Chaos Computer Club kritisiert Lesegeräte heftig

Zwei Monate vor Einführung des neuen Personalausweises sind Zweifel an der Sicherheit laut geworden. Dabei geht es vor allem um das Lesegerät für den Chip, der erstmals in dem Ausweisdokument integriert ist. Das Bundesinnenministerium wies die Zweifel zurück und bekräftigte: „Der neue Personalausweis ist sicher.“ Auslöser der Debatte ist ein Bericht des ARD-Magazins „Plusminus“, der am Dienstagabend ausgestrahlt werden sollte. Demnach soll es für Betrüger problemlos möglich sein, sensible Daten abzufangen wie die sechsstellige Geheimzahl (PIN) für die Nutzung des Ausweises bei Online-Geschäften. Zusammen mit dem Chaos Computer Club (CCC) habe die „Plusminus“-Redaktion Testversionen der Basis-Lesegeräte für den Ausweis geprüft, erklärte das Magazin. Die Sicherheitsabfrage der Personalausweis-PIN erfolgt bei einfachen Lesegeräten über die PC-Tastatur. Eine als „Keylogger“ bezeichnete Schadenssoftware, heimlich auf den PC geschmuggelt, kann die eingetippte PIN mitlesen. Höherwertige Lesegeräte, sogenannte Pin-Pads, haben eine eigene kleine Tastatur für die Eingabe der Geheimzahl.

CCC-Sprecher Frank Rosengart kritisierte im Rundfunksender MDR Info, bei der Sicherheitstechnik seien Abstriche gemacht worden, um möglichst viele Lesegeräte kostenlos oder kostengünstig verteilen zu können. Im Grunde seien das „sehr einfache Plastikteile“. Solche Lesegeräte für sicherheitsrelevante Anwendungen hätten normalerweise ein eigenes Display und eine eigene Tastatur für die PIN-Eingabe, sagte Rosengart dem MDR. Doch bei den Billig-Lesegeräten für den Personalausweis müsse man die PIN über die Tastatur des PC eingeben. Falls sich Schad-Software auf dem Computer befinde, könne auf diesem Weg die PIN abgefischt werden, um betrügerische Geschäfte im Internet zu tätigen. Rosengart sprach von einer neuen "Kategorie des Risikos", weil damit nun die Beweislast für Missbrauch beim Bürger liege.

Für den neuen Personalausweise soll es zwei Lesegeräte geben, eine Basis- und eine Fortgeschrittenen-Variante. Nur letztere wird ein eigenes Display und eine Tastatur enthalten.

Im Bundesinnenministerium sagte ein Sprecher, der neue Personalausweis sei bei der Benutzung am PC deshalb sicher, weil zwei Faktoren zwingend seien: „Der Besitz des Ausweises selbst und das Kennen der PIN-Nummer. Fehlt einer dieser Faktoren, ist der neue Personalausweis am PC nicht nutzbar.“ Zudem habe der Nutzer jederzeit die Möglichkeit, die PIN zu ändern. Kommt der Ausweis abhanden, kann er telefonisch gesperrt werden.

Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sagte der zuständige Experte Jens Bender, selbst bei einem Angriff von außen, etwa mit einem sogenannten Trojaner, sei kein Zugriff auf die persönlichen Daten möglich. Die Verbindung von integriertem Chip und zusätzlicher PIN-Abfrage sei bei Online-Transaktionen „ein deutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort“.

Mehrere Abgeordnete nahmen die Vorabmeldung zu dem Fernsehbericht zum Anlass für Kritik. Der stellvertretende innenpolitische Sprecher der SPD-Bundestagsfraktion Michael Hartmann erklärte, es dränge sich der Eindruck auf, „dass die zuständigen Experten die Sicherheitsschranken zu niedrig angesetzt haben“. Bei den geringsten begründeten Zweifeln müsse der Start des neuen Personalausweises zumindest verschoben werden. Bei den Grünen erklärte Malte Spitz vom Bundesvorstand: „Funkchips haben nichts im Personalausweis zu suchen.“ Stattdessen sollte es „eine eigenständige und freiwillige Authentifizierungs- und Signaturkarte“ geben.

Kritische stimmen gab es auch auf Seiten der Regierungskoalition. Der FDP-Bundestagsabgeordnete Manuel Höferlin schrieb, sowohl der Ausweis als auch die ausgelieferten Lesegeräte müssten sicher sein. Wenn noch Sicherheitslücken bestehen sollten, müssten diese rechtzeitig bis zum Start am 1. November behoben werden. Andernfalls „muss der elektronische Personalausweis später eingeführt werden“, betonte Höferlin.

Die Lesegeräte sind nur nötig, um den neuen Personalausweis am heimischen Computer für die Abwicklung von Internet-Geschäften oder für das Online-Banking zu nutzen. Zum Start soll mehr als eine Million Basis-Lesegeräte kostenlos verteilt werden, unter anderem über Computer-Zeitschriften und ausgewählte Banken.dpa/sh