Experten aus dem Kreis des Chaos Computer Club (CCC) haben mit vergleichsweise einfachen Mitteln die Videoident-Verfahren von gleich sechs Anbietern ausgehebelt – und konnten sich so Zugriff auf teils sensible Daten verschaffen. Darunter auch auf eine Patientenakte.
Seit August ist im Personalausweis zwingend auch der Fingerabdruck digital gespeichert. Der Verein Digitalcourage sieht das kritisch und hat gegen eine EU-Verordnung geklagt.
Die Welt soll digitaler werden, heißt eine immer wieder zu hörende Forderung. Vor allem Behörden in Deutschland hinken heillos hinterher. Das könnte sich jetzt ändern. Denn der Gesetzgeber hat jetzt den Weg frei gemacht für einen Digitalen Identitätsnachweis. Also nicht mehr den Personalausweis im Chipkarten-Format herzeigen, sondern das Handy – so das Ziel. Was steckt dahinter und wie soll das gehen?
Seit Anfang des Monats bekommen wir nur noch den neuen Personalausweis ausgehändigt. So groß wie eine Scheckkarte – und mit eingebautem Funk-Chip. Ultramodern also, so modern, dass man sich damit sogar im Internet rechtsverbindlich ausweisen kann.
Was durchaus eine praktische Sache ist, wenn es denn funktioniert und auch sicher ist. Doch daran gibt es immer wieder Zweifel. So musste das Bundesamt für Sicherheit in der Informationstechnik BSI jetzt eine Sicherheitslücke in seiner Software einräumen.
In einer Software, die Bürger dazu benutzen, um sich am PC sitzend im Internet auszuweisen, etwa um Onlinegeschäfte zu tätigen. Mit einem relativ simplen Trick lässt sich die Software austricksen. Hacker können die Identität des Benutzers stehlen oder auch manipulieren. Ein Albtraum für Datenschützer.
Und vor allem eine peinliche Schlappe für alle Beteiligten, vor allem für die Behörden – denn die hatten ja nun wirklich genug Zeit, alles sorgfältig vorzubereiten und zu testen.
Der neue Personalausweis: Eigentlich soll er fälschungs- und knacksicher sein, uns also mehr Sicherheit bringen – und auch Komfort. Denn mit dem neuen Personalausweis wird man sich auch im Internet ausweisen können. Ein entsprechendes Lesegerät vorausgesetzt – natürlich auch alles sicher, angeblich.
Doch das sieht der Chaos Computer Club anders. Die Hackexperten des CCC machen erneut auf ein Sicherheitsproblem aufmerksam. Ein durchaus ernsthaftes Problem. Denn wer seinen neuen, maschinenlesbaren Personalausweis benutzt, um sich zum Beispiel im Internet zu identifizieren, muss den Personalausweis durch ein Lesegerät ziehen und anschließend eine PIN eingeben, so ähnlich wie bei der EC-Karte.
Genau dieser Vorgang ist der neuralgische Punkt: Die Eingabe der PIN kann abgehört werden – am PC. Denn nicht das Lesegerät fragt die PIN ab, sondern eine Software oder Webseite im Computer. Und da können zum Beispiel über das Internet unbemerkt auf den eigenen Rechner eingeschleuste Schnüffelprogramme die PIN mitlesen.
Die Folge: Datendiebe könnten die auf dem Personalausweis gespeicherten Daten samt PIN speichern und sich so als die Person ausgeben, deren Daten kopiert wurden. Identitätsdiebstahl wird das genannt. Keine Lappalie, schließlich soll der neue, maschinenlesbare Personalausweis künftig verstärkt dazu dienen, sich im Internet auszuweisen, etwa um Rechtsgeschäfts zu tätigen oder um sich gegenüber Behörden auszuweisen. Selbst das Ändern der PIN ist möglich, so dass der betroffene Bürger sich selbst nicht mehr online ausweisen kann.
Vermeiden lässt sich dieses Problem nur, wenn das Lesegerät selbst mit einer Tastatur versehen wird, damit der Benutzer die PIN direkt am Lesegerät eingibt. Für Onlinebanking mit HBCI gibt es solche Lesegeräte längst. Sie werden von den Banken empfohlen oder sogar vorausgesetzt.
Erstaunlich, dass gerade beim Personalausweis, immerhin eins der wichtigsten, amtlichen Dokumente überhaupt, nicht stärker auf die nötigen technischen Rahmenbedingungen geachtet wurde, um solche eher simplen, längst bekannten Angriffsmethoden zu verhindern oder wenigstens zu erschweren.
Hier müssen die technischen Vorschriften unbedingt angepasst werden, denn anderenfalls dürfte sich in der Bevölkerung kaum das nötige, aber gewünschte Vertrauen in den neuen Ausweis entwickeln.
