Datenleck

Sicherheitslücke beim neuen Personalausweis

Zwei Monate vor Einführung des neuen Personalausweises sind Zweifel an der Sicherheit laut geworden. Für Betrüger soll es nach einem Bericht des ARD-Magazins "Plusminus" problemlos möglich sein, sensible Daten abzufangen.

Dazu gehöre auch die geheime sechsstellige PIN. Dabei geht es dem Magazin zufolge nicht um den Ausweis selbst, sondern um die eingesetzten Lesegeräte. Beim Eintippen der PIN könnten Informationen von Internetkriminellen abgefangen werden, berichtet das Magazin, das die Lesegeräte zusammen mit dem Chaos Computer Club (CCC) getestet habe.

Hacker greifen an

Das Bundesinnenministerium wies die Kritik dagegen gestern zurück. "Der neue Personalausweis ist sicher", sagte ein Sprecher des Ministeriums gestern. "Die eingesetzte Technik ist eine der sichersten, die derzeit verfügbar ist." Für den Chip auf dem Personalausweis gelten demnach höchstmögliche Sicherheitsstandards. Auch die Lesegeräte, mit denen Besitzer sich künftig im Internet ausweisen können, entsprächen diesen Standards. Außerdem sei der Ausweis nur zusammen mit dem PIN-Code zu nutzen. Ein Abfangen der Nummer allein bliebe daher nutzlos.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies die Kritik zurück. Die Verbindung von integriertem Chip und zusätzlicher PIN-Abfrage sei bei Online-Transaktionen "ein deutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort". Denkbar sei zwar ein klassischer Trojaner-Angriff, bei dem etwa mit einem "Keylogger" die Tastatureingabe der sechsstelligen PIN mitgeschnitten werden könne. Damit sei aber noch keinerlei Zugriff auf die persönlichen Daten gelungen, hieß es aus dem Ministerium. Die Daten würden nur verschlüsselt übertragen. Die Sicherheitsabfrage der Ausweis-PIN erfolgt bei einfachen Lesegeräten über die PC-Tastatur. Eine zusätzliche Sicherheit biete ein sogenanntes Pinpad mit integrierter Zifferneingabe. Nutzer müssten natürlich gewährleisten, dass der eigene PC nicht mit Viren oder Aushorchprogrammen verseucht sei.

Zusammen mit dem Chaos Computer Club (CCC) habe die "Plusminus"-Redaktion Testversionen der Basis-Lesegeräte für den Ausweis geprüft, erklärte das Magazin vor seiner Sendung am Dienstagabend. Zum Start sponsert das Bundesinnenministerium laut ARD-Bericht für 24 Millionen Euro mehr als eine Million der benötigten Lesegeräte. Die Mittel kommen aus dem Konjunkturpaket II. Die Lesegeräte sollen unter anderem über Computer-Zeitschriften und ausgewählte Banken kostenlos als sogenannte Starter Kits verteilt werden.

Ab Anfang November bekommen die Bundesbürger einen neuen Personalausweis, der gleichzeitig ein kleiner Computer ist: Das Dokument im Scheckkartenformat enthält einen Chip, der die Ausweisdaten speichert und bei Bedarf verschlüsselt überträgt.

Dieser Personalausweis solle nicht nur im Behördenverkehr, sondern auch bei Online-Geschäften eingesetzt werden. Der Chip soll zum einen die personenbezogenen Daten sicher speichern, zum anderen auch eine geschützte Übertragung der Daten gewährleisten. Elektronisch gespeichert werden diejenigen Daten, die auch auf dem Personalausweis zu sehen sind - auf der Vorderseite sind das Passbild, Name, Vorname, Geburtsdatum, Nationalität und Geburtsort, auf der Rückseite die Adresse. Auf freiwilliger Basis können zusätzlich Fingerabdrücke gespeichert werden, beim Reisepass ist dies zwingend vorgeschrieben. Für den Datenspeicher stehen nach Angaben des Herstellers 144 Kilobyte zur Verfügung, das Betriebssystem für den Mikrocomputer belegt 300 Kilobyte. Zum Auslesen von Daten wird der Ausweis auf ein Lesegerät gelegt, das über USB-Kabel mit dem heimischen Computer verbunden ist. Der Chip bezieht seine Energie vom elektromagnetischen Feld des Lesegerätes. Die Daten werden verschlüsselt über die Technik der sogenannten Near Field Communication (NFC) übertragen. Die Chip-Technik wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft.

Sichere Identifikation

Der neue Ausweis soll bei Online-Geschäften eine sichere Identifikation gewährleisten. Dazu gibt es die Software "AusweisApp". Dieses Programm stellt für die elektronische Ausweisfunktion eine Verbindung zu einem Server bei der Bundesdruckerei her Die Software wird für Windows (ab 98), Mac OSX und Linux bereitgestellt. Mithilfe der Software kann man freigeben, welche Daten im Internet mitgeteilt werden. Bei einer Überprüfung der Altersberechtigung wird nicht das Geburtsdatum übermittelt, sondern nur die Information, ob der Inhaber volljährig ist. Neben dieser Online-Ausweisfunktion gibt es auch noch eine Unterschriftsfunktion, die rechtlich der eigenhändigen Signatur gleichgestellt sein wird. Um diese Funktion zu nutzen, ist allerdings - wie bei signierten E-Mails - ein extra zu erwerbendes Signatur-Zertifikat nötig. Beide neuen Nutzungsmöglichkeiten sind freiwillig. Jeder entscheidet selbst, ob er diese Funktionen nutzen möchte.