Der Bundesdatenschutzbeauftragte Peter Schaar hält den neuen, mit einem RFID-Chip ausgestatteten Personalausweis (nPA) für sicher. Schließlich würden die Daten verschlüsselt und könnten nur mit bestimmten Berechtigungen abgerufen werden. Zudem habe das Bundesamt für die Sicherheit in der Informationstechnik (BSI) den Ausweis und seine Sicherheitscharakteristika überprüft.
Andere, wie der Sicherheitsexperte Gunnar Porada, äußerten dagegen im Gespräch mit der COMPUTERWOCHE erhebliche Zweifel an der Sicherheit des Ausweisdokuments.
Seit das ARD-Magazin "Plusminus" im August auf gravierende Mängel man im Sicherheitssystem des neuen Personalausweises stieß, reißt die Diskussion nicht ab. In Zusammenarbeit mit dem Chaos Computer Club hatte die Redaktion Testversionen der Basis-Lesegeräte unter die Lupe genommen. Für Betrüger sei es demnach nicht schwierig, geheime Daten abzufangen - inklusive der PIN-Nummer. Die Lesegeräte sind nötig, wenn man den neuen Personalausweis am heimischen Computer nutzen will, um sich für die Abwicklung von Internet-Geschäften zu identifizieren. Die Schwachstelle war dabei aber nicht der nPA an sich, sondern ein infizierter PC mit Keylogger.
Das Bundesinnenministerium hält dagegen, dass der Nutzer entscheide, welche Daten des Ausweises im Internet beispielsweise an Online-Shops übermittelt werden. Zudem könne der Benutzer die Online-Ausweisfunktion ein- oder ausschalten lassen. Nach Erhalt des neuen Personalausweises kann der Besitzer ferner ein so genanntes Signaturzertifikat erwerben und auf den Ausweis nachladen. Es dient als qualifizierte elektronische Unterschrift.
Während das Ministerium von einer "maximalen Sicherheit für Ihre Daten" spricht, haben aber auch einige Sicherheitsexperten ein generelles Problem mit dem Dokument.
Allerdings, so schränkt Security-Berater Porada ein, gelten die Vorbehalte nicht nur dem nPA, sondern beispielsweise auch dem Online-Banking. Ist der PC des Benutzers mit Schadsoftware infiziert, kann diese die Kommunikation zwischen dem Computer und dem Personalausweis abfangen und nach Belieben manipulieren. Porada: "Der Personalausweis kann missbraucht werden, um vollkommen andere Dokumente als vom Benutzer ursprünglich ausgewählt rechtsgültig zu signieren."
Der Sicherheitsspezialist, der an einem Testlauf für den Personalausweis teilnahm, erhielt von den Behörden ein relativ simples RFID-Lesegerät. Dieser Reader besitzt keinerlei Eingabemöglichkeiten wie etwa eine Tastatur. Er liest lediglich alle Daten des Personalausweises aus und leitet diese an den PC weiter. Dort agiert dann die "Ausweis-App", die zu Beginn der Testphase noch "Bürgerclient" hieß. Diese Middleware soll mit der Smartcard, hier dem Personalausweis, und beispielsweise mit Web-Applikationen im Internet kommunizieren - also beispielsweise einem Online-Shop, einer Bank oder einer Website, die einen Altersnachweis erfordert.