Mängel von neuem Personalausweis: Joboffensive für Cyberkriminelle
Von den Sicherheitslücken beim neuen Personalausweis könnten viele betroffen sein, weil Viren ihre PCs befallen haben. Doch der Innenminister hält an der Einführung fest.
BERLIN taz | Für Bundesinnenminister Thomas de Maizière (CDU) ist klar: "Der neue Personalausweis ist eines der sichersten Dokumente der Welt." Er könne nur alle ermuntern, den Ausweis am 1. November "fröhlich" zu beantragen, sagte er am Mittwoch. Er reagierte damit auf einen Bericht des ARD-Magazins "Plusminus" und Hinweise des Chaos Computer Clubs, die Sicherheitsprobleme im Umgang mit dem neuen Personalausweis aufgedeckt hatten. Dieser soll auch als Ausweis im Internet dienen, Behördengänge ersparen, Onlineeinkäufe oder Altersabfragen vereinfachen.
Das Verfahren dahinter heißt eID; dabei wird ein Lesegerät an den PC angeschlossen. Man gibt eine sechstellige PIN ein, dann können Daten auf dem Ausweis ausgelesen und verschlüsselt übertragen werden. Das billigste der drei Lesegeräte ist nun in die Kritik geraten: Es wird wie ein USB-Stick in den PC gestöpselt, die PIN wird dann über die Tastatur des PCs eingegeben. Die beiden anderen Geräte verfügen über eine eigene Tastatur.
Bei der Billigvariante kann Schadsoftware, etwa sogenannte Trojaner, die PIN mitlesen. Zumindest momentan ist das ein großes Problem: Anfang des Jahres befand sich Deutschland auf der Rangliste der Länder mit den meisten infizierten Rechnern auf Platz drei. Der IT-Sicherheitsexperte der Firma Sophos, Sascha Pfeiffer, schätzt, dass mehrere hunderttausend Rechner in Deutschland von sogenannten illegalen Botnetzen genutzt werden. Auf den Rechnern befinden sich ohne Wissen der BenutzerInnen Schadprogramme, mit deren Hilfe die Ressourcen des PCs von Kriminellen unbemerkt genutzt werden. Oft werden dabei auch PINs von Bankkonten ausgeforscht. Solche Informationen würden täglich abgezogen.
"Der Chaos Computer Club hat mit seiner Kritik völlig recht", sagte Pfeiffer. Allerdings haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der IT-Branchenverband Eco das Problem erkannt, ab 15. September soll ein Anti-Botnetz-Beratungszentrum seine Arbeit aufnehmen.
Zudem macht das BSI darauf aufmerksam, dass, sollte jemand die PIN ausgespäht haben, noch weiter Sicherheitsmechanismen greifen: Wer den Ausweis auslesen will, braucht dazu ein Berechtigungszertifikat, das von einer staatlichen Stelle vergeben wird. Jeder Antragssteller wird überprüft. Das können beispielsweise Firmen sein, die online Produkte vertreiben. Auch bestimmen die BürgerInnen per Mausklick weitestgehend selbst, wie viele ihre Daten sie etwa einer Firma preisgeben wollen. Auf dem Chip sind u. a. Alter und Wohnort gespeichert, Fingerabdrücke können, müssen aber nicht hinterlegt werden.
Der Bundesdatenschutzbeauftragte Peter Schaar fordert dennoch, das kritisierte Lesegerät nicht einzusetzen: "Meine Befürchtung ist, dass jetzt durch die Verwendung dieser einfachen Leser eine Technologie mit dem neuen Personalausweis verbunden wird, die angreifbar ist", sagte er dem Radiosender NDR Info. "Gefahr in Verzug" sah er, sollte der Ausweis hinterlegt werden müssen, etwa in einem Hotel. Denn erst mit Ausweis kann es theoretisch zum Missbrauch kommen, falls die PIN bekannt ist. Mit dem neuen Ausweis soll aber auch das Personalausweisgesetz geändert werden und das Dokument nicht mehr hinterlegt werden dürfen. Man müsse klären, wie Sicherheitslücken geschlossen werden könnten, fordert auch FDP-Rechtsexperte Christian Ahrendt. INGO ARZT
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
MLPD droht Nichtzulassung zur Wahl
Scheitert der „echte Sozialismus“ am Parteiengesetz?
Fake News liegen im Trend
Lügen mutiert zur Machtstrategie Nummer eins
Prozess zu Polizeigewalt in Dortmund
Freisprüche für die Polizei im Fall Mouhamed Dramé
Proteste in Georgien
Wir brauchen keine Ratschläge aus dem Westen
Ex-Wirtschaftsweiser Peter Bofinger
„Das deutsche Geschäftsmodell funktioniert nicht mehr“
Förderung von E-Mobilität
Habeck plant Hilfspaket mit 1.000 Euro Ladestromguthaben