Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

News: Chaos Computer Club warnt

Elektronischer Personalausweis löchriger als gedacht

Michael Nickles / 16 Antworten / Flachansicht Nickles

Ab 1. November 2010 wird der elektronische Personalausweis eingeführt. Dadurch kann sich beispielsweise jeder im Internet eindeutig identifizieren (siehe Elektronischer Personalausweis dringend gefordert), was unter anderem bei Geschäftsabwicklungen und Online-Banking bessere Sicherheit bringen soll.

Bei Datenschützern ist der neue Ausweis sehr umstritten, der Chaos Computer Cclub (CCC) heizt die Diskussion um die Sicherheit des Ausweises jetzt erneut mit einer Mitteilung an. In Zusammenarbeit mit Schweizer Sicherheitsexperten wurden erhebliche Schwachstellen beim in der Schweiz bereits verbreiteten Ausweis entdeckt.

Die finden sich auch bei der SuisseID. Das ist ein in der Schweiz verfügbarer elektronischer Identitätsnachweis, der auf Chipkarte oder als USB-Stick erhältlich ist. Laut CCC existiert im Internet eine für jedermann leicht erhältliche Software, mit der sich der elektronische Ausweis sowie die SuisseID ferngesteuert benutzen lassen. Und die Sicherheitslücken werden angeblich bereits hunderttausendfach von Kriminellen ausgenutzt.

CCC-Sprecher Dirk Engling : "Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen".

Da die technische Angriffsmethode teils sehr simpel sei, soll sie sich von Online-Kriminellen problemlos einsetzen lassen. Und im Fall des deutschen elektronischen Personalausweises drohe das gleiche Risiko. Eine der Hauptschwachstelle sind laut CCC billige Ausweis-Lesegeräte, die am PC angeschlossen werden und die über keine eigene Tastatur verfügen.

Wird die PIN über die PC-Tastatur eingegeben können Kriminelle das über einen Trojaner ermitteln und den elektronischen Personalausweis dann nach Belieben nutzen, so lange er im Lesegerät eingesteckt ist beziehungsweise drauf liegt (der Ausweis ist kontaktlos). Auch teure Lesegeräte mit eigener Tastatur reichen aus Sicht des CCC nicht aus.

Auch hier können "Transaktionen" per "Schadsoftware" überwacht und missbraucht werden. Auch mit dem Ausweis durchführbare "digitale Unterschriften" auf Dokumenten sind fälschbar.

Sicherheitsexperte Thorsten Schröder, der die Sicherheitsprobleme gemeinsam mit Max Moser in der Praxis demonstriert hat, fordert:

"Die an der Einführung und am Betrieb der Systeme beteiligten Unternehmen und staatlichen Stellen können nicht oft genug an ihre Pflicht zur wahrheitsgemäßen Aufklärung erinnert werden.

Wenn schon alle Verantwortlichen behaupten, es ginge gar nicht darum, ein hundertprozentig sicheres System zu schaffen, dann ist es auch ihre verdammte Pflicht, die Bürger im Vorfeld zu informieren und zu sensibilisieren.

Die bestehenden Gefahren dürfen nicht hinter Marketing-Geschwätz verschwinden und verschwiegen werden. Zu behaupten, man müsse für einen Missbrauch im physikalischen Besitz der Smartcard sein, grenzt an Fahrlässigkeit."

Was auf jeden Fall jeder wissen sollte: digitale Unterschriften mit dem elektronischen Personalausweis sind rechtsgültig und der Ausweisbesitzer ist somit in vollem Umfang haftbar.

bei Antwort benachrichtigen
Meinungsmache pur Conqueror
Olaf19 Ma_neva „Hallo Olaf, siehe mal nach oben :- , ich habe den Alten neu geholt und der ist...“
Optionen

Danke für deinen Erfahrungsbericht, Manfred.

Schön zu lesen, dass das bei dir so rund gelaufen ist. Ich glaube, man sollte sich beeilen mit der Aktion, sonst wird der Andrang bei den Ämtern irgendwann riesengroß.

Wobei... längst nicht jeder ist so gut informiert wie die Nickles-Leserschaft. Und wenn mein alter Ausweis noch etliche Jahre gültig wäre, würde ich mir auch überlegen, ob ich das machen soll. Aber wenn der schon im Januar ausläuft, ist das natürlich optimal, da verschenke ich nur wenig.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen