Der Bundesdatenschutzbeauftragte Peter Schaar hält den ab November 2010 verfügbaren mit RFID-Chip ausgestatteten Personalausweis (ePA) für sicher. Das glauben nicht alle. Schaar sagte bei der Vorstellung des Ausweises, da die Daten verschlüsselt würden, könnten sie auch nur mit bestimmten Berechtigungen abgerufen werden. Zudem habe das Bundesamt für die Sicherheit in der Informationstechnik (BSI) den Ausweis und seine Sicherheitscharakteristika sehr gründlich überprüft. Nur wenn der Personalausweis gestohlen werde, könnten die darauf deponierten Daten möglicherweise gefährdet sein.
Demgegenüber hatte Sicherheitsexperte Gunnar Porada gegenüber der COMPUTERWOCHE schon vor Wochen erhebliche Zweifel an der Sicherheit des elektronischen Ausweisdokuments geäußert (siehe unten).
Das ARD-Magazin "Plusminus" hatte in seiner Sendung vom 23.8.2010 darauf hingewiesen, dass im Sicherheitssystem des neuen Personalausweises, der am 1. November 2010 eingeführt wird, gravierende Mängel festgestellt worden seien. In Zusammenarbeit mit dem Chaos Computerclub hatte die Redaktion Testversionen der Basis-Lesegeräte unter die Lupe genommen. Für Betrüger sei es demnach problemlos möglich, geheime Daten abzufangen - inklusive der geheimen PIN-Nummer. Die Lesegeräte sind nötig, wenn man den neuen Personalausweis am heimischen Computer nutzen wolle und sich somit für die Abwicklung von Internet-Geschäften zu identifizieren.
Lückenlose biometrische Erfassung
Frank Rosengart vom Chaos Computer Club (CCC) hatte gegenüber COMPUTERWOCHE-Online noch geäußert: "In der Tat ist die Spezifikation des neuen Personalausweises nach einigen Nachbesserungen durchaus auf dem aktuellen Stand der Technik. Ob die konkrete Umsetzung dann auch dem entspricht, wissen wir natürlich noch nicht." Jetzt scheinen sich auch beim CCC erhebliche zweifel an der Sicherheit des e-Perso einzustellen.
Zudem befürchtet der CCC die "lückenlose biometrische Erfassung der Bevölkerung". Die Berliner sprechen denn auch ironisch von der "Wirtschaftsidentifikationskarte".
Ärgerlich: Der Preis
Bei dieser sei schließlich auch der sehr hohe Preis ärgerlich. Der E-Perso wird die Bundesbürger 28,80 Euro kosten. Das ist mehr als dreimal so viel, wie der bisherige Ausweis kostete (acht Euro). Ist die "antragstellende Person" unter 24 Jahre alt , zahlt sie lediglich 22,80 Euro. Für "Bedürftige" liegt es in der Entscheidung der Bundesländer, ob eine Gebührenreduzierung oder -befreiung möglich ist.
Die Preiserhöhung sei gerechtfertigt, kommentierte Bundesinnenminister Thomas de Maizière (CDU). Schließlich lasse sich mit dem neuen Ausweis deutlich mehr machen als mit dem alten.
Das Bundesinnenministerium sagt
Der neue Ausweis enthalte wie der alte Sicherheitsmerkmale, die die Fälschungssicherheit erhöhen. Hierzu zählen Sicherheitsdruck mit mehrfarbigen feinen Linienstrukturen (so genannte Guillochen) und Mikroschriften, Oberflächenprägungen, ein integrierter Sicherheitsfaden sowie Hologramme und Kippbilder. Neu sind die zwei Angaben Postleitzahl sowie der Ordens- oder Künstlername. Neu ist auch eine sechsstellige Zugangsnummer auf der Vorderseite, die der Ausweisinhaber benötigt, wenn er seine PIN zweimal falsch eingegeben hat. Der Ausweis besitzt einen RFID-Chip, der die Daten des Ausweises sendet.
Optional: Fingerabdruck und Online-Ausweisfunktion
Auf Wunsch des Antragsstellers können auf dem Ausweis auch Fingerabdrücke abgelegt werden. Er ist also nicht verpflichtend. Ebenso kann der Ausweisinhaber entscheiden, ob er die Online-Ausweisfunktion nutzen will oder nicht. Sie wird je nach Entscheidung auf dem Ausweis ein- beziehungsweise ausgeschaltet. Diese Entscheidung ist nicht endgültig. Die Online-Ausweisfunktion kann auf Wunsch von den zuständigen Behörden jederzeit ein- oder ausgeschaltet werden.
Ebenso entscheidet der Nutzer, welche Daten des Ausweises im Internet an gegenüberliegende Stellen übermittelt werden sollen.
Elektronische Unterschrift
Nach Erhalt des neuen Personalausweises kann der Besitzer ferner ein so genanntes Signaturzertifikat erwerben und auf den Ausweis nachladen. Voraussetzung hierzu ist allerdings, dass die Online-Ausweisfunktion eingeschaltet ist. Mit der elektronischen Unterschrift können Dokumente elektronisch signiert werden.
Datenschutz und Datensicherheit
Ans Eingemachte geht es bei Fragen nach dem Datenschutz und der Datensicherheit in Verbindung mit dem neuen Ausweis. Das Bundesinnenministerium spricht selbstbewusst von der "maximalen Sicherheit für Ihre Daten". Der Ausweis garantiere, dass die "sensiblen persönlichen Daten jederzeit sicher sind". Durch technische Maßnahmen werde verhindert, dass Informationen "unberechtigt ausgelesen, kopiert oder verändert werden."
Das Ministerium argumentiert weiter, der neue Personalausweis würde die auf ihm gespeicherten Informationen nicht an jedes beliebige Lesegerät senden. Die Entfernung zwischen Lesegerät und Ausweis sei auf wenige Zentimeter beschränkt. "Idealerweise muss der Personalausweis also auf dem Lesegerät liegen oder - je nach Ausführung - hinein geschoben werden". Bevor Daten übertragen würden, prüfe der Ausweis, ob der anfragende Dienst oder die anfragende Behörde dazu berechtigt sind, Daten abzufragen. Ein unbemerktes Auslesen sei nicht möglich.
Darüber hinaus seien alle Informationen und Übertragungen "mit international anerkannten und etablierten technischen Verfahren (Verschlüsselung und Signatur) sicher geschützt".
Auch wenn der Ausweis für Online-Aktivitäten genutzt werde, seien alle persönlichen Daten sicher. Das Bundesinnenministerium schreibt dazu als Erklärung: "Nur wer den Ausweis besitzt und die 6-stellige PIN kennt, kann Informationen zur Übermittlung freigeben. Daten werden nur zwischen Ihnen und dem Anbieter ausgetauscht."
Das Risiko schlummert im PC
Foto: Porada
Genau hier aber stellt sich die Frage, ob der neue Personalausweis tatsächlich so unproblematisch zu nutzen ist, wie vom Bundesinnenministerium versprochen. Immerhin wird er ja als Online-Identifizierungs- und Verifizierungsmedium beworben, mit dem sich auch Behördengänge erledigen lassen.
Sicherheitsexperte Gunnar Porada sagt, es gebe ein ganz generelles Problem mit dem neuen Personalausweis. Dieses treffe allerdings nicht nur auf diesen zu, sondern etwa auch für Banking-Verfahren. Die Problematik sei dabei immer die gleiche: Ist der PC des Benutzers mit Schadsoftware infiziert, kann diese die Kommunikation zwischen dem Computer und dem Personalausweis abfangen und nach Belieben manipulieren. Porada: "Der Personalausweis kann so missbraucht werden, um vollkommen andere Dokumente als vom Benutzer ursprünglich ausgewählt rechtsgültig zu signieren."
Wie lässt sich der Ausweis austricksen?
Für Geschäfte via Internet benötigt der Nutzer nicht nur den Ausweis mit dem RFID-Chip, sondern auch ein Lesegerät. Einfachste Versionen solcher Reader sollen, sagt Bundesinnenminister de Maizière, um die zehn Euro kosten.
Porada, der an dem Testlauf für den Personalausweis teilnimmt, erhielt von den Behörden ein relativ simples RFID-Lesegerät. Dieser Reader besitzt keinerlei Eingabemöglichkeiten wie etwa eine Tastatur. Er liest lediglich alle Daten des Personalausweises aus und leitet diese dann an den PC weiter. Auf diesem ist die Software "Bürgerclient" der Firma Open Limit aufgebracht. Diese Middleware soll mit der Smartcard, hier dem Personalausweis, und beispielsweise mit Web-Applikationen im Internet kommunizieren - also beispielsweise Online-Banking betreiben oder sich ausweisen, einen Alterscheck erledigen etc.
Löcheriger Schutzwall
Grundsätzlich soll der Zugriff auf den Personalausweis durch die Eingabe der sechsstelligen PIN abgesichert werden. Hier ist die Schwachstelle des Verfahrens, sagt Porada: "Um die Daten des Personalausweises an meinem PC auslesen zu können, muss ich zunächst die PIN am Computer eingeben. Aber solche PIN-Eingaben am Computer können von Key-Loggern recht leicht mitgelesen werden und danach durch Trojaner automatisch eingegeben werden."
Porada hat zu Demonstrationszwecken einen Beispiel-Trojaner entwickelt, der erst diese PIN-Eingabe mitliest und danach selbständig eine Webseite öffnet, "auf der ich mich mit meinem Personalausweis identifizieren müsste". Das aber mache der Trojaner nun vollkommen automatisch, sagt der Security-Experte. Er würde lediglich die zuvor ausgelesene PIN "ohne mein Zutun" eingeben. Dann "meldet er sich ohne mein Einverständnis auf der Webseite an". Der jeweilige Web-Server geht davon aus, dass "ich mich als Person korrekt identifiziert habe". Tatsächlich aber habe der Anwender nur seinen Personalausweis auf dem Reader liegen lassen.
Der Trojaner liest alle Angaben des Ausweises mit
"Ist dies der Fall, liest ein Trojaner alle Angaben des Ausweises einfach mit, ohne dass der Benutzer es merkt." Ein auf dem Rechner platzierter Trojaner ist dabei immer aktiv. Sobald der Ausweis vom Reader erkannt wird beziehungsweise auf das Lesegerät gelegt wird, aktiviert sich die Schadsoftware selbständig. Porada: "Jedes Mal, wenn ich dann meinen Personalausweis für irgendeine Aktion im Internet nutze, protokolliert der Trojaner mit und kann darüber hinaus Dinge machen, die ich gar nicht kontrollieren kann."
Spannend wird es bei der Frage, ob man einen Trojaner so schreiben kann, dass dieser, ist er einmal auf dem Rechner platziert, auch dann mit den vom Personalausweis abgesaugten Daten operieren kann, wenn dieser Ausweis nicht auf dem Reader liegt.
Geklonte Reisepässe
Nicht beim Personalausweis, jedoch beim Reisepass, der ja bereits mit biometrischen Merkmalen versehen ist, hatte ein holländischer Spezialist vorgemacht, dass man einen Ausweis tatsächlich quasi klonen kann. Das bedeutet, dass ein Hacker irgendwo in der Welt sich mit fremden Daten ausweisen und sonstige Operationen erledigen kann, bei denen eine Identifizierung nötig ist. Erklärt Porada: "Allerdings waren die Daten auf dem Reisepass nicht mit einer Signatur versehen und abgesichert. Der Trick des Holländers war, sich die Tatsache zueigen gemacht zu haben, dass diverse Prüfgeräte wie beispielsweise am Flughafen dieses Sicherheitsmerkmal gar nicht nutzten.
Werden die Daten des Personalausweises bei jedem Online-Vorgang verifiziert, dürfte es nicht so leicht möglich sein, diesen Ausweis zu klonen.
Spätestens aber, wenn man den Ausweis am PC nutzt und auf den Reader legt, gibt es ein Problem. "Mir als Benutzer dürfte es sehr schwer fallen nachzuweisen, dass ich nicht Schuld war, wenn meine Daten missbraucht wurden - etwa durch einen Trojaner. Dann zu beweisen, dass man Eingaben nicht gemacht hat, mit denen beispielsweise ein Online-Einkauf besiegelt wurde, dürfte vor Gericht schwer werden. Denn man hat ja eine korrekte PIN eingegeben und nur man selbst ist im Besitz des Personalausweises.
Prinzipiell gibt es aber die Möglichkeit, ein Signaturzertifikat zu erwerben und dieses auf den Ausweis nachladen. Voraussetzung ist hier allerdings, dass die Ausweisfunktion eingeschaltet ist. Mit einer elektronischen Unterschrift lassen sich Dokumente dann elektronisch signieren.
Aber auch hier stellt sich ein Problem. Und auch dieses ist nicht nur auf den Personalausweis beschränkt, sondern allgemeiner Natur. Es gibt heute schon Signaturkarten, die rechtsgültig signieren können, weil sie eine qualifizierte Signatur beinhalten. Ein Anbieter solcher Karten ist beispielsweise D-TRUST.
Nicht klar, was man tatsächlich signiert
Auch bei dieser Anwendung zum rechtsgültigen Signieren mit einer Smart Card ist das Problem, dass der Benutzer nicht sieht, was er tatsächlich signiert. Er hat alle Informationen nur auf dem Computerbildschirm. Diese können jedoch ebenfalls durch Schadsoftware auf dem PC manipuliert sein.
Porada beschreibt einen denkbaren Fall: "Sie wollen ein Word-Dokument signieren. Die Bürgerclient-Middleware hat eine Funktion, mit der dieses Word-Dokument an die Smartcard oder eben den Personalausweis geschickt wird." Hierbei muss der Anwender wieder seine PIN eingeben. Danach sind die Daten signiert. Das heißt, so wie die Daten an die Smartcard geschickt wurden, kommen sie wieder zusammen mit der Signaturprüfsumme zurück.
Das Problem ist aber, dass der Anwender eben nicht sieht, was er wirklich signiert. "Der User sieht auf seinem Bildschirm zwar das Dokument, die E-Mail oder was immer und signiert diese - wie er glaubt. Tatsächlich hat er aber etwas signiert, was ein Trojaner ihm untergeschoben hat," sagt der Sicherheitsberater. Wenn das dann eine Banküberweisung sei, könne das teuer werden. Auf dem Bildschirm sieht der Anwender das Word-Dokument. Signiert hat er aber etwas ganz anderes.
Unterbrochene Kommunikation: DLL-Hooking
Der Trojaner unterbricht bei diesem Vorgang den Kommunikationskanal (durch DLL-Hooking) zwischen dem Reader des Personalausweises und dem PC und unterlegt heimlich seine eigenen Daten. Die werden dann signiert. "Beweisen Sie einmal vor Gericht, das Sie eine Banküberweisung oder einen Kaufvertrag gar nicht signiert haben." Das Signaturgesetz jedenfalls sagt, das mit der Signatur ein rechtskräftiges Abkommen getroffen wurde und die Signatur einer Unterschrift gleichkommt.
Die Behörden kennen das Problem, für das es noch keine Lösungen gibt - anders als beim Online-Banking. Dort kann man den Reader mit einem Display und einem PIN-Pad ausstatten, dass jede Überweisung auf dem Reader anzeigt und dort noch mal bestätigt werden muss. Beim Online-Banking, bei dem nur ganz wenige Informationen wie PIN und TAN auf dem Display angezeigt werden müssen, geht das auch. "Wenn Sie aber große Dokumente signieren und dann auch anzeigen wollen auf einem Readerdisplay, brauchen sie schlicht größere Displays etwa für RFID-Reader wie für den Personalausweis." Die aber gibt es noch nicht in der Form, dass sie Angriffen mit Schadsoftware standhalten würden. Ein Handy mit seinem Display wäre beispielsweise - zumindest heute noch - nicht geeignet.
Der Staat sieht alles
Abhängig von der Art, wie beispielsweise die Zertifikatsabfragen bei dem Personalausweis realisiert werden, wird vermutlich der Betreiber, also der Staat, zudem jede einzelne Handlung, die im Zusammenhang mit dem Personalausweis getätigt wird, einsehen können. Dabei wird etwa zentral gespeichert, wann man wem wie viel Geld überwiesen hat, welche Farbe die Socken haben, die man online gekauft hat, wann man sich welchen Film angesehen hat usw.
Warnt Porada: "Wenn bei Personaleinstellungen heute schon negative Schufaauskünfte dazu führen, den Job nicht zu bekommen (Beispiel wäre hier Lidl), dann kann man sich vorstellen, welche Begehrlichkeiten diese Daten wecken werden und welche negativen Auswirken das künftig haben wird." (jm)