"Im Prinzip kann man sich das Betriebsystem eines Chips ähnlich vorstellen wie das Betriebsystem eines normalen Computers. Der Chip hat intern ein Dateisystem, da sind Dateien drin gespeichert. In diesen Dateien stehen dann beispielsweise personenbezogene Daten drin. Und jede dieser Dateien ist mit bestimmten Zugriffsberechtigungen ausgestattet."
Gegenüber Behörden soll sich der Personalausweisinhaber genauso bequem ausweisen können wie beim Einkauf im Internet. Dafür schiebt er die Chipkarte mit dem Personalausweis einfach in ein mit dem PC verbundenen Lesegerät. Das Betriebsystem der Karte erzeugt dann einen öffentlichen Schlüssel, mit dem auf die persönlichen Daten und biometrischen Merkmale des Ausweises zugegriffen werden kann. Allerdings muss dieser öffentliche Schlüssel noch bestätigt werden. Authentisierung nennen die Fachleute diesen Vorgang. Dennis Kügler.
"Die Authentisierung dieser Schlüssel erfolgt über die beiden Parteien gemeinsam bekannte PIN. Der Chip kennt die PIN, weil sie intern gespeichert ist, und das Lesegerät kennt die PIN, weil der Benutzer sie eingegeben hat. Und basierend auf dieser PIN erfolgt die Autorisierung der Schlüssel."
Beim Einkaufen im Internet gibt man selbst diese PIN direkt an der Computertastatur ein. Bei einer Personenkontrolle durch die Polizei sieht das etwas anders aus. Dennis Kügler.
"Die PIN für den hoheitlichen Bereich steht sozusagen auf dem Dokument drauf. Da gilt das gleiche Prinzip, was wir auch beim Reisepass haben, wenn ich Daten aus dem Dokument auslese, kann ich mir darauf sozusagen die PIN oder das Passwort generieren, um auf den Chip zuzugreifen."
Die Daten für die PIN sind in der maschinenlesbaren Zone des Personalausweises aufgedruckt. Beim heutigen Personalausweis sind das die unteren beiden Zeilen. Die auf den Lesegeräten zum Beispiel für die Polizei aufgespielte Software kann dann alle Daten des Funkchips auslesen. Umso interessanter ist natürlich die Frage, wie die Bundesregierung denn sicher stellen will, dass diese Software nur von Behörden angewendet wird und nicht von Übeltätern, die mir meine digitale Funkchip-Identität rauben wollen. Dennis Kügler vom Bundesamt für die Sicherheit in der Informationstechnik tut sich denn auch mit der Antwort auf diese Frage etwas schwer.
"Ähm, ja, nun. Diese Software wird sicherlich nicht zur Verfügung gestellt. Nichts desto trotz ist das Verfahren offen gelegt. Also es spricht jetzt nichts dagegen, dass man eine Software realisiert, die dieses Verfahren implementiert. Das ist durchaus möglich. Das heißt aber noch lange nicht, dass Sie auch die Daten lesen können aus dem Ausweis. Das ist, zum Teil auf jeden Fall, dadurch noch mal zusätzlich für den hoheitlichen Bereich gesichert, dass Sie sich als berechtigtes Lesegerät ausweisen müssen."
Und diese Legitimation ist ein mehrstufiges Verfahren, das auf allen Stufen angegriffen werden kann. Für die erste Stufe benötigt der Angreifer nur ein beliebiges optisches Lesegerät und das öffentlich dokumentierte Verfahren, um eine Auslesesoftware zu programmieren. Für die zweite Stufe muss der Angreifer Zugriff auf das Betriebsystem des Funkchips im Personalausweis erhalten. Das lässt sich mit handelsüblichen Lesegeräten für Funkchips realisieren.
Die Datenschützer aus Schleswig-Holstein und Nordrhein-Westfalen haben inzwischen vor dem neuen elektronischen Personalausweis gewarnt. Sie befürchten Identitätsdiebstähle durch den Zugriff Unbefugter auf die Daten des Funkchips
Manfred Kloiber: Wie kann mit denn mir ein böser Bube meine Identität rauben, wenn ich solch einen elektronischen Personalausweis habe, Peter Welchering?
