Wie kann ich die Daten des deutschen Personalausweises, oder die Krankenkassenkarte (eGK) auslesen? Eine Möglichkeit besteht in der Verwendung eines geeigneten Smartphones. Alternativ gibt es auch entsprechende Kartenleser. Die vergangenen Tage habe ich mich mit dem Thema befasst und skizziere in einer mehrteiligen Artikelreihe, wie das unter Windows und Linux funktionieren kann.
Kleiner Rückblick auf das Thema
Die eGK (Krankenkassenkarte), Debit-Karten von Banken oder auch der deutsche Personalausweis sind mit NFC-Tags versehen, um die Karteninformationen elektronisch (per NFC) auslesen zu können. Und Smartphones sind inzwischen mit einem NFC-Leser ausgestattet, so dass das Auslesen der Karten kein Problem sein sollte.
Bei dem Thema fällt mir sofort eine Episode aus dem Sommer 2020 ein – es war Corona, und ich wollte den Identitätsnachweis per deutschem Personalausweis und der Governikus AusweisApp2 ausprobieren. Ich hatte seinerzeit als Smartphones ein Samsung Galaxy S4, ein Google Nexus 4, ein Motorola Moto G5 sowie diverse andere Android-Smartphones mit der Ausweis-App getestet.
Alle Smartphones unterstützten NFC, aber keines der Smartphone war in der Lage, die eID meines Personalausweises mit der damaligen AusweisApp2 zu lesen. Ich hatte 2021 diese Beobachtung im Beitrag eID, Pass auf dem Smartphone: Neuer Schlenker, neues Desaster mit Ansage? erwähnt und auch die technischen Hintergründe (es lag an den Android-Versionen) beschrieben.
Nun sind wir einige Jährchen älter und ich hatte zwischenzeitlich bei einem erneuten Test mit je einem Motorola Moto G30 und einem Moto G13 festgestellt, dass ich den deutschen Personalausweis mittels der Governikus AusweisApp2 "irgendwie lesen konnte". Habe ich mal zum Identitätsnachweis bei der Deutsche Rentenversicherung genutzt, um den Versicherungsverlauf abzurufen.
Im Hinterkopf war noch, dass ich mir bei Gelegenheit mal einen Kartenleser zulege, um diverse Karten wie den Personalausweis etc. lesen zu können. Aber Leser wie der Reiner SCT Cyberjack RFID-Leser kosteten, als ich letztmalig nachgeschaut hatte, noch um die 60-90 Euro (sind inzwischen günstiger). Kürzlich ist mir dann ein Katalog des Versenders Pearl untergekommen, wo ein RFIC-Kartenleser für unter 25 Euro aufgelistet wurde. Der sollte auch den deutschen Personalausweis unterstützen und unter Linux, macOS und Windows ohne Treiber funktionieren. Das war der Zeitpunkt, wo ich diesen Kartenleser von Pearl angefordert habe, um das Ganze mal ausgiebiger zu testen und zu beschreiben. Nachfolgend befasse ich mich in Teil 1 aber mit dem Smartphone als Kartenleser.
AusweisApp Bund auf dem Smartphone einrichten
Um den deutschen Personalausweise auf dem Smartphone lesen zu können, wird ein NFC-fähiges Smartphone (wie das Motorola Moto G30 oder G13 etc.) mit Android, ein iPhone mit iOS sowie die AusweisApp Bund von Governikus benötigt.
Diese lässt sich aus dem Google Play Store für Android und aus dem Apple App-Store für iOS beziehen. Die Webseite AusweisApp Bund weist alle Download-Links für die App auf und hier gibt es einen Beschreibung der Funktionen.
AusweisApp prüfen
Sobald die AusweisApp Bund auf dem Smartphone gestartet wurde, lässt sich auf deren Funktionen zugreifen. Über den Eintrag Gerät und Ausweis prüfen lässt sich direkt am Smartphone testen, ob die App den Personalausweis lesen kann.
Dazu muss NFC am Smartphone eingeschaltet sein und der Ausweis unter dem NFC-Leser des Smartphones liegen. Die App zeigt an, ob NFC verfügbar und eingeschaltet ist, ob der Ausweis erkannt und gelesen werden kann und Android den erforderlichen Extended Length-Standard unterstützt.
Ausweis am Smartphone auslesen
Ist der Ausweis aktiviert, lassen sich die auf dem Ausweis gespeicherten Daten direkt am Smartphone abrufen. Dazu wird lediglich der beim Einrichten des Ausweises festgelegte PIN-Code benötigt. Dann ermittelt die AusweisApp Bund die Daten des Ausweises und zeigt diese auch an. Der Benutzer wird von der AusweisApp Bund durch die erforderlichen Schritte geführt.
Windows: Smartphone als Ausweisleser verwenden
Persönlich bevorzuge ich meinen Windows 10-PC, um mich mit dem Personalausweis zu identifizieren. Dazu wird die AusweisApp Bund für Windows benötigt, die sich für Windows 10 und Windows 11 auf dieser Seite kostenlos herunterladen und dann installieren lässt.
Nach dem Aufruf lässt sich über die Startseite der App auf die Funktionen der App (z.B. PIN ändern oder Meine Daten einsehen) zugreifen. Um ein Smartphone oder einen externen Leser als Ausweisleser am PC zu verwenden, wählt man Einstellungen.
Dann kann in der Folgeseite (obiger Screenshot) wahlweise eine USB-Kartenleser (sofern vorhanden) oder das Smartphone als Kartenleser ausgewählt werden.
- Wird die Option Smartphone als Kartenleser als Lesegerät gewählt, muss die AusweisApp Bund am Smartphone gestartet werden.
- In der Fußleiste der AusweisApp Bund ist am Smartphone das Symbol Kartenleser anzuwählen (siehe obiger Screenshot).
- Zur Kopplung des Smartphones mit der Windows AusweisApp Bund ist am Smartphone die Schaltfläche Kartenleser aktivieren anzuwählen.
- In der App werden die bereits gekoppelten Geräte und ggf. die Option Neues Gerät koppeln aufgeführt. Es ist die Option Neues Gerät koppeln zu wählen.
- Die App zeigt am Smartphone einen Kopplungscode, und am Windows-PS sollte im Fenster der App das Smartphone angezeigt werden.
- Wählt man die Schaltfläche Koppeln, lässt sich am Windows-PC der von der Smartphone-App angezeigte Kopplungscode in einer Bildschirmtastatur per Maus eintippen.
Bei korrektem Kopplungscode wird die Kopplung als "erfolgreich" angezeigt und man kann über den Pfeil am linken oberen App-Rand zur Startseite der AusweisApp Bund zurückgehen, um dort den Ausweis zu lesen, die PIN zu ändern oder die Identifikation auf einer Webseite im Browser vorzunehmen.
Die Umschaltung zwischen Browser und AusweisApp Bund erfolgt unter Windows automatisch, man braucht lediglich auf der betreffenden Webseite die Identifikation zu beantragen, um dann den Ausweis mittels AusweisApp Bund und Leser einzulesen.
Wird das Smartphone in der AusweisApp Bund am Windows-PC nicht angezeigt, befinden sich beide Geräte vermutlich nicht im gleichen WLAN-Netz.
In meinen Versuchen hat die Kopplung mit dem Android Motorola Moto G13-Smartphone unter Windows eigentlich immer geklappt, wenn auch die Auswahl der Optionen manchmal etwas fummelig war. So tauchte die Option Neues Gerät koppeln nicht immer auf. Dann muss man zur Startseite der Android-App wechseln und erneut Kartenleser als Option wählen.
Als recht fummelig empfinde ich auch das Leseverhalten des Smartphones. Man muss es ggf. mehrfach über dem Ausweis bewegen, bis der NFC-Chip erkannt wird. Dann darf das Smartphone nicht mehr bewegt werden, während die Daten gelesen werden. Das war auch der Grund, warum ich mehr Hoffnung auf den erwähnten USB-Ausweisleser von Pearl gesetzt habe.
Ich führe es nicht separat auf, was recht gut funktioniert, ist das Auslesen der eGK (Krankenkassenkarte) per Smartphone, um ein eRezept an eine Online-Apotheke zu übertragen. Es wird die App der jeweiligen Online-Apotheke benötigt, und dann ist die eGK an das Smartphone zu halten. Habe ich letztens mal bei einem Rezept getestet.
Linux: Smartphone als Ausweisleser verwenden
Da ich inzwischen recht häufig mit Linux Mint arbeite, stellte sich die Frage, ob und wie der oben für Windows beschriebene Ansatz dort funktioniert. Als erstes benötigt man die AusweisApp Bund für Linux. Man könnte auf der AusweisApp Bund-Seite im OpenSource-Bereich versuchen, die gewünschte App-Variante zu finden. Im Internet habe ich bei einer ersten Suche auch Anleitungen zur Installation per apt get gefunden.
War aber am Ende des Tages unnötig. Die AusweisApp Bund wird und Linux Mint in der Anwendungsverwaltung zur Installation angeboten (siehe obiger Screenshot). Bei OpenSuSE-Linux habe ich das Ganze ebenfalls in den auswählbaren Anwendungen gefunden.
Die App lässt sich nach der Installation aufrufen – und dann kann die Kopplung mit dem Smartphone, wie oben für Windows 10 beschrieben, auch unter Linux durchgeführt werden. Die Vorgehensweise sowie das Aussehen der App sind zwischen Linux und Windows identisch.
Wo ich allerdings gescheitert bin, ist die Kopplung des Smartphones mit der App zu einem OpenSuSE-Linux, welches in VMware Workstation Pro installiert war. Ich tippe darauf, dass es am NAT-Modus der Netzwerkverbindung lag, so dass die App nicht im gleichen WLAN eingebucht war. Im Bridged-Modus habe ich keine Internetverbindung unter OpenSuSE-Linux herstellen können, so dass ich die Tests abgebrochen habe. An der Firewall-Freigabe, wo der Port 24727 freigeschaltet werden muss, lag es definitiv nicht.
Ein kleines Waterloo habe ich beim Ausweis der Tochter erlebt. Es lag zwar ein noch verschlossener Umschlag mit der PIN für den Personalausweis vor. Der Ausweis ließ sich mit der PIN und später der PUK nicht aktivieren – mutmaßlich, weil zwischenzeitlich ein neuer Ausweis ausgestellt und der Brief mit der PIN nie zugesandt wurde.
Was ich auch nervig finde, die Identifikation mittels Smartphone und Ausweis an Behördenseiten. Ich verwende die Seite Rentenversicherung Bund für Tests. Meine Frau, die als Testkandidat fungierte, brauchte zig Anläufe, um sich an deren Webseite anzumelden. Und dann gelang es uns nicht, auf die persönlichen Daten wie Rentenverlauf etc. am Smartphone zuzugreifen. Am Desktop bin ich auf der Seite auch immer am Suchen, wo die Informationen abrufbar sind. Aber das hängt mit der Benutzerführung der Behörde und nicht mit der AusweisApp Bund zusammen.
In Teil 2 beschreibe ich die Verwendung des Pearl USB-Ausweislesers unter Windows, und in Teil 3 gehe ich auf die Einbindung dieses Lesers unter Linux Mint ein (hier hatte ich Hürden zu überwinden, bevor das Ganze lief).
Artikelreihe:
RFID-Chips in Karten und Ausweise mittels Smartphone (NFC) und App lesen – Teil 1
Pearl Xystec USB-Ausweisleser unter Windows verwenden – Teil 2
Pearl Xystec USB-Ausweisleser unter Linux Mint verwenden – Teil 3
Artikel:
eID, Pass auf dem Smartphone: Neuer Schlenker, neues Desaster mit Ansage?
