piwik no script img

Analyse des E-Perso und der AusweisAppSicherheitsprobleme mit zwei Ohren

Nachdem sie gehackt wurde, ist die AusweisApp für den neuen Personalausweis nun wieder online - wenn auch nicht für jeden. Eine Analyse der Stärken und Schwächen.

Maschinen sind fehleranfällig, Menschen noch viel mehr: Der neue Perso und ein Lesegerät. Bild: dpa

Der deutsche Personalausweis und die deutsche Autobahn haben vieles gemeinsam: Beide wurden von den Nationalsozialisten zwar nicht erfunden, aber gesellschaftlich hoffähig gemacht, beide gehören zur deutschen Leitkultur und beide gelten als so selbstverständlich, dass jemand, der sie abschaffen wollte, so scheel angesehen würde wie jemand, der den Deutschen das Biertrinken verbieten wollte.

Ab dem 1. November 2010 gibt es einen neuen Personalausweis (nPA). Mit dem Domument in Größe einer Scheckkarte soll man sicher im Internet einkaufen können, bei Ämtern und Behörden elektronisch signieren und, so die offizielle Werbung, ein „sicheres Reisedokument“ besitzen. Auch als Altersnachweis kann er dienen.

Soweit die Theorie. „Der neue Personalausweis ist sicher“ hätte auch ein Satz von Muhammad as-Sahhaf sein können, der im Irakkrieg als „Comical Ali“ berühmt wurde: Schon ein paar Tage nach der Einführung zog das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Software wieder zurück, die man benötigte, um die Online-Ausweisfunktion nutzen zu können.

Die sogenannte AusweisApp war nicht ausreichend geprüft worden, ob sie Sender und Empfänger der Daten beim automatischen Aktualisieren hinreichend legitimieren konnte. Ein Update wurde zwar zeitnah bereitgestellt; Nutzer der Betriebsstems Linux oder Mac-Benutzer gehen aber zur Zeit leer aus, auch darf man nicht den Browser seiner Wahl benutzen. Das wäre so, als würde man eine neue Autobahn nur für Besitzer spezieller Automarken erlauben. Der IT-Sicherheitsxperte Jan Schejbal hatte den schwer wiegenden Fehler schon nach einer Nacht gefunden.

Die Idee hinter dem neuen Personalausweis ist nicht verkehrt, aber rührend naiv und daher potenziell gefährlich. Vorteile: Wenn Daten maschinenlesbar sind, wird es meistens einfacher, sie zu verwalten. E-Government soll im Internet-Zeitalter die Kommunikation zwischen Behörden und Bürgern vereinfachen. Dazu muss es Regeln geben und ein System, das beide Seiten elektronisch authentifiziert. Bürger bekommen eine Art Seriennummer - wie auch bei der Steuernummer. Der in den Personalausweis eingebaute Chip sendet die Daten mitteles elektromagnetischer Wellen zum Lesegerät oder sendet via behördlich genehmigter Software via Internet.

Die Nachteile: Das größte Computerproblem hat immer zwei Ohren und sitzt vor einem Monitor. Wer glaubt, mit technischen Lösungen, die gleichzeitig „idiotensicher“ sein sollen, alles online sicher machen zu können, hat nichts begriffen. Zudem gibt es elektronische Signaturen schon seit 20 Jahren; das Bundesverfassungsgericht und sogar der Bundestag empfehlen auf ihren Websites die geläufigen Systeme zur Zertifizierung.

Bild: privat
BURKHARD SCHRÖDER

BURKHARD SCHRÖDER lebt als Schriftsteller und Journalist in Berlin. Letzte Buchveröffentlichung: "Die Online-Durchsuchung. Rechtliche Grundlagen, Technik, Medienecho", Heidelberg 2008.

Man wollte also ein anderes Rad erfinden - und ist, was zu erwarten war, schon gleich zu Beginn auf hohem Niveau gescheitert. Eine der Entschuldigungen, warum die Löcher größer waren als der Käse, kam vom BSI und ist comedy-reif: Da es nicht genügend Ausweise gegeben habe, habe man „den Umgang mit der AusweisApp“ nicht „realitätsnah“ testen können. Man stelle sich vor, eine Pharma-Firma würde so argumentieren - die Methode „Versuch und Irrtum“ beim eletronischen Personalausweis scheint aber die Regel zu sein.

Die größte Schwachstelle ist nicht die Technik des Ausweises, sondern die Methode, mit der die Daten gesendet werden oder die PIN, die in ein Kartenlesegerät eingeben wird. Das Szenario, dass ein privater Rechner von einem bösen „Hacker“ gezielt übernommen werden kann - etwa mit Hilfe eines installierten Keyloggers, der die Tastaturanschläge belauscht -, ist extrem unwahrscheinlich. Es gibt andere, einfachere Möglichkeiten.

Wie schon bei der Kriminalität rund um Geldautomaten, dem so genanten Skimming, könnten zum Beispiel Lesegeräte auf hohem technischen Niveau manipuliert werden. Wo eine Nachfrage ist, gibt es auch bald ein Angebot. Das Sicherheitskonzept des ePA beschränkt sich zudem nur auf die Kommunikation, nicht jedoch auf den Inhalt. Das System fällt also hinter das Niveau zurück, das beim Online-Banking die Regel sein sollte.

Das elektronscihe Zertifikat der Nutzer ist zwar nur sehr schwer zu fälschen. Wer aber Zugriff auf bestimmte Rechner im Internet bekommt und eine „Adresse“ fälschen oder dem Nutzer eine andere vorgaukeln kann als die Gewünschte etwa mittels der Manipulation eines so genanten Domain-Name-Servers -, der kann Nutzerdaten nicht nur abgreifen, sondern sich als jemand anderes ausgeben. Diese Art von Datenspionage hat sogar einen Namen - das Dolev-Yao-Modell.

Wie „sicher“ und ausgereift der ePA ist, zeigen die treuherzigen Ratschläge des Bundesinnenministeriums, „regelmäßig das Betriebssystem zu aktualisieren und eine aktuelle Firewall sowie ein aktuelles Antivirenprogramm zu verwenden.“ Wer einen Regenzauber empfiehlt, solte sich nicht wundern, dass in mindestens der Häfte aller Fälle der erwünschte Regen ausbleibt. „Es ist davon auszugehen, dass Nutzer oft über nur sehr geringes Wissen in Bezug auf die Gefahren des Internet und die Möglichkeiten zur Abwehr von Schäden verfügen“, heißt es in einer aktuellen Studie des BSI und des BMI.

Der ePA ist zehn Jahre gültig. Ein Jahrzehnt bedeutet aber für Software mindestens drei Generationen. Das BSI lädt auf seiner Website dazu ein, „die AusweisApp zu nutzen und die Software zudem mit uns gemeinsam weiterzuentwickeln.“ Gewiefte Kriminalle werden diesen Rat dankbar aufgreifen. Wer den nPA aber gar nicht haben will, der kann nach Österreich oder England auswandern. So etws wie einen Personalausweis kennt man dort nicht, obwohl es auch dort Autobahnen gibt.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

9 Kommentare

 / 
  • K
    Karotte

    Keine Lust gehabt, genauer zu recherchieren oder einfach nur die längst feststehende Meinung über den nPA kundtun wollen?

    Ausser der C'T hats irgendwie noch keiner hingekriegt, sich tiefer in die Thematik einzuarbeiten und einmal vorurteilsfrei über das Thema zu schreiben.

  • AA
    Alfons Alias

    Geklaute Daten, die auf dem PA sind, bedeutet bei Verwendung durch Diebe, die absolute Haftung des Besitzers des Ausweises. Nichts mehr mit Erstattung z.B. durch Banken!!!!

  • AA
    Alfons Alias

    Ich bin sehr misstrauisch persönliche Daten elektronischen Medien anzuvertrauen. Mein PC ist maximal gesichert, so wie es ein leicht Sachkundiger machen kann. Alle Daten sind auf Wechselmedien gespeichert. Erfahrungen mit Daten auf fremden Systemen sind negativ, soweit man Kenntnis bekommen kann. Hatte vor über 4 Jahren mein Betrieb geschlossen und es sind immer noch Daten im Internet vorhanden, die ich immer wieder versuche löschen zu lassen. In den Ämtern werden Einträge gemacht, oft auch falsch, da wundert man sich wo die herkommen. Schufa Auskünfte falsch. Bei dem Versuch ehrenamtlich tätig zu sein wird gegoogelt was das Zeug hält, Identitätsverwechslungen eingeschlossen.

    Bei einem alten e-mail Konto bekam ich oft e-mails, die an ein anderen User gehen sollten aber in meinem Konto auftauchten. Nach dem Einloggen in einem Nutzerkonto eines öffentlich rechtlichen Senders, Ausfall einer selten benutzten Betriebssystemfunktion, nach Beseitigung des Problems, Fehler erneut aufgetreten. Nutzerkonto gelöscht, Fehler nie mehr. Was hat da die Adresse im System besetzt? Da werde ich dem PA mit Sicherheit keine Daten anvertrauen die freiwillig sind, schon der Haftung wegen bei Datenklau.

  • OX
    ole x

    Wie toll... Eine Gefahr geht nicht nur von den beiden Ohren diesseits aus, sondern von den lauscherohren der Behörden... Hat sich schon mal jemand darüber gedanken gemacht, wie einfach die Damen und Herren jetzt den Behördentrojaner einschleusen können?!

  • D
    dornenkrone

    Zu den Inhalten dieses Artikels kann ich nicht viel sagen, aber allein aufgrund der äußeren Form dessen scheint er mir nicht sehr vertrauenswürdig.

    Es sollte wohl möglich sein, dass man den eigenen Text vor der Publikation nochmals durchliest...

  • S
    Staatsbürger

    Typisch TAZ, gleich im ersten Satz die Nazi-Keule schwingen. Und danach ein Artikel, der vor Unwissenheit und Polemik strotzt. Schreibt lieber wieder über S21 oder andere grosse Probleme der Neuzeit.

  • T
    Treusas

    Was Sie schreiben ist doch nicht richtig. haben Sie sich wirklich schon mal mit dem Konzept des gegenseitigen Identitätsnachweises mit Berechtigungszertifikat und Ausweis befasst? Das solten Sie wissen das die zwei faktor Authentisierung hier ein Fortschritt gegenüber z.B. dem Banking ist. Ihre Angriffszenarien sind konstruiert. Kann ichaber auch verstehen, wenn man als Schreiberling eine Story abliefern und davon leben muss. Arme taz.

  • M
    Mathias

    Ich stimme ihnen zu das der Fehler in der Ausweissapp unnoetig und recht peinlich war. Die von ihnen angefuehrten Angriffsvektoren auf den selben sind es aber nicht weniger. Mit dem neuen Perso wurde kein Rad neu erfunden sondern eben ein gelaeufiges System zur Zertifizierung und Autentifizierung, wie es in vielen bereichen schon seit Jahren eingesetzt wird, dem Buerger zur Kommunikation zu Verfuegung gestellt. Diese Systeme der asymetrischen Verschluesselung und Zertifizierung dienen gerade dazu die von ihnen beschriebenen Angriffe nach dem Dolev-Yao-Modell zu verhindern.

  • N
    Nobby

    In Österreich gibt es keine Ausweispflicht, aber sehr wohl einen Personalausweis und in England gibt es nicht mal ein funktionierendes Meldesystem...