Elektronischer Personalausweis: Mieser geschenkter Gaul

Im Streit um die Sicherheit der Personalausweis-Kartenleser plädieren Experten für den Einsatz sicherer Modelle. Das Problem: Die hat die Bundesregierung nicht bestellt.

Ein Personalausweis-Lesegerät. Bild: apn

Seit das ARD-Magazin "Plusminus" am Dienstag berichtete, dass der neue elektronische Personalausweis bei der Verwendung im Internet möglicherweise schwerwiegende Sicherheitslücken hat, bemüht sich Berlin um Schadensbegrenzung. Bundesinnenminister Thomas de Maiziere beschwichtigte gegenüber der Agentur "AFP", das Identifikationskärtchen sei "ein deutlicher Sicherheitsgewinn", der neue Personalausweis "eines der sichersten Personaldokumente" auf der Welt. Er werde ihn selbst am 1. November beantragen.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), beim Bund zuständig für alles, was mit IT-Security zu tun hat, sprang de Maiziere schützend bei: "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist die in verschiedenen Medienberichten geäußerten Sicherheitsbedenken bei der Verwendung des neuen Personalausweises zurück", hieß es in einer Stellungnahme. Die geschilderte Angriffsmöglichkeit, die der Chaos Computer Club in "Plusminus" demonstriert hatte, weise "auf einen klassischen Trojanerangriff auf den PC des Nutzers" hin. "Angriffe mit Schadsoftware wie einem Trojanischen Pferd sind bei der Nutzung des Internets grundsätzlich möglich." Vulgo: Wer online geht, fängt sich potenziell Viren ein, dafür kann der neue Perso nichts. Ansonsten empfahl das BSI den Einsatz geeigneter Sicherheitssoftware.

Was in der ganzen Diskussion bislang allerdings kaum vorkam ist die Tatsache, dass sich die Bundesregierung bei der Perso-Sicherheit quasi selbst in den Fuß schießt: Um die Nutzung des neuen ID-Kärtchens am PC für Online-Anwendungen schnell populär zu machen, bestellte das Innenministerium eine Million Kartenlesegeräte zur kostenlosen Verteilung. 24 Millionen Euro aus Mitteln des Konjunkturpakets II machte die Regierung dafür laut "Plusminus" locker. Allerdings griffen die Beamten zum billigsten möglichen Gerät - und nur das ist wie vom CCC beschrieben über ein Trojanisches Pferd relativ leicht angreifbar.

Laut Vorgaben des BSI sind insgesamt drei verschiedene Kartenlesesysteme erlaubt. Das Billigteil, dass das Innenministerium bestellt hat, ist der sogenannte Basisleser, bei dem man die sechsstellige PIN am PC eingeben muss, wo sie abgefangen werden könnte. Die beiden etwas teureren Kategorien "Standardleser" und der auch Geldkarten-fähige "Komfortleser" enthalten dagegen stets eine Tastatur zur Direkteingabe der PIN, was das Mitlauschen deutlich erschwert. Und der Basisleser hat noch ein zweites Problem: Er bietet keine Möglichkeit, die enthaltene Betriebssoftware (Firmware) sicher zu aktualisieren. Sollten darin weitere Sicherheitslücken auftauchen, müssten sie bestehen bleiben - bei einer Million Geräte im Gebrauch äußerst unschön.

Und so kann man jedem, der sich für den neuen Perso als Online-Authentifizierungsgerät interessiert, nur raten, dem geschenkten Gaul des Bundesinnenministeriums ins Maul zu schauen - und besser ein paar eigene Euro in einen "Standardleser" oder "Komfortleser" zu investieren. Sie dürften schnell für unter 100 Euro erhältlich sein - wenn nicht sogar deutlich billiger.