Sie sind hier:
 

Neuer Personalausweis: BSI-Präsident Michael Hange im Interview
Wie sicher ist der neue Personalausweis?

von Markus Franz Uhr veröffentlicht

Diesen Artikel weiterempfehlen
SHARES

Seit 1991 sorgt das Bundesamt für Sicherheit in der Informationstechnik dafür, dass deutsche Politiker ohne Probleme über E-Mails, SMS und Telefonate kommunizieren können, ohne dabei abgehört zu werden. Der BSI-Präsident gibt im Interview Auskunft über den neuen E-Perso und andere Themen der Behörde.

Michael Hange ist seit 2009 Präsident des BSI mit Hauptsitz in Bonn. (Quelle: BSI)

netzwelt: Herzlichen Dank, dass Sie sich Zeit für ein Gespräch mit netzwelt nehmen Herr Hange. Die Einführung des neuen Personalausweises steht ja kurz bevor - haben Sie ihre alte Plastik-Variante schon zerschnitten, um sich gleich am kommenden Montag die neue Variante, den E-Personalausweis, zu bestellen?

Hange: Ich habe zwar erst Mitte des Jahres meinen abgelaufenen Personalausweis verlängert, werde aber tatsächlich so schnell wie möglich auf den neuen Personalausweis wechseln. Am kommenden Montag wird das aber noch nichts - da ist in Nordrhein-Westfalen nämlich Feiertag, wir starten dann erst Dienstag.

netzwelt: Welche Vorteile sehen Sie grundsätzlich im neuen Personalausweis? Es gibt ja Menschen, die auf keinen Fall wechseln möchten und die alte Plastik-Variante noch viele Jahre behalten.

Hange: Zunächst einmal hat der neue Personalausweis ein nutzerfreundlicheres Format, er passt einfach besser in das Portemonnaie. Nach wie vor ist der Personalausweis ein hoheitliches Dokument, mit dem die Bürgerinnen und Bürger in viele Länder auch ohne Reisepass einreisen können. Daneben bietet er eine ganze Reihe von neuen Funktionen, die man mit dem alten Ausweis nicht nutzen konnte, zum Beispiel die Möglichkeit, die herkömmliche Nutzung von Ausweisen in die digitale Welt zu übertragen und sich auch im Internet eindeutig auszuweisen. Neben der Ausweisfunktion verfügt der neue Personalausweis auch über eine Unterschriftsfunktion, die sogenannte qualifizierte elektronische Signatur. Diese ermöglicht es, rechtsverbindlich elektronische Dokumente zu unterschreiben. Für die Sicherheit ist stets gesorgt.

netzwelt: Das sehen die Kritiker aber ganz anders - der Chaos Computer Club hat herausgefunden, dass es bei den Lesegeräten noch gravierende Probleme gibt. Ist der neue Ausweis also wirklich sicher?

Hange: Die Frage der Sicherheit muss man differenziert betrachten: Die von einigen Kritikern geäußerten Bedenken beziehen sich auf einen klassischen Angriff mit einem Trojanischen Pferd. Bei Verwendung eines Basislesegerätes kann ein Trojaner auf dem PC des Nutzers die Tastatureingabe der sechsstelligen PIN möglicherweise mitlesen, die zur Online-Authentisierung mit dem neuen Personalausweis notwendig ist. Mit dieser Methode hat der Angreifer jedoch keinerlei Zugriff auf die persönlichen Daten des Ausweisinhabers. Diese werden ausschließlich Ende-zu-Ende-verschlüsselt vom Chip an den Diensteanbieter übertragen. Ein Mitlesen oder Verfälschen der Daten auf dem Bürgerrechner ist nicht möglich. Nur durch Kenntnis der PIN ist ein Missbrauch des Ausweises nicht möglich, denn zur Nutzung der elektronischen Ausweisfunktion ist eine so genannte Zwei-Faktor-Authentisierung notwendig, d.h. neben der Kenntnis der PIN muss der Angreifer auch Zugriff auf den Ausweis selbst haben - was eigentlich sehr unwahrscheinlich ist.

