Ausweis im Test Neuer Personalausweis zeigt Sicherheitsmängel
Einem Bericht zufolge geben Lesegeräte für den neuen Personalausweis Geheimdaten frei. Der Bund hat trotzdem keine Bedenken.
Am 1. November führt das Bundesinnenministerium den neuen Personalausweis ein. Auf einem Chip wird er zahlreiche persönliche Daten wie Biometrie oder Fingerabdrücke enthalten, mittels derer sich die Inhaber auch online ausweisen können. Die hierfür erforderlichen Lesegeräte jedoch sind offenbar leicht zu knacken. Zusammen mit dem Chaos Computer Club hat das ARD-Magazin Plusminus Testversionen der Basislesegeräte für den Ausweis geprüft und berichtet nun, für Betrüger sei es problemlos möglich, sensible Daten abzufangen – inklusive der geheimen, sechsstelligen PIN-Nummer.
Plusminus zufolge sieht Bundesinnenminister Thomas de Maizière (CDU) gleichwohl keinen unmittelbaren Handlungsbedarf. In Broschüren seiner Behörde heißt es, für das Ausleseverfahren reiche ein "einfaches Basislesegerät ohne eigene Tastatur und eigenes Display aus". Gerade diese Technologie aber erleichtere den Klau der Daten, berichtet das Magazin.
Anzeige
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies die Bedenken zurück. "Der Personalausweis ist sicher", sagte der Behördenvertreter Jens Bender. Die Verbindung von integriertem Chip und zusätzlicher PIN-Abfrage sei bei Online-Transaktionen "ein deutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort".
Denkbar sei zwar ein klassischer Trojaner-Angriff, bei dem etwa mit einer speziellen Software die Tastatureingabe der sechsstelligen PIN mitgeschnitten werden könne. "Damit habe ich aber noch keinerlei Zugriff auf die persönlichen Daten", sagte Bender. Diese würden nur verschlüsselt übertragen. "Auch als Angreifer komme ich nicht an die Daten heran".
Die Sicherheitsabfrage der Personalausweis-PIN erfolgt bei einfachen Lesegeräten über die PC-Tastatur. Ein solcher "Basisleser" sei für die Online-Authentifizierung in Ordnung, sagte Bender. Eine zusätzliche Sicherheit biete ein sogenanntes Pinpad mit integrierter Zifferneingabe. Man müsse natürlich auch dafür sorgen, dass der PC sauber bleibe, sagte der BSI-Experte und verwies auf regelmäßige Updates der Software, die Einrichtung einer Firewall und einen aktuellen Virenschutz.
Die Lesegeräte sind nötig, um den neuen Personalausweis am heimischen Computer zu nutzen und sich somit für die Abwicklung von Internet-Geschäften zu identifizieren. Zum Start sponsere das Bundesinnenministerium für 24 Millionen Euro mehr als eine Million der benötigten Lesegeräte, berichtet Plusminus . Das Geld komme aus dem Konjunkturpaket II. Die Lesegeräte würden unter anderem über Computer-Zeitschriften und ausgewählte Banken kostenlos als sogenannte Starter-Kits an Bürger verteilt. Sie sollen später auch im Handel in verschiedenen Preisklassen und Sicherheitsstufen angeboten werden.
- Datum 24.08.2010 - 10:56 Uhr
- Quelle ZEIT ONLINE, dpa
- Kommentare 51
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
als praktisch gezeigt wurde, dass die vom damaligen Innenminister geförderten Wahlmaschinen leicht zu manipuieren sind (in der Wahlkabine wurde innerhalb von wenigen Minuten ein Schachprogramm darauf installiert) konnte Herr Schäuble nicht von seinem Projekt lassen. Mit der Aussage, dass Wahlfälschung schliesslich verboten sei, wurde die Tatsache zur Seite gewischt, dass Manipulationen prakitsch möglich sind.
Nun lassen sich mit Lesegeräten also sensible Daten aus dem ePerso lesen. Dafür muss nichtmal ein Schraubenzieher in die Hand genommen werden, keine spezielle Software ist vonnöten. Und der jetzige Innenminister sieht hierin kein Problem. Herr de Maizière wäre gut beraten, im Bundesanzeiger die Tastenfolge zu veröffentlichen, die auf keinen Fall (ich wiederhole: auf keinen Fall) eingetippt werden darf, da sonst die sensiblen Daten offengelegt werden.
Man könnte meinen die Bürger sollten langsam aber sicher an die Tatsache herangeführt werden, dass es um den Bürger nichts geheimes gibt. Der muss doch gläsern werden, dass was uns unsere Politiker zwar weismachen aber nicht vormachen. Von daher passt alles ins Bild, dass alle Innenminister darin kein Problem erkennen können.
Denken sie mal an die Vorzügen und Möglichkeiten die sich aus der Freizügigkeit dieser Daten ergeben. Es kann eine deutliche Arbeitserleichterung für sie sein oder gar positiv wirken, wenn sie RFID-gescannt nicht nur in der Behörde schon an der Pforte mit richtigem Namen angesprochen werden oder die Kassiererin im Supermarkt sie dezent darauf aufmerksam macht, dass Kreditkarte und mitgeführter Personalausweis nicht übereinstimmen, obgleich sie noch nichts von beidem gezückt haben. *g*
Man sagt, eine kurze Mikrowellenbehandlung des Ausweises mache ihn weniger geschwätzig, also quasi mundtot … kann ja mal passieren, wenn der versehentlich unter dem Teller klebt, den man gerade die Welle schiebt, gelle.
Aber auch hier dürfte gelten, dass unser Innenminister die a ein oder andere Anleihe bei Facebook gemacht hat. Die sehen das mit den Daten auch viel lockerer (Hilfreiche Aufklärung zu Facebook: http://qpress.de/2010/07/...). Ist aber typisch für unsere Zeit, dass da nur halb-gare Sachen von der E-Lite abgeliefert werden.
Gekürzt. Bitte bleiben Sie sachlich. Die Redaktion/cs
Man könnte meinen die Bürger sollten langsam aber sicher an die Tatsache herangeführt werden, dass es um den Bürger nichts geheimes gibt. Der muss doch gläsern werden, dass was uns unsere Politiker zwar weismachen aber nicht vormachen. Von daher passt alles ins Bild, dass alle Innenminister darin kein Problem erkennen können.
Denken sie mal an die Vorzügen und Möglichkeiten die sich aus der Freizügigkeit dieser Daten ergeben. Es kann eine deutliche Arbeitserleichterung für sie sein oder gar positiv wirken, wenn sie RFID-gescannt nicht nur in der Behörde schon an der Pforte mit richtigem Namen angesprochen werden oder die Kassiererin im Supermarkt sie dezent darauf aufmerksam macht, dass Kreditkarte und mitgeführter Personalausweis nicht übereinstimmen, obgleich sie noch nichts von beidem gezückt haben. *g*
Man sagt, eine kurze Mikrowellenbehandlung des Ausweises mache ihn weniger geschwätzig, also quasi mundtot … kann ja mal passieren, wenn der versehentlich unter dem Teller klebt, den man gerade die Welle schiebt, gelle.
Aber auch hier dürfte gelten, dass unser Innenminister die a ein oder andere Anleihe bei Facebook gemacht hat. Die sehen das mit den Daten auch viel lockerer (Hilfreiche Aufklärung zu Facebook: http://qpress.de/2010/07/...). Ist aber typisch für unsere Zeit, dass da nur halb-gare Sachen von der E-Lite abgeliefert werden.
Gekürzt. Bitte bleiben Sie sachlich. Die Redaktion/cs
Entfernt. Bitte äußern Sie Ihre Kritik sachlich. Danke, die Redaktion/lv
....wie die Leute unterschiedliche Dinge in ihren Köpfen zusammenwerfen und daher Unfug herauskommt. Beim Pass ist ein Gesetz erlassen worden und der Staat zwingt aktiv dazu etwas zu tun, das den Bürger schadet.
Im anderen Fall geht es um eine öffentliche Diskussion, was erlaubt sein sollte und zu welchem Grad man prinzipielle bisherige Freiheiten im Internet beschränken will. Der Staat hat noch nichts gemacht, weil diese Diskussion noch kein Resultat erbrachte und der konditionierte Reflex der Bevölkerung im Gegensatz zu den internationalen Lösungen steht.
....wie die Leute unterschiedliche Dinge in ihren Köpfen zusammenwerfen und daher Unfug herauskommt. Beim Pass ist ein Gesetz erlassen worden und der Staat zwingt aktiv dazu etwas zu tun, das den Bürger schadet.
Im anderen Fall geht es um eine öffentliche Diskussion, was erlaubt sein sollte und zu welchem Grad man prinzipielle bisherige Freiheiten im Internet beschränken will. Der Staat hat noch nichts gemacht, weil diese Diskussion noch kein Resultat erbrachte und der konditionierte Reflex der Bevölkerung im Gegensatz zu den internationalen Lösungen steht.
Datensicherheit ist immer ein Hase-/Igel-Spiel.
Da Personalausweise mitunter zehn oder mehr Jahr gültig sind, wird die Datensicherheit aufgrund des technologischen Fortschrittes immer ein Problem bleiben.
Daher stehe ich dem neuen Personalausweis durchaus kritisch gegenüber.
Den einzigen Vorteil den ich sehe ist der, dass der Personalausweis aufgrund der kleineren
Abmessungen endlich besser in die Geldbörse passt.
...wenn es die USA werden könnte ich den Staat wegen mithilfe zum Identitätendiebstahl anklagen.
Weiß eigentlich jemand wie man den Chip braten kann? - Leider muss ich bald einen neuen Ausweis beantragen (weil das dumme Ding nur 5 Jahre gültig ist...)
Des weiteren - ich will diese kleine Plastikkarte nicht - kann man viel leichter verlieren als den heutigen Personalausweis - und knicken kann man sie auch nicht, dann ist sie nämlich zerbrochen...
Dazu kommt auch noch dass ich befürchte dass sie einfacher zu fälschen sein werden da Personal an z.B. Flughäfen sich auf die elektronischen Daten konzentrieren wird...
Was spricht dagegen den alten Ausweis zu verlieren? Vielleicht war man ja auch in einer von Taschendieben bevorzugten Gegend unterwegs? Kann im Urlaub ja schnell passieren...
Was spricht dagegen den alten Ausweis zu verlieren? Vielleicht war man ja auch in einer von Taschendieben bevorzugten Gegend unterwegs? Kann im Urlaub ja schnell passieren...
...ist dieser elektronische Personalausweis.
Ich kann nur jedem davon abraten das Teil am heimischen Rechner zu benutzen. Es ist davon auszugehen, dass ein Administrator am Rechner alles tun kann, was ihm beliebt - Inklusive des Auslesens aller Informationen auf der Chipkarte. Selbst wenn es momentan als sicher gälte, wer eine Sicherheitsprognose für ein solches System über zehn Jahre abgibt, tippt auch Webadressen bei Google ein.
Der Schaden für den Einzelnen mag zunächst erst einmal gering sein oder erscheinen und ein nicht bewanderter mag sich fragen was ein "böser Hacker" denn mit den Daten will. Das Problem wird jedoch das vollautomatische Abgreifen der Online-Identitäten von 50 Millionen Menschen sein (der Rest der Deutschen ist ja noch nicht online). Und das lohnt sich dann doch. Insbesondere wenn dann online abgegebene Willenserklärungen mit dem Personalausweis signiert sind.
Das beste mag sein, erstmal kein entsprechendes Lesegerät zu kaufen. Interessant wird es nämlich, wenn in spätestens fünf bis zehn Jahren die ersten Anfechtungen von falschen Online-Willenserklärungen vor Gericht landen.
Der zusätzliche Nutzen des Online-Personalausweises wiegt das potenzielle Risiko schlicht und ergreifend nicht auf. Das Geld dafür könnte man zum Beispiel in den Ausbau der Internetanbindung auf dem Land stecken, Schulden abbauen oder ganz einfach direkt an die Nigeria-Connection überweisen.
Gut, das Geräte prinzipiell nicht sicher sind bewahrheitet sich immer wieder. So hat schon mancher alter Geldautomat 20-Jahre alte Sicherheitstechnik bis heute eingebaut (Stichwort PS/2-Schnittstelle).
