Viren, Spyware, Datenschutz 11.212 Themen, 94.141 Beiträge

News: Chaos Computer Club warnt

Elektronischer Personalausweis löchriger als gedacht

Michael Nickles / 16 Antworten / Flachansicht Nickles

Ab 1. November 2010 wird der elektronische Personalausweis eingeführt. Dadurch kann sich beispielsweise jeder im Internet eindeutig identifizieren (siehe Elektronischer Personalausweis dringend gefordert), was unter anderem bei Geschäftsabwicklungen und Online-Banking bessere Sicherheit bringen soll.

Bei Datenschützern ist der neue Ausweis sehr umstritten, der Chaos Computer Cclub (CCC) heizt die Diskussion um die Sicherheit des Ausweises jetzt erneut mit einer Mitteilung an. In Zusammenarbeit mit Schweizer Sicherheitsexperten wurden erhebliche Schwachstellen beim in der Schweiz bereits verbreiteten Ausweis entdeckt.

Die finden sich auch bei der SuisseID. Das ist ein in der Schweiz verfügbarer elektronischer Identitätsnachweis, der auf Chipkarte oder als USB-Stick erhältlich ist. Laut CCC existiert im Internet eine für jedermann leicht erhältliche Software, mit der sich der elektronische Ausweis sowie die SuisseID ferngesteuert benutzen lassen. Und die Sicherheitslücken werden angeblich bereits hunderttausendfach von Kriminellen ausgenutzt.

CCC-Sprecher Dirk Engling : "Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen".

Da die technische Angriffsmethode teils sehr simpel sei, soll sie sich von Online-Kriminellen problemlos einsetzen lassen. Und im Fall des deutschen elektronischen Personalausweises drohe das gleiche Risiko. Eine der Hauptschwachstelle sind laut CCC billige Ausweis-Lesegeräte, die am PC angeschlossen werden und die über keine eigene Tastatur verfügen.

Wird die PIN über die PC-Tastatur eingegeben können Kriminelle das über einen Trojaner ermitteln und den elektronischen Personalausweis dann nach Belieben nutzen, so lange er im Lesegerät eingesteckt ist beziehungsweise drauf liegt (der Ausweis ist kontaktlos). Auch teure Lesegeräte mit eigener Tastatur reichen aus Sicht des CCC nicht aus.

Auch hier können "Transaktionen" per "Schadsoftware" überwacht und missbraucht werden. Auch mit dem Ausweis durchführbare "digitale Unterschriften" auf Dokumenten sind fälschbar.

Sicherheitsexperte Thorsten Schröder, der die Sicherheitsprobleme gemeinsam mit Max Moser in der Praxis demonstriert hat, fordert:

"Die an der Einführung und am Betrieb der Systeme beteiligten Unternehmen und staatlichen Stellen können nicht oft genug an ihre Pflicht zur wahrheitsgemäßen Aufklärung erinnert werden.

Wenn schon alle Verantwortlichen behaupten, es ginge gar nicht darum, ein hundertprozentig sicheres System zu schaffen, dann ist es auch ihre verdammte Pflicht, die Bürger im Vorfeld zu informieren und zu sensibilisieren.

Die bestehenden Gefahren dürfen nicht hinter Marketing-Geschwätz verschwinden und verschwiegen werden. Zu behaupten, man müsse für einen Missbrauch im physikalischen Besitz der Smartcard sein, grenzt an Fahrlässigkeit."

Was auf jeden Fall jeder wissen sollte: digitale Unterschriften mit dem elektronischen Personalausweis sind rechtsgültig und der Ausweisbesitzer ist somit in vollem Umfang haftbar.

bei Antwort benachrichtigen
Meinungsmache pur Conqueror
MHA Nachtrag zu: „Wer sagt denn, das man den neuen Perso unbedingt braucht und auch benutzt? Ich...“
Optionen

Bundespersonalausweisgesetz, § 1 Ausweispflicht
(1) Deutsche im Sinne des Artikels 116 Abs. 1 des Grundgesetzes, die das 16. Lebensjahr vollendet haben und nach den Vorschriften der Landesmeldegesetze der allgemeinen Meldepflicht unterliegen, sind verpflichtet, einen Personalausweis zu besitzen und ihn auf Verlangen einer zur Prüfung der Personalien ermächtigten Behörde vorzulegen; dies gilt nicht für Personen, die einen gültigen Pass besitzen und sich durch diesen ausweisen können. Der Ausweispflicht kann auch durch Vorlage eines vorläufigen Personalausweises genügt werden.

bei Antwort benachrichtigen