Peter Welchering: Ihnen können unter Umständen sogar drei Identitäten geklaut werden, wenn Sie den neuen elektronischen Personalausweis haben. Identität Nummer 1, das sind die gespeicherten persönlichen Daten, wie Name, Vorname, Adresse, Geburtsdatum und das digitale Lichtbild. Diese Daten sind ja auf dem RFID-Chip gespeichert. Und die können ausgelesen, auf einen anderen Chip kopiert und somit gefälscht werden. Identität Nummer 2, das sind die Fingerabdrücke, die auf den Funkchip als biometrische Merkmale freiwillig gespeichert werden können. Auch diese Fingerabdruckdaten können ausgelesen werden und missbraucht werden, um etwa Biometriesysteme zu überlisten. Das können beispielsweise Zugangssysteme sein. Und die dritte Identität, das ist eine virtuelle. Da kann dann mit Ihrer geklauten Identität im Internet einkaufen oder es können Kredite gebucht werden.
Kloiber: Bleiben wir zunächst einmal bei dieser dritten Identität. Mit dem elektronischen Personalausweis kann ja auch eine qualifizierte elektronische Signatur erworben werden, mit der ich im Internet einkaufen oder mich Behörden gegenüber ausweisen kann. Die gilt doch als sicher, oder?
Welchering: Es gibt zwei elektronische Signaturen auf dem neuen Personalsausweis. Eine einfache Signatur und eine qualifizierte. Problematisch kann die einfache Signatur werden, für die Bundesinnenminister Schäuble so stark geworben hat. Hier gibt es zwei PINS, mit denen ich mich autorisieren kann. Die eine PIN bekomme ich, wie bei meiner Bank, auf Papier zugestellt und muss diese PIN, wenn ich etwa übers Internet Bleistifte kaufe, via Tastatur eingeben, um mich gegenüber dem Verkäufer auszuweisen. Dieses Verfahren hat Vor- und Nachteile. Selbst beim Online-Banking reicht mittlerweile allein die Eingabe einer PIN nicht mehr aus, um eine Überweisung auszulösen, da muss ich auch noch eine Transaktionsnummer eingeben. Dafür gibt es gute Gründe. Bei der einfachen Signatur des neuen Personalausweises findet die Authentisierung über die PIN statt. Und das ist angreifbar, wenn ich diese PIN über eine Tastatur eingebe.
Kloiber: Beim Umgang mit Behörden oder wenn ein Polizist mich kontrolliert, gebe ich aber keine PIN per Tastatur ein. Wie funktioniert dort die Authentisierung?
Welchering: Im sogenannten hoheitlichen Bereich ist die Authentisierung ein regelrechter Schwachpunkt des neuen Ausweises. Denn da wird die PIN über die Daten errechnet, die in der maschinenlesbaren Zone des Ausweises aufgedruckt sind. Die Berechnungssoftware folgt allgemeinen Standards. Die sind bekannt. Da kann mit etwas Aufwand jeder die PIN von der maschinenlesbaren Zone des Ausweises ermitteln.
Kloiber: Wie sieht es mit der qualifizierten elektronischen Signatur auf dem Personalausweis aus?
