Panikmache um Sicherheit des elektronischen Personalausweis

Heute Abend wird in der Sendung Plusminus ein Bericht über Sicherheitsprobleme mit dem neuen elektronischen Personalausweis gesendet. In Zusammenarbeit mit dem Chaos Computer Club wurden erste Lesegeräte für den Ausweis getestet und entsprechende Sicherheitsmängel festgestellt.

In den Online Medien war bereits vor der Sendung von diesem Test zu lesen. Meiner Einschätzung nach wird aber wieder mal viel zu viel Wirbel um ein Sicherheitsthema gemacht, welches in diesem Fall nicht einmal von dem Personalausweis selbst ausgeht.

Natürlich ist es gut, wenn uns die Medien auf Sicherheits- oder Datenschutzmängel hinweisen. Warum aber muss man hierbei immer eine Art der Panikmache betreiben, die meiner Meinung nach nicht notwendig ist. Auch das Thema Google Street View wird meiner Einschätzung nach häufig falsch bzw. unvollständig dargestellt. Erst neulich habe ich wieder einen Leserbrief in einer Zeitung gelesen, in dem der Autor davon ausgeht, dass Street View Filme zeigt. Eher selten findet man eine sachlich korrekte Darstellung der tatsächlichen Funktion von Street View.

Nun gut, jetzt kann man sich also auf den Personalausweis stürzen, der im November eingeführt werden soll. Dieser Ausweis verfügt über einen sogenannten RFID Chip. Dies ist ein Chip, ähnlich der Chips auf EC-Karten. Der Vor- aber auch der Nachteil eines RFID Chip ist, dass dieser ohne Berührung ausgelesen werden kann.

Auch hierzu gab es – nicht ganz unberechtigt – schon Sicherheitsbedenken. Theoretisch wäre es möglich, einen solchen Chip „im vorbei gehen“ auszulesen. Das Auslesen alleine würde aber nicht reichen. Die Informationen müssen noch entschlüsselt werden, was theoretisch natürlich auch möglich sein könnte.

Neuer Personalausweis

Neuer Personalausweis

Der elektronische Personalausweis soll zukünftig auch zur Identifikation bei Online Diensten genutzt werden können. Eine weitere Funktion, die, wie die übrigen Funktionen, vom Benutzer freigeschaltet werden muss, bietet die Möglichkeit einer elektronischen Signatur. Damit könnte man dann z.B. Dokumente virtuell unterschreiben.

Das funktioniert natürlich nur, wenn die Daten von dem Chip ins Internet übertragen werden. Hierzu benötigt man einen entsprechenden Kartenleser. Diesen gibt es nun in drei verschiedenen Ausführungen. So gibt es ein Basisgerät, welches zum Beispiel von Plusminus getestet wurde.

Dieses Gerät unterscheidet sich von den beiden anderen Geräten, die eine höhere Sicherheitsstufe haben, in erster Linie darin, dass es keine eigene Tastatur hat. Möchte man den Ausweis nämlich im Internet benutzen, muss man den Datenversand zusätzlich mit einer 6-stelligen Pin freischalten.

Die Unsicherheit besteht nun darin, dass man diese Eingabe beim Basis Lesegerät über die PC Tastatur vornehmen muss. Wenn man nun Schadsoftware – z.B. einen Trojaner – auf seinem Rechner hat, dann könnte diese Schadsoftware evtl. die Tastatur auslesen. Würde dann der Ausweis im Lesegerät bleiben, könnte ein Fremder theoretisch den Ausweis mit der ermittelten Pin nutzen.

Natürlich ist dies ein Sicherheitsproblem. Auch der BSI hat, in Abhängigkeit von dem Sicherheitsbedürfnis, empfohlen, die Geräte der Kategorie „Cat S“ und „Cat K“ zu verwenden. Im reinen Online Handel und der Authorisierung mittels des Personalausweis über das Basis-Lesegerät, sehen sie aber grundsätzlich keine große Sicherheitsgefährdung.

Das von Plusminus und dem Chaos Computer Club ermittelte Sicherheitsproblem haben aber auch jetzt schon viele Nutzer, die Online Banking mit einem Lesegerät betreiben. Auch hier könnte man die Pin – sofern sie über die PC-Tastatur eingegeben wird – erschnüffeln. Es ist also in Wirklichkeit weder ein Problem des Personalausweis noch des Lesegeräts. Viel mehr ist es wieder einmal ein „Problem“, wie man insgesamt mit Datenschutz und Sicherheit im Internet umgeht.

Wenn man sich nicht vor entsprechender Schadsoftware absichert, muss man sich auch nicht wundern, dass Betrüger Passwörter, Pins oder sonstige wichtige Daten klauen.

In dem speziellen Fall müssten gleich mehrere Bedingungen zutreffen, damit ein Angreifer die Möglichkeit hat, den Personalausweis zu nutzen. Es müssten ein Basislesegerät verwendet werden, der Ausweis muss sich im Lesegerät befinden und es muss eine Schadsoftware auf dem Rechner sein, der die Tastatur ausliest. Zusätzlich wird wahrscheinlich auch keine Firewall installiert sein, die einen Angriff von draußen abwenden könnte. Wenn alle diese Bedingungen zutreffen, bekommt der Hacker aber immer noch nur an die verschlüsselten Daten.

Viele andere Verfahren, die aktuell im Bereich des Online Shopping oder der mobilen Nutzung von Internetdiensten verwendet werden, sind meiner Einschätzung nach viel unsicherer, als die Verwendung des elektronischen Personalausweis.

Mal sehen, ob ich mir den Bericht heute Abend anschaue. Vielleicht erfolgt ja eine sachliche und objektive Darstellung. Der eigentliche Grund für diese „Panikmache“ scheint mir, dass das Bundesinnenministerium 1 Million der Basis Lesegeräte über Computermagazine und Banken ausgeben möchte. Ziel ist es hierbei, die Verbreitung und auch die Nutzung der der Funktionen des neuen Personalausweis ein wenig anzukurbeln. Scheinbar hätte die Regierung wohl die wahrscheinlich deutlich teureren Geräte bereit stellen sollen? Wie bereits erwähnt. Für mich wieder ein Thema, bei dem viel zu viel Wind gemacht wird und ahnungslose Bürger verunsichert werden.

[Update]

Bei golem.de gibt es einen Bericht über eine BSI Aussage, dass ein Missbrauch des neuen Personalausweis nicht so einfach möglich ist. Hier versucht man die Darstellung von Panorama und dem Chaos Computer Club ein wenig „gerade“ zu rücken. Übrigens war der Panorama Bericht wie erwartet so oberflächlich und ungenau, dass der „Normalbürger“ nicht wirklich verstanden hat, wo das eigentliche Problem liegt.

[ad#audible]

Leave a Reply

Your email address will not be published. Required fields are marked *

*

Why ask?

x

Check Also

Rechner für Strom- und Gaspreisbremse

Nun ist das Gesetz für die Strom- und Gaspreisbremse verabschiedet worden. Ab dem nächsten Jahr ...