Datenschutz: Personalausweis kommt trotz Sicherheitslücken

Der Chaos Computer Club (CCC) hat in Zusammenarbeit mit dem WDR zum wiederholten Mal Sicherheitslücken bei der Verwendung des neuen elektronischen Personalausweises festgestellt. Der CCC hat nachgewiesen, dass Kriminelle bei einfachen Lesegeräten die geheime Pin stehlen und für Betrügereien nutzen können – ohne, dass sie im Besitz des Ausweises sind. Es reicht, dass der Ausweis im Lesegerät steckt. Ein solches einfaches Basis-Lesegerät liest zur Identifizierung im Netz den Chip im neuen Personalausweis und der Nutzer tippt zusätzlich eine Pin-Nummer über die Tastatur seines Computers ein. Wenn der Computer nun mit Spionagesoftware befallen ist, kann diese die Nummerneingabe mitlesen. Hacker können die Pin benutzen, solange sich der Ausweis im Kartenleser befindet. Die Computerspezialisten konnten mit einem Kartenprototyp Waren im Internet bestellen, die Pin-Nummer nach Belieben ändern und sogar die ganze Karte sperren. „Diese technischen Angriffe sind simpel genug, um von gemeinen Online–Kriminellen problemlos beherrscht zu werden“, sagte CCC-Sprecher Dirk Engling.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte diese Sicherheitslücken. Es verwies darauf, dass ein gegen Schadsoftware geschützter Computer die Voraussetzung für alle Online-Aktivitäten sei. „Aber mit dem Ausweis ist man im Netz trotzdem sehr viel sicherer unterwegs, als momentan rein mit Nutzername und Passwort“, sagte Manuel Bach, Personalausweis–Experte beim BSI. Er betonte zudem, dass für den Abschluss von Kaufverträgen eine elektronische Signatur benötigt werde, die nur mit höherwertigen Lesegeräten geleistet werden kann.

Mit diesen Standard- oder Komfortlesegeräten kann das Problem des Pin-Diebstahls umgangen werden, denn sie haben eine eingebaute Tastatur. Die Nummerneingabe kann nicht über den Computer mitgelesen werden. Doch diese Geräte sind teurer – statt 14 Euro für den Basisleser muss der Nutzer für die besseren Geräte 50 bis 100 Euro zahlen, schätzt das BSI. Die Behörden halten trotz der Sicherheitslücken an der fristgerechten Einführung des Ausweises fest.