Chaos Computer Club enthüllt Sicherheitslücke
Neuer Personalausweis: Besser keine Basis-Lesegeräte verwenden
Der neue elektronische Personalausweis ist nicht sicher. Hacker können die vertraulichen Daten mittels einfacher Spionagesoftware ausspionieren, wenn der Nutzer ein Basis-Lesegerät ohne eigene Tastatur für die Authentifizierung bei Internet-Geschäften nutzt. Bürgerinnen und Bürger sollten sich deshalb für eine teurere Lesegerätvariante mit eigener Tastatur entscheiden.
Zum Start des neuen elektronisch Personalausweises am 1. November verteilt das Bundesinnenministerium über eine Million Lesegeräte, mit denen der neue Ausweis auch für Internetgeschäfte genutzt werden kann. Dazu ist neben Ausweis und Lesegerät noch eine sechsstellige PIN-Nummer nötig, die die Ausweisdaten vor unerlaubten Zugriff schützen soll. Problematisch: Die Lesegeräte gibt es nach Informationen des ARD-Magazins PlusMinus in den drei Varianten Basis, Standard und Komfort. Bei den kostenlos verteilten Lesegeräten handelt es sich um Basismodelle. Diese besitzen keine eigenen Tastatur und kein eigenes Display. Die PIN-Eingabe erfolgt über die Tastatur des heimischen Computers.
Dies ist nicht ungefährlich, denn hier kann sie mit einfachen Spionageprogrammen ausgelesen und vertrauliche Daten vom Personalausweis bis hinzu den Fingerabdrücken ausgelesen werden. Das bewies PlusMinus in einem Test zusammen mit dem Chaos Computer Club. Gelangt der Angreifer zusätzlich in Besitz des Ausweises ist auch ein vollständiger Identitätsdiebstahl und Missbrauch möglich.
Besser auf Standard- oder Komfort-Lesegeräte setzen
Bundesinnenminister Thomas de Maizière (CDU) sieht jedoch keinen akuten Handlungsbedarf: "Wir arbeiten gerne an besseren Lesegeräten. Die können gerne auch noch ein bisschen teurer und sicherer werden", sagte er gegenüber der ARD, "Aber der Start für die Sicherheit ist so gut wie bisher nirgends bei allen Rechtsgeschäften im Internet. Darauf muss ich bestehen."
Nutzer des neuen Personalausweises sollten daher, wenn sie auf Nummer sicher gehen wollen, die günstigen Basislesegeräte links liegen lassen und sich für den Kauf einer besseren Variante mit eigener Tastatur für die PIN-Eingabe entscheiden. Diese sind laut PlusMinus deutlich sicherer. Haben jedoch auch ihren Preis: Während die Basis-Lesegeräte bereits ab 35 Euro zu haben sind, kosten Modelle mit eigener Tastatur durchaus bis zu 100 Euro und mehr. Geeignete Lesegeräte für den neuen Personalausweis sind dem Bundesinnenministerium zufolge im Handel an dem aufgedruckten Personalausweislogo zu erkennen.
Wenn man sich an gewisse Grundregeln hält, ist der Einsatz von Lesegeräten für eID und eSignatur relativ sicher. Eine gute Zusammenstellung dazu findet man hier: 10 Regeln für Sicherheit im Umgang mit dem neuen...