Welchering: Die könnte sicher sein, wenn sich denn die Bundesregierung entschließen würde, sie sicher zu machen. Bisher hat die Regierung das nicht getan. Diese Sicherheit steht und fällt mit dem privaten Schlüssel. Die qualifizierte elektronische Signatur arbeitet ja mit einem privaten und einem öffentlichen Schlüssel. Der öffentliche Schlüssel wird zum Beispiel an das Autohaus geschickt, wenn ich da ein Auto kaufen möchte. Über meine Bestellung errechnet die Signatursoftware mit Hilfe des privaten Schlüssels eine Prüfsumme. Mit dem öffentlichen Schlüssel kann diese Bestellung gegebenenfalls entschlüsselt werden und die Prüfsumme, die über die Datei mit der Auto-Bestellung gelegt wurde, die wird überprüft. Also, es wird nachvollzogen, von wem diese Bestellung wirklich stammt. Das Problem beim neuen Personalausweis liegt nun einfach darin, dass bisher gar nicht klar ist, erstens, wo genau auf dem RFID-Chip der private Schlüssel gespeichert wird. Eigentlich hat er auf einem Funkchip nichts zu suchen, weil er dort viel zu leicht ausgelesen, ausspioniert werden kann. Und zweitens, welche konkreten Algorithmen des Funkchip-Betriebsystems greifen auf diesen privaten Schlüssel zu. Jeder algorithmische Zugriff auf diesen privaten Schlüssel ist generell angreifbar. Die Bundesregierung hat hier in Sachen Sicherheit einfach ihre Hausaufgaben nicht gemacht. Im Bundesinnenministerium wird sogar auf Referentenebene laut darüber nachgedacht, das unsichere Zugriffssystem mit dem schönen Namen Basic Access Code für den Personalausweis zu verwenden. Wenn das gemacht wird, dann steht dem Identitätsklau nach Einführung des neuen Personalausweises nicht mehr im Wege. Sicherheitsexperten sind sich einig, dass nicht einmal einzelne Algorithmen des BAC-Systems hier verwendet werden sollten. Aber die Bundesregierung hat sich auf Kabinettsebene um das Sicherheitssystem für den neuen Personalausweis noch nicht ausreichend gekümmert.
Kloiber: Der neue elektronische Personalausweis ist nun beschlossene Sache. Er wird kommen. Wie kann ich mich als Ausweisinhaber denn vor Identitätsklau und Missbrauch schützen?
Welchering: Ich sollte drei Punkte beachten: ich sollte den Ausweis in eine Aluminiumhülle stecken, damit er nicht von einem Lesegerät von außen ausgelesen werden kann, wie schon beim Reisepass, ich sollte auch keine Fingerabdrücke auf dem Funkchip speichern und ich sollte keine qualifizierte elektronische Signatur darauf speichern und verwenden, denn eine solche digitale Unterschrift hat auf einem Funkchip, der über Entfernungen hinweg ausgelesen werden kann, nichts zu suchen.
Gegenüber Behörden soll sich der Personalausweisinhaber genauso bequem ausweisen können wie beim Einkauf im Internet. Dafür schiebt er die Chipkarte mit dem Personalausweis einfach in ein mit dem PC verbundenen Lesegerät. Das Betriebsystem der Karte erzeugt dann einen öffentlichen Schlüssel, mit dem auf die persönlichen Daten und biometrischen Merkmale des Ausweises zugegriffen werden kann. Allerdings muss dieser öffentliche Schlüssel noch bestätigt werden. Authentisierung nennen die Fachleute diesen Vorgang. Dennis Kügler.
"Die Authentisierung dieser Schlüssel erfolgt über die beiden Parteien gemeinsam bekannte PIN. Der Chip kennt die PIN, weil sie intern gespeichert ist, und das Lesegerät kennt die PIN, weil der Benutzer sie eingegeben hat. Und basierend auf dieser PIN erfolgt die Autorisierung der Schlüssel."
Beim Einkaufen im Internet gibt man selbst diese PIN direkt an der Computertastatur ein. Bei einer Personenkontrolle durch die Polizei sieht das etwas anders aus. Dennis Kügler.
"Die PIN für den hoheitlichen Bereich steht sozusagen auf dem Dokument drauf. Da gilt das gleiche Prinzip, was wir auch beim Reisepass haben, wenn ich Daten aus dem Dokument auslese, kann ich mir darauf sozusagen die PIN oder das Passwort generieren, um auf den Chip zuzugreifen."
