zur Navigation springen
Übersicht

20. November 2017 | 10:37 Uhr

Personalausweis mit Restrisiken

vom

svz.de von
erstellt am 21.Okt.2010 | 06:47 Uhr

Schwerin | Am 1. November kommt der neue Personalausweis. Doch nicht nur die Mitarbeiter der Meldebehörden stehen in den Startlöchern, um das Dokument auszustellen. Auch für Hacker ist die neue Hightech-Identifikationskarte eine Herausforderung. Denn obwohl das Bundesinnenministerium die Sicherheit des Dokuments in Chipkartenformat immer wieder betont, warnen Datenschützer vor den Restrisiken. Als große Neuheit ermöglicht der Personalausweis, sich per Kartenlesegerät und Pin in der virtuellen Welt des World Wide Web auszuweisen. Und hier gibt es eine Sicherheitslücke, durch die Hacker Zugang zu den auf der Karte gespeicherten Daten finden könnten.

Die sechsstellige Pin: Schlüssel im Internet

"Wie sicher der neue Personalausweis heute ist, wissen wir", sagt Karsten Neumann, Landesbeauftragter für Datenschutz in Mecklenburg-Vorpommern. "Wie sicher das Dokument jedoch noch in einem Monat sein wird, darüber können wir nur spekulieren." Denn bis die neue Technologie von Hackern ausgekundschaftet ist, sei es nur eine Frage der Zeit. Ob die Sicherheit des Systems durchgängig gewährleistet werden kann, hält Neumann noch für fraglich. Deshalb mahnt der Datenschützer zu großer Vorsicht und Sorgfalt im Umgang mit der Internetfunktion des neuen Personalausweises.

Die Plastikkarte enthält einen Chip. Mit Hilfe eines Kartenlesegerätes kann ein Teil der darauf gespeicherten Personendaten im Internet verwendet werden. So soll es möglich werden, die eigene Identität auch online nachzuweisen. Dazu muss eine sechsstellige Pin eingegeben werden. Danach können bestimmte Daten wie Vorname, Nachname, Adresse oder Alter von Internet-Dienstanbietern gelesen werden. Dadurch soll es beispielsweise möglich werden, auch virtuell eindeutig überprüfen zu können, ob der Nutzer eines Online-Angebotes bereits volljährig ist. Ein weiterer Bereich auf dem Chip ist für die elektronische Signatur vorgesehen. So soll der neue Personalausweis Internetgeschäfte sicherer machen.

Der Computer zu Hause: Oft eine Fehlerquelle

Aber: "Der Personalausweis ist so sicher, wie derjenige, der damit umgeht und wie der Computer, den er benutzt", betont Neumann. Hier liegt die erste Schwachstelle. Sollte der Rechner, von dem aus sich ein Nutzer ins Internet einwählt, bereits Sicherheitslücken aufweisen, können Fremde darüber leicht auf die Daten zurückgreifen, die auf dem Computer gespeichert sind. So auch auf die des Personalausweises, der über den Rechner eingelesen wird. Diese Sicherheitsmängel vermutet Datenschützer Neumann auf einem Großteil der privaten Rechner. Nur ein optimaler Schutz vor externen Zugriffen mache den Einsatz des neuen Personalausweises am heimischen PC sicher. Das heißt: Regelmäßige Updates, ein aktueller Virenschutz und eine funktionierende Firewall sind unerlässlich.

Ein zweiter Risikofaktor sind die Lesegeräte, die für die Verwendung des Dokuments im Internet nötig sind. Hiervon gibt es Basis-, Standard- und Komfort-Modelle mit unterschiedlichem Sicherheitsgrad. Beim Basisgerät erfolgt die Eingabe der Pin über die PC-Tastatur. Die Standard- und Komfort-Lesegeräte hingegen verfügen über eine eigene Tastatur zur Pin-Eingabe und ein Display. Die Modelle der gehobeneren Preisklasse unterstützen neben der Ausweisfunktion auch die Online-Unterschriftsfunktion - die so genannte qualifizierte elektronische Signatur (QES). Die Basis-Geräte hingegen werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) lediglich für die Nutzung der Ausweis-Funktion empfohlen.

Das Lesegerät: Lieber mehr investieren

Mecklenburg-Vorpommerns Datenschützer raten sogar generell von der Nutzung der preisgünstigeren Basis-Kartenlesegeräte ab. Viel zu unsicher, lautet ihr Resümee. Experten des Instituts für Internet-Sicherheit an der Fachhochschule Gelsenkirchen haben die Lesegeräte getestet und kommen ebenfalls zu dem Ergebnis: Die fehlende Tastatur der Basis-Geräte ermöglicht es Hackern, die Pin eines Personalausweises während der Eingabe über die Computertastatur mitzulesen. Die Internet-Angreifer könnten so die Identität des Ausweisbesitzers missbrauchen. Die Standard- und Komfort-Geräte verhindern ein Mitlesen der Pin. Bei den Komfort-Lesern werden darüber hinaus das virtuelle Gegenüber sowie dessen Berechtigungen angezeigt. Vom BSI zertifizierte Geräte sind daran zu erkennen, dass sie das Personalausweis-Logo, bestehend aus einem grünen und einem blauen Halbkreis, tragen.

Starter Kit: Ministerium verteilt Billig-Variante

Auf die Kommunen rollt mit der Einführung des neuen Personalausweises ein enormer Mehraufwand zu. Datenschutz-Referent Gabriel Schulz schätzt, dass sich die Beratungszeit etwa verfünffacht. Schließlich müssen die Mitarbeiter der Meldeämter die Bürger über Sicherheitsrisiken, die verschiedenen Funktionen und das Sperren des Ausweises aufklären. Vorab gab es dafür Online-Schulungen.

Übrigens: Der Bund verteilt etwa 1,5 Millionen kostenfreie oder vergünstigte Starter Kits zur Einführung des neuen Personalausweises. So soll die Verfügbarkeit der Lesegeräte gefördert werden. Das lässt sich der Bund 24 Millionen Euro aus dem Konjunkturpaket II kosten. In den Paketen enthalten sind Informationen zur Nutzung der Chipkarte, Software - und das von den Sicherheitsexperten kritisierte Basis-Kartenlesegerät.

zur Startseite

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen