ePerso: Zweifel an Datenschutz bei neuem Personalausweis

Während offizielle Stellen von höchsten Standards sprechen, wollen Hacker schon die ersten Sicherheitslücken gefunden haben. Am 1. November kommt der neue Personalausweis mit integriertem Chip. FTD.de erklärt, was er kann - und warum Internetexperten Alarm schlagen.

Ist er nun sicher, der neue Personalausweis? Die Bürger bekommen kurz vor dem Start des elektronischen Dokuments widersprüchliche Signale. Alles in Ordnung, versichern die Behörden. Von gravierenden Sicherheitslücken sprechen hingegen Kritiker wie die Hackervereinigung Chaos Computer Club (CCC).

Ab dem 1. November gibt es den neuen Personalausweis

Die Verunsicherung rührt auch daher, dass der neue Personalausweis gleich drei Funktionen erfüllt: Er ist ein hoheitliches Ausweisdokument, erlaubt die Identifikation bei Internetgeschäften und bietet die Möglichkeit, mit einer digitalen Signatur rechtsverbindliche Verträge abzuschließen. Die unterschiedlichen Funktionen sind auf der Plastikkarte getrennt - und unterschiedlich gut geschützt.

Das unerlaubte Auslesen der persönlichen Daten aus dem "Staatsteil" des Chips sei nicht möglich, sagt Jens Fromm, für das E-Government zuständiger Gruppenleiter beim Fraunhofer-Institut für Offene Kommunikationssysteme. "Das ist bisher niemandem gelungen."

Komplizierter wird es bei der Identifizierungsfunktion im Internet, der sogenannten eID, bei der Name und Geburtsdatum übermittelt werden. Damit soll zum Beispiel ein Online-Händler eindeutig wissen, mit wem er es zu tun hat - oder auch ein Anbieter von Angeboten für Erwachsene sichergehen können, dass sein Kunde über 18 Jahre alt ist.

Wer die Onlineausweisfunktion nutzen will, benötigt einen Computer mit Internetbrowser, ein Kartenlesegerät und eine kostenlos bereitgestellte Software, die sogenannte Ausweis-App. Beim Kartenleser stellt sich nun die Gewissensfrage: Die Basis-Variante ist kostengünstig, aber auch mit einem Risiko verbunden. Wenn der Computer nicht gut genug gegen Schadsoftware abgeschottet ist, könnte ein eingeschmuggelter Trojaner die PIN-Eingabe auf der Tastatur mitlesen und an den Angreifer übermitteln. Dann könnte sich ein Onlinekrimineller im Internet für sein Opfer ausgeben, sobald dieser die Karte auf das Lesegerät legt.

Abhilfe gegen Angriffe auf die ID-PIN schafft ein sogenanntes Komfortkartenlesegerät mit eigener Tastatur und einem kleinen Display. Die damit verbundene höhere Sicherheit hat ihren Preis: Die Geräte sind ab 70 Euro zu haben. Die dritte Funktion - die elektronische Signatur - lässt sich nur mit dieser Art Lesegerät nutzen. Sie ist durch eine eigene PIN geschützt, die nicht abgefischt werden könne, sagt Manuel Bach vom Bundesamt für Sicherheit in der Informationstechnik.

Teil 2: Der Bund verteilt eine Million Lesegeräte - allerdings von der billigen Sorte