computerwoche.de

Security

Sicherheit für den ePA-Ausweis

Personalausweis - Experten warnen

25.08.2010
Von 
Jan-Bernd Meyer betreute als leitender Redakteur Sonderpublikationen und -projekte der COMPUTERWOCHE. Auch für die im Auftrag der Deutschen Messe AG publizierten "CeBIT News" war Meyer zuständig. Inhaltlich betreute er darüber hinaus Hardware- und Green-IT- bzw. Nachhaltigkeitsthemen sowie alles was mit politischen Hintergründen in der ITK-Szene zu tun hat.
Alle Posts des Autors Email:

Der Trojaner liest alle Angaben des Ausweises mit

"Ist dies der Fall, liest ein Trojaner alle Angaben des Ausweises einfach mit, ohne dass der Benutzer es merkt." Ein auf dem Rechner platzierter Trojaner ist dabei immer aktiv. Sobald der Ausweis vom Reader erkannt wird beziehungsweise auf das Lesegerät gelegt wird, aktiviert sich die Schadsoftware selbständig. Porada: "Jedes Mal, wenn ich dann meinen Personalausweis für irgendeine Aktion im Internet nutze, protokolliert der Trojaner mit und kann darüber hinaus Dinge machen, die ich gar nicht kontrollieren kann."

Spannend wird es bei der Frage, ob man einen Trojaner so schreiben kann, dass dieser, ist er einmal auf dem Rechner platziert, auch dann mit den vom Personalausweis abgesaugten Daten operieren kann, wenn dieser Ausweis nicht auf dem Reader liegt.

Geklonte Reisepässe

Nicht beim Personalausweis, jedoch beim Reisepass, der ja bereits mit biometrischen Merkmalen versehen ist, hatte ein holländischer Spezialist vorgemacht, dass man einen Ausweis tatsächlich quasi klonen kann. Das bedeutet, dass ein Hacker irgendwo in der Welt sich mit fremden Daten ausweisen und sonstige Operationen erledigen kann, bei denen eine Identifizierung nötig ist. Erklärt Porada: "Allerdings waren die Daten auf dem Reisepass nicht mit einer Signatur versehen und abgesichert. Der Trick des Holländers war, sich die Tatsache zueigen gemacht zu haben, dass diverse Prüfgeräte wie beispielsweise am Flughafen dieses Sicherheitsmerkmal gar nicht nutzten.

Werden die Daten des Personalausweises bei jedem Online-Vorgang verifiziert, dürfte es nicht so leicht möglich sein, diesen Ausweis zu klonen.

Spätestens aber, wenn man den Ausweis am PC nutzt und auf den Reader legt, gibt es ein Problem. "Mir als Benutzer dürfte es sehr schwer fallen nachzuweisen, dass ich nicht Schuld war, wenn meine Daten missbraucht wurden - etwa durch einen Trojaner. Dann zu beweisen, dass man Eingaben nicht gemacht hat, mit denen beispielsweise ein Online-Einkauf besiegelt wurde, dürfte vor Gericht schwer werden. Denn man hat ja eine korrekte PIN eingegeben und nur man selbst ist im Besitz des Personalausweises.

Prinzipiell gibt es aber die Möglichkeit, ein Signaturzertifikat zu erwerben und dieses auf den Ausweis nachladen. Voraussetzung ist hier allerdings, dass die Ausweisfunktion eingeschaltet ist. Mit einer elektronischen Unterschrift lassen sich Dokumente dann elektronisch signieren.

Aber auch hier stellt sich ein Problem. Und auch dieses ist nicht nur auf den Personalausweis beschränkt, sondern allgemeiner Natur. Es gibt heute schon Signaturkarten, die rechtsgültig signieren können, weil sie eine qualifizierte Signatur beinhalten. Ein Anbieter solcher Karten ist beispielsweise D-TRUST.