Sicherheit des neuen Personalausweises in Zweifel gezogen

+
Der neue Personalausweis in einem der umstrittenen Lesegeräte. Der Ausweis ist so groß wie eine EC-Karte und mit einem Daten-Chip ausgestattet.

Köln/Berlin (dpa/apn/re) ‐ Hohe Wellen schlägt ein Fernsehbericht, der die Sicherheit des neuen Personalausweises in Frage stellt. Dabei geht es vor allem um das Lesegerät für den im Dokument integrierten Chip. Dem ARD-Magazin „Plusminus“ zufolge soll es für Betrüger problemlos möglich sein, sensible Daten abzufangen wie die sechsstellige Geheimzahl (PIN) für die Nutzung des Ausweises bei Online-Geschäften. Zusammen mit dem Chaos Computer Club (CCC) habe die Redaktion Testversionen der Basis-Lesegeräte für den Ausweis geprüft, erklärte das Magazin.

Die Sicherheitsabfrage der Personalausweis-PIN erfolgt bei einfachen Lesegeräten über die PC-Tastatur. Eine als „Keylogger“ bezeichnete Schadenssoftware, heimlich auf den PC geschmuggelt, kann die eingetippte PIN mitlesen. Höherwertige Lesegeräte, sogenannte Pin-Pads, haben hingegen eine eigene kleine Tastatur für die Eingabe der Geheimzahl. Der Bundesdatenschutzbeauftragte Peter Schaar sprach sich für den Einsatz dieser besonders sicheren, aber etwas teureren Geräte aus. „Meine Befürchtung ist, dass jetzt durch die Verwendung dieser einfachen Leser, die vom Bundesinnenministerium verteilt werden, eine Technologie mit dem neuen Personalausweis verbunden wird, die angreifbar ist“, sagte Schaar.

CCC-Sprecher Frank Rosengart kritisierte, bei der Sicherheitstechnik seien Abstriche gemacht worden, um möglichst viele Lesegeräte kostengünstig verteilen zu können. Der Club, der schon mehrfach elektronische Sicherheitsvorrichtungen knackte, empfiehlt den Bürgern, sich vor Einführung der neuen Ausweise ein herkömmliches Dokument zu besorgen, das zehn Jahre gültig ist.

Im Bundesinnenministerium sagte ein Sprecher, der neue Personalausweis sei am PC sicher, weil zwei Faktoren zwingend seien: „Der Besitz des Ausweises selbst und das Kennen der PIN-Nummer. Fehlt einer dieser Faktoren, ist der neue Personalausweis am PC nicht nutzbar.“ Zudem habe der Nutzer jederzeit die Möglichkeit, die PIN zu ändern.

Beim Bundesamt für Sicherheit in der Informationstechnik sagte der Experte Jens Bender, selbst bei einem Angriff von außen sei kein Zugriff auf die persönlichen Daten möglich. Die Verbindung von Chip und PIN-Abfrage sei bei Online-Transaktionen „ein deutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort“. „Plusminus“-Autor Roman Stumpf sagte hingegen unserer Mediengruppe, die Daten würden gar nicht erst verschlüsselt, weil der Hacker schon beim Eintippen Zugriff habe.

Der stellvertretende innenpolitische Sprecher der SPD-Bundestagsfraktion Michael Hartmann erklärte, es dränge sich der Eindruck auf, „dass die zuständigen Experten die Sicherheitsschranken zu niedrig angesetzt haben“. Bei den geringsten begründeten Zweifeln müsse der Start des neuen Personalausweises zumindest verschoben werden. Kritische Stimmen gab es auch auf Seiten der Regierungskoalition. Der FDP-Bundestagsabgeordnete Manuel Höferlin schrieb, Ausweis und Lesegeräte müssten sicher sein. Wenn noch Sicherheitslücken bestehen sollten, müssten diese rechtzeitig bis zum Start am 1. November behoben werden. Andernfalls „muss der elektronische Personalausweis später eingeführt werden“.

Der neue Personalausweis enthält einen Chip mit persönlichen Daten und eine Geheimnummer. Inhaber können ihn mit Hilfe eines Lesegerätes am heimischen Computer nutzen und sich so im Internet identifizieren. Die Signaturfunktion dient dazu, digitale Dokumente rechtsverbindlich zu unterschreiben. Damit könnte man beispielsweise eine Versicherung im Internet abschließen.

http://www.bsi.bund.de

http://www.daserste.de/plusminus

Kommentare