Der große Fehler

Wenn ein Benutzer "den großen Fehler" mache, den elektronischen Personalausweis länger als nötig in einem Lesegerät zu lassen, könne sich ein Angreifer im Besitz der PIN tatsächlich für ihn ausgeben, zum Beispiel bei Altersverifizierungsdiensten, räumte BSI-Experte Jens Bender am Mittwoch ein. Allerdings könne ein Online-Krimineller dabei keine Geschäfte im Internet abschließen, weil dafür eine separate Signatur-Funktion aktiviert werden müsse. Die Signatur ist durch eine zweite PIN geschützt, die ausschließlich direkt an einem Lesegerät mit integrierter Tastatur eingegeben werden könne.

Unter keinen Umständen könne ein Angreifer Einblick in die persönlichen Daten des Ausweis-Inhabers bekommen, da sie verschlüsselt übermittelt würden, betonte Bender.

Es sei tatsächlich möglich, bei einem Angriff eine bekannte PIN zu verändern, sagte Bender. Es sei jedoch ein wenig wahrscheinliches Szenario - "da der Besitzer damit sofort merkt, dass etwas nicht stimmt". Das BSI betont, dass auch mit den bekannten Schwächen einfacher Lesegeräte das Authentifizierungsverfahren mit einem elektronischen Personalausweis deutlich sicherer sei als heute Kombinationen aus Benutzername und Passwort.

Der Personalausweis werde wie geplant eingeführt, es seien keine zusätzlichen Sicherheitsmaßnahmen angesichts der aktuellen Diskussionen geplant, sagte Bender. Die Behörde weist immer wieder darauf hin, dass den Schutz ihrer Computer vor Schadsoftware auf dem aktuellsten Stand halten müssen, um keine Trojaner-Angriffe zuzulassen. (dpa/ajf)