Neuer Personalausweis im Zwielicht
Laut einem Magazin-Bericht gibt es Sicherheitslücken. Betroffen sind die Zusatzfunktionen für Online-Geschäfte.
Berlin. Zwei Monate vor Einführung des neuen Personalausweises sind Zweifel an der Sicherheit laut geworden. Dabei geht es vor allem um das Lesegerät für den Chip, der erstmals in dem Ausweisdokument integriert ist. Das Bundesinnenministerium wies die Zweifel zurück und bekräftigte: "Der neue Personalausweis ist sicher."
Auslöser der Debatte ist ein Bericht des ARD-Magazins "Plusminus". Demnach soll es für Betrüger problemlos möglich sein, sensible Daten abzufangen wie die sechsstellige Geheimzahl (Pin) für die Nutzung des Ausweises bei Online-Geschäften. Zusammen mit dem Chaos Computer Club habe die "Plusminus"-Redaktion Testversionen der Basis-Lesegeräte für den Ausweis geprüft.
Die Sicherheitsabfrage der Personalausweis-Pin erfolgt bei einfachen Lesegeräten über die Computer-Tastatur. Eine als "Keylogger" bezeichnete Schadens-Software, heimlich auf den Rechner geschmuggelt, kann die eingetippte Pin mitlesen. Höherwertige Lesegeräte, sogenannte Pin-Pads, haben eine eigene kleine Tastatur für die Eingabe der Geheimzahl (siehe Kasten).
Der Bundesdatenschutzbeauftragte Peter Schaar sprach sich für den Einsatz dieser besonders sicheren, aber etwas teureren Geräte aus. "Meine Befürchtung ist, dass jetzt durch die Verwendung dieser einfachen Leser, die vom Bundesinnenministerium verteilt werden, eine Technologie mit dem neuen Personalausweis verbunden wird, die angreifbar ist", sagte Schaar. Mit der Pin allein sei zwar noch kein Betrug möglich, sagte Schaar. Wenn der Personalausweis aber in einem Hotel oder auf einem Campingplatz hinterlegt werden müsse, "ist in der Tat Gefahr im Verzug".
Ein Sprecher des Bundesinnenministeriums sagte, der neue Personalausweis sei bei der Benutzung am Computer deshalb sicher, weil zwei Faktoren zwingend seien: "Der Besitz des Ausweises selbst und das Kennen der Pin-Nummer. Fehlt einer dieser Faktoren, ist der neue Personalausweis am Computer nicht nutzbar." Zudem könne die Pin geändert werden. Kommt der Ausweis abhanden, kann er telefonisch gesperrt werden.
Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sagte der zuständige Experte Jens Bender, selbst bei einem Angriff von außen, etwa mit einem sogenannten Trojaner, sei kein Zugriff auf die persönlichen Daten möglich.
Die Lesegeräte sind nur nötig, um den Personalausweis am Computer für die Abwicklung von Internet-Geschäften oder für das Online-Banking zu nutzen. Zum Start sollen mehr als eine Million Basis-Lesegeräte kostenlos verteilt werden, unter anderem über ausgewählte Banken.