Der neue Personalausweis: Eigentlich soll er fälschungs- und knacksicher sein, uns also mehr Sicherheit bringen – und auch Komfort. Denn mit dem neuen Personalausweis wird man sich auch im Internet ausweisen können. Ein entsprechendes Lesegerät vorausgesetzt – natürlich auch alles sicher, angeblich.

Doch das sieht der Chaos Computer Club anders. Die Hackexperten des CCC machen erneut auf ein Sicherheitsproblem aufmerksam. Ein durchaus ernsthaftes Problem. Denn wer seinen neuen, maschinenlesbaren Personalausweis benutzt, um sich zum Beispiel im Internet zu identifizieren, muss den Personalausweis durch ein Lesegerät ziehen und anschließend eine PIN eingeben, so ähnlich wie bei der EC-Karte.

Genau dieser Vorgang ist der neuralgische Punkt: Die Eingabe der PIN kann abgehört werden – am PC. Denn nicht das Lesegerät fragt die PIN ab, sondern eine Software oder Webseite im Computer. Und da können zum Beispiel über das Internet unbemerkt auf den eigenen Rechner eingeschleuste Schnüffelprogramme die PIN mitlesen.

Die Folge: Datendiebe könnten die auf dem Personalausweis gespeicherten Daten samt PIN speichern und sich so als die Person ausgeben, deren Daten kopiert wurden. Identitätsdiebstahl wird das genannt. Keine Lappalie, schließlich soll der neue, maschinenlesbare Personalausweis künftig verstärkt dazu dienen, sich im Internet auszuweisen, etwa um Rechtsgeschäfts zu tätigen oder um sich gegenüber Behörden auszuweisen. Selbst das Ändern der PIN ist möglich, so dass der betroffene Bürger sich selbst nicht mehr online ausweisen kann.

Vermeiden lässt sich dieses Problem nur, wenn das Lesegerät selbst mit einer Tastatur versehen wird, damit der Benutzer die PIN direkt am Lesegerät eingibt. Für Onlinebanking mit HBCI gibt es solche Lesegeräte längst. Sie werden von den Banken empfohlen oder sogar vorausgesetzt.

Erstaunlich, dass gerade beim Personalausweis, immerhin eins der wichtigsten, amtlichen Dokumente überhaupt, nicht stärker auf die nötigen technischen Rahmenbedingungen geachtet wurde, um solche eher simplen, längst bekannten Angriffsmethoden zu verhindern oder wenigstens zu erschweren.
Hier müssen die technischen Vorschriften unbedingt angepasst werden, denn anderenfalls dürfte sich in der Bevölkerung kaum das nötige, aber gewünschte Vertrauen in den neuen Ausweis entwickeln.

2 Kommentare
  1. Matthias
    Matthias sagte:

    Hier sollte vielleicht auch nochmal deutlich gesagt werden, dass vorhandene Lesegeräte für Bank-Karten NICHT mit dem ePA genutzt werden können… denn der ePA ist ja schließlich kontaktlos, RFID… da is nix mit Chipkartenlesern… und so ein RFID-Kartenleser wird wahrscheinlich ein vielfaches von dem der simplen einfachen millionenhaft vorhandenen Chipkartenleser kosten…

Trackbacks & Pingbacks

  1. […] Sicherheitslücke im neuen Personalausweis | schieb.de […]

Kommentare sind deaktiviert.