Personalausweis Wenn die Identität weg ist
Der neue Personalausweis sei sicher, sagt Innenminister de Maizière. Keinesfalls, sagt der Chaos Computer Club und führt vor, wie man die digitale Signatur klauen kann.
© Tim Brakemeier/dpa
Ausweis alt (links) und neu. Der neue enthält einen RFID-Chip, der die persönlichen Daten speichert
Jedes System ist immer nur so stark wie sein schwächster Baustein. Daher nützt es wenig, dass der biometrische Personalausweis von Datenschützern gelobt wird – ist doch das dazugehörige Lesegerät Murks.
Der Chaos Computer Club (CCC) war wie viele andere von Anfang an der Meinung , es sei eine eher schlechte Idee, so viele so wichtige Funktionen auf einer Plastikkarte zu vereinen. Hält doch damit im Zweifel ein Dieb das ganze Leben in der Hand. Dass dies nicht nur eine theoretische Gefahr ist, hat der CCC nun mit einem Hack belegt.
Anzeige
Das ursprünglich "elektronischer" und jetzt "neuer Personalausweis" genannte System soll eigentlich das Leben im Netz sicherer machen. Man kann sich damit digital rechtsgültig identifizieren, also Dokumente unterschreiben. Behördengänge werden genauso überflüssig, so die Vision des Innenministers, wie aufwändige Identifizierungsverfahren wie Postident .
Notwendig ist dazu neben dem Ausweis allerdings ein Lesegerät, das man an den Computer anschließt. In der Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind für den Ausweis drei Arten von Kartenlesern vorgesehen. Die einfachste Version heißt Chipkartenleser Cat-B.
Sie ist vor allem billig und soll es auch sein. Das entspricht dem Wunsch der Bundesregierung, die Ausweise so schnell wie möglich so breit wie möglich zu verteilen. Als "kostengünstiges Einsteigergerät" soll Cat-B helfen, die notwendige Infrastruktur aufzubauen, schreibt das BSI. Denn nur, wenn eine "signifikante Anzahl von Bürgern auf Grund des zu erwartendem Nutzens bereit ist, die Technologie einzusetzen", könne sie sich überhaupt durchsetzen. Daher will der Bund ab November viele Tausend dieser Lesegeräte verschenken.
Genau die sind es aber, die nach Meinung des CCC leicht zu hacken sind. Das Problem ist, dass sie die Daten aus dem Chip des Ausweises zwar verschlüsselt übertragen. Dass man aber, um die Übertragung zu starten, an der Tastatur seines Rechners den sechsstelligen Ausweis-PIN eingeben muss. Der PIN nun kann mittels sogenannter Keylogger mitgelesen werden. Solche Programme sind weder teuer noch selten und lassen sich auf üblichen Wegen beispielsweise durch verseuchte E-Mails einschleusen.
Damit aber noch nicht genug. Das Keylogger-Problem ist bereits seit August bekannt und wurde als noch nicht so gravierend eingestuft, braucht ein Krimineller doch wie beim EC-Kartenbetrug dazu den PIN und die Karte. Die Ausweise zu klonen, also unbemerkt ein Duplikat herzustellen, wie es bei EC- und Kreditkarten geht, ist aber noch nicht möglich. Zumindest nicht ohne Weiteres .
Nun aber hat der CCC nachgewiesen, dass sich der PIN auf dem Ausweis auch aus der Ferne ändern lässt. Der Inhaber hat damit keinen Zugriff mehr auf sein eigenes Dokument. Außerdem konnten ihn die Hacker – solange der Ausweis noch auf dem Lesegerät lag – nach Gutdünken benutzen.
Auch bisherige Ausweise können abhanden kommen und der Finder kann die Unterschrift fälschen (wenn er dem Bild ähnlich sieht). Das Risiko einer digitalen Signatur jedoch ist, dass ihr uneingeschränkt vertraut wird und werden muss. Bei einer gefälschten Unterschrift kann ein aufmerksamer Verkäufer skeptisch werden, bei der Signatur hat er dafür keine Anhaltspunkte. Falls überhaupt ein Mensch am anderen Ende sitzt und nicht nur ein Computer.
Übersicht zu diesem Artikel
- Seite 1 Wenn die Identität weg ist
- Seite 2 Im Zweifel ist der Bestohlene selbst Schuld
Anzeige
- Datum 22.09.2010 - 17:26 Uhr
- Seite 1 | 2 | Auf einer Seite lesen
- Quelle ZEIT ONLINE
- Kommentare 54
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
Gibt es eigentlich irgendeinen sachlich nachvollziehbaren Grund, warum der Ausweis als Interface-Technologie unbedingt RFID benötigt?
Ein normaler Kontaktflächenchip, wie er in jeder Bankkarte seit Jahren üblich ist, hätte es auch getan, aber das Risiko des unbemerkten Auslesens quasi auf Null gesenkt.
Für die vorgesehenen Anwendungen - hoheitliche Identifikation am Zoll oder bei einer Verkehrskontrolle, Verwendung von digitalen Zertifikaten - würde es kein Problem machen, die Karte in einen Leser einzuschieben, um darauf zugreifen zu können.
Der einzige "Vorteil" der RFID-Technik ist es hier, dass interessierte Kreise (Polizei, Geheimdienste, Einbrecher) unbemerkt und auf Distanz problemlos die gesamten Ausweise selbst in größeren Menschenmassen problemlos und schnell erfassen können. Egal, ob der Einbrecher mit dem Antennekoffer unauffällig die Schlange am Flughafen-Checkin nach Adressen von Häusern abklappert, in denen er ungestört einsteigen kann, oder ob die Polizei nun problemlos alle Personalien von Leuten erfassen kann, die an einer Demonstration teilnehmen (oder auch nur zufällig im Empfangsbereich sind).
Die Vorteile der RFID-Technilogie sind in erster Linie interessant für Illegale oder noch nicht legalisierte Nutzungsarten. Und dasmacht mir Sorgen...
Wie man die hier verwendeten RFID-Chips unbemerkt ausliest möchte ich mal sehen. Besonders mit den Geräten für den heimischen PC. Da geht nach wenigen Zentimetern gar nichts mehr. Mann kann den Ausweis natürlich auf dem Gerät vergessen, aber das kann mir mit einer Chipkarte genauso passieren.
Und auch diese Vorstellung, die Polizei könne bei Menschenansammlungen mal eben alle vorhandenen elektronischen Ausweise auslesen ist lächerlich. Mit was für einer Energie soll denn der Sender arbeiten, damit das funktioniert? Von den ganzen Kollisionen, wenn Dutzende oder gar Hunderte von Chips gleichzeitig senden, mal ganz abgesehen.
Deutsche jammern gerne, das kann man bei technischen Neuerungen immer am besten beobachten. Fakten sind da nebensächlich, auf die Emotionen kommt es an. Man hat bei diesen ganzen elektronisch gespeicherten Daten ein ungutes Gefühl und ist erst mal dagegen.
Der CCC argumentiert hier offenbar lieber unsachlich mit plakativen Äußerungen wie "Der Ausweis ist unsicher". Anstatt die durchaus berechtige Kritik zu äußern, dass die Bundesregierung bei den Lesegeräten nicht unbedingt hätte sparen sollen.
Mir erschließt sich nicht, warum ich beim Ausweis weniger Sorgfalt lassen sollte als beim Onlinebanking oder allen anderen Tätigkeiten am Computer. Zumal der ganze Signaturkram optional ist.
Insgesamt ist sämtliche Kritik, die ich bislang gelesen habe, ziemlich peinlich und zeugt nur von mangelnder Sachkenntnis.
falls man nicht an die legale verwendung des rfid chips glauben möchte, könnte man ihn auch notfalls mit einer metallhülle isolieren und dann erst ab in den geldbeutel.
Wie man die hier verwendeten RFID-Chips unbemerkt ausliest möchte ich mal sehen. Besonders mit den Geräten für den heimischen PC. Da geht nach wenigen Zentimetern gar nichts mehr. Mann kann den Ausweis natürlich auf dem Gerät vergessen, aber das kann mir mit einer Chipkarte genauso passieren.
Und auch diese Vorstellung, die Polizei könne bei Menschenansammlungen mal eben alle vorhandenen elektronischen Ausweise auslesen ist lächerlich. Mit was für einer Energie soll denn der Sender arbeiten, damit das funktioniert? Von den ganzen Kollisionen, wenn Dutzende oder gar Hunderte von Chips gleichzeitig senden, mal ganz abgesehen.
Deutsche jammern gerne, das kann man bei technischen Neuerungen immer am besten beobachten. Fakten sind da nebensächlich, auf die Emotionen kommt es an. Man hat bei diesen ganzen elektronisch gespeicherten Daten ein ungutes Gefühl und ist erst mal dagegen.
Der CCC argumentiert hier offenbar lieber unsachlich mit plakativen Äußerungen wie "Der Ausweis ist unsicher". Anstatt die durchaus berechtige Kritik zu äußern, dass die Bundesregierung bei den Lesegeräten nicht unbedingt hätte sparen sollen.
Mir erschließt sich nicht, warum ich beim Ausweis weniger Sorgfalt lassen sollte als beim Onlinebanking oder allen anderen Tätigkeiten am Computer. Zumal der ganze Signaturkram optional ist.
Insgesamt ist sämtliche Kritik, die ich bislang gelesen habe, ziemlich peinlich und zeugt nur von mangelnder Sachkenntnis.
falls man nicht an die legale verwendung des rfid chips glauben möchte, könnte man ihn auch notfalls mit einer metallhülle isolieren und dann erst ab in den geldbeutel.
Wann kapieren die Leute das endlich, alles was Digital ist kann man Hacken. Es gibt nichts Digitales auf der Welt was man nicht hacken kann.
Ich hab ein Gerät, das sie bestimmt nicht hacken können...einen Piepser :)
mfg
Ich hab ein Gerät, das sie bestimmt nicht hacken können...einen Piepser :)
mfg
Ich finde diese Welle um die digitalisierung der Personalausweise nicht so gut weil jeder wird uneingeschränkt verfolgbar sein und ist dan anschließend ein potentieller Attentäter. Ich vergleiche dies mit den Google Streetview und die Persönlichkeitsrechte! Hierzu hab ich ein Artikel gelesen welches dieses Dilemma ganz raffiniert darstellt http://www.aggromigrant.c... kann ich wirklich nur empfehlen.
" "Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß §18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist.""?
Letztlich bedeutete das, dass man den Pass nicht verwenden dürfte.
oder durch die Mikrowelle ziehen - nur was nützt dann das gute Stück? Genau so viel wie der bisherige.
Ich werde meinen in den nächsten Tagen "verlieren", um mich nicht diesem hirrnverbrannten Blödsinn ausetzen zu müssen.
Identitätsklau in jeder Form ist einer der schlimmsten Dinge, die einem normalen Menschen passieren können.
Die Idee gab es schon vor über 15 Jahren als Film - z.B. "Das Netz" mit Sandra Bullock.
POM: "Darf ich mal ihrern Ausweiss sehen ?"
Ich: "Tut mir leid, der liegt zuhause im Safe, laut §27 Ausweisgesetz dar ich den nur in sicherer Umgebung verwenden"
Ich bin qua Gesetz verpflichtet das Ding nie zu benutzen !
oder durch die Mikrowelle ziehen - nur was nützt dann das gute Stück? Genau so viel wie der bisherige.
Ich werde meinen in den nächsten Tagen "verlieren", um mich nicht diesem hirrnverbrannten Blödsinn ausetzen zu müssen.
Identitätsklau in jeder Form ist einer der schlimmsten Dinge, die einem normalen Menschen passieren können.
Die Idee gab es schon vor über 15 Jahren als Film - z.B. "Das Netz" mit Sandra Bullock.
POM: "Darf ich mal ihrern Ausweiss sehen ?"
Ich: "Tut mir leid, der liegt zuhause im Safe, laut §27 Ausweisgesetz dar ich den nur in sicherer Umgebung verwenden"
Ich bin qua Gesetz verpflichtet das Ding nie zu benutzen !
Ein Riesengezeter, weil Google Straßen fotografiert, die jeder auch ohne Google sehen kann - da sollen Gesetze geschaffen werden, die das verhindern. Aber dann soll so ein Ausweis allen Ernstes eingeführt werden. Da kann doch nur extremste Ignoranz am Werk sein.
ist ein willkommenes Ablenkungsmanöver.
Suchen Sie doch Berlin !
Schauen Sie, was in Europa bisher angeboten wird !
Diese Aufrufe, sich gegen Streetview zu wehren sind mehr als lächerlich.
Da stimme ich Ihnen zu. Bei Google StreetView jammern alle rum und pochen auf ihre Rechte und bei dem neuen Personalausweis, scheint dies keine „Sau“ zu interessieren. Vielleicht sollten die Medien auch zu diesem Thema dicke Schlagzeilen in die Zeitungen packen. Problem könnte nur sein, dass der Staat keine DIN A3 Gegenanzeigen mit Aufklärung schalten wird, wie bei Google StreetView und der Bild geschehen.
...ein privates utnernehmen speichert riesige Datenmengen die fast jedes Haus und jfast jeden vorgarten und manche Vorderzimmer esichtlich machen! Was für eine Traumdatenbank für Terroristen, RÄuber und korrupte Staaten. Oder meinen Sie Deutschland sit davor geschützt eine Regoerung zu bekommen, die ihre Bürger auf schritt un tritt verfolgt? Warum lassen wir es zu, dass Privatunternehmen ALLES von uns digitalisieren und millionen Menschen per knopfdruck zugänglich machen? Das ist kein vergleich zu dem "kann man doch auch sehen wenn man spazierne geht"
1. Können Sie NICHT in die Vorgärten gucken, weil sie für gewöhnlich nicht AUF ihrem auto herumfahren, oder? Die Google-Autos haben einen erhöhten Blickwinkel! Eine Hoche Hecke ist also kein Schutz mehr vor fremden Blicken
2. Können Sie NICHT mal eben schauen unter welchen bedingungen ihr Bewerber wohnt, oder ihr potentielles Opfer. Das würde in der Analogen welt sher viel aufwand bedeuten. google macht's möglich!
@ploync.de
Ich finde es echt nervig, dass LEute dauernd ein Übel mit einem anderen Übel relativieren wollen. Es ist gut, dass die Deutschen sich gegen die AUsspionierung wehren wenn es um Google Street view geht, es sit natürlich blöd, dass beim neuen Perso nicht sopviel aufregung herrscht. Deswegen sit aber die Kritik an google nicht falsch! Diese Argumentation wird in vielen Themenbereichen gebracht, aber sie ist überhaupt nicht schlüssig!
ist ein willkommenes Ablenkungsmanöver.
Suchen Sie doch Berlin !
Schauen Sie, was in Europa bisher angeboten wird !
Diese Aufrufe, sich gegen Streetview zu wehren sind mehr als lächerlich.
Da stimme ich Ihnen zu. Bei Google StreetView jammern alle rum und pochen auf ihre Rechte und bei dem neuen Personalausweis, scheint dies keine „Sau“ zu interessieren. Vielleicht sollten die Medien auch zu diesem Thema dicke Schlagzeilen in die Zeitungen packen. Problem könnte nur sein, dass der Staat keine DIN A3 Gegenanzeigen mit Aufklärung schalten wird, wie bei Google StreetView und der Bild geschehen.
...ein privates utnernehmen speichert riesige Datenmengen die fast jedes Haus und jfast jeden vorgarten und manche Vorderzimmer esichtlich machen! Was für eine Traumdatenbank für Terroristen, RÄuber und korrupte Staaten. Oder meinen Sie Deutschland sit davor geschützt eine Regoerung zu bekommen, die ihre Bürger auf schritt un tritt verfolgt? Warum lassen wir es zu, dass Privatunternehmen ALLES von uns digitalisieren und millionen Menschen per knopfdruck zugänglich machen? Das ist kein vergleich zu dem "kann man doch auch sehen wenn man spazierne geht"
1. Können Sie NICHT in die Vorgärten gucken, weil sie für gewöhnlich nicht AUF ihrem auto herumfahren, oder? Die Google-Autos haben einen erhöhten Blickwinkel! Eine Hoche Hecke ist also kein Schutz mehr vor fremden Blicken
2. Können Sie NICHT mal eben schauen unter welchen bedingungen ihr Bewerber wohnt, oder ihr potentielles Opfer. Das würde in der Analogen welt sher viel aufwand bedeuten. google macht's möglich!
@ploync.de
Ich finde es echt nervig, dass LEute dauernd ein Übel mit einem anderen Übel relativieren wollen. Es ist gut, dass die Deutschen sich gegen die AUsspionierung wehren wenn es um Google Street view geht, es sit natürlich blöd, dass beim neuen Perso nicht sopviel aufregung herrscht. Deswegen sit aber die Kritik an google nicht falsch! Diese Argumentation wird in vielen Themenbereichen gebracht, aber sie ist überhaupt nicht schlüssig!
Die Sicherheit des Ausweises steht nicht in Frage.
Das ist richtig. Sie war von Anfang an nie gegeben.
Das BSI warnt selber auf seiner eigenen Webseite:
== ZITAT ==
Es gibt derzeit weltweit zwischen 1000 und 2000 Botnetze mit durchschnittlich 20.000 Zombie-Computern. Nach einem Bericht der Firma Symantec (PDF) gab es im ersten Quartal 2007 pro Tag 52.771 neue Infektionen von Computern mit Bots. Insgesamt sind rund sechs Millionen Computer infiziert - Tendenz steigend.
Deutschland liegt, bezogen auf die Anzahl der mit Bots infizierten Computer, im Ländervergleich auf Platz 3. Mehr infizierte Computer gibt es nur noch in China (Platz 1) und den USA (Platz 2). Einer der Gründe für die hohe Platzierung Deutschlands liegt jedoch auch in der gut ausgebauten IT-Infrastruktur – immerhin gibt es hier weltweit die vierthöchste Anzahl von Internetnutzern.
Trotzdem sind diese Zahlen alarmierend. Zu befürchten ist, dass die Anzahl der Botnetze weiter steigt, da Cyberkriminelle immer neue Arten von Bots, die intelligenter agieren und so länger unentdeckt bleiben, entwickeln.
== ZITAT ENDE ==
Jeder einzelne Bot-Netz Rechner ist in der Lage, den Ausweis zu mißbrauchen.
Das BSI weiß also selber sehr genau, daß die Aufforderung an den Benutzer, "grundlegende Sicherheitsmaßnahmen zu beachten" völlig unrealistisch ist.
Warum das BMI hier Dinge behauptet, von welcher die eigene Fachbehörde (BSI) weiß, daß sie falsch sind, ist eine Frage, welche die Presse stellen sollte.
ist ein willkommenes Ablenkungsmanöver.
Suchen Sie doch Berlin !
Schauen Sie, was in Europa bisher angeboten wird !
Diese Aufrufe, sich gegen Streetview zu wehren sind mehr als lächerlich.
Da stimme ich Ihnen zu. Bei Google StreetView jammern alle rum und pochen auf ihre Rechte und bei dem neuen Personalausweis, scheint dies keine „Sau“ zu interessieren. Vielleicht sollten die Medien auch zu diesem Thema dicke Schlagzeilen in die Zeitungen packen. Problem könnte nur sein, dass der Staat keine DIN A3 Gegenanzeigen mit Aufklärung schalten wird, wie bei Google StreetView und der Bild geschehen.
Bitte melden Sie sich an, um zu kommentieren