≡ Menu


Gehackt: Massive Sicherheitslücken beim elektronischen Personalausweis!

Das Bundesinnenministerium wirbt für den neuen elektronischen Personalausweis (ePerso) mit Funktionalität und Sicherheit. Aber welche Gefahren lauern bei der Nutzung der Bürger-Chip-Karte? Können wir dem Versprechen unserer Regierung trauen?

Ab 01. November 2010 wird der neue Personalausweis in Deutschland Realität. Seine Besonderheit ist – vom dreifachen Ausgabepreis des alten Ausweises mal abgesehen – ein integrierter Chip, dessen Anwendung gemäss Bundesinnenminister Dr. Thomas de Maizière die Rechtsgeschäfte der Bürger auch im Internet sicherer machen soll.

Wer künftig online Einkaufen, Banküberweisungen tätigen, seinen Kabelanschluss oder Stromanbieter wechseln, eine Petition an den Bundestag unterschreiben oder auch nur Forenbeiträge erstellen will, soll sich nach Wunsch unseres Innenministers mit dem neuen Personalausweis identifizieren und seine persönlichen Daten automatisch in das Internet übertragen mit allen damit verbundenen Risiken.

Praxistest: Neuer Personalausweis im Alltag äusserst bedenklich
Denn so sicher, wie ihn uns das Innenministerium verkaufen will, ist der “Neue” nicht. So gelang es den Experten des Chaos Computer Clubs (CCC) innerhalb kürzester Zeit mit geringem Aufwand erhebliche Sicherheitslücken entlang des Übertragungweges der persönlichen Daten zwischen Ausweis und Empfänger im Internet aufzudecken.

1. Kompletter Ausweis geklaut und gefälscht
Die Spezialisten des CCC konnten durch Übernahme der Daten während einer Online-Transaktion am PC nachweisen, dass der elektronische Personalausweis ähnlich der SuisseID unserer Schweizer Nachbarn weder hinreichend gegen Diebstahl geschützt noch fälschungssicher ist.

2. Rechtsgeschäfte mit gefälschter Unterschrift (Signatur)
Einmal die Daten des ePerso übernommen, kann jeder Kleinkriminelle im Internet anonym die gestohlene Identität vorgauckeln und Rechtsgeschäfte tätigen bis hin zur Banküberweisung.

3. Falsche Dokumente rechtsverbindlich unterschrieben
Wer ein pdf-Dokument mit der Signatur aus dem ePA unterschreibt, sollte sicher sein, dass das, was er auf dem heimischen Bildschirm sieht, auch der wahre Inhalt des Dokumentes ist. Da aber keine Prüfung erfolgt, ist ein Schutz vor der Unterzeichnung von gefälschten Verträgen und unseriösen oder gar rechtswidrigen Klauseln nicht gewährleistet.

4. Datenklau entlang des gesamten Übertragungsweges
Ob elektronischer Personalausweis, Kartenleser, eigener PC, wlan, Lan, Browser, Internetprovider oder Server und Datenbanken des Geschäftspartners – man braucht kein Spezialist zu sein, um zu erkennen, dass entlang dieser Kette unzählige Sicherheitslücken und Schwachstellen lauern, die noch nicht einmal der Inhaber des ePerso alle unter Kontrolle haben kann.

So gab es in der Vergangenheit immer wieder Sicherheitslecks bei Banken, Internetprovidern, sozialen Netzwerken oder Kreditkartengesellschaften. Der Betreiber einer grossen Suchmaschine scannte vor einiger Zeit sogar aus Versehen den Datenaustausch via wlan-Netze und unsere Regierung nahm diese Daten freudig in Empfang.

5. Einer Regierung trauen?
Abgesehen von kriminellen Umtrieben dürfte auch unsere Regierung kein geringeres Interesse an den Datentransfers ihrer Bürger mit dem “kriminellen” Internet haben. Ob Steuerfandung oder Terrorbekämpfung – USA, EU, Bundes- und Landesregierungen sind scharf auf unsere alltäglichen Geheimnisse. Der ePerso bietet einen idealen Ansatz, die zu bekommen.

Wer garantiert uns, dass die Verschlüsselung beim ePerso wie schon bei den GSM-Netzen nur ein fauler Kompromiss zum Nachteil der Bürger ist?



{ 0 comments… add one }

Leave a Comment

banner