Welche Daten dürfen auf Chipkarten frei lesbar sein?
Im Zuge der e-card-Einführung ergab sich auch die Frage, welche Daten in welcher Sicherheitsstufe auf einer Chipkarte lesbar sein sollen.
Grundsätzlich könnte man sich auf den Standpunkt stellen, eine Chipkarte ist bloß eine technisch andere Form eines herkömmlichen Ausweises und auf diesem sind zwangsläufig alle Angaben für den Betrachter frei lesbar. Es liegt in der Verantwortung des Inhabers, daß er diesen Ausweis sorgfältig verwahrt und nur berechtigten Personen zeigt. Bei einer Chipkarte wäre dies genau so.
Wie jedoch schon die Vergangenheit mit dem Vorläufer 'Magnetkarte' zeigte, liegt hier ein fundamentaler Denkfehler vor. Die Ur-Version der Bankomatkarte enthielt nicht nur alle Daten frei lesbar, sondern auch frei kopierbar, was zu einer Überfülle von Mißbräuchen und Schadensfällen führte.
Der zentrale Unterschied zwischen klassischen Ausweisen und Chipkarten /Magentkarten liegt darin, daß die einen sich an Menschen, die anderen an Maschinen wenden. Für Laien, die die meisten Ausweisbesitzer sind, ist es wesentlich schwerer zu erkennen, wie ein bestimmtes Lesegerät funktioniert, an welche Daten es herankommt und ob die Zugriffe berechtigt sind. Es ist auch heute noch die einfachste Betrugsmöglichkeit, an beliebigen Orten Fake-Systeme aufzustellen, um Menschen zur Eingabe einer Karte und des dazugehörigen Codes zu bewegen. Die Menschen sind wesentlich mißtrauischer, wenn unbekannte Personen sie zur Ausweisleistung auffordern, als bei unbekannten Geräten Daten einzugeben (da ja auch die Funktion der bekannten Geräte in der Regel unverständlich ist).
Grundsätzlich müssen daher alle Informationen, die sich auf einer Chip-Karte befinden, inklusive 'simple' Informationen, wie Name, Adresse oder Geburtsdatum, gegen zufälliges oder mißbräuchliches lesen geschützt werden. Dabei wird es nicht nur notwendig sein, alle Informationen durch einen Benutzercode zu schützen, sondern gleichzeitig auch alle Lesegeräte mit Sicherheitsmerkmalen auszustatten, die es erlauben, bei Bedarf einen unerwünschten Lesezugriff zu identifizieren und herauszufinden wer ein deartiges Gerät installiert und in Verkehr gebracht hat.
Hans G. Zeger: 'Was im Zeitalter des Internets für Onlinedienste selbstverständlich ist, daß jeder Anbieter eines Online-Shops oder Betreiber einer Website über ein komplexes System von Registrierungen und Protokollierungen identifizierbar ist, muß auch in Offline-Systemen wie Chipkarte, Bürgerkarte oder e-card möglich sein. Wir werden uns die technische Realisierung des e-card-Systems diesbzeüglich genau ansehen.'
|