Mängel von neuem Personalausweis: Joboffensive für Cyberkriminelle

BERLIN taz | Für Bundesinnenminister Thomas de Maizière (CDU) ist klar: "Der neue Personalausweis ist eines der sichersten Dokumente der Welt." Er könne nur alle ermuntern, den Ausweis am 1. November "fröhlich" zu beantragen, sagte er am Mittwoch. Er reagierte damit auf einen Bericht des ARD-Magazins "Plusminus" und Hinweise des Chaos Computer Clubs, die Sicherheitsprobleme im Umgang mit dem neuen Personalausweis aufgedeckt hatten. Dieser soll auch als Ausweis im Internet dienen, Behördengänge ersparen, Onlineeinkäufe oder Altersabfragen vereinfachen.

Das Verfahren dahinter heißt eID; dabei wird ein Lesegerät an den PC angeschlossen. Man gibt eine sechstellige PIN ein, dann können Daten auf dem Ausweis ausgelesen und verschlüsselt übertragen werden. Das billigste der drei Lesegeräte ist nun in die Kritik geraten: Es wird wie ein USB-Stick in den PC gestöpselt, die PIN wird dann über die Tastatur des PCs eingegeben. Die beiden anderen Geräte verfügen über eine eigene Tastatur.

Bei der Billigvariante kann Schadsoftware, etwa sogenannte Trojaner, die PIN mitlesen. Zumindest momentan ist das ein großes Problem: Anfang des Jahres befand sich Deutschland auf der Rangliste der Länder mit den meisten infizierten Rechnern auf Platz drei. Der IT-Sicherheitsexperte der Firma Sophos, Sascha Pfeiffer, schätzt, dass mehrere hunderttausend Rechner in Deutschland von sogenannten illegalen Botnetzen genutzt werden. Auf den Rechnern befinden sich ohne Wissen der BenutzerInnen Schadprogramme, mit deren Hilfe die Ressourcen des PCs von Kriminellen unbemerkt genutzt werden. Oft werden dabei auch PINs von Bankkonten ausgeforscht. Solche Informationen würden täglich abgezogen.

"Der Chaos Computer Club hat mit seiner Kritik völlig recht", sagte Pfeiffer. Allerdings haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der IT-Branchenverband Eco das Problem erkannt, ab 15. September soll ein Anti-Botnetz-Beratungszentrum seine Arbeit aufnehmen.

Zudem macht das BSI darauf aufmerksam, dass, sollte jemand die PIN ausgespäht haben, noch weiter Sicherheitsmechanismen greifen: Wer den Ausweis auslesen will, braucht dazu ein Berechtigungszertifikat, das von einer staatlichen Stelle vergeben wird. Jeder Antragssteller wird überprüft. Das können beispielsweise Firmen sein, die online Produkte vertreiben. Auch bestimmen die BürgerInnen per Mausklick weitestgehend selbst, wie viele ihre Daten sie etwa einer Firma preisgeben wollen. Auf dem Chip sind u. a. Alter und Wohnort gespeichert, Fingerabdrücke können, müssen aber nicht hinterlegt werden.

Der Bundesdatenschutzbeauftragte Peter Schaar fordert dennoch, das kritisierte Lesegerät nicht einzusetzen: "Meine Befürchtung ist, dass jetzt durch die Verwendung dieser einfachen Leser eine Technologie mit dem neuen Personalausweis verbunden wird, die angreifbar ist", sagte er dem Radiosender NDR Info. "Gefahr in Verzug" sah er, sollte der Ausweis hinterlegt werden müssen, etwa in einem Hotel. Denn erst mit Ausweis kann es theoretisch zum Missbrauch kommen, falls die PIN bekannt ist. Mit dem neuen Ausweis soll aber auch das Personalausweisgesetz geändert werden und das Dokument nicht mehr hinterlegt werden dürfen. Man müsse klären, wie Sicherheitslücken geschlossen werden könnten, fordert auch FDP-Rechtsexperte Christian Ahrendt. INGO ARZT