Update verfügbar

Update verfügbar

Über diesen Podcast

Das monatliche Update des Bundesamts für Sicherheit in der Informationstechnik (BSI) läuft ganz einfach. Es geht von selbst ins Ohr und liefert die aktuellsten Neuerungen: Die Digitalthemen der letzten Wochen in einem großen Patch für Sie - immer am Monatsende. Unsere Moderatoren Ute Lange und Michael Münz liefern brandaktuelle Neuigkeiten, fesselnde Gäste und erstaunliche Geschichten rund um Digitalisierung, Cybercrime und Zukunftstechnologien - leicht verdaulich und klug erzählt.
Jetzt abonnieren und schon heißt es alle vier Wochen: Update verfügbar!
https://update-verfuegbar.podigee.io/feed/mp3
https://de-de.facebook.com/bsi.fuer.buerger
https://twitter.com/BSI_Bund
https://www.youtube.com/BundesamtfürSicherheitinderInformationstechnik
oder per E-Mail an: mail@bsi-fuer-buerger.de

von und mit Ute Lange, Michael Münz

Abonnieren

Follow us

Transkript

Zurück zur Episode

„Update verfügbar – ein Podcast des BSI“

Transkription für Folge 37, 30.11.2023: Mehr als eine kleine Plastikkarte – alles zur Online-Ausweisfunktion

Moderation: Ute Lange, Michael MünzGast: Niels Räth (BSI)Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Michael Münz: Update verfügbar. Ein Podcast des BSI.

Ute Lange: Hallo und herzlich willkommen zu einer neuen Folge von Update verfügbar, dem Podcast für Sicherheit im digitalen Alltag. Mein Name ist Ute Lange.

Michael Münz: Mein Name ist Michael Münz, und ich sitze hier heute vor frisch abgewischten Geräten.

Ute Lange: Ja, warum das wohl so ist? Er hat einen neuen Putzfimmel, der jetzt weit über den Einsatz eines internetunfähigen Staubsaugers hinausgeht. Und wer die letzte Folge nicht gehört hat, der versteht das nicht so richtig, weil wir haben nämlich über Biometrie gesprochen und Fingerabdrücke und Ohrenabdrücke und wo die überall hinterlassen werden. Und das hat seiner präventiven Paranoia einen neuen Schub gegeben. Stimmt's, Michael?

Michael Münz: Ja, und wie gesagt, wenn ihr das da draußen nicht versteht, ist es nicht schlimm. Auch mein direktes Umfeld versteht mittlerweile nicht mehr genau, was ich hier so eigentlich treibe. Aber ich kann euch sagen, seit der letzten Folge sehe ich glatte Oberflächen mit ganz anderen Augen.

Ute Lange: Ja, und er poliert ständig sein Smartphone am Pulliärmel, damit es um Gottes willen keine Abdrücke gibt. Aber vielleicht ist es auch gar nicht so verkehrt. Wir sprechen ja sehr viel über Sicherheit im digitalen Alltag, und wir sprechen auch heute im weitesten Sinne über Identitätsnachweise. Wir schauen uns einen kleinen, feinen Datenträger an, den wir alle nutzen und auch wahrscheinlich alle immer am Mann oder der Frau haben. Allerdings scheinen wir ihn total zu unterschätzen, wenn es um die Möglichkeiten geht, die sich hinter diesem kleinen Dingelchen verbergen.

Michael Münz: Ja, und wir sprechen – da seid ihr bestimmt schon längst von alleine draufgekommen – wir sprechen über den Personalausweis. Auf den ersten Blick eine kleine Karte aus Plastik, aber unter der Haube kann der offensichtlich noch mehr als das, was wir so auf den ersten Blick sehen.

Ute Lange: Ja, und vor allen Dingen sprechen wir über diesen Ausweis im Zusammenhang mit der Online-Ausweisfunktion, die er nämlich beinhaltet. Was diese Funktion kann und wie wir sie im digitalen Alltag sicher nutzen, darüber wollen wir mit unserem heutigen Gast sprechen.

Michael Münz: Ja, wir sind sehr gespannt darüber, was sich da unter der Haube verbirgt, und sagen: Hallo, Niels Räth, und schön, dass du da bist!

Niels Räth: Hallo.

Ute Lange: Ja, auch ein herzliches Willkommen von mir, Niels. Du arbeitest im Referat – und das habe ich mir extra aufgeschrieben – weil es doch ein bisschen länger ist, das heißt technische „Anforderungen an eID-Komponenten und hoheitliche Dokumente“ im BSI, und du bist zudem Projektleiter für die bereits erwähnte AusweisApp, über die wir heute ausführlicher sprechen möchten. Und jetzt mal Hand aufs Herz, wann hast du deinen Perso das letzte Mal aus der Hosentasche oder Geldbörse gezückt?

Niels Räth: Am Freitag…

Michael Münz: Und das war unausweichlich, dass Du ihn richtig in die Hand nimmst?

Niels Räth: Na ja, das ist halt eben der Beruf, der bringt das so ein bisschen mit sich, dass man dann die Funktion, über die wir gleich reden, dann doch ziemlich häufig nutzt, sowohl eben im beruflichen Kontext als auch im privaten Kontext. Das bleibt dann nicht aus.

Michael Münz: Okay, wir freuen uns auf jeden Fall, dass du da bist, und beruflicher Kontext ist schon mal ein gutes Stichwort. Was genau machst du da beim BSI?

Niels Räth: Ja, wie ihr gerade schon gesagt habt, bin ich Projektleiter für die AusweisApp, und andererseits schreibe ich technische Richtlinien – für die Komponenten, für die eID-Komponenten, die wir verwenden, und auch etliche Dokumente, die Vorgaben des BSI, nach denen dann sozusagen das System funktioniert.

Ute Lange: Heute wollen wir über diese kleine Plastikkarte, die wir alle im Portemonnaie oder woanders haben, sprechen, nämlich den Personalausweis und wie man diesen auch digital nutzen kann. Ich muss gestehen, das war mir bis zur Vorbereitung auf diese Folge gar nicht so richtig klar. Wir beschäftigen uns mit unterschiedlichen digitalen Anwendungen, aber dass das kleine Kärtchen noch mehr in sich trägt, das war mir neu. Von daher bin ich unsere erste Zuhörerin heute. Dafür schon mal danke. Ich habe viel gelernt, und das wollen wir jetzt heute mit unseren Hörern und Hörerinnen teilen. Schauen wir uns den Ausweis mal genauer an, also wir haben ihn ja regelmäßig in der Hand, wie du schon gesagt hast. Die meisten denken wahrscheinlich „Boa, sehe ich auf dem Foto doof aus“, aber das ist ja gar nicht, was wir heute besprechen wollen. Aber das kann ich gut verstehen, habe ich auch meistens das Gefühl. Was ist denn da alles drin, was wir gar nicht so sehen, wenn wir das in die Hand nehmen?

Niels Räth: Ja, also in der Plastikkarte ist ein Chip integriert, ein kleiner RFID-Chip, so ähnlich wie auch bei Bankkarten oder Kreditkarten. Der hat dann eine sogenannte kontaktlose Schnittstelle, deswegen sieht man von außen nicht das kleine goldene Ding, was man sonst vielleicht kennt, von sogenannten Smartcards – es ist unsichtbar beim Ausweis. Aber die Funktion ist sehr ähnlich. Das ist ein kleiner Datenträger und ein kleiner Mikroprozessor, der auch Krypto-Funktionen kann, also Verschlüsseln, Entschlüsseln, Schlüssel-Speicherung, genau. Der Chip wird tatsächlich an der Grenze oder so benutzt, im hoheitlichen Kontext. Also die Daten, die darauf gespeichert sind, kann man an der Grenze dann bei der Polizeikontrolle auslesen lassen. Aber wir reden ja heute über die Online-Ausweisfunktion, die sozusagen für den Ausweisinhaber selbst gedacht ist, womit der nämlich dann seinen Ausweis digital vorzeigen kann, im Internet, bei Firmen oder Behörden.

Michael Münz: Auf meinem Ausweis denke ich ja nicht, dass ich doof aussehe, sondern darüber hinaus auch noch, wie jung ich auf dem Foto war, also sprich, mein Perso ist schon uralt. Ich glaube, der wurde – ich sag jetzt nicht, in welcher Stadt, damit keiner mitschreiben kann – aber 2016 ausgestellt, kann der das auch schon?

Niels Räth: Bei Personalausweisen ist der Chip mit Online-Ausweisfunktion schon seit November 2010 eingebaut, das heißt, bei zehn Jahren Gültigkeit haben heute sämtliche Ausweise, die noch gültig und im Feld sind, die Online-Ausweisfunktion. Bei älteren Ausweisen kann die vielleicht noch ausgeschaltet sein. Das kann man aber nachträglich dann einschalten lassen. Da braucht man dann keinen neuen Ausweis. Daneben gibt es den Chip mit Online-Ausweis auch noch beim elektronischen Aufenthaltstitel. Den erhalten Ausländer von außerhalb der EU. Für EU-Bürger gibt es seit 2021 die sogenannte eID-Karte oder auch Unionsbürgerkarte genannt.