Governikus: Elektronischer Personalausweis lässt sich 'austricksen'
MVP: 2013 – 2016
Den SCT Cyberjack RFID Basis gabs damals beim Ausweis beantragen für 10€ extra dazu… ob das heut auch noch so ist kann ich nicht beurteilen, da ich sowieso den großen Bruder von SCT Cyberjack nutze und somit keinen Bedarf hab.
Ich kann mich aber erinnern das der damals bei Einführung des Personalausweises mit eID Funktion auch in diversen Aktionen von Mobil & Computerfachzeitschriften ebenfalls für 10 € erhältlich war. Ging also recht kostengünstig das Ganze.
Bei den Pearl Teilen wäre ich vorsichtig da war mal was mit Sicherheitslücken… aus der Fenrre ausnutzbar.
Hatte der SCT zwar auch schon, aber dazu musste der Hacker direkt vor Ort sein und die Hardware öffen und manipulieren… was dann doch auffällt.
Wenn ich mich recht erinner auch von dir hier im Blog schon mal thematisiert.
Kann aber auch auf ner anderen Seite gewesen sein. (Kuketz & Co.)
Allerdings ist bei den Basis Modellen ohne PIN Pad keine wirklich sicher PIN Eingabe möglich, da diese am PC vorgenommen werden muss.
Unter Arch Linux findet man die AusweisApp im Arch User Repository (AUR). Dazu sollte man sich aber die Hinweise zur Sicherheit einmal genau durchlesen:
https://wiki.archlinux.de/title/AUR_Sicherheitshinweise
Die Paketabhängigkeiten erfordern dann die Installation weiterer Pakete aus dem AUR:
https://aur.archlinux.org/packages/ausweisapp
Üblicherweise wird der Bereich AUR bei der Installation von Arch Linux nicht verwendet und muss vom Admin/Anwender zunächst aktiviert werden. Damit wird aber gleichzeitig die Systemsicherheit herabgesetzt.
Unter MacOS funktioniert es mit der AusweisApp und iPhone auch sehr gut, verwende es in letzter Zeit immer wieder und hatte keine Probleme.
Auch hier keine Probleme mit Ausweis-App2 unter Ubuntu und LineageOS auf einem Pixel2
Danke für die spannenden Informationen. Und schön, dass es tatsächlich einmal sozusagen „ab Werk" eine Lösung für Linux gibt, die dann tatsächlich auch noch funktioniert.
Und trotzdem… irgendwie habe ich den Eindruck, dass in der Digitalisierung etwas ganz gewaltig schiefläuft.
Das ist alles so wahnsinnig kompliziert, zeitraubend und unzuverlässig (und ich bin immerhin Informatiker), dass man, wenn nicht gerade ein berufliches Interesse z.B. als Blog-Autor vorliegt, keinerlei Motivation hat, sich dem Zeug überhaupt zu beschäftigen. Und dabei sollte die Digitalisierung doch das Leben einfacher machen.
Ein passendes anderes Beispiel (mal nicht aus Neuland): Kürzlich brauchte ich, nur um den Abgabetermin für eine Steuererklärung zu verlängern, zwei (!) internetfähige Geräte sowie eine App. Und irgendwo muss ich mir jetzt noch das gefühlt 347ste Passwort merken.
Früher ging das so: Internetseite des Finanzamts aufrufen, dort den auf der Aufforderung zur Abgabe der Steuererklärung aufgedruckten Code eintippen, fertig.
"Das ist alles so wahnsinnig kompliziert, zeitraubend und unzuverlässig (…), dass man… keinerlei Motivation hat, sich dem Zeug überhaupt zu beschäftigen. Und dabei sollte die Digitalisierung doch das Leben einfacher machen."
