zur Navigation springen

Chaos Computer Club stellt Sicherheit in Frage : Wie sicher ist der ePerso?

vom

Der Chaos Computer Club hat die Sicherheit des elektronischen Personalausweises in Deutschlands erneut in Frage gestellt. Hintergründe zur Debatte um den "ePerso" wurden hier zusammengestellt.

svz.de von
erstellt am 17.Sep.2013 | 05:25 Uhr

Der Chaos Computer Club hat die Sicherheit des elektronischen Personalausweises in Deutschlands erneut in Frage gestellt. Die Experten des Clubs kritisieren massiv die Antwort des Bundesinnenministeriums auf eine Anfrage des Bundestagsabgeordneten Jan Korte (Die Linke). In dem Schreiben hatte das Ministerium vor einer Woche festgestellt, es habe in den drei Jahren seit der Einführung keinerlei Vorfälle gegeben, die Zweifel an der Sicherheit des eingebauten Chips und der in ihm gespeicherten Daten hervorriefen. Der Chip-Ausweis sei mit "dauerhaft wirksamen Verschlüsselungsverfahren" sicher geschützt.Der Club erklärte nun, nicht nur angesichts der bekanntgewordenen Angriffe verschiedener Geheimdienste auf die Sicherheit kryptographischer Anwendungen müsse die Frage neu bewertet werden, wie "dauerhaft" ein Verschlüsselungsverfahren Daten sichere.

Die Haltbarkeit von Schlüssellängen verschiedener Verfahren habe sich in der gesamten Geschichte der Kryptographie stets als wenig "dauerhaft" erwiesen. "Den Vogel schießt das Bundesinnenministerium allerdings mit der Behauptung ab, der Bürger könne sich doch , durch regelmäßige Aktualisierung des Betriebssystems, ein aktuelles Virenschutzprogramm sowie eine Firewall schützen", so der Club in seiner Erklärung. Diese Behauptung sei nicht nur vielfach widerlegt, sondern schiebe die Verantwortlichkeit einfach auf den Bürger ab, kritisieren die Computerexperten.

Hintergründe zur Debatte um den "ePerso" hat Jessica Binsch zusammengestellt.


Welche Daten speichert der "ePerso"?

Den elektronischen Personalausweis gibt es in Deutschland seit November 2010. Auf dem Chip der Plastikkarte werden die Ausweisdaten gespeichert, Besitzer können freiwillig auch ihre Fingerabdrücke abgeben.


Was kann man damit machen?

Der "ePerso" ist einmal ein herkömmliches Ausweisdokument. Gleichzeitig können sich Besitzer damit bei einigen wenigen Internet-Geschäften identifizieren oder Verträge rechtsverbindlich digital unterzeichnen. Damit Besitzer diese Funktionen nutzen können, brauchen sie ein Kartenlesegerät, das zu Hause an den Personal Computer angeschlossen wird. Das liest die gespeicherten Informationen aus dem "ePerso" aus und überträgt sie über das Internet an einen Online-Shop oder eine Behörde - sofern diese den "ePerso" annimmt.


Was kritisieren die Computerexperten daran?

Die Schwachstelle, die der Chaos Computer Club erneut anprangert, ist die einfachste Variante der Kartenlesegeräte. Dieses Lesegerät wurde zum Teil kostenlos abgegeben, hat aber keine eigene Tastatur. Die Daten wie die geheime PIN müssen über die PC-Tastatur eingegeben werden. Diese Eingabe können Kriminellen theoretisch mit einem so genannten "Keylogger" abgreifen, wenn sie den Computer zuvor mit einer Schadsoftware infiziert haben.


Wie können sich Bürger dagegen schützen?

Wer seine Daten aus dem elektronischen Personalausweis sicher übermitteln will, sollte besser ein Kartenlesegerät mit eigenem Display und integrierter Tastatur nutzen. Das macht es Angreifern viel schwerer, die Eingabe des PINs abzugreifen.

Der Chaos Computer Club sieht allerdings eine weitere Schwachstelle: Ob die vom Ausweis übertragenen Informationen sicher verschlüsselt seien, müsse nach den Enthüllungen von Edward Snowden "neu bewertet werden". Snowdens Dokumente zeigen Medienberichten zufolge, dass der US-Geheimdienst NSA einige gängige Verschlüsselungsmethoden im Internet knacken kann.


Was sagt die Bundesregierung zu den Meldungen, dass der "ePerso" "gehackt" worden sei?

Das Bundesinnenministerium in Berlin betont, dass es seit der Einführung des neuen Personalausweises seit 2010 "keinerlei Vorfälle (gegeben hat), die Zweifel an der Sicherheit des Chips und der in ihm gespeicherten Daten hervorrufen". Die Online-Funktionen des "ePersos" seien wesentlich sicherer als ein Benutzername mit Passwort, heißt es aus dem Ministerium.


Wie viel hat die Einführung des "ePerso" bisher gekostet?

Bis Ende 2011 hat die Bundesregierung 16,6 Millionen Euro für die Einführung ausgegeben, erklärte das Bundesinnenministerium in seiner Antwort an den Linken-Abgeordneten Jan Korte. Bereits in den beiden Jahren davor wurden 41 Mio. Euro ausgegeben, um die Verbreitung von Online-Ausweisfunktionen zu fördern. Bisher bieten vor allem Behörden solche Dienste an.

zur Startseite

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen