Der Chaos Computer Club (CCC) berichtete am Mittwoch über Möglichkeiten, eine bereits bekannte Schwachstelle des Identifizierungssystems im elektronischen Personalausweis auszunutzen. So könne ein Angreifer, der in den Besitz der Ausweis-Geheimnummer (PIN) gekommen sei, sich im Internet für deren Besitzer ausgeben, solange die Karte sich in einem Lesegerät befindet. Auch könne er die PIN des Ausweises verändern.
Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) räumte ein, dass es grundsätzlich möglich ist, beim Einsatz eines einfachen Lesegerätes mit Hilfe einer "Trojaner"-Schadsoftware eine PIN auszuspähen, die am PC eingetippt wird. Dabei wird zum Beispiel über sogenannte "Keylogger" die Abfolge der Eingaben über die Tastatur abgegriffen.
- Personalausweis elektronisch
Der E-Perso kann in Verbindung mit einem PC, auf dem die Middleware "Bürgerclient" aufgespielt ist, als Identifikationssystem genutzt werden. Die Software zeigt dabei für den Anwender wesentliche Informationen zu Diensteanbietern, Berechtigungsnachweisen und Zertifikaten an. - Personalausweis elektronisch
Der Anwender und Besitzer des E-Perso kann entscheiden, welche Daten übermittelt werden dürfen. - Personalausweis elektronisch
Der Anwender muss der Übermittlung von Daten durch die Eingabe seiner PIN-Nummer zugestimmt haben. - Personalausweis elektronisch
Dann werden PIN-Nummer und Berechtigungszertifikat geprüft... - Personalausweis elektronisch
... und dann erst wird die Datenübermittlung abgesegnet. - Personalausweis elektronisch
Ein Icon zeigt an, dass der Anwender via E-Perso "auf Sendung" ist. - Personalausweis elektronisch
So sieht dann beispielsweise ein Desktop aus. - Personalausweis elektronisch
Dann muss angegeben werden, welches Kartenlesegerät benutzt wird. Es gibt billigere und weniger preisgünstige. - Personalausweis elektronisch
Es gibt darüber hinaus verschiedene Optionen, den Bürgerclient zu nutzen. - Personalausweis elektronisch
Nicht ganz unwichtig ist auch, dass der Benutzer seinen PIN-Code ändern kann.
Die Lesegeräte sind nötig, um den neuen Personalausweis am heimischen Computer für die Abwicklung von Internet-Geschäften zu nutzen. Zum Start sponsert das Bundesinnenministerium für 24 Millionen Euro mehr als eine Million der benötigten Lesegeräte. Die Mittel kommen aus dem Konjunkturpaket II. Die einfachen Lesegeräte sollen unter anderem über Computer-Zeitschriften und ausgewählte Banken kostenlos als sogenannte "Starter Kits" verteilt werden.
Experten raten bei sicherheitskritischen Anwendungen zum Einsatz von höherwertigen Lesegeräten (mindestens "Klasse 2"), bei denen die Tastatur zur Eingabe der PIN eingebaut ist. Damit verhindert man eine Eingabe der PIN am PC und ein mögliches Ausspähen der Geheimnummer.