Ute Lange: Und du hast ja schon eine Anwendung genannt, nämlich an der Grenze. Also man kann ja innerhalb Europas nur mit dem Personalausweis reisen. Das ist auch sehr praktisch. Was kann ich denn sonst noch damit machen, wenn dieses Kärtchen so schön aufgeladen ist?

Niels Räth: Zunächst einmal kann man das bei vielen Behörden schon einsetzen: Arbeitsagentur, Rentenversicherung, man kann ein Führungszeugnis beantragen, Punkte in Flensburg nachgucken oder auch für die Steuererklärung nutzen – das kennen, glaube ich, viele von uns, das ist einmal im Jahr nötig. Bei Kommunen gibt es schon viele Anwendungen: Bewohnerparkausweise, Gewerbeanmeldung, Wohngeld. Was und wo es genau geht, ist aber so ein bisschen unterschiedlich in Deutschland. Das wird noch ein bisschen besser, wenn das Online-Zugangsgesetz flächendeckender umgesetzt wird – dann wird das ein bisschen einheitlicher.

Michael Münz: Aber für alle diese Fälle heißt das, dass, was du gerade genannt hast, dafür muss ich eigentlich, wenn ich so einen Personalausweis habe und die AusweisApp, muss ich das Haus nicht mehr verlassen. Richtig also, das kann ich dann alles von zuhause regeln?

Niels Räth: Genau, das geht dann alles vom Sofa oder wo man auch ist, auch von unterwegs, je nachdem.

Michael Münz: Ich hatte meinen Perso erst kürzlich in der Hand, weil ich ein neues Bankkonto eingerichtet habe, und musste dazu so ein Video-Ident anrufen. Sprich, ich hatte eine Person, die,… also, erst muss ich eine App runterladen. Über die App habe ich einen Videocall aufgerufen. Die Person auf der anderen Seite des Videocalls hat mich gebeten meinen Personalausweis so zu schwenken, von vorne nach hinten, von links nach rechts, und das ist jetzt ja nicht die Ausweisfunktion, die du meinst. Also, es ist auch eine Funktion des Ausweises, aber wenn ich dich jetzt richtig verstanden habe, hätte ich das auch anders lösen können.

Niels Räth: Genau. Also bei Video-Ident werden die Daten quasi einfach abgeschrieben. Da sitzt jemand und schreibt die dann von Hand ab, so wie du es vor Ort gemacht hättest, wo du den Ausweis auf die Theke legst. Stattdessen, die Online-Ausweisfunktion funktioniert so, dass die Daten wirklich direkt digital aus dem Ausweis übertragen werden, an den Dienstanbieter, der die Daten haben will. Du gibst dafür eine PIN ein, und der Ausweis wird dafür dann einfach kontaktlos ausgelesen, und das dauert keine 20 Sekunden.

Ute Lange: Okay, ich bin angefixt. Das finde ich praktischer als das, was ich bisher gemacht habe. Da musste ich nämlich, weil meine Schwester eine Kontovollmacht von mir kriegen sollte, mussten wir irgendein Formular anfordern. Da mussten wir zu irgendeiner Post gehen, und sie musste ihren Ausweis vorlegen. Also das war sehr schwierig, weil wir beide einen sehr beschäftigten Alltag haben. Jetzt will ich das anders machen. Was brauche ich denn dafür? Also, es gibt diese App, aber brauche ich noch ein Lesegerät? Wie geht das dann, wenn ich sage, Niels hat gesagt, das ist viel einfacher? Ich glaube ihm, ich möchte jetzt gerne von meinem Sofa aus solchem Dinge machen.

Niels Räth: Genau, auf jeden Fall braucht man die AusweisApp. Es gibt auch ein paar andere Apps, aber die AusweisApp ist die, die der Bund kostenfrei bereitstellt. Die wird im Auftrag des BSI entwickelt, und damit die App sich mit dem Ausweis verbinden kann, braucht man eben noch ein Lesegerät. Also klassisch war das so gerade am Anfang, 2010, 2012, da war das eben wirklich ein USB-Kartenleser, die gibt es auch heute noch. Aber heutzutage kann man einfach ein Smartphone benutzen, das eine NFC-Schnittstelle hat. Also das kennt man vielleicht vom mobilen Bezahlen. Das ist eine sehr, sehr, sehr ähnliche Technik, die wir da auch verwenden, und die Schnittstelle reicht dann eben, um den Ausweis damit zu kontaktieren und sich dann mit der AusweisApp irgendwo auszuweisen.

