D: Sicherheitslücke im Personalausweiskonzept

Das System des neuen deutschen Personalausweises, der auf einem Chip auch die aufgedruckten persönlichen Daten und das Porträt des Nutzers sowie - auf Wunsch des Besitzers - zwei digitalisierte Fingerabdrücke enthalten wird, ist nach einem Bericht des ARD-Magazins "Plusminus" und des Chaos Computer Clubs (CCC) nicht sicher.

In Deutschland ist der Personalausweis wesentlich stärker verbreitet als in Österreich, da dort ab einem Alter von 16 Jahren Ausweispflicht für die Bürger besteht. Mit dem neuen Personalausweis will die deutsche Regierung auch E-Signaturfunktionen auf dem Dokument einführen, vergleichbar mit der österreichischen Bürgerkarte. Er soll ab November 2010 eingeführt werden.

Zusammen mit dem CCC habe die "Plusminus"-Redaktion Testversionen der Basislesegeräte für den Ausweis geprüft, heißt es in einer Vorabmeldung des ARD-Magazins. Für Betrüger sei es problemlos möglich, sensible Daten abzufangen - inklusive der geheimen, sechsstelligen PIN-Nummer. Genaue technische Details haben "Plusminus" und CCC noch nicht veröffentlicht. Der Vorabmeldung zufolge hat sich wieder einmal der Einsatz von Chipkarten-Lesegeräten der niedrigsten Sicherheitsstufe - ohne eigene Tastatur und Display - als Schwachstelle erwiesen. Da bei diesen Modellen die Eingabe über den heimischen Rechner erfolgt, können Tastatureingaben unter Umständen durch Schadsoftware abgefangen und an Angreifer übermittelt werden.

• CCC

• Portal des Bundesinnenministeriums zum Personalausweis

• Plusminus

Gesponserte Lesegeräte

Die Lesegeräte sind nötig, um den neuen Personalausweis am heimischen Computer zu nutzen und sich somit für die Abwicklung von Internetgeschäften zu identifizieren. Sie sollen später auch im Handel in verschiedenen Preisklassen und Sicherheitsstufen angeboten werden. Zum Start sponsert das Bundesinnenministerium nach dem Bericht für 24 Millionen Euro mehr als eine Million der benötigten Lesegeräte. Die Mittel kämen aus dem Konjunkturpaket II. Die Lesegeräte würden unter anderem über Computerzeitschriften und ausgewählte Banken kostenlos als "Starter Kits" an Bürger verteilt.

Laut "Plusminus" sieht Bundesinnenminister Thomas de Maizière (CDU) gleichwohl keinen unmittelbaren Handlungsbedarf. Laut Bundesinnenministerium reichen auch die Lesegeräte der niedrigsten Sicherheitsstufe für den Betrieb des Systems aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betonte, dass eine mit einem Keylogger abgefangene Persönliche Identifikationsnummer (PIN) nur gemeinsam mit dem Ausweis zu gebrauchen sei, die Daten auf dem Chip selbst könnten mit dieser Methode nicht verändert oder ausgelesen werden. Der Bundesdatenschutzbeauftragte Peter Schaar forderte das Bundesinnenministerium und die Bürger auf, von Anfang an nur die sichereren aber auch teureren Kartenlesegeräte mit integrierter Tastatur einzusetzen.

(dpa/futurezone/AFP)