Skip to main content

Pfusch-Perso ist Jobinitiative für Cyberkriminelle

Rede von Jan Korte,

68. Sitzung des Deutschen Bundestages am 28. Oktober 2010


Tagesordnungspunkt 18:

Beratung der Beschlussempfehlung und des Berichts des Innenausschusses
(4. Ausschuss) zu dem Antrag der Fraktion BÜNDNIS 90/DIE GRÜNEN


Elektronischen Personalausweis nicht einführen (Drucksachen 17/2432, 17/3451)


- Rede zu Protokoll -

Sehr geehrter Herr Präsident, werte Kolleginnen und Kollegen,

die Einführung dieses unausgereiften Pfusch-Persos ist hochgradig sicherheitsgefährdend und verantwortungslos. Auch wenn es bei der Politik dieser Bundesregierung eigentlich nicht anders zu erwarten war, müssen wir hier heute feststellen, dass sie beim elektronischen Personalausweis leider völlig beratungsresistent sind. Sie kommen einfach nicht von ihrem Biometrie-Trip runter. Völlig dogmatisch hält der Bundesinnenminister an einem seiner Lieblingsspielzeuge fest. Niemand scheint ihn bei seinem Treiben aufhalten zu können. Koste es was es wolle, werden seit Jahren die aberwitzigsten biometrietechnischen Spielereien aus dem Bundesamt für Sicherheit im Informationswesen gegen jeden Rat und jede Expertise durchgeboxt. Und so ist es auch beim neuen Personalausweis. Ganz gleich, ob Verbraucherschützer die Kosten bemängeln und Datenschützer und Computerexperten massive Sicherheitsbedenken äußern. Ganz gleich, ob Forscher zum Ergebnis kommen, dass der neue Personalausweis noch völlig unausgereift ist und massive Sicherheitslücken hat oder fast alle Nutzungsszenarien nur den Diensteanbietern und meist nicht dem Endnutzer helfen.


So wird also am kommenden Montag, am 1. November der neue elektronische Personalausweis kommen. Das ist bedauerlich und ich kann nur hoffen, dass sich noch möglichst viele Bürgerinnen und Bürger in den letzten Wochen und Monaten einen der bisherigen Personalausweise besorgt haben. Die Bundesregierung ließ allen verantwortungsbewussten Bürgerinnen und Bürgern, die verhindern wollten, diesen Pfusch-Perso die nächsten zehn Jahre mit sich herumtragen zu müssen ja nur diese Wahl.

Nachdem sich die FDP von ihren sehr vernünftigen Positionen aus der letzten Legislaturperiode im Juli verabschiedet hatte, war ja klar wo das hier enden würde. In ihrem damaligen entsprechenden Antrag „Keine Einführung des elektronischen Personalausweises“ forderte die FDP ja noch ganz richtig, dass der Deutsche Bundestag die Einführung des elektronischen Personalausweises ablehnen solle, weil die umfangreiche Erfassung und Speicherung der biometrischen Daten zur elektronischen Identifizierung nicht notwendig sei und mehr Nachteile als Vorteile mit sich bringe. Damals kamen sie, liebe Kolleginnen und Kollegen von der FDP, zum Ergebnis, dass die zwangsweise Verwendung von biometrischen Daten aller Bundesbürger unverhältnismäßig sei. Ihr parlamentarischer Geschäftsführer, Herr Ahrend, forderte selbst vor einem halben Jahr noch, der Staat müsse sich bei seiner Datensammelwut zurücknehmen und deshalb die Entscheidung für den Ausweis korrigieren. Davon ist jetzt nirgendwo mehr die Rede. Man kann sich des Eindrucks nicht erwehren, dass hier eine kollektive Gehirnwäsche durch ihren Koalitionspartner stattgefunden hat.
Innenminister Thomas de Maizère wird nach wie vor nicht müde zu erklären, dass, ich zitiere: "dieser neue Personalausweis […] die sicherste elektronische Identitätskarte, die es auf dem Markt gibt", sei. Wenn das stimmt, dann wirft das nun nicht gerade ein gutes Licht auf die Anbieter von elektronischen Identitätskarten. Bedauerlicherweise sind bei hoheitlichen Dokumenten die von ihnen ja immer so gepriesenen Marktgesetze außer Kraft gesetzt: Wenn der letzte alte Personalausweis abgelaufen ist, gibt es ja praktisch eine gesetzliche Verpflichtung zum Besitz von unausgereiften Pfuschprodukten.

Aber schauen wir uns den derzeitigen Stand einmal etwas genauer an. Für Online-Angebote bietet der neue Personalausweis einige zusätzliche Optionen: eine elektronische Identitätsbestätigung (eID), eine kostenpflichtige, digitale Signatur (QES) zum elektronischen Unterschreiben und eine Pseudonymfunktion zur Bestätigung der Person, ohne persönliche Informationen von sich preisgeben zu müssen. Um diese Funktionen nutzen zu können braucht man spezielle Lesegeräte, über die der Ausweis mit einem Computer verbunden wird. Dies birgt jedoch ein großes Sicherheitsproblem, da viele Computer ungenügend geschützt sind. Deutschland befand sich Anfang des Jahres auf der Rangliste der Länder mit den meisten infizierten Rechnern auf Platz drei. Nach Schätzungen von IT-Sicherheitsexperten sollen mehrere hunderttausend Rechner in Deutschland von sogenannten illegalen Botnetzen genutzt werden (vgl. taz vom 25. August 2010). Auf den infizierten und gekaperten Rechnern befinden sich ohne Wissen der Benutzerinnen und Benutzer Schadprogramme, mit deren Hilfe die Ressourcen des PCs von Kriminellen unbemerkt genutzt und auch PINs von Bankkonten ausgeforscht werden können. Die Sorge um die Sicherheit der persönlichen Daten ist in Deutschland also zu Recht groß. Einer aktuellen Studie des IT-Dienstleisters Unisys zufolge würden jedoch nur wenige Bürger für mehr Schutz auch einen größeren Aufwand betreiben. 72 Prozent, der in dieser Studie in Deutschland Befragten, machen sich ernsthaft Sorgen um einen möglichen Identitätsdiebstahl. Dennoch hielten sich die persönlichen Anstrengungen für die eigene Datensicherheit in Grenzen. Nur 37 Prozent der Befragten würden z.B. schwer zu knackende Passwörter nutzen und sie regelmäßig ändern und 19 Prozent hält ihre Anti-Virus-Software nicht auf dem aktuellen Stand. In so einer Situation Pflichtdokumente mit einem Identitätsschlüssel für Internetgeschäfte und E-Government zu verknüpfen und dabei den Bürgerinnen und Bürgern auch noch Sicherheit vorzugaukeln ist hochgradig unverantwortlich.

Wenn man aber versucht durch die Hardware einem Missbrauch möglichst gut vorzubeugen, sollte man laut Innenministerium einen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten Standard- oder besser noch Komfortleser benutzen. Doch die derzeit zur Verfügung stehenden Lesegeräte sind Mangelware: Bislang sind überhaupt erst drei Modelle offiziell zertifiziert, von deren Benutzung aber das Bundesinnenministerium aus Sicherheitsgründen abrät, da alle drei Geräte nur Basisleser sind, deren Sicherheitsprobleme der Chaos Computer Club erst kürzlich nachweisen konnte: Bei der Billigvariante kann Schadsoftware, etwa ein sogenannter Trojaner, die sechsstellige PIN mitlesen. Von den zehn beim Fraunhofer-Institut für Offene Kommunikationssysteme gelisteten Herstellern stellen nur zwei auch die sicherste Variante, den Komfortleser her. Aber wie gesagt, diese Komfortleser sind bislang noch überhaupt nicht zertifiziert und für den Markt zugelassen!
Dabei braucht man so ein Gerät der höchsten Sicherheitsklasse, will man alle angepriesenen Fähigkeiten des neuen Personalausweises nutzen: Die Unterschriftsfunktion, mit der man online Dokumente rechtsverbindlich unterzeichnen kann, wird nur mit einem Komfortleser für mehr als 150 Euro möglich sein. Das heißt also: Sicherheit wird es beim nPA vorerst nicht geben, denn von den einzig erhältlichen Lesegeräten rät die Bundesregierung aus Sicherheitsgründen ab.

Aber zurück zum Mantra des Innenministers: Selbst wenn man naiverweise einmal annimmt, dass der neue Personalausweis zum jetzigen Zeitpunkt sicher ist, dann stellt sich doch die Frage, wie lange das so bleiben wird? Auch noch so sichere technische Systeme werden inzwischen in ziemlich kurzen Zeiträumen überwunden. Da wäre es naiv anzunehmen, dass dies nun ausgerechnet bei diesem Produkt, dessen Überwindung Kriminellen ungeahnte Möglichkeiten bietet, anders sein sollte.

Es muss hier auch noch einmal festgehalten werden, dass die angeblich fehlende Sicherheit des jetzigen Personalausweises ihnen nur als populärer Vorwand für ein Projekt diente, das die Bürgerinnen und Bürger nie gebraucht und auch nicht gewollt haben. Es ging und geht ihnen um die Schaffung eines Marktes für biometrische Techniken, um ihre möglichst umfassende Einführung und darum, einen großen Teil der Entwicklungskosten via Steuergelder und Gebühren den Bürgerinnen und Bürgern in Rechnung zu stellen. Dafür nehmen sie sogar eklatante Risiken in Kauf und zwingen die Bürgerinnen und Bürger in eine biometrische Marktgemeinschaft. Denn auch wer ganz sicher gehen will und die auf den Markt geworfenen unsicheren Billigprodukte von Lesegeräten nicht nutzen will;
- wer weiß, dass eine nicht-professionelle, gängige Sicherheitsstruktur des privaten PCs nie ganz sicher sein kann;
- wer die teuren und heute halbwegs sicheren Komfortlesegeräte nicht kaufen kann oder will;
- wer aus diesen guten, vernünftigen Gründen bestimmte Funktionen des nPA nicht benutzen will, der finanziert trotzdem das ganze Projekt mit, weil jede und jeder verpflichtet ist einen Personalausweis zu benutzen. Hier wird bewusst und zwangsweise eine unsichere Technik auf Kosten der kritischen Nutzerinnen und Nutzer eingeführt.

Eine solche Politik lehnen wir strikt ab. Identitätsschlüssel für Internet und E-Government dürfen auf keinen Fall mit Pflichtdokumenten kombiniert werden. Der Antrag der Grünen hat daher unsere volle Unterstützung.

Vielen Dank.