Klein, handlich und vielseitig - so soll er sein, der neue Personalausweis, der am 1. November 2010 in Deutschland eingeführt wurde. Nicht nur das Format ist neu, auch die Einsatzmöglichkeiten sind es: Dank Online-Ausweisfunktion macht der neue „Perso" auch Internet-­Transaktionen sicherer. Seit über zwei Jahren laufen um­fangreiche Tests mit dem Dokument und seinen Online-Funktionen, sodass ab dem Stichtag möglichst ­viele Internet­angebote für den ­Einsatz des neuen Personalausweises genutzt werden können.

Der neue Personalausweis eröffnet seinen Besitzern vielfältige Möglichkeiten. Dank eines integrierten Sicherheitschips können sich die Bürger mit dem Ausweis nicht nur - wie gehabt - in der realen Welt eindeutig ausweisen, sondern auch im Internet. Dazu bietet der neue Ausweis erhöhten Komfort für die Online-Welt: Statt zahlreicher PINs, Passwörter und anderer Zugangsdaten benötigt der Nutzer künftig nur noch seinen neuen Personalausweis samt dazugehöriger sechsstelliger PIN, um sich beispielsweise in soziale Netzwerke oder bei Online-Anbietern einzuloggen.
Wenn Bürger persönliche Informationen im Internet nutzen, ist es wichtig, dass sie dabei auf die größtmögliche Sicherheit ihrer Daten vertrauen können. Aus diesem Grund hat das Bundesministerium des Innern (BMI) bei der Entwicklung des Ausweises den datenschutzrechtlichen Aspekten einen sehr hohen Stellenwert eingeräumt. Zum Schutz der sensiblen Angaben werden modernste Methoden verwendet: Dazu gehören hochkomplexe Verschlüsselungsverfahren genauso wie spezielle Schutzmechanismen, die die Kommunikation zwischen Chip und Lesegerät absichern. Auch die Echtheit des Chips und der darauf gespeicherten Daten wird überprüft - abgelegt sind hier die persönlichen Angaben, die auch auf dem Ausweis zu lesen sind, plus Foto und auf Wunsch die Fingerabdrücke.

Gegenseitige Authentisierung
Die Online-Ausweisfunktion des neuen Personalausweises macht es möglich, dass sich bei allen Transaktionen beide Seiten - Ausweisinhaber und Anbieter - gegenseitig authentisieren. So können beide Seiten sicher sein, dass ihr Gegenüber tatsächlich der ist, für den er sich ausgibt. Um diesen Vorteil zu nutzen, benötigen die Bürger künftig neben dem neuen Ausweis und der PIN ein Lesegerät und eine spezielle Software, die „Ausweis-App". Sie kann ab November kostenlos aus dem Internet heruntergeladen werden und auch die entsprechenden kontaktlosen Lesegeräte werden im Handel erhältlich sein.

Ein weiterer, entscheidender Bestandteil des neuen Systems ist der so genannte „eID-Service". Er garantiert, dass nur die Daten des Ausweisinhabers, die der Internet-Anbieter zur Leistungserbringung benötigt - und die der Ausweisinhaber durch Eingabe seiner PIN bestätigt - an ihn weitergeleitet werden. Einer der Anbieter dafür ist beispielsweise die Bundesdruckerei GmbH, die den eID-Service in der hochsicheren Umgebung ihres hauseigenen Trustcenters D-Trust betreibt.

Wie das Zusammenspiel der neuen Bausteine funktioniert, zeigt ein Beispiel der Online-Versicherung HUK24, die am Anwendungstest des Bundesministeriums des Innern teilnimmt. Das Geschäftsmodell der Versicherung basiert darauf, dass alle Anliegen ihrer Kunden via Internet abgewickelt werden - von der Angebotsberechnung über den Vertragsabschluss bis zu späteren Anpassungen des Versicherungsschutzes. Vom Einsatz des neuen Personalausweises verspricht sich die Versicherung, künftig ihre Verwaltungsprozesse noch sicherer und einfacher gestalten zu können.

In wenigen Schritten zu mehr ­Sicherheit
Der potenzielle Kunde ruft am Computer die Internetseite der Versicherung und dort das Formular auf, mit dem er sich ein Angebot erstellen lassen kann. Künftig braucht er seine Daten nicht mehr händisch in das Formular einzutragen, sondern legt den neuen Personalausweis auf das Lesegerät auf. Automatisch wird nun ein verschlüsselter Kanal zwischen dem Ausweis bzw. dem Lesegerät und dem eID-Service-Anbieter der HUK24 - in diesem Fall der Bundesdruckerei - aufgebaut. Noch bevor der Kunde seine Daten freigibt, bestätigt der eID-Service, dass die Versicherung ein Berechtigungszertifikat besitzt und die angeforderten Daten erhalten darf. Ist auch der Nutzer des Online-Dienstes mit der Freigabe der benötigten Daten einverstanden, bestätigt er durch Eingabe seiner PIN, dass sie an die HUK24 übermittelt werden dürfen.

