+
Zwei Lesegeräte für den neuen Personalausweis. Am 1. November 2010 löst der neue Personalausweis mit elektronischer Identitäts-und Signaturfunktion den bisherigen Ausweis ab. In seinem Inneren speichert ein Chip Daten, die bisher nur vom Ausweis abgelesen werden konnten. Zum Schutz vor Missbrauch werden die Daten verschlüsselt gespeichert und nur chiffriert an behördlich geprüfte Stellen übertragen

Neuer Personalausweis: Sicherheit hängt vom Lesegerät ab

Berlin. Auch kurz vor der Einführung des neuen Personalausweises hören die Diskussionen über Sicherheit nicht auf. Medienberichte und widersprüchliche Erklärungen verunsichern die Verbraucher.

Lesen Sie auch

Ist er nun sicher, der neue Personalausweis? Die Bürger bekommen kurz vor dem Start des elektronischen Dokuments widersprüchliche Signale. Alles in Ordnung, versichern die Behörden. Von gravierenden Sicherheitslücken sprechen hingegen Kritiker wie der Chaos Computer Club (CCC).

Die Verunsicherung rührt auch daher, dass der neue Personalausweis gleich drei Funktionen erfüllt: Er ist ein hoheitliches Ausweisdokument, erlaubt die Identifikation bei Internet-Geschäften und bietet die Möglichkeit, mit einer digitalen Signatur rechtsverbindliche Verträge abzuschließen.

Für die verschiedenen Funktionen sind getrennte Bereiche des Dokuments zuständig, die unterschiedlich geschützt sind. Das unerlaubte Auslesen der persönlichen Daten aus dem „Staatsteil“ des Chips kann man schon mal vergessen, sagt Jens Fromm, fürs E-Government zuständiger Gruppenleiter beim Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS). „Das ist bisher niemandem gelungen.“

Komplizierter wird es bei der Identifizierungsfunktion im Internet, der sogenannten „eID“, bei der Name und Geburtsdatum übermittelt werden. Damit soll zum Beispiel ein Online-Händler eindeutig wissen, mit wem er es zu tun hat - oder auch ein Anbieter von Angeboten für Erwachsene sichergehen können, dass sein Kunde über 18 Jahre alt ist. Wer die Online-Ausweis-Funktion nutzen will, benötigt einen Computer mit Internet-Browser, ein Kartenlesegerät und eine kostenlos bereitgestellte Software, die sogenannte „Ausweis-App“.

Beim Kartenleser stellt sich nun die Gewissensfrage: Die Basis-Variante ist kostengünstig, aber auch mit einem Risiko bei der Sicherheit verbunden. Wenn der Computer nicht gut genug gegen Schadsoftware abgeschottet ist, könnte ein eingeschmuggelter Trojaner die PIN- Eingabe auf der Tastatur mitlesen und an den Angreifer übermitteln. Dann könnte sich ein Online-Krimineller im Internet für sein Opfer ausgeben, sobald dieser die Karte auf das Lesegerät legt.

Abhilfe gegen Angriffe auf die ID-PIN schafft ein sogenanntes Komfortkartenlesegerät mit eigener Tastatur und einem kleinen Display. Die damit verbundene höhere Sicherheit hat ihren Preis: Ab 70 Euro aufwärts.

Die dritte Funktion - die elektronische Signatur - lässt sich nur mit dieser Art von Lesegerät nutzen. Sie ist auch durch eine eigene PIN geschützt, die somit nicht abgefischt werden könne, betont Manuel Bach vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Insgesamt müsse man eben das Risiko abwägen, sagt Bach. „Grundsätzlich bekommt man ein Computersystem nie hunterprozentig sicher. Genauso wie man im echten Leben nie hundertprozentige Sicherheit hat.“

Im Vergleich zu aktuell gängigen Identifizierungs-Verfahren aber - am Computer eingetippte Benutzername plus Passwort oder PIN - werde die Latte für Online-Kriminelle drastisch höher gelegt. „Es gibt keinen Anwendungsfall, in dem die Nutzung des neuen Personalausweises unsicherer ist als vorher, aber es gibt jede Menge Anwendungsfälle, wo es wesentlich sicherer ist als vorher“, versichert Bach.

Der CCC, der die Lücke bei den Lesegeräten öffentlich anprangerte, findet, dass die Behörden die Bürger über diesen Sicherheitsmangel zu wenig informieren. „Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen“, kritisierte CCC-Sprecher Dirk Engling. Kritisch sei, dass der Bund zum Start des „ePerso“ ausgerechnet eine Million der einfachen Lesegeräte verteilen will, mit denen der Nutzer nicht vor Trojaner- Angriffen auf die ID-PIN gefeit ist. „Den Betroffenen wird damit eine potenzielle Sicherheitslücke untergejubelt“, rügt der CCC. (dpa)

Auch interessant

Meistgelesene Artikel

Endlich! Neue WhatsApp-Funktion schafft mehr Speicherplatz 
Mountain View - Schluss mit zugemüllten WhatsApp-Gruppen und überlasteten Speicherplätzen: Dank des neuen WhatsApp-Features haben Sie endlich wieder mehr Platz auf dem …
Endlich! Neue WhatsApp-Funktion schafft mehr Speicherplatz 
„Code+Design Camp“: Ein Hackathon für alle jungen Münchner
Vier Tage lang programmieren, basteln, Ideen ausarbeiten: Diese Gelegenheit will ab 6. Juni ein Camp allen jungen Münchnern geben - unabhängig vom Geldbeutel.
„Code+Design Camp“: Ein Hackathon für alle jungen Münchner
Huaweis Matebook: Über drei Pins mit Tastatur verbinden
Convertibles haben Konjunktur. Darunter versteht man Geräte, die User als Tablets und als Notebooks verwenden können. Ein neues Modell hat jetzt der chinesische …
Huaweis Matebook: Über drei Pins mit Tastatur verbinden
Retro-Telefon Nokia 3310: Austausch statt Reparatur
Nostalgikern sollte das Herz höher schlagen: Das Nokia 3310 ist wieder da. Wer sich für die neuaufgelegte Version des Uralt- Telefons entscheidet, sollte wissen: Im Fall …
Retro-Telefon Nokia 3310: Austausch statt Reparatur

Kommentare