Automatische Generierung von Personalausweisnummern

Sind unsichere Verfahren durch das Zugangsdienstekontrollschutzgesetz geschützt?

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Das als "Lex Premiere" bekannte Zugangsdienstekontrollschutzgesetz (ZDKSG) soll Rundfunk, Tele- und Mediendienste vor unerlaubtem Zugriff schützen. Doch welche Anforderungen an einen Zugangskontrolldienst gerichtet werden, ist aus dem Gesetz nicht zu entnehmen. Jetzt will eine Firma per Strafanzeige ein seit über 10 Jahren entschlüsseltes Verfahren von Webseiten verbannen.

Ende Juli flatterte Christoph Wille im österreichischen Leoben ein Brief aus Deutschland ins Haus. Der Absender, die Firma Sky-Net Telecom Systems e.K. aus Fürth, kam gleich zur Sache: Wille hatte online einen Artikel veröffentlicht, in dem er beschrieb, wie man deutsche Personalausweisnummern überprüft. Dabei verwies er auch auf eine Seite, die automatisch scheinbar gültige Personalausweisnummern generierte. Dieser Link sei ein klarer Verstoß gegen das deutsche Zugangsdienstekontrollschutzgesetz und wahrscheinlich auch gegen österreichische Vorschriften. Entweder werde der Link entfernt oder es drohe eine Strafanzeige. Auch an deutsche Webmaster erging die gleiche Aufforderung, wenn sie einen automatischen Personalausweisnummerngenerator oder einen Link auf einen solchen veröffentlichten.

Prädikat: ungeeignet

Der Algorithmus zur Erstellung von Personalausweisnummern ist für Zugangskontrollen denkbar ungeeignet. Seit Jahren ist allgemein bekannt, wie diese Nummern aufgebaut sind. Im Personalausweisgesetz kann man die einzelnen Bestandteile nachlesen:

§1, Absatz 3: Der Personalausweis erhält eine Zone für das automatische Lesen. Diese darf lediglich enthalten:
1. Die Abkürzung "IDD" für "Identitätskarte der Bundesrepublik Deutschland",
2. den Familiennamen,
3. den oder die Vornamen,
4. die Seriennummer des Personalausweises, die sich aus der Behördenkennzahl der Personalausweisbehörde und einer fortlaufend zu vergebenden Ausweisnummer zusammensetzt,
5. die Abkürzung "D" für die Eigenschaft als Deutscher,
6. den Tag der Geburt,
7. die Gültigkeitsdauer des Personalausweises,
8. die Prüfziffern und
9. Leerstellen.

Mit etwas Kombinationsgabe findet man leicht heraus, an welcher Stelle welche Angaben stehen: Geburts- und Ablaufsdatum sind lediglich etwas umgruppiert. Alleine die jeweils letzten Ziffern der Zahlengruppen lassen sich nicht ganz so leicht identifizieren. Es handelt sich um Prüfziffern, die sich aus den voranstehenden Ziffern errechnen. Die erste wird mit sieben multipliziert, die zweite mit drei, die dritte mit eins, die vierte wiederum mit sieben und so weiter. Dann addiert man die Produkte und nimmt die letzte Ziffer des Ergebnisses - fertig ist die Prüfziffer. Das Verfahren ist so simpel, dass es lediglich zum Plausibilitätstest taugt. Jeder, der die IDD-Nummern überprüfen kann, kann auch eigene erfinden.

Im Mai war bereits die Erodata GmbH gegen einen Webseitenbetreiber vorgegangen, weil dieser Details zu dem Algorithmus veröffentlicht hatte und dabei auch Webseiten nannte, die dieses Alterssicherungssystem einsetzen. Der Vorwurf lautete unzulässiger Eingriff in den Gewerbebetrieb der Erodata.

Recht und Gesetz

In dem aktuellen Fall ist die Lage anders. "Es geht nicht darum, ob die Personalausweisnummer als Altersschutz sicher ist, sondern darum, dass ein Zugangskontrolldienst ausgehebelt wird", sagt Thomas Gigge von Sky-Net. "Wie sicher dabei die Methoden eines Zugangskontrolldienstes sind, spielt laut dem Gesetz keine Rolle."

In der Tat: Der Gesetzestext definiert sie als "technische Verfahren oder Vorrichtungen, die die erlaubte Nutzung eines zugangskontrollierten Dienstes ermöglichen" - nirgends steht, dass sie unerlaubte Nutzung verhindern müssen. An sich logisch, denn es gilt der vielzitierte Satz: "Hundertprozentige Sicherheit gibt es nicht." Wenn ein Hacker die Verschlüsselung eines Pay-TV-Anbieters knackt, darf dessen Produkt deshalb nicht zum Freiwild werden.

Doch wo sind die Grenzen? Auf Anfrage konnte das Bundeswirtschaftsministerium nicht erklären, was ein Zugangskontrolldienst darstellt. So könnte ein Anbieter den Zugangscode aus der Quersumme des Geburtsdatums des Kunden bilden - oder gar den Kenny-Translator zur Verifikation heranziehen - mit dem vollen Schutz des Gesetzes. Denn wer entsprechende Entschlüsselungsskripte anbietet, muss mit Ärger rechnen.

Noch ist unklar, ob sich die Gerichte tatsächlich mit dem Personalausweisnummern beschäftigen werden. Einige Webmaster haben auf Grund des Schreibens von Sky-Net die Nummerngeneratoren von ihren Seiten entfernt. Auf den Seiten des Chaos Computer Club ist noch ein Perl-Fünfzeiler zu finden, der die anscheinend heißbegehrten Nummern generiert - doch hier weiß man noch nichts von einer Strafanzeige.

Christoph Wille jedenfalls will den Kampf aufnehmen. Er hat der Firma geantwortet, dass er den Artikel nicht entfernen will. Wenn Sky-Net Ernst macht, muss die Firma schon in Österreich Anzeige erstatten.