Elektronischer Personalausweis:
Sicherheitslücke bei E-Perso

von Lars Bube (lars.bube@crn.de), magnus.de

Share
25.08.2010

Ab dem ersten November gibt es in Deutschland den elektronischen Personalausweis. Drei verschiedene Lesegeräteklassen sollen damit unter anderem sicheres Onlineshoppen von zuhause erlauben. Doch wie das ARD-Magazin Plusminus berichtet, gibt es bei einigen Modellen gefährliche Sicherheitslücken.

(Fortsetzung des Artikels von Seite 1)

Keine Beiträge im Forum. » Diskussion starten!

Ab dem 1. November wird der E-Perso eingeführt. Für den neuen, elektronischen Personalausweis wird es drei Lesegeräte verschiedener Klassen für zuhause geben, die ein vermeintlich sicheres Online-Shopping ermöglichen sollen. Doch ausgerechnet beim günstigsten der Geräte klafft eine prekäre Sicherheitslücke, berichtete das ARD-Magazin »Plusminus« am Dienstag. Nach Recherchen der Plusminus-Redaktion in Zusammenarbeit mit dem Chaos Computer Club (CCC) soll es möglich sein, mittels eines einfachen Keyloggers den sechsstelligen Pin auszuspionieren.

Zur Erklärung: Im E-Perso ist ein Chip integriert, auf dem die typischen Angaben wie Adresse oder Geburtstag gespeichert sind. Auf den Chip kann ein digitales Zertifikat für die qualifizierte elektronische Signatur geladen werden, mit dem Dokumente rechtsverbindlich unterschrieben werden können, beispielsweise beim E-Government, der Gang zum Amt erübrigt sich. Aber auch beim Online-Shopping, -Banking oder beim Ticketkauf im Web soll das Verfahren zum Einsatz kommen. Dies soll nach Vorstellung der Bundesregierung die bisher übliche Sicherheitsmaßnahme Benutzername und Passwort ersetzen, die Angaben sind verbindlich, eine Unterschrift im Netz damit rechtskräftig.

Um sich im Netz zu authentifizieren wird ein Lesegerät benötigt, das mittels USB-Anschluss mit dem Computer verbunden wird. Der Perso wird dann lose aufgelegt, der Chip eingelesen und über die Eingabe eines Pins verifiziert.

Hier liegt nach Angaben von Plusminus die Gefahr. Denn die kleinste der insgesamt drei Varianten, die als »Starter Kit « 1,5 Millionen mal über Computerzeitschriften und Banken kostenlos verteilt wird, verfügt im Vergleich zu den größeren Lesegeräten nicht über ein Pinpad, der sechsstellige Pin muss über die Computertastatur eingegeben werden.

Innenminister sieht keine Gefahr

Sollte ein Keylogger auf dem Computer installiert sein, könnten Cyberkriminelle mit Leichtigkeit den Pin aufzeichnen. Trotzdem sieht Bundesinnenminister Thomas de Maizière im Plusminus-Interview keinen unmittelbaren Handlungsbedarf, und auch ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) hält die Technik nach wie vor für sicher, da die relevanten Daten verschlüsselt bleiben. Außerdem wird der E-Perso selbst benötigt, um wirklich Schaden anrichten zu können.

Dennoch sollte generell für die Sicherheit des eigenen Rechners gesorgt werden und der Computer mit Spezialprogrammen geschützt werden. Gegen Keylogger und andere Spyware hilft Spybot - Search and destroy, eine Firewall oder wenigstens ein Virenscanner mit aktuellen Definitionen wie AVG oder Avira Free AV sollten ebenfalls auf jedem PC und Notebook laufen.
Verwandte Artikel