-Dienst mit dem Kartenlesegerät oder dem Smartphone verbunden sein.
Die Anmeldung kann nur bei einem Online-Dienst mit einem gültigen Berechtigungs-Zertifikat erfolgen.
-
Grundsätzlich werden Ihre Ausweisdaten durch die verwendeten Sicherheitsmechanismen vor missbräuchlicher Verwendung geschützt. Die Datenübermittlung erfolgt Ende-zu-Ende verschlüsselt.
Mit der Online-Ausweisfunktion können Daten ausschließlich an berechtigte Diensteanbieter übermittelt werden, ein manipuliertes Terminal oder eine manipulierte Software könnte Sie aber über den eigentlichen Empfänger der Daten täuschen.
Bitte verwenden Sie derartige Systeme deshalb nur, wenn Sie dem Anbieter bzw. Betreiber dieses Systems vertrauen. Dasselbe gilt für einen eID-Client oder eine Software mit eID-Funktionalität (wie z.B. eine Banking-App), die sie selbst installieren.
Beziehen Sie Software nur aus den offiziellen Quellen; die AusweisApp, den eID-Client des Bundes erhalten Sie hier: https://ausweisapp.bund.de/download
Noch mehr Schutz bietet die Verwendung eines höherwertigen kontaktlosen Kartenlesers mit eigener Tastatur und eigenem Display. Hier ist selbst auf infizierten Betriebssystemen die Anzeige der Berechtigung des Diensteanbieters vor Manipulation und die PIN-Eingabe vor unberechtigtem Mitlesen geschützt.
-
Ein Ausweis mit funktionsunfähigem Chip behält seine Gültigkeit, auch wenn der integrierte Chip erkennbar defekt ist. Die Sicherheit als Ausweisdokument ist durch die physischen Sicherheitsmerkmale gegeben. Die Nutzung der Online-Ausweisfunktion sowie der automatisierten Grenzkontrolle (easyPass) sind aufgrund des defekten Chips jedoch nicht mehr möglich.
Ungültig wird der Ausweis dagegen, wenn der integrierte Chip offensichtliche Spuren mutwilliger Zerstörung aufweist (z.B. Brandspuren nach einem Mikrowellen-Einsatz).
-
Üblicherweise senden NFC-Chips eine fest eingestellte Kennung, sobald sie sich in der Nähe eines kontaktlosen Lesegeräts befinden. Der Chip im Ausweis sendet dagegen stets eine zufällig generierte Kennung, wenn er in den Bereich eines geeigneten Lesegeräts kommt. Die dazu aber erforderliche Entfernung zwischen dem Ausweis und dem Lesegerät ist auf wenige Zentimeter beschränkt.
Personenbezogene Daten, einschließlich Merkmale zur Wiedererkennung, können nur von Online-Diensten mit einem gültigen Berechtigungszertifikat ausgelesen werden. Und dies erst nachdem der Besitzer oder die Besitzerin die korrekte PIN eingegeben hat. Das gilt analog beim Vor-Ort-Auslesen. Somit ist eine unbemerkte Wiedererkennung oder Ortung durch Dritte (zum Beispiel durch ein versteckt angebrachtes Lesegerät) nicht möglich.
-
Die Online-Ausweisfunktion schützt die elektronische Identität bereits durch ein Schutzschild an komplexen Sicherheitsmechanismen und gilt weltweit als eines der sichersten Systeme. Durch sorgsamen Umgang mit dem Ausweis und der Online-Ausweisfunktion können Sie auch selber einen wesentlichen Beitrag leisten, um das hohe Maß an Sicherheit zu garantieren:
- Das eigene System zur Nutzung der Online-Ausweisfunktion sollte stets auf dem aktuellen Stand gehalten werden. Bestenfalls durch das automatische Einspielen von Aktualisierungen. Dabei sollten neben dem Betriebssystem auch der Web-Browser, der eID-Client sowie die Treiber von Kartenlesegeräten berücksichtigt werden.
- Verwenden Sie als eID-Client auf Ihrem System nur eine Software von einem Anbieter, dem Sie vertrauen. Das BSI empfiehlt die Verwendung von regelmäßig zertifizierter Software, wie z.B. die AusweisApp, den vom Bund kostenfrei bereitgestellten eID-Client.
- Dies gilt ebenso bei Nutzung von Apps mit integrierter eID-Funktion, wie z.B. Banking-Apps oder Apps von Identifizierungsdiensteanbietern. Verwenden Sie auch hier nur Apps von vertrauenswürdigen Anbietern.
- Zusätzlich sollte ein aktueller Virenscanner oder eine ähnliche Schutzsoftware gegen Schadsoftware installiert werden, wo möglich und verfügbar.
Während der Nutzung der Online-Ausweisfunktion:
- Ein Diensteanbieter braucht eine staatliche Genehmigung (Berechtigungszertifikat), um Ihre Daten auslesen zu dürfen. Diese Genehmigung wird vor jedem Online-Ausweisen angezeigt und dann vom Ausweis geprüft. So können Sie stets sicher sein, dass Sie Ihre Daten einem berechtigten Anbieter übermitteln. Zudem können Sie sich vor jeder Übermittlung anzeigen lassen, welche Daten übermittelt werden sollen. Anschließend können Sie durch Eingabe Ihrer PIN der Übermittlung zustimmen oder den Vorgang abbrechen.
- Bevor Sie Ihren Ausweis auflegen und Ihre PIN eingeben, versichern Sie sich, dass die korrekte eID-Client App geöffnet wurde.
- Um das Sicherheitsniveau signifikant zu erhöhen, bietet sich der Einsatz eines kontaktlosen USB-Kartenlesers mit eigener Tastatur für die PIN-Eingabe an.
Nach Nutzung der Online-Ausweisfunktion:
- Nach erfolgreicher Anmeldung beim Diensteanbieter sollte der Ausweis umgehend vom Kartenleser oder Smartphone entfernt werden.
Weitere Hinweise hält Personalausweisportal des Bundesministeriums des Innern, für Bau und Heimat im Beitrag zur sicheren Nutzung des Personalausweises bereit.