Die Daten für die PIN sind in der maschinenlesbaren Zone des Personalausweises aufgedruckt. Beim heutigen Personalausweis sind das die unteren beiden Zeilen. Die auf den Lesegeräten zum Beispiel für die Polizei aufgespielte Software kann dann alle Daten des Funkchips auslesen. Umso interessanter ist natürlich die Frage, wie die Bundesregierung denn sicher stellen will, dass diese Software nur von Behörden angewendet wird und nicht von Übeltätern, die mir meine digitale Funkchip-Identität rauben wollen. Dennis Kügler vom Bundesamt für die Sicherheit in der Informationstechnik tut sich denn auch mit der Antwort auf diese Frage etwas schwer.
"Ähm, ja, nun. Diese Software wird sicherlich nicht zur Verfügung gestellt. Nichts desto trotz ist das Verfahren offen gelegt. Also es spricht jetzt nichts dagegen, dass man eine Software realisiert, die dieses Verfahren implementiert. Das ist durchaus möglich. Das heißt aber noch lange nicht, dass Sie auch die Daten lesen können aus dem Ausweis. Das ist, zum Teil auf jeden Fall, dadurch noch mal zusätzlich für den hoheitlichen Bereich gesichert, dass Sie sich als berechtigtes Lesegerät ausweisen müssen."
Und diese Legitimation ist ein mehrstufiges Verfahren, das auf allen Stufen angegriffen werden kann. Für die erste Stufe benötigt der Angreifer nur ein beliebiges optisches Lesegerät und das öffentlich dokumentierte Verfahren, um eine Auslesesoftware zu programmieren. Für die zweite Stufe muss der Angreifer Zugriff auf das Betriebsystem des Funkchips im Personalausweis erhalten. Das lässt sich mit handelsüblichen Lesegeräten für Funkchips realisieren.
Die Datenschützer aus Schleswig-Holstein und Nordrhein-Westfalen haben inzwischen vor dem neuen elektronischen Personalausweis gewarnt. Sie befürchten Identitätsdiebstähle durch den Zugriff Unbefugter auf die Daten des Funkchips
Manfred Kloiber: Wie kann mit denn mir ein böser Bube meine Identität rauben, wenn ich solch einen elektronischen Personalausweis habe, Peter Welchering?
Peter Welchering: Ihnen können unter Umständen sogar drei Identitäten geklaut werden, wenn Sie den neuen elektronischen Personalausweis haben. Identität Nummer 1, das sind die gespeicherten persönlichen Daten, wie Name, Vorname, Adresse, Geburtsdatum und das digitale Lichtbild. Diese Daten sind ja auf dem RFID-Chip gespeichert. Und die können ausgelesen, auf einen anderen Chip kopiert und somit gefälscht werden. Identität Nummer 2, das sind die Fingerabdrücke, die auf den Funkchip als biometrische Merkmale freiwillig gespeichert werden können. Auch diese Fingerabdruckdaten können ausgelesen werden und missbraucht werden, um etwa Biometriesysteme zu überlisten. Das können beispielsweise Zugangssysteme sein. Und die dritte Identität, das ist eine virtuelle. Da kann dann mit Ihrer geklauten Identität im Internet einkaufen oder es können Kredite gebucht werden.
Kloiber: Bleiben wir zunächst einmal bei dieser dritten Identität. Mit dem elektronischen Personalausweis kann ja auch eine qualifizierte elektronische Signatur erworben werden, mit der ich im Internet einkaufen oder mich Behörden gegenüber ausweisen kann. Die gilt doch als sicher, oder?
Welchering: Es gibt zwei elektronische Signaturen auf dem neuen Personalsausweis. Eine einfache Signatur und eine qualifizierte. Problematisch kann die einfache Signatur werden, für die Bundesinnenminister Schäuble so stark geworben hat. Hier gibt es zwei PINS, mit denen ich mich autorisieren kann. Die eine PIN bekomme ich, wie bei meiner Bank, auf Papier zugestellt und muss diese PIN, wenn ich etwa übers Internet Bleistifte kaufe, via Tastatur eingeben, um mich gegenüber dem Verkäufer auszuweisen. Dieses Verfahren hat Vor- und Nachteile. Selbst beim Online-Banking reicht mittlerweile allein die Eingabe einer PIN nicht mehr aus, um eine Überweisung auszulösen, da muss ich auch noch eine Transaktionsnummer eingeben. Dafür gibt es gute Gründe. Bei der einfachen Signatur des neuen Personalausweises findet die Authentisierung über die PIN statt. Und das ist angreifbar, wenn ich diese PIN über eine Tastatur eingebe.