Aber viel bedenklicher finde ich den letzten Satz des Artikels:
"Sie sollen später auch im Handel in verschiedenen Preisklassen und Sicherheitsstufen angeboten werden"
So wird die persönliche Sicherheit eine Frage des Geldbeutels und das kann bei einem Gut wie den Personalauswies keinesfalls sein!
Wie praktisch für den Staat: Der Bürger hängt seine Sicherheit an ein inhärent unsicheres System und lässt sich so problemlos von Staat und Wirtschaft auch über die Grenzen des Legalen hinaus bespitzeln.
Zweitens wird es zum Standard gemacht, dass der Bürger wie ein Verbrecher erkennungsdienstlich mit biometrischen Daten erfasst wird.
Und last but not least werden dem Bürger diese merkwürdigen Geräte "geschenkt" mit denen er sich dann endgültig zum Daten-Sklaven des Staates machen soll - freiwillig.
Leider sehe ich schon die millionen Vollidioten, die nichts dabei finden und ihren Chip auf dem Ausweis NICHT sofort nach Erhalt zerstören werden.
Im Grunde ist es auch das, was man mit diesen "kostenlosen" Geräten machen sollte: Zerstören! Denn die Strategie ist offensichtlich: Man verschenke einige dieser Geräte und hoffe, damit bereits eine kleine kritische Masse an Kunden fangen zu können. Benutzen genügend Bürger diese, sicherheitstechnisch offenbar bewusst verkrüppelten, Geräte, lassen sich die anderen über den Netzwerk-Effekt/Gruppenzwang zum Mitmachen erpressen.
Und dann kommt der Augenblick, wo plötzlich Zugang zum Provider, zu Telefon und Internet nur noch mit dem elektronischen Ausweis möglich wird. Aufklärung und Anonymität im Netz: Ade, mittelalterliche Unterdrückung und staatliche Unterdrückung: Willkommen!
Ich denke, man sollte dieses System hintertreiben und sabotieren, wo immer es (legal) möglich ist! Es nützt weder der Demokratie, noch uns Bürgern!
Y.S.
Ein, wie ich finde, sehr gelungener Kommentar, Sie haben es auf den Kopf getroffen!
natürlich kann man den Chip zerstören, nachtürlich lässt sich jetzt noch schnell ein 'alter' Personalausweis beantragen, und natürlich können Sie die Datenleitung zu ihrem Haus kappen und zukünftig als digitaler Erimit leben. Und ganz selbstverständlich können Sie hier die digitale Faust in der Tasche (oder dem Leserbereich) ballen: es wird zu keinem Politikwechsel verhelfen, die Schlinge zieht sich enger zu.
Nur wenn Sie sich selbst einbringen, an der Politik mitwirken und eigene Ideen konstruktiv kommunizieren, lässt sich Einfluss nehmen. Als mir das klar wurde trat ich in die Piratenpartei ein.
Ein, wie ich finde, sehr gelungener Kommentar, Sie haben es auf den Kopf getroffen!
natürlich kann man den Chip zerstören, nachtürlich lässt sich jetzt noch schnell ein 'alter' Personalausweis beantragen, und natürlich können Sie die Datenleitung zu ihrem Haus kappen und zukünftig als digitaler Erimit leben. Und ganz selbstverständlich können Sie hier die digitale Faust in der Tasche (oder dem Leserbereich) ballen: es wird zu keinem Politikwechsel verhelfen, die Schlinge zieht sich enger zu.
Nur wenn Sie sich selbst einbringen, an der Politik mitwirken und eigene Ideen konstruktiv kommunizieren, lässt sich Einfluss nehmen. Als mir das klar wurde trat ich in die Piratenpartei ein.
Bei Tagesschau ist die Rede davon, das Teil einfach in die Mikrowelle zu hauen. Ziviler Ungehorsam ist angesagt.
Ich möchte die Kontrolle weitgehenst über meine Daten haben und nur bei persönlicher Anfrage diese offenlegen müssen.
Wer sagt denn, daß nicht mit Datenscanner überall eines Tages abgeglichen wird. Ohne Hinweis, versteckt.
Die DDR Stasi war dagegen finsterstes Mittelalter. Mit dieser Technick ist das Gleiche möglich, nur deutlich personalreduzierter.
Die letzten 3 Innenminister sägen an den Grundrechten der Bürger.
Bitte melden Sie sich an, um zu kommentieren