nPA in der Kritik

Die Gefahren des neuen Personalausweises

Jan-Bernd Meyer
Jan-Bernd Meyer betreut als leitender Redakteur Sonderpublikationen und -projekte der COMPUTERWOCHE - darunter das jährlich erscheinende Magazin Top 100, das einen detaillierten Marktüberblick über alle relevanten B2B-Bereiche der IT gibt. Auch für die im Auftrag der Deutschen Messe AG publizierten "CeBIT News" ist Meyer zuständig. Inhaltlich betreut er darüber hinaus Hardware- und Green-IT- bzw. Nachhaltigkeitsthemen sowie alles was mit politischen Hintergründen in der ITK-Szene zu tun hat.   
Email:
Während die einen vom neuen Personalausweis ein Sicherheits-Plus im Internet-Verkehr erwarten, warnen andere vor Gefahren.

Der Bundesdatenschutzbeauftragte Peter Schaar hält den neuen, mit einem RFID-Chip ausgestatteten Personalausweis (nPA) für sicher. Schließlich würden die Daten verschlüsselt und könnten nur mit bestimmten Berechtigungen abgerufen werden. Zudem habe das Bundesamt für die Sicherheit in der Informationstechnik (BSI) den Ausweis und seine Sicherheitscharakteristika überprüft.

Andere, wie der Sicherheitsexperte Gunnar Porada, äußerten dagegen im Gespräch mit der COMPUTERWOCHE erhebliche Zweifel an der Sicherheit des Ausweisdokuments.

Seit das ARD-Magazin "Plusminus" im August auf gravierende Mängel man im Sicherheitssystem des neuen Personalausweises stieß, reißt die Diskussion nicht ab. In Zusammenarbeit mit dem Chaos Computer Club hatte die Redaktion Testversionen der Basis-Lesegeräte unter die Lupe genommen. Für Betrüger sei es demnach nicht schwierig, geheime Daten abzufangen - inklusive der PIN-Nummer. Die Lesegeräte sind nötig, wenn man den neuen Personalausweis am heimischen Computer nutzen will, um sich für die Abwicklung von Internet-Geschäften zu identifizieren. Die Schwachstelle war dabei aber nicht der nPA an sich, sondern ein infizierter PC mit Keylogger.

Das Bundesinnenministerium hält dagegen, dass der Nutzer entscheide, welche Daten des Ausweises im Internet beispielsweise an Online-Shops übermittelt werden. Zudem könne der Benutzer die Online-Ausweisfunktion ein- oder ausschalten lassen. Nach Erhalt des neuen Personalausweises kann der Besitzer ferner ein so genanntes Signaturzertifikat erwerben und auf den Ausweis nachladen. Es dient als qualifizierte elektronische Unterschrift.

Sicherheitsberater Gunnar Porada warnt vor Sicherheitsdefiziten des nPA.
Sicherheitsberater Gunnar Porada warnt vor Sicherheitsdefiziten des nPA.
Foto: Porada

Während das Ministerium von einer "maximalen Sicherheit für Ihre Daten" spricht, haben aber auch einige Sicherheitsexperten ein generelles Problem mit dem Dokument.

Allerdings, so schränkt Security-Berater Porada ein, gelten die Vorbehalte nicht nur dem nPA, sondern beispielsweise auch dem Online-Banking. Ist der PC des Benutzers mit Schadsoftware infiziert, kann diese die Kommunikation zwischen dem Computer und dem Personalausweis abfangen und nach Belieben manipulieren. Porada: "Der Personalausweis kann missbraucht werden, um vollkommen andere Dokumente als vom Benutzer ursprünglich ausgewählt rechtsgültig zu signieren."

Der Sicherheitsspezialist, der an einem Testlauf für den Personalausweis teilnahm, erhielt von den Behörden ein relativ simples RFID-Lesegerät. Dieser Reader besitzt keinerlei Eingabemöglichkeiten wie etwa eine Tastatur. Er liest lediglich alle Daten des Personalausweises aus und leitet diese an den PC weiter. Dort agiert dann die "Ausweis-App", die zu Beginn der Testphase noch "Bürgerclient" hieß. Diese Middleware soll mit der Smartcard, hier dem Personalausweis, und beispielsweise mit Web-Applikationen im Internet kommunizieren - also beispielsweise einem Online-Shop, einer Bank oder einer Website, die einen Altersnachweis erfordert.

Newsletter 'Netzwerke' bestellen!