Michael Münz: Ich gebe ja zu, als ich hörte, dass wir dieses Thema heute machen, war ich auch genauso wie Ute gleich dabei und dachte „Mega, ich lade mir die App runter. Ich versuche das gleich mal“. Und in irgendeinem der ganz frühen Schritte, ich glaube sogar noch auf der Beschreibung auf der Website stand: „Und dann müssen sie nur noch ihre PIN eingeben, und dann kann es losgehen.“ Naja, also lange Rede, kurzer Sinn, ich habe die App nicht runtergeladen, weil ich nicht mehr weiß, wo diese olle PIN ist. Was ist denn das für eine PIN? Wo kommt die her?

Niels Räth: Du kriegst, wenn du den Ausweis bestellst, dann in der Behörde, dann kriegst du nach einiger Zeit halt den sogenannten PIN-Brief nach Hause geschickt. Und in dem PIN-Brief ist eine fünfstellige Transport-PIN drin. Die kannst du dann ändern in eine sechsstellige PIN. Man kann die auch eben in der Behörde direkt ändern, dann braucht man die Transport-PIN nicht mehr, hat direkt die sechsstellige PIN. Aber, genau!

Ute Lange: Ich habe in der Vorbereitung auf diese Folge gemerkt, dass es sich lohnt, immer alles, was man vom Amt kriegt, irgendwo abzuheften. Mein Ausweis ist ähnlich alt wie der von Michael, und ich habe in den Ordner geguckt, wo solche Sachen drin sind, und ich habe tatsächlich eine PIN. Ich habe sie damals einfach mitgenommen. Ich hatte keine Ahnung, was man damit machen kann, aber ich habe gedacht, wenn sie mir die mitgeben, dann hefte ich die mal ab, und jetzt bin ich, glaube ich, ein bisschen startklarer als du.

Michael Münz: Du bist so eine Streberin!

Ute Lange: Ja, ich wollte jetzt einfach mal ein bisschen angeben. Ich habe keine Ahnung gehabt, was das Ding ist. Ich habe das jetzt wieder rausgezogen und dachte: „Manchmal lohnt sich das doch tatsächlich, so einen Locher zu nehmen und das irgendwo reinzulegen.“ Was muss Michael machen, damit er seine PIN wiederkriegt? Weil offensichtlich hat die ja jeder Ausweis.

Michael Münz: Ich nehme Deine!

Ute Lange: Ob das funktioniert, weiß ich nicht, da weiß Niels garantiert, dass das nicht geht…

Niels Räth: Genau, das geht natürlich nicht. Ne, das ist tatsächlich relativ einfach. Also, die eine Variante ist, wenn man seine PIN nicht mehr findet oder sicher ist, man hat keine bekommen, vielleicht ist das auch mal vorgekommen. Man kann sich vielleicht auch an seine PIN nicht mehr erinnern, wenn man schon eine gesetzt hat. Dann kann man auf jeden Fall immer zur Ausweisbehörde gehen. Das geht auf jeden Fall. Je nachdem, in welcher Stadt man lebt, ist das aber manchmal ein bisschen schwierig, da Termine zu bekommen. Deswegen gibt es tatsächlich seit Anfang 2022 auch eine Möglichkeit, die dann auch von zu Hause geht. Das wird Michael dann freuen, wenn er auch für die anderen Sachen gerne auf dem Sofa sitzen bleibt, dass der sogenannte PIN-Rücksetz-Dienst, und am PIN-Rücksetz-Dienst kann man sich tatsächlich dann eben eine neue PIN bestellen. Die ist dann direkt sechsstellig. Und das geht halt auch von zu Hause aus mit der AusweisApp, und die hilft einem auch dabei. Also, du hättest sie ruhig runterladen können, und die hätte dir dann auch gesagt, was du machen musst, und dann brauchst du gar keine Angst haben, wenn du deine PIN nicht findest.

Michael Münz: Okay, es ist nur so, das ist ein vertrautes Gefühl dann irgendwie an so einer Bürokratiehürde zu scheitern, die im Wesentlichen auf meine Bürokratie zurückzuführen ist. Leider!

Ute Lange: Okay, wir stellen euch das auch nochmal in den Shownotes vor. Für alle, die jetzt denken, oh Gott, PIN, Ausweis habe ich nicht, weiß ich nicht, dann könnt ihr es da noch mal nachlesen und braucht auch keine Sorge haben. So super, jetzt haben wir alles am Start. Was kann ich denn da jetzt ganz Vieles machen? Einige Sachen hast du schon erwähnt, einfach nochmal im Schnelldurchlauf, damit alle sich vielleicht das rauspicken können, was in den nächsten Wochen auf sie zukommt, und sie genau wie Michael auf ihrem Sofa sitzen bleiben können.

Niels Räth: Es gibt tatsächlich ein paar Anbieterlisten, wo man auch gucken kann, wo man ebenso Anbieter findet, die die Online-Ausweisfunktion anbieten. Die sind tatsächlich nicht vollständig, ist halt so ein bisschen, wie das Internet auch so ist. Einige Anbieter sind eingetragen, einige nicht. Also letztlich kann man halt ein paar Dinge ausprobieren: Arbeitsagentur, Rentenversicherung, Führungszeugnis sind so die Dinge, die man einfach mal probieren kann, und ansonsten kommt es natürlich eher so vor, dass man halt einen Anwendungsfall hat, und dann stößt man darauf, dass man die Online-Ausweisfunktion braucht. Also zum Beispiel, man will ein Konto eröffnen und stellt dann fest, okay, die Bank bietet das tatsächlich an. Dann kann ich mir natürlich eben das Video-Ident sparen und stattdessen den Online-Ausweis verwenden. Ist jetzt ja, glaube ich, nicht so, dass die Leute losgehen und sagen: Ach, jetzt, wo eröffne ich denn mein Konto? Ach hier, guck mal, kann ich das benutzen, dann eröffne ich doch mein Konto. Also eigentlich ist es ja immer andersrum, dass man halt meistens den Anwendungsfall hat, und den Ausweis braucht.

Michael Münz: Wir wären nicht „Update verfügbar“, wenn wir nicht auch sagen würden, aber Niels, ist das überhaupt sicher? Also wer liest denn die Daten mit? Wer sorgt denn dafür, dass die sicher bei dem Anbieter ankommen?

Niels Räth: Genau, das besondere ist bei der Online-Ausweisfunktion, dass wir die Vorgaben des BSI an der Stelle haben. Das hatte ich ja schon am Anfang gesagt: Die technischen Richtlinien, wonach das alles funktioniert, die schreiben wir einerseits, damit das alles sicher ist, aber natürlich auch, damit alles miteinander funktioniert. Denn wir haben tatsächlich bei der Online-Ausweisfunktion ein dezentrales System. Also der Diensteanbieter, der die Daten lesen will, die Bank oder eben die Arbeitsagentur, die liest die Daten wirklich aus dem Ausweis aus. Kein anderer ist dazwischen. Und für die Daten, die dann ausgelesen werden sollen, braucht der Dienstanbieter auch immer eine Berechtigung, die dann sogar vorgibt, welche Daten ausgelesen werden dürfen und welche nicht.

Michael Münz: Und speichert der Anbieter die Daten? Also, mal angenommen, der Transport der Daten funktioniert, und der Anbieter speichert sie dann. Dann wird er gehackt, oder es gibt ein Leak. Wie ist es dann? Liegen die dann frei rum, die Daten, die ausgelesen wurden?

Niels Räth: Da muss man tatsächlich sagen, dann ist es nicht mehr unter der Kontrolle der Online-Ausweisfunktion oder des BSI, also diese endet sozusagen mit Abschluss der Datenübertragung. Natürlich gibt es für diese Berechtigung, die erteilt wird, auch datenschutzrechtliche Grundlagen, die auch geprüft werden. Aber wenn zum Beispiel die Daten dann beim Dienstanbieter liegen und da gespeichert werden, dann sind sie sozusagen außerhalb – ich nenne es jetzt mal so – der Hoheit des BSI. Nach der Übertragung werden sie beim Dienstanbieter abgelegt, und dann kann das theoretisch natürlich passieren, wenn die Dienstanbieter da Sicherheitslücken haben oder so, wo wir dann keinen Einfluss mehr darauf haben. Also, wir schützen – in Anführungsstrichen – nur die Datenübertragung. Die ist halt verschlüsselt, die ist Ende-zu-Ende verschlüsselt auch direkt aus dem Ausweis-Chip in den Diensteanbieter Server hinein, und nicht mal die AusweisApp kann die Daten zum Beispiel sehen, die da übermittelt werden.

Ute Lange: Welche Daten werden denn übermittelt? Also, wir haben ja beim letzten Mal in der Biometrie-Folge auch über Fingerabdruck und andere Sachen gesprochen. Das gibt's ja zum Teil auch in den Ausweisen. Mein Lichtbild ist da mitdrin. Was fließt da über die Kanäle, wenn ich das auslesen lasse?

Niels Räth: Lichtbild und Fingerabdruck sind tatsächlich auch auf dem Chip gespeichert, aber eben, wie ich vorhin schon mal sagte, so in diesem hoheitlichen Bereich. Das ist also wirklich nur für Grenzkontrolle, für Polizei und auch nur die können da drauf zugreifen. Bei der Online-Ausweisfunktion, über die wir jetzt hier sprechen, wo eben dann Behörden und auch Firmen auf den Ausweis zugreifen, die dürfen diese Daten nicht auslesen. Das geht technisch gar nicht. Die lesen dann eben das aus, was auch aufgedruckt ist, also Name, Geburtsdatum, Adresse. Es wird auch vorher angezeigt, welche Daten ausgelesen werden, und es ist auch beschränkt. Also es wird zum Beispiel nur Name und Geburtsdatum angefragt, dann wird auch nur das ausgelesen und übermittelt. Die anderen Daten, die auf dem Ausweis noch gespeichert sind, sieht der Dienstanbieter dann genau nicht. Zusätzlich ist sogar eine Möglichkeit, dass man nur den Altersnachweis übermittelt, also nur: „die Person ist älter als 18“, ohne überhaupt das Geburtsdatum zu übermitteln.

Michael Münz: Jetzt ist es ja praktisch, dass ich das künftig mit meinem Handy machen kann. Jetzt ist das Handy aber auch kein exklusives Gerät mehr, was nicht auch jeder andere in der Hosentasche hat. Könnte erst mal jemand anders mit der AusweisApp meine Daten aus dem Perso auslesen?

Niels Räth: Du hast den Punkt, dass du dich zweimal authentisieren musst. Also, es ist eine kontaktlose Schnittstelle. Du spielst wahrscheinlich auf diese Storys an, wo jemand dann mit so einem Terminal eine Kreditkarte durch die Tasche liest oder so. Das liest man manchmal. Das funktioniert beim Personalausweis tatsächlich nicht. Der Personalausweis hat die kontaktlose Schnittstelle nämlich abgesichert. Ich muss mich erst mal authentisieren bei der Online-Ausweisfunktion, dann über die PIN, und in diesem hoheitlichen Fall zum Beispiel, – den ich beschrieben hatte – auch da braucht man ein Passwort. Das ist dann die sogenannte Zugangsnummer. Die ist vorne rechts aufgedruckt auf dem Ausweis. Das heißt, man muss den Ausweis erstmal sehen, bevor man den kontaktlos ansprechen kann. Also gerade, wenn er bei dir in der Tasche steckt, funktioniert das nicht. Und neben diesen PINs oder TANs, haben wir eben immer noch die Berechtigung, also das Berechtigungs-Zertifikat, was ich brauche, um überhaupt Daten auslesen zu dürfen. Das wird durch den Ausweis zusätzlich noch geprüft.

Ute Lange: Ich habe jetzt noch einen ganz anderen Fall. Ich habe – ich glaube, es ist schon zwei Jahre her – da ist mir meine Tasche gestohlen worden, auch mit meinem Portemonnaie, und da war auch der Ausweis drin, und da war ich natürlich höchst alarmiert. Ich hatte Glück, dass mein Portemonnaie beiseitegelegt wurde, gefunden wurde und ich alles wiederbekommen habe. Aber jetzt mal Worst-Case-Szenario: Mein Ausweis geht wirklich verloren. Natürlich habe ich das damals hier bei der Stadt, in der ich wohne, gemeldet, dass der verloren ist, hab dann gemeldet, dass er doch nicht verloren war, als ich ihn wieder hatte. Aber ich hätte ja auch Pech haben können, und dann findet jemand den Ausweis, und dann hat er diese App und will irgendwie Schindluder treiben. Geht das überhaupt, oder bin ich da auch dann relativ abgesichert, wenn ich ihn gar nicht mehr besitze?

Niels Räth: Die Online-Ausweisfunktion ist ja erst mal auf jeden Fall ein Zwei-Faktor- Verfahren. Das heißt, du brauchst halt Besitz, also den Ausweis, und du brauchst Wissen, die PIN. Nur mit den beiden zusammen kann man das überhaupt benutzen. Das heißt, wenn jetzt jemand deinen Ausweis findet, kann er eigentlich damit erst mal nichts anfangen. Trotzdem sollte man den Ausweis sperren lassen. Du hast es jetzt bei der Behörde gemeldet, das wird dann von Amts wegen gesperrt. Das heißt, der Ausweis, die Online-Ausweisfunktion, die ist gesperrt worden. Das bedeutet tatsächlich für dich, wenn du ihn wiedergefunden hast und das Wiederauffinden gemeldet hast, dann sollte der auch wieder entsperrt werden. Das funktioniert manchmal nicht, muss man ehrlicherweise sagen. Da muss man unter Umständen nochmal in der Behörde vorstellig werden, dass der Ausweis auch wieder entsperrt wird. Also, du kannst es halt mal ausprobieren. Wenn du den Ausweis einsetzen möchtest mit der Online-Ausweisfunktion, dann bekommst du unter Umständen genau die Meldung.