Kloiber: Beim Umgang mit Behörden oder wenn ein Polizist mich kontrolliert, gebe ich aber keine PIN per Tastatur ein. Wie funktioniert dort die Authentisierung?
Welchering: Im sogenannten hoheitlichen Bereich ist die Authentisierung ein regelrechter Schwachpunkt des neuen Ausweises. Denn da wird die PIN über die Daten errechnet, die in der maschinenlesbaren Zone des Ausweises aufgedruckt sind. Die Berechnungssoftware folgt allgemeinen Standards. Die sind bekannt. Da kann mit etwas Aufwand jeder die PIN von der maschinenlesbaren Zone des Ausweises ermitteln.
Kloiber: Wie sieht es mit der qualifizierten elektronischen Signatur auf dem Personalausweis aus?
Welchering: Die könnte sicher sein, wenn sich denn die Bundesregierung entschließen würde, sie sicher zu machen. Bisher hat die Regierung das nicht getan. Diese Sicherheit steht und fällt mit dem privaten Schlüssel. Die qualifizierte elektronische Signatur arbeitet ja mit einem privaten und einem öffentlichen Schlüssel. Der öffentliche Schlüssel wird zum Beispiel an das Autohaus geschickt, wenn ich da ein Auto kaufen möchte. Über meine Bestellung errechnet die Signatursoftware mit Hilfe des privaten Schlüssels eine Prüfsumme. Mit dem öffentlichen Schlüssel kann diese Bestellung gegebenenfalls entschlüsselt werden und die Prüfsumme, die über die Datei mit der Auto-Bestellung gelegt wurde, die wird überprüft. Also, es wird nachvollzogen, von wem diese Bestellung wirklich stammt. Das Problem beim neuen Personalausweis liegt nun einfach darin, dass bisher gar nicht klar ist, erstens, wo genau auf dem RFID-Chip der private Schlüssel gespeichert wird. Eigentlich hat er auf einem Funkchip nichts zu suchen, weil er dort viel zu leicht ausgelesen, ausspioniert werden kann. Und zweitens, welche konkreten Algorithmen des Funkchip-Betriebsystems greifen auf diesen privaten Schlüssel zu. Jeder algorithmische Zugriff auf diesen privaten Schlüssel ist generell angreifbar. Die Bundesregierung hat hier in Sachen Sicherheit einfach ihre Hausaufgaben nicht gemacht. Im Bundesinnenministerium wird sogar auf Referentenebene laut darüber nachgedacht, das unsichere Zugriffssystem mit dem schönen Namen Basic Access Code für den Personalausweis zu verwenden. Wenn das gemacht wird, dann steht dem Identitätsklau nach Einführung des neuen Personalausweises nicht mehr im Wege. Sicherheitsexperten sind sich einig, dass nicht einmal einzelne Algorithmen des BAC-Systems hier verwendet werden sollten. Aber die Bundesregierung hat sich auf Kabinettsebene um das Sicherheitssystem für den neuen Personalausweis noch nicht ausreichend gekümmert.
Kloiber: Der neue elektronische Personalausweis ist nun beschlossene Sache. Er wird kommen. Wie kann ich mich als Ausweisinhaber denn vor Identitätsklau und Missbrauch schützen?
Welchering: Ich sollte drei Punkte beachten: ich sollte den Ausweis in eine Aluminiumhülle stecken, damit er nicht von einem Lesegerät von außen ausgelesen werden kann, wie schon beim Reisepass, ich sollte auch keine Fingerabdrücke auf dem Funkchip speichern und ich sollte keine qualifizierte elektronische Signatur darauf speichern und verwenden, denn eine solche digitale Unterschrift hat auf einem Funkchip, der über Entfernungen hinweg ausgelesen werden kann, nichts zu suchen.