Ausweis alt (links) und neu. Der neue enthält einen RFID-Chip, der die persönlichen Daten speichert © Tim Brakemeier/dpa

Jedes System ist immer nur so stark wie sein schwächster Baustein. Daher nützt es wenig, dass der biometrische Personalausweis von Datenschützern gelobt wird – ist doch das dazugehörige Lesegerät Murks.

Der Chaos Computer Club (CCC) war wie viele andere von Anfang an der Meinung , es sei eine eher schlechte Idee, so viele so wichtige Funktionen auf einer Plastikkarte zu vereinen. Hält doch damit im Zweifel ein Dieb das ganze Leben in der Hand. Dass dies nicht nur eine theoretische Gefahr ist, hat der CCC nun mit einem Hack belegt.

Das ursprünglich "elektronischer" und jetzt "neuer Personalausweis" genannte System soll eigentlich das Leben im Netz sicherer machen. Man kann sich damit digital rechtsgültig identifizieren, also Dokumente unterschreiben. Behördengänge werden genauso überflüssig, so die Vision des Innenministers, wie aufwändige Identifizierungsverfahren wie Postident .

Notwendig ist dazu neben dem Ausweis allerdings ein Lesegerät, das man an den Computer anschließt. In der Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind für den Ausweis drei Arten von Kartenlesern vorgesehen. Die einfachste Version heißt Chipkartenleser Cat-B.

Sie ist vor allem billig und soll es auch sein. Das entspricht dem Wunsch der Bundesregierung, die Ausweise so schnell wie möglich so breit wie möglich zu verteilen. Als "kostengünstiges Einsteigergerät" soll Cat-B helfen, die notwendige Infrastruktur aufzubauen, schreibt das BSI. Denn nur, wenn eine "signifikante Anzahl von Bürgern auf Grund des zu erwartendem Nutzens bereit ist, die Technologie einzusetzen", könne sie sich überhaupt durchsetzen. Daher will der Bund ab November viele Tausend dieser Lesegeräte verschenken.

Genau die sind es aber, die nach Meinung des CCC leicht zu hacken sind. Das Problem ist, dass sie die Daten aus dem Chip des Ausweises zwar verschlüsselt übertragen. Dass man aber, um die Übertragung zu starten, an der Tastatur seines Rechners den sechsstelligen Ausweis-PIN eingeben muss. Der PIN nun kann mittels sogenannter Keylogger mitgelesen werden. Solche Programme sind weder teuer noch selten und lassen sich auf üblichen Wegen beispielsweise durch verseuchte E-Mails einschleusen.

Damit aber noch nicht genug. Das Keylogger-Problem ist bereits seit August bekannt und wurde als noch nicht so gravierend eingestuft, braucht ein Krimineller doch wie beim EC-Kartenbetrug dazu den PIN und die Karte. Die Ausweise zu klonen, also unbemerkt ein Duplikat herzustellen, wie es bei EC- und Kreditkarten geht, ist aber noch nicht möglich. Zumindest nicht ohne Weiteres .

Nun aber hat der CCC nachgewiesen, dass sich der PIN auf dem Ausweis auch aus der Ferne ändern lässt. Der Inhaber hat damit keinen Zugriff mehr auf sein eigenes Dokument. Außerdem konnten ihn die Hacker – solange der Ausweis noch auf dem Lesegerät lag – nach Gutdünken benutzen.

Auch bisherige Ausweise können abhanden kommen und der Finder kann die Unterschrift fälschen (wenn er dem Bild ähnlich sieht). Das Risiko einer digitalen Signatur jedoch ist, dass ihr uneingeschränkt vertraut wird und werden muss. Bei einer gefälschten Unterschrift kann ein aufmerksamer Verkäufer skeptisch werden, bei der Signatur hat er dafür keine Anhaltspunkte. Falls überhaupt ein Mensch am anderen Ende sitzt und nicht nur ein Computer.

Im Zweifel ist der Bestohlene selbst Schuld

Noch dazu ist mit der digitalen Signatur die Beweislage schwierig. Der Besitzer muss belegen, dass er sie nicht hinterlegt hat. Bei der Unterschrift kann ein grafologisches Gutachten helfen, bei der Signatur nicht, sie ist immer identisch. Und ist sie erst einmal geleistet, genügt ihr Vorhandensein als Beweis, dass der Richtige sie abgab.

Doch Innenminister Thomas de Maizière hat Vertrauen in die Technik. In der Tagesschau sagte er, die Sicherheit des Ausweises "steht nicht infrage".

Es ist sogar so, dass einem Bestohlenen die Schuld gegeben werden kann. Immerhin heißt es im neuen Personalausweisgesetz, jeder sei für die Sicherheit seines Computers verantwortlich. In Paragraf 27 des Ausweisgesetzes steht : "Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß §18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist."

Auch das Innenministerium zieht sich auf diese Linie zurück. In einer Stellungnahme teilte es mit, das Angriffsszenario sei theoretisch möglich: "Befolgt der Nutzer jedoch die vom BMI und BSI empfohlenen grundlegenden Sicherheitsmaßnahmen im Umgang mit dem neuen Personalausweis, ist dieses Szenario auszuschließen."

Was nichts anderes bedeutet, als dass jeder selbst Schuld ist, der sich nicht beim BSI informiert, welche Lücken es gibt und der nicht die aktuellen Virenscanner besitzt. Die Geld kosten. Genauso wie die teureren Lesegeräte der Klasse Cat-S und Cat-K, die der CCC "dringend" empfiehlt .

Wenn überhaupt. Eigentlich rät der CCC ganz davon ab, die digitale Signatur zu nutzen, denn selbst der Einsatz der besseren Geräte biete "nur begrenzten Schutz". Gebe es doch noch eine zweite Schwachstelle. Mit einer sogenannten Man-In-The-Browser-Attacke sei nicht einmal der PIN nötig.

Dabei wird dem Benutzer vorgegaukelt, er gebe die Daten auf der richtigen Seite ein, doch ist es nur eine geschickte Kopie. Während der Eingabe werden sie dann manipuliert und an anderer Stelle missbraucht.

Wie schrieb der Journalistikprofessor und Blogger Jeff Jarvis kürzlich nach einer Veranstaltung mit einem deutschen Datenschützer in Berlin ? "Oh, diese Deutschen." Sie fürchteten Google, hätten aber kein Problem, sich mit einem Ausweis im Internet zu identifizieren, ja sie forderten das sogar aus Gründen der Datensicherheit. "Und mich schaudert es schon ein wenig, dass niemand zu bemerken scheint, welcher Geist allein in dem Wort 'Ausweis' steckt." Immer würden ihn die Deutschen an ihre dunkle Vergangenheit erinnern, wenn es um Privatsphäre gehe, schreibt Jarvis. "Dennoch installiert ihre Regierung eine Identitätskarte mit Technologie, die jeden Amerikaner verrückt werden lässt, wenn sie nur anonym an Hosen hängt."

Jarvis meint den berührungslos auslesbaren Chip mit RFID-Technologie. Zitat CCC: Wer sich bis Oktober keinen alten Ausweis besorge, habe nur noch die Chance, "den Chip im Ausweis zu deaktivieren". Das bleibe folgenlos. "Denn rechtlich und faktisch ist das Ausweisdokument auch ohne funktionierenden Chip vollwertig gültig."