Ute Lange: Habe ich schon.

Niels Räth: Wenn er funktioniert, dann ist alles gut.

Michael Münz: Jetzt wissen wir ja von dir, dass du Projektleiter auch für die AusweisApp bist. Was hast du da die letzten Monate alles in die App reingepackt? Denn sie ist offenbar aktualisiert worden. Und hast du jetzt ein ruhigeres Leben, wenn die Aufnahme durch ist?

Niels Räth: Wir haben tatsächlich die letzten Monate viel zu tun gehabt. Die AusweisApp gibt es eigentlich ja schon sehr lange, seit 2010. 2014 ist dann eine neue Version veröffentlicht worden mit einer anderen Plattform. Die hieß dann AusweisApp2 als Unterscheidungsmerkmal, und jetzt nach mittlerweile neun Jahren, kann sich halt irgendwie keiner mehr dran erinnern, was da eigentlich die 2 macht, weil die AusweisApp1 schon so lange her ist. Und jetzt haben wir tatsächlich beschlossen, dass wir sie einfach wieder AusweisApp nennen, und in dem Zuge haben wir auch das Design ein bisschen überarbeitet. Wir haben sie ein bisschen moderner gestaltet, wir haben die Icons getauscht, und es gibt jetzt auch endlich eine Dark Mode. Da haben wir tatsächlich viel zu tun gehabt. Jetzt, um das halt alles fertig zu kriegen, zur Smart Country Convention, haben wir das gelauncht, und ansonsten: Viele Funktionen hat die AusweisApp eigentlich gar nicht. Das soll sie auch gar nicht. Sie soll halt genau die Online-Ausweisfunktion unterstützen.

Michael Münz: Und bist du so jemand, der sich dann auch fragt, ob die schon runtergeladen wurde, und wie oft? Hast du eine Möglichkeit nachzugucken?

Niels Räth: Das gucken wir tatsächlich nach, das sehen wir also, wie viel Downloads wir haben, das wird tatsächlich verfolgt. Es ist nicht so einfach, dann zu sehen, wie viele wirkliche Menschen dann hinter diesem Download stehen. Die AusweisApp kann ja einmal auf dem Rechner installiert sein, und die ganze Familie benutzt sie. Also, das sieht man dann eben nicht.

Michael Münz: Ah ja, hoffen wir mal, dass nach dieser Folge so ein kleiner Peak feststellbar wäre. Das wäre doch ganz cool!

Ute Lange: Also von dir auf jeden Fall, Michael, weil jetzt weißt du ja, wie du deine PIN wiederkriegst, und ich bin jetzt auch ein bisschen neugierig geworden. Was hast du denn mitgenommen, Michael, von dem, was wir besprochen haben, außer dass du eine PIN brauchst?

Michael Münz: Ich habe noch eine offene Frage, die ich mitgenommen habe, die aber noch nicht beantwortet ist. Und zwar sprachen wir ganz am Anfang mal über die Anbieter, die in dieser Liste eingetragen sind, wo ich erkennen kann, dass sie den Richtlinien entsprechen. Gibt es nur diese Liste, wo ich dann selbst nachgucken muss? Oder gibt es auch so eine Form von Siegel? Bei Shops hatten wir das auch schon mal, dass es so Siegel gibt auf Webseiten, dass man weiß, okay, da scheint alles ganz legitim zu sein. Wie ist das bei der AusweisApp? Haben Anbieter ein verlässliches, vertrauenswürdiges Logo, wo ich weiß, ah, die haben mit dem Niels gesprochen?

Niels Räth: Ob die mit mir jetzt gesprochen haben oder nicht, das weiß man dann nicht. Aber es gibt tatsächlich ein Logo oder ein Signet der Online-Ausweisfunktion, woran man wiedererkennen kann, bei welchen Systemen oder Diensten das einsetzbar ist. Wenn du deinen Ausweis mal umdrehst, dann findest du das da tatsächlich auch. Das ist dieses kleine Logo mit dem grünen und dem blauen Halbkreis. Wir nennen es das Zwei-Welten-Logo, und das findet sich halt oder sollte sich mindestens bei allen Diensten finden, die das unterstützen, und die Dienste können sich auch zertifizieren lassen, nach BSI-Richtlinien, genauso wie auch die AusweisApp zertifiziert ist.

Ute Lange: Für mich ist jetzt klar geworden – wie hast du das am Anfang gesagt? – „Das kleine Plastikding hat viel mehr unter der Haube, als wir denken oder wissen.“ Ich habe gedacht, das ist so ein Kärtchen, da ist mein Bild drauf, dass ich nicht schön finde, und ich muss das ab und zu mal vorzeigen. Aber, was ich jetzt noch alles damit machen kann, finde ich ganz praktisch, ehrlich gesagt, also ich bin ja auch im Winter eher so ein Sofa-Mensch. Ich könnte mir vorstellen, dass das eine oder andere jetzt einfacher wird, wenn der Anwendungsfall kommt, wie du gesagt hast, Niels. Vielen Dank dafür!

Michael Münz: Ich denke auch, dass ich das künftig auch häufiger nutzen werde. Wir hatten mal diese Folge von Finanztip mit Kryptowährung und so, und seitdem bin ich ja auch ein eifriger Leser und denke ja auch, dass ich beim nächsten Tagesgeldkonto auch dafür sorgen werde, dass ich jetzt nicht mehr den Ausweis schwenken muss, sondern die komfortablere Online-Ausweisfunktion nutzen werde, damit es ein bisschen reibungsloser funktioniert. Ja, und ich bin auch der Paranoide von uns beiden und muss auch sagen…

Ute Lange: Das sagst Du…

Michael Münz: Ich spreche mal das aus, was im Raum steht. Also, ich bin der Paranoide von uns beiden, und ich muss ehrlich sagen, dass ich aus dieser Folge rausgehe und denke, das geht schon klar, dass hört sich alles ganz sicher an.

Ute Lange: Also kein weiterer Putzfimmel oder sonst irgendwas angeeignet durch die Folge?

Michael Münz: Nein, ich werde jetzt auch den Personalausweis aus der Alufolie rausnehmen, mit der ich ihn immer im Portemonnaie trage. Das scheint nicht nötig zu sein.

Niels Räth: Genau, das ist definitiv nicht nötig.

Michael Münz: Das klingt doch super. Danke dir, Niels!

Ute Lange: Ja, vielen, vielen Dank von mir. Also wir packen euch da was in die Shownotes: die Tipps, die Anbieterliste, damit ihr noch mal nachlesen könnt, wenn ihr jetzt auch das Gefühl habt, ihr könnt euch manchen Behördengang sparen, weil es tatsächlich von zuhause aus geht. In dieser Jahreszeit geht man nicht so gerne vor die Tür. Zu früh dunkel und hier regnet es auch gerade, während wir aufnehmen. Da ist dann eher der Wunsch, dass man es schön muckelig hat. Wir würden gerne von euch hören, wie ihr die AusweisApp jetzt nutzt, wenn ihr sie nicht sowieso schon nutzt. Also könnt ihr uns gerne schreiben und wissen lassen über die BSI-Kanäle auf Facebook, Instagram, Twitter, Mastodon und YouTube oder auch per E-Mail.

Michael Münz: Genau, ihr schickt uns die E-Mail an Podcast@bsi.bund.de, und ja, wir sind gespannt, ob ihr die App jetzt runterladet oder sie schon runtergeladen hattet und zu welchen Zwecken ihr sie nutzt, die Online-Ausweisfunktion des Personalausweises.

Ute Lange: Wir danken dir auf jeden Fall ganz herzlich, Niels, und wünschen dir ein paar ruhigere Wochen, jetzt, wo das Ding auf der Straße ist und vielleicht auch mehr Leute sie nutzen als zuvor. Wir alle hören uns nächsten Monat wieder. Was haben wir da vorbereitet, Michael?

Michael Münz: Da sprechen wir über das IT-Sicherheitskennzeichen, was jetzt seit Herbst auch – wie hast du gesagt – auf der Straße, also im Netz ist, sozusagen, und da wollen wir mal genauer schauen, was das denn für ein Siegel ist, und uns die Hintergründe erklären lassen, und wie immer fragen: was kann das, und wie mache ich das sicher, damit mir damit nichts passiert?

Ute Lange: Ja, wir sind gespannt, ihr hoffentlich auch. Wir freuen uns, wenn wir uns dann wieder hören. Bis dahin likt und folgt „Update verfügbar“ auf euren Podcast-Plattformen, denn so verpasst ihr keine Folge und könnt auch noch mal in die älteren Folgen hineinhorchen. Bis bald!