Nutzung bei Online-Geschäften: Zweifel am neuen Personalausweis
Ein Chip im Personalausweis soll für Verlässlichkeit bei Online-Geschäften sorgen. Doch laut einem Bericht ist das System selbst unsicher. Das Bundesamt weist die Kritik zurück.
Bollwerk der Sicherheit oder Einfallstor für Online-Betrüger? Muster des neuen Personalausweises. Bild: dpa
KÖLN/BERLIN dpa | Der neue Personalausweis, der auf einem Chip zahlreiche Daten enthalten wird, ist nach einem Bericht des ARD-Magazins "Plusminus" nicht sicher. Zusammen mit dem Chaos Computerclub habe die "Plusminus"-Redaktion Testversionen der Basis-Lesegeräte für den Ausweis geprüft. Für Betrüger sei es problemlos möglich, sensible Daten abzufangen - inklusive der geheimen, sechsstelligen PIN-Nummer. Die Lesegeräte sind nötig, um den neuen Personalausweis am heimischen Computer zu nutzen und sich somit für die Abwicklung von Internet-Geschäften zu identifizieren.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Kritik inzwischen zurückgewiesen. Die Verbindung von integriertem Chip und zusätzlicher PIN-Abfrage sei bei Online-Transaktionen "ein deutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort", sagte der Personalausweisexperte der Behörde, Jens Bender, am Montag.
"Der Personalausweis ist sicher", erklärte Bender zu dem "Plusminus"-Bericht. Denkbar sei zwar ein klassischer Trojaner-Angriff, bei dem etwa mit einem "Keylogger" die Tastatureingabe der sechsstelligen PIN mitgeschnitten werden könne. "Damit habe ich aber noch keinerlei Zugriff auf die persönlichen Daten", sagte Bender. Diese würden nur verschlüsselt übertragen. "Auch als Angreifer komme ich nicht an die Daten heran".
Die Sicherheitsabfrage der Personalausweis-PIN erfolgt bei einfachen Lesegeräten über die PC-Tastatur. Ein solcher "Basisleser" sei für die Online-Authentifizierung in Ordnung, sagte Bender. Eine zusätzliche Sicherheit biete ein sogenanntes Pinpad mit integrierter Zifferneingabe. Man müsse natürlich auch dafür sorgen, dass der PC sauber bleibe, sagte der BSI-Experte und verwies auf regelmäßige Updates der Software, die Einrichtung einer Firewall und einen aktuellen Virenschutz.
Zum Start sponsert das Bundesinnenministerium nach dem Bericht von "Plusminus" für 24 Millionen Euro mehr als eine Million der benötigten Lesegeräte. Die Mittel kommen aus dem Konjunkturpaket II. Die Lesegeräte sollen unter anderem über Computer-Zeitschriften und ausgewählte Banken kostenlos als sogenannte Starter Kits verteilt werden.
Leser*innenkommentare
Wolfgang
Gast
Wer glaubt denn noch an Sicherheit?
Nicht einmal der Arbeitsplatz, die Ehe, die Rente, die Spareinlagen sind sicher!
Sicher ist nur noch die Unsicherheit!
rolff
Gast
Ich frage mich, wer hier wieder mit verdient, sei es über Beteiligung oder Aufsichtsratmandat.
Wozu dieser Aufwand? Doch nur, um mehr Kontrolle ausüben zu können, gleichgültig wie sicher oder unsicher der Ausweis ist.
Wenn ich dann noch von den geschenkten Lesegeräten höre, erinnert mich das sehr an Mitgliedkarten: Ich schenke Dir vielleicht einen Cent pro ausgegebenen Euro und Du schenkst mir dafür Deine persönlichen Daten. Toll!
Ndege
Gast
Ich weiß nicht, wieviele Gemeinsamkeiten diese Technologien haben, bzw. ob es dieselben sind, aber in GB wird jetzt auch so eine RFID-Chipkarte als Personalausweis eingeführt und das Ganze ist erwiesenermaßen jetzt schon eine sicherheitstechnische Katastrophe. Der Daily Telegraph hat sich einen Hacker geschnappt, der dann 5 Minuten und ein Handy gebraucht hat um den Chip und alle Sicherheitsvorkehrungen zu knacken. Er konnte die Daten nicht nur einsehen, sondern auch nach Belieben verändern und auf eine leere RFID-Chipkarte kopieren. Als Antwort aus dem zuständigen Ministerium kam nur das übliche "Nein, unsere Technologie ist sicher", ohne überhaupt auf die Sache mit dem Hacker einzugehen.
Meint ihr, Deutschland kriegt das besser hin? Also ich nicht.
pablo
Gast
der staat sponsort mehr als einmillion dieser lesegeräte, wieder eine unnötige subvention.
Andy
Gast
Die weisen die Kritik zurück? GRANDIOS!
UNS KANN NICHTS GESCHEHEN!
el presidente
Gast
Ich glaube der neue Perso dient im wesentlichen der Datenerhebung. Sprich VOLKSZÄHLUNG.
Huber Tus
Gast
Jeder Chip, jede Kamera, jeder Fingerabdruck, jede Personenkontrolle, jede Überwachung der Menschen kann den Mißbrauch durch Kriminelle und der Regierung nicht verhindern.
Elmo
Gast
Vielleicht sollte man noch einmal darauf hinweisen, dass das BSI sehr viel von security through obscurity hält (vgl. Chiasmus) und das auch hier der Fall ist! Teile des Kryptoverfahrens, das zum Erzeugen der Identitätssignatur dient, sind nämlich auf dem Chip fest verdrahtet. Finden sich ein paar kreative Menschen mit etwas krimineller Energie und Fachwissen, könnten die fehlenden Bestandteile, die dazu nötig sind, beliebige Identitäten zu signieren, extrahiert werden. Der Diebstahl von Identitäten selbst ist dann gar nicht mehr notwendig. Und sicherlich wird - im Falle eines Betruges - die Beweislast beim Personalausweis-Inhaber liegen, so wie es beim EC-Karten-Diebstahl/Betrug auch üblich ist. Sicher fährt also nur derjenige, der sich die "Rentnerversion" des Ausweises holt, oder den Ausweis entsprechend beschädigt. Viel Spaß!
Kiwi
Gast
Hmmm... glaube ich bei sowas nun dem Chaos Computer Club, der seit je her für technische Kompetenz in diesem Bereich bekannt ist, oder jemanden, der füßestampfend das verteidigt, dass ihm Lohn und Brot gibt...
Einfacher geht's kaum. Wenn der CCC meint es ist Schrott, dann ist's Schrott. Und die werden sicher nicht das letzte Mal recht behalten.
Paul
Gast
Steigt mir doch in die Tasche mit dem Chip. Werde meinen Perso im Oktober verlängern lassen. Der gilt dann bis 2020 und wies da dann aussieht ist ne ganz andere Frage.
Philip Brechler
Gast
Und das überrascht jetzt wen genau? Das Ding ist eine Totgeburt und die Sicherheitsdefinitionen sind ein Witz, ich freue mich schon darauf eins dieser "Sicherheitskit" auseinander zu nehmen.