Der Bundesdatenschutzbeauftragte Peter Schaar hält den neuen, mit einem RFID-Chip ausgestatteten Personalausweis (nPA) für sicher. Schließlich würden die Daten verschlüsselt und könnten nur mit bestimmten Berechtigungen abgerufen werden. Zudem habe das Bundesamt für die Sicherheit in der Informationstechnik (BSI) den Ausweis und seine Sicherheitscharakteristika überprüft.
Andere, wie der Sicherheitsexperte Gunnar Porada, äußerten dagegen im Gespräch mit der COMPUTERWOCHE erhebliche Zweifel an der Sicherheit des Ausweisdokuments.
Seit das ARD-Magazin "Plusminus" im August auf gravierende Mängel man im Sicherheitssystem des neuen Personalausweises stieß, reißt die Diskussion nicht ab. In Zusammenarbeit mit dem Chaos Computer Club hatte die Redaktion Testversionen der Basis-Lesegeräte unter die Lupe genommen. Für Betrüger sei es demnach nicht schwierig, geheime Daten abzufangen - inklusive der PIN-Nummer. Die Lesegeräte sind nötig, wenn man den neuen Personalausweis am heimischen Computer nutzen will, um sich für die Abwicklung von Internet-Geschäften zu identifizieren. Die Schwachstelle war dabei aber nicht der nPA an sich, sondern ein infizierter PC mit Keylogger.
Das Bundesinnenministerium hält dagegen, dass der Nutzer entscheide, welche Daten des Ausweises im Internet beispielsweise an Online-Shops übermittelt werden. Zudem könne der Benutzer die Online-Ausweisfunktion ein- oder ausschalten lassen. Nach Erhalt des neuen Personalausweises kann der Besitzer ferner ein so genanntes Signaturzertifikat erwerben und auf den Ausweis nachladen. Es dient als qualifizierte elektronische Unterschrift.
Foto: Porada
Während das Ministerium von einer "maximalen Sicherheit für Ihre Daten" spricht, haben aber auch einige Sicherheitsexperten ein generelles Problem mit dem Dokument.
Allerdings, so schränkt Security-Berater Porada ein, gelten die Vorbehalte nicht nur dem nPA, sondern beispielsweise auch dem Online-Banking. Ist der PC des Benutzers mit Schadsoftware infiziert, kann diese die Kommunikation zwischen dem Computer und dem Personalausweis abfangen und nach Belieben manipulieren. Porada: "Der Personalausweis kann missbraucht werden, um vollkommen andere Dokumente als vom Benutzer ursprünglich ausgewählt rechtsgültig zu signieren."
Der Sicherheitsspezialist, der an einem Testlauf für den Personalausweis teilnahm, erhielt von den Behörden ein relativ simples RFID-Lesegerät. Dieser Reader besitzt keinerlei Eingabemöglichkeiten wie etwa eine Tastatur. Er liest lediglich alle Daten des Personalausweises aus und leitet diese an den PC weiter. Dort agiert dann die "Ausweis-App", die zu Beginn der Testphase noch "Bürgerclient" hieß. Diese Middleware soll mit der Smartcard, hier dem Personalausweis, und beispielsweise mit Web-Applikationen im Internet kommunizieren - also beispielsweise einem Online-Shop, einer Bank oder einer Website, die einen Altersnachweis erfordert.
PIN ist Schwachstelle
Grundsätzlich soll der Zugriff auf den Personalausweis durch die Eingabe einer sechsstelligen PIN abgesichert werden. Hier ist die Schwachstelle des Verfahrens, sagt Porada: "Um die Daten des Personalausweises an meinem PC auslesen zu können, muss ich zunächst die PIN am Computer eingeben. Aber solche PIN-Eingaben am Computer können von Key-Loggern recht leicht mitgelesen und danach durch Trojaner automatisch eingegeben werden."
Porada hat zu Demonstrationszwecken einen Beispiel-Trojaner entwickelt, der die PIN-Eingabe mitliest. Sobald der Ausweis auf das Lesegerät gelegt und vom Reader erkannt wird, aktiviert sich die Schadsoftware. Porada: "Jedes Mal, wenn ich dann meinen Personalausweis für irgendeine Aktion im Internet nutze, protokolliert der Trojaner mit und kann darüber hinaus Dinge machen, die ich gar nicht kontrollieren kann."
