Anders als BMI

Chaos Computer Club hält elektronischen Personalausweis für unsicher

16.09.2013
Das Bundesinnenministerium hat in der Antwort auf eine Anfrage des Linken-Abgeordneten Jan Korte dem elektronischen Personalausweis erneut ein Sicherheits-Siegel ausgestellt. Die Hacker des Chaos Computer Clubs halten das für Unsinn.

Der Chaos Computer Club hat die Sicherheit des elektronischen Personalausweises in Deutschlands erneut in Frage gestellt. Die Experten des Clubs kritisierten am Montag in Berlin massiv die Antwort des Bundesinnenministeriums auf eine Anfrage des Bundestagsabgeordneten Jan Korte (Die Linke). In dem Schreiben (PDF-Link) hatte das Ministerium vor einer Woche festgestellt, es habe in den drei Jahren seit der Einführung keinerlei Vorfälle gegeben, die Zweifel an der Sicherheit des eingebauten Chips und der in ihm gespeicherten Daten hervorriefen. Der Chip-Ausweis sei mit "dauerhaft wirksamen Verschlüsselungsverfahren" sicher geschützt.

Die Abgabe der Finderabdrücke für den nPA ist laut CCC freiwillig, genauso wie das Aktivieren der Online-Ausweisfunktion.
Die Abgabe der Finderabdrücke für den nPA ist laut CCC freiwillig, genauso wie das Aktivieren der Online-Ausweisfunktion.
Foto: BMI

Der Club erklärte nun, nicht nur angesichts der bekanntgewordenen Angriffe verschiedener Geheimdienste auf die Sicherheit kryptographischer Anwendungen müsse die Frage neu bewertet werden, wie "dauerhaft" ein Verschlüsselungsverfahren Daten sichere. Die Haltbarkeit von Schlüssellängen verschiedener Verfahren habe sich in der gesamten Geschichte der Kryptographie stets als wenig "dauerhaft" erwiesen. "Den Vogel schießt das Bundesinnenministerium allerdings mit der Behauptung ab, der Bürger könne sich doch "durch regelmäßige Aktualisierung des Betriebssystems, ein aktuelles Virenschutzprogramm sowie eine Firewall schützen"", heißt es in der Erklärung des Clubs weiter. Diese Behauptung sei nicht nur vielfach widerlegt, sondern schiebe die Verantwortlichkeit einfach auf den Bürger ab.

Der Bundestagsabgeordnete Korte bezog sich in seiner Anfrage auf eine Sendung des ARD-Magazins "Report München", in dem die Rede davon war, dass der neue Personalausweis (nPA) "gehackt" worden sei. Das Innenministerium wies diese Behauptung zurück. In dem TV-Beitrag war erneut gezeigt worden, dass ein PC, der mit einem einfachen Kartenleser für das Auslesen des "ePersos" ausgestattet ist, durch Schadsoftware so manipuliert werden könne, dass ein Missbrauch des Ausweises möglich sei.

Datenschützer hatten bereits zur Einführung des neuen Personalausweises im November 2010 davor gewarnt, bei Online-Transaktionen ein einfaches Kartenlese-Geräte zu verwenden. Statt des einfachen Kartenlesers sollten die Bürger besser die Geräte nutzen, die über eine eigene Tastatur und ein Display zur Eingabe der Persönlichen Identifikationsnummer (PIN) verfügen. (dpa/tc)