Angriffe mit Schadsoftware wie einem Trojanischen Pferd sind bei der Nutzung des Internets grundsätzlich möglich. Im Vergleich zu der heute in der Regel verwendeten Authentisierung mittels Benutzername und Passwort - der Ein-Faktor-Authentisierung - bietet der neue Personalausweis auch in Verbindung mit einem Basislesegerät einen erheblichen Sicherheitsgewinn. Um Angriffe mit Schadsoftware und und auch Phishing vorzubeugen, sollten Anwender ihren PC mit den gängigen Methoden wie Antivirensoftware, Firewall sowie regelmäßigen Sicherheitsupdates aller auf dem Computer installierten Programme absichern.

Ein erheblicher Sicherheitsgewinn besteht auch darin, dass der Inhaber des Ausweises bei Transaktionen im Internet mittels des neuen Personalausweises in der Lage ist, auch das jeweilige Gegenüber eindeutig zu identifizieren und den gesamten Prozess über alle Parteien, die z.B. an einer Transaktion im E-Commerce beteiligt sind, hinweg nachzuvollziehen. Das macht nicht nur E-Commerce oder E-Government, sondern auch eine ganze Reihe von weiter denkbaren Anwendungen viel transparenter als bisher.

netzwelt: Es bleiben also weiterhin Risiken, genau wie bei allen IT-Anwendungen. Was können Nutzer denn neben dem Schutz vor Trojanern noch konkret tun, um sich grundsätzlich vor Gefahren zu schützen?

Hange: Zunächst ist es wichtig, die PIN und den Ausweis immer getrennt voneinander aufzubewahren. Die PIN sollte grundsätzlich geheim gehalten und niemandem anvertraut werden. Zusätzlich sollte der Inhaber darauf achten, dass der neue Personalausweis nur bei der eigentlichen Transaktion auf dem Lesegerät liegt und danach wieder heruntergenommen wird. Natürlich sollte man auch grundsätzlich dafür sorgen, dass der Ausweis nicht durch Dritte entwendet wird. Im Umgang mit dem neuen Ausweis ist es denkbar, dass die  Lesegeräte in Zukunft direkt in Notebooks oder andere mobile Endgeräten integriert werden. Dazu laufen bereits entsprechende Gespräche mit Herstellern - für konkrete Ankündigungen ist es jedoch noch etwas zu früh. Man wird sehen, wie die Privatwirtschaft die von der Bundesregierung durch den neuen Ausweis nun geschaffenen Rahmenbedingungen nutzt und in konkrete Angebote umzusetzen vermag.

Es bleibt abzuwarten, wie die Wirtschaft auf die Einführung des neuen Persos reagiert. Gibt es bald Notebooks mit integriertem Lesegerät?

netzwelt: Sprechen wir über ein ganz anderes Thema, das mit dem E-Perso in Verbindung steht: Über De-Mail soll es eine neue Möglichkeit geben, sicher zu kommunizieren. Wie stehen sie zum Projekt?

Hange: De-Mail zielt insbesondere auf die verbindliche Kommunikation ab. Dazu gehört die Nachweisbarkeit der Kommunikation und mit wem eigentlich kommuniziert wird. Dies wird bei De-Mail durch Versand- und Eingangsbestätigungen realisiert sowie durch die zuverlässige Identifikation der Teilnehmer. De-Mail ist ein weiteres Angebot für sichere E-Mail-Kommunikation, für das keine besondere Infrastruktur oder besondere IT-Kenntnisse erforderlich sind. Insofern sehe ich De-Mail nicht als einen Konkurrenten zur qualifizierten elektronischen Signatur und Verschlüsselung von herkömmlichen E-Mails an, das Projekt ist vielmehr eine Ergänzung dazu. Das Gesetz zu De-Mail befindet sich aber noch in der parlamentarischen Beratung.

netzwelt: Und bei De-Mail gibt es genauso keine Sicherheitsbedenken wie beim Ausweis? Wie schätzen Sie denn ganz allgemein das Wissen der breiten Öffentlichkeit im Bezug auf die Sicherheit von IT ein?

