Das Risiko schlummert im PC
Genau hier aber stellt sich die Frage, ob der neue Personalausweis tatsächlich so unproblematisch zu nutzen ist, wie vom Bundesinnenministerium versprochen. Immerhin wird er ja als Online-Identifizierungs- und Verifizierungsmedium beworben, mit dem sich auch Behördengänge erledigen lassen.
Sicherheitsexperte Gunnar Porada sagt, es gebe ein ganz generelles Problem mit dem neuen Personalausweis. Dieses treffe allerdings nicht nur auf diesen zu, sondern etwa auch für Banking-Verfahren. Die Problematik sei dabei immer die gleiche: Ist der PC des Benutzers mit Schadsoftware infiziert, kann diese die Kommunikation zwischen dem Computer und dem Personalausweis abfangen und nach Belieben manipulieren. Porada: "Der Personalausweis kann so missbraucht werden, um vollkommen andere Dokumente als vom Benutzer ursprünglich ausgewählt rechtsgültig zu signieren."
Wie lässt sich der Ausweis austricksen?
Für Geschäfte via Internet benötigt der Nutzer nicht nur den Ausweis mit dem RFID-Chip, sondern auch ein Lesegerät. Einfachste Versionen solcher Reader sollen, sagt Bundesinnenminister de Maizière, um die zehn Euro kosten.
Porada, der an dem Testlauf für den Personalausweis teilnimmt, erhielt von den Behörden ein relativ simples RFID-Lesegerät. Dieser Reader besitzt keinerlei Eingabemöglichkeiten wie etwa eine Tastatur. Er liest lediglich alle Daten des Personalausweises aus und leitet diese dann an den PC weiter. Auf diesem ist die Software "Bürgerclient" der Firma Open Limit aufgebracht. Diese Middleware soll mit der Smartcard, hier dem Personalausweis, und beispielsweise mit Web-Applikationen im Internet kommunizieren - also beispielsweise Online-Banking betreiben oder sich ausweisen, einen Alterscheck erledigen etc.
Löcheriger Schutzwall
Grundsätzlich soll der Zugriff auf den Personalausweis durch die Eingabe der sechsstelligen PIN abgesichert werden. Hier ist die Schwachstelle des Verfahrens, sagt Porada: "Um die Daten des Personalausweises an meinem PC auslesen zu können, muss ich zunächst die PIN am Computer eingeben. Aber solche PIN-Eingaben am Computer können von Key-Loggern recht leicht mitgelesen werden und danach durch Trojaner automatisch eingegeben werden."
Porada hat zu Demonstrationszwecken einen Beispiel-Trojaner entwickelt, der erst diese PIN-Eingabe mitliest und danach selbständig eine Webseite öffnet, "auf der ich mich mit meinem Personalausweis identifizieren müsste". Das aber mache der Trojaner nun vollkommen automatisch, sagt der Security-Experte. Er würde lediglich die zuvor ausgelesene PIN "ohne mein Zutun" eingeben. Dann "meldet er sich ohne mein Einverständnis auf der Webseite an". Der jeweilige Web-Server geht davon aus, dass "ich mich als Person korrekt identifiziert habe". Tatsächlich aber habe der Anwender nur seinen Personalausweis auf dem Reader liegen lassen.