Spannend wird es bei der Frage, ob man einen Trojaner so schreiben kann, dass dieser, ist er einmal auf dem Rechner platziert, auch dann mit den vom Personalausweis abgesaugten Daten operieren kann, wenn der Ausweis nicht auf dem Reader liegt.
Ein weiteres Problem stellt sich mit der elektronischen Signatur des Ausweis. Und auch dieses ist nicht nur auf den Personalausweis beschränkt, sondern allgemeiner Natur. Es gibt heute schon Karten, die rechtsgültig signieren können, weil sie eine qualifizierte Signatur beinhalten. Ein Anbieter solcher Karten ist beispielsweise D-TRUST.
Signieren: Stochern im Nebel
Auch bei dieser Anwendung zum rechtsgültigen Signieren mit einer Smart Card ist die Schwierigkeit, dass der Benutzer nicht sieht, was er tatsächlich signiert. Er liest alle Informationen nur auf dem Computerbildschirm. Diese können jedoch ebenfalls durch Schadsoftware auf dem PC manipuliert sein.
Porada beschreibt einen denkbaren Fall: "Sie wollen ein Word-Dokument signieren. Die Ausweis-App-Middleware hat eine Funktion, mit der dieses Word-Dokument an die Smartcard oder eben den Personalausweis geschickt wird." Hierbei muss der Anwender wieder seine PIN eingeben. Danach sind die Daten signiert. Das heißt, so wie die Daten an die Smartcard geschickt wurden, kommen sie wieder zusammen mit der Signaturprüfsumme zurück.
Der Knackpunkt ist aber, dass der Anwender eben nicht sieht, was er wirklich signiert. "Der User sieht auf seinem Bildschirm zwar das Dokument, die E-Mail oder was immer und signiert diese - wie er glaubt. Tatsächlich hat er aber etwas signiert, was ein Trojaner ihm untergeschoben hat," sagt der Sicherheitsberater. Wenn das dann eine Banküberweisung sei, könne das teuer werden. Auf dem Bildschirm sieht der Anwender das Word-Dokument. Signiert hat er aber etwas ganz anderes.
Der Trojaner unterbricht bei diesem Vorgang den Kommunikationskanal (durch DLL-Hooking) zwischen dem Reader des Personalausweises und dem PC und unterlegt heimlich seine eigenen Daten. Die werden dann signiert. "Beweisen Sie einmal vor Gericht, dass Sie eine Banküberweisung oder einen Kaufvertrag gar nicht signiert haben", warnt Porada.
Achtung, Begehrlichkeiten!
Die Behörden kennen das Problem, für das es noch keine Lösungen gibt - anders als beim Online-Banking. Dort kann man den Reader mit einem Display und einem PIN-Pad ausstatten, dass jede Überweisung auf dem Reader anzeigt und dort noch mal bestätigt werden muss. Beim Online-Banking, bei dem nur ganz wenige Informationen wie PIN und TAN auf dem Display angezeigt werden müssen, geht das auch. "Wenn Sie aber große Dokumente signieren und dann auch anzeigen wollen auf einem Readerdisplay, brauchen sie schlicht größere Displays etwa für RFID-Reader wie für den Personalausweis." Die aber gibt es noch nicht in der Form, dass sie Angriffen mit Schadsoftware standhalten würden. Ein Handy mit seinem Display wäre beispielsweise - zumindest heute noch - nicht geeignet.
Abhängig von der Art, wie beispielsweise die Zertifikatsabfragen bei dem Personalausweis realisiert werden, wird vermutlich der Betreiber, also der Staat, zudem jede einzelne Handlung einsehen können, die im Zusammenhang mit dem Personalausweis getätigt wird. Dabei wird etwa zentral gespeichert, wann man wem wie viel Geld überwiesen hat, welche Farbe die Socken haben, die man online gekauft hat, wann man sich welchen Film angesehen hat usw. Deshalb warnt Porada: "Wenn bei Personaleinstellungen heute schon negative Schufaauskünfte dazu führen, den Job nicht zu bekommen (Beispiel wäre hier Lidl), dann kann man sich vorstellen, welche Begehrlichkeiten diese Daten wecken werden und welche negativen Auswirkungen das künftig haben wird." (jm/hi)