klar

Empfehlungen zum Einsatz von Chipkarten

Chipkarten haben sich inflationär verbreitet, allein im dicken Portemonnaie ist diese Entwicklung zu spüren. Doch die stolzen Besitzer wissen meist nicht, welche Informationen dort gespeichert sind und wer die Daten auslesen kann. Vor der Entscheidung über den Einsatz von Chipkarten sollte eine Vorabkontrolle durchgeführt werden, so wie dies das Datenschutzrecht fordert. Zur Auswahl geeigneter und angemessener Sicherungsmaßnahmen ist eine systematische Einschätzung der Gefahren für das informationelle Selbstbestimmungsrecht und das Recht auf kommunikative Selbstbestimmung vorzunehmen. Weiter sollten Lösungen für eine Sicherungstechnologie erarbeitet werden.

Der Arbeitskreis Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (AK-Technik) fordert unter anderem:

Grundschutzmaßnahmen

  • Fälschungssichere Authentisierungsmerkmale (Unterschrift, Foto, Hologramme).
  • Steuerung der Zugriffsberechtigung durch die Chipkarte selbst.
  • Sicherungen gegen eine unbefugte Analyse der Chip-Inhalte.
  • Verschlüsselungs- und Signaturfunktionen mit anerkannten Algorithmen.
  • Sicherung der Kommunikation durch kryptographische Maßnahmen.
  • Abschottung der unterschiedlichen Chipkartenanwendungen.
  • Gegenseitige Authentisierung durch Challenge-Response-Verfahren.

Erweiterte Sicherungsmaßnahmen

  • Weitere Sicherheitsfunktionen wie I/O-Kontrolle aller Schnittstellen, Interferenzfreiheit der einzelnen Anwendungen, Verzicht auf Trace- und Debug-Funktionen.
  • Auslagerung von Teilen der Sicherheitsfunktionen des Betriebssystems in dynamisch bei der Initialisierung bzw. Personalisierung zuladbare Tabellen.
  • Anonyme Chipkartenbenutzung sollte möglich sein.
  • Der Chipkarteninhaber sollte die Möglichkeit erhalten, auf neutralen, zertifizierten Systemumgebungen die Dateninhalte und Funktionalitäten ihrer Chipkarten einzusehen.
  • Für die gesamte Infrastruktur ist ein Mindestschutzniveau vorzuschreiben, das bei unbefugten Handlungen das Strafrecht anwendbar macht.
  • Alle Systemkomponenten datenschutzrelevanter Vorgänge sollten evaluiert werden.
  • Für die Informationsstrukturen sind Kontrollmöglichkeiten zu schaffen.
  • Sicherheitsrelevante Karten (Bankkarten) sollten über den gesamten Lebenszyklus der Karte kryptographisch gesichert sein.

Weitere Einzelheiten können dem nebenstehenden zum Download angebotenen Dokument entnommen werden.



Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511 120-4500
Fax 0511 120-4599
E-Mail an Ansprechpartner schreiben
zum Seitenanfang
zur mobilen Ansicht wechseln