Stellen Sie sich vor, sie fahren auf der Autobahn der Zukunft, natürlich gebührenpflichtig. An den Kontrollpunkten wird Ihre Chipkarte per Funk automatisch ausgewertet, damit die Gebühren von Ihrem Konto abgebucht werden können. (Dieses Verfahren wurde ernsthaft diskutiert; im Moment scheint es nicht durchsetzbar zu sein.) Wer die Daten hat, kann feststellen, wo Sie überall waren und wann. »Bewegungsprofil« nennt man das.
Stellen Sie sich vor, Sie gehen mit Ihrer Krankenversichertenkarte zum Arzt. Mit deren Hilfe wird eine Datenspur erzeugt, denn Diagnose- und Therapiedaten werden maschinenlesbar an die Krankenkasse übermittelt &endash; im Widerspruch zum Datenschutzgedanken, aber mit ausdrücklicher Billigung des Gesetzgebers. Die Krankenkasse sammelt auf diese Weise ein »Patientenprofil« von jedem ihrer Mitglieder. Das ist im übrigen nicht Zukunft, sondern Gegenwart.
In vielen Bereichen wird die Einführung von elektronischen Ausweisen angedacht oder geplant &endash; als Sicherheitsausweise für den Zugang zu Informationssystemen, als Berechtigungsausweise für die Ausübung eines Berufs (`Professional Card'), als elektronische Geldbörsen, ... Elektronische Ausweise sind so praktisch und effizient, auch für den Besitzer. Aber sie hinterlassen Datenspuren. Die Datenspuren werden dabei nicht speziell durch die Chipkarten verursacht &endash; jede Art von maschinenlesbaren Karten wirkt genauso. Chipkarten zeichnen sich aber durch besondere Fälschungssicherheit aus; die auf Chipkarten mögliche Sicherheitstechnik scheint die Verbreitung elektronischer Ausweise wesentlich zu fördern.
Durch die Einführung von Pseudonymen kann der Personenbezug so verschleiert werden, daß faktische Anonymität entsteht. Bei
Für manche Anwendungsbereiche von Chipkarten ist komplette Anonymität möglich, wie das Beispiel der Telefonkarten zeigt. Aber diese repräsentieren geringe Werte, sind übertragbar, und ein Verlust schmerzt nicht sehr. Daher sind sie nicht besonders sicher, insbesondere nicht fälschungssicher. Bei den meisten Anwendungen ist größere Sicherheit nötig.
Setzt man »Pseudonym« statt »Dokument« ein, so ist dies genau das Verfahren, mit dem eine Institution Pseudonyme beglaubigen kann ohne die Möglichkeit, sie wiederzuerkennen oder ihrem Besitzer zuzuordnen.
Um die Realisierbarkeit dieser scheinbar paradoxen Anforderungen plausibel zu machen, ist ein kleiner technischer Exkurs angezeigt. Man geht von der gewöhnlichen elektronischen Unterschrift aus. Der Unterzeichner N (wie »Notar«) hat eine Funktion S, mit der er zu einem Dokument D (das etwa durch eine Zeichenkette oder eine Datei in binärer Form repräsentiert wird) eine Unterschrift S(D) erzeugen kann; diese Funktion hängt von einem Schlüssel ab, der Geheimnis von N ist. Zur Überprüfung durch jedermann dient ein zugehöriger öffentlicher Schlüssel. Will nun die Besitzerin A (»Alice«) eines Dokuments D dieses von N unterschreiben lassen, ohne daß N den Inhalt erfährt, so transformiert sie es in eine unleserliche Gestalt C(D), wobei die Transformation C (wie »Camouflage«) von einem Paßwort abhängt, das A als Geheimnis behält. Durch Ns Unterschrift wird S(C(D)) erzeugt. Danach entfernt A die Camouflage durch Rücktransformation C'(S(C(D))) ?=? S(D). Damit das Verfahren funktioniert, muß hier die Gleichheit stehen, also C' eine Art Umkehrtransformation von C sein; C' muß aus C und bekannten Parametern leicht bestimmbar sein. Solche Transformationen lassen sich mit den bekannten Schemata zur elektronischen Unterschrift, etwa nach dem RSA-Verfahren, tatsächlich finden; für die mathematischen Einzelheiten sei auf [Ch1], [Ch2] verwiesen. Veranschaulicht wird der Vorgang durch Abbildung 2. Wichtig zu wissen ist dabei, daß die notwendigen mathematischen Operationen von existierenden Chipkarten vorgenommen werden können. Chipkarten sind somit die idealen Träger von elektronischen Pseudonymen. Die Technik ist vorhanden. Sie muß aber so gestaltet werden, daß diejenigen, die mit ihr umgehen sollen, dazu auch in der Lage sind.
Personenpseudonyme oder Rollenpseudonyme sind an die Person oder Rolle gebunden, mehrfach verwendbar und erzeugen somit zusammenführbare Daten; sie entsprechen Berechtigungsausweisen. Daneben gibt es Transaktionspseudonyme, die ähnlich wie ein Gutschein nur einmal verwendet werden und nicht miteinander in Bezug gebracht werden können. Personenpseudonyme sind auch die bei der Krebsregistrierung [P1] verwendeten Kontrollnummern, die dazu dienen, für Forschungszwecke anonymisierte personenbezogene Daten zusammenzuführen.
Sollen die Patienten gegenüber den Krankenkassen hinter Pseudonymen versteckt werden, sind folgende Anforderungen zu erfüllen:
Ein mögliches Verfahren zur Realisierung sieht so aus: Die Patientin erhält von der Krankenkasse eine Versichertenkarte, wie bisher auch. Sie wählt zu Hause oder an vertrauenswürdiger Stelle, etwa bei ihrem Hausarzt, eine Kontrollzahl als Pseudonym, camoufliert sie und überträgt sie auf die Karte; alles dies wird durch »benutzerfreundliche« Software auf einen Maus-Klick und die Eingabe eines Paßworts reduziert. Dann läßt sie diese Kontrollzahl von der Krankenkasse (blind) unterschreiben; danach entfernt sie die Camouflage wieder, ebenfalls per Maus-Klick und Paßwort. Das Pseudonym wird auf der Versichertenkarte durch ein Paßwort (oder eine PIN) geschützt, das in Wirklichkeit der Schlüssel für ein kryptographisches Verschlüsselungsverfahren ist; solche Verfahren sind beim heutigen Stand der Chipkartentechnik ohne weiteres zu realisieren.
Bei ärztlicher Behandlung legt die Patientin die Versichertenkarte vor und schaltet das Pseudonym durch Eingabe ihres Paßworts frei; der Arzt übernimmt das Pseudonym, prüft es auf Gültigkeit und verwendet es zur Abrechnung. Es ersetzt also die Versichertennummer. Die Krankenkasse erkennt durch Prüfung der Unterschrift, daß die behandelte Patientin bei ihr versichert ist, kann mit dem Arzt abrechnen und die Daten der Patientin zusammenführen. Sie kann die Daten aber nicht der konkreten Patientin zuordnen. Da der behandelnde Arzt die Zuordnung zwischen Pseudonym und Identität sowieso erkennt und der Schweigepflicht unterliegt, schadet es nicht, wenn für die Erzeugung des Pseudonyms sein Praxiscomputer eingesetzt wird. Es schadet auch nicht, wenn die Versichertenkarte zur Vermeidung von Mißbrauch »personalisiert«, also etwa mit Paßbild und Unterschrift versehen wird, solange in der elektronischen Datenspur nur das Pseudonym erscheint.
Ein entsprechendes Verfahren zur Abrechnung von Rezepten wurde bereits von B. Struif [Str] vorgestellt, zusammen mit einer funktionierenden Musterimplementation. Nach ähnlichem Muster würden pseudonymbasierte Berechtigungsausweise auch in anderen Anwendungsbereichen funktionieren. Bemerkenswert ist, daß ein solches Ausweissystem ohne online-Verbindung, also ohne Datennetz, funktioniert.
Wieviele Chipkarten verträgt ein Mensch? Damit die Daten darauf geschützt sind, braucht man ein Paßwort (oder eine PIN). Wieviele Paßwörter kann sich ein Mensch merken? Sollten wir lieber eine Chipkarte für alle Anwendungen anstreben, eine Art universellen Personalausweis, der alle Berechtigungen und Pseudonyme, Schlüssel für die elektronische Unterschrift, medizinische Daten und was nicht noch alles enthält? Dann bräuchten wir nur ein einziges Paßwort. Aber dann muß auch die Möglichkeit bestehen, die Daten der Chipkarte nur in Teilen freizugeben. Ist ein Durchschnittsbürger, der nicht einmal seinen Videorecorder programmieren kann, mit solcher Komplexität überfordert? Oder ist umgekehrt die Technik von Chipkarten und Lesegeräten sogar geeignet, die Komplexität des Lebens zu verringern? Welchem Hersteller, welcher Technik, welchem Gerät kann der Mensch trauen? Sehr konkrete Gedanken und Vorschläge dazu findet man in [PPSW] und [Ch3]. Werden wir durch pseudonyme Berechtigungsausweise verletzlicher? Welche Möglichkeiten eröffnen sich Kriminellen, die nicht davor zurückschrecken, sich durch »social engineering« (Erpressung o. ä.) in den Besitz eines Paßworts zu bringen? Was passiert, wenn ein Pseudonym aufgedeckt wird? Wenn eine Chipkarte verloren geht oder beschädigt wird? Wo und wie fertigt man Sicherheitskopien der Daten und Pseudonyme an? Soll im Falle eines Rechtsstreits ein Pseudonym aufdeckbar sein? Auf welche Weise? Wird durch ein ständig verwendetes Personenpseudonym so viel Datenmaterial verknüpfbar, daß die Anonymität nicht mehr aufrecht zu erhalten ist? Was muß der Mensch über seine Chipkarte und seine Pseudonyme wissen, um verantwortungsvoll damit umgehen zu können und seine informationelle Selbstbestimmung wirkungsvoll auszuüben?
Die Sicherheitsfunktionen, die auf Chipkarten technisch vorgesehen sind, sind konsequent für die Verwendung von Pseudonymen einzusetzen. Dann bringen Chipkarten nicht nur Sicherheitsvorteile für die Banken, die Krankenkassen, den Staat, sondern auch für die Kunden, die Patienten, die Bürger. Pseudonymbasierte Chipkarten statt identitätsbasierter Chipkarten retten das Grundrecht auf informationelle Selbstbestimmung.
Elektronische Pseudonyme sind aber keine Patentlösung. Ihre Verwendung muß in jedem Anwendungsfall sorgfältig auf Risiken und Nebenwirkungen geprüft werden, vor allem auch unter dem Gesichtspunkt, wie die Beteiligten damit umgehen.