War ja auch mal – vor vielen Jahren – so gedacht, daß der ganze EDV-Mist alles einfacher machen soll. Inzwischen sind wir beim Gegenteil und es NERVT nur noch.
Ich habe einen uralten Reiner SCT Comfort, aber auch mit dem Handy klappt(e) es, muss das neue Handy noch testen.
Es wäre nur schön, wenn die Nutzung verbreiteter wäre.
Warum kann ich z. B. bei Congstar (Tochter von Telekom Deutschland) mit nPA eine SIM bestellen, bei der Mutter müsste ich ein Videoident (mache ich grundsätzlich nicht) mit obskurem Drittanbieter durchführen :-(
>War ja auch mal – vor vielen Jahren – so gedacht, daß der ganze EDV-Mist alles einfacher machen soll. Inzwischen sind wir beim Gegenteil und es NERVT nur noch.
Ja, ich gebe Dir grundsätzlich recht.
Es ist aber schon – vordergründig – einfacher geworden. Meine Frau musste erst kürzlich ihr altes (Firmen-) iPhone gegen ein Neues ersetzten – inkl. VPN Zugang, allen Daten und Umsetzung von SIM auf eSIM.
Das Ganze war in ca. 30 Minuten erledigt – liegt vielleicht auch an Apple…
Ich denke noch mit Grausen an die Kopfstände die ich machen musste, mein altes Android-Smartphone gegen ein Neues zu ersetzen und alle Daten, Zugangsdaten inkl. Homebanking auf das Neue zu übertragen (evtl. ist das mittlerweile mit Android auch eleganter gelöst).
Das Problem ist aber, das im Hintergrund alles komplexer geworden ist. Funktioniert etwas nicht auf Anhieb, steht man erstmal auf dem Schlauch und muss sich durch eine Unzahl an Hilfeseite durchs Internet wühlen.
PS: Bin auch Informatiker mit 40 Jahren Berufserfahrung, aber vieles nervt tatsächlich.
>> Das Ganze war in ca. 30 Minuten erledigt – liegt vielleicht auch an Apple…
Liegt es. Wobei auch das schon mal einfacher war. Vor fünf Jahren, als ich die Übumg das erste Mal machen durfte, reichte es aus, die beiden Handies mal eine Weile nebeneinander zu legen. Die Datenübertragung erfolgte direkt von Gerät zu Gerät.
Vor ein paar Wochen durfte ich feststellen, dass es jetzt anscheinend nur über ein Backup geht. Ok, habe ich ja. Dumm nur, dass dann irgendwann die Meldung kam „Backup korrupt". Zum Glück war das alte Gerät noch hinreichend funktionsfähig, dass ich noch einmal ein neues Full-Backup erstellen konnte. Damit ging es dann.
Wohingegen ich erstaunt feststellen durfte, dass bei meinem Android-Gerät nicht einmal die Möglichkeit für ein System-Backup vorgesehen ist.
Jetzt kommt aber noch ein ABER: Amtliche Apps, Banking-Apps und Ähnliches muss man alle auf dem neuen Gerät neu einrichten. Natürlich hat jeder Anbieter dafür ein eigenes Verfahren, mehr oder weniger gut dokumentiert. Und wenn das alte Gerät nicht mehr für die Freigabe zur Verfügung steht weil verloren oder kaputt, hat man ein echtes Problem.
Mein cyberJack® RFID standard funktioniert sowohl unter Windows, als auch unter Ubuntu und Debian out-of-the-box. Für eine Nutzung auf dem Handy habe ich bislang nie eine Notwendigkeit gesehen.
Als günstigere Alternative gibt es noch den cyberJack® RFID basis, der fängt (je nach Händler) bei 32 € an. Aber die PIN-Eingabe am Endgerät statt am Kartenleser ist sicherheitstechnisch natürlich nicht ganz optimal.
Mit einem Ausweis hatten wir tatsächlich nach einiger Zeit der problemlosen Nutzung mal NFC-Probleme per Handy und Reiner CT, da war irgendwie der Chip kaputt gegangen, er wurde noch erkannt aber nicht mehr ausgelesen, vielleicht auf der letzten Urlaubsreise durch diverse Sicherheitsschleusen irgendwo "gegrillt".
Will, muss, ich eigentlich nicht haben, Toi, toi, toi das ich seit Jahren keinen Trojaner oder Virus mehr hatte. Diese Erfolgssträhne muss aber nun nicht ewig so weiter gehen und ich weiß nicht, wofür das gut sein soll meinen Personalausweis zu digitalisieren und irgendwo auf dem PC zu speichern vor allem, wenn das mit der KI so weiter geht.
Zumal ich fast jeden Tag etwas von Identitätsdiebstahl lese, und wie scheiße das ist, wenn jemand anderer für dich Konten eröffne und oder Kredite beantragt.
Da bleibt mein Perso schön in der Tasche gut verstaut und falls ich mich irgendwo identifizieren muss, muss das auch offline gehen, dann dauert es eben länger mir egal ich habe Zeit.
Die nPA zum Ausweisen nutzen und den Perso als eID auf dem Smartphone ablegen sind verschiedene Dinge. Letzteres erscheint mir äußerst suspekt angesichts unserer staatlichen IT-Spezialisten und ich habe nicht vor, das zu nutzen.
Wenn Du heute halbwegs aktiv am Leben teilnimmst, wird Dein Pass oder Ausweis ständig irgendwo hochgeladen, gescannt oder kopiert.
Beim Kauf einer SIM-Karte oder Eröffnung eines Bankkontos, in Hotels und bei Mietwagenfirmen, bei Visumsanträgen oder Ein- und Ausreisen. Ich würde schätzen, bei mir in den letzten 12 Monaten mindestens 50 mal.
Man kann nur hoffen, dass die ganzen Scans und Kopien sicher verwahrt bzw. sofort nach Gebrauch wieder gelöscht werden; die Erfahrung zeigt leider, dass wohl weder das eine noch das andere der Fall ist und Identitätsdiebstählen somit Tür und Tor geöffnet sind.
Das gleiche gilt, und noch schlimmer, für die biometrischen Merkmale. Obwohl ich die privat nicht nutze, gibt es inzwischen weltweit sicher mindestens 20 Datenbanken, in denen sie rumliegen.
Machen kann man nichts, wenn man nicht nur zu Hause rumsitzen möchte bzw. aus beruflichen Gründen kann.
Man hat ein ungutes Gefühl, wenn man zur Freischaltung einer ALDI-SIM-Karte für EUR 9,99 mit seinem Personalausweis vor einem radebrechenden Mitarbeiter einer unbekannten Dienstleistungsfirma "herumwedeln" muss. Man weiß nicht, ob und wie lange und wo diese Video/Foto-Daten aufbewahrt werden.
Aber anders geht es wohl nimmer.
Das Frustrierende, und damit sind wir dann wieder bei der Frage „Was läuft schief bei der Digitalisierung?", ist: Doch, es ginge anders.
Z.B. mit einer weltweit gültigen E-ID ungefähr so, wie sie demnächst in der Schweiz eingeführt werden soll: Open Source Implementierung; keine zentrale Datenhaltung sondern Peer-to-Peer-Kommunikation; nur Bestätigung der jeweils benötigten Informationen; keine Möglichkeit des Empfängers, die erhaltenen Daten anderweitig zu, ähem, verwerten.
Auch hier lassen sich sicher Nachteile finden, aber es wäre doch weit besser als das Herumwedeln mit dem Perso. Und das USB-Lesegerät bräuchte man dann nur einmalig bei der Erstellung einer E-ID auf einem neuen Gerät…
Alternative Installation für Android: Die AusweisApp kann auch mit F-Droid aufs Smartphone installiert werden, aktuell Version 2.4.1., wenn keine Anmeldung bei Google Play vorhanden.