Technisch funktioniert der elektronische Personalausweis so: Der Chip in der Karte ist über Funkwellen mit einem Lesegerät verbunden. Dieser Leser ist mit dem Rechner verbunden. Durch eine PIN gewährt der Nutzer Unternehmen und Behörden online den Zugriff auf die Daten, die auf dem Ausweis gespeichert sind – digitales Lichtbild, Name, Adresse, Geburtsdatum.
Alles bestens, alles klar – beschwören Innenministerium und BSI immer wieder – obwohl Computerexperten schon mal bewiesen haben, dass man die PIN leicht ausschnüffeln kann - das Konzept also nicht sicher ist.
Gestern Abend deckte der Chaos Computer Club im WDR-Fernsehen eine neue, noch viel gravierendere Sicherheitslücke auf. Constanze Kurz, Sprecherin des CCC und Mitglied der Enquetekommission Internet und Gesellschaft des Bundestags, erklärt:
"Wir konnten ja schon früher zeigen, dass man diese einfach rauskriegen kann, abschnüffeln kann, jetzt haben wir gezeigt, dass wir sie ändern können. Das heißt auf einem fremden Rechner anderswo konnten wir Zugriff nehmen, die PIN ändern. Das heißt dann natürlich, dass der Besitzer gar nichts mehr mit seinem Ausweis anfangen kann. Der kennt ja die geänderte PIN nicht. Und zweitens konnten wir im zweiten Schritt zeigen, wir können mit dieser fremden Identität Verträge abschließen. Etwa ein Konto eröffnen, ne Versicherung abschließen einen Film ausleihen, diese Dinge soll man ja mit der elektronischen Identität machen können. Das war sehr leicht möglich."
Fürs Hacken und Abfischen, sagt Constanze Kurz, brauche man nicht mal Fachmann sein, die "Spionage-Software" und alle anderen nötigen Werkzeuge dazu gebe es dutzendfach im Internet. Die elektronische Unterschrift knackten die Experten ersatzweise auf der Swiss ID – einer Schweizer Signaturkarte, auf der ähnlich dem deutschen Ausweis eine elektronische Unterschrift gespeichert ist – mit Erfolg. Die Reaktion aus Berlin - ausweichend:
"Der Bundesinnenminister hat nur gesagt, dass Hacker immer etwas hacken können. Das ist natürlich ehrlich eine peinliche Aussage für ein Ministerium und seine Behörden, die jahrelang an diesem Konzept gearbeitet haben. Jetzt rät das BSI, also der technische Dienstleister, allen Ernstes, man solle diesen Ausweis nicht so lang auf dem Lesegerät lassen. Das ist natürlich ein Armutszeugnis."
Die Pin ausschnüffeln, auf einem fremden Chip schreiben und in fremdem Namen Verträge unterschreiben, und dass alles ohne überhaupt den Ausweis in der Hand zu halten…
"So wie es jetzt aussieht, raten wir dem Bürger, die Identitätsfunktion nicht zu benutzen. Man jubelt dem Bürger damit tatsächlich eine Sicherheitslücke unter, in dem man ihm dieses Lesegerät gibt und ihm sagt, es sei sicher."
.
Die Sicherheitsfrage ist nicht der einzige Haken der 24 Millionen Euro teuren Aktion. Verbraucherschützer kritisieren, dass künftig allein der Nutzer beweisen muss, dass etwas schief läuft oder der Rechner gehackt wurde. Cornelia Tausch – Verbraucherzentrale Bundesverband.
"Es wird unterstellt, dass diese Verfahren sicher sind. Wenn etwas nicht korrekt stattgefunden hat, muss der Verbraucher darlegen, dass die Ursache dafür nicht bei ihm liegt. Das heißt, Verbraucher sind dafür verantwortlich, dass sie eine aktuelle Virensoftware haben, dass sie eine aktuelle Firewall-Software haben, das sind schon hohe Anforderungen, denn nicht alle Verbraucher können so versiert mit dem Computer umgehen."
Ab 1. November ist der neue Personalausweis bei den Meldebehörden zu beantragen.
Alles bestens, alles klar – beschwören Innenministerium und BSI immer wieder – obwohl Computerexperten schon mal bewiesen haben, dass man die PIN leicht ausschnüffeln kann - das Konzept also nicht sicher ist.
Gestern Abend deckte der Chaos Computer Club im WDR-Fernsehen eine neue, noch viel gravierendere Sicherheitslücke auf. Constanze Kurz, Sprecherin des CCC und Mitglied der Enquetekommission Internet und Gesellschaft des Bundestags, erklärt:
"Wir konnten ja schon früher zeigen, dass man diese einfach rauskriegen kann, abschnüffeln kann, jetzt haben wir gezeigt, dass wir sie ändern können. Das heißt auf einem fremden Rechner anderswo konnten wir Zugriff nehmen, die PIN ändern. Das heißt dann natürlich, dass der Besitzer gar nichts mehr mit seinem Ausweis anfangen kann. Der kennt ja die geänderte PIN nicht. Und zweitens konnten wir im zweiten Schritt zeigen, wir können mit dieser fremden Identität Verträge abschließen. Etwa ein Konto eröffnen, ne Versicherung abschließen einen Film ausleihen, diese Dinge soll man ja mit der elektronischen Identität machen können. Das war sehr leicht möglich."
Fürs Hacken und Abfischen, sagt Constanze Kurz, brauche man nicht mal Fachmann sein, die "Spionage-Software" und alle anderen nötigen Werkzeuge dazu gebe es dutzendfach im Internet. Die elektronische Unterschrift knackten die Experten ersatzweise auf der Swiss ID – einer Schweizer Signaturkarte, auf der ähnlich dem deutschen Ausweis eine elektronische Unterschrift gespeichert ist – mit Erfolg. Die Reaktion aus Berlin - ausweichend:
"Der Bundesinnenminister hat nur gesagt, dass Hacker immer etwas hacken können. Das ist natürlich ehrlich eine peinliche Aussage für ein Ministerium und seine Behörden, die jahrelang an diesem Konzept gearbeitet haben. Jetzt rät das BSI, also der technische Dienstleister, allen Ernstes, man solle diesen Ausweis nicht so lang auf dem Lesegerät lassen. Das ist natürlich ein Armutszeugnis."
Die Pin ausschnüffeln, auf einem fremden Chip schreiben und in fremdem Namen Verträge unterschreiben, und dass alles ohne überhaupt den Ausweis in der Hand zu halten…
"So wie es jetzt aussieht, raten wir dem Bürger, die Identitätsfunktion nicht zu benutzen. Man jubelt dem Bürger damit tatsächlich eine Sicherheitslücke unter, in dem man ihm dieses Lesegerät gibt und ihm sagt, es sei sicher."
.
Die Sicherheitsfrage ist nicht der einzige Haken der 24 Millionen Euro teuren Aktion. Verbraucherschützer kritisieren, dass künftig allein der Nutzer beweisen muss, dass etwas schief läuft oder der Rechner gehackt wurde. Cornelia Tausch – Verbraucherzentrale Bundesverband.
"Es wird unterstellt, dass diese Verfahren sicher sind. Wenn etwas nicht korrekt stattgefunden hat, muss der Verbraucher darlegen, dass die Ursache dafür nicht bei ihm liegt. Das heißt, Verbraucher sind dafür verantwortlich, dass sie eine aktuelle Virensoftware haben, dass sie eine aktuelle Firewall-Software haben, das sind schon hohe Anforderungen, denn nicht alle Verbraucher können so versiert mit dem Computer umgehen."
Ab 1. November ist der neue Personalausweis bei den Meldebehörden zu beantragen.