Hange: Zunächst legt das BSI mit seinen Initiativen einen großen Fokus auf die Aufklärung der Bürger. Wir wollen dafür sensibilisieren, welche Risiken es im Umgang mit dem Internet und IT-Anwendungen allgemein gibt und den Anwendern entsprechende Hilfestellungen geben. Untersuchungen zeigen zum Beispiel, dass die Hälfte der mit einem Trojaner oder anderen Schadprogrammen infizierten Rechner mehr als 300 Tage infiziert sind, ohne dass der Besitzer etwas von den Risiken ahnt. Alle zwei Sekunden wird zudem eine neue Variante von Schadsoftware bekannt. Aufklärung ist aus genau diesen Gründen enorm wichtig.

Daher unterstützt das BSI auch die Anti-Botnetz-Initiative, die unter Federführung des ECO-Verbandes der deutschen Internetwirtschaft im September 2010 gestartet ist. Internetnutzer, deren Computer mit einem Botnetz-Schadprogramm infiziert ist, finden unter www.botfrei.de Anleitungen und Programme, mit denen sie ihren Rechner von den Schadprogrammen reinigen können. Es gibt sogar eine telefonische Hotline.

netzwelt: Die meisten Sicherheitslücken scheint es doch auch heute noch für Microsoft-Software zu geben. Trotzdem setzen einige Behörden weiterhin auf Windows und Co. - muss sich da vielleicht etwas ändern?

Hange: Nun, so grundsätzlich kann man das nicht sagen. Das Problem betrifft nicht nur einen Hersteller. Es gibt in verschiedenen Software-Produkten viele potenzielle Schwachstellen, die irgendwann entdeckt werden - mal früher, mal später. Das BSI selbst steht dem Open-Source-Gedanken sehr offen gegenüber und setzt intern Linux ein. Als BSI sind wir auch für die Sicherheit der Regierungsnetze und der IT-Infrastruktur der Bundesverwaltung zuständig, andere Behörden obliegen jedoch der Hoheit der jeweiligen Länder.

Das Grundgesetz ermöglicht es jedoch durch den Paragraphen 91c, dass Bund und Länder bei der Planung, Errichtung und dem Betrieb der für ihre Aufgabenerfüllung notwendigen informationstechnischen Systeme zusammenwirken. Dementsprechend führen auch wir Gespräche mit den Ländern und tauschen uns zu den Themen der IT-Sicherheit aus. Der Paragraph ist noch recht neu, aber eine sehr wichtige Komponente für mehr Zusammenarbeit bei IT-Interoperabilität und Sicherheit, denn eigentlich verbietet das Grundgesetz die Mischverwaltung von Bund und Ländern. Wir müssen in den Bereichen aber national schnell vorankommen, um auch auf europäischer Ebene bei der Standardisierung unsere Vorstellung einbringen zu können.

netzwelt: Mit welchen anderen Bundesbehörden arbeitet das BSI am häufigsten zusammen?

Hange: Das BSI ist für die IT-Sicherheit in der Bundesverwaltung zuständig. Naturgemäß gibt es die meisten Verbindungen zu denjenigen Ministerien, die im IT-Bereich besonders schutzbedürftig sind - also etwa das Innenministerium, aber auch das Verteidigungsministerium und das Auswärtige Amt. Das BSI steht aber generell mit allen Bundesministerien in regem Kontakt. Zum Beispiel spielt das Thema Cloud Computing für das Wirtschaftsministerium eine große Rolle, auch bei der Gesundheitskarte gibt es Fragen an das BSI.

Es gibt auch bereits im Gesetz eine Regelung für die Zusammenarbeit mit den Datenschutzbeauftragten, die in beiden Behörden auch wirklich sehr gerne wahrgenommen wird. Sicherheit und Datenschutz gehören in der Informationstechnologie ja oft zusammen. Das BSI ist insgesamt in sehr vielen Fachbereichen tätig.

netzwelt: Wie gehen Sie privat mit dem Thema IT-Sicherheit um?

Hange: Ich habe da stets meine Familie im Blick und sorge natürlich dafür, dass auch die Rechner zu Hause zuverlässig vor Gefahren wie Trojaner oder Würmern geschützt sind, damit nichts passieren kann.

netzwelt: Wir bedanken uns für das aufschlussreiche Gespräch Herr Hange und wünschen viel Erfolg.

Kommentare zu diesem Artikel

Seit 1991 sorgt das Bundesamt für Sicherheit in der Informationstechnik dafür, dass deutsche Politiker ohne Probleme über E-Mails, SMS und Telefonate kommunizieren können, ohne dabei abgehört zu werden. Der BSI-Präsident gibt im Interview Auskunft über den neuen E-Perso und andere Themen der Behörde.

Jetzt ist Ihre Meinung gefragt. Diskutieren Sie im Forum zu diesem Artikel.

Jetzt Diskutieren!
  • foanDroll schrieb Uhr
    AW: Neuer Personalausweis: BSI-Präsident Michael Hange im Interview

    Bekräftigt der zweite nicht eher den ersten Satz?

    "Zunächst ist es wichtig, die PIN und den Ausweis immer getrennt voneinander aufzubewahren. Die PIN sollte grundsätzlich geheim gehalten und niemandem anvertraut werden."

    damit ein Missbrauch des Ausweises durch die

    ... Zwei-Faktor-Authentisierung ...

    verhindert werden kann?
  • Panzerflak schrieb Uhr
    AW: Neuer Personalausweis: BSI-Präsident Michael Hange im Interview

    "Nur durch Kenntnis der PIN ist ein Missbrauch des Ausweises nicht möglich, denn zur Nutzung der elektronischen Ausweisfunktion ist eine so genannte Zwei-Faktor-Authentisierung notwendig, d.h. neben der Kenntnis der PIN muss der Angreifer auch Zugriff auf den Ausweis selbst haben - was eigentlich sehr unwahrscheinlich ist." "Zunächst ist es wichtig, die PIN und den Ausweis immer getrennt voneinander aufzubewahren. Die PIN sollte grundsätzlich geheim gehalten und niemandem anvertraut werden." Widerspricht sich ein wenig.
  • man muss einfach... schrieb Uhr
    AW: Neuer Personalausweis: BSI-Präsident Michael Hange im Interview

    ... feststellen, dass keine Behörde, kein Bundesamt selbstkritisch sein und alles nur schön reden kann... "Der Ausweis ist sicher" ... es gibt nur eines was absolut sicher ist, und das ist der Tod.

DSL- & LTE-Speedtest

Testen Sie mit unserem Speedtest Ihre tatsächliche DSL- oder LTE-Geschwindigkeit. Test auch mit Smartphone und Tablet möglich.

Jetzt Testen!

Der große Android-Update-Fahrplan

Welche Android-Version ist für mein Smartphone oder Tablet-Computer aktuell? Der große Android-Update-Fahrplan bringt Licht ins Dickicht der Versionen.

Jetzt ansehen!

article
27439
Neuer Personalausweis: BSI-Präsident Michael Hange im Interview
Neuer Personalausweis: BSI-Präsident Michael Hange im Interview
Im Gespräch mit netzwelt erklärt der BSI-Präsident Michael Hange den neuen Ausweis und weitere Themen.
http://www.netzwelt.de/news/84502-neuer-personalausweis-bsi-praesident-michael-hange-interview.html
2010-10-30 11:34:01
News
Neuer Personalausweis: BSI-Präsident Michael Hange im Interview