computerwoche.de

Security

Sicherheit für den ePA-Ausweis

Personalausweis - Experten warnen

25.08.2010
Von 
Jan-Bernd Meyer betreute als leitender Redakteur Sonderpublikationen und -projekte der COMPUTERWOCHE. Auch für die im Auftrag der Deutschen Messe AG publizierten "CeBIT News" war Meyer zuständig. Inhaltlich betreute er darüber hinaus Hardware- und Green-IT- bzw. Nachhaltigkeitsthemen sowie alles was mit politischen Hintergründen in der ITK-Szene zu tun hat.
Alle Posts des Autors Email:
Auch der Bundesdatenschutzbeauftragte Peter Schaar hält den ab November 2010 verfügbaren Personalausweis (ePA) für sicher. Das aber stimmt nicht.

Der Bundesdatenschutzbeauftragte Peter Schaar hält den ab November 2010 verfügbaren mit RFID-Chip ausgestatteten Personalausweis (ePA) für sicher. Das glauben nicht alle. Schaar sagte bei der Vorstellung des Ausweises, da die Daten verschlüsselt würden, könnten sie auch nur mit bestimmten Berechtigungen abgerufen werden. Zudem habe das Bundesamt für die Sicherheit in der Informationstechnik (BSI) den Ausweis und seine Sicherheitscharakteristika sehr gründlich überprüft. Nur wenn der Personalausweis gestohlen werde, könnten die darauf deponierten Daten möglicherweise gefährdet sein.

Demgegenüber hatte Sicherheitsexperte Gunnar Porada gegenüber der COMPUTERWOCHE schon vor Wochen erhebliche Zweifel an der Sicherheit des elektronischen Ausweisdokuments geäußert (siehe unten).

Das ARD-Magazin "Plusminus" hatte in seiner Sendung vom 23.8.2010 darauf hingewiesen, dass im Sicherheitssystem des neuen Personalausweises, der am 1. November 2010 eingeführt wird, gravierende Mängel festgestellt worden seien. In Zusammenarbeit mit dem Chaos Computerclub hatte die Redaktion Testversionen der Basis-Lesegeräte unter die Lupe genommen. Für Betrüger sei es demnach problemlos möglich, geheime Daten abzufangen - inklusive der geheimen PIN-Nummer. Die Lesegeräte sind nötig, wenn man den neuen Personalausweis am heimischen Computer nutzen wolle und sich somit für die Abwicklung von Internet-Geschäften zu identifizieren.

Lückenlose biometrische Erfassung

Frank Rosengart vom Chaos Computer Club (CCC) hatte gegenüber COMPUTERWOCHE-Online noch geäußert: "In der Tat ist die Spezifikation des neuen Personalausweises nach einigen Nachbesserungen durchaus auf dem aktuellen Stand der Technik. Ob die konkrete Umsetzung dann auch dem entspricht, wissen wir natürlich noch nicht." Jetzt scheinen sich auch beim CCC erhebliche zweifel an der Sicherheit des e-Perso einzustellen.

Zudem befürchtet der CCC die "lückenlose biometrische Erfassung der Bevölkerung". Die Berliner sprechen denn auch ironisch von der "Wirtschaftsidentifikationskarte".

Ärgerlich: Der Preis

Bei dieser sei schließlich auch der sehr hohe Preis ärgerlich. Der E-Perso wird die Bundesbürger 28,80 Euro kosten. Das ist mehr als dreimal so viel, wie der bisherige Ausweis kostete (acht Euro). Ist die "antragstellende Person" unter 24 Jahre alt , zahlt sie lediglich 22,80 Euro. Für "Bedürftige" liegt es in der Entscheidung der Bundesländer, ob eine Gebührenreduzierung oder -befreiung möglich ist.

Die Preiserhöhung sei gerechtfertigt, kommentierte Bundesinnenminister Thomas de Maizière (CDU). Schließlich lasse sich mit dem neuen Ausweis deutlich mehr machen als mit dem alten.

Das Bundesinnenministerium sagt

Der neue Ausweis enthalte wie der alte Sicherheitsmerkmale, die die Fälschungssicherheit erhöhen. Hierzu zählen Sicherheitsdruck mit mehrfarbigen feinen Linienstrukturen (so genannte Guillochen) und Mikroschriften, Oberflächenprägungen, ein integrierter Sicherheitsfaden sowie Hologramme und Kippbilder. Neu sind die zwei Angaben Postleitzahl sowie der Ordens- oder Künstlername. Neu ist auch eine sechsstellige Zugangsnummer auf der Vorderseite, die der Ausweisinhaber benötigt, wenn er seine PIN zweimal falsch eingegeben hat. Der Ausweis besitzt einen RFID-Chip, der die Daten des Ausweises sendet.