Immer wieder gibt es rund um die Online-Nutzung persönlicher Daten kontroverse Diskussionen. Um beim neuen Personalausweis größtmögliche Sicherheit und Datensparsamkeit zu gewähren, müssen deshalb alle Online-Anbieter das Berechtigungszertifikat beantragen, bevor sie Daten aus dem neuen Personalausweis anfragen und nach Freigabe des Nutzers auch empfangen können. Über das Zertifikat ist genau geregelt, auf welche Informationen der Anbieter maximal zugreifen darf. So benötigt beispielsweise ein Online-Verkäufer von Videospielen zwar das Alter des Käufers, nicht aber sein genaues Geburtsdatum. Ein Anbieter von Fachliteratur hingegen muss die Adresse des Käufers kennen, um ihm die gewünschten Artikel zusenden zu können. Das Berechtigungszertifikat müssen die Dienstleister beim Bundesverwaltungsamt beantragen. Wer die Berechtigung erhält, kauft das Zertifikat anschließend bei zugelassenen Anbietern von Zertifizierungsdiensten (z. B. Trustcentern).

Geringer Aufwand für Internetdienste
Um die Möglichkeiten des neuen Ausweises nutzen zu können, müssen die Anbieter von Internetdiensten darüber hinaus ihre Prozesse umstellen. So hat die HUK24 ihr „Identity-Management-System" geändert, das die Zuordnung von Benutzerkennung und Passwort beim Log-in verwaltet. „Wir haben uns dafür entschieden, den eID-Service nicht selbst zu betreiben, sondern ihn an die Bundesdruckerei auszulagern. Dadurch hielt sich der Aufwand für uns in Grenzen. Für die Anpassung der entsprechenden IT-Systeme und der Web-Anwendung haben wir etwa drei Mann-Monate, also etwa 480 Arbeitsstunden, aufgewendet", berichtet Edgar Karl, IT-Koordinator und Projektleiter für die Integration des neuen Personalausweises bei der Versicherungsgesellschaft. Die Integration des eID-Service in die vorhandene Systemlandschaft hat zwei Mann-Monate, also etwa 320 Arbeitsstunden, erfordert.

Der Test des Systems gliedert sich bei der HUK24 in drei Phasen. Das Unternehmen hat bereits die diesjährige Hightech-Messe Cebit dafür genutzt, erste Schritte auszuprobieren und beispielsweise Test-Ausweise zur weiteren Bearbeitung der Daten einzulesen. Die Rückmeldungen aus diesen Tests wurden direkt in das neue System eingearbeitet. Die zweite Phase startete im Sommer 2010 mit dem Fach- und Abnahmetest. Dafür hat die Versicherung 15 Mitarbeiter aus der IT-Abteilung und den Fachabteilungen ausgewählt, die das neue System auf Herz und Nieren prüfen. Seit Mitte August läuft Phase drei, der eigentliche Anwendungstest. Von den rund 80 Mitarbeitern, die sich für den Test freiwillig gemeldet haben, hat das Unternehmen 35 nach unterschiedlichen Kriterien, wie Geschlecht, Alter oder Beruf ausgewählt, um die Vielfalt in der Nutzerstruktur abzubilden.

Komforttest bis Ende Oktober
Alle Tester bekamen ein „Starter-Kit" vom Bundesministerium des Innern, das unter anderem ein Lesegerät und einen neuen Personalausweis als Testversion enthielt. Die Ausweis-App wurde in einem Download-Center zur Verfügung gestellt. Die Tester sollen jetzt herausfinden, ob alle Funktionen komfortabel zu bedienen sind, ob die Anweisungen leicht verständlich und die Benutzerführungen intuitiv sind, und bei welchen Prozessen es gegebenenfalls noch etwas hakt. „Es geht also weniger um die Frage, ob alles technisch funktioniert, sondern mehr um die Usability - also darum, ob der Kunde mit dem System zurechtkommt", betont Karl.

Die Anwendungstests liefen bis zum 31. Oktober. Ab 1. November kann dann der neue Personalausweis in den Meldestellen beantragt werden und der Echtbetrieb beginnen. Was wird der neue Ausweis bringen? „Aus unserer Sicht bringt er vor allem eines: erhöhte Sicherheit und Transparenz bei Online-Transaktionen", so Edgar Karl, „Das Plus an Schutz führt zu mehr Vertrauen der Verbraucher in Internet-Geschäfte. Wir gehen davon aus, dass künftig mehr und mehr Konsumenten den neuen Ausweis nutzen werden, um sich im Internet auszuweisen". So werde die kleine Ausweiskarte einen völlig neuen Stellenwert im Alltag